![Page 1: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/1.jpg)
Prof. Dr. Dirk Koschützki
Aktuelle Bedrohungen aus dem Cyberspace und deren Auswirkungen
auf das IT-Risikomanagement
12. Mai 2015
![Page 2: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/2.jpg)
Prof. Dr. Dirk Koschützki 2
Zur Motivation …
![Page 3: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/3.jpg)
Prof. Dr. Dirk Koschützki 3
Zur Motivation …
![Page 4: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/4.jpg)
Prof. Dr. Dirk Koschützki 4
Zur Motivation …
• Andere Angriffe in 2014/2015: • Identitätsdiebstahl (X Mio.!) bei Internet-Providern • Steuerungsanlage eines Stahlwerks manipuliert • Sony Entertainment • TV5 Monde
• Dramatische Schwachstellen in 2014: • Heartbleed • Shellshock
![Page 5: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/5.jpg)
Prof. Dr. Dirk Koschützki
Aktuelle Bedrohungen aus dem Cyberspace und deren Auswirkungen
auf das IT-Risikomanagement
12. Mai 2015
![Page 6: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/6.jpg)
Prof. Dr. Dirk Koschützki 6
Risikomanagement?
• Risikomanagement • „Koordinierte Aktivitäten zur Lenkung und Steuerung eine Organisation in
Bezug auf Risiken“ [Entwurf der DIN ISO 31000:2011]
• Risiko • „Auswirkung von Unsicherheit auf Ziele“
[Entwurf der DIN ISO 31000:2011]
• Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW
• Beispiel „Unsicherheit“ • Könnte ich in einen Unfall verwickelt werden?
• Beispiel „Risikomanagement“ • Den Bus nehmen (geringere Eintrittswahrscheinlichkeit für einen Unfall)
![Page 7: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/7.jpg)
Prof. Dr. Dirk Koschützki 7
Risikomanagement?
• Risikomanagement • „Koordinierte Aktivitäten zur Lenkung und Steuerung eine Organisation in
Bezug auf Risiken“ [Entwurf der DIN ISO 31000:2011]
• Risiko • „Auswirkung von Unsicherheit auf Ziele“
[Entwurf der DIN ISO 31000:2011]
• Beispiel „Ziel“ • Übernahme der XYZ AG
• Beispiel „Unsicherheit“ • XYZ AG könnte durch einen Konkurrenten übernommen werden
• Beispiel „Risikomanagement“ • Eine Übernahme so weit es geht im Stillen vorbereiten
![Page 8: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/8.jpg)
Prof. Dr. Dirk Koschützki 8
Verpflichtung zum Risikomanagement?
• Verpflichtung zum Risikomanagement für Aktiengesellschaften • § 91 Aktiengesetz
• (2) Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.
• § 317 Handelsgesetzbuch • (4) Bei einer börsennotierten Aktiengesellschaft ist außerdem im Rahmen der
Prüfung zu beurteilen, ob der Vorstand die ihm nach § 91 Abs. 2 des Aktiengesetzes obliegenden Maßnahmen in einer geeigneten Form getroffen hat und ob das danach einzurichtende Überwachungssystem seine Aufgaben erfüllen kann.
