1 / 19

IT-Sicherheitskennzahlen bei der Deutschen Bahn AG GI-Fachgruppe, Frankfurt 11.06.2010

IT-Sicherheitskennzahlen bei der Deutschen Bahn AG GI-Fachgruppe, Frankfurt 11.06.2010. DB Mobility Logistics AG. Nikola Perkovic. TOS. Frankfurt, 11.06.2010. ITK-Sicherheit im DB Konzern: DB im Überblick Seite 3 Ziele und Zielgruppen Seite 7

blaine
Download Presentation

IT-Sicherheitskennzahlen bei der Deutschen Bahn AG GI-Fachgruppe, Frankfurt 11.06.2010

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. IT-Sicherheitskennzahlen bei der Deutschen Bahn AGGI-Fachgruppe, Frankfurt 11.06.2010 DB Mobility Logistics AG Nikola Perkovic TOS Frankfurt, 11.06.2010

  2. ITK-Sicherheit im DB Konzern: • DB im Überblick Seite 3 • Ziele und Zielgruppen Seite 7 • Aktuelle Bedrohungen und vorbeugende Maßnahmen Seite 9 • Reifegradmodell ITK-Sicherheitsbericht Seite 11 • Beispiele ressortspezifische Kennzahlen Seite 13 • Beispiele ressortunabhängige Kennzahlen Seite 17 ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 21.08.2014

  3. ITK für die DB unverzichtbar und hoch komplex DB Konzern – Überblick Dimensionierung Verteilung Mobilität • Eisenbahn mit • 80.000 IT-Nutzer, dav. 67.000 BKU-Nutzer • 263.000 IP-Anschlüssen • 2.900 WAN-Anschlüssen • 2.000 TK-Anlagen mit 120.000 Anschlüssen • 3 Rechenzentren • 7 Serverzentren • Logistik mit • 48.000 IT-Nutzer • 55.000 Endgeräte • 8 regionale Server-zentren (2 USA, 1 APAC, 5 EMEA) • 33.900 km Streckennetz • 5.700 Personenbahnhöfe • 7.000 Fahrkartenautomaten • 130 Länder • 1.500 Firmenstandorte weltweit • ITK im Zug • Schadvormeldung, Anzeige, Ebula, Railnet • Mobile Büros in der Lok • Ca. 40.000 mobile Endgeräte: • 10.700 mobile Vertriebsgeräte • 10.000 Endgeräte für Triebfahrzeugführer • 2.000 digitale Endgeräte im Rangierdienst • PDAs in den LKWs ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 21.08.2014

  4. DB Systel etablierter ITK-Lieferant für das Eisenbahngeschäft DB Konzern – Überblick • Betrieb von: • 3 Rechenzentren und 7 Serverzentren mit über 3.400 Windows- und Unix-Servern, 66 Tandem CPU‘n und 4 Z9en • Datennetz mit über 260.000 IP-Anschlüssen von DSL bis Breitband-Glasfaser • Über 500 produktive IT-Verfahren • 950 Terabyte Plattenspeicher/3,0 Petabyte Backup-Kapazität • bundesweit das digitale Funknetz der Bahn (GSM-R) • 2.200 TK-Anlagen • Service für: • 67.000 Nutzer des Bürokommunikationssystems der Bahn • 115.000 TK-Teilnehmeranschlüsse • 1.200 Videoanlagen an Bahnübergängen • 100.000 Lautsprecher an Bahnsteigen • 50.500 Fernsprecher entlang der Gleise ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 21.08.2014

  5. IT bei Schenker dezentral organisiert DB Konzern – Überblick • Dezentrale Organisation in Landesgesellschaften • Rechnungswesensysteme werden zur Zeit zentralisiert • Zentrale operative Systeme in Projekt-/Konzeptionsphase • CIO ist gleichzeitig Vorstand Schenker Logistics Schenker RZ/Serverzentrum [2008] Helsinki Stockholm(1) Vilnius Oslo Antwerpen , M l ochow Copenhagen Eindhoven Kiev Coburg, Frankfurt, Berlin, Emden, Mülheim a.d.R. (1) Kelsterbach, Eschborn, Saarbr ü cken Toronto Z ü rich Denver Freeport Vienna, Liberec, Rudna , Tokyo Paris, Milano, Lisbon, Shanghai Athens, Budapest, Barcelona (1)) Ljubljana, Istanbul Taipei Hong Kong Makati City, Paranaque Bayan Lepas , Selangor Singapore(1) Sydney Johannesburg Buenos Santiago Aires 1) Outsourcing ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 21.08.2014

