SaaS Sicherheitsprofil für ein CRM System. Teil 3: Sicherheitsmaßnahmen für das CRM SaaS Modell

Größe: px
Ab Seite anzeigen:

Download "SaaS Sicherheitsprofil für ein CRM System. Teil 3: Sicherheitsmaßnahmen für das CRM SaaS Modell"

Transkript

1 SaaS Sicherheitsprofil für ein CRM System Teil 3: Sicherheitsmaßnahmen für das CRM SaaS Modell

2 CSC Deutschland Solutions GmbH Abraham-Lincoln Park Wiesbaden Bundesamt für Sicherheit in der Informationstechnik Postfach Bonn Internet: https://www.bsi.bund.de/cloud Bundesamt für Sicherheit in der Informationstechnik 2014

3 Inhaltsverzeichnis Inhaltsverzeichnis 1 Einleitung Sicherheitsmaßnahmen Organisatorische Sicherheitsmaßnahmen Technische Sicherheitsmaßnahmen Personelle Sicherheitsmaßnahmen Bundesamt für Sicherheit in der Informationstechnik 3

4 Einleitung 1 1 Einleitung In Teil 2 dieses Dokuments wurden für ein als Software-as-a-Service in einer Cloud Computing Umgebung zur Verfügung gestelltes CRMS dreizehn wichtige Bedrohungen für die Schichten des IETF Cloud Stacks identifiziert beschrieben und in Form von Steckbriefen detailliert beschrieben: für das Access & Delivery Layer:,,,, und, für das Cloud Service Layer: und für die Cloud Management Plane: und für das Cloud Ressource & Orchestration Layer: und für die Kommunikation des Serviceabonnenten mit der Access & Delivery Layer. Das vorliegende Dokument Teil 3 des Sicherheitsprofils für ein SaaS CRM System beschreibt Sicherheitsmaßnahmen organisatorischer, technischer und personeller Natur, die geeignet sind, den in Teil 2 genannten Bedrohungen entgegen zu wirken. Übergreifende Bedeutung haben dabei Maßnahmen, die Kommunikation mit der Cloud sowie die Verarbeitung und Speicherung von Daten in den Schichten des Cloud Stacks in besonderer Weise zu schützen. Dazu gehören: die zuverlässige Kennzeichnung (Attribuierung) von Informationen und Daten gemäß der durch den Serviceabonnenten definierten Schutzbedürftigkeit, die strikte Trennung des Zugangs und des Zugriffs auf Informationen und Daten verschiedener Mandanten die strikte Trennung des Zugangs und des Zugriffs auf Informationen und Daten durch die Endnutzer eines gemäß dem festgelegten Schutzbedarf und den Endnutzern zugewiesenen Zugriffsrechten, sichere und nicht zu umgehende Authentifikationsprozesse zur Verhinderung einer Eskalation von Zugriffsrechten, die sichere Konfiguration der in der Bereitstellung des Service involvierten Komponenten des Cloud Stacks sowie die strikte und sichere Segmentierung virtueller und physischer Ressourcen. Jede Maßnahme wird in Anlehnung an [RFC2119] explizit als verpflichtend, empfohlen oder als optional spezifiziert und den Bedrohungsklassen nach dem STRIDE Modell zugeordnet. Verpflichtende Anforderungen (MUSS-Anforderungen), sind Anforderungen, deren Umsetzung zwingend gefordert wird. Sie sind im Text mit den Worten muss (müssen) / ist (sind) / darf (dürfen) nur / darf (dürfen) nicht, ausgezeichnet. Bundesamt für Sicherheit in der Informationstechnik 5

