IT auf Grossbaustellen - Security und Compliance
-
Upload
mmi-consult -
Category
Technology
-
view
145 -
download
0
description
Transcript of IT auf Grossbaustellen - Security und Compliance
IT auf Großbaustellen
XING Event 3:
Security und Compliance
Montag 07.04.2014, 10:30 – 11:15
Manfred Meise – Geschäftsführer ([email protected])
© mmi consult GmbH 2005 - 2014
Über uns und über mich …
IT auf Großbaustellen
mmi consult GmbH
IBM Business Partner der ersten Stunde
Anwendungslösungen für den Mittelstand
Beratung, Schulung, Lösungsbausteine
Branchenschwerpunkt: Großbaustellen (ARGEn)
http://www.baustellen-it.de
Manfred Meise, Dipl. Ing (FH)
Geschäftsführender Gesellschafter
IT Berater / Trainer seit mehr als 25 Jahren
zertifizierter IBM Produktspezialist
Betreuung internationaler Baustellenprojekte
© mmi consult GmbH 2005 - 2014
Agenda
1. Security und Compliance der Baustellen-IT: Risikoabschätzung und -bewertung
2. Technische Maßnahmen zum Schutz von Systemen und Daten
3. Rechtlicher Rahmen für den Betrieb der Baustellen-IT4. Organisatorische Maßnahmen:
Was müssen Bauleitung und Mitarbeiter beachten?5. Die tägliche Gradwanderung:
Vorgaben einhalten - Handlungsfähigkeit behalten
IT auf Großbaustellen
Security und Compliance der Baustellen-IT: Risikoabschätzung und -bewertung
© mmi consult GmbH 2005 - 2014
Datenschutz wird leider zu gering bewertet …
IT auf Großbaustellen
© mmi consult GmbH 2005 - 2014 IT auf Großbaustellen
Begriffsdefinitionen: Worum geht es eigentlich?
Vertraulichkeit
Daten dürfen lediglich von autorisierten Benutzern gelesen bzw. modifiziert werden
gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der Datenübertragung
Integrität
Daten dürfen nicht unbemerkt verändert werden
bzw. es müssen alle Änderungen nachvollziehbar sein
Verfügbarkeit
Verhinderung von Systemausfällen
der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet werden
Compliance
Einhaltung von Verhaltensmaßregeln, Gesetzen und Richtlinien
Einhaltung vertraglicher Vereinbarungen mit dem Bauherrn
© mmi consult GmbH 2005 - 2014
Bedrohungen der IT Sicherheit
IT auf Großbaustellen
Bedrohung
Effekte und Ziele
Systemausfall
Missbrauch
Sabotage
Spionage
Betrug
Diebstahl
Ursache oder Mittel
Höhere Gewalt
Fehlbedienung
Malware
Vortäuschung falscher Identität
DoS
Man in the middle
Social Engineering
Gegenmaßnahmen
Management
Firewalls
Authentifizierung
Autorisierung
Verschlüsselung
Signaturen
…
© mmi consult GmbH 2005 - 2014 IT auf Großbaustellen
Bedrohung + Schwachstelle = Gefährdung
Eine Bedrohung allein ist wirkungslos
Eine Bedrohung bei Ausnutzung
vorhandener Schwachstellen richtet
Schaden am Schutzobjekt an
Durch gezielte Gegenmaßnahmen
werden Schachstellen „gestopft“. Das
Risiko für Schaden wird reduziert oder
„auf Null“ gesetzt
© mmi consult GmbH 2005 - 2014
Risikomanagement
Risikoidentifikation:
Bestimmung relevanter Assets (Prozesse, IT-Systeme, Personen, Daten)
Bestimmung der Bedrohungen
Bestimmung der Verwundbarkeiten
Risikoanalyse:
Ermittlung Eintrittswahrscheinlichkeiten
Ermittlung potenzieller Schadensauswirkungen
Risikobewertung:
Priorisierung zu festgestellten Risiken
Risikobehandlung
Wie gehen wir mit den einzelnen Risiken um?
