studie informationssicherheit oesterreich itsecx 2013

Informationssicherheit in Österreich

Eine Studie zur Informationssicherheit in österreic hischenUnternehmen 2013

Philipp Reisinger, BSc.

[email protected]

Informationssicherheit in Österreich - Eine Studie zur Informationssicherheit in österreichischen Unternehmen 2013 | IT-SeCX 2013 | Philipp Reisinger | 08.11.2013

Inhalt

� Nutzen Studien Informationssicherheit

� Studien im Bereich Informationssicherheit

� Ziele

� Key Facts und Aufbau

� Limitations

� Vorstellung Detail Ergebnisse

� Future Ideas

� Links


Nutzen Studien Informationssicherheit

� Im digitalen Zeitalter durchdringende Nutzung IKT� steigenden Nutzung und Abhängigkeit von IT und Daten/Informationen

� Informationssicherheit Thema von hoher Bedeutung für Unternehmen

� Studien zur Informationssicherheit sind Mangelware (besonders in Österreich)

� Wenige Zahlen zu Risiken, Vorfällen und allgemeinen Informationssicherheitssituation

� Wenige Informationen zur eigenen Einschätzung der Unternehmen in Bezug auf Informationssicherheit

� Resultate von Studien

� Zahlen zur Informationssicherheit liefern

� für Unternehmen eine wertvolle Hilfe sein, um die eigene Sicherheitslage richtig einzuschätzen

� als Vergleichs/Informationsquelle dienen


Studien im Bereich Informationssicherheit

� Einige weltweite Studien

� CSI: Computer Crime and Security Survey

� Ernst & Young: Global Information Security Survey

� PWC,CIO Magazine, CSO Magazine: Global State of Information Security Survey

� Deloitte: Global Security Survey & Global Security Study for theTechnology, Media & Telecommunications (TMT) Industry

� Kes, Microsoft: <kes>/Microsoft-Sicherheitsstudie

� Details und Ergebnisse in Bachelorarbeit beschrieben


Studien im Bereich Informationssicherheit

� Studien in Österreich

� L.I. Kurki Diplomarbeit: Informationssicherheit in österreichischen klein- und mittelständischen Unternehmen

� Technische Universität Wien und Universität Wien: DAMON -Monitoring zur Datensicherheit in Österreich

� ASF: IT-Security in Österreich 2008

� Details und Ergebnisse in Bachelorarbeit beschrieben


Aussagekraft für Österreich

� Weltweite Studien generell einige Limitations � auf sehr große Unternehmen bezogen/ausgerichtet

� andere geographische Regionen mit anderen Rahmenbedingungen

� Viele großen Studien besitzen � eher beschränkte Aussagekraft für den Standort Österreich

� In Österreich� Diplomarbeit 2006 � nicht mehr ganz aktuell, teilweise weniger tiefe

� DAMON � aktuell, umfangreich, nicht frei verfügbar , leicht anderer Scope

� ASF Studie nicht frei verfügbar , mittlerweile Auflösung des ASF

� Bedarf einer aktuellen Studie zum Thema der derzeitigen Situation der Informationssicherheit in österreichischen Unternehmen durchaus gegeben


Ziele

� Aktuelle Zahlen zur Informationssicherheit in Österreich

� Bewusstsein in österreichischen Unternehmen in Bezug zur Informationssicherheit erheben� was ist deren Stellenwert

� eigene Einschätzung der Unternehmen zu Nutzung und Abhängigkeit von IT und Daten

� derzeitige Situation beschreiben

� Technischen und organisatorischen Aufstellung� derzeit umgesetzt Maßnahmen/Tools/Prozesse

� in Planung befindliche Maßnahmen/Tools/Prozesse


Key Facts und Aufbau

� Erheben der Informationssicherheitssituation in Österreichischen Unternehmen

� Online-Umfrage, Anfang 2013

� 19 fachspezifischen Fragen, 5 Fragen zur Demografie

� 47 Teilnehmerinnen und Teilnehmer

� 5 Themenbereiche

� Gründe/Motivation für IS, Bedrohungen - Standards und Hemmnisse

� Abhängigkeit von der IT/Schutzwürdigkeit von verarbeiteten Informationen -Stellenwert der IS

� Aktuelle Situation im Unternehmen - Informationssicherheits-Policy, Richtlinien, Evaluierung der Informationssicherheit, Beratung, Vorfälle

� „Trendthemen“ - mobile Geräte/BYOD, Cloud/Outsourcing, Virtualisierung, Mitarbeiter-Awareness

