Lifecycle of
Information Security
2
Lifecycle of Information Security
Der Lifecycle of Information Security ist eine
Initiative der Firmen 8com, SIZ und AXA.
Ziel der Initiative ist es, das Bewusstsein für
Informationssicherheit in Unternehmen zu stärken und den
Verantwortlichen passende Werkzeuge zur Aufrechterhaltung
eines angemessenen Schutzniveaus an die Hand zu geben.
Warum „Lifecycle“?
Um Informationssicherheit herzustellen, reicht es nicht aus,
Einzelprojekte zu initiieren oder nur Teilbereiche zu behandeln.
Informationssicherheit muss ganzheitlich gesehen und in
wiederkehrenden Zyklen gelebt werden. Dabei werden
Veränderungen des Unternehmens und des Umfeldes
berücksichtigt und ein kontinuierlicher Verbesserungsprozess
angestrebt. Informationssicherheit ist zudem ein so breites
Thema, dass einzelne Dienstleistungsunternehmen in der
Regel nur Teilausschnitte bedienen können. Unsere Initiative
bietet einen einmaligen, ganzheitlichen Lösungsansatz.
3
Lifecycle of Information Security
Problematik
Lösung:
Die Initiative Lifecycle of Information Security bietet hier den gesuchten ganzheitlichen Ansatz.
Aufgrund der unterschiedlichen Ausrichtungen der an der Initiative teilnehmenden Unternehmen
können wir den Interessenten ein übergreifendes, maßgeschneidertes Konzept anbieten, das
sämtliche Risikobehandlungsstrategien (Risikominderung, Vermeidung, Übertragung bzw. bewusste
Übernahme von Restrisiken) berücksichtigt. Hierdurch können wir Unternehmen in allen Fragen der
Informationssicherheit kompetent begleiten – im gesamten Lifecycle.
In der Realität werden fast immer vielfältige Aufgaben zur Verbesserung der Informationssicherheit
im Unternehmen als notwendig erkannt.
Sie berühren dabei typischerweise die unterschiedlichsten Problembereiche wie Technik, Organisation,
IT-Betrieb, IT-Compliance, Wirtschaftlichkeit, Risikomanagement, Physische Sicherheit, Notfallvorsorge
und Outsourcing.
Um die komplexe Situation im Griff zu behalten, ist ein ganzheitliches Konzept notwendig.
Einzelmaßnahmen die sich z. B. nur auf technische Lösungen, nur auf Softwarelösungen oder nur auf
Angebote zur Risikoauslagerung beschränken, helfen hier nicht weiter.
4
Lifecycle of Information Security
Um die vielfältigen zu erledigenden Aufgaben im Rahmen des Lifecycle of Information Security
angemessen abarbeiten zu können, besteht bei allen Anwendern der Bedarf nach einer einfachen
Methodik. Die allgemein anerkannte Methode dafür ist der „PDCA-Zyklus“, wie er auch in der
Informationssicherheitsnorm ISO 27001 beschrieben ist. Die Phasen lauten im Einzelnen:
Plan:
Umfasst das Entwickeln von konkreten Zielen und Maßnahmen um die gewünschten Verbesserung zu erreichen.
Do:
Umsetzung des Plans, wenn möglich zunächst auf kleinerer Skala um Erfahrungen zu sammeln.
Check:
Die in der vorherigen Phase gesammelten Erfahrungen werden analysiert und mit den Erwartungen der Phase Plan
verglichen.
Act:
Reaktion auf die Erkenntnisse der Phase Check in Form von Modifikationen an den in den Vorphasen angestrebten
Lösungen. Anschließend erfolgt die vollständige Umsetzung auf Basis dieser Erkenntnisse.
Der PDCA-Zyklus beschreibt somit die vier Phasen im kontinuierlichen Verbesserungsprozess. Der
immerwährende Kreislauf von Planen, Handeln, Kontrollieren und Reagieren führt zu einem steigenden
Qualitätsniveau bezüglich Effizienz, Zufriedenheit und Sicherheit.
Die Methodik: Der PDCA- Zyklus
5
Lifecycle of Information Security
Koordination
durch
Risikominderung: • technische/organisatorische
Maßnahmen
• Awareness-Schulung
• Einführung ISMS
Risiko-Identifikation:
• Pen-Test
• Risiko-Analyse
• Risiko-Check IT
Ist-Aufnahme Risikobewertung und
Konzepterstellung
Audit /
Zertifizierung
Kontinuierliche
Verbesserung
Risikoübertragung
• Versicherung
Notfall-Unterstützung
6
Lifecycle of Information Security
Leistungsspektrum der Kooperationspartner
unsere Leistungen:
Durchführung von Penetrationstests
Durchführung von mehrstufigen Mitarbeiter-
sensibilisierungskampagnen mit
nachprüfbarer Erfolgsgarantie
spezielle Management Awareness Module
IT-Forensik
Informationssicherheitsberatungen
Erstellen von Studien
Erstellen von Risikoanalysen
8com ist ein auf praktische
Informationssicherheit spezialisiertes,
unabhängiges und neutrales Prüfungs- und
Beratungsunternehmen.
