T-Governance
besteht aus Führung, Organisationsstrukturen und Prozessen:
—>sicherstellen, dass die IT die Unternehmensstrategie und –ziele unterstützt.
Managementaufgabe 1: Risiken und Maßnahmenfestlegen
Managementaufgabe 2: Wirksamkeit und Aktualität prüfen
Managementaufgabe 3: Risikokontrolle
- Sind kritische Anwendungen bekannt?
- Sind Risiken identifiziert?
- Vorkehrungen gegen Viren und Trojaner?
—————-
- Sind die Sicherheitsmaßnahmen noch aktuell?
- Sind Mitarbeiter und Führungskräfte ausreichend sensibilisiert und trainiert?
- Risikokontrolle gemäß Anforderungen des KonTraG (Gesetz zur Kontrolle und
Transparenz im Unternehmen)
IT-Sicherheitsgesetz
Allgemeine Sicherheitsmaßnahmen
- Regelmäßige Software-Updates und Sicherheits-Patches
- Vertragliche Verpflichtung von Werbedienstleistern zu Schutzmaßnahmen
- Anwendung sicherer Verschlüsselungs- und Authentifizierungsverfahren
Für Webseitenbetreiber
- Sicherstellen, dass kein unerlaubter Zugriff auf technische Einrichtungen möglich ist
- Schutz personenbezogener Daten und Störungssicherung
- Maßnahmen müssen technisch möglich und wirtschaftlich zumutbar sein
- Gesetz gibt keine konkreten Maßnahmen vor
Entpersonalisierung von Daten bei Big-Data
Privacy Enhancing Technologies (PET)
“Privacy by Design” bzw. “Data Protection by Design”
- Schutz der Privatsphäre durch ICT-Maßnahmen, die persönliche Daten reduzieren oder unnötige Verarbeitung verhindern, ohne die Funktionalität des Systems zu beeinträchtigen.
- Maßnahmen: Verschlüsselung, sichere/anonyme Kommunikation, attributbasierte Berechtigungsnachweise, private Recherchemöglichkeiten.
- Reduzierung der IKT-Risiken.
- Entwicklung datenschutzfreundlicher Systeme und Dienste
- Kombination technischer und organisatorischer Ansätze sowie Geschäftsmodelle
- Trotz EU-DSGVO unklare Implementierungsanforderungen
IT-Sicherheitsstandards
—> Nutzeffekte
Methoden und Anforderungen an ein leistungsfähiges Managementsystem für
IT-Sicherheit
Sicherheitsmaßnahmen und Checklisten für deren Implementierung
—> - Kostensenkung durch praxiserprobte Modelle (z.B. BSI-Grundschutz)
- Angemessenes Sicherheitsniveau durch aktuelle Standards und Technik
- Wettbewerbsvorteile durch IT-Sicherheitszertifikate in Vergabeverfahren
Bestimmung von Informationswerten VERTRAULICHKEIT
0 öffentlich
1 extern
2 intern
3 vertraulich
Informationskategorien
(0) Öffentlich
- Intern/Kunden/Partner
- Finanzieller Verlust: 0 - 5.000€
- Möglicher Bruch von Gesetzes- oder Vertragsbedingungen
(1) Externer Gebrauch
- Finanzieller Verlust: ??? - ???
(2) Interner Gebrauch
- Nur intern
- Hoher finanzieller Schaden bei Gesetzes-/Vertragsbruch
- Vertrauensbruch kann Personenschäden verursachen
(3) Vertraulich
- Finanzieller Verlust: mehr als ???
- Gesetzesbruch kann zu Strafverfolgung/Gefängnis führen
- Informationsverlust kann zu schweren Verletzungen oder Todesfällen führen
Bestimmung von Informationswerten INTEGRITÄT
0 keine
1 normal
2 hoch
Schweregrade
(0) Keine:
Finanzieller Verlust unter ???.
(1) Normal:
Finanzieller Verlust zwischen ??? und ???. Gesetzes- oder Vertragsbruch mit finanzieller Auswirkung möglich. Mögliche Personenschäden.