  6. ITK-Sicherheit im DB Konzern: • DB im Überblick Seite 3 • Ziele und Zielgruppen Seite 7 • Aktuelle Bedrohungen und vorbeugende Maßnahmen Seite 9 • Reifegradmodell ITK-Sicherheitsbericht Seite 11 • Beispiele ressortspezifische Kennzahlen Seite 13 • Beispiele ressortunabhängige Kennzahlen Seite 17 ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 21.08.2014

  7. Der Vorstand des DB Konzerns ist verpflichtet, für ein aktives Risikomanagement und eine angemessene interne Revision des Risiko-Überwachungssystems zu sorgen ITK-Sicherheitsbericht – Ziele und Zielgruppen Der ITK-Sicherheitsbericht soll grundsätzlich über die folgenden Aspekte Auskunft geben: • Gesamtqualität der ITK-Sicherheit im DB Konzern • Herbeiführung von notwendigen Entscheidungen (bei Bedarf) • Aktuelle Bedrohungen und Risiken • ITK-Sicherheitsvorfälle im Berichtszeitraum • Status der Umsetzung der ITK-Sicherheitsvorgaben • Sensibilisierung für das Thema IT-Sicherheit Zielgruppe sind Vorstand Konzern/VRs, CIO-Board, ITK-Sicherheitsmanager und das ITK-Sicherheitsgremium ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 21.08.2014

  8. ITK-Sicherheit im DB Konzern: • DB im Überblick Seite 3 • Ziele und Zielgruppen Seite 7 • Aktuelle Bedrohungen und vorbeugende Maßnahmen Seite 9 • Reifegradmodell ITK-Sicherheitsbericht Seite 11 • Beispiele ressortspezifische Kennzahlen Seite 13 • Beispiele ressortunabhängige Kennzahlen Seite 17 ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 21.08.2014

  9. Der aktuelle Sicherheitsbericht adressiert vorbeugende Maßnahmen und Bedrohungen, die kurzfristig messbar sind;andere werden mittelfristig in weiteren Ausbaustufen ergänzt ITK-Sicherheitsbericht - Bedrohungen Vorbeugende Maßnahmen Aktuelle Bedrohungen • ITK-Risikomanagement (SBF, RRD) auf Applikationsebene • Erhebung Kennzahlen zum Diebstahl / Verlust von BKU*- Hardware • Umfassender Spam- und Virenschutz im BKU-Umfeld und regelmäßige Messung der Wirksamkeit • Verfügbarkeitseinbußen auf Applikation- und Infrastrukturebene • Diebstahl/Verlust von Hardware • Spams, Viren und Würmer Reifegrad 1 • Externe Angriffe (Portscans, DoS, Hacking, ...) • Diebstahl und Verlust sensibler Daten • Manipulation sensibler Daten • Definition fachlicher Sicherheitsvorfälle und Überwachung durch ein IPS (Intrusion Prevention System) • ITK-Risikomanagement (SBF, RRD) auf Applikations- und Infrastrukturebene • Erfassung Netze / Netzübergänge • Rollout BKU-Endgeräte (Standardis. Sicherheitseigenschaften) Reifegrad-Stufen Reifegrad 2 • Industriespionage • Erhebung fachlicher Sicherheitsvorfälle auf Applikationsebene und Monitoring von Schadausmaßen Reifegrad 3 * BKU (Bürokommunikation unternehmensweit) ist eine bahnspezifische Kommunikationsplattform mit standardisierten Hard- und Softwareprodukten ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 21.08.2014

  10. ITK-Sicherheit im DB Konzern: • DB im Überblick Seite 3 • Ziele und Zielgruppen Seite 7 • Aktuelle Bedrohungen und vorbeugende Maßnahmen Seite 9 • Reifegradmodell ITK-Sicherheitsbericht Seite 11 • Beispiele ressortspezifische Kennzahlen Seite 13 • Beispiele ressortunabhängige Kennzahlen Seite 17 ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 21.08.2014