Umgang mit dem Restrisiko
IT auf Großbaustellen
Technische Maßnahmen zum Schutz von Systemen und Daten
© mmi consult GmbH 2005 - 2014
Existierende Empfehlungen und Best Practices
IT auf Großbaustellen
Bundesamt für Sicherheit in der Informationstechnik (BSI)
IT Grundschutz Kataloge:
http://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/inhalt_node.html
ITIL®
Risk Management
http://wiki.de.it-processmaps.com/index.php/Risikomanagement
Availability Management
http://wiki.de.it-processmaps.com/index.php/Availability_Management
Information Security Management
http://wiki.de.it-processmaps.com/index.php/IT_Security_Management
Compliance Management
http://wiki.de.it-processmaps.com/index.php/Compliance_Management
Incident Management
http://wiki.de.it-processmaps.com/index.php/Incident_Management
Erfahrungen aus eigenen Projekten
Architekturentwürfe und Checklisten
© mmi consult GmbH 2005 - 2014
Ausgewählte Maßnahmen für Baustellen
IT auf Großbaustellen
Infrastruktur
Zugangskontrolle, Einbruchsschutz
Blitz- und Brandschutz
fachgerechte und redundante Primärverkabelung
Hardware und Software
Spiegelung / Clustering
Datenschutzprogramme
Virenschutzprogramme
Zugriffskontrolle und –protokollierung
Verwendung von Einmalpasswörtern
Kommunikation
Firewalls (Portfreigaben)
Verschlüsselung (SSL)
Perimeternetze / VLAN (z.B. für Wohncontainer)
Notfallvorsorge
Notfallplan / -konzept
Alternative Stromversorgung
Prüfung der Wiederherstellbarkeit von Beriebsumgebungen nach Sicherheitsvorfällen
Erfassen und Dokumentieren von Sicherheitsvorfällen
u.v.m.
Rechtlicher Rahmen für den Betrieb der Baustellen-IT
© mmi consult GmbH 2005 - 2014 IT auf Großbaustellen
Was müssen wir alle berücksichtigen?
Internationales und nationales Datenschutzrecht
regelt die informationelle Selbstbestimmungen und geschützte Geheimnisse
bindent für alle IT Systeme sofern sie nicht ausschließlich privat genutzt werden
Schutz vor Missbrauch, unberechtigter Einsicht oder Verwendung, Änderung oder Verfälschung
Schutz personenbezogener oder persönlicher Daten
Fernmeldegeheimnis (Telekommunikationsgeheimnis), Brief- und Postgeheimnis
Strafrechtliche Verfolgung bei Verletzung
Nachweis- und Auskunftspflichten (Compliance)
GDPdU-konforme Aufbewahrung von Buchhaltungsrelevanten Informationen (Abgabenordnung)
Einhaltung von Handelsgesetzen (z.B. EHUG)
Bautagebuch nach Honorarordnung für Architekten und Ingenieure (HOAI)
Geldbußen bis Mißachtung
Vermeidung von Computerkriminalität
Betrug
Sabotage
Software Piraterie
Fälschung
Ausspähen von Daten
Strafrechtliche Verfolgung bei Verletzung
....
© mmi consult GmbH 2005 - 2014
Wer ist für die Einhaltung verantwortlich?
IT auf Großbaustellen
Geschäftsführer
haftbar
Datenschutzbeauftrager
Aufsicht
Weisungsbefugnis
Systemadministratoren
Einhaltung von Datenschutzverpflichtung
Gewährleistung der Vertraulichkeit (Zugangsmöglichkeit zu allen Informationen)
Mitarbeiter
Informationspflicht
Zustimmungsregelung
Einhaltung von Compliance-Regeln
Organisatorische Maßnahmen: Was müssen Bauleitung und Mitarbeiter beachten?
© mmi consult GmbH 2005 - 2014 IT auf Großbaustellen
Datenschutz organisatorisch umsetzen
Datenschutzbeauftragte bestellen
intern / extern
Fachliche Eignung und Aufgaben sind gesetzlich geregelt
http://www.gesetze-im-internet.de/bdsg_1990/__4f.html
http://www.gesetze-im-internet.de/bdsg_1990/__4g.html
Verstöße unverzüglich melden
Geschäftsführer/Projektleiter
Datenschutzbeauftragter
Daten nur in gesicherten Umgebungen speichern
Keine public Cloud Plattformen
Keine USB Sticks mit nach Hause nehmen
Keine Datensicherung auf Medien, die frei zugänglich sind
Zugänglichkeit von Daten einschränken und festlegen
klare Prozesse zur Festlegung von Berechtigungen
auswertbare Dokumentation über Veränderungen an Berechtigungen
Vertretungsregelungen vorsehen
Wichtige Funktionen im Rahmen des Datenschutzes müssen mehrfach belegt sein
© mmi consult GmbH 2005 - 2014 IT auf Großbaustellen
Datenschutz organisatorisch umsetzen … (2)
Datenschutzvereinbarung erstellen und mit jedem Mitarbeiter abschliessen
Rechte / Pflichten darlegen
Zustimmungen für Zustimmungsregelungen einholen (z.B. Entbinden von Telekommunikationsgeheimnis)
Compliance Regeln festschreiben
Stichproben und Protokolle sind erforderlich
Gewohnheitsrecht vermeiden
Regelung zur Verwendung von Email für private Zwecke
Urheberrechte gewährleisten und rechtlich nicht unbedenkliche Inhalte verhindern
Nutzung von Internet
Passwortverwendung
Individuell und Personenbezogen
Regelmäßige Änderung
Zuwiderhandlungen / Verletzungen ahnden
Ignoranz der Verletzung „kann teuer werden“
3rd Party Trust
Externe Administration zur Wahrung des Vertrauenschutzes innerhalb der ARGE
….