(2) Hoch:
Finanzieller Verlust über ???. Gesetzesbruch kann Haftstrafe nach sich ziehen. Mögliche Personenschäden oder Verlust von Menschenleben.hren
Bestimmung von Informationswerten VERFÜGBARKEIT
0 basis
3 sehr hoch
4 außergewöhnlich
Verfügbarkeit
1. Basis (0)
- Finanzieller Verlust: gering
- RTO: > 1 Woche
2. Normal (1)
- Finanzieller Verlust: gering bis mittel
- RTO: < 1 Woche
- Möglicher Imageschaden
3. Hoch (2)
- Finanzieller Verlust: mittel
- Möglicher Schaden für Image oder Kundenbeziehungen
4. Sehr hoch (3)
- Finanzieller Verlust: mittel bis hoch
- Ernsthafter Imageschaden oder Kundenverlust
5. Außergewöhnlich (4)
- Spezielle Kundenvereinbarungen außerhalb der obigen Kategorien
Disziplinen des Risikomanagements
Risikomanagement: Begriffe
Schwachstelle
Bedrohung
Risikoszenario (nach ISO 27001/27005) oder Gefährdung (nach BSIGrundschutz)
Schwachstelle:
Verwundbarer (vulnerable) Punkt eines IT-System, durch den Sicherheitsziele
umgangen werden können
Bedrohung:
liegt vor, wenn darauf abgezielt wird, eine oder mehrere Schwachstellen eines
IT-Systems zu nutzen, die zu einem Verlust der Authentizität, der Verfügbarkeit,
der Vertraulichkeit oder der Integrität führen
Risikoszenario (nach ISO 27001/27005) oder Gefährdung (nach BSIGrundschutz):
liegt vor, wenn eine Bedrohung auf eine Schwachstelle trifft
Bedrohungsmodellierung
STRIDE
6 Kategorien an Sicherheitsrisiken und Bedrohungen
Spoofing
Tampering
Repudiation
Information disclosure
Denial of service
Elevation of privilege
- Für "Threat Modeling" entwickelt
- Erkennung von Systembedrohungen
- Analyse von Prozessen, Datenspeichern, Datenflüssen und Vertrauensgrenzen
- Spoofing: Identitätsverschleierung (Bruch der Authentizität)
- Tampering: Manipulation (Bruch der Integrität)
- Repudiation: Abstreiten/Verleugnung (Bruch der Nichtabstreitbarkeit/Nachvollziehbarkeit)
- Information Disclosure: Datenpanne/Offenlegung (Bruch der Vertraulichkeit)
- Denial of Service: Dienstverweigerung (Bruch der Verfügbarkeit)
- Elevation of Privilege: Rechteausweitung (Bruch der Autorisierung)
Risikomanagement
ISMS – Informations-Sicherheit-Management-System
Wichtige Aufgaben eines ISMS sind:
- die Formulierung von (Sicherheits-)Zielen
- die Bestimmung der Assets
- die Risikobeurteilung
- die Risikobehandlung
- die kontinuierliche Verbesserung
ISO2700X oder BSI-200-X
ISO 27001 - Leitlinie Sicherheitsleitlinie
ISO 27001
ISO 27001 - Begriffe
ISO 27001 - Risiken
ISO 27001 - Risikobehandlung
ISO 27001: Controls / Maßnahmen
- Dokumentation von Zielen, Zuständigkeiten, Ressourcen, etc.
- Abstraktes „Management-Dokument“
- Sicherheitsziele: Vertraulichkeit, Integrität, Verfügbarkeit
- Vertraulichkeit: Nur autorisierte Personen haben Zugang zu Informationen
- Integrität: Nur autorisierte Änderungen an Daten erlaubt
- Verfügbarkeit: Daten, Systeme und Dienste müssen schnell und für autorisierte Zwecke verfügbar sein, akzeptable Verzögerungen erlaubt
———————————————————————-
Assets: Alles von Wert für eine Organisation (z.B. Grundstücke, Gebäude, Maschinen, Geschäftsprozesse, Daten, Systeme, Anwendungen, IT-Services, Image, Kreditwürdigkeit).
Ereignis (Event): Änderung des Zustands in der Informationsverarbeitung im Rahmen der Risikobeurteilung.
Sicherheitsereignis (Security Event): Hat Auswirkungen auf die Sicherheit.
Sicherheitsvorfall (Security Incident): Ereignis mit hoher Wahrscheinlichkeit für Sicherheitsauswirkungen.
Sicherheits-Notfall: Sicherheitsvorfall mit gravierenden oder katastrophalen Auswirkungen auf die Sicherheit.
Risiko:
- Eintritt von Sicherheitsereignissen in der Informationssicherheit.
- Kombination aus Eintrittswahrscheinlichkeit und Schadenhöhe.
- Tritt auf, wenn Schwachstellen durch fehlende, ungeeignete oder fehlerhafte Sicherheitsmaßnahmen vorhanden sind.
Risikoidentifizierung:
- Ermittlung von Risiken für Informationswerte im Anwendungsbereich des ISMS.
