SlideShare una empresa de Scribd logo

Datensicherheit: Diebstahl und Prävention

A
Acertigo
Empresariales
1 de 16
Descargar para leer sin conexión
Payment Card Industry Data Security Standard Case Study: Datendiebstahl und Prävention Fachveranstaltung Datensicherheit Bern 7. September 2011 © 2011 Acertigo AG
INHALT 1. FIRMENPROFIL 2. DATENDIEBSTAHL UND PRÄVENTION 3. KONTAKT © 2011 Acertigo AG
FIRMENPROFIL  Für unsere Kunden langjähriger erfahrener Partner und Dienstleister im PCI-Bereich.  Seit 2004 zugelassener Zertifizierer für die unterschiedlichen PCI Standards, wie PCI DSS, PA-DSS, PCI PIN Security.  Akkreditierung als Zertifizierer für die Regionen Zentraleuropa, Naher Osten und Afrika.  Standorte: Stuttgart, Zurich  Sales-Offices: Budapest, Stockholm, Riyadh, Wien, Zagreb  Mehr als 100 Level 1 Audit-Kunden  Mehrere tausend Händler auf den Zertifizierungsportalen © 2011 Acertigo AG
FIRMENPROFIL Services im Überblick Wir beraten, prüfen und zertifizieren Unternehmen im Bereich IT-Sicherheit und Datenschutz. Unser Schwerpunkt liegt dabei im Bereich der Compliance Services für die Payment Card Industry (PCI). Acquirer Compliance  Dienstleister für alle Unternehmen Services die eine PCI-Zertifizierung durchführen (Banken, Prozessoren, PCI Onsite Reviews Payment Gateway, Service und PCI Vulnerability Scans Hostingprovider, Händler) Training & Awareness  Wir unterstützen und beraten unsere Kunden in allen Phasen der PCI-Zertifizierung. Remediation Support  Expertise in PCI DSS, PA DSS, PIN Security sowie dem Compliance- PCI Gap Analyse / Pre-Compliance Management beim Acquirer Review Compliance Advisory © 2011 Acertigo AG
INHALT 1. FIRMENPROFIL 2. DATENDIEBSTAHL UND PRÄVENTION 3. KONTAKT © 2011 Acertigo AG
EXISTIEREN BEDROHUNGEN ? © 2011 Acertigo AG
EXISTIEREN BEDROHUNGEN ? BETRIFFT ES MICH ? Quellen: Studie von Ernst&Young, 2011 Data Breach Report Verizon, 2010 © 2011 Acertigo AG
DATENDIEBSTAHL UND PRÄVENTION WER MUSS SICH DARUM KÜMMERN?  Verantwortlichkeiten  Geschäftsführung  IT-Leiter  Datenschutzbeauftragter  CSO (Chief Security Officer)  Regulatorische Anforderungen  PCI DSS  Datenschutzgesetze (EU, landesspezifische Umsetzung, kantonale Gesetze) © 2011 Acertigo AG
DATENDIEBSTAHL UND PRÄVENTION HABE ICH SCHÜTZENSWERTE DATEN?  Was ist gefährdet?  Unternehmensdaten  Kosten- und Preiskalkulationen  Finanzdaten  Vertragsdaten  Personaldaten  usw.  Kundendaten  Kundenstamm  Konditionen  Bankverbindungsdaten, Kartennummern  usw.  Rechte und Entwicklungs-Knowhow © 2011 Acertigo AG
DATENDIEBSTAHL UND PRÄVENTION  Wie erfolgt die Gefährdung?  Externe Angriffe  Trojaner, Schadsoftware, Key Logger, etc.  Manipulierte Programme  Social Engineering  Durch eigene Mitarbeiter Quelle: Studie von Ernst&Young, 2011  Verlust von mobilen Geräten wie Laptops, SmartPhones  Verlust von Medien (print, DVD, CD, USB-Sticks, etc.)  Unerlaubte elektronische Weitergabe (email, Web, etc.)  Missbrauch durch priviligierte User (admins, etc.)  Weitere Einflüsse  Löschung, Brand, Vandalismus, technische Ausfälle, etc. -> Disaster Recovery / Backup © 2011 Acertigo AG
DATENDIEBSTAHL UND PRÄVENTION WIE SCHÜTZE ICH MICH?  Schutz auf unterschiedlichen Ebenen notwendig  auf der Netzwerk-Ebene  durch Firewalls  durch Detektionssysteme wie IDS/IPS  auf der System- und Applikationsebene  durch Antivirus-Systeme  durch File Integrity Monitoring  durch Zugriffskontrolle auf Systeme und Applikationen  durch „Device Control“ (nur zugelassen Geräte)  aber insbesondere auf der Datenebene  durch Verschlüsselung  durch Zugriffsauthentifizierung  durch Data Loss Prevention Technologien © 2011 Acertigo AG
