SlideShare ist ein Scribd-Unternehmen logo
Mit Wirtschaftsinformatik
Wirtschaft neu gestalten.
Methoden Von Null auf Hundert
Managementmethoden
Informationssicherheitsmanagement
1
Warum Informationssicherheitsmanagement? 2
Kein Problem. Wir brauchen einfach
eine Firewall, dann verbieten wir den
Mitarbeitern das Internet und kaufen
die Überwachungssoftware
“totsicherSuite“ …
Was läuft hier falsch?
Wir müssen IRGEND ETWAS tun. Man
liest ja immer von Hackern und
Datenschutzproblemen …
Aber wir haben doch gar keine PCs …
Brauchen wir das trotzdem?
Die unsichere Geschäftsführerin Der IT-Spezialist
Warum Informationssicherheitsmanagement
Gesetzliche Verpflichtung:
• Am 24.7.2015 wurde das IT-Sicherheitsgesetz im Bundesgesetzblatt
veröffentlicht.
• Am 2.5.2016 wurde die Verordnung zur Bestimmung kritischer Infrastrukturen
nach dem BSI-Gesetz (BSI-KritisV) im Bundesgesetzblatt (BGBl. I Nr. 20, S.
958ff.) veröffentlicht.
• Anwendungsgebiet: Kritische Infrastrukturen. Kritische Infrastrukturen
(KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für
das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung
nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der
öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.
(Versorgungsunternehmen, Krankenhäuser ... )
Selbstschutz in Unternehmen:
Daten sind das Rückgrat der meisten Unternehmen:
• Verfügbarkeit
• Vertraulichkeit
• Integrität (Korrektheit)
Informationssicherheitsmanagement, um Risiken in Unternehmen zu
mindern.
3
Begriffe
Informationssicherheit
hat als Ziel den Schutz von Informationen jeglicher Art und Herkunft.
- Informationen auf Papier
- Informationen in Rechnersystemen
- Informationen in den Köpfen der Menschen.
IT-Sicherheit beschäftigt sich mit dem Schutz elektronisch
gespeicherter Informationen und deren Verarbeitung.
Informationssicherheit umfasst die IT-Sicherheit.
4
Informations-
Sicherheit
Begriffe 5
IT-Sicherheit
technische
Maßnahmen
Informationssicherheitsmanagement
planen, steuern, kontrollieren, verbessern
organisatorische
Maßnahmen
Warum nicht nur eine Firewall kaufen?
Informationen:
- Sind wichtige Werte für Unternehmen.
- müssen angemessen geschützt werden.
- Viele Informationen werden mit Informationstechnik (IT) erstellt,
gespeichert, transportiert oder weiterverarbeitet.
- Optimierung des Informationssicherheitsmanagements ist
effektiver als Investitionen in Sicherheitstechnik.
6
Wo liegen „kritische“ Informationen - Einfallstore
Speicherorte Wissen:
Informationen
und
BewertungenDaten
und Metadaten:
Informationen
Social
Engineering
Hacking,
Phishing,
…
„Einfallstor Maschine“
„Einfallstor Mensch“
„Einfallstor Räume und Dinge“
Drei Einfallstore:
7
Was ist Social Engineering?
Social Engineering
zwischenmenschliche Beeinflussungen
Ziel: Bei Personen bestimmte Verhalten hervorzurufen:
• Preisgabe von vertraulichen Informationen
• Kauf eines Produktes
• Freigabe von Finanzmitteln.
Social Engineers:
spionieren das persönliche Umfeld ihres Opfers aus
täuschen Identitäten vor
nutzen Verhaltensweisen wie Autoritätshörigkeit aus.
Ziel: geheime Informationen oder unbezahlte Dienstleistungen erlangen.
Social Engineering als Vorbereitung (Social Hacking):
Ziel: Eindringen in ein fremdes Computersystem
8
Drei Methoden des Social Engineering
Computer Based Social Engineering
Beim „Computer-Based Social Engineering“ werden erforderliche Informationen mit
technischen Hilfsmitteln beschafft (Manipulierte Internetseiten, Mailanhänge oder
Popup-Fenster mit Eingabefeldern)
Human Based Social Engineering
Beim „Human-Based Social Engineering“ werden die Informationen auf nicht-
technischem Weg über die soziale Annäherung an Personen beschafft.
Beispiel: Der Angreifer gibt sich als Supportmitarbeiter aus und hinterlässt für
Probleme seine Kontaktdaten. Danach sorgt er für ein Problem mit dem Ziel, dass
das Opfer ihn kontaktiert.
Reverse Social Engineering
Anwender wird dazu gebracht, Informationen freiwillig und aktiv an den Angreifer
zu übermitteln.
9
Mensch als Risikofaktor
Passwörter sind wie Unterhosen:
• Wechseln Sie sie oft
• Teilen Sie sie nicht mit anderen
• Je länger desto besser
• Lassen Sie sie nicht herumliegen
10
Gefahrenpunkt „neue Kultur der Smartphonenutzung“
Attraktive Apps fordern Berechtigungen, die für das Funktionieren offensichtlich
nicht erforderlich sind.
z.B.: Kontaktverzeichnis wird ausgelesen und auf einen Server hochgeladen.
Berechtigungen werden vom Anwender trotz Kenntnis der Bedrohung gegeben.
Rechte Dritter werden damit verletzt.
Prominente Beispiele / Apps:
• Angry Birds
• Whats App
• Taschenlampe
Wie bekommt ein Angreifer Zugriff auf Ihr Ebay-Konto?
Ist das die richtige Frage?
Wie bekommt ein Angreifer Zugriff auf viele beliebige Ebay-Konten?