5 1 Einleitung Empfohlene Anforderungen (SOLL-Anforderungen) sollten umgesetzt werden. Sie sind im Text mit den Worten soll (sollen) / empfohlen ausgezeichnet. Optionale Anforderungen (KANN-Anforderungen) können umgesetzt werden. Sie sind im Text mit den Worten kann (können) / darf (dürfen) ausgezeichnet. STRIDE ist ein Akronym und steht für (nachahmen, vortäuschen einer Identität), (fälschen, manipulieren von Daten), (abstreiten einer Handlung), (aufdecken, veröffentlichen von Informationen), (Dienstverweigerung) und Elevation Privilege (unzulässige Erweitering von Rechten). STRIDE wurde 2002 von Microsoft für die Klassifizierung von Angriffsmustern entwickelt. In Teil 4 dieses Dokumentes werden die Sicherheitsmaßnahmen in einer Kreuzreferenztabelle auf die Bedrohungen abgebildet. Auf diese Weise lässt sich nachvollziehen, inwieweit durch die Sicherheitsmaßnahmen eine Abdeckung und damit auch eine erfolgreiche Abwehr der aufgezeigten Bedrohungen möglich wird. 6 Bundesamt für Sicherheit in der Informationstechnik

6 2 Sicherheitsmaßnahmen 2.1 Organisatorische Sicherheitsmaßnahmen Index Titel und Beschreibung STRIDE Zuordnung M1.01 Informations- und Sicherheitsmanagement M Der Cloud Service Provider muss über formale und dokumentierte Sicherheitsrichtlinien verfügen. Die Sicherheitsrichtlinien müssen Ziele, Geltungsbereiche, Rollen und Verantwortlichkeiten, die Koordination unterschiedlicher Unternehmensbereiche, Sicherheitsarchitekturen und -maßnahmen zum Schutz von Daten, IT-Systemen und IT-Infrastrukturen, sowie Maßnahmen zur Einhaltung rechtlicher Anforderungen (Compliance) beschreiben. M Vor dem Hintergrund der in Teil 2 dieses Dokuments beschriebenen Bedrohungsszenarien sind dabei insbesondere folgende (Detail-) Aspekte zu berücksichtigen: (1) IAM, Zutritts-, Zugangs- und Zugriffskontrolle: In Zusammenarbeit bzw. nach den Vorgaben des Serviceabonnenten muss ein Konzept zur Kontrolle und zur Steuerung von Zugriffsrechten (Identity & Access Management), auf die Funktionen des Cloud Self-Service Portals und die Kundendaten des Serviceabonnenten (siehe M1.03-3(1)) definiert und umgesetzt werden. Zugangs- und Zugriffsberechtigungen sind nicht nur auf der Basis der Identität der Akteure festzulegen, sondern auch auf der Grundlage zusätzlicher Regeln und Eigenschaften der Komponenten und Funktionen des CRMS sowie der Zugriffsobjekte (bspw. auf der Grundlage der Klassifizierung/Einstufung gemäß der Schutzbedarfsfeststellung des Serviceabonnenten). Das Identity & Access Management (IAM) Konzept soll eine nachvollziehbare Kombination aus zwingend erforderlichen und systemtechnisch erzwungenen Zugangs- und Zugriffskontrollen (Mandatory Access Controls) und benutzerbestimmbaren / benutzerbestimmten Zugangs- und Zugriffskontrollen (Discretionary Access Controls) abbilden und durchsetzen. Zusätzlich müssen verbindliche Regelungen zur regelmäßigen Überprüfung der Notwendigkeit und Zulässigkeit bzgl. der Aufrechterhaltung erteilter Berechtigungen festgelegt werden. (2) Sicherheitsüberprüfungen von Personal: Siehe M3.01 M Auf der Grundlage dieser Sicherheitsrichtlinien sind durch den der Cloud Service Provider M1.01-1: M1.01-2(1): M1.01-2(2):

