Lifecycle of

Information Security

2

Lifecycle of Information Security

Der Lifecycle of Information Security ist eine

Initiative der Firmen 8com, SIZ und AXA.

Ziel der Initiative ist es, das Bewusstsein für

Informationssicherheit in Unternehmen zu stärken und den

Verantwortlichen passende Werkzeuge zur Aufrechterhaltung

eines angemessenen Schutzniveaus an die Hand zu geben.

Warum „Lifecycle“?

Um Informationssicherheit herzustellen, reicht es nicht aus,

Einzelprojekte zu initiieren oder nur Teilbereiche zu behandeln.

Informationssicherheit muss ganzheitlich gesehen und in

wiederkehrenden Zyklen gelebt werden. Dabei werden

Veränderungen des Unternehmens und des Umfeldes

berücksichtigt und ein kontinuierlicher Verbesserungsprozess

angestrebt. Informationssicherheit ist zudem ein so breites

Thema, dass einzelne Dienstleistungsunternehmen in der

Regel nur Teilausschnitte bedienen können. Unsere Initiative

bietet einen einmaligen, ganzheitlichen Lösungsansatz.

3

Lifecycle of Information Security

Problematik

Lösung:

Die Initiative Lifecycle of Information Security bietet hier den gesuchten ganzheitlichen Ansatz.

Aufgrund der unterschiedlichen Ausrichtungen der an der Initiative teilnehmenden Unternehmen

können wir den Interessenten ein übergreifendes, maßgeschneidertes Konzept anbieten, das

sämtliche Risikobehandlungsstrategien (Risikominderung, Vermeidung, Übertragung bzw. bewusste

Übernahme von Restrisiken) berücksichtigt. Hierdurch können wir Unternehmen in allen Fragen der

Informationssicherheit kompetent begleiten – im gesamten Lifecycle.

In der Realität werden fast immer vielfältige Aufgaben zur Verbesserung der Informationssicherheit

im Unternehmen als notwendig erkannt.

Sie berühren dabei typischerweise die unterschiedlichsten Problembereiche wie Technik, Organisation,

IT-Betrieb, IT-Compliance, Wirtschaftlichkeit, Risikomanagement, Physische Sicherheit, Notfallvorsorge

und Outsourcing.

Um die komplexe Situation im Griff zu behalten, ist ein ganzheitliches Konzept notwendig.

Einzelmaßnahmen die sich z. B. nur auf technische Lösungen, nur auf Softwarelösungen oder nur auf

Angebote zur Risikoauslagerung beschränken, helfen hier nicht weiter.

4

Lifecycle of Information Security

Um die vielfältigen zu erledigenden Aufgaben im Rahmen des Lifecycle of Information Security

angemessen abarbeiten zu können, besteht bei allen Anwendern der Bedarf nach einer einfachen

Methodik. Die allgemein anerkannte Methode dafür ist der „PDCA-Zyklus“, wie er auch in der

Informationssicherheitsnorm ISO 27001 beschrieben ist. Die Phasen lauten im Einzelnen:

Plan:

Umfasst das Entwickeln von konkreten Zielen und Maßnahmen um die gewünschten Verbesserung zu erreichen.

Do:

Umsetzung des Plans, wenn möglich zunächst auf kleinerer Skala um Erfahrungen zu sammeln.

Check:

Die in der vorherigen Phase gesammelten Erfahrungen werden analysiert und mit den Erwartungen der Phase Plan

verglichen.

Act:

Reaktion auf die Erkenntnisse der Phase Check in Form von Modifikationen an den in den Vorphasen angestrebten

Lösungen. Anschließend erfolgt die vollständige Umsetzung auf Basis dieser Erkenntnisse.

Der PDCA-Zyklus beschreibt somit die vier Phasen im kontinuierlichen Verbesserungsprozess. Der

immerwährende Kreislauf von Planen, Handeln, Kontrollieren und Reagieren führt zu einem steigenden

Qualitätsniveau bezüglich Effizienz, Zufriedenheit und Sicherheit.

Die Methodik: Der PDCA- Zyklus

5

Lifecycle of Information Security

Koordination

durch

Risikominderung: • technische/organisatorische

Maßnahmen

• Awareness-Schulung

• Einführung ISMS

Risiko-Identifikation:

• Pen-Test

• Risiko-Analyse

• Risiko-Check IT

Ist-Aufnahme Risikobewertung und

Konzepterstellung

Audit /

Zertifizierung

Kontinuierliche

Verbesserung

Risikoübertragung

• Versicherung

Notfall-Unterstützung

6

Lifecycle of Information Security

Leistungsspektrum der Kooperationspartner

unsere Leistungen:

Durchführung von Penetrationstests

Durchführung von mehrstufigen Mitarbeiter-

sensibilisierungskampagnen mit

nachprüfbarer Erfolgsgarantie

spezielle Management Awareness Module

IT-Forensik

Informationssicherheitsberatungen

Erstellen von Studien

Erstellen von Risikoanalysen

8com ist ein auf praktische

Informationssicherheit spezialisiertes,

unabhängiges und neutrales Prüfungs- und

Beratungsunternehmen.