- Durchführung in Zusammenarbeit mit Verantwortlichen (Asset/Risk Owner).
Risikoanalyse:
- Abschätzung von Schadenhöhe und Eintrittshäufigkeit für jedes Risiko.
- Einordnung in Risikoklassen.
Risikobewertung:
- Bewertung der Auswirkungen eines Risikos auf die Organisation.
- Einstufung der Risiken (z.B. TOLERABEL, MITTEL, HOCH, KATASTROPHAL).
- Umfasst Risikoidentifizierung, Risikoanalyse und Risikobewertung.
————————————————————————
Typische Optionen zur Risikobehandlung sind:
- Risikoakzeptanz: Man übernimmt das Risiko ohne Maßnahmen.
- Risikoverlagerung: Verlagerung an einen sicheren Ort oder Versicherung.
- Risikoreduktion: Einsatz von Sicherheitsmaßnahmen.
- Risikobeseitigung: Änderung oder Einstellung des risikoreichen Prozesses.
—————————————————————
Kontrollanforderungen und Vorgehensweise:
- Organisationen müssen alle relevanten Sicherheitsanforderungen erfüllen.
- Wenn eine Anforderung als irrelevant betrachtet wird, muss dies begründet werden.
Praktische Schritte:
1. Erstellen einer Tabelle mit 114 Controls in der ersten Spalte.
2. Hinzufügen einer Spalte für jedes Top-Level-Asset.
3. Eintragen der Relevanz jedes Controls für jedes Asset.
4. Dient als zentraler Baustein für die Risikobehandlung.
5. Kostenschätzungen für geplante Maßnahmen werden in den Genehmigungsprozess integriert.
6. Zusammenfassung der Daten im Statement of Applicability (SoA).
Sicherheitskonzept
technische und organisatorische Maßnahmen
- Physische Absicherung von Gebäuden
- Technische Absicherung von Netzschnittstellen
- Umgang mit klassifizierten Informationen
- Identitäts- und Berechtigungsmanagement
- Kryptographische Maßnahmen
- Datensicherung
- Erkennung und Abwehr von Schadsoftware
Erstellung eines IT-Sicherheitskonzeptes
Schnittmengen Informationssicherheits- & Datenschutzmanagement
Schutzziele IS / DS
Integration DSMS mit ISMS
- Integration bietet Synergien: Sensibilisierungsmaßnahmen, Dokumentation von TOMs, einheitliche Prozesse.
- ISMS deckt Rechenschaftspflichten nach Art. 5 Abs. 2 EU-DSGVO: Zuständigkeiten, Qualifikationen, Richtlinien, Berichtswesen.
- Trennung verursacht doppelte Funktionen und Dokumentationsaufwände.
- Integration von Datenschutzmaßnahmen wirtschaftlicher bei bestehendem ISMS.
- Nachweisbares Managementsystem stärkt Vertrauen von Geschäftspartnern und Kunden.
Informationelle Selbstbestimmung"?
das Recht des Einzelnen, grundsätzlich selbst über die Preisgabe und die Verwendung
seiner personenbezogenen Daten zu bestimmen
—>Jede(r) entscheidet selbst, welche persönlichen Daten in welcher Form
verwendet werden dürfen
—>Einschränkungen von diesem Grundrecht bedürfen einer gesetzlichen
Grundlage
DSGVO BEgriffe
Personenbezogene Daten:
Daten, die eine Person identifizieren (z.B. Kontaktdaten, Standort, IP-Adressen).
Datenverarbeitung:
Jede Tätigkeit mit persönlichen Daten (z.B. Erhebung, Speicherung, Nutzung, Löschung).
Datensubjekt/Betroffener:
Die identifizierbare Person, auf die die Daten sich beziehen.
Verantwortlicher/Controller:
Person oder Einrichtung, die über Zwecke und Mittel der Datenverarbeitung entscheidet.
Verarbeiter/Processor:
Person oder Einrichtung, die Daten im Auftrag des Verantwortlichen verarbeitet.
Einwilligung:
Einwilligung nach DSGVO ist eine freiwillige, informierte und unmissverständliche Zustimmung zur Verarbeitung personenbezogener Daten durch eine klare Handlung oder Erklärung.
Incident Response Management:
Die EU-DSGVO fordert die Dokumentation und Meldung von Datenschutzvorfällen an die Aufsichtsbehörde innerhalb von 72 Stunden bei Risiko für Betroffene. Hohe Risiken müssen den Betroffenen unverzüglich mitgeteilt werden.
Last changed6 months ago