7 dokumentierte Prozesse zu etablieren, welche die Aktualität und Umsetzung der Sicherheitsrichtlinien durchsetzen, kontrollieren und ihre Wirksamkeit regelmäßig überprüfen und nachvollziehbar dokumentieren. M1.02 Risiko- und Incidentmanagement M Der Cloud Service Provider muss über formale und dokumentierte Richtlinien zum Risikomanagement verfügen. Die Richtlinien müssen Ziele, Geltungsbereiche, Rollen und Verantwortlichkeiten sowie Festlegungen zur regelmäßigen Analyse und Bewertung möglicher Bedrohungen von Informationen und Informationssystemen und zum Umgang mit sicherheitsrelevanten Ereignissen umfassen. M Auf der Grundlage dieser Richtlinien sind durch den Cloud Service Provider dokumentierte Prozesse zu etablieren, die eine angemessene Reaktion auf sicherheitsrelevante Ereignisse auslösen sowie die in den Richtlinien beschriebenen Maßnahmen zur Abwehr von Sicherheitsbedrohungen und Dokumentation durchsetzen. M Der Cloud Service Provider muss dokumentierte Prozesse etablieren, welche die Umsetzung der Richtlinien durchsetzen und kontrollieren sowie ihre Wirksamkeit und Aktualität regelmäßig überprüfen und nachvollziehbar dokumentieren. Dazu gehört auch die regelmäßige Informationsbeschaffung über bekannte und neue Sicherheitslücken oder Schwachstellen, sowie dagegen anwendbare Maßnahmen, unter Nutzung unterschiedlichster, unabhängiger Quellen (bspw. Hersteller, CERT's etc.). M Die Zuverlässigkeit und Angemessenheit der in den Richtlinien beschriebenen Abläufe und Maßnahmen soll durch regelmäßige Assessments vor dem Hintergrund der aktuellen Bedrohungslage überprüft werden. M1.03 Schutz von Informationen M Aufbauend auf M1.01 muss der Cloud Service Provider über formale und dokumentierte Richtlinien zum Umgang mit und zum Schutz von sicherheitsrelevanten Informationen bei der Verarbeitung, dem Transport, der Migration (einschließlich der involvierten virtuellen und physischen Ressourcen), der Speicherung und der Löschung von Daten verfügen. Dazu gehören Kundendaten, Konfigurations- und Prozessdaten der involvierten IT-Infrastruktur wie auch Protokolldaten über Aktivitäten und sicherheitsrelevante Ereignisse. M Die Richtlinien müssen Ziele, Geltungsbereiche, einschließlich stufenweiser und von einander getrennter Architekturen, logischer Zonen und Bereiche, Rollen und Verantwortlichkeiten, die Einstufung des Schutzbedarfes und Festlegungen für eine in Systematik und Durchsetzung wirksame Zugriffskontrollstrategie, mit der ein unbefugter Zutritt und Zugang zu, sowie Zugriff auf oder der Verlust von Informationen nicht unentdeckt bleibt und zuverlässig verhindert werden kann, umfassen. M1.02:

