Aus- & Weiterbildung
CAS Information Security & Risk Management 2017: Cybersecurity
6. Mai 2017
Back-to-School: Aus dem Klassenzimmer vom CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI Grundschutzhandbuch und die Teilnehmenden bereiten sich begleitend auf die CISSP Prüfung vor. Somit ist es ein Teil des 15-tägigen Lehrgangs, ein CISSP oder BSI Fachthema als Blogpost aufzubereiten:
Blogpost wurde erstelle von Pascal Bieri (PwC) im Rahmen vom CAS Information Security & Risk Management. Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.
zurück zu allen Beiträgen
Information Security:
Cybersecurity – Was heisst das für Unternehmen?
Heutzutage ist Cyber-Security für Unternehmungen mehr im Fokus denn je. Milliarden von Daten werden täglich über Netzwerke transferiert und Produkte durch Klick auf den „Kaufen-Button“ nach Hause geliefert. Heute kaum mehr wegzudenken ist der Datenaustausch Teil des Alltags geworden und bildet die Basis der modernen Wirtschaft. Die Digitalisierung von Geschäftsprozessen ermöglicht einerseits weltweit neue innovative und effiziente Lösungen, birgt dabei gleichzeitig aber auch neue Gefahren. Im Gegensatz zur klassischen IT-Sicherheit wird heute ein umfassenderes Sicherheits-denken vom Management und den Sicherheitsverantwortlichen verlangt, das neben dem Internet sämtliche Cyber-Räume berücksichtigen muss. Cyber-Security umfasst zudem den Schutz auf sämtlichen Schichten, vom physischen Schutz der Infrastruktur und des Kommunikationsnetzes, über den Schutz in Applikationen und bei der Übertragung von Daten bis hin zu externen Cloud-Diensten. Waren es 1997 gemäss dem Bundesamt für Statistik noch 6.8% der Schweizer Bevölkerung, die das Internet mehrmals pro Woche benutzt haben, waren es 2016 bereits durchschnittlich 85.2%. Mit angestiegener Komplexität der Technologien und Vernetzung der IT-Systeme sowie dem schnellen Wandel der Zeit, ist es alles andere als einfach, die richtigen Massnahmen gegen Cyber-Angriffe zu treffen.Staatliche Akteure mit viel Zeit, Geld und Know-how als Angreifer
Die Motivation hinter Cyber-Angriffen ist unterschiedlicher Natur und reicht von banalem Erlangen medialer Präsenz bis hin zum Erreichen bestimmter Ziele mittels sehr grossem zeitlichen und finanziellen Ressourcenansatz: Bildquelle: Klassifikation von Angreifern, Swisscom AG, August 2015 Die Täter können einzeln, in Gruppen oder gar als Regierungsorganisationen mit sehr hohem Know-how und finanziellen Möglichkeiten auftreten und nutzen Schwachstellen im System aus, um von aussen einzudringen. Das BSI geht in ihrem Lagebericht 2016 darüber hinaus von nahezu 600 Mio. bekannter Schadsoftware aus, wobei täglich ca. 380’000 neue Varianten gesichtet werden. Häufigste Infektionswege sind E-Mail-Anhänge, Drive-by-Downloads beim Besuch von Webseiten oder Links auf Schadprogramme. Es gilt die verschiedenen Arten von Angriffen und insbesondere die eigenen Schwachstellen zu kennen. Jedes Unternehmen verwaltet verschiedene Arten von sensiblen Daten, die in den falschen Händen Schaden herbeiführen können. Was bedeutet es, wenn einem Pharmaunternehmen geheime Rezepturen, einem Dienstleister sein Lieferantennetzwerk, einem Softwareunternehmen der Source-Code oder einer Militärbehörde die Namen der Angehörigen eines Sonderkommandos entwendet werden? Was, wenn die Steuerung eines Kraftwerks betroffen ist? Neben Diebstahl und damit verbundenen Vertraulichkeitsthematiken birgt auch unbemerktes Verändern und das Nichtverfügbarsein von Daten je nach Art und Unternehmung eine ernstzunehmende Gefahr. Die Handelsabteilung einer Bank ist handlungsunfähig und erleidet hohe Umsatzeinbussen, wenn sie ihre Transaktionen nicht zeitgerecht an die Börse übermitteln kann. Warum sollte zudem der moderne Bankräuber eine Bank überfallen, wenn mit 500 Mio. gestohlener User-Accounts oder Kreditkarteninformationen auf dem Schwarzmarkt je nach Güte der Daten bis zu 2 Mia. Dollar herausgeschlagen werden können? Der Reputationsschaden ist nebst rechtlichen und finanziellen Auswirkungen immens und kann ein Unternehmen im schlimmsten Fall in den Ruin treiben. Dabei ist es letztendlich von geringer Bedeutung, ob wie im Fall der US-Pizzakette Cicis Malware in das Kassensystem eingeschleust wurde oder wie im Fall von Sony Playstation oder Adobe Systems das Serviceportal gehackt und Millionen von Kunden-Zahlungsdaten entwendet wurden. Eine Unternehmung sollte sich mittels Unterstützung durch ein ISMS (Information Security Management System) dem Wert ihrer Daten bewusst sein, sodass der Schutz explizit und den Kosten entsprechend danach ausrichtet werden kann. Assets werden nach Anwendungsbereich, Bedrohung, Schwachstellen und dem Schutzgrad der Massnahmen bewertet.Die Führungsebene übernimmt Verantwortung
Cyber-Security gehört analog dem internen Kontrollsystem und Compliance-Thematiken mittlerweile zu den Verantwortungsbereichen der Unternehmensführung:- Das Bekenntnis zu einer umfassenden Bekämpfung von Cyber-Risiken und die Übernahme der Verantwortung muss vorhanden sein
- Personelle, zeitliche und finanzielle Ressourcen wie auch Verantwortlichkeiten müssen zugeteilt und eine Sicherheitsorganisation aufgebaut und unterhalten werden
- Die ausgearbeiteten Sicherheitskonzepte mit entsprechenden Kontrollen und Massnahmen müssen in die Prozesse integriert und zukünftig mittels Zielvorgaben gesteuert werden
Blogpost wurde erstelle von Pascal Bieri (PwC) im Rahmen vom CAS Information Security & Risk Management. Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.
Kommentare
Keine Kommentare erfasst zu CAS Information Security & Risk Management 2017: Cybersecurity