DATENDIEBSTAHL UND PRÄVENTION WIE SCHÜTZE ICH MICH?  Um Schutzmassnahmen zu adressieren müssen Daten  identifiziert werden (wo)  klassifiziert werden (welche)  und Regeln (wer, was, wofür) für die Schutzklassen festgelegt werden  Daten müssen geschützt werden, egal wo diese sich befinden  Schutz bei Verlust von mobilen Geräten (z.B. Festplattenverschlüsselung)  Nutzung durch Speichermedien (protected USB-Stick, Blockierung der Nutzung solcher Medienanschlüsse wie USB, Firewire, Bluetooth, Wireless, Brennerlaufwerke)  Überwachung und Kontrolle der Zugriffe auf Daten im Netzwerk  Datenexportkontrolle (Data Loss Prevention Technologien)  Mitarbeiter müssen informiert und geschult werden im Umgang mit sensiblen Daten © 2011 Acertigo AG
DATENDIEBSTAHL UND PRÄVENTION Technische Massnahmen müssen die organisatorischen Vorgaben wo notwendig unterstützen und durchsetzen Richtlinien und Weisungen sollen die sachgerechte Nutzung der Daten vorgeben Verringerung der Datenhaltung reduziert Risiken Datenschutz erfordert zu wissen, was schützenwerte Daten sind, wo diese gespeichert sind, durch welche Prozesse diese verarbeitet werden und von wem © 2011 Acertigo AG
DATENDIEBSTAHL UND PRÄVENTION  Fazit  Identifikation (Was sind schützenwerte Daten, Wo befinden sich diese Daten)  Nutzung (Wer benötigt Zugriff auf diese Daten, Warum werden diese Daten benötigt)  Dokumentation (Sicherheitsrichtlinien, Weisungen)  Welche technischen und organisatorischen Massnahmen können zum Schutz ergriffen werden  Schulung/Awareness  Welche rechtlichen Anforderungen sind zu erfüllen der PCI DSS Standard trifft Regelungen zu diesen Punkten © 2011 Acertigo AG
Danke für Ihre Aufmerksamkeit ! Ralph Wörn Vorstand Acertigo AG Wilhelmsplatz 8, 70182 Stuttgart, Germany phone + 49 711 620 30 232 fax + 49 711 620 30 200 email ralph.woern@acertigo.com © 2011 Acertigo AG
COPYRIGHT Acertigo AG – Stuttgart and its companies (“Acertigo”) retain all ownership rights to this document (the "Document“). Use of the Document is governed by applicable copyright law. Acertigo may revise this Document from time to time without notice. This document is provided “as is” without warranty of any kind. In no event shall Acertigo be liable for indirect, special, incidental, or consequential damages of any kind arising from any error in this document, including without limitation any loss or interruption of business, profits, use or data. All contents provided in this document are protected by copyright. None of the material may be reproduced, copied or distributed in any form without the prior written permission of Acertigo AG. All rights are reserved including those in the translation. Trademarks: Most of the names and trade names, including hardware and software terms, mentioned in this document are either registered trademarks or should be considered as such. All information contained on this document has been published without regard to a possible patent protection. All names of goods are used without the guarantee of usability. All rights are reserved. Acertigo is a registered Trademark in Germany and other countries. © 2011 Acertigo AG

