Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamb...
Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamb...
Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamb...
Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamb...
Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamb...
Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamb...
Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamb...
Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamb...
Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamb...
Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamb...
Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamb...
Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamb...
Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamb...
Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamb...
Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamb...
Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamb...
Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamb...
Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamb...
Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamb...
Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamb...
Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamb...
Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamb...
Patrick Risch, standpunkte.li
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamburg
www.filemaker-kon...
Nächste SlideShare
Wird geladen in …5
×

FMK2015: Informationssicherheit und Risikomanagement by Patrick Risch

829 Aufrufe

Veröffentlicht am

Bei Informationssicherheit denken viele FileMaker Entwickler in erster Linie an Passwörter, Zugriffsberechtigungen und erweiterte Zugriffsrechte.

Informationssicherheit ist aber viel mehr, mehr als nur IT-Sicherheit In diesem Vortrag erfahren Sie um was es wirklich geht.

Das CIA Modell
IT-Grundschutz
Risikoanalyse
Notallmanagement (BCM)



In diesen Vortrag geht es nicht um technische Massnahmen wie SSL, VPN oder Verschlüsselung, sondern um begleitende Massnahmen

Veröffentlicht in: Technologie
0 Kommentare
1 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

Keine Downloads
Aufrufe
Aufrufe insgesamt
829
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
15
Aktionen
Geteilt
0
Downloads
32
Kommentare
0
Gefällt mir
1
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

