Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der...
Transcript of Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der...
![Page 1: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/1.jpg)
Der Mythos der unverwundbaren Technik –IT-Systeme als Risikofaktor in der Logistik
Tag der Logistik 2014
![Page 2: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/2.jpg)
Agenda
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik2
2 Die IT in der Logistik
3 Gegen was müssen IT-Systeme geschützt werden?
4 Risikoanalyse – Der erste Schritt
5 Wie trägt ein ISMS zur IT-Sicherheit bei?
1 Wer sind wir? Was erwartet Sie?
6 Welche Lösungsansätze gibt es?
7 Unser Vorgehen bei der Umsetzung
![Page 3: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/3.jpg)
Agenda
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik3
2 Die IT in der Logistik
3 Gegen was müssen IT-Systeme geschützt werden?
4 Risikoanalyse – Der erste Schritt
5 Wie trägt ein ISMS zur IT-Sicherheit bei?
1 Wer sind wir? Was erwartet Sie?
6 Welche Lösungsansätze gibt es?
7 Unser Vorgehen bei der Umsetzung
![Page 4: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/4.jpg)
Wer ist A‘PARI Consulting?
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik4
Ursprung
Teamstärke
Kernkompetenz
Erfahrungen
Unsere Kunden
(Auszug)
Sonstiges
Internet
Gründung durch erfahrene Projekt-, Logistik-und IT-Manager im Jahr 2001
10 Mitarbeiter (8 festangestellte, 2 freie MA)
Logistik- und IT-Beratung
ca. 170 Projekte für ca. 60 Kunden aus den Branchen Logistik, IT, Industrie und Handel
Mitautor des LORENZ 2, Leitfaden für Spediteure und Logistiker, Kapitel „Informationstechnologie“
Neutral, produktunabhängig
http://www.apari.de http://blog.apari.de
![Page 5: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/5.jpg)
apsec – Historie und Milestones
Seit 2007: diverse Awards
Firmensitz: Großwallstadt
Mitarbeiteranzahl: 55
apsec gehört zu den Top 15 der deutschen Security-Unternehmen (Quelle: BMWi)
Services: Security Consulting, Softwareentwicklung, Projektmanagement, QS
Data Security-Produkte: Verschlüsselung, Authentisierung, digitale Signatur
Träger des TeleTrusT-Qualitätssiegels
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik5
![Page 6: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/6.jpg)
apsec Kunden (Auszug)
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik6
![Page 7: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/7.jpg)
Welche Bedeutung hat die IT für die Logistik?
Welche Anfälligkeiten gibt es durch die IT und wie kann man diese minimieren?
Was ist der erste Schritt für den Umgang mit Risiken?
Wie kann ein ganzheitlicher Prozess für die IT-Sicherheit aussehen?
Welche Lösungsansätze gibt es, um mit bekannten IT-Risiken umzugehen?
Welche Fragen werden wir in diesem Vortrag beantworten?
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik7
![Page 8: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/8.jpg)
Agenda
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik8
2 Die IT in der Logistik
3 Gegen was müssen IT-Systeme geschützt werden?
4 Risikoanalyse – Der erste Schritt
5 Wie trägt ein ISMS zur IT-Sicherheit bei?
1 Wer sind wir? Was erwartet Sie?
6 Welche Lösungsansätze gibt es?
7 Unser Vorgehen bei der Umsetzung
![Page 9: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/9.jpg)
Die Logistik im Wandel der Zeit
Daten, Daten, Daten
Zu jedem Auftrag gibt es einen elektronischen Datensatz. Ohne diese Daten können Dienstleistungen nicht erbracht werden.
Papiere, Listen, usw.
Die meisten Datensätze exsitieren nur in Papierform. Elektronische Datensätze dienen maximal zur Unterstützung.
