1 

2 Welche Versicherungen haben Sie? SBA Research, © 2019 

3 Warum? SBA Research, © 2019 Haftpflicht Ableben Sonderklasse Bergung Kredit Zukunft Risiko Pflicht 

4 Warum? SBA Research, © 2019 Gesetz Risiko Strategisch Haftpflicht Bergung Ableben Sonderklasse 

5 Warum? SBA Research, © 2019 Gesetz Risiko Strategisch Haftpflicht Bergung Ableben Sonderklasse Es kommt darauf an! 

6 Worauf kommt es an? Beispiel Ablebensversicherung Habe ich keinen Kredit und werde ewig Single bleiben, dann sehe ich keine Situation, in der ich eine Ablebensversicherung bräuchte. SBA Research, © 2019 

7 Worauf kommt es an? Beispiel Sonderklasse Habe ich einen sehr guten (wachsenden) finanziellen Polster und auch gute Kontakte in die Gesundheitsbranche, dann werde ich nicht monatlich in einen nennenswerten Betrag strategisch investieren. SBA Research, © 2019 

8 Worauf kommt es an? Kniffligeres Beispiel In einem Webapp-Pentest wurde eine „mittlere“ Schwachstelle aufgedeckt. o Behebungskosten: € 20.000 Sofort beheben? SBA Research, © 2019 

9 Worauf kommt es an? Kniffligeres Beispiel IT (Security) möchte Schwachstellenmanagement verbessern und eine automatisierte Lösung etablieren. o Investitionsanfrage Schwachstellenmanagement Lösung für ca. 5.000 Hosts o Kosten bisher: € 4.000 / Jahr o Kosten neu: € 70.000 / Jahr Investitionsanfrage freigeben (17,5-fach)? SBA Research, © 2019 

10 Wo war der Unterschied? SBA Research, © 2019 Ableben Sonderklasse Mittlere Schwachstelle € 4.000 vs. € 70.000 (17,5-fach) Fehlende Entscheidungsgrundlage 

11 Hallo, mein Name ist Stefan… SBA Research, © 2019 

13 … und mein Problem ist: COOL vs UNCOOL new shit initiativ agil kreativ effizient motivierend old shit starr lähmend langweilig langsam überfordernd SBA Research, © 2019 

14 Evangelist in 1.000.000+ Themengebieten… SBA Research, © 2019 

16 Reaktion… old shit starr hinderlich lähmend langweilig old shit starr lähmend langweilig langsam HOT or NOT new shit initiativ agil kreativ effizient motivierend überfordernd SBA Research, © 2019 

17 „Totschlagargumente“ SBA Research, © 2019 • Wie stehen wir im Branchenvergleich? • Uns ist noch nie etwas passiert! • Meine Mailbox ist nicht vertraulich. • Das haben wir nicht budgetiert. • So kann ich nicht arbeiten! 

19 Irgendwann denk ich mir dann… SBA Research, © 2019 

21 Live of a CISO? SBA Research, © 2019 vs. C S O 

22 SBA Research, © 2019 Aber wir können das doch besser!!! 

23 Business Impact Analyse 

24 Business Impact Analyse • Beispiel 1: „Quick“ • Beispiel 2: „Medium-Large“ • Beispiel 3: „Applikationslandkarte“ SBA Research, © 2019 

25 Business Impact Analyse • Beispiel 1: „Quick“ • Beispiel 2: „Medium-Large“ • Beispiel 3: „Applikationslandkarte“ SBA Research, © 2019 

26 Business Impact Analyse „Quick“ SBA Research, © 2019 … Hoch Kritisch Finanziell Ab € 450.000 Ab € 1.350.000 Ab x% des Gewinns Ruf Essentielle Kunden drohen mit Abwanderung; Kompensation erforderlich Abwanderung essentieller Kunden; Keine Neukunden Compliance Verletzung der Sorgfaltspflicht; Schwere Missachtung von Gesetzen Vorsätzliches, mutwilliges oder kriminelles Verhalten … 

27 Business Impact Analyse „Quick“ GESCHÄFTSSICHT • Ursachenforschung starten o Wie kann es zu hohem finanziellen Schaden kommen? o Wie kann es zu kritischem Rufschaden kommen? • Was soll und was darf nicht eintreten? o Leitfaden für die Auswahl von org. & tech. Maßnahmen o Akzeptable „Unbequemlichkeiten“ und Kosten INFOSEC SICHT (nachgelagert) • Ursachenforschung auf Grundlage der Geschäftssicht starten o Wie kann dies durch Informationsverlust geschehen? o Wie kann dies durch nicht Verfügbarkeit geschehen? o … SBA Research, © 2019 

29 Business Impact Analyse • Beispiel 1: „Quick“ • Beispiel 2: „Medium-Large“ • Beispiel 3: „Applikationslandkarte“ SBA Research, © 2019 

30 Business Impact Analyse „Medium“ • Bedarf zur strukturierten Erhebung im Unternehmen erkannt o Es steht ein Budget für Interviews von 2-4 Stunden pro Bereich zur Verfügung • Fokus auf Fragestellungen: o Verfügbarkeit von Services o Schutzbedarf von Informationen SBA Research, © 2019 

31 Business Impact Analyse „Medium“ • Definition der Bewertungsgrundlagen erfolgt durch die Geschäftsführung o Gewährleistet Analyse aus Unternehmensperspektive o BIA Projektteam erarbeitet Vorschlag o Inkl. Zeitachse für Bewertung Systemausfall: 2 Std, 4 Std, … SBA Research, © 2019 