Recomendados

Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldReto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldONE Schweiz
 
Marktchancen mit IT-Sicherheit
Marktchancen mit IT-SicherheitMarktchancen mit IT-Sicherheit
Marktchancen mit IT-SicherheitFraunhofer AISEC
 
B3 Act Lotusday 08 09 2009
B3 Act Lotusday 08 09 2009B3 Act Lotusday 08 09 2009
B3 Act Lotusday 08 09 2009Andreas Schulte
 
Astaro Security Wall - Sechs Schritte zur sicheren IT
Astaro Security Wall - Sechs Schritte zur sicheren ITAstaro Security Wall - Sechs Schritte zur sicheren IT
Astaro Security Wall - Sechs Schritte zur sicheren ITnetlogix
 
IT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen - Security und ComplianceIT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen - Security und Compliancemmi-consult
 
Regelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenRegelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenICT Economic Impact
 
Compliance needs transparency
Compliance needs transparencyCompliance needs transparency
Compliance needs transparencyBalaBit
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Carsten Muetzlitz
 

Recomendados

Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldReto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldONE Schweiz
 
Marktchancen mit IT-Sicherheit
Marktchancen mit IT-SicherheitMarktchancen mit IT-Sicherheit
Marktchancen mit IT-SicherheitFraunhofer AISEC
 
B3 Act Lotusday 08 09 2009
B3 Act Lotusday 08 09 2009B3 Act Lotusday 08 09 2009
B3 Act Lotusday 08 09 2009Andreas Schulte
 
Astaro Security Wall - Sechs Schritte zur sicheren IT
Astaro Security Wall - Sechs Schritte zur sicheren ITAstaro Security Wall - Sechs Schritte zur sicheren IT
Astaro Security Wall - Sechs Schritte zur sicheren ITnetlogix
 
IT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen - Security und ComplianceIT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen - Security und Compliancemmi-consult
 
Regelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenRegelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenICT Economic Impact
 
Compliance needs transparency
Compliance needs transparencyCompliance needs transparency
Compliance needs transparencyBalaBit
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Carsten Muetzlitz
 
Nooz magazin ausgabe 04/14
Nooz magazin ausgabe 04/14Nooz magazin ausgabe 04/14
Nooz magazin ausgabe 04/14brandnooz
 
Mis artistas favoritos
Mis artistas favoritosMis artistas favoritos
Mis artistas favoritosAndy A M
 
Riesgos ergonómicos
Riesgos ergonómicosRiesgos ergonómicos
Riesgos ergonómicosenderson89ro
 
E partner des monats dänemark
E partner des monats dänemarkE partner des monats dänemark
E partner des monats dänemarkAustrian National Tourist Office
 
E deber lesly_mlr
E deber lesly_mlrE deber lesly_mlr
E deber lesly_mlrLesly Lr
 
Herramienta MELANIE
Herramienta MELANIEHerramienta MELANIE
Herramienta MELANIEMpolania
 
Documento entregado 6ª reunion convenio
Documento entregado 6ª reunion convenioDocumento entregado 6ª reunion convenio
Documento entregado 6ª reunion convenioHilario Sánchez Díaz
 
Sicher in die zukunft mit sonnenstrom
Sicher in die zukunft mit sonnenstromSicher in die zukunft mit sonnenstrom
Sicher in die zukunft mit sonnenstromerhard renz
 
Marketingkampagne Winter 2013/14 Belgien
Marketingkampagne Winter 2013/14 BelgienMarketingkampagne Winter 2013/14 Belgien
Marketingkampagne Winter 2013/14 BelgienAustrian National Tourist Office
 
E partner des monats schweden
E partner des monats schwedenE partner des monats schweden
E partner des monats schwedenAustrian National Tourist Office
 
