Payment Card Industry Data Security StandardCase Study: Datendiebstahl und PräventionFachveranstaltung DatensicherheitBern...
INHALT  1.     FIRMENPROFIL  2.     DATENDIEBSTAHL UND PRÄVENTION  3.     KONTAKT                                         ...
FIRMENPROFIL                  Für unsere Kunden langjähriger erfahrener                   Partner und Dienstleister im PC...
FIRMENPROFILServices im Überblick           Wir beraten, prüfen und zertifizieren Unternehmen im Bereich IT-Sicherheit und...
INHALT  1.     FIRMENPROFIL  2.     DATENDIEBSTAHL UND PRÄVENTION  3.     KONTAKT                                         ...
EXISTIEREN BEDROHUNGEN ?                           © 2011 Acertigo AG
EXISTIEREN BEDROHUNGEN ?BETRIFFT ES MICH ?                           Quellen:                           Studie von Ernst&Y...
DATENDIEBSTAHL UND PRÄVENTIONWER MUSS SICH DARUM KÜMMERN?     Verantwortlichkeiten        Geschäftsführung        IT-Le...
DATENDIEBSTAHL UND PRÄVENTIONHABE ICH SCHÜTZENSWERTE DATEN?     Was ist gefährdet?        Unternehmensdaten           K...
DATENDIEBSTAHL UND PRÄVENTION     Wie erfolgt die Gefährdung?        Externe Angriffe           Trojaner, Schadsoftware...
DATENDIEBSTAHL UND PRÄVENTIONWIE SCHÜTZE ICH MICH?     Schutz auf unterschiedlichen Ebenen notwendig        auf der Netz...
DATENDIEBSTAHL UND PRÄVENTIONWIE SCHÜTZE ICH MICH?     Um Schutzmassnahmen zu adressieren müssen Daten        identifizi...
DATENDIEBSTAHL UND PRÄVENTION                                                               Technische Massnahmen müssen  ...
DATENDIEBSTAHL UND PRÄVENTION     Fazit        Identifikation (Was sind schützenwerte Daten, Wo befinden sich diese Date...
Danke für Ihre Aufmerksamkeit !Ralph WörnVorstandAcertigo AGWilhelmsplatz 8, 70182 Stuttgart, Germanyphone           + 49 ...
COPYRIGHT     Acertigo AG – Stuttgart and its companies (“Acertigo”) retain all ownership rights to this document (the "Do...
Nächste SlideShare
Wird geladen in …5
×

Datensicherheit: Diebstahl und Prävention

2.215 Aufrufe

Veröffentlicht am

Veröffentlicht in: Business
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
2.215
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
894
Aktionen
Geteilt
0
Downloads
12
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Datensicherheit: Diebstahl und Prävention