Durch langjährige Erfahrung deckt 8com
durch Mensch und Technik verursachte
Sicherheitslücken schnell und zuverlässig auf.
Die auf den aufgedeckten Sicherheitslücken
basierenden unternehmerischen Risiken
werden bewertet, Bedrohungsanalysen
werden erstellt und individuelle und
produktneutrale Lösungskonzepte werden für
Kunden erarbeitet.
7
Inventarisierung und Sicherheitsprüfung von Systemen, die im Internet erreichbar sind (z.B. Firewall, VPN, Messaging)
Modul
Perimeter
Prüfung des internen Unternehmensnetzwerkes aus unterschiedlichen Perspektiven
Modul
CorporateNet
Prüfung von Angriffsmöglichkeiten basierend auf Umgehung gängiger Schutzfunktionen wie Firewall, Antivirus usw.
Modul
Client-Site
Prüfung von Webapplikationen (z.B. Shop-Systeme, B2B-Front- und Backends, Webseiten)
Modul
Web-App
Lifecycle of Information Security
Auszug aus unseren Prüfungsmodulen
Prüfung von WLAN-Netzwerken Modul
WLAN
8
Lifecycle of Information Security
8com schafft den Bewusstseinswandel mit dem Grundansatz:
Nachhaltige Informationssicherheit muss erlebt werden!
Stufe 1 – Integration Mensch Betroffenheit hilft Gefahren zu erkennen. Aber erst das Wissen um die
reale Gefährdung ändert auch das Verhalten!
Als wichtigen Erfolgsgaranten baut die erste Stufe auf die unbewusste
Integration Ihrer Mitarbeiter. Dazu agieren die Spezialisten von 8com mit
den Tricks echter Krimineller. Tatort ist das direkte Arbeitsumfeld.
Beispielsweise simuliert 8com in 3 E-Mailserien die Vorgehensweise eines
Angreifers, der versucht über das Medium E-Mail Zugriff auf Ihr
Institutsnetz zu erlangen.
Stufe 2 – Live-Demonstrationen Wie schnell Schäden aufgrund mangelhafter Sicherheitsprävention
entstehen können, demonstrieren Referenten von 8com in spannenden
Edutainment-Veranstaltungen. Ein prägnantes Beispiel ist das „LIVE-
Hacking“: Innerhalb von Sekunden werden vor den Augen der Mitarbeiter
Mobiltelefone oder E-Mail-Accounts im Vortragsplenum gehackt …
Stufe 3 – Inhouse-Kampagnen Das Informationssicherheitsbewusstsein und die Bereitschaft,
Verantwortung für die Informationssicherheit zu übernehmen, ist nach den
Stufen 1 und 2 enorm hoch. Die Botschaft „Informationssicherheit betrifft
uns alle!“ ist fest in den Köpfen verankert! Das nächste Ziel lautet daher,
den „Awareness-Level“ auf diesem hohen Niveau zu halten und gezielt
weiter zu entwickeln.
9
Lifecycle of Information Security
Leistungsspektrum der Kooperationspartner
unsere Leistungen:
Trusted Product ISO 27001 Tool: Sicherer IT-
Betrieb
Aufbau von ISO 27001-konformen
Informationssicherheits-Managementsystemen
Zertifizierung von Informationssicherheits-
Managementsystemen
Geschäftsfortführungsplanung (BCM) und
IT-Notfallplanung sowie Durchführung von
Notfallübungen
Konzeption von IT-Sicherheitslösungen
Durchführung von Sicherheitsaudits
Durchführung von Penetrationstests
CERT-Dienstleistungen
Outsourcing des Datenschutzbeauftragten
Mit innovativen IT-Produkten und erfahrenen
IT-Berater unterstützt die SIZ GmbH Industrie-
und Handelsunternehmen mit hoher IT-
Abhängigkeit, IT-Dienstleister, die
Kreditwirtschaft sowie Versicherungen.
Das SIZ-Angebot umfasst dabei die individuelle
Beratung und die Bereitstellung kompletter
IT-Lösungen, auch mit deren Einführung beim
Kunden.
