Enterprise Protection

- Betriebskonzept IT Security –NUBIT 2003

Agenda

• Rechtliche Notwendigkeit• Risikopotential• Entwicklung zur

Integrierten Security Management Lösung• Betriebskonzept IT Security• Umsetzung in einer Gesamtlösung

Rechtliche Notwendigkeit (1)

• § 91, Absatz 2 AktG:Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklung früh erkannt werden kann.

• § 317, Absatz 2 HGB:….. dabei ist auch zu prüfen, ob die Risiken der künftigen Entwicklung zutreffend dargestellt sind

• § 317, Absatz 4, HGB:….. ist außerdem im Rahmen der Prüfung zu beurteilen, ob der Vorstand die ihm nach dem § 91 Abs. 2 desAktiengesetztes obliegenden Maßnahmen in geeigneter Form getroffen hat und ob das danach einzurichtendeÜberwachungssystem seine Aufgaben erfüllen kann.

Rechtliche Notwendigkeit (2)

• Nach der neueren Rechtsprechung des BGH ist der Unternehmensleiter für die Verletzung absolut geschützterRechtsgüter Dritter auch dann einstandspflichtig, wenn diese zwar aus dem Bereich des Unternehmens heraus, aber ohne seine konkrete Beteiligung begangen wurde, soweit ihm ein Organisationsverschulden zur Last fällt

• Definition der Fahrlässigkeit, Gesetzliche Bestimmung in § 276 BGBEntscheidend ist, was ein durchschnittlich besonnener, gewissenhafter Mensch in der konkreten Lage erkannt hätte, und was er gegen die erkannte Gefahr getan hätte“… „Die Sorgfalt, die der durchschnittliche Spezialist walten lässt, ist dann auch der zu erfüllende Maßstab“

Rechtliche Notwendigkeit (3)

• Der EDV-Leiter muß sich darüber informieren, welche Möglichkeiten der Manipulation durch Betriebsangehörige und Betriebsfremde es gibt; er muß ferner dafür sorgen, dass – ggf. durch entsprechende Vorlage bei der Geschäftsführung oder dem Vorstand – Maßnahmen getroffen werden, die nach dem Stand der Technik und unter Berücksichtigung der dem Betrieb zumutbaren Kosten Manipulationen durch Betriebsangehörige und Dritte verhinden“

• Wichtig ist hierbei, das die Haftung des Vorstandes nur entfällt, wenn der ein Früherkennunsgsystem wählt, das soweit nach dem derzeitigen Stand der Technik, Manipulationen Betriebsangehöriger und Dritter verhindert und Risiken der zukünftigen Entwicklung aufzeigt

Risiken aus Sicht der Anwälte

• Ausspähen von Daten durch Dritte• Eindringen Dritter in das eigene Netz• Einschleusen von Viren• Manipulation der Daten durch Dritte• Manipulation der Daten durch

Betriebsangehörige• Unentdeckte Fehler der Software• Crash bei Hard- und Software

Quelle: Rechtsfragen bei der Risikoklassifizierung im Gesamtkomplex des KonTraG, Christoph Becker, Köln 2002

Problem

• Risikomanagement ist Pflicht, aber wie wird es realisiert?

• Wer oder was verdichtet die Security Daten stark und trotzdem sinnvoll?

• Wie kann man sich schützen?• Wann ist man wirklich sicher?• Gesetze sprechen eine eindeutige Sprache

Anforderung & Zielsetzung

DesktopDesktop ServerServer NetzwerkNetzwerk

Schwachstellen –Management

Schwachstellen –Management

Angriffs- und Abwehr –Management

Angriffs- und Abwehr –Management

Security –Management

Security –Management

Entwicklung zuintegrierte

Security ManagementLösungen

IsolierteProdukt - Lösung

IsolierteProdukt - Lösung

IntegrierteSecurity - Lösung

IntegrierteSecurity - Lösung

Enterprise Protection - Betriebskonzept

CEOFührung

CIOIT- Verantwortung

Operative SecurityFachverantwortung / Experte

Revision / AuditRevision / Audit Gesetze / RichtlinienGesetze / Richtlinien

KonTraG

AktG

HGB

Basel II

BSI

BS 7799

ISO 17799

GSH

Sind wir sicher !?Was müssen wir tun?

Definition Richtlinien• Umsetzung• Einhaltung• Abweichung

• Design• Lösung• Schutz

Security - BetriebskonzeptSecurity - Betriebskonzept

Betriebskonzept

SecurityBetriebskonzept

SecurityBetriebskonzept

CEOInformationsbedarf

CEOInformationsbedarf

Revision /Audit

Revision /Audit

CIODefinition Richtlinien

Umsetzung/Einhaltung

CIODefinition Richtlinien

Umsetzung/Einhaltung

GeografischeNetzwerk-Struktur

GeografischeNetzwerk-Struktur

KritischeSysteme

KritischeSysteme

Security:Design, Lösung

Schutz

Security:Design, Lösung

Schutz

ImplementierungImplementierung

BerichtswesenAnalytikBetrieb

BerichtswesenAnalytikBetrieb

CEO / Führung

• Informationsbedarf– Wochenbericht– Monatsbericht– Quartalsbericht– ½ - Bericht– Jahresbericht– Budgetplanung

• Inhalt– Einfach, schnell, verständlich und umfassend– Zustand und Veränderung– Einhaltung von Gesetzten und Richtlinen– Maßnahmen– Besondere Ereignisse

CEO-BerichtCEO-Bericht

Transparenz der vorhanden Sicherheit

Schwachstellen

0

50

100

150

200

250

300

Jan

Mär M

ai Jul

Sep Nov

Monate

An

zah

l High

Medium

Low

Angriffe

0

500

1000

1500

2000

Monate

An

zah

l High

Medium

Low

Angriffe auf Schwachstellen

0

20

40

60

80

100

120

Monate

An

zah

l High

Medium

Low

CIO / IT- Verantwortlicher

• Definition der Unternehmens-Richtlinien

• Umsetzung in Policys

• Analyse der Sicherheit

• Aufgabenzuordnung

• Einhaltung und

Abweichungs-Analytik

• Berichtserstattung

• Maßnahmen

Operative Security / Experten

• Überwachung der Systeme

• Schwachstellenanalytik

• Angriffs-/Erkennung Abwehr

• Korrelations-Analytik

• Kritische Systeme

• Automatisierung

• Fortlaufende Optimierung

Revision / Audit

• Unabhängige Beurteilung der Sicherheit

• Zugang zur Analyse mit Berechtigung

• Individuelle Analytik Möglichkeit

• Bericht

• Empfehlungen &

• Fortlaufende Optimierung

Implementierung

ImplementierungPhasen-Modell

ImplementierungPhasen-Modell

AnalyseAnalyse SchulungTraining

SchulungTraining

DefinitionDesign

DefinitionDesign

EinführungEinführung SupportSupportAbnahmeAbnahme

ISS’ Protection Solutions

Global Management via SiteProtector™

Dynamic Threat Protectiondetect. prevent. respond.

Fragen?