datensicherheit: diebstahl und prävention
DESCRIPTION
TRANSCRIPT
© 2011 Acertigo AG
Payment Card Industry Data Security Standard
Case Study: Datendiebstahl und Prävention
Fachveranstaltung Datensicherheit Bern 7. September 2011
© 2011 Acertigo AG
INHALT
1. FIRMENPROFIL
2. DATENDIEBSTAHL UND PRÄVENTION
3. KONTAKT
© 2011 Acertigo AG
FIRMENPROFIL
Für unsere Kunden langjähriger erfahrener Partner und Dienstleister im PCI-Bereich.
Seit 2004 zugelassener Zertifizierer für die unterschiedlichen PCI Standards, wie PCI DSS, PA-DSS, PCI PIN Security.
Akkreditierung als Zertifizierer für die Regionen Zentraleuropa, Naher Osten und Afrika.
Standorte: Stuttgart, Zurich
Sales-Offices: Budapest, Stockholm, Riyadh, Wien, Zagreb
Mehr als 100 Level 1 Audit-Kunden
Mehrere tausend Händler auf den Zertifizierungsportalen
© 2011 Acertigo AG
FIRMENPROFIL Services im Überblick
Dienstleister für alle Unternehmen die eine PCI-Zertifizierung durchführen (Banken, Prozessoren, Payment Gateway, Service und Hostingprovider, Händler)
Wir unterstützen und beraten unsere Kunden in allen Phasen der PCI-Zertifizierung.
Expertise in PCI DSS, PA DSS, PIN Security sowie dem Compliance-Management beim Acquirer
Acquirer Compliance Services
PCI Onsite Reviews PCI Vulnerability Scans
Training & Awareness
Remediation Support
PCI Gap Analyse / Pre-Compliance
Review
Compliance Advisory
Wir beraten, prüfen und zertifizieren Unternehmen im Bereich IT-Sicherheit und Datenschutz. Unser Schwerpunkt liegt dabei im Bereich der Compliance Services für die Payment Card Industry (PCI).
© 2011 Acertigo AG
INHALT
1. FIRMENPROFIL
2. DATENDIEBSTAHL UND PRÄVENTION
3. KONTAKT
© 2011 Acertigo AG
EXISTIEREN BEDROHUNGEN ?
© 2011 Acertigo AG
EXISTIEREN BEDROHUNGEN ? BETRIFFT ES MICH ?
Quellen: Studie von Ernst&Young, 2011 Data Breach Report Verizon, 2010
© 2011 Acertigo AG
DATENDIEBSTAHL UND PRÄVENTION WER MUSS SICH DARUM KÜMMERN?
Verantwortlichkeiten Geschäftsführung IT-Leiter Datenschutzbeauftragter CSO (Chief Security Officer)
Regulatorische Anforderungen PCI DSS Datenschutzgesetze (EU, landesspezifische Umsetzung, kantonale Gesetze)
© 2011 Acertigo AG
DATENDIEBSTAHL UND PRÄVENTION HABE ICH SCHÜTZENSWERTE DATEN?
Was ist gefährdet? Unternehmensdaten
Kosten- und Preiskalkulationen Finanzdaten Vertragsdaten Personaldaten usw.
Kundendaten Kundenstamm Konditionen Bankverbindungsdaten, Kartennummern usw.
Rechte und Entwicklungs-Knowhow
© 2011 Acertigo AG
DATENDIEBSTAHL UND PRÄVENTION
Wie erfolgt die Gefährdung? Externe Angriffe
Trojaner, Schadsoftware, Key Logger, etc.
Manipulierte Programme Social Engineering
Quelle: Studie von Ernst&Young, 2011 Durch eigene Mitarbeiter Verlust von mobilen Geräten wie Laptops, SmartPhones Verlust von Medien (print, DVD, CD, USB-Sticks, etc.) Unerlaubte elektronische Weitergabe (email, Web, etc.) Missbrauch durch priviligierte User (admins, etc.)