Apps, Portale & Co
Kunden verlangen permanente, zu jeder Zeit zugängliche Informationen über ihre Güter (Ort, Temperatur,…)
Fokus auf Transport
Zusätzliche Informationsservices bilden die Ausnahme �Konzentration auf das Kerngeschäft
gestern heute morgen
Verschiebung zum IT-
Provider
Logistikdienstleister werden zum “IT-Provider”. Die IT-Unterstützung macht einen wesentlichen Unterschied zwischen den Dienstleistern aus.
Die Abhängigkeit von IT-Systemen nimmt deutlich zu
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik9
![Page 10: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/10.jpg)
VerkaufDisposition
DokuTransport
Buchhaltung
ControllingAbrechnung
Kunden-
service
Auftrags-
erfassung
Für was braucht man die IT?
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik10
TMS
CRM CRM
Track & Trace
Lademittelverwaltung
Compliance Zoll
Telematik
Kreditlimit
Buchhaltung
/Controlling
Nebensysteme & Schatten-IT
Interne Schnittstelle externe Schnittstelle
![Page 11: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/11.jpg)
Die Abhängigkeit von der ITBeispiel: Sammelladungsspedition
ProzesseAusfall der IT-Unterstützung…
…erhöht Aufwand …erhöht Risiko
DFÜ-Daten von Kunden (Aufträge)
Abholung
Sammelgut-Ausgang
Umschlagslager /Abfertigung
DFÜ-Daten von Partnern
Sammelgut-Eingang
Zustellung
Abrechnung
Jeder Komplettausfall der IT kostet pro Tag min. 50.000€!*
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik11
*Annahme: 100 Mitarbeiter und eine Mehrbelastung von ca. 2 Tagen
![Page 12: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/12.jpg)
Was passiert, wenn die IT ausfällt?
Durch einen Netzwerkausfall kann vom Außenlager nicht auf das zentrale WMS zugegriffen werden. Der Ausfall dauert schon mehrere Stunden. Die Auslieferung verzögert sich.
Durch eine Änderung an der Schnittstelle durch den Softwaredienstleister funktioniert die Zollanbindung nicht mehr. Die Import-Verzollung kann deshalb nicht erfolgen. Die Ware erhält keine Zollfreigabe.
Der Datenbankserver des TMS fällt durch einen Virus aus. Es existiert keine Notfalldokumentation, wie in so einem Fall umgegangen werden muss. Da die Halle „überläuft“, müssen die Sendungen „blind“ verladen werden.
Wie lange ist Ihr Unternehmen ohne IT handlungsfähig?
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik12
![Page 13: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/13.jpg)
Agenda
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik13
2 Die IT in der Logistik
3 Gegen was müssen IT-Systeme geschützt werden?
4 Risikoanalyse – Der erste Schritt
5 Wie trägt ein ISMS zur IT-Sicherheit bei?
1 Wer sind wir? Was erwartet Sie?
6 Welche Lösungsansätze gibt es?
7 Unser Vorgehen bei der Umsetzung
![Page 14: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/14.jpg)
Warum ist die Sicherheit von IT-Systemen nicht trivial?
IT-Systeme in Unternehmen…
sind hoch komplex
eng miteinander
verzahnt
werden mitunter in rauen Umgebungen
eingesetzt
werden mit unterschiedlicher Sorgfalt
benutzt und gewartet
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik14
![Page 15: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/15.jpg)
Wogegen gilt es sich zu schützen
Durch Ihre Nutzung sind IT-Systeme einer breiten Palette von Gefahren ausgesetzt
Höhere Gewalt
• Feuer• Wasser• Blitz• Verschmutzung
Organisatorische Mängel
• Fehlende Regelungen• Fehlende Überwachung /
Monitoring• Unklare Zuständigkeiten
Menschliche
Fehlhandlungen
• Fehlbedienung• Versehentliche Datenlöschung• Schaffung von Schatten-
Infrastrukturen
Technisches Versagen
• Systemausfälle / defekte Komponenten
Vorsätzliche Handlungen
• Manipulation/Diebstahl von Daten
• Vandalismus
Elementare Gefährdungen
• Katastrophen / Großereignisse im Umfeld
• Spionage• Software-Fehler
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik15
Die vorgenannten (nicht vollständigen) Gefährdungs- bzw. Bedrohungskategorien können bei einer � Risikoanalyse als Grundlage oder Basis der Überlegungen dienen.