Durch langjährige Erfahrung deckt 8com

durch Mensch und Technik verursachte

Sicherheitslücken schnell und zuverlässig auf.

Die auf den aufgedeckten Sicherheitslücken

basierenden unternehmerischen Risiken

werden bewertet, Bedrohungsanalysen

werden erstellt und individuelle und

produktneutrale Lösungskonzepte werden für

Kunden erarbeitet.

7

Inventarisierung und Sicherheitsprüfung von Systemen, die im Internet erreichbar sind (z.B. Firewall, VPN, Messaging)

Modul

Perimeter

Prüfung des internen Unternehmensnetzwerkes aus unterschiedlichen Perspektiven

Modul

CorporateNet

Prüfung von Angriffsmöglichkeiten basierend auf Umgehung gängiger Schutzfunktionen wie Firewall, Antivirus usw.

Modul

Client-Site

Prüfung von Webapplikationen (z.B. Shop-Systeme, B2B-Front- und Backends, Webseiten)

Modul

Web-App

Lifecycle of Information Security

Auszug aus unseren Prüfungsmodulen

Prüfung von WLAN-Netzwerken Modul

WLAN

8

Lifecycle of Information Security

8com schafft den Bewusstseinswandel mit dem Grundansatz:

Nachhaltige Informationssicherheit muss erlebt werden!

Stufe 1 – Integration Mensch Betroffenheit hilft Gefahren zu erkennen. Aber erst das Wissen um die

reale Gefährdung ändert auch das Verhalten!

Als wichtigen Erfolgsgaranten baut die erste Stufe auf die unbewusste

Integration Ihrer Mitarbeiter. Dazu agieren die Spezialisten von 8com mit

den Tricks echter Krimineller. Tatort ist das direkte Arbeitsumfeld.

Beispielsweise simuliert 8com in 3 E-Mailserien die Vorgehensweise eines

Angreifers, der versucht über das Medium E-Mail Zugriff auf Ihr

Institutsnetz zu erlangen.

Stufe 2 – Live-Demonstrationen Wie schnell Schäden aufgrund mangelhafter Sicherheitsprävention

entstehen können, demonstrieren Referenten von 8com in spannenden

Edutainment-Veranstaltungen. Ein prägnantes Beispiel ist das „LIVE-

Hacking“: Innerhalb von Sekunden werden vor den Augen der Mitarbeiter

Mobiltelefone oder E-Mail-Accounts im Vortragsplenum gehackt …

Stufe 3 – Inhouse-Kampagnen Das Informationssicherheitsbewusstsein und die Bereitschaft,

Verantwortung für die Informationssicherheit zu übernehmen, ist nach den

Stufen 1 und 2 enorm hoch. Die Botschaft „Informationssicherheit betrifft

uns alle!“ ist fest in den Köpfen verankert! Das nächste Ziel lautet daher,

den „Awareness-Level“ auf diesem hohen Niveau zu halten und gezielt

weiter zu entwickeln.

9

Lifecycle of Information Security

Leistungsspektrum der Kooperationspartner

unsere Leistungen:

Trusted Product ISO 27001 Tool: Sicherer IT-

Betrieb

Aufbau von ISO 27001-konformen

Informationssicherheits-Managementsystemen

Zertifizierung von Informationssicherheits-

Managementsystemen

Geschäftsfortführungsplanung (BCM) und

IT-Notfallplanung sowie Durchführung von

Notfallübungen

Konzeption von IT-Sicherheitslösungen

Durchführung von Sicherheitsaudits

Durchführung von Penetrationstests

CERT-Dienstleistungen

Outsourcing des Datenschutzbeauftragten

Mit innovativen IT-Produkten und erfahrenen

IT-Berater unterstützt die SIZ GmbH Industrie-

und Handelsunternehmen mit hoher IT-

Abhängigkeit, IT-Dienstleister, die

Kreditwirtschaft sowie Versicherungen.

Das SIZ-Angebot umfasst dabei die individuelle

Beratung und die Bereitstellung kompletter

IT-Lösungen, auch mit deren Einführung beim

Kunden.