1. Man nehme ein paar Passwörter aus der Hitliste beliebter Passwörter.
Z.B. „Sommer04“, „Schatzi“, …
2. Man besorge sich über ein Script ein paar tausend Ebay-Nutzernamen
z.B. über die Bewertungen…
3. Man versuche, sich auf jedem mit den Passworten einzuloggen.
Maßnahme, damit man nicht zu den Betroffenen gehört: gutes Passwort.
11
Schutzziele der Informationssicherheit –
Vertraulichkeit, Integrität, Verfügbarkeit
eine bestimmte
Information
dem zuständigen
Anwender
Schutz der
Vertraulichkeit
Unversehrtheit
und
Korrektheit
der Daten
Schutz der
Integrität
zur rechten Zeit
am
rechten Ort
Schutz der
Verfügbarkeit
Informationssicherheit
12
Aufwand und Sicherheitszuwachs
Wichtig ist: Mit Informationssicherheit überhaupt anfangen.
Der größte Zuwachs an Sicherheit wird am Anfang erzielt.
100 % Sicherheit
ist prinzipiell
nicht erreichbar.
Das Risiko
kann lediglich
auf ein
definiertes Maß
gesenkt werden.
BSI Grundschutzkataloge
13
Spannungsdreieck Informationssicherheit
Hohe Sicherheit Große Bequemlichkeit
Geringe Kosten
z.B. Unternehmen
z.B. privat
14
Was ist Risiko?
Risiko = Schadenshöhe x Schadenseintrittswahrscheinlichkeit
Schritte bei der Risikobewertung:
• Schätzung der Schadenshöhe
• Schätzung Schadenseintrittswahrscheinlichkeit
• Bewertung der Risiken in €
Achtung: immaterielle Risiken (Ansehensverlust…) mitbewerten.
15
Risikominimierung 16
Zwei Möglichkeiten der Risikominimierung:
1. Senkung der Schadenshöhe
2. Senkung der Schadenseintrittswahrscheinlichkeit
Reduktion des Risikos auf Null ist nicht möglich.
Ausgaben für Risikominimierung < Risiko (Return of Invest)
Beispiel:
Schaden für einmalige Korrumpierung der Webseite: etwa 10.000 Euro
Auftretenswahrscheinlichkeit einmal pro 2 Jahre.
Jahreskosten für Maßnahmen < 10.000 Euro *0,5 pro Jahr
Letzter Schritt: Risikominimierung durch Sicherheitsmaßnahmen.
Schritte zum Informationssicherheitsmanagement 17
Erfassung des Informationsverbundes
(Topologie, Verfahren und Module)
Feststellung des Schutzbedarfes
Erstellung der Sicherheitsleitlinie
bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/umsetzungshinweise/ISMS/Um
setzungshinweise_zum_Baustein_ISMS_1_Sicherheitsmanagement.html
Maßnahmen Planung
Maßnahmen Implementierung
Überprüfung der Wirksamkeit Initiierung:Projekt
Betrieb:Kontinuierlicher
Verbesserungsprozess
Kontinuierlicher Verbesserungsprozess
Umsetzung
des
PDCA-
Modells
bei der
Erstellung
des
Sicherheits-
konzepts
18
Übungsaufgabe
Problembeschreibung:
Frau Tausendschön, Sachbearbeiterin der kleinen Partnervermittlungsagentur
„Ewige Treue GmbH“ muss einmal im Quartal alle Kundendaten (gut situierte
Personen auf Partnersuche) zum Dienstleister Bermuda-Data-GbR für die
automatisierte Abrechnung schicken. Der Dienstleister möchte die Daten gerne via
Mail bekommen. Bisher hat Frau Tausendschön die Daten als Excel-Datei mit
Namen Kundendaten-Partnervermittlung-ewige-Treue.xls als Mail-Anhang über
ihren privaten Webmail-Account an den Dienstleister verschickt. Der
Firmengründerin von Ewige-Treue-GmbH kommen nun Zweifel, ob Ihren Kunden
das gefällt und bittet Sie (als Berater/in), einmal mit Frau Tausendschön zu
sprechen.
Aufgabe:
Diskutieren Sie:
1.Frage: Wie bewerten Sie das Vorgehen von Frau Tausendschön. Kann mit den
Daten etwas passieren?
2.Frage: Wie würden Sie das Risiko, wenn es eins gibt, abschätzen? (Spekulieren
Sie und machen Sie Annahmen.)
3. Frage: Was schlagen Sie Frau Tausendschön als Maßnahme vor, was sie
zukünftig tun soll?
19
Verständnisfragen
1. Welche drei Schutzziele hat Informationssicherheit?
2. Welche drei sicherheitskritischen "Einfallstore" für Angreifer hinsichtlich
der Informationssicherheit gibt es?
3. In welchen Schritten gelangt man zu
Informationssicherheitsmanagement?
4. Was hat Informationssicherheitsmanagement mit PDCA zu tun?
5. Was ist „Risiko“?
6. Wie kann man die sinnvolle Größenordnung von Investitionen in
Informationssicherheit abschätzen?
20
Literatur und Links 21
[1] Abts/Mülder (2011) Grundkurs Wirtschaftsinformatik . 7. Auflage 2011,
S. 465-467, 471-472, 481-482, 488-489
[2] Hansen, Mendling & Neumann (2019) Wirtschaftsinformatik. De
Gruyter, Berlin. 12. Auflage. S. 381 -436
[3] www.bsi.bund.de, insbesondere
„BSI-Standard 100-1: Managementsysteme für Informationssicherheit
(ISMS)“
[4] Kritische Infrastrukturen
https://www.bbk.bund.de/DE/AufgabenundAusstattung/KritischeInfrastrukt
uren/kritischeinfrastrukturen_node.html
[5] Uwe Baumann, Klaus Schimmer, Andreas Fendel (2005): SAP
Pocketseminar. „Faktor Mensch – Die Kunst des Hackens oder warum
Firewalls nichts nützen“.
22
Prof. Dr. rer. nat. Claus Brell
http://claus-brell.de
https://twitter.com/clausbrell
claus.brell@hs-niederrrhein.de
Texte zur diesen Folien:
https://cbrell.de/blog/informationssicherheitsmanagement/