FMK2015: Informationssicherheit und Risikomanagement by Patrick Risch

  1. 1. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Informationssicherheit & Risikomanagement In diesem Vortrag geht es nicht um technische Massnahmen wie SSL, VPN, Verschlüsselung etc.
  2. 2. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Über mich… • Patrick Risch, 47
 • FileMaker Entwickler seit Version 2 • Zertifizierter FileMaker Entwickler seit Version 8-13 und bald14 • CAS Informationssicherheit & Risikomanagement (CompTIA security+ und bald CISSP, BSI-Sicherheitsbeauftragter*) • CAS Lebensmittelrecht Schweiz / EU • FileMaker Lösung für die Produktkennzeichnung nach der Lebensmittelverordnung (EU Richtlinie 1169/2012) • Co-Organisator der FileMaker Konferenz * bis Dezember 2015
  3. 3. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Warum Informationssicherheit… * bis Dezember 2015 Informations-Einbrüchen betreffen zu 90% KMUs! Die Durchschnittskosten eines Informations-Einbruchs betragen 36.000 $. 31% der Kunden wechseln zu einem anderen Anbieter, wenn der Informations-Einbruch Kundendaten betrifft. 43% der Unternehmen wurden schon mal Ziel eines Angriffes
  4. 4. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Wer möchte Schutz? Mein UnternehmenKunden Gesetzgeber Geschäftspartner Mit- arbeiter Datenschutzgesetz, Strafgesetz, Urheberrecht, etc. interne und externe Vorgaben
  5. 5. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Was gilt es zu Schützen? Informationen elektronisch Papier Gesprochen Ziel aller Schutzmassnahmen ist es Schadensereignisse in Häufigkeit und Auswirkung angemessen zu reduzieren. Personen (Hacker, Mitarbeiter) Schadsoftware (Viren, Malware, etc) Organisation (Systeme, BYOD, Gefahren von Aussen
  6. 6. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com CIA Vertraulichkeit (Confidentiality) Integrität (Integrity) Verfügbarkeit (Availability) Informations- Sicherheit
  7. 7. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Grundregel 1 Bildquelle: https://de.wikipedia.org/wiki/Demingkreis Informationssicherheit ist ein laufender Prozess Plan: Planen und Konzeption Do: Umsetzung Check: Erfolgskontrolle Act: Optimierung
  8. 8. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Grundregel 2 Bildquelle: https://de.wikipedia.org/wiki/Demingkreis Informationssicherheit ist Chefsache! Management muss dahinter stehen Ressourcen müssen vorhanden sein Mitarbeiter müssen regelmässig geschult werden
  9. 9. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Grundregel 3 100% Sicherheit gibt es nicht 0 25 50 75 100 Grundschutz erhöht maximal Grundschutz: Minimieren von Risiken durch grundlegende Schutzmassnahmen Erhöhter Schutz: Spezielle Massnahmen für ein bestimmtes Risiko Maximal: Wenn Kosten-Nutzen von Massnahmen nicht mehr gegeben, Notfallmassnahmen setzen
  10. 10. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Top 10 Massnahmen 1. Datensicherung 2. Nutzungs- und Überwachungsreglement erstellen 3. Alle Mitarbeiter in Informationssicherheit schulen 4. Keine Administratorenrechte beim Arbeiten an Computern 5. Passwörter mindestens 12 Zeichen lang (und komplex) 6. Raschen und regelmässige Updates aller Software und Hardware 7. Virenschutzlösung mit proaktiven Schutzelementen 8. Professionell eingerichtete Firewalls verwenden 9. Computeranlagen auf physisch schützen 10. Vertrauliche Daten verschlüsseln (vor allem bei mobilen Geräten)
  11. 11. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Gefahren für die IT verändern sich teilgezielte Angriffe Gezielte Angriffe ungezielte Angriffe Advanced Persistent Threads Anti- virus Firewall IPS KostenfürSchutzmassnahmen IT- Grund- schutz erhöhte Mass- nahmen Notfall
  12. 12. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Vorgehen nach BSI Standardisiertes Vorgehensmodell „Best Practice“ Basiert auf Grundschutz-Katalogen Bausteine Gefährdungskataloge Massnahmenkataloge
  13. 13. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Standards • ISO 27001 / 27002 Definiert ein Informations-Sicherheits- Management-System ISMS. Kernstück ist der kontinuierliche Verbesserungs- prozess und die 134 Kontrollpunkte zur Steuerung der Informationssicherheit. Eher für grössere Betriebe, welche eine Zertifizierung benötigen. • BSI Grundschutz Good Practices der IT- und Informationssicherheit, die im Bereich der Cyber- Security sinnvoll eingesetzt werden können. • 10 Punkte Programm Insurance Minimaler Schutz für KMUs bei vertretbaren Aufwand
  14. 14. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Prozesse analysieren Rezeptur Reinigung Herstellungsprozess Lieferung Rezeptdaten Reinigungs- daten Liefer & Kunden- daten Herstellung Produktions- daten
  15. 15. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Kategorisieren der Daten Rezeptdaten Produktions- daten Reinigungs- daten Liefer & Kunden- daten Öffent- lich Öffent- lich GeheimGeheim Rezeptdaten sind zum Teil ein Betriebsgeheimn is und somit vertraulich. Die Integrität von Produktsiondate n muss gegeben sein. Die Verfügbarkeit und Integrität muss gegeben sein. Die Offenlegung von Kundendaten könnte einen Vertrauensverlus t zur Folge haben.
  16. 16. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Vorgehen 1. Schutzbedarf für Daten festlegen normal erhöht hoch Anwendung Rezeptdaten X FileMaker Reinigungsd. X Office Personald. X FileMaker normal erhöht hoch IT-System FileMaker x X FileMaker Server Office X File Server 2. Schutzbedarf für Anwendungen festlegen
  17. 17. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Vorgehen (Fortsetzung) 3. Schutzbedarf IT Systeme festlegen normal erhöht hoch Raum FileMaker Server X X Serverraum Datei Server X Serverraum normal erhöht hoch Serverraum X X 4. Schutzbedarf für Räume festlegen 5. Schutzbedarf für Kommunikationsverbindungen festlegen
  18. 18. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Vorgehen IT-Grundschutz Für Schutzobjekte mit dem Gefährdungspotential ‚normal‘ reichen Grundschutzmassnahmen. Die entsprechende(n) Massnahme(n) im BSI-Grundschutzkatalog suchen und umsetzen. zum Beispiel (eine Auswahl): Sicherer Serverraum: Link Ein Dienst pro Server: Link Bildschirmsperre: Link Passwörter löschen: Link
  19. 19. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Vorgehen Risikoanalyse Wenn etwas einen Schutzbedarf höher als ‚Normal‘ aufweist, müssen spezielle Sicherheitsmassnahmen getroffen werden. Risikoanalyse erstellen und Massnahmen abwägen: Wahrscheinlichkeit des Risikos x Höhe des Schadens = angemessene Risiko-Abfangkosten Risiko Kosten Risikobewertung Rezeptdaten nicht verfügbar / Produktion steht still 2h Löhne / Umsatzausfall / evt. Kundenverlust 1 x in 5 Jahren für 2h 10 MA x 20€ = 200€ 2000€ Umsatzausfall Risiko X Kosten 0,2 € 2200 € 440 Nicht bewertet ist das Risiko des möglichen Kundenverlustes!
  20. 20. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Massnahmen Risikoabsicherung Abwägung ob die Kosten der Risikominderung / -verminderung im Verhältnis zum Risiko liegen. Gesamtkosten Pro Jahr (bei 3 Jahre) FileMaker Server € 1200 Server Hardware € 1000 Energiekosten € 100 € 2300 € 767 Massnahme kostet 767€ pro Jahr, die ermittelten Risikokosten sind 440€. Wird der mögliche Kundenverlust in Betracht gezogen, könnte die Massnahme berechtigt sein.
  21. 21. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Wenn alle Stricke reissen Für Risiken welche nicht in einem vertretbaren Rahmen mit Massnahmen abgedeckt werden können, müssen Notfallpläne bestehen. Geschäftsführung entscheidet ob bei einem Risiko auf Massnahmen verzichtet wird Was machen, wenn: - Das Gebäude der Firma nicht erreichbar ist / zur Verfügung steht - Grossteil der Mitarbeiter ausfällt / nicht zur Verfügung steht - Infrastruktur längerfristig ausfällt CEO bestimmt, ab wann wir uns tot stellen. Notfallpläne müssen erprobt sein und auch in einem Notfall verfügbar sein!
  22. 22. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Links • 10 Punkte Programm für KMUs: Link • Bundesamt für Sicherheit und Informationstechnik (BSI): Link • Melani (Melde und Analysestelle): Link • Heise Security: Link • Schwachstellenampel: Link • Sicherheitstacho: Link • Schwachstellen CVE Bulletin: Link
  23. 23. Patrick Risch, standpunkte.li Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Vielen Dank unseren Sponsoren Danke für das Bewerten dieses Vortrages

×