  1. 1. Payment Card Industry Data Security StandardCase Study: Datendiebstahl und PräventionFachveranstaltung DatensicherheitBern7. September 2011 © 2011 Acertigo AG
  2. 2. INHALT 1. FIRMENPROFIL 2. DATENDIEBSTAHL UND PRÄVENTION 3. KONTAKT © 2011 Acertigo AG
  3. 3. FIRMENPROFIL  Für unsere Kunden langjähriger erfahrener Partner und Dienstleister im PCI-Bereich.  Seit 2004 zugelassener Zertifizierer für die unterschiedlichen PCI Standards, wie PCI DSS, PA-DSS, PCI PIN Security.  Akkreditierung als Zertifizierer für die Regionen Zentraleuropa, Naher Osten und Afrika.  Standorte: Stuttgart, Zurich  Sales-Offices: Budapest, Stockholm, Riyadh, Wien, Zagreb  Mehr als 100 Level 1 Audit-Kunden  Mehrere tausend Händler auf den Zertifizierungsportalen © 2011 Acertigo AG
  4. 4. FIRMENPROFILServices im Überblick Wir beraten, prüfen und zertifizieren Unternehmen im Bereich IT-Sicherheit und Datenschutz. Unser Schwerpunkt liegt dabei im Bereich der Compliance Services für die Payment Card Industry (PCI). Acquirer Compliance  Dienstleister für alle Unternehmen Services die eine PCI-Zertifizierung durchführen (Banken, Prozessoren, PCI Onsite Reviews Payment Gateway, Service und PCI Vulnerability Scans Hostingprovider, Händler) Training & Awareness  Wir unterstützen und beraten unsere Kunden in allen Phasen der PCI-Zertifizierung. Remediation Support  Expertise in PCI DSS, PA DSS, PIN Security sowie dem Compliance- PCI Gap Analyse / Pre-Compliance Management beim Acquirer Review Compliance Advisory © 2011 Acertigo AG
  5. 5. INHALT 1. FIRMENPROFIL 2. DATENDIEBSTAHL UND PRÄVENTION 3. KONTAKT © 2011 Acertigo AG
  6. 6. EXISTIEREN BEDROHUNGEN ? © 2011 Acertigo AG
  7. 7. EXISTIEREN BEDROHUNGEN ?BETRIFFT ES MICH ? Quellen: Studie von Ernst&Young, 2011 Data Breach Report Verizon, 2010 © 2011 Acertigo AG
  8. 8. DATENDIEBSTAHL UND PRÄVENTIONWER MUSS SICH DARUM KÜMMERN?  Verantwortlichkeiten  Geschäftsführung  IT-Leiter  Datenschutzbeauftragter  CSO (Chief Security Officer)  Regulatorische Anforderungen  PCI DSS  Datenschutzgesetze (EU, landesspezifische Umsetzung, kantonale Gesetze) © 2011 Acertigo AG
  9. 9. DATENDIEBSTAHL UND PRÄVENTIONHABE ICH SCHÜTZENSWERTE DATEN?  Was ist gefährdet?  Unternehmensdaten  Kosten- und Preiskalkulationen  Finanzdaten  Vertragsdaten  Personaldaten  usw.  Kundendaten  Kundenstamm  Konditionen  Bankverbindungsdaten, Kartennummern  usw.  Rechte und Entwicklungs-Knowhow © 2011 Acertigo AG
  10. 10. DATENDIEBSTAHL UND PRÄVENTION  Wie erfolgt die Gefährdung?  Externe Angriffe  Trojaner, Schadsoftware, Key Logger, etc.  Manipulierte Programme  Social Engineering  Durch eigene Mitarbeiter Quelle: Studie von Ernst&Young, 2011  Verlust von mobilen Geräten wie Laptops, SmartPhones  Verlust von Medien (print, DVD, CD, USB-Sticks, etc.)  Unerlaubte elektronische Weitergabe (email, Web, etc.)  Missbrauch durch priviligierte User (admins, etc.)  Weitere Einflüsse  Löschung, Brand, Vandalismus, technische Ausfälle, etc. -> Disaster Recovery / Backup © 2011 Acertigo AG
  11. 11. DATENDIEBSTAHL UND PRÄVENTIONWIE SCHÜTZE ICH MICH?  Schutz auf unterschiedlichen Ebenen notwendig  auf der Netzwerk-Ebene  durch Firewalls  durch Detektionssysteme wie IDS/IPS  auf der System- und Applikationsebene  durch Antivirus-Systeme  durch File Integrity Monitoring  durch Zugriffskontrolle auf Systeme und Applikationen  durch „Device Control“ (nur zugelassen Geräte)  aber insbesondere auf der Datenebene  durch Verschlüsselung  durch Zugriffsauthentifizierung  durch Data Loss Prevention Technologien © 2011 Acertigo AG
  12. 12. DATENDIEBSTAHL UND PRÄVENTIONWIE SCHÜTZE ICH MICH?  Um Schutzmassnahmen zu adressieren müssen Daten  identifiziert werden (wo)  klassifiziert werden (welche)  und Regeln (wer, was, wofür) für die Schutzklassen festgelegt werden  Daten müssen geschützt werden, egal wo diese sich befinden  Schutz bei Verlust von mobilen Geräten (z.B. Festplattenverschlüsselung)  Nutzung durch Speichermedien (protected USB-Stick, Blockierung der Nutzung solcher Medienanschlüsse wie USB, Firewire, Bluetooth, Wireless, Brennerlaufwerke)  Überwachung und Kontrolle der Zugriffe auf Daten im Netzwerk  Datenexportkontrolle (Data Loss Prevention Technologien)  Mitarbeiter müssen informiert und geschult werden im Umgang mit sensiblen Daten © 2011 Acertigo AG
  13. 13. DATENDIEBSTAHL UND PRÄVENTION Technische Massnahmen müssen die organisatorischen Vorgaben wo notwendig unterstützen und durchsetzen Richtlinien und Weisungen sollen die sachgerechte Nutzung der Daten vorgeben Verringerung der Datenhaltung reduziert Risiken Datenschutz erfordert zu wissen, was schützenwerte Daten sind, wo diese gespeichert sind, durch welche Prozesse diese verarbeitet werden und von wem © 2011 Acertigo AG
  14. 14. DATENDIEBSTAHL UND PRÄVENTION  Fazit  Identifikation (Was sind schützenwerte Daten, Wo befinden sich diese Daten)  Nutzung (Wer benötigt Zugriff auf diese Daten, Warum werden diese Daten benötigt)  Dokumentation (Sicherheitsrichtlinien, Weisungen)  Welche technischen und organisatorischen Massnahmen können zum Schutz ergriffen werden  Schulung/Awareness  Welche rechtlichen Anforderungen sind zu erfüllen der PCI DSS Standard trifft Regelungen zu diesen Punkten © 2011 Acertigo AG
  15. 15. Danke für Ihre Aufmerksamkeit !Ralph WörnVorstandAcertigo AGWilhelmsplatz 8, 70182 Stuttgart, Germanyphone + 49 711 620 30 232fax + 49 711 620 30 200email ralph.woern@acertigo.com © 2011 Acertigo AG
  16. 16. COPYRIGHT Acertigo AG – Stuttgart and its companies (“Acertigo”) retain all ownership rights to this document (the "Document“). Use of the Document is governed by applicable copyright law. Acertigo may revise this Document from time to time without notice. This document is provided “as is” without warranty of any kind. In no event shall Acertigo be liable for indirect, special, incidental, or consequential damages of any kind arising from any error in this document, including without limitation any loss or interruption of business, profits, use or data. All contents provided in this document are protected by copyright. None of the material may be reproduced, copied or distributed in any form without the prior written permission of Acertigo AG. All rights are reserved including those in the translation. Trademarks: Most of the names and trade names, including hardware and software terms, mentioned in this document are either registered trademarks or should be considered as such. All information contained on this document has been published without regard to a possible patent protection. All names of goods are used without the guarantee of usability. All rights are reserved. Acertigo is a registered Trademark in Germany and other countries. © 2011 Acertigo AG

×