Studie zur Fiskalisierung des Elektrizitätseinsatzes
Studie zur Fiskalisierung des ElektrizitätseinsatzesStudie zur Fiskalisierung des Elektrizitätseinsatzes
Studie zur Fiskalisierung des ElektrizitätseinsatzesMarkus Saurer
 
Binder1
Binder1Binder1
Binder1Livexlighting
 
Fundamentos de economia_cap_6
Fundamentos de economia_cap_6Fundamentos de economia_cap_6
Fundamentos de economia_cap_6Cesar Veloza Quiroga
 
Composicion inorganica del suelo.docx098
Composicion inorganica del suelo.docx098 Composicion inorganica del suelo.docx098
Composicion inorganica del suelo.docx098 drossvat
 
Tipografia
TipografiaTipografia
Tipografiainstituto de tegnologia Antonio Jose de sucre
 
E marketing bausteinsystem sommer dk & se
E marketing bausteinsystem sommer dk & seE marketing bausteinsystem sommer dk & se
E marketing bausteinsystem sommer dk & seAustrian National Tourist Office
 
El medio ambiente
El medio ambienteEl medio ambiente
El medio ambienteJuanitoDavid2
 
EnseñanzAl2
EnseñanzAl2EnseñanzAl2
EnseñanzAl2KENDRA2014
 
Marketingkampagne Winter 2013/14 Schweden
Marketingkampagne Winter 2013/14 SchwedenMarketingkampagne Winter 2013/14 Schweden
Marketingkampagne Winter 2013/14 SchwedenAustrian National Tourist Office
 
Motivacion con caracter
Motivacion con caracterMotivacion con caracter
Motivacion con caracterjoann0707
 
Datensicherheit: Sicherheitsrichtlinie
Datensicherheit: SicherheitsrichtlinieDatensicherheit: Sicherheitsrichtlinie
Datensicherheit: SicherheitsrichtlinieAcertigo
 
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldSicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldONE Schweiz
 

Más contenido relacionado

Destacado

Nooz magazin ausgabe 04/14
Nooz magazin ausgabe 04/14Nooz magazin ausgabe 04/14
Nooz magazin ausgabe 04/14brandnooz
 
Mis artistas favoritos
Mis artistas favoritosMis artistas favoritos
Mis artistas favoritosAndy A M
 
Riesgos ergonómicos
Riesgos ergonómicosRiesgos ergonómicos
Riesgos ergonómicosenderson89ro
 
E deber lesly_mlr
E deber lesly_mlrE deber lesly_mlr
E deber lesly_mlrLesly Lr
 
Herramienta MELANIE
Herramienta MELANIEHerramienta MELANIE
Herramienta MELANIEMpolania
 
Documento entregado 6ª reunion convenio
Documento entregado 6ª reunion convenioDocumento entregado 6ª reunion convenio
Documento entregado 6ª reunion convenioHilario Sánchez Díaz
 
Sicher in die zukunft mit sonnenstrom
Sicher in die zukunft mit sonnenstromSicher in die zukunft mit sonnenstrom
Sicher in die zukunft mit sonnenstromerhard renz
 
Studie zur Fiskalisierung des Elektrizitätseinsatzes
Studie zur Fiskalisierung des ElektrizitätseinsatzesStudie zur Fiskalisierung des Elektrizitätseinsatzes
Studie zur Fiskalisierung des ElektrizitätseinsatzesMarkus Saurer
 
Composicion inorganica del suelo.docx098
Composicion inorganica del suelo.docx098 Composicion inorganica del suelo.docx098
Composicion inorganica del suelo.docx098 drossvat
 
Motivacion con caracter
Motivacion con caracterMotivacion con caracter
Motivacion con caracterjoann0707
 

Destacado (20)

Nooz magazin ausgabe 04/14
Nooz magazin ausgabe 04/14Nooz magazin ausgabe 04/14
Nooz magazin ausgabe 04/14
 
Mis artistas favoritos
Mis artistas favoritosMis artistas favoritos
Mis artistas favoritos
 