8 M Vor dem Hintergrund der in Teil 2 dieses Dokuments beschriebenen Bedrohungsszenarien sind dabei insbesondere folgende (Detail-) Aspekte zu berücksichtigen: (1) Klassifizierung/Einstufung und Kennzeichnung von Informationen/Daten: Der Cloud Service Provider muss eine eindeutige Klassifizierung/Einstufung und unverwechselbare digitale Kennzeichnung von Informationen und/oder Daten des jeweiligen Serviceabonnenten unterstützen und umsetzen. Dabei sind sowohl die kritischen Kundendaten auf den Datenhaltungsschichten und -systemen zu berücksichtigen, als auch die Konfigurationsdaten der involvierten Komponenten. Die Einstufung des Schutzbedarfes von Kundendaten muss in Abstimmung mit den Serviceabonnenten erfolgen. Die Sicherheitsziele und -maßnahmen des CSP dürfen nicht zu einer Minderung von Schutzbedarfsfeststellungen des Serviceabonnenten oder zur Verletzung rechtlicher Anforderungen führen. Die unverwechselbare, digitale Kennzeichnung von Informationen und Daten soll Grundlage für die erforderliche Separierung von anderen Mandanten und externen Dritten sowie für die Trennung von Zu griffsberechtigungen bzgl. der (internen) Akteure des jeweiligen Dienstabonnenten sein. (2) Storage Security: Die wichtigen Komponenten der Infrastruktur, die kritischen Anwendungen und Datenbestände auf Speicher-Arrays und Bändern sind so abzusichern, dass sie gegen Missbrauch und Datenkorruption geschützt sind und ein möglicher Datendiebstahl keine Folgeschäden für den betroffenen Serviceabonnenten/Mandanten hat. Das Storage Security Konzept des Cloud Service Providers soll sich in einem selektiven und abgestuften Ansatz am Wert der zu sichernden Daten gemäß der Schutzbedarfsfeststellung des jeweiligen Dienstabonnenten orientieren (siehe dazu auch M1.03-3(1)). Diese Storage Security Konzept ist Bestandteil der Informationssicherheitsleitlinie des CSP und entsprechend auf die Bedürfnisse eines jeden Serviceabonnenten/Mandanten anzuwenden. Das Konzept soll den Aufbau einer mehrstufigen Storage Security Architektur beim CSP ermöglichen, welche die Anforderungen für Data-at-Rest und Data-in-Motion berücksichtigt. Diese Anforderungen sollen unter Einsatz ausschließlich geeigneter Produkte erfolgen. Das Storage Security Konzept muss die Grundlage zur Sicherstellung und Gewährleistung der Integrität aller schützenswerten Daten sein und eine regelmäßige Überprüfung der erforderlichen organisatorischen Maßnahmen und Prozesse festlegen. (3) Datensicherung, Archivierung, Backup & Recovery: Zur Sicherstellung der Verfügbarkeit von Informationen bzw. zur Vermeidung von Datenverlusten, sowie der erforderlichen Integrität, sind zuverlässige Prozesse einer regelmäßigen Datensicherung (Backup) und Wiederherstellung von Daten (Recovery) etablieren. M1.03-3(1): M1.03-3(2): M1.03-3(3):

9 Gesetzliche sowie datenschutzrechtliche Maßgaben sind hierbei ebenso zwingend zu berücksichtigen, wie der durch den Serviceabonnenten festgelegte Schutzbedarf. Vertrauliche und besonders schutzbedürftige Daten sind vor der Sicherung so zu verschlüsseln, dass diese auch nach einem längeren Zeitraum wieder entschlüsselt und verwendet werden können. Dabei ist insbesondere eindeutig zu regeln, welche Daten wann, wie und durch wen gesichert sowie ggf. im Anschluss zu welchem Zweck und wohin transportiert werden. Maßgaben der Kennzeichnung von Information (siehe M1.03-3(1)) und der sicheren Löschung bzw. Vernichtung von Daten (siehe M1.03-3(4)) sind hierbei zwingend anzuwenden. Zusätzlich sollen diese Konzepte und Richtlinien im jeweiligen Notfallkonzept (Disaster Recovery) integriert werden. (4) Sichere Löschung und Vernichtung von Daten: Auf Verlangen des Serviceabonnenten oder nach Beendigung des Servicevertrages müssen sämtliche Daten des Serviceabonnenten, einschließlich der auf Backup-Systemen gespeicherten Daten, innerhalb eines vertraglich vereinbarten Zeitraums sicher auf den Speichermedien des Cloud Service Providers gelöscht werden. Die Löschung ist durch Vorlage eines Löschprotokolls zu belegen. Anmerkung: Falls diese Löschung lediglich darin besteht, die Referenz auf die Daten zu löschen (bspw. die konkrete LUN), sollte der CSP den Abonnenten über die (durchschnittliche) Zeitdauer informieren, innerhalb derer die auf den physischen Sektoren im Speichernetz des CSP abgelegten Daten als nicht wiederherstellbar gelten dürfen. Das dafür eingesetzte Verfahren (Bspw. basierend auf dem 'National Industrial Security Program Operating Manual (NISPOM DoD M vom Februar Bei dieser Variante, die 7 Durchläufe ausführt, (DoD M ECE) werden die Daten zunächst mit den 3 Durchläufen des DoD M (E) Standards überschrieben, danach mit einem Zufallswert, anschließend erneut durch DoD M (E)). Das Verfahren und der Zeitraum sollten vertraglich festgehalten werden. Die Löschung und Vernichtung von Daten bezieht sich auch auf Informationen bzgl. der Authentifikation und Berechtigung von Akteuren/Subjekten (siehe M1.01-2(1)). Wenn ein Mitarbeiter des CSP das Unternehmen verlässt oder der Vertrag mit Servicepartnern erlischt bzw. beendet wird, müssen Authentifikationsdaten und Berechtigungen unverzüglich gelöscht werden. Jede Löschung ist aktenkundig nachweisbar festzuhalten. M Der Cloud Service Provider muss dokumentierte Prozesse etablieren, die die Umsetzung dieser Richtlinien durchsetzen, kontrollieren und ihre Wirksamkeit regelmäßig überprüfen und nachvollziehbar dokumentieren. M1.04 Schutz von Informationssystemen M Aufbauend auf M1.01 muss der Cloud Service Provider über formale und dokumentierte Richtlinien für die Identifikation und Authentifikation beim Zutritt und Zugang zu, sowie den Zugriff auf Komponenten und Systeme des Service verfügen. M1.03-3(4):