Weitere ähnliche Inhalte

Was ist angesagt?

Data mining - Introduction générale
Data mining - Introduction généraleData mining - Introduction générale
Data mining - Introduction générale
Mohamed Heny SELMI
 
How to become a Data Scientist?
How to become a Data Scientist? How to become a Data Scientist?
How to become a Data Scientist?
HackerEarth
 
Business Intelligence
Business IntelligenceBusiness Intelligence
Business Intelligence
Lilia Sfaxi
 
Secupi - Veri Maskeleme - Anonimleştirme ve Mantıksal Silme Çözümü
Secupi - Veri Maskeleme - Anonimleştirme ve Mantıksal Silme ÇözümüSecupi - Veri Maskeleme - Anonimleştirme ve Mantıksal Silme Çözümü
Secupi - Veri Maskeleme - Anonimleştirme ve Mantıksal Silme Çözümü
SAYGIN SAMAN
 
Systèmes d'Information dans les organisations
Systèmes d'Information dans les organisationsSystèmes d'Information dans les organisations
Systèmes d'Information dans les organisations
Mansouri Khalifa
 
Data Warehouse Basics
Data Warehouse BasicsData Warehouse Basics
Data Warehouse Basics
Ram Kedem
 
Data Preparation Fundamentals
Data Preparation FundamentalsData Preparation Fundamentals
Data Preparation Fundamentals
DATAVERSITY
 
Introduction à la BIG DATA et l'Intelligence Artificielle
Introduction à la BIG DATA et l'Intelligence ArtificielleIntroduction à la BIG DATA et l'Intelligence Artificielle
Introduction à la BIG DATA et l'Intelligence Artificielle
Medhi Corneille Famibelle*
 
Training Information Asset Owners
Training Information Asset OwnersTraining Information Asset Owners
Training Information Asset Owners
Tommy Vandepitte
 
Metadata Strategies - Data Squared
Metadata Strategies - Data SquaredMetadata Strategies - Data Squared
Metadata Strategies - Data Squared
DATAVERSITY
 
Fraud Prevention
Fraud PreventionFraud Prevention
Fraud Prevention
Gerald Johnson
 
Evaluation du niveau de maturité de la sécurité de l’information (ISAM)
Evaluation du niveau de maturité de la sécurité de l’information (ISAM)Evaluation du niveau de maturité de la sécurité de l’information (ISAM)
Evaluation du niveau de maturité de la sécurité de l’information (ISAM)
Hapsis
 
Business Intelligence : Transformer les données en information.
Business Intelligence : Transformer les données en information.Business Intelligence : Transformer les données en information.
Business Intelligence : Transformer les données en information.
arnaudm
 
IBM Q-radar security intelligence roadmap
IBM Q-radar security intelligence roadmapIBM Q-radar security intelligence roadmap
IBM Q-radar security intelligence roadmap
DATA SECURITY SOLUTIONS
 

Was ist angesagt? (14)

Data mining - Introduction générale
Data mining - Introduction généraleData mining - Introduction générale
Data mining - Introduction générale
 
How to become a Data Scientist?
How to become a Data Scientist? How to become a Data Scientist?
How to become a Data Scientist?
 
Business Intelligence
Business IntelligenceBusiness Intelligence
Business Intelligence
 
Secupi - Veri Maskeleme - Anonimleştirme ve Mantıksal Silme Çözümü
Secupi - Veri Maskeleme - Anonimleştirme ve Mantıksal Silme ÇözümüSecupi - Veri Maskeleme - Anonimleştirme ve Mantıksal Silme Çözümü
Secupi - Veri Maskeleme - Anonimleştirme ve Mantıksal Silme Çözümü
 
Systèmes d'Information dans les organisations
Systèmes d'Information dans les organisationsSystèmes d'Information dans les organisations
Systèmes d'Information dans les organisations
 
Data Warehouse Basics
Data Warehouse BasicsData Warehouse Basics
Data Warehouse Basics
 
Data Preparation Fundamentals
Data Preparation FundamentalsData Preparation Fundamentals
Data Preparation Fundamentals
 
Introduction à la BIG DATA et l'Intelligence Artificielle
Introduction à la BIG DATA et l'Intelligence ArtificielleIntroduction à la BIG DATA et l'Intelligence Artificielle
Introduction à la BIG DATA et l'Intelligence Artificielle
 
