IT-Sicherheit
Sicher ist, dass nichts sicher ist !!!
IT-Sicherheit
Sicher ist, dass nichts sicher ist !!!
Cyber-Kriminalität
„Allein die direkten Kosten, die durch Cybercrime entstehen, sind größer als jene, die der Handel von Kokain, Heroin und Marihuana gemeinsam erzeugen. Eine genaue Aussage zu finanziellen Schäden lässt sich aufgrund der hohen Dunkelziffer mangels Daten kaum erstellen.“
(Jörg Ziercke, ehemaliger BKA-Präsident)
Viele Angriffe verlaufen erfolgreich, weil die Angreifer:
- zum einen immer professioneller werden und zum anderen
- auf Rahmenbedingungen treffen, die Sie zu ihrem Vorteil nutzen
Die zunehmende Vernetzung von Informationstechnik ermöglicht:
- Angriffe aus der Distanz
- von nahezu jedem Ort der Welt und
- zu jedem Zeitpunkt
- auf immer mehr Ziele
Ein Angreifer muss sich dadurch keinen unmittelbaren Risiken vor Ort aussetzen!
IT-Sicherheit der Systeme
Die zunehmende Komplexität der Technik und oftmals fehlendes Sicherheitsbewusstsein führen zu unzureichend abgesicherten Systemen. Damit erhöhen sich automatisch die Erfolgsaussichten für Cyber-Angriffe.
- Der sorglose Informationsaustausch über das Internet und der „Always-On„-Status vieler Systeme erleichtern den Zugriff auf schützenswerte Informationen
- Das dezentral und offen gestaltete Internet bietet für Angreifer vielfältige Möglichkeiten der Tarnung, die das Risiko entdeckt zu werden, minimieren.
- Unterschiede in nationalen Regularien erschweren Maßnahmen der Strafverfolgung
Informationssicherheitsmanagementsystem nach ISO 27001
ISMS – engl.: Information Security Management System
Ein ISMS ist eine Aufstellung von Verfahren(Prozessen) und Regeln innerhalb eines Unternehmens, welche dazu dienen, Informationssicherheit dauerhaft
- aufzubauen,
- zu verwirklichen,
- aufrechtzuerhalten und
- fortlaufend zu verbessern.
(vergl. ISO/IEC 27001: 2013 Kap. 4.4)
Risikomanagement
Die Zukunft von unternehmerischen Entscheidungen und Handeln sind nicht vorhersehbar und deshalb nicht ohne Risiko möglich.
Im Risikomanagement wird so weit als möglich Transparenz über die bestehenden Risiken geschaffen und abgewogen, wo in welchen Prozessen Unsicherheiten und Gefahren einen möglichen Erfolg unkontrollierbar überwiegen.
Bekannte Normen zum Risikomanagement sind:
- ISO 27005: Information Security Risk-Management (Management von Sicherheitsrisiken)
- ISO 31000: Risk Management
- BSI-Standard-200-3: Risikoanalyse auf der Basis von IT-Grundschutz
- BSI-Standard-100-4: im Rahmen des Notfallmanagements
Notfallmanagement nach BSI 100-4
Ziel des Notfallmanagements als Teil des Business Continuity Managements (BCM)
- ein geplantes und organisiertes Vorgehen, um auf Schadensereignisse angemessen zu reagieren,
- die Wiederaufnahme von wichtigen Geschäftsprozessen bei dauerhaftem Ausfall und
- die Sicherung der wirtschaftlichen Existenz des Unternehmens