� Technische und organisatorische Aufstellung der Unternehmen


Limitations

� Faktoren die die Aussagekraft der Studie beschränken� relativ kleine Stichprobe

� Schlüsse auf die Gesamtsituation der Informationssicherheit in Österreich nicht zulässig

� Bias , sehr spezifische Studie, eher von Unternehmen mit gewissen IT-/Informationssicherheits Bezug beantwortet

� Verzerrung der Ergebnisse (Über-/Unterrepräsentation von Unternehmen gewisser Größe/Branche, IT-Affinität möglich), Gesamtsituation eventuell „anders“ bzw. „schlechter“

� Antworten ohne Unterstützung abgegeben

� Möglichkeit der Unter-/Überschätzung

� Umfang Kompromiss Genauigkeit/Detailtiefe und der für die Ausfüllung benötigten Zeitdauer

� nicht alle Themen „tief“ behandelt


Vorstellung Detail Ergebnisse

� Kurzzusammenfassung

� Thema Informationssicherheit grundsätzlich durchaus im Blickder meisten Unternehmen

� große Mehrheit der Befragten der Wichtigkeit von korrekten Daten und Informationen sowie der

� Abhängigkeit von der eigenen IT bewusst

� Bezüglich technischer und organisatorischer Maßnahmen

� grundlegende Maßnahmen wie Firewalls, Virenschutz, Backup-und Wiederherstellungsprozeduren sowie Patch- und Update-oder Identitäts- und Zugriffsmanagement beinahe durchgängigvorhanden

� in Bezug auf weiterreichendere oder speziellere Systeme und Maßnahmen, sowie deren Qualität/Reifegrad, ein differenzierteres Bild


Wichtigkeit Informationssicherheit


Schutzw ürdigkeit Daten


Abh ängigkeit IT

� Wie lange dürften grundlegende IT Systeme ausfallen, ohne, dass das Unternehmen einen hohen Schaden erleidet


Gründe Informationssicherheit


Hemmende Faktoren Informationssicherheit


IS-Policy und Verantwortlichkeiten


Richtlinien und Vorgaben


Vorfälle im vergangenen Jahr


Mobile Geräte und BYOD


Nutzung Cloud und Outsourcing


Virtualisierung


Awareness Aktivitäten


Technische Ma ßnahmen


Organisatorische Ma ßnahmen


Future Ideas

� Studie bietet gute Ausgangsbasis

� Informationssicherheitssituation in Österreich in Form einer noch größeren (Stichprobenumfang) und umfangreicheren Studie mit mehr Detailtiefe

� in darauffolgenden Jahren zu untersuchen

� Eventuell regelmäßig durchführen, um Entwicklungen und Trends zu erkennen

� Unternehmen dazu bringen und unterstützen , sich mit tiefergehenden Aspekten des unbestreitbar sehr wichtigen Themas der Informationssicherheit auseinanderzusetzen


Links

� Studie selbst:� http://www.fhstp.ac.at/forschung/institute_bereiche/institutfueritsicherheitsforsc

hung/unsereschwerpunkte/Informationssicherheit_Osterreich_2013_v2.pdf

� Berichte:� http://www.fhstp.ac.at/studienangebot/bachelor/is/studie-zur-

informationssicherheit-in-osterreich-2013

� http://www.computerwelt.at/news/technologie-strategie/security/detail/artikel/studie-ueber-informationssicherheit-in-oesterreich/

� https://www.onlinesicherheit.gv.at/sicherheitsforschung/news/96174.html

� Vorkmerkung zukünftige Studie� bei Interesse/Bereitschaft Teilnahme zukünftige Studie � gerne e-mail an

mich (Philipp Reisinger) - [email protected]

� Größere Teilnehmeranzahl führt zu mehr Aussagekraft


Fragen?


Danke

� Vielen Dank für Ihr Interesse


Informationssicherheit im Allgemein

� Informationssicherheit - CIA

� Aufrechterhaltung Vertraulichkeit, Integrität und Verfügbarkeit von Informationen

� digitalen Zeitalter , durchdringende Nutzung IKT

� Unternehmen in Ihren Geschäftsprozessen korrekt funktionierenden IT-Systemen abhängig

� Informationen und Daten Basis der Geschäftstätigkeiten

� IT-Systeme und Firmendaten Vielzahl von Bedrohungenausgesetzt

� Informationssicherheit Schutz von Daten und IT-Systemen

� gewährleisten eines stabilen und reibungslosen Betrieb

studie informationssicherheit oesterreich itsecx 2013

Internet