Training Information Asset Owners
Training Information Asset OwnersTraining Information Asset Owners
Training Information Asset Owners
 
Metadata Strategies - Data Squared
Metadata Strategies - Data SquaredMetadata Strategies - Data Squared
Metadata Strategies - Data Squared
 
Fraud Prevention
Fraud PreventionFraud Prevention
Fraud Prevention
 
Evaluation du niveau de maturité de la sécurité de l’information (ISAM)
Evaluation du niveau de maturité de la sécurité de l’information (ISAM)Evaluation du niveau de maturité de la sécurité de l’information (ISAM)
Evaluation du niveau de maturité de la sécurité de l’information (ISAM)
 
Business Intelligence : Transformer les données en information.
Business Intelligence : Transformer les données en information.Business Intelligence : Transformer les données en information.
Business Intelligence : Transformer les données en information.
 
IBM Q-radar security intelligence roadmap
IBM Q-radar security intelligence roadmapIBM Q-radar security intelligence roadmap
IBM Q-radar security intelligence roadmap
 

Ähnlich wie Informationssicherheitsmanagment

EN 6.3: 3 Sicherheitsmodelle
EN 6.3: 3 SicherheitsmodelleEN 6.3: 3 Sicherheitsmodelle
EN 6.3: 3 Sicherheitsmodelle
Sven Wohlgemuth
 
Sicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITSicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der IT
Fraunhofer AISEC
 
Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter
A. Baggenstos & Co. AG
 
Werner Panhauser (Helvetia Versicherungen)
Werner Panhauser (Helvetia Versicherungen)Werner Panhauser (Helvetia Versicherungen)
Werner Panhauser (Helvetia Versicherungen)
Praxistage
 
Social Engineering- Wie Soft Skills zur Sicherheitsfalle werden können
Social Engineering- Wie Soft Skills zur Sicherheitsfalle werden könnenSocial Engineering- Wie Soft Skills zur Sicherheitsfalle werden können
Social Engineering- Wie Soft Skills zur Sicherheitsfalle werden könnenLEITWERK AG
 
IT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitIT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-Sicherheit
Filipe Felix
 
Cyber risk
Cyber riskCyber risk
Cyber risk
André Wohlert
 
Sicherheit im Internet
Sicherheit im InternetSicherheit im Internet
Sicherheit im Internet
medien-sprechstunde
 
Enterprise Search Technologien im Dienste der DSGVO / GDPR
Enterprise Search Technologien im Dienste der DSGVO / GDPREnterprise Search Technologien im Dienste der DSGVO / GDPR
Enterprise Search Technologien im Dienste der DSGVO / GDPR
B-S-S Business Software Solutions GmbH
 
Dr. Manfred Wöhrl (Gerichtssachverständiger, Sicherheitsexperte)
Dr. Manfred Wöhrl (Gerichtssachverständiger, Sicherheitsexperte)Dr. Manfred Wöhrl (Gerichtssachverständiger, Sicherheitsexperte)
Dr. Manfred Wöhrl (Gerichtssachverständiger, Sicherheitsexperte)
Praxistage
 
Walter Khom, MBA (bit media e-solutions)
Walter Khom, MBA (bit media e-solutions)Walter Khom, MBA (bit media e-solutions)
Walter Khom, MBA (bit media e-solutions)
Praxistage
 
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securityabtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
bhoeck
 
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
Symantec
 
Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)
Praxistage
 
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorabtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
bhoeck
 
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptx
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptxModul 8 - Externe Krisenauslöser - Technologiekrise.pptx
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptx
caniceconsulting
 
Rethink! ITIS 2016 - Post Event Report
Rethink! ITIS 2016 - Post Event ReportRethink! ITIS 2016 - Post Event Report
Rethink! ITIS 2016 - Post Event Report
Ramona Kohrs
 
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Fujitsu Central Europe
 
Social Engineering
Social EngineeringSocial Engineering
Social Engineering
thetacker
 
Schützen Sie Ihr Unternehmen mit einem mehrstufigen Lösungsansatz für AntiPh...
Schützen Sie Ihr Unternehmen mit einem mehrstufigen Lösungsansatz für AntiPh...Schützen Sie Ihr Unternehmen mit einem mehrstufigen Lösungsansatz für AntiPh...
Schützen Sie Ihr Unternehmen mit einem mehrstufigen Lösungsansatz für AntiPh...
Ivanti
 

Ähnlich wie Informationssicherheitsmanagment (20)

EN 6.3: 3 Sicherheitsmodelle
EN 6.3: 3 SicherheitsmodelleEN 6.3: 3 Sicherheitsmodelle
EN 6.3: 3 Sicherheitsmodelle
 
Sicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITSicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der IT
 
Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter
 
Werner Panhauser (Helvetia Versicherungen)
Werner Panhauser (Helvetia Versicherungen)Werner Panhauser (Helvetia Versicherungen)
Werner Panhauser (Helvetia Versicherungen)
 
Social Engineering- Wie Soft Skills zur Sicherheitsfalle werden können
Social Engineering- Wie Soft Skills zur Sicherheitsfalle werden könnenSocial Engineering- Wie Soft Skills zur Sicherheitsfalle werden können
Social Engineering- Wie Soft Skills zur Sicherheitsfalle werden können
 
IT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitIT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-Sicherheit
 
