Hacking - nur eine abstrakte Bedrohung? - KPMG International
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Hacking – nur eine abstrakte Bedrohung?
1
Überblick zu KPMG
Cyber Security
3
Wer wir sind - KPMG Cyber Security
Seit über 25 Jahren unterstützen wir Behörden, Organisationen und
Unternehmen in allen Fragen der Informationssicherheit – sei es technischer UnserBereich
Natur oder zu organisatorischen Veränderungen zur Anpassung an aktuelle
Bedrohungslagen oder Regularien. Über 180 Mitarbeiter im Bereich Cyber Security
Expertise Über 50 zertifizierte ISO/IEC 27001 Lead Auditoren
• Langjährige Erfahrung in Projekten zu den Themen Informations- und IT-Sicherheit,
Bewährtes Team, das KRITIS-Studienfür das BSI und
Datenschutz und Datensicherheit mit Kundenbeziehungen u.a. zum BSI, der ENISA und der
Projekte zum IT-Sicherheitsgesetz durchgeführt hat
Europäischen Kommission, aber auch zu vielen Kunden der Privatwirtschaft.
• Mitarbeiter von KPMG sind anerkannte Experten in den Arbeitskreisen Cyber-Sicherheit, 3 Mitarbeiter, die Teile von BSI IT-Grundschutz
Cyber-Forensik und Sicherheitslagebild in der Allianz für Cyber-Sicherheit des BSI. mitgeschrieben haben
KPMG für Betreiber Kritischer Infrastrukturen Großer Pool an zertifizierten Experten (CISA, CISM,
CRISC, CISSP, CEH, LPT und weitere)
• Federführend beteiligt an Studien zu Informationssicherheit in Kritischen Infrastrukturen
• Nachweisprüfungen nach §8a (3) BSIG Über 20 spezialisierte Penetrationstester
Zugang zum weltweiten KPMG-internen
Unsere Dienstleistungen
Sicherheitstester-Netzwerk mit mehr als 500 Mitgliedern
• Implementierung und Zertifizierung von ISMS nach ISO/IEC 27001, CERT undSOC
• Penetrations- undSicherheitstests
• Cloud- und Mobile-Security
• Industrie 4.0, IoT, IIoT
• Education and Awareness
• CERT, SOC,SIEM
4
4
2
Mythos Hacking
5
Welche Gefahren für die IT-Sicherheit gibt es?
ungesicherte oder
Mangelndes mangelhaft gesicherte Schadsoftware (z.B. Innentäterschaft
Sicherheits- Endpoints (z.B. Verschlüsselungs-
bewusstsein bei Laptops, Clients, trojaner)
MitarbeiterInnen Smartphones)
IT-Sicherheits-
risiken für ihr Social Engineering
Unternehmen und Phishing
Mangelndes Know-
how bei
MitarbeiterInnen
?
Unachtsame Gezielte Angriffe auf IT-
Vernetzung von IT- Systeme (z.B. DDoS-
Komponenten Daten- Vorsätzliches oder DoS-Angriffe)
missbrauch Fehlverhalten
7
3
Hacking Beispiele
10
Überblick zu den Risikobereichen
1 2 3 4 5
Aufspüren von
Anhänge und Informationen
Portable Medien Free WiFi Landing-Page
Dateien über Such-
maschinen
Automatische
Updates
11
4
Leistungsportfolio
7
Leistungsportfolio
Wir begleiten unsere Kunden in allen Phasen ihrer Cyber Security-Initiativen und -Projekte
Wir haben Spezialisten für alle Cyber Security-Bereiche – von Security-Prozess- und Organisation-Beratung, über IT-Forensik, technische IT- und
Industrieanlagen-Sicherheit bis hin zu Prüfungsexperten.
8Warum Penetrationtests?
Regelmäßig oder anlassbezogen – Was ist richtig für mich?