• Verpflichtung zum Risikomanagement für GmbHs
• „In das GmbHG soll keine entsprechende Regelung aufgenommen werden. Es ist davon auszugehen, daß für Gesellschaften mit beschränkter Haftung je nach ihrer Größe, Komplexität ihrer Struktur usw. nichts anderes gilt und die Neuregelung Ausstrahlungswirkung auf den Pflichtenrahmen der Geschäftsführer auch anderer Gesellschaftsformen hat.“ [Begründung zum KontraG, BT-Drs. 13/9712, 1998]
![Page 9: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/9.jpg)
Prof. Dr. Dirk Koschützki
Aktuelle Bedrohungen aus dem Cyberspace und deren Auswirkungen
auf das IT-Risikomanagement
12. Mai 2015
![Page 10: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/10.jpg)
Prof. Dr. Dirk Koschützki 10
IT-Risikomanagement
• IT-Risikomanagement • „Information risk management is the systematic application of management
policies, procedures and practices to the tasks of identifying, analyzing, evaluating, reporting, treating and monitoring information related risk“ [CISM Review Manual 2014, ISACA]
• Information related risk (IT-Risiko) • “Business risk associated with the use, ownership, operation, involvement,
influence and adoption of IT within an enterprise“ [Cobit 5 for Risk, ISACA, 2013]
• Beispiel „Ziel“ • Durch Outsourcing soll die Entwicklung von Software günstiger werden
• Beispiel „Unsicherheit“ • Die Qualität könnte unter Umständen darunter leiden
• Beispiel „Risikomanagement“ • Regelmäßige Qualitätskontrollen durchführen!
![Page 11: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/11.jpg)
Prof. Dr. Dirk Koschützki
Aktuelle Bedrohungen aus dem Cyberspace und deren Auswirkungen
auf das IT-Risikomanagement
12. Mai 2015
![Page 12: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/12.jpg)
Prof. Dr. Dirk Koschützki 12
IS-Risikomanagement
• Informationssicherheits-Risiko • „Information security risk is associated with the potential that threats will
exploit vulnerabilities of an information asset or group of information assets and thereby cause harm to an organization.” [ISO/IEC 27000:2014]
• threat • „potential cause of an unwanted incident, which may result in harm to a
system or organization” [ISO/IEC 27000:2014]
• vulnerability • “weakness of an asset or control that can be exploited by one or more
threats” [ISO/IEC 27000:2014]
• information asset • „An asset is anything that has value to the organization and which therefore
requires protection.” [ISO/IEC 27005:2011]
![Page 13: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/13.jpg)
Prof. Dr. Dirk Koschützki 13
IS-Risikomanagement
• Informationssicherheits-Risiko • „Information security risk is associated with the potential that threats will
exploit vulnerabilities of an information asset or group of information assets and thereby cause harm to an organization.” [ISO/IEC 27000:2014]
• Bedrohung [“Threat”] • Feuer
• Schwachstelle [“Vulnerability”] • Vermeidbare brennbare Stoffe im Serverraum (Alte Kartons)
• Information Asset • Daten und Server der Personalabteilung
![Page 14: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/14.jpg)
Prof. Dr. Dirk Koschützki 14
ISRM-Prozess
Quelle: ISO/IEC 27005:2011
![Page 15: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/15.jpg)
Prof. Dr. Dirk Koschützki 15
• Context Establishment
• Festlegung des Kontextes • Wesentliche Bewertungskriterien • Anwendungsbereich/Grenzen • Organisationsstrukturen
ISRM-Prozess
Quelle: ISO/IEC 27005:2011
![Page 16: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/16.jpg)
Prof. Dr. Dirk Koschützki 16
• Risk Identification
• Risikoidentifikation • Assets • Bedrohungen • Schwachstellen • Exist. Maßnahmen • Schadensauswirkungen
ISRM-Prozess
Quelle: ISO/IEC 27005:2011
![Page 17: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/17.jpg)
Prof. Dr. Dirk Koschützki 17