Riesgos ergonómicos
Riesgos ergonómicosRiesgos ergonómicos
Riesgos ergonómicos
 
E partner des monats dänemark
E partner des monats dänemarkE partner des monats dänemark
E partner des monats dänemark
 
E deber lesly_mlr
E deber lesly_mlrE deber lesly_mlr
E deber lesly_mlr
 
Herramienta MELANIE
Herramienta MELANIEHerramienta MELANIE
Herramienta MELANIE
 
Documento entregado 6ª reunion convenio
Documento entregado 6ª reunion convenioDocumento entregado 6ª reunion convenio
Documento entregado 6ª reunion convenio
 
Sicher in die zukunft mit sonnenstrom
Sicher in die zukunft mit sonnenstromSicher in die zukunft mit sonnenstrom
Sicher in die zukunft mit sonnenstrom
 
Marketingkampagne Winter 2013/14 Belgien
Marketingkampagne Winter 2013/14 BelgienMarketingkampagne Winter 2013/14 Belgien
Marketingkampagne Winter 2013/14 Belgien
 
E partner des monats schweden
E partner des monats schwedenE partner des monats schweden
E partner des monats schweden
 
Studie zur Fiskalisierung des Elektrizitätseinsatzes
Studie zur Fiskalisierung des ElektrizitätseinsatzesStudie zur Fiskalisierung des Elektrizitätseinsatzes
Studie zur Fiskalisierung des Elektrizitätseinsatzes
 
Binder1
Binder1Binder1
Binder1
 
Fundamentos de economia_cap_6
Fundamentos de economia_cap_6Fundamentos de economia_cap_6
Fundamentos de economia_cap_6
 
Composicion inorganica del suelo.docx098
Composicion inorganica del suelo.docx098 Composicion inorganica del suelo.docx098
Composicion inorganica del suelo.docx098
 
Tipografia
TipografiaTipografia
Tipografia
 
E marketing bausteinsystem sommer dk & se
E marketing bausteinsystem sommer dk & seE marketing bausteinsystem sommer dk & se
E marketing bausteinsystem sommer dk & se
 
El medio ambiente
El medio ambienteEl medio ambiente
El medio ambiente
 
EnseñanzAl2
EnseñanzAl2EnseñanzAl2
EnseñanzAl2
 
Marketingkampagne Winter 2013/14 Schweden
Marketingkampagne Winter 2013/14 SchwedenMarketingkampagne Winter 2013/14 Schweden
Marketingkampagne Winter 2013/14 Schweden
 
Motivacion con caracter
Motivacion con caracterMotivacion con caracter
Motivacion con caracter
 

Similar a Datensicherheit: Diebstahl und Prävention

Datensicherheit: Sicherheitsrichtlinie
Datensicherheit: SicherheitsrichtlinieDatensicherheit: Sicherheitsrichtlinie
Datensicherheit: SicherheitsrichtlinieAcertigo
 
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldSicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldONE Schweiz
 
Understanding Revolutionary Technology in Today's Data Security Environment
Understanding Revolutionary Technology in Today's Data Security EnvironmentUnderstanding Revolutionary Technology in Today's Data Security Environment
Understanding Revolutionary Technology in Today's Data Security EnvironmentProtegrity
 
Microsoft Kompendium IT-Compliance und -Security
Microsoft Kompendium IT-Compliance und -SecurityMicrosoft Kompendium IT-Compliance und -Security
Microsoft Kompendium IT-Compliance und -SecurityMichael Hettich
 
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011Bernd Fuhlert
 
Helicopter Mittelstand
Helicopter MittelstandHelicopter Mittelstand
Helicopter MittelstandDahamoo GmbH
 
TÜV-Zertifizierung "Geprüfte App"
TÜV-Zertifizierung "Geprüfte App"TÜV-Zertifizierung "Geprüfte App"
TÜV-Zertifizierung "Geprüfte App"Connected-Blog
 
TÜV-Zertifizierung „Geprüfte App“
TÜV-Zertifizierung „Geprüfte App“TÜV-Zertifizierung „Geprüfte App“
TÜV-Zertifizierung „Geprüfte App“Connected-Blog
 