10

Lifecycle of Information Security

Gesetzes-Konformität

Konformität zu relevanten Standards

angemessene und erprobte Grundlage für

eine Zertifizierung

praktikabel und praxiserprobt

ISMS-Baseline: Sicherer IT-Betrieb

Optimierung der Sicherheit (optionale Maßnahmen)

Zertifizierung

Definition

ISMS-Scope

ISMS-Prozess

und Organisation

Inventar der

IT-Werte

Basis-Analyse

der IT-Risiken

Basis-Reports

für IT-Risiken

Soll-Ist-

Vergleich

& Risiken

Maßnahmen-

plan

BCM / BCP

(Planung/Test)

IT-Notfall

(Planung/Test)

CERT

Support für

Interne

Revision

IT-System-

Audits

(ggf. weitere)

Penetrations-

tests

(ggf. weitere)

Unsere erprobten und effizienten Lösungen führen Sie schnell

zu einer best-practice ISMS-Baseline, die bedarfsgerecht und

einfach ausgebaut werden kann.

11

Lifecycle of Information Security

Unser Produkt „Sicherer IT-Betrieb“

ist vollständig konform zur ISO 27001

- dies hat TÜViT mit einem Zertifikat

bestätigt.

Das Produkt "Sicherer IT-Betrieb" wurde in der

Basisvariante, Version 14.0 von der TÜViT GmbH

als „Trusted Product ISO 27001 Tool" zertifiziert.

Das Zertifikat bescheinigt, dass die Anforderungen "Trusted Product ISO 27001

Tool" in der Version 1.0 erfüllt sind. Dazu gehört, dass das Produkt

- die Norm ISO 27001 vollständig und funktional richtig abdeckt,

- alle Phasen des PDCA-Zyklus der ISO 27001 unterstützt,

- effiziente Unterstützung bei Erstellung und Management der ISMS-Dokumentation bietet und

- in ausgewählten Aspekten der Informationssicherheit dem aktuellen Stand der Technik entspricht.

12

Lifecycle of Information Security

Leistungsspektrum der Kooperationspartner

unsere Leistungen:

Risiken bewerten, erkennen,

minimieren und absichern

Erarbeitung eines individuellen

Lösungskonzeptes

Folgende Versicherungen können bei IT-Risiken

zum Tragen kommen (beispielhaft):

- Sachinhaltsversicherung

- Elektronikversicherung

- Betriebsunterbrechungsversicherung

- Haftpflichtversicherung

- Vertrauensschadenversicherung

Als einer der größten Firmenversicherer

Deutschlands verfügt AXA über langjährige

Erfahrung im Management unternehmerischer

Risiken – und bietet ein Leistungsspektrum,

das weit über den reinen Versicherungsschutz

hinausgeht.

13

Lifecycle of Information Security

Potentielles Risiko Versicherungsmöglichkeit

Ausfall der IT durch einen

Sachschaden (z. B. Brand,

Fehlbedienung, Vandalismus)

Sachversicherung,

z. B. Elektronikversicherung

mit Betriebsunterbrechungsversicherung

Zielgerichtete

DoS- bzw. Hacker-Attacke

Geheimnisverrat

Vertrauensschadenversicherung:

Kosten für Wiederherstellung,

Mehrkosten sowie unmittelbarer Schaden

Löschung oder Veränderung

von Daten

Elektronik- (bzw. Software-) Versicherung

Bei Vorsatz: Vertrauensschaden-

versicherung

Verstoß gegen Datenschutzgesetz Rechtsschutzversicherung

Haftpflichtversicherung

14

Lifecycle of Information Security

• Leitfaden für die Identifizierung von IT-Risiken im Unternehmen

• Konkretisierung durch Abschätzung der möglichen Schadenhöhe

• Hilfestellung zur Auswahl des optimalen Versicherungsschutzes

• Gesprächsleitfaden für die Beratung mit einem Versicherungsvermittler

• Nicht anwendbar für IT-Dienstleister, da hier Speziallösungen angeboten werden

Der Risiko-Check IT der AXA

15

Umfassende Identifizierung möglicher

Risiken der Informationssicherheit

Sachgerechte Analyse und Bewertung von

Risiken der Informationssicherheit

Ganzheitlicher Ansatz zur Bewältigung von

Risiken der Informationssicherheit

Kompetente Unterstützung in allen Phasen

eines Managementsystems zur

Informationssicherheit

Einbindung in das ganzheitliche

Unternehmensrisikomanagement

Finanzielle Absicherung im Schadensfall

Lifecycle of Information Security

Ihre Vorteile auf einen Blick

16

www.8com.de

Wallgasse 11 | 67433 Neustadt/Weinstr.

www.AXA.de

Colonia-Allee 10-20 | 51067 Köln

www.siz.de

Simrockstr. 4 | 53113 Bonn