![Page 16: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/16.jpg)
Agenda
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik16
2 Die IT in der Logistik
3 Gegen was müssen IT-Systeme geschützt werden?
4 Risikoanalyse – Der erste Schritt
5 Wie trägt ein ISMS zur IT-Sicherheit bei?
1 Wer sind wir? Was erwartet Sie?
6 Welche Lösungsansätze gibt es?
7 Unser Vorgehen bei der Umsetzung
![Page 17: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/17.jpg)
Risikoanalyse – der erste Schritt zur Sicherheit in Ihrer IT
Maßnahmen zur Minimierung von Risiken
Einschätzung über die monetären Auswirkungen
von Risiken
Kontinuierliche Erfassung aller möglichen Bedrohungen
Vorgaben zum Umgang mit Bedrohungen und Risiken
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik17
![Page 18: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/18.jpg)
Gefahren, Bedrohungen, Risiken?
Gefahr
Alles, was zu einem Schaden
führen kann
Bedrohung
Ergibt sich aus der Gefahr
und einer Schwachstelle
Risiko
Ergibt sich aus einem
potenziellen Schaden und der
Eintrittswahrscheinlichkeit
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik18
Schwachstelle
Angriffspunkt, über den
eine Gefahr einen Schaden
verursachen kann
![Page 19: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/19.jpg)
Immer komplexere Rahmenbedingungen
Telekomunikationsgesetz
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik19
Compliance
![Page 20: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/20.jpg)
Vorgehen beim Risikomanagement
• Gefahren und Risiken erkennen
• Analyse und Auswertung von Risiken mit einer Bewertungsmatrix
Phase 1
• Steuerung der Risiken (Risikoreduzierung und –akzeptanz)
• Definition der Maßnahmen für den weiteren Umgang
Phase 2
• Implementieren und Dokumentieren der definierten Maßnahmen
Phase 3
• Überprüfung der Wirksamkeit aller Maßnahmen
• Ggf. Anpassung des Risikomanagement-Prozesses für die nächsten Durchläufe
Phase 4
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik20
Risiken
Bedrohungen
Gefahren
Schwachstellen
Risikomanagement ist ein permanenter Prozess
![Page 21: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/21.jpg)
Wie kann eine Bewertungsmatrix aussehen?
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik21
Auswirkung
selten1%
Ein
trit
tsw
ahrs
che
inlic
hke
it
1% 1% 1% 0%
25% 20% 16% 6%
62% 50% 38% 16%
80% 64% 50% 20%
100% 80% 62% 25%
unwahrschein-lich25%
möglich62%
wahrscheinlich80%
sicher100%
drastisch100%
bedeutend80%
mäßig62%
gering25%
0%
0%
1%
1%
1%
unwesentlich1%
![Page 22: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/22.jpg)
Risikomanagement – Ein Beispiel
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik22
RisikoVerant-
wortlich
Wahrschein
-lichkeit
Auswirk-
ungenAuswirkungen (monetär) Gegenmaßnahmen
Ausfall der Stromversorgung (kompletter Serverraum)
Facility Manager
62% 100% ~15.000 € pro StundeImplementierung USV~ 5000 €
Feuer im ServerraumFacility Manager
25% 100%Ersatzbeschaffung und Neuinstallation aus Backups ~750.000 €
Co-Rechenzentrum bei Cloud-Anbieter~15.000 € pro Monat
SpionageGeschäfts-führung
1% 80%Verlust von kritischen Daten undggf. Kunden~ 1.000.000 €
Keine ganzheitliche Maßnahme möglich. Risiko wird durch GF getragen
Diebstahl von Endgeräten (Vertrieb)
IT-Leiter 25% 62%Ersatzbeschaffung und erforderliche Maßnahmen~ 7.500 €
Versicherung der Hardware (keine Daten und Aufwände)~ 250 €
Manipulation von Daten (Abrechnung /Fibu)
Datenschutzbe-auftragter
25% 62%Aufdeckung der Quelle und Auswirkungen sowie Beseitigung~ 500.000 €