Weitere Einflüsse Löschung, Brand, Vandalismus, technische Ausfälle, etc.
-> Disaster Recovery / Backup
© 2011 Acertigo AG
DATENDIEBSTAHL UND PRÄVENTION WIE SCHÜTZE ICH MICH?
Schutz auf unterschiedlichen Ebenen notwendig auf der Netzwerk-Ebene
durch Firewalls durch Detektionssysteme wie IDS/IPS
auf der System- und Applikationsebene durch Antivirus-Systeme durch File Integrity Monitoring durch Zugriffskontrolle auf Systeme und Applikationen durch „Device Control“ (nur zugelassen Geräte)
aber insbesondere auf der Datenebene durch Verschlüsselung durch Zugriffsauthentifizierung durch Data Loss Prevention Technologien
© 2011 Acertigo AG
DATENDIEBSTAHL UND PRÄVENTION WIE SCHÜTZE ICH MICH?
Um Schutzmassnahmen zu adressieren müssen Daten identifiziert werden (wo) klassifiziert werden (welche) und Regeln (wer, was, wofür) für die Schutzklassen festgelegt werden
Daten müssen geschützt werden, egal wo diese sich befinden Schutz bei Verlust von mobilen Geräten (z.B. Festplattenverschlüsselung) Nutzung durch Speichermedien (protected USB-Stick, Blockierung der Nutzung
solcher Medienanschlüsse wie USB, Firewire, Bluetooth, Wireless, Brennerlaufwerke)
Überwachung und Kontrolle der Zugriffe auf Daten im Netzwerk Datenexportkontrolle (Data Loss Prevention Technologien)
Mitarbeiter müssen informiert und geschult werden im Umgang mit sensiblen Daten
© 2011 Acertigo AG
DATENDIEBSTAHL UND PRÄVENTION
Datenschutz erfordert zu wissen, was schützenwerte Daten sind, wo diese gespeichert sind, durch welche Prozesse diese verarbeitet werden und von wem
Verringerung der Datenhaltung reduziert Risiken
Richtlinien und Weisungen sollen die sachgerechte Nutzung der Daten vorgeben
Technische Massnahmen müssen die organisatorischen Vorgaben wo notwendig unterstützen und durchsetzen
© 2011 Acertigo AG
DATENDIEBSTAHL UND PRÄVENTION
Fazit Identifikation (Was sind schützenwerte Daten, Wo befinden sich diese Daten) Nutzung (Wer benötigt Zugriff auf diese Daten, Warum werden diese Daten
benötigt) Dokumentation (Sicherheitsrichtlinien, Weisungen) Welche technischen und organisatorischen Massnahmen können zum Schutz
ergriffen werden Schulung/Awareness Welche rechtlichen Anforderungen sind zu erfüllen
der PCI DSS Standard trifft Regelungen zu diesen Punkten
© 2011 Acertigo AG
Danke für Ihre Aufmerksamkeit !
Acertigo AG Wilhelmsplatz 8, 70182 Stuttgart, Germany phone + 49 711 620 30 232 fax + 49 711 620 30 200 email [email protected]
Ralph Wörn Vorstand
© 2011 Acertigo AG
COPYRIGHT
Acertigo AG – Stuttgart and its companies (“Acertigo”) retain all ownership rights to this document (the "Document“). Use of the Document is governed by applicable copyright law. Acertigo may revise this Document from time to time without notice. This document is provided “as is” without warranty of any kind. In no event shall Acertigo be liable for indirect, special, incidental, or consequential damages of any kind arising from any error in this document, including without limitation any loss or interruption of business, profits, use or data. All contents provided in this document are protected by copyright. None of the material may be reproduced, copied or distributed in any form without the prior written permission of Acertigo AG. All rights are reserved including those in the translation. Trademarks: Most of the names and trade names, including hardware and software terms, mentioned in this document are either registered trademarks or should be considered as such. All information contained on this document has been published without regard to a possible patent protection. All names of goods are used without the guarantee of usability. All rights are reserved. Acertigo is a registered Trademark in Germany and other countries.