In Sammlung (en) In der gespeicherten
  1. Ingenieurwissenschaft
  2. Informatik
  3. Datenbank

Digitale Risiken und Schadenszenarien Die deutsche Perspektive

Werbung 
Digitale Risiken und
Schadenszenarien
Die deutsche Perspektive
Robin Kroha
Director Corporate Security Management
HiSolutions AG http://hisolutions.com/
Vertrauliche Informationen können in Minuten zu einer
Krise führen – und das Vertrauen von Kunden zerstören.
00 13
hh
mm
© 2012, HiSolutions AG | Digital Risks for Lloyd's 2
And now for something completely different:
Das BDSG und seine öffentliche Wirkung seit 2008
© 2012, HiSolutions AG | Data Risks Consulting 3
Die Lage ist grundsätzlich ernst.
Die Zahl der Schwachstellen nimmt
ab.
Angriffe auf Webanwendungen
haben sich verdoppelt.
Ca. 24% aller Schwachstellen in
kommerziellen Anwendungen
haben eine Schwere von 8-10 …
von 10.
Ca. 86% der Webanwendungen
sind mit Einschleusungen
angreifbar.
Bausätze für Angriffe über das Web
bleiben beliebt.
© 2012, HiSolutions AG | Data Risks Consulting 4
Der Paradigmenwechsel wurde vor Jahren verkündet.
Er ist jetzt da.
© 2012, HiSolutions AG | Digital Risks for Lloyd's 5
Die Auswirkungen des Paradigmenwechsels für Sie?
Angriffsziel: Kreditkartendaten
Angriffsvektor: Bürocomputer mit
Finanzinformationen in einem Hotel
Angriffswerkzeug: Trojanisches Pferd mit
Fernbedienung
Beute: Kreditkartennummern und -gültigkeiten
Angriffskosten: US$ 280 für den Code
Verteidigung: Keine – derzeit findet kein
Antivirus die Schadanwendung
© 2012, HiSolutions AG | Data Risks Consulting 6
Es stehen eine Vielzahl an Infiltrationsmethoden für
gezielte Angriffe zur Verfügung.
Unsicheres X.25 Interface 0,4%
Directory Traversal 0,4%
Böswillige Insider 0,4%
Physischer Zugriff 1,1%
Autorisierungsfehler 2,3%
Remote File Inclusion 2,7%
Admin Interference 4,2%
SQL Injektion
6,9%
Infiltrationsmethoden
Remote Access Application
61,7%
Unbekannt
19,9%
Quelle: TrustWave 2012 Global Security Report
© 2012, HiSolutions AG | Digital Risks for Lloyd's 7
Datenverlust hat nachhaltige Auswirkungen auf die
Unternehmen.
Session-Hijacking 2%
Link Spam 3%
Account-Übernahme 4%
Fehlinformation 7%
Informationsleck
34%
Finanzieller Schaden
7%
Auswirkung
Malware-Einsatz
9%
Entstellung
10%
Nutzungsausfall
24%
Quelle: Web Hacking incident Database. The Web
Application Security Consortium (webappsec.org)
© 2012, HiSolutions AG | Digital Risks for Lloyd's 8
Ein typischer Krisenfall beginnt mit einem gezielten
Angriff und zieht öffentliche Aufmerksamkeit auf sich.
© 2012, HiSolutions AG | Digital Risks for Lloyd's 9
Ein typischer Krisenfall beginnt mit einem gezielten
Angriff und zieht öffentliche Aufmerksamkeit auf sich.
Angriff
Erpressung
Problem:
Problem:
• Erkennung und Erstreaktion
• Koordinierung der Aktivitäten mit den
Behörden zum Schutz der
Unternehmenswerte
Lösung:
• IT-Forensik
Lösung:
Nutzen:
• Schnellere Reaktion
• Bessere Beweismittel
• Schnellere Rückkehr in den
Normalbetrieb
• IT-Krisenmanagementorganisation
Nutzen:
• Rechtsverstöße vermeiden
• Missbrauch minimieren
• Professionelles Wissen nutzen
© 2012, HiSolutions AG | Digital Risks for Lloyd's 10
Ein typischer Krisenfall beginnt mit einem gezielten
Angriff und zieht öffentliche Aufmerksamkeit auf sich.
Medien
Öffentlichkeit
Problem:
Problem:
• Interne Quellen
• Web 2.0
• Analyse der Interesseneigner
• Krisenkommunikation
Lösung:
Lösung:
• Keine - außer Investitionen in
Mitarbeiter, eine starke Marke und die
Wahrnehmung als guter Arbeitgeber.
• Integriertes Management von
Sicherheitsrisiken
Ansatz:
Nutzen:
• Bewusstsein für das Thema schaffen
und Mitarbeiter aktiv in relevante
Prozesse einbinden kostet wenig und
schafft großen Nutzen.