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting Hans Peter Knaust
 
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorabtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorbhoeck
 
Datenschutz bei elektronischer Personalakte & Datensicherheit
Datenschutz bei elektronischer Personalakte & DatensicherheitDatenschutz bei elektronischer Personalakte & Datensicherheit
Datenschutz bei elektronischer Personalakte & DatensicherheitinPuncto GmbH
 
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?lernet
 
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARM
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARMExperteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARM
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARMThomas Maier
 
abtis erhält Advanced Specialization für Identity and Access Management
abtis erhält Advanced Specialization für Identity and Access Managementabtis erhält Advanced Specialization für Identity and Access Management
abtis erhält Advanced Specialization für Identity and Access Managementbhoeck
 
Klöcker & Kück Datenschutz
Klöcker & Kück Datenschutz Klöcker & Kück Datenschutz
Klöcker & Kück Datenschutz Andreas Klöcker
 
Microsoft security workshop kurz
Microsoft security workshop kurzMicrosoft security workshop kurz
Microsoft security workshop kurzAllessandra Negri
 
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securityabtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securitybhoeck
 
Sichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMMSichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMMOPTIMAbit GmbH
 

Similar a Datensicherheit: Diebstahl und Prävention (20)

Datensicherheit: Sicherheitsrichtlinie
Datensicherheit: SicherheitsrichtlinieDatensicherheit: Sicherheitsrichtlinie
Datensicherheit: Sicherheitsrichtlinie
 
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldSicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
 
Understanding Revolutionary Technology in Today's Data Security Environment
Understanding Revolutionary Technology in Today's Data Security EnvironmentUnderstanding Revolutionary Technology in Today's Data Security Environment
Understanding Revolutionary Technology in Today's Data Security Environment
 
CCPP
CCPPCCPP
CCPP
 
Microsoft Kompendium IT-Compliance und -Security
Microsoft Kompendium IT-Compliance und -SecurityMicrosoft Kompendium IT-Compliance und -Security
Microsoft Kompendium IT-Compliance und -Security
 
ESET - Business to Business
ESET - Business to BusinessESET - Business to Business
ESET - Business to Business
 
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
 
Helicopter Mittelstand
Helicopter MittelstandHelicopter Mittelstand
Helicopter Mittelstand
 
TÜV-Zertifizierung "Geprüfte App"
TÜV-Zertifizierung "Geprüfte App"TÜV-Zertifizierung "Geprüfte App"
TÜV-Zertifizierung "Geprüfte App"
 
TÜV-Zertifizierung „Geprüfte App“
TÜV-Zertifizierung „Geprüfte App“TÜV-Zertifizierung „Geprüfte App“
TÜV-Zertifizierung „Geprüfte App“
 
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
 
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorabtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
 
Datenschutz bei elektronischer Personalakte & Datensicherheit
Datenschutz bei elektronischer Personalakte & DatensicherheitDatenschutz bei elektronischer Personalakte & Datensicherheit
Datenschutz bei elektronischer Personalakte & Datensicherheit
 
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
 
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARM
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARMExperteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARM
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARM
 
abtis erhält Advanced Specialization für Identity and Access Management
abtis erhält Advanced Specialization für Identity and Access Managementabtis erhält Advanced Specialization für Identity and Access Management
abtis erhält Advanced Specialization für Identity and Access Management
 
Klöcker & Kück Datenschutz
Klöcker & Kück Datenschutz Klöcker & Kück Datenschutz
Klöcker & Kück Datenschutz
 
Microsoft security workshop kurz
Microsoft security workshop kurzMicrosoft security workshop kurz
Microsoft security workshop kurz
 
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securityabtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
 
Sichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMMSichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMM
 