Einführung eines Rechtesystems zum Verhindern von illegalen Zugriffen ~ 25.000 €
Ausfall einer Netzwerkverbindung (WAN)
IT-Leiter 80% 62%Schaden und Nacharbeit~ 10.000 € pro Stunde
Einsatz einer zweiten WAN-Verbindung (anderer Provider)~ 300 € pro Monat
Schadprogramme (produktive Server)
IT-Leiter 62% 62%Wiederherstellung aus Backups und Nachpflege von Daten~ 20.000 € pro System
Virenschutz und regelmäßige Backups einführen �reduziert die Eintrittswahrscheinlichkeit~ 250 € pro System
![Page 23: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/23.jpg)
Agenda
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik23
2 Die IT in der Logistik
3 Gegen was müssen IT-Systeme geschützt werden?
4 Risikoanalyse – Der erste Schritt
5 Wie trägt ein ISMS zur IT-Sicherheit bei?
1 Wer sind wir? Was erwartet Sie?
6 Welche Lösungsansätze gibt es?
7 Unser Vorgehen bei der Umsetzung
![Page 24: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/24.jpg)
Die Risikoanalyse ist erfolgt – und dann?
Der erste Schritt ist getan (Risikoanalyse).
Erste Schwachstellen wurden identifiziert und ggf. geschlossen.
Und jetzt – fertig?
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik24
![Page 25: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/25.jpg)
Die nächsten Schritte …
Gültigkeit definieren / auf das Gesamtunternehmen ausweiten
Schaffung einheitlicher Grundlagen
Schulung, Awareness
NachvollziehbarkeitKontinuierlicher Prozess, Überwachung ?
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik25
![Page 26: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/26.jpg)
Das Ziel
ISMS
(Information
Security
Management
System)
![Page 27: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/27.jpg)
ISMS - Definition
Das Information Security Management System (ISMS, engl. für „Managementsystem für Informationssicherheit“) ist eine Aufstellung von Verfahren und Regeln innerhalb eines Unternehmens, welche dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.“
Quelle: http://de.wikipedia.org/wiki/ISMS
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik27
![Page 28: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/28.jpg)
ISMS Inhalte
„… eine Aufstellung von Verfahren und Regeln …“� Dokumentierte Regelwerke, Vorgaben, Strukturen und Prozesse
„… innerhalb eines Unternehmens …“� implementiert im gesamten Unternehmen (oder sinnvoll abgegrenzt)� von der Geschäftsleitung initiiert und getragen� Unternehmensweit gültige Grundlagen und Definitionen
„… die Informationssicherheit dauerhaft zu definieren, zu steuern, zu
kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern …“� kontinuierlicher Prozess� keine Einmal-Aktionen
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik28
![Page 29: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/29.jpg)
British Standards
InstituteISO 27001
Bundesamt für
Sicherheit in der
Informations-
technologie
IT-Grundschutz
ISMS – Implementierungshilfen
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik29
![Page 30: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/30.jpg)
Angemessenheit• Internat. Normen vorhanden, definieren
nur den Rahmen des Systems• Freie Gestaltungsmöglichkeiten
Anpassbarkeit• Ein ISMS muss sich dem Unternehmen
anpassen, nicht das Unternehmen dem ISMS
ISMS – die Fakten
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik30
Modular• Initiale Grundlagen nötig• Schrittweiser Aus- und Aufbau möglich
![Page 31: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/31.jpg)