Cyber risk
Cyber riskCyber risk
Cyber risk
 
Sicherheit im Internet
Sicherheit im InternetSicherheit im Internet
Sicherheit im Internet
 
Enterprise Search Technologien im Dienste der DSGVO / GDPR
Enterprise Search Technologien im Dienste der DSGVO / GDPREnterprise Search Technologien im Dienste der DSGVO / GDPR
Enterprise Search Technologien im Dienste der DSGVO / GDPR
 
Dr. Manfred Wöhrl (Gerichtssachverständiger, Sicherheitsexperte)
Dr. Manfred Wöhrl (Gerichtssachverständiger, Sicherheitsexperte)Dr. Manfred Wöhrl (Gerichtssachverständiger, Sicherheitsexperte)
Dr. Manfred Wöhrl (Gerichtssachverständiger, Sicherheitsexperte)
 
Walter Khom, MBA (bit media e-solutions)
Walter Khom, MBA (bit media e-solutions)Walter Khom, MBA (bit media e-solutions)
Walter Khom, MBA (bit media e-solutions)
 
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securityabtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
 
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
 
Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)
 
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorabtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
 
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptx
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptxModul 8 - Externe Krisenauslöser - Technologiekrise.pptx
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptx
 
Rethink! ITIS 2016 - Post Event Report
Rethink! ITIS 2016 - Post Event ReportRethink! ITIS 2016 - Post Event Report
Rethink! ITIS 2016 - Post Event Report
 
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
 
Social Engineering
Social EngineeringSocial Engineering
Social Engineering
 
Schützen Sie Ihr Unternehmen mit einem mehrstufigen Lösungsansatz für AntiPh...
Schützen Sie Ihr Unternehmen mit einem mehrstufigen Lösungsansatz für AntiPh...Schützen Sie Ihr Unternehmen mit einem mehrstufigen Lösungsansatz für AntiPh...
Schützen Sie Ihr Unternehmen mit einem mehrstufigen Lösungsansatz für AntiPh...
 

Mehr von Claus Brell

Vortrag Substitution Beteiligung KI 200911
Vortrag Substitution Beteiligung KI 200911 Vortrag Substitution Beteiligung KI 200911
Vortrag Substitution Beteiligung KI 200911
Claus Brell
 
Poster brell-kuron-muelder-ki-substituiert-akteurbeteiligung-lwda2020
Poster brell-kuron-muelder-ki-substituiert-akteurbeteiligung-lwda2020Poster brell-kuron-muelder-ki-substituiert-akteurbeteiligung-lwda2020
Poster brell-kuron-muelder-ki-substituiert-akteurbeteiligung-lwda2020
Claus Brell
 
Empirische Methoden 3 Auswertung 200502
Empirische Methoden 3 Auswertung 200502Empirische Methoden 3 Auswertung 200502
Empirische Methoden 3 Auswertung 200502
Claus Brell
 
Empirische Methoden 1 Erkenntnistheorie 200501
Empirische Methoden 1 Erkenntnistheorie 200501Empirische Methoden 1 Erkenntnistheorie 200501
Empirische Methoden 1 Erkenntnistheorie 200501
Claus Brell
 
Wissensmanagement
WissensmanagementWissensmanagement
Wissensmanagement
Claus Brell
 
Projektmanagement 200420
Projektmanagement 200420Projektmanagement 200420
Projektmanagement 200420
Claus Brell
 
Funktionshierarchiebaum 200409
Funktionshierarchiebaum 200409Funktionshierarchiebaum 200409
Funktionshierarchiebaum 200409
Claus Brell
 
Zieldiagramm 200409
Zieldiagramm 200409Zieldiagramm 200409
Zieldiagramm 200409
Claus Brell
 
Baumstruktur 200409
Baumstruktur 200409Baumstruktur 200409
Baumstruktur 200409
Claus Brell
 
Flussdiagramme 200407
Flussdiagramme 200407Flussdiagramme 200407
Flussdiagramme 200407
Claus Brell
 
2 1b-prozessmodellierung-eepk-erweiterung-200406
2 1b-prozessmodellierung-eepk-erweiterung-2004062 1b-prozessmodellierung-eepk-erweiterung-200406
2 1b-prozessmodellierung-eepk-erweiterung-200406
Claus Brell
 
2 1a-prozessmodellierung-epk-einfuehrung-200406
2 1a-prozessmodellierung-epk-einfuehrung-2004062 1a-prozessmodellierung-epk-einfuehrung-200406
2 1a-prozessmodellierung-epk-einfuehrung-200406
Claus Brell
 
Topologien verstehen und erstellen - Methoden der Wirtschaftsinformatik-200329
Topologien verstehen und erstellen - Methoden der Wirtschaftsinformatik-200329Topologien verstehen und erstellen - Methoden der Wirtschaftsinformatik-200329
Topologien verstehen und erstellen - Methoden der Wirtschaftsinformatik-200329
Claus Brell
 
Organigramm - Modellierung mit ARIS 200327
Organigramm - Modellierung mit ARIS 200327Organigramm - Modellierung mit ARIS 200327
Organigramm - Modellierung mit ARIS 200327
Claus Brell
 
Leichter imkern-191110
Leichter imkern-191110 Leichter imkern-191110
Leichter imkern-191110
Claus Brell
 