• Risk Analysis
• Risikoanalyse • Bewertung der Schadensschwere • Bewertung der Eintrittswahrsch. • Festlegung des Risikos (=„s*w“)
ISRM-Prozess
Quelle: ISO/IEC 27005:2011
![Page 18: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/18.jpg)
Prof. Dr. Dirk Koschützki 18
• Risk Evaluation
• Risikobewertung • Priorisierung der Risiken
ISRM-Prozess
Quelle: ISO/IEC 27005:2011
![Page 19: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/19.jpg)
Prof. Dr. Dirk Koschützki 19
• Risk Treatment
• Risikobehandlung • Auswahl einer Option
• Maßnahmen ergreifen • Risiko versichern • Tätigkeit aufgeben • Risiko akzeptieren
ISRM-Prozess
Quelle: ISO/IEC 27005:2011
![Page 20: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/20.jpg)
Prof. Dr. Dirk Koschützki 20
• Risk Acceptance
• Risikoakzeptanz • (Schriftl.) Erklärung durch GF
ISRM-Prozess
Quelle: ISO/IEC 27005:2011
![Page 21: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/21.jpg)
Prof. Dr. Dirk Koschützki 21
• Risikoidentifikation • Assets • Bedrohungen • Schwachstellen • Exist. Maßnahmen • Eintrittswahrscheinlichkeiten • Schadensauswirkungen
• Risikobehandlung
• Auswahl einer Option • Maßnahmen ergreifen • Risiko versichern • Tätigkeit aufgeben • Risiko akzeptieren
Wesentliche Teilschritte
Quelle: ISO/IEC 27005:2011
![Page 22: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/22.jpg)
Prof. Dr. Dirk Koschützki 22
Beispiel A: Feuer im Serverraum
• Assets: • Primary: Daten der Personalabteilung • Secondary: Server der Personalabteilung • Secondary: Verkabelung im Serverraum
• Bedrohung: • Feuer
• Schwachstellen: • Vermeidbare brennbare Stoffe im Serverraum (Alte Kartons) • Unvermeidbare brennbare Stoffe im Serverraum (IT-Infrastruktur)
• Maßnahmen: • Rauchverbot • Meldeanlage • Datensicherung
![Page 23: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/23.jpg)
Prof. Dr. Dirk Koschützki 23
Beispiel B: Diebstahl von Hardware
• Assets: • Primary: Daten der Personalabteilung • Secondary: Server der Personalabteilung • Secondary: Verkabelung im Serverraum
• Bedrohung: • Diebstahl
• Schwachstellen: • Türen zum Serverraum zeitweise nicht verschlossen • Serverraum ebenerdig, kein besonderer Einbruchschutz („Start-up“)
• Maßnahmen: • Vergitterung des Fensters • Verlagerung des Serverraums • Regelmäßige Kontrolle auf Verschluss des Raumes
![Page 24: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/24.jpg)
Prof. Dr. Dirk Koschützki
Aktuelle Bedrohungen aus dem Cyberspace und deren Auswirkungen
auf das IT-Risikomanagement
12. Mai 2015
![Page 25: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/25.jpg)
Prof. Dr. Dirk Koschützki 25
Bedrohungen für die IT – Wodurch?
Eher vorsätzliche Handlungen Eher zufällige Ereignisse
![Page 26: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/26.jpg)
Prof. Dr. Dirk Koschützki 26
Bedrohungen für die IT – Wer und Warum?
![Page 27: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/27.jpg)
Prof. Dr. Dirk Koschützki
Aktuelle Bedrohungen aus dem Cyberspace und deren Auswirkungen
auf das IT-Risikomanagement
12. Mai 2015
![Page 28: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/28.jpg)
Prof. Dr. Dirk Koschützki 28
• Malicious Code • „Übliche“ Schadsoftware • Virenschutzprogramm?
• Web-based Attacks • Angriffe auf den Browser • Deaktivierung aktiver Inhalte?
• Web Application Attacks • Angriffe auf Webserver • Härtung der Webangebote?
• Denial auf Service • Angriffe auf die Verfügbarkeit • Prüfung der Angriffsfläche?
Bedrohungen aus dem Cyberspace für die IT
Quelle: ENISA ETL 2014
![Page 29: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/29.jpg)
Prof. Dr. Dirk Koschützki 29
• Phishing • SPAM vs. Spear Phishing • Angemessenes Nutzerverhalten?
• Insider Threat • Unachtsamkeit vs. Mutwilligkeit • Interne Warnsysteme?