Datensicherheit: Diebstahl und Prävention

  • 1. Payment Card Industry Data Security Standard Case Study: Datendiebstahl und Prävention Fachveranstaltung Datensicherheit Bern 7. September 2011 © 2011 Acertigo AG
  • 2. INHALT 1. FIRMENPROFIL 2. DATENDIEBSTAHL UND PRÄVENTION 3. KONTAKT © 2011 Acertigo AG
  • 3. FIRMENPROFIL  Für unsere Kunden langjähriger erfahrener Partner und Dienstleister im PCI-Bereich.  Seit 2004 zugelassener Zertifizierer für die unterschiedlichen PCI Standards, wie PCI DSS, PA-DSS, PCI PIN Security.  Akkreditierung als Zertifizierer für die Regionen Zentraleuropa, Naher Osten und Afrika.  Standorte: Stuttgart, Zurich  Sales-Offices: Budapest, Stockholm, Riyadh, Wien, Zagreb  Mehr als 100 Level 1 Audit-Kunden  Mehrere tausend Händler auf den Zertifizierungsportalen © 2011 Acertigo AG
  • 4. FIRMENPROFIL Services im Überblick Wir beraten, prüfen und zertifizieren Unternehmen im Bereich IT-Sicherheit und Datenschutz. Unser Schwerpunkt liegt dabei im Bereich der Compliance Services für die Payment Card Industry (PCI). Acquirer Compliance  Dienstleister für alle Unternehmen Services die eine PCI-Zertifizierung durchführen (Banken, Prozessoren, PCI Onsite Reviews Payment Gateway, Service und PCI Vulnerability Scans Hostingprovider, Händler) Training & Awareness  Wir unterstützen und beraten unsere Kunden in allen Phasen der PCI-Zertifizierung. Remediation Support  Expertise in PCI DSS, PA DSS, PIN Security sowie dem Compliance- PCI Gap Analyse / Pre-Compliance Management beim Acquirer Review Compliance Advisory © 2011 Acertigo AG
  • 5. INHALT 1. FIRMENPROFIL 2. DATENDIEBSTAHL UND PRÄVENTION 3. KONTAKT © 2011 Acertigo AG
  • 6. EXISTIEREN BEDROHUNGEN ? © 2011 Acertigo AG
  • 7. EXISTIEREN BEDROHUNGEN ? BETRIFFT ES MICH ? Quellen: Studie von Ernst&Young, 2011 Data Breach Report Verizon, 2010 © 2011 Acertigo AG
  • 8. DATENDIEBSTAHL UND PRÄVENTION WER MUSS SICH DARUM KÜMMERN?  Verantwortlichkeiten  Geschäftsführung  IT-Leiter  Datenschutzbeauftragter  CSO (Chief Security Officer)  Regulatorische Anforderungen  PCI DSS  Datenschutzgesetze (EU, landesspezifische Umsetzung, kantonale Gesetze) © 2011 Acertigo AG
  • 9. DATENDIEBSTAHL UND PRÄVENTION HABE ICH SCHÜTZENSWERTE DATEN?  Was ist gefährdet?  Unternehmensdaten  Kosten- und Preiskalkulationen  Finanzdaten  Vertragsdaten  Personaldaten  usw.  Kundendaten  Kundenstamm  Konditionen  Bankverbindungsdaten, Kartennummern  usw.  Rechte und Entwicklungs-Knowhow © 2011 Acertigo AG
  • 10. DATENDIEBSTAHL UND PRÄVENTION  Wie erfolgt die Gefährdung?  Externe Angriffe  Trojaner, Schadsoftware, Key Logger, etc.  Manipulierte Programme  Social Engineering  Durch eigene Mitarbeiter Quelle: Studie von Ernst&Young, 2011  Verlust von mobilen Geräten wie Laptops, SmartPhones  Verlust von Medien (print, DVD, CD, USB-Sticks, etc.)  Unerlaubte elektronische Weitergabe (email, Web, etc.)  Missbrauch durch priviligierte User (admins, etc.)  Weitere Einflüsse  Löschung, Brand, Vandalismus, technische Ausfälle, etc. -> Disaster Recovery / Backup © 2011 Acertigo AG
  • 11. DATENDIEBSTAHL UND PRÄVENTION WIE SCHÜTZE ICH MICH?  Schutz auf unterschiedlichen Ebenen notwendig  auf der Netzwerk-Ebene  durch Firewalls  durch Detektionssysteme wie IDS/IPS  auf der System- und Applikationsebene  durch Antivirus-Systeme  durch File Integrity Monitoring  durch Zugriffskontrolle auf Systeme und Applikationen  durch „Device Control“ (nur zugelassen Geräte)  aber insbesondere auf der Datenebene  durch Verschlüsselung  durch Zugriffsauthentifizierung  durch Data Loss Prevention Technologien © 2011 Acertigo AG