Wirtschaftsinformatik Basics für Betriebswirte und Ingenieure
Wirtschaftsinformatik Basics für Betriebswirte und IngenieureWirtschaftsinformatik Basics für Betriebswirte und Ingenieure
Wirtschaftsinformatik Basics für Betriebswirte und Ingenieure
Claus Brell
 
Raspberry Pi Lehrerworkshop
Raspberry Pi LehrerworkshopRaspberry Pi Lehrerworkshop
Raspberry Pi Lehrerworkshop
Claus Brell
 
Motivationstheorien 190524
Motivationstheorien 190524Motivationstheorien 190524
Motivationstheorien 190524
Claus Brell
 
Vorgehensmodelle - Methoden der Wirtschaftsinformatik
Vorgehensmodelle - Methoden der WirtschaftsinformatikVorgehensmodelle - Methoden der Wirtschaftsinformatik
Vorgehensmodelle - Methoden der Wirtschaftsinformatik
Claus Brell
 
Webservices - was ist das und wie programmiert man sie
Webservices - was ist das und wie programmiert man sieWebservices - was ist das und wie programmiert man sie
Webservices - was ist das und wie programmiert man sie
Claus Brell
 

Mehr von Claus Brell (20)

Vortrag Substitution Beteiligung KI 200911
Vortrag Substitution Beteiligung KI 200911 Vortrag Substitution Beteiligung KI 200911
Vortrag Substitution Beteiligung KI 200911
 
Poster brell-kuron-muelder-ki-substituiert-akteurbeteiligung-lwda2020
Poster brell-kuron-muelder-ki-substituiert-akteurbeteiligung-lwda2020Poster brell-kuron-muelder-ki-substituiert-akteurbeteiligung-lwda2020
Poster brell-kuron-muelder-ki-substituiert-akteurbeteiligung-lwda2020
 
Empirische Methoden 3 Auswertung 200502
Empirische Methoden 3 Auswertung 200502Empirische Methoden 3 Auswertung 200502
Empirische Methoden 3 Auswertung 200502
 
Empirische Methoden 1 Erkenntnistheorie 200501
Empirische Methoden 1 Erkenntnistheorie 200501Empirische Methoden 1 Erkenntnistheorie 200501
Empirische Methoden 1 Erkenntnistheorie 200501
 
Wissensmanagement
WissensmanagementWissensmanagement
Wissensmanagement
 
Projektmanagement 200420
Projektmanagement 200420Projektmanagement 200420
Projektmanagement 200420
 
Funktionshierarchiebaum 200409
Funktionshierarchiebaum 200409Funktionshierarchiebaum 200409
Funktionshierarchiebaum 200409
 
Zieldiagramm 200409
Zieldiagramm 200409Zieldiagramm 200409
Zieldiagramm 200409
 
Baumstruktur 200409
Baumstruktur 200409Baumstruktur 200409
Baumstruktur 200409
 
Flussdiagramme 200407
Flussdiagramme 200407Flussdiagramme 200407
Flussdiagramme 200407
 
2 1b-prozessmodellierung-eepk-erweiterung-200406
2 1b-prozessmodellierung-eepk-erweiterung-2004062 1b-prozessmodellierung-eepk-erweiterung-200406
2 1b-prozessmodellierung-eepk-erweiterung-200406
 
2 1a-prozessmodellierung-epk-einfuehrung-200406
2 1a-prozessmodellierung-epk-einfuehrung-2004062 1a-prozessmodellierung-epk-einfuehrung-200406
2 1a-prozessmodellierung-epk-einfuehrung-200406
 
Topologien verstehen und erstellen - Methoden der Wirtschaftsinformatik-200329
Topologien verstehen und erstellen - Methoden der Wirtschaftsinformatik-200329Topologien verstehen und erstellen - Methoden der Wirtschaftsinformatik-200329
Topologien verstehen und erstellen - Methoden der Wirtschaftsinformatik-200329
 
Organigramm - Modellierung mit ARIS 200327
Organigramm - Modellierung mit ARIS 200327Organigramm - Modellierung mit ARIS 200327
Organigramm - Modellierung mit ARIS 200327
 
Leichter imkern-191110
Leichter imkern-191110 Leichter imkern-191110
Leichter imkern-191110
 
Wirtschaftsinformatik Basics für Betriebswirte und Ingenieure
Wirtschaftsinformatik Basics für Betriebswirte und IngenieureWirtschaftsinformatik Basics für Betriebswirte und Ingenieure
Wirtschaftsinformatik Basics für Betriebswirte und Ingenieure
 
Raspberry Pi Lehrerworkshop
Raspberry Pi LehrerworkshopRaspberry Pi Lehrerworkshop
Raspberry Pi Lehrerworkshop
 
Motivationstheorien 190524
Motivationstheorien 190524Motivationstheorien 190524
Motivationstheorien 190524
 
Vorgehensmodelle - Methoden der Wirtschaftsinformatik
Vorgehensmodelle - Methoden der WirtschaftsinformatikVorgehensmodelle - Methoden der Wirtschaftsinformatik
Vorgehensmodelle - Methoden der Wirtschaftsinformatik
 
Webservices - was ist das und wie programmiert man sie
Webservices - was ist das und wie programmiert man sieWebservices - was ist das und wie programmiert man sie
Webservices - was ist das und wie programmiert man sie
 