• Identify Theft • Abfluss von Username/Passwort • Kundenvertrauen sicherstellen?
• Cyber Espionage • Abfluss der „Kronjuwelen“ • Betroffenheit überhaupt geklärt?
Bedrohungen aus dem Cyberspace für die IT
Quelle: ENISA ETL 2014
![Page 30: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/30.jpg)
Prof. Dr. Dirk Koschützki 30
Bedrohungen aus dem Cyberspace für die IT
Quelle: ENISA ETL 2014
![Page 31: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/31.jpg)
Prof. Dr. Dirk Koschützki 31
„Aufstrebende“ Bedrohungen
Quelle: ENISA ETL 2014
Cyber Physical Systems
![Page 32: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/32.jpg)
Prof. Dr. Dirk Koschützki 32
„Aufstrebende“ Bedrohungen
Quelle: ENISA ETL 2014
Cloud Computing
![Page 33: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/33.jpg)
Prof. Dr. Dirk Koschützki 33
„Aufstrebende“ Bedrohungen
Quelle: ENISA ETL 2014
Trust Infrastructure
![Page 34: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/34.jpg)
Prof. Dr. Dirk Koschützki
Aktuelle Bedrohungen aus dem Cyberspace und deren Auswirkungen
auf das IT-Risikomanagement
12. Mai 2015
![Page 35: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/35.jpg)
Prof. Dr. Dirk Koschützki 35
Auswirkungen der neuen Bedrohungen
Ein umfassender Blick auf die Bedrohungslandschaft ist erforderlich!
“Sloppiness with cyber-security continues to be number one reason for breaches (over 50%).”
[ “Lessons Learned” aus ENISA Threat Landscape 2014]
![Page 36: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/36.jpg)
Prof. Dr. Dirk Koschützki
Aktuelle Bedrohungen aus dem Cyberspace und deren Auswirkungen
auf das IT-Risikomanagement
12. Mai 2015
![Page 37: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/37.jpg)
Prof. Dr. Dirk Koschützki 37
Lösungsansätze
• Maßnahmenorientiert • Abarbeitung eines Maßnahmenkatalogs
• „Basismaßnahmen“ der Allianz für Cybersicherheit (BSI, DE) • 10 Steps To Cyber Security (CESG, UK) • Critical Security Controls for Effective Cyber Defense (Council on CS, US) • (viele weitere Möglichkeiten)
• Prozessorientiert • Einführung eines Informationssicherheitsmanagementsystems
• ISO 27001 • BSI IT-Grundschutz • ISIS12 • VdS 3473 (Informationssicherheit in KMU) • (ebenfalls viele weitere Möglichkeiten)
![Page 38: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/38.jpg)
Prof. Dr. Dirk Koschützki 38
Lösungsangebote
• Unterstützungsmöglichkeiten des STZ-CIS: • Auswahl und Umsetzung eines Maßnahmenkatalogs • Einführung eines ISMS nach ISIS12 • Einführung eines IS-Risikomanagementprozesses • Betrachtung von Risiken spezifisch aus dem Cyberraum • (jeweils Coaching/Workshops zu den oben genannten Themen)
• Unterstützungsmöglichkeiten der Hochschule Furtwangen: • Kleineren Fragestellungen zum Thema Informationssicherheit
• Praxissemester • Projektarbeiten • Abschlussarbeiten (Bachelor/Master)
![Page 39: Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel](https://reader033.vdokument.com/reader033/viewer/2022052712/5b6540fe7f8b9a1f738b4958/html5/thumbnails/39.jpg)
Prof. Dr. Dirk Koschützki 39
Steinbeis-Transferzentrum Cyber- und Informationssicherheit Josef-Dorer-Str. 13 D-78120 Furtwangen Telefon: 07723-9298870 E-Mail: [email protected]
Ihr Ansprechpartner
Prof. Dr. Dirk Koschützki