ANWENDUNGSFALL BEISPIELE ANWENDUNGSFALL BEISPIELE
Regelmäßige Updates des
Häufige Releasewechsel Merger/Akquisition Übernahme von Verantwortung
Webportals
Online-Auftritt ist business- Neue eigenständige
Online-Banking, Bestellportal Carve Out
kritisch Verantwortung
Neue Infrastrukturen, Online-
Neue Webserver-Software, Start-Up
Technikwechsel Geschäftsmodell
neue Portalsoftware
Börsengang Stärkung des Marktvertrauens
Neue kritische Sicherheitslücke Heartbleed, POODLE, etc.
Aktueller Sicherheitsvorfall Aufklärung und Steigerung
Anforderung einer Zertifizierung ISO 27001, PCI DSS Periodische Anlass- inhouse des Sicherheitsniveaus
Qualitäts- bezogene
Häufige Konfigurations- In Webanwendungen, sicherung Tests IPv6, Firewall-Austausch,
änderungen Firewalls, Routern, etc. Technologiewechsel
Migration Window zu Unix
Know-how-Schutz, vertrauliche
Angst vor Industriespionage Wechsel des IT-/RZ-
Daten Providerwechsel
Dienstleisters
Qualitätsnachweis zur
Sicherheit als Marktvorteil Abgrenzung gegenüber der Prüfung der Wirksamkeit der
Gründung eines Joint-Venture
Konkurrenz Segmentierung
Stärkung des Vertrauens der Neue Portale SAP-Anbindung an das Internet
Kundenvertrauen
Kunden
10Security Testing
Cyber Security hat viele Facetten – Penetration
Testing ist ein Kernbestandteil
Internal
Testing
KPMG stellt höchste Ansprüche an die Qualität der Arbeit. Neben den
sich ständig verändernden Methoden in der täglichen
Sicherheitsarbeit hat sich KPMG Standards gegeben, die verbindlich
einzuhalten sind, um die Qualität im Security Testing dauerhaft zu SAP Penetration
ERP
sichern. Java/ABAP Web-Appli-
Testing
Testing cations
KPMG hat in den vergangenen Jahren mehrere hundert Projekte zur
Sicherheitsüberprüfung von Webanwendungen und SAP-Systemen
durchgeführt und in diesem Rahmen weit über eintausend Abwehr
Sicherheit
App Mobile SCADA von
Anwendungen geprüft. Das Vorgehen und die Werkzeuge werden Security von
Security Security Security Industrie-
von uns jeweils an die Mandantensituation und die Zielstellung Testing Industrie-IT
spionage
angepasst.
Für die Sicherheitsüberprüfung von Webanwendungen hat KPMG
Cloud Security Security
eine eigene Methodik, basierend auf mehr als 500 internationalen
Security von von Daten-
Projekten im Bereich Web- und Applikationssicherheit, entwickelt. Betriebs- banken
Grundlage dafür sind u.a. die folgenden Normen und Standards: systemen
Security
• Empfehlungen und Best Practices des Open Web Application Security Projects (OWASP) Audits
Infra-
• Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) struktur
• Prüfleitfaden SAP ERP 6.0 der DSAG (hier Mitautorenschaft diverser KPMG-Mitarbeiter)
• SWIFT „Customer Security Programme“ (CSP)
• „PCI SSC Data Security Standards“ bei der Verarbeitung von Kreditkartendaten sowie das
11Unser Ansatz zur Härtung von Active Directory (AD)
Was sind die wesentlichen Elemente für das Härten von ActiveDirectory?