Informationssicherheitsmanagment

  • 1. Mit Wirtschaftsinformatik Wirtschaft neu gestalten. Methoden Von Null auf Hundert Managementmethoden Informationssicherheitsmanagement 1
  • 2. Warum Informationssicherheitsmanagement? 2 Kein Problem. Wir brauchen einfach eine Firewall, dann verbieten wir den Mitarbeitern das Internet und kaufen die Überwachungssoftware “totsicherSuite“ … Was läuft hier falsch? Wir müssen IRGEND ETWAS tun. Man liest ja immer von Hackern und Datenschutzproblemen … Aber wir haben doch gar keine PCs … Brauchen wir das trotzdem? Die unsichere Geschäftsführerin Der IT-Spezialist
  • 3. Warum Informationssicherheitsmanagement Gesetzliche Verpflichtung: • Am 24.7.2015 wurde das IT-Sicherheitsgesetz im Bundesgesetzblatt veröffentlicht. • Am 2.5.2016 wurde die Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) im Bundesgesetzblatt (BGBl. I Nr. 20, S. 958ff.) veröffentlicht. • Anwendungsgebiet: Kritische Infrastrukturen. Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. (Versorgungsunternehmen, Krankenhäuser ... ) Selbstschutz in Unternehmen: Daten sind das Rückgrat der meisten Unternehmen: • Verfügbarkeit • Vertraulichkeit • Integrität (Korrektheit) Informationssicherheitsmanagement, um Risiken in Unternehmen zu mindern. 3
  • 4. Begriffe Informationssicherheit hat als Ziel den Schutz von Informationen jeglicher Art und Herkunft. - Informationen auf Papier - Informationen in Rechnersystemen - Informationen in den Köpfen der Menschen. IT-Sicherheit beschäftigt sich mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung. Informationssicherheit umfasst die IT-Sicherheit. 4
  • 6. Warum nicht nur eine Firewall kaufen? Informationen: - Sind wichtige Werte für Unternehmen. - müssen angemessen geschützt werden. - Viele Informationen werden mit Informationstechnik (IT) erstellt, gespeichert, transportiert oder weiterverarbeitet. - Optimierung des Informationssicherheitsmanagements ist effektiver als Investitionen in Sicherheitstechnik. 6
  • 7. Wo liegen „kritische“ Informationen - Einfallstore Speicherorte Wissen: Informationen und BewertungenDaten und Metadaten: Informationen Social Engineering Hacking, Phishing, … „Einfallstor Maschine“ „Einfallstor Mensch“ „Einfallstor Räume und Dinge“ Drei Einfallstore: 7
  • 8. Was ist Social Engineering? Social Engineering zwischenmenschliche Beeinflussungen Ziel: Bei Personen bestimmte Verhalten hervorzurufen: • Preisgabe von vertraulichen Informationen • Kauf eines Produktes • Freigabe von Finanzmitteln. Social Engineers: spionieren das persönliche Umfeld ihres Opfers aus täuschen Identitäten vor nutzen Verhaltensweisen wie Autoritätshörigkeit aus. Ziel: geheime Informationen oder unbezahlte Dienstleistungen erlangen. Social Engineering als Vorbereitung (Social Hacking): Ziel: Eindringen in ein fremdes Computersystem 8
  • 9. Drei Methoden des Social Engineering Computer Based Social Engineering Beim „Computer-Based Social Engineering“ werden erforderliche Informationen mit technischen Hilfsmitteln beschafft (Manipulierte Internetseiten, Mailanhänge oder Popup-Fenster mit Eingabefeldern) Human Based Social Engineering Beim „Human-Based Social Engineering“ werden die Informationen auf nicht- technischem Weg über die soziale Annäherung an Personen beschafft. Beispiel: Der Angreifer gibt sich als Supportmitarbeiter aus und hinterlässt für Probleme seine Kontaktdaten. Danach sorgt er für ein Problem mit dem Ziel, dass das Opfer ihn kontaktiert. Reverse Social Engineering Anwender wird dazu gebracht, Informationen freiwillig und aktiv an den Angreifer zu übermitteln. 9
  • 10. Mensch als Risikofaktor Passwörter sind wie Unterhosen: • Wechseln Sie sie oft • Teilen Sie sie nicht mit anderen • Je länger desto besser • Lassen Sie sie nicht herumliegen 10 Gefahrenpunkt „neue Kultur der Smartphonenutzung“ Attraktive Apps fordern Berechtigungen, die für das Funktionieren offensichtlich nicht erforderlich sind. z.B.: Kontaktverzeichnis wird ausgelesen und auf einen Server hochgeladen. Berechtigungen werden vom Anwender trotz Kenntnis der Bedrohung gegeben. Rechte Dritter werden damit verletzt. Prominente Beispiele / Apps: • Angry Birds • Whats App • Taschenlampe
  • 11. Wie bekommt ein Angreifer Zugriff auf Ihr Ebay-Konto? Ist das die richtige Frage? Wie bekommt ein Angreifer Zugriff auf viele beliebige Ebay-Konten? 1. Man nehme ein paar Passwörter aus der Hitliste beliebter Passwörter. Z.B. „Sommer04“, „Schatzi“, … 2. Man besorge sich über ein Script ein paar tausend Ebay-Nutzernamen z.B. über die Bewertungen… 3. Man versuche, sich auf jedem mit den Passworten einzuloggen. Maßnahme, damit man nicht zu den Betroffenen gehört: gutes Passwort. 11