  • 12. DATENDIEBSTAHL UND PRÄVENTION WIE SCHÜTZE ICH MICH?  Um Schutzmassnahmen zu adressieren müssen Daten  identifiziert werden (wo)  klassifiziert werden (welche)  und Regeln (wer, was, wofür) für die Schutzklassen festgelegt werden  Daten müssen geschützt werden, egal wo diese sich befinden  Schutz bei Verlust von mobilen Geräten (z.B. Festplattenverschlüsselung)  Nutzung durch Speichermedien (protected USB-Stick, Blockierung der Nutzung solcher Medienanschlüsse wie USB, Firewire, Bluetooth, Wireless, Brennerlaufwerke)  Überwachung und Kontrolle der Zugriffe auf Daten im Netzwerk  Datenexportkontrolle (Data Loss Prevention Technologien)  Mitarbeiter müssen informiert und geschult werden im Umgang mit sensiblen Daten © 2011 Acertigo AG
  • 13. DATENDIEBSTAHL UND PRÄVENTION Technische Massnahmen müssen die organisatorischen Vorgaben wo notwendig unterstützen und durchsetzen Richtlinien und Weisungen sollen die sachgerechte Nutzung der Daten vorgeben Verringerung der Datenhaltung reduziert Risiken Datenschutz erfordert zu wissen, was schützenwerte Daten sind, wo diese gespeichert sind, durch welche Prozesse diese verarbeitet werden und von wem © 2011 Acertigo AG
  • 14. DATENDIEBSTAHL UND PRÄVENTION  Fazit  Identifikation (Was sind schützenwerte Daten, Wo befinden sich diese Daten)  Nutzung (Wer benötigt Zugriff auf diese Daten, Warum werden diese Daten benötigt)  Dokumentation (Sicherheitsrichtlinien, Weisungen)  Welche technischen und organisatorischen Massnahmen können zum Schutz ergriffen werden  Schulung/Awareness  Welche rechtlichen Anforderungen sind zu erfüllen der PCI DSS Standard trifft Regelungen zu diesen Punkten © 2011 Acertigo AG
  • 15. Danke für Ihre Aufmerksamkeit ! Ralph Wörn Vorstand Acertigo AG Wilhelmsplatz 8, 70182 Stuttgart, Germany phone + 49 711 620 30 232 fax + 49 711 620 30 200 email ralph.woern@acertigo.com © 2011 Acertigo AG
  • 16. COPYRIGHT Acertigo AG – Stuttgart and its companies (“Acertigo”) retain all ownership rights to this document (the "Document“). Use of the Document is governed by applicable copyright law. Acertigo may revise this Document from time to time without notice. This document is provided “as is” without warranty of any kind. In no event shall Acertigo be liable for indirect, special, incidental, or consequential damages of any kind arising from any error in this document, including without limitation any loss or interruption of business, profits, use or data. All contents provided in this document are protected by copyright. None of the material may be reproduced, copied or distributed in any form without the prior written permission of Acertigo AG. All rights are reserved including those in the translation. Trademarks: Most of the names and trade names, including hardware and software terms, mentioned in this document are either registered trademarks or should be considered as such. All information contained on this document has been published without regard to a possible patent protection. All names of goods are used without the guarantee of usability. All rights are reserved. Acertigo is a registered Trademark in Germany and other countries. © 2011 Acertigo AG