• Integriertes SRM schützt die gesamte
Wertschöpfungskette
• Risikominimierende Maßnahmen
erhöhen die Widerstandsfähigkeit des
Gesamtunternehmens
© 2012, HiSolutions AG | Digital Risks for Lloyd's 11
Vielen Unternehmen fehlen grundlegende
Organisationsstrukturen, Dokumentation – und Technik
© 2012, HiSolutions AG | Data Risks Consulting 12
Vielen Unternehmen fehlen grundlegende
Organisationsstrukturen, Dokumentation – und Technik
Angriff
Medien
• Informationen durch forensische
Analysen qualifizieren
• Sicherheitslücke(n) schließen
• Geschäftsbetrieb wiederherstellen
• Interne Ermittlungen unterstützen
• Stakeholder informieren
• Basis-FAQ nutzen
Erpressung
Öffentlichkeit
• Krisenstab organisieren
• Krise managen
• Medien beobachten und Reaktion
vorbereiten
• Juristische Einschätzung der
Situation unterstützen
• Medien intensiv bearbeiten
• Hotline einrichten
• Juristische und ethische Folgen
© 2012, HiSolutions AG | Digital Risks for Lloyd's 13
Si vis pacem – Vorbereitung ist der beste Schutz
© 2012, HiSolutions AG | Digital Risks for Lloyd's 14
Prävention: Krisenmanagement jenseits von Entführung
Krisenstabsübungen
Information
SecurityKrisenplan
Information SecurityKrisenplan
Problem:
Problem:
Problem:
• Krisenreaktion
dann
effektiv,
wenn
•Krisen
werden inist
den
ersten
Minuten
die Teams eingespielt sind
entschieden
•Krisen werden in den ersten Minuten
entschieden
Lösung:
Lösung:
Lösung:
• HiSolutionserstellt
entwirft,
moderiert
und
•HiSolutions
einen
InfoSecwertet Krisenstabsübungen aus
Krisenplan
•HiSolutions erstellt einen InfoSecKrisenplan
Nutzen:
Nutzen:
Nutzen:
• Das HiSolutions
KSÜ-Rahmenwerk
•Unternehmen
können
schneller und ist
standardkonform
erlaubt sinken;
planvoll
reagieren – und
die Schäden
Übungen
derhochqualitative,
Plan kann auchkomplexe
Grundlage
für einen
auch für schmale
Budgets
allgemeinen
Krisenplan
sein
•Unternehmen können schneller und
planvoll reagieren – die Schäden sinken;
der Plan kann auch Grundlage für einen
allgemeinen Krisenplan sein
© 2012, HiSolutions AG | Digital Risks for Lloyd's 15
Prävention: Management setzt Technik voraus
Penetrationstests
Schulung Erstreaktion
Problem:
Problem:
• Schwachstellen in Internet- und WebAuftritten werden zum Einfallstor für
Angreifer
• Ungeschulte IT-Administratoren
zerstören Spuren und Beweismittel,
Aufklärung und Eindämmung werden
schwierig bis unmöglich
Lösung:
• HiSolutions untersuchen die IT des
Unternehmens auf mögliche
Angriffspunkte
Lösung:
• Aus- oder Weiterbildung der ITAdministratoren in IT-forensischer
Erstreaktion
Nutzen:
• Ein ausführlicher Prüfbericht listet alle
Befunde auf und gibt Handlungsanleitungen für die Beseitigung der
Probleme
Nutzen:
• Das Unternehmen wird schon
handlungsfähig bevor ggf. ForensikExperte eintrifft
© 2012, HiSolutions AG | Digital Risks for Lloyd's 16
Wir danken für Ihre Aufmerksamkeit.
© 2012, HiSolutions AG | Data Risks Consulting 17
HiSolutions ist ein geheimschutzbetreuter, zertifzierter
Sicherheitsdienstleister mit über 15 Jahren operativer
Erfahrung.
© 2012, HiSolutions AG | Hiscox Haftpflichttage 18
HiSolutions AG
Bouchéstraße 12
D-12435 Berlin
Fon: +49 30 533289-0
Fax: +49 30 533289-900
www.hisolutions.com
Kontakt
Robin Kroha
Corporate Security Management/Krisenmanagement
Director
[email protected]
Frank Rustemeyer
System Security/Forensik
Director
[email protected]
.com
© 2012, HiSolutions AG | Corporate Security Management 19
Zugehörige Unterlagen
Medienmitteilung 14. Januar 2016 (321,54 KB/PDF)
Medienmitteilung 14. Januar 2016 (321,54 KB/PDF)
Risiko kalkulieren und versichern
Risiko kalkulieren und versichern
Elisabeth Thausing: Das Liedschaffen von Franz Schubert und
Elisabeth Thausing: Das Liedschaffen von Franz Schubert und
Andrew Lloyd Webber Jesus Christ Superstar Eine Rock
Andrew Lloyd Webber Jesus Christ Superstar Eine Rock
Link-Liste - MWV Seminare
Link-Liste - MWV Seminare
delta lloyd l sicav - Delta Lloyd Asset Management
delta lloyd l sicav - Delta Lloyd Asset Management
Robert Hueber beruflich Werbung und Marktkommunikation
Robert Hueber beruflich Werbung und Marktkommunikation
Der Global Risks Report 2016: Zusammenfassung In seiner nunmehr 11
Der Global Risks Report 2016: Zusammenfassung In seiner nunmehr 11
PowerPoint-Präsentation
PowerPoint-Präsentation
Literaturliste
Literaturliste
Brooktorkai Zentrale Germanischer Lloyd
Brooktorkai Zentrale Germanischer Lloyd
01. Juni 2015 - AASSET Security GmbH
01. Juni 2015 - AASSET Security GmbH
Engagierte/r Mitarbeiter/in im Bereich Marketing & Kommunikation
Engagierte/r Mitarbeiter/in im Bereich Marketing & Kommunikation
THEMA: Andrew Lloyd Webber
THEMA: Andrew Lloyd Webber
Pressemitteilung Infotecs veröffentlicht ViPNet
Pressemitteilung Infotecs veröffentlicht ViPNet
Erwartungen an COP21 in Paris Munich Re
Erwartungen an COP21 in Paris Munich Re
SUNSET BOULEVARD
SUNSET BOULEVARD
SELF - Presentation - AUMAIER Coaching Consulting
SELF - Presentation - AUMAIER Coaching Consulting
Österreichische Zeitschrift für Geschichtswissenschaften
Österreichische Zeitschrift für Geschichtswissenschaften
Workshop „Kundenorientierte Kommunikation“
Workshop „Kundenorientierte Kommunikation“
Herunterladen
Werbung