  • 12. Schutzziele der Informationssicherheit – Vertraulichkeit, Integrität, Verfügbarkeit eine bestimmte Information dem zuständigen Anwender Schutz der Vertraulichkeit Unversehrtheit und Korrektheit der Daten Schutz der Integrität zur rechten Zeit am rechten Ort Schutz der Verfügbarkeit Informationssicherheit 12
  • 13. Aufwand und Sicherheitszuwachs Wichtig ist: Mit Informationssicherheit überhaupt anfangen. Der größte Zuwachs an Sicherheit wird am Anfang erzielt. 100 % Sicherheit ist prinzipiell nicht erreichbar. Das Risiko kann lediglich auf ein definiertes Maß gesenkt werden. BSI Grundschutzkataloge 13
  • 14. Spannungsdreieck Informationssicherheit Hohe Sicherheit Große Bequemlichkeit Geringe Kosten z.B. Unternehmen z.B. privat 14
  • 15. Was ist Risiko? Risiko = Schadenshöhe x Schadenseintrittswahrscheinlichkeit Schritte bei der Risikobewertung: • Schätzung der Schadenshöhe • Schätzung Schadenseintrittswahrscheinlichkeit • Bewertung der Risiken in € Achtung: immaterielle Risiken (Ansehensverlust…) mitbewerten. 15
  • 16. Risikominimierung 16 Zwei Möglichkeiten der Risikominimierung: 1. Senkung der Schadenshöhe 2. Senkung der Schadenseintrittswahrscheinlichkeit Reduktion des Risikos auf Null ist nicht möglich. Ausgaben für Risikominimierung < Risiko (Return of Invest) Beispiel: Schaden für einmalige Korrumpierung der Webseite: etwa 10.000 Euro Auftretenswahrscheinlichkeit einmal pro 2 Jahre. Jahreskosten für Maßnahmen < 10.000 Euro *0,5 pro Jahr Letzter Schritt: Risikominimierung durch Sicherheitsmaßnahmen.
  • 17. Schritte zum Informationssicherheitsmanagement 17 Erfassung des Informationsverbundes (Topologie, Verfahren und Module) Feststellung des Schutzbedarfes Erstellung der Sicherheitsleitlinie bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/umsetzungshinweise/ISMS/Um setzungshinweise_zum_Baustein_ISMS_1_Sicherheitsmanagement.html Maßnahmen Planung Maßnahmen Implementierung Überprüfung der Wirksamkeit Initiierung:Projekt Betrieb:Kontinuierlicher Verbesserungsprozess
  • 19. Übungsaufgabe Problembeschreibung: Frau Tausendschön, Sachbearbeiterin der kleinen Partnervermittlungsagentur „Ewige Treue GmbH“ muss einmal im Quartal alle Kundendaten (gut situierte Personen auf Partnersuche) zum Dienstleister Bermuda-Data-GbR für die automatisierte Abrechnung schicken. Der Dienstleister möchte die Daten gerne via Mail bekommen. Bisher hat Frau Tausendschön die Daten als Excel-Datei mit Namen Kundendaten-Partnervermittlung-ewige-Treue.xls als Mail-Anhang über ihren privaten Webmail-Account an den Dienstleister verschickt. Der Firmengründerin von Ewige-Treue-GmbH kommen nun Zweifel, ob Ihren Kunden das gefällt und bittet Sie (als Berater/in), einmal mit Frau Tausendschön zu sprechen. Aufgabe: Diskutieren Sie: 1.Frage: Wie bewerten Sie das Vorgehen von Frau Tausendschön. Kann mit den Daten etwas passieren? 2.Frage: Wie würden Sie das Risiko, wenn es eins gibt, abschätzen? (Spekulieren Sie und machen Sie Annahmen.) 3. Frage: Was schlagen Sie Frau Tausendschön als Maßnahme vor, was sie zukünftig tun soll? 19
  • 20. Verständnisfragen 1. Welche drei Schutzziele hat Informationssicherheit? 2. Welche drei sicherheitskritischen "Einfallstore" für Angreifer hinsichtlich der Informationssicherheit gibt es? 3. In welchen Schritten gelangt man zu Informationssicherheitsmanagement? 4. Was hat Informationssicherheitsmanagement mit PDCA zu tun? 5. Was ist „Risiko“? 6. Wie kann man die sinnvolle Größenordnung von Investitionen in Informationssicherheit abschätzen? 20
  • 21. Literatur und Links 21 [1] Abts/Mülder (2011) Grundkurs Wirtschaftsinformatik . 7. Auflage 2011, S. 465-467, 471-472, 481-482, 488-489 [2] Hansen, Mendling & Neumann (2019) Wirtschaftsinformatik. De Gruyter, Berlin. 12. Auflage. S. 381 -436 [3] www.bsi.bund.de, insbesondere „BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS)“ [4] Kritische Infrastrukturen https://www.bbk.bund.de/DE/AufgabenundAusstattung/KritischeInfrastrukt uren/kritischeinfrastrukturen_node.html [5] Uwe Baumann, Klaus Schimmer, Andreas Fendel (2005): SAP Pocketseminar. „Faktor Mensch – Die Kunst des Hackens oder warum Firewalls nichts nützen“.
  • 22. 22 Prof. Dr. rer. nat. Claus Brell http://claus-brell.de https://twitter.com/clausbrell claus.brell@hs-niederrrhein.de Texte zur diesen Folien: https://cbrell.de/blog/informationssicherheitsmanagement/