  11. Reifegradmodell: Die bisherige Fokussierung ist zu erweitern, einzelne aktuell fehlende Prozesse sind zu definieren und einzuführen ITK-Sicherheitsbericht - Reifegradmodell Aktuelle Bedrohungen Vorbeugende Maßnahmen Einschränkung Vollständig CIO-Org. • Unbekannte ITK-Restrisiken • Schutzbedarfsfeststellungsquote Risikomanagement-Prozess konsequent umsetzen • Alle ITK- Anwendungen • Alle Endgeräte • UKV* • BKU • Diebstahl und Verlust von HW (nur BKU) • Restrisikodeklarationsquote, monetär bewertet • SLA-Einhaltung (Fokus auf die UKV) • Monitoringquote Reifegrad 1 Dienstleister • Malware (nur Dienstleister 1) Definition Kennzahlen (fachl. Sicherheits-vorfälle), die durch ein IPS überwacht werden können • Spam- und Virenfilter, Intrusion Prevention System (IPS) • Dienstleister 1 • Dienstleister 1+2 • Sicherheitsvorfälle (nur Dienstleister 1) • Prozess zur Erhebung von Sicherheitsvorfällen • Diebstahl und Verlust von Hardware (nur Dienstleister 1) Stufe 1 Stufe 2 • Erhebung SLA-Einhaltung • SLA-Einhaltung (nur Dienstleister 1) CIO-Org. • Diebstahl und Verlust sensibler Daten • Manipulation sensibler Daten Prozess zur Erhebung verlorener Datenträger (Notebooks, Sticks, PDA, usw.) definieren Reifegrad 2 • Externe Angriffe (Portscans, DoS, Hacking, ...) • Dienstleister 1 • Dienstleister 1+2 DL Stufe 3 Umfassende Überwachung durch ein IPS CIO-Org. Erhebung fachlicher Sicherheitsvorfälle und Messung durch zentrales Berichtswesen • Industriespionage Reifeg. 3 Stufe 4 * UKV Unternehmenskritische Verfahren ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 21.08.2014

  12. ITK-Sicherheit im DB Konzern: • DB im Überblick Seite 3 • Ziele und Zielgruppen Seite 7 • Aktuelle Bedrohungen und vorbeugende Maßnahmen Seite 9 • Reifegradmodell ITK-Sicherheitsbericht Seite 11 • Beispiele ressortspezifische Kennzahlen Seite 13 • Beispiele ressortunabhängige Kennzahlen Seite 17 ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 21.08.2014

  13. Ressortspezifische/konzernweite Sicherheitskennzahlen Beispielhafte Darstellung ITK-Sicherheitsbericht – Beisp. Kennzahlen Ressortspezifische (VR) SBF/RRD-Kennzahlen, inkl. zugehöriger Geschäftsfelder (GF) • 2. ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 21.08.2014

  14. Ressortspezifische/konzernweite Sicherheitskennzahlen Beispielhafte Darstellung ITK-Sicherheitsbericht – Beisp. Kennzahlen Festgestellte Restrisikosummen pro Applikation Festgestellte Restrisikosummen pro Ressort/Geschäftsfeld • 2. Applikation 1 Applikation n ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 21.08.2014

  15. Betrachtungszeitr. Q1/10 Ressortspezifische/konzernweite Sicherheitskennzahlen Beispielhafte Darstellung ITK-Sicherheitsbericht – Beisp. Kennzahlen Diebstahl/Verlust von Hardware SLA-Einhaltung pro Ressort/Geschäftsfeld • 2. ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 21.08.2014

  16. ITK-Sicherheit im DB Konzern: • DB im Überblick Seite 3 • Ziele und Zielgruppen Seite 7 • Aktuelle Bedrohungen und vorbeugende Maßnahmen Seite 9 • Reifegradmodell ITK-Sicherheitsbericht Seite 11 • Beispiele ressortspezifische Kennzahlen Seite 13 • Beispiele ressortunabhängige Kennzahlen Seite 17 ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 21.08.2014

  17. Betrachtungszeitraum Q1/10 Betrachtungszeitraum Q1/10 Ressortunabhängige/konzernweite Sicherheitskennzahlen Beispielhafte Darstellung ITK-Sicherheitsbericht – Beisp. Kennzahlen Malware, absolute Zahlen Anzahl ermittelter Virenvorfälle an Clients und Servern • 2. ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 21.08.2014

  18. Betrachtungszeitraum Q1/10 Betrachtungszeitraum Q1/10 Ressortunabhängige/konzernweite Sicherheitskennzahlen Beispielhafte Darstellung ITK-Sicherheitsbericht – Beisp. Kennzahlen Abgefangene Viren (Mailhub) Festgestellte und gemeldete ITK-Sicherheitsvorfälle im Rahmen des ITK-Incident Management • 2. ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 21.08.2014

  19. Betrachtungszeitraum Q1/10 Ressortunabhängige/konzernweite Sicherheitskennzahlen Beispielhafte Darstellung ITK-Sicherheitsbericht – Beisp. Kennzahlen Durch IPS (Intrusion Prevention System) blockierte Angriffe aus dem Internet • 2. ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 21.08.2014

More Related