Active Directory ("AD") ist für viele Unternehmen ein wichtiger Bestandteil des Sicherheitsinformationssystem. AD ist für
das Unternehmen nur sicher und nützlich, wenn die Komponenten gut entworfen, implementiert und gewartet werden:
Governance
Managementcommitment
I. II. III. IV. V.
Bewertung Implementier- Härtung von Härtung von Sicherheits-
und trust- ung des TIER 0 TIER 1/2 überwachung
Analyse Microsoft TIER- und -
Modells verbesserung
Bewusstsein, Schulung und Dokumentation
13Management Summary – Cyber Security Partnership
Eine Partnerschaft zwischen Versicherung, Technologieanbieter und KPMG bündelt
die jeweils marktführenden Kompetenzen für Cyber zu einem „Cyber Powerhouse“
Kundenbedarf
Cyber Ganzheitliche und verlässliche Sicherheits-
Security architektur (IT, Governance, Prozesse) in
Partnership einem angemessenen Kostenrahmen
Schnelle und effektive Identifikation und
Behebung von Angriffen und Ursachen
Finanzielle und rechtliche Absicherung von
Cyberschäden
Versicherungs-Partner Technologie-Partner
Solution
Cyberversicherung Security Operations Center
Ein umfassendes Cyber Security Offering
Cyber Rückversicherung Secure Infrastructure verzahnt schlagkräftige Betriebsmodelle im
Sinne der Vorsorge, im Angriffsfall und für den
Schadenfall miteinander
Die Partner bringen ihre jeweiligen
Kompetenzen interdisziplinär in die jeweiligen
Servicemodule ein
Assessment & Vorteile
Zertifizierung Bestmögliche Risikominimierung zu
reduzierten Gesamtkosten
Beratung Begleitung des Kunden in allen Phasen seiner
Cyber Detection & Cyber-Security-Initiativen
Forensic Bedarfsgerechte Zugriffsmöglichkeit auf das
Gesamtangebot, sowie modular auf einzelne
Law Services Komponenten der Cyber Security
Partnerschaft auf Basis eines einheitlichen
Liefermodells
© 2019 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen
Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.
2
Document Classification: KPMG ConfidentialWas können wir tun? - Cyber Defense Portfolio
§ REQUIREMENTS External Requirements – Internal Requirements – Stakeholder Needs
Security
Needs
CROWN JEWELS Data Processes
SECURITY ORGANIZATION & GOVERNANCE
Information Risk Managed
Direct: Strategy, Roles & Resp., Policies Monitor: Compliance & Status Monitoring Evaluate: Performance, KPI and Reporting
Incidents Reduced
SECURITY MANAGEMENT Asset and Risk Management
Operations Mgt. IAM BCM HR Security Awareness
Cyber Defense Portfolio
Change Mgt. Systems Acquisition Software Dev. 3rd Party Mgt. Physical Security
Sec. Architecture Security Testing Communication Mgt. Incident Mgt. IT Forensics
SECURITY in Projects and Transformation SECURITY in Operations
Transformation of Business Processes, Digitalization Security Operations Center, Computer Emergency Response
GENERAL INFRASTRUCTURE SECURITY INFRASTRUCTURE
ERP/HR Warehouses Firewalls IDS/IPS VPN DLP Threat Intelligence
Security Risk
Industrial IT CMDB Anti-Spam Perimeter Anti-Virus SIEM Security Analytics
Security Anomaly Detection
Level
IT APPLICATIONS DB NETWORK STORAGE CLOUD
MIDDLEWARE OS VIRTUALIZATION MOBILE DEVICES HOSTING
Threats & Vulnerabilities
19Ihre Ansprechpartner im Norden Ulrich Balke Marcel Kunze Director, Consulting Manager, Cyber Security M +49 151 1766 1337 M +49 170 2939 947 ubalke@kpmg.com mkunze@kpmg.com KPMG AG KPMG AG Wirtschaftsprüfungsgesellschaft Wirtschaftsprüfungsgesellschaft Ludwig-Erhard-Straße 11 - 17 Ludwig-Erhard-Straße 11 - 17 20459 Hamburg 20459 Hamburg www.kpmg.de/cybersecurity www.kpmg.de © 2019 KPMG AG Wirtschaftsprüfungsgesellschaft, a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved.
your journey to more security! KPMG – Cyber Security
Sie können auch lesen