10
Lifecycle of Information Security
Gesetzes-Konformität
Konformität zu relevanten Standards
angemessene und erprobte Grundlage für
eine Zertifizierung
praktikabel und praxiserprobt
ISMS-Baseline: Sicherer IT-Betrieb
Optimierung der Sicherheit (optionale Maßnahmen)
Zertifizierung
Definition
ISMS-Scope
ISMS-Prozess
und Organisation
Inventar der
IT-Werte
Basis-Analyse
der IT-Risiken
Basis-Reports
für IT-Risiken
Soll-Ist-
Vergleich
& Risiken
Maßnahmen-
plan
BCM / BCP
(Planung/Test)
IT-Notfall
(Planung/Test)
CERT
Support für
Interne
Revision
IT-System-
Audits
(ggf. weitere)
Penetrations-
tests
(ggf. weitere)
Unsere erprobten und effizienten Lösungen führen Sie schnell
zu einer best-practice ISMS-Baseline, die bedarfsgerecht und
einfach ausgebaut werden kann.
11
Lifecycle of Information Security
Unser Produkt „Sicherer IT-Betrieb“
ist vollständig konform zur ISO 27001
- dies hat TÜViT mit einem Zertifikat
bestätigt.
Das Produkt "Sicherer IT-Betrieb" wurde in der
Basisvariante, Version 14.0 von der TÜViT GmbH
als „Trusted Product ISO 27001 Tool" zertifiziert.
Das Zertifikat bescheinigt, dass die Anforderungen "Trusted Product ISO 27001
Tool" in der Version 1.0 erfüllt sind. Dazu gehört, dass das Produkt
- die Norm ISO 27001 vollständig und funktional richtig abdeckt,
- alle Phasen des PDCA-Zyklus der ISO 27001 unterstützt,
- effiziente Unterstützung bei Erstellung und Management der ISMS-Dokumentation bietet und
- in ausgewählten Aspekten der Informationssicherheit dem aktuellen Stand der Technik entspricht.
12
Lifecycle of Information Security
Leistungsspektrum der Kooperationspartner
unsere Leistungen:
Risiken bewerten, erkennen,
minimieren und absichern
Erarbeitung eines individuellen
Lösungskonzeptes
Folgende Versicherungen können bei IT-Risiken
zum Tragen kommen (beispielhaft):
- Sachinhaltsversicherung
- Elektronikversicherung
- Betriebsunterbrechungsversicherung
- Haftpflichtversicherung
- Vertrauensschadenversicherung
Als einer der größten Firmenversicherer
Deutschlands verfügt AXA über langjährige
Erfahrung im Management unternehmerischer
Risiken – und bietet ein Leistungsspektrum,
das weit über den reinen Versicherungsschutz
hinausgeht.
13
Lifecycle of Information Security
Potentielles Risiko Versicherungsmöglichkeit
Ausfall der IT durch einen
Sachschaden (z. B. Brand,
Fehlbedienung, Vandalismus)
Sachversicherung,
z. B. Elektronikversicherung
mit Betriebsunterbrechungsversicherung
Zielgerichtete
DoS- bzw. Hacker-Attacke
Geheimnisverrat
Vertrauensschadenversicherung:
Kosten für Wiederherstellung,
Mehrkosten sowie unmittelbarer Schaden
Löschung oder Veränderung
von Daten
Elektronik- (bzw. Software-) Versicherung
Bei Vorsatz: Vertrauensschaden-
versicherung
Verstoß gegen Datenschutzgesetz Rechtsschutzversicherung
Haftpflichtversicherung
14
Lifecycle of Information Security
• Leitfaden für die Identifizierung von IT-Risiken im Unternehmen
• Konkretisierung durch Abschätzung der möglichen Schadenhöhe
• Hilfestellung zur Auswahl des optimalen Versicherungsschutzes
• Gesprächsleitfaden für die Beratung mit einem Versicherungsvermittler
• Nicht anwendbar für IT-Dienstleister, da hier Speziallösungen angeboten werden
Der Risiko-Check IT der AXA
15
Umfassende Identifizierung möglicher
Risiken der Informationssicherheit
Sachgerechte Analyse und Bewertung von
Risiken der Informationssicherheit
Ganzheitlicher Ansatz zur Bewältigung von
Risiken der Informationssicherheit
Kompetente Unterstützung in allen Phasen
eines Managementsystems zur
Informationssicherheit
Einbindung in das ganzheitliche
Unternehmensrisikomanagement
Finanzielle Absicherung im Schadensfall
Lifecycle of Information Security
Ihre Vorteile auf einen Blick
16
www.8com.de
Wallgasse 11 | 67433 Neustadt/Weinstr.
www.AXA.de
Colonia-Allee 10-20 | 51067 Köln
www.siz.de
Simrockstr. 4 | 53113 Bonn