Agenda
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik31
2 Die IT in der Logistik
3 Gegen was müssen IT-Systeme geschützt werden?
4 Risikoanalyse – Der erste Schritt
5 Wie trägt ein ISMS zur IT-Sicherheit bei?
1 Wer sind wir? Was erwartet Sie?
6 Welche Lösungsansätze gibt es?
7 Unser Vorgehen bei der Umsetzung
![Page 32: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/32.jpg)
Lösung für den Umgang mit Risiken
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik32
groß
Wahrscheinlichkeit
gering
niedrig hoch
Sch
ad
en
swe
rt
Akzeptieren Vermindern
Transferieren Vermeiden
![Page 33: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/33.jpg)
Beispiel: Betrieb - Welche Lösungsszenarien gibt es?
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik33
Intern
Vollständiger eigener
Betrieb der Infrastruktur
Infrastruktur und Prozesse auf aktuellem Stand halten
Anforderungen und Maßnahmen müssen bekannt sein
Eigenverantwortung für die komplette IT
Cloud
Cloud-Dienste als
strategische Grundlage
Nutzung von standardisierten Diensten
Individuallösungen sind schwer umsetzbar
Verschlüsselung der Daten vor und während dem Transport notwendig
Vollständige Abgabe der Betriebsverantwortung für die
Systeme
Hybrid
Teilweise Nutzung von
Cloud-Diensten
Integration von Cloud-Diensten in die bestehenden Systeme
Prozess-Integration für den Betrieb (Schnittstellen)
Abgabe von Betriebsverantwortlichkeiten für
definierte Bereiche
Verantwortung für die Sicherheit bleibt immer bei der eigenen Unternehmensleitung
![Page 34: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/34.jpg)
VerkaufDisposition
DokuTransport
Buchhaltung
ControllingAbrechnung
Kunden-
service
Auftrags-
erfassung
Welche Systeme bieten sich für die Cloud an
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik34
TMS
CRM CRM
Track & Trace
Lademittelverwaltung
Compliance Zoll
Telematik
Kreditlimit
Buchhaltung
/Controlling
![Page 35: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/35.jpg)
1 Wo liegen die Daten physikalisch?
2 Wird ein Ansprechpartner für das Thema IT-Sicherheit genannt?
3 Welche Kunden sind bereits bei diesem Dienstleister?
4 Ist der Dienstleister zertifiziert (IT-Grundschutz, ISO27001, ISO9000, …)?
5 Ist die Verbindung zum ext. Dienstleister verschlüsselt?
Die Cloud ist sicher – sicher?
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik35
Folgende Aspekte können bei der Entscheidung für eine Auslagerung in die „Cloud“ relevant sein:
![Page 36: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/36.jpg)