32 Business Impact Analyse „Medium“ SBA Research, © 2019 

33 Business Impact Analyse „Medium“ SBA Research, © 2019 Kritisch wegen Einmeldung schlechter Chargen 

34 Business Impact Analyse „Medium“ SBA Research, © 2019 Preisunterschied je Lieferant >> Cent Unterschiede haben X Mio. Auswirkung 

35 Business Impact Analyse „Large“ • Ausgehend von Prozessen • Ausgehend von Produkten • Ausgehend von Services • Ausgehend von Applikationen • … ➢ Bis zur Modellierung zur Verkabelung, Abhängigkeiten, Redundanzen, etc. SBA Research, © 2019 

36 Business Impact Analyse „Applikationen“ SBA Research, © 2019 

37 Business Impact Analyse „Applikationen“ SBA Research, © 2019 

38 Business Impact Analyse „Applikationen“ SBA Research, © 2019 

39 Business Impact Analyse „Applikationen“ • Ableitungen auf Basis der Geschäftssicht o Mindestsicherheitsanforderungen je Schutzklasse – Bspw. extern Erreichbar: Schutz mit MFA o Reifegradanforderung an den sicheren Entwicklungsprozess o Häufigkeit und Art der Qualitätssicherung o Auditplanung o … SBA Research, © 2019 

40 Business Impact Analyse – Ableitungen ✓ Positiven Kontakt mit Bereichen gehabt! • Erforderliches Sicherheitsniveau aus Geschäftssicht bestimmen • Priorisierung von Maßnahmen (mit Link zur Geschäftsrisiken) o … brauchen eine BIA bei der Auswahl der „Klasse der Maßnahme“ (Lada vs. Ferrarri) • Regelwerke / Vorgaben ableiten o Definition von Regelwerken brauchen „wenn es drauf ankommt“ eine BIA Betrachtung • SLAs ausgestalten • Bewertung von Vorfällen • Internes Kontrollsystem (IKS) ausgestalten (Qualitätssicherung) • Gesamtes Risikomanagement basiert auf dem Business Impact • … ➢ Ohne BIA oft Bauchgefühl und mangelnde Sichtbarkeit bzw. Verständnis! SBA Research, © 2019 

42 SBA Research, © 2019 Fazit: 2019 sollte doch InfoSec Usus sein… IT-Sicherheit Informationssicherheit Informationssicherheits- Management ISMS Fokus auf technische Sicherheitsmaßnahmen Fokus auf organisatorische & technische Anforderungen des Gesamtunternehmens – Fokus auf Daten und Informationen Informationssicherheit ist als Managementdomäne etabliert, Informationssicherheits- risikomanagement ist wesentlicher Bestandteil Nachvollziehbare Steuerung, QS und laufende Verbesserung IT-Sicherheitsmanagement IT Risikomanagement ist wesentlicher Bestandteil 

43 SBA Research, © 2019 Fazit: 2019 sind wir weit entfernt! IT-Sicherheit Informationssicherheit Informationssicherheits- Management ISMS Fokus auf technische Sicherheitsmaßnahmen Fokus auf organisatorische & technische Anforderungen des Gesamtunternehmens – Fokus auf Daten und Informationen Informationssicherheit ist als Managementdomäne etabliert, Informationssicherheits- risikomanagement ist wesentlicher Bestandteil Nachvollziehbare Steuerung, QS und laufende Verbesserung IT-Sicherheitsmanagement IT Risikomanagement ist wesentlicher Bestandteil 

45 Ich wünsche mir … meine Top 10 an den Osterhasen SBA Research, © 2019 

46 Meine 5 Empfehlungen Verantwortung – machen Sie (Info-, IT-, Cyber-) Security zum Top Management Thema 1 Auswirkung – planen Sie Security Agenden auf Basis der Geschäftsauswirkungen 2 Information – folgen Sie Informationen bis über die Unternehmensgrenzen 3 Sichtbarkeit – kennen Sie umfassend das Spektrum Ihrer Schwächen 4 Reaktion – bereiten Sie sich vor, denn Vorfälle werden geschehen 5 SBA Research, © 2019 

47 Meine 5 Must-Haves Schwachstellenmanagement – ein Angreifer braucht eine Schwachstelle….. 1 Netzwerksegmentierung – technische „Brandabschnitte“ sind essentiell 2 2-Faktor-Auth – zumindest für alle aus dem Internet erreichbaren Anwendungen 3 Sichere Softwareentwicklung – signifikante Know-How Lücken vorhanden 4 Security Awareness – MitarbeiterInnen sind die first line of defense 5 SBA Research, © 2019 

48 … zusammengefasst in 2 Bildern SBA Research, © 2019 Hausverstand Sichtbarkeit 

49 Stefan Jakoubi Geschäftsleiter Professional Services SBA Research gGmbH Favoritenstraße 16, 1040 Wien +43 660 5 10 20 40 [email protected] 

50 Bildnachweise Folie 13: “Elegant man with a laptop”; Adeolu Eletu; https://unsplash.com/; Folie 16: “Cool Man”; Free to use; www.pexels.com Folie 16: „Nicht so den Sand in den Kopf stecken“; Maik Meid; Lizenz: (CC BY 2.0); https://creativecommons.org/licenses/by/2.0/ Folie 19: „Bury your head in the sand... “; Sander van der Wel; Lizenz: (CC BY-SA 2.0); https://creativecommons.org/licenses/by/2.0/ Folie 22: „Beppo“; Joscha Sauer; Nichtlustig; Carlsen (2003) Folie 48: „Streetlight Effect“ & „Schrankenanlage“; Internet SBA Research, © 2019 

51