Die tägliche Gradwanderung: Vorgaben einhalten - Handlungsfähigkeit behalten
© mmi consult GmbH 2005 - 2014
Beispiele: IT Sicherheit erhöhen
IT auf Großbaustellen
Behandlung von Kennwörtern
Benutzerkennwörter
Individuell – nicht zu einfach
Nicht weitergeben / nicht aufschreiben
Regelmäßig ändern
Administrative Kennwörter
dokumentieren (verschlossen aufbewahren)
herausgabe dokumentieren
Regelmäßig ändern
BYOD SmartPhones und Tablets
Fernmeldegeheimnis und Schutz privater Daten
MDM Lösung mit getrennten Bereichen für geschäftliche / private Daten
Remote Wipe bei Diebstahl oder Ausscheiden von Mitarbeitern
Helpdesk
Hilfestellung für Benutzer
Verletzung des Datenschutzes
Datensicherungen
Automatisierte Backups
Speicherung der Daten in der privaten Cloud
Physikalische Sicherheit erhöhen, Umwelteinflüsse ausschliessen
Verwendung von Cloudbasierten Sytemen
Nutzung zertifizierter kommerzieller Rechenzentren
Virenschutz
Flächendeckend einsetzen
© mmi consult GmbH 2005 - 2014
Beispiele: Compliance gewährleisten
IT auf Großbaustellen
Datenschutzvereinbarung
Mit jedem Mitarbeiter abschließen
„Spielregeln“ festlegen
Mailsignaturen
Müssen rechtlich bindende Angaben enthalten
Lizenzverwaltung für Software
Nur legal erworbene Software einsetzen
Regelmäßige Erhebungen
Vollzugriffsberechtigung auf Daten
nur für Mitarbeiter ausserhalb der ARGE Gesellschafter
Datenschutzbeauftragten bestellen
Intern/extern
© mmi consult GmbH 2005 - 2014
Offene Fragen
Audit
Wie ist eine Baustelle aufgestellt?
Kurzfristiger Maßnahmenkatalog
Schulung
Alle Baustellenmitarbeiter sensibilisieren/informieren
Datenschutzvereinbarung
Inhalt
Nachträglich abzuschließen
Wer kümmert sich darum?
Expertise im eigenen Haus vorhanden?
Externe Unterstützung
Aktivitäten sind Teil des ITSM Konzeptes
Siehe Webcast vom 24.03.2014
http://www.baustellen-it.de/cms/web.nsf/id/pa_xing02_de.html
IT auf Großbaustellen
© mmi consult GmbH 2005 - 2014
Unsere nächsten Webcast-Themen
XING Event 1: Die besondere Herausforderung
Besonderheiten von Großbaustellen
Modelle für ITK Infrastrukturen
Erfahrungen
Slides: http://de.slideshare.net/mmi-consult/it-auf-grobaustellen-32029533
XING Event 2: IT Betrieb für Baustellen
Zuständigkeiten
Prozesse für Einrichtung und Support
Best practices Ansätze
Slides: http://de.slideshare.net/mmi-consult/it-auf-grobaustellen-2
XING Event 4: Welche Anwendungslösungen benötigt jede Großbaustelle
Email, Kalender, Kontakte
Dateiablagen, Planverwaltungen
Vertragsmanagement
IT auf Großbaustellen
© mmi consult GmbH 2005 - 2014
weitere Informationen und Kontakte …
IT auf Großbaustellen
mmi consult gmbh
Manfred Meise
Hartriegelweg 24
D-85551 Kirchheim b. München
Telefon: +49 89 904 801-50
Telefax: +49 89 904 801-51
Mobil: +49 172 810 7732
http://www.baustellen-it.de
http://www.site-office-it.com
eMail: [email protected]