Agenda
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik36
2 Die IT in der Logistik
3 Gegen was müssen IT-Systeme geschützt werden?
4 Risikoanalyse – Der erste Schritt
5 Wie trägt ein ISMS zur IT-Sicherheit bei?
1 Wer sind wir? Was erwartet Sie?
6 Welche Lösungsansätze gibt es?
7 Unser Vorgehen bei der Umsetzung
![Page 37: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/37.jpg)
Unser Vorgehen
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik37
Risiken und Potenziale erkennen
Maßnahmen planen
Umsetzung
� Durchführung eines Workshops mit den relevanten Mitarbeitern*
� Analyse der IT Prozesse (nach Kriterien von ITIL und ISO 27001)
� SWOT-Analyse
� Benchmarking der IT Prozessreife
� Erstellung einer Gesamt-bewertung der IT Prozessreife
� Erkennung von Risiken
� Definition der Handlungsfelder
* IT Verantwortliche, Process Owner füroperative und administrative Prozesse,
Key-User
� Priorisierung der Handlungsfelder
� „ad-hoc-Maßnahmen“
� Erstellen eines Aktivitätenplans
� Handlungsfelder
� Definition der Aktivitäten
� Gewünschtes Ergebnis
� Verantwortlichkeiten
� Termine
� Unterstützung bei der Durchführung
� Begleitung bei offenen Fragen
� Projektmanagement
� Abschlussbewertung der Umsetzung
![Page 38: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/38.jpg)
Ablauf der Analyse
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik38
StandortbestimmungIm Vorfeld erhalten Sie einen Fragebogen zur aktuellen Situation im Bereich IT Organisation, IT Prozesse und IT Sicherheit. Dieser dient uns für eine erste Einschätzung der Ausgangslage.
Fragebogen Workshop
DetailanalyseAnhand von detaillierten Checklisten (ITSM durch ITIL und IT Sicherheit durch ISO27001) bewerten wir zusammen mit Ihnen und Ihren Mitarbeitern die aktuelle Situation Ihrer IT Prozesse und der Risikenen in der IT.
Auswertung
MaßnahmenplanZusammen mit Ihnen erstellen wir anhand unserer Detailanalyse einen Maßnahmenplan für die weitere Umsetzung. Zudem erhalten Sie einen Überblick über die Stärken und Schwächen Ihrer IT.
![Page 39: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/39.jpg)
Haben Sie Handlungsbedarf in Ihrem Unternehmen? Testen Sie es jetzt!
Checkliste – Bestandsaufnahme
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik39
Ist bei Ihnen ein Risikomanagment (-prozess) für die IT vorhanden?
Ja Nein
Sind alle kritischen Systeme bekannt und gesondert dokumentiert?
Sind Ihre Daten klassifiziert nach Wichtigkeit für Ihr Unternehmen sowie dem Schutzbedarf?
Sind die verantwortlichen Personen für die IT-Sicherheit bekannt?
Werden die Mitarbeiter regelmäßig gemäß ihrer Tätigkeiten geschult?
![Page 40: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/40.jpg)
Checkliste – Ziele
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik40
Sind alle Vorgaben (rechtlich und durch Kunden) bekannt und dokumentiert?
Ja Nein
Sind die Unternehmensziele für die IT-Sicherheit definiert?
Sind die Ziele den Mitarbeitern und Dienstleistern bekannt?
Werden die Ziele regelmäßig überprüft und aktualisiert?
![Page 41: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/41.jpg)
Checkliste – Prozesse
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik41
Wird die IT-Sicherheit als permanenter Prozess gelebt?
Ja Nein
Werden die IT-Sicherheitsprozesse regelmäßig auf ihre Wirksamkeit überprüft? (interne/externe Audits)
Werden die Mitarbeiter in das Thema IT-Sicherheit eingebunden?
Ist das Commitment für IT-Sicherheit bei Führungskräften und Mitarbeitern vorhanden?
Konnten Sie alle Fragen mit „Ja“ beantworten? Wenn nicht, kontaktieren Sie uns. Wir unterstützen Sie gerne.
![Page 42: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/42.jpg)
5 abschließende Fakten
Ausfälle der IT sind äußerst kostspielig und können die Existenz des Unternehmens gefährden
Ein ganzheitliches Risikomanagement ist dringend angeraten
IT-Sicherheit ist ein kontinuierlicher Prozess
Logistikunternehmen sind abhängig von der IT
Handlungsfelder und Lösungen sind individuell zu definieren
10.04.2014Der Mythos der unverwundbaren Technik –
IT-Systeme als Risikofaktor in der Logistik42
![Page 43: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten](https://reader036.fdocument.pub/reader036/viewer/2022070909/5f902c6f7703620135533479/html5/thumbnails/43.jpg)
Sprechen Sie uns an!
Claus MöhlerDirector Consulting & IT
Alexander HoppeSenior Consultant IT