10 M Die Richtlinien sollen Ziele, Geltungsbereiche, einschließlich der Gestaltung dementsprechender Infrastrukturen und physikalisch gesicherter Bereiche, die physikalische Redundanz von Systemen und Infrastrukturen umfassen. Die Richtlinien müssen Rollen und Verantwortlichkeiten, die Koordination unterschiedlicher Unternehmenseinheiten sowie ein in Systematik und Durchsetzbarkeit wirksames Rollen- und Rechtekonzept beschreiben, welches einen unbefugten oder unentdeckten Zutritt und Zugang zu, sowie Zugriff auf Informationssysteme zu verhindern imstande ist. M Vor dem Hintergrund der in Teil 2 dieses Dokuments beschriebenen Bedrohungsszenarien sind dabei insbesondere folgende (Detail-) Aspekte zu berücksichtigen: (1) Gesicherte Infrastruktur: Um die technischen Ressourcen und Kommunikationsendpunkte vor nicht-autorisiertem Zugang, Zutritt und Zugriff schützen zu können, sind die Informationssysteme und Komponenten innerhalb einer gesicherten Umgebung operativ zu betreiben. Das kann bspw. eine durch ein Sicherheitsunternehmen unter Zuhilfenahme angemessener Sicherheitssysteme Zäune mit Sensoren und Meldegruppen sowie einer Videoüberwachung (CCTV) oder sonstige Einfriedung sein, für die mittels Mehr-Faktor Zugangskontrollsysteme (Passwort und Smart-Card, Passwort und/oder Überprüfung biometrischer Merkmale, etc.) der Zutritt nur für autorisiertes Personal ermöglicht wird. (2) Schutz vor Schadprogrammen: Um die Informationssysteme, einschließlich der darauf verarbeiteten bzw. gespeicherten Daten vor Schadprogrammen schützen zu können, muss der CSP vorbeugende Maßnahmen definieren sowie das Vorgehen im Fall einer Infektion mit Schadprogrammen bzw. der Feststellung von Schadprogrammen regeln. Dabei ist sicherzustellen, dass sowohl alle relevanten organisatorischen Prozesse (bspw. Datenaustausch mittels mobiler Datenträger), wie auch die technische Umsetzung bzgl. des Infektionsschutzes gewährleistet werden und die Verbreitung sowie die Schadenswirkung von bereits auf den Systemen befindlichen Schadprogrammen effektiv minimiert wird (zweckmäßige Definition von Gegenmaßnahmen). Dafür ist die Planung und der Einsatz geeigneter Hardware- und Softwarekomponenten erforderlich, welche mittels eines zentralen Managementwerkzeugs verwaltet und überwacht werden können. Dieses zentrale Management soll sicherstellen, dass alle relevanten Komponenten mindestens ein Mal täglich mit aktuellen Angriffsmustern und Signaturen versorgt werden können und zugleich über eine Schnittstelle für Alarme und Meldungen zu weiteren Überwachungs- und Korrelationssystemen verfügen. Die im Rahmen des Schutzes vor Schadprogrammen definierten Richtlinien sollen darüber hinaus im M (1): M (2):

11 Konzept bzgl. der Pflege von Informationssystemen, Patches, Updates und Upgrades berücksichtigt werden, um einerseits einen präventiven Schutz gewährleisten zu können und andererseits sowie ins besondere im Rahmen von Gegenmaßnahmen auch auf bestehende Gefährdungen durch Schadprogramme reagieren zu können (bspw. durch das Schließen von Schwachstellen in einer Software). (3) Schutz vor APT (Advanced Persistent Threats): Die Cloud-Umgebung des CSP muss gegen APT-Attacken geschützt werden. Dazu müssen geeignete Network Access Control-Mechanismen (NAC) implementiert werden, welche als (mehrstufige) Schutzzonen sich über alle in Kommunikation miteinander befindlichen Komponenten (dazu zählen auch die Anwendungen und Schnittstellen) und Systeme erstrecken. Die Umsetzung sollte mittels effizienter NAC in Verbindung mit anderen Secure Remote Access-Technologien, wie bspw. Firewalls und Hybrid IPsec/SSL VPNs erfolgen. Anmerkung: Da APT-Attacken häufig auch durch den Missbrauch von Social Engineering ausgelöst werden sind die Mitarbeiter des CSP regelmäßig auf die Gefahren und den Umgang mit Social Engineering hinzuweisen (siehe dazu auch M3.03-4) Für die Abwehr von APT-Attacken gibt es eine gesonderte Empfehlung der Allianz für Cyber Sicherheit, die in der vollen Version jedoch nur für die Mitglieder zugänglich ist. Diese Empfehlungen sollten zur zusätzlichen Risikoreduktion angewendet werden. (4) Notfallkonzepte (Disaster Recovery): Der Cloud Service Provider muss über formale und dokumentierte Richtlinien für den Schutz von Informationssystemen im Falle des Eintretens unerwarteter, aber technisch beherrschbarer Ereignisse, wie den Ausfall technischer Komponenten oder Bedrohungen durch Elementarereignisse wie Feuer, Wasser oder andere Umwelteinflüsse, verfügen. Diese Richtlinien sollten Teil eines umfassenden Notfallmanagements (Business Continuity Management) auf der Basis etablierter Standards (z.b. ISO oder BSI-Standard 100-4, ect.) sein. Die darin beschriebenen Regelungen und Maßnahmen sollten regelmäßig, auf der Basis etablierter Prozesse erprobt und auf ihre Wirksamkeit und Zulässigkeit hin überprüft werden. (5) Pflege von Informationssystemen, Patches, Updates und Upgrades: Die Systeme und Komponenten der Cloud-Umgebung des CSP müssen in regelmäßigen Intervallen sowie bei aktuell gegebenen Bedarf mit verifizierten und zuvor erfolgreich getesteten Patches, Updates aktualisiert werden. Ein erfolgreicher Test und die Abnahme einer jeden Aktualisierung und Pflegemaßnahme innerhalb einer separaten Test- und Referenzumgebung muss der Aktualisierung vorangehen, um die aus der M (3): M (4): M (5):

12 gegebenen Komplexität nicht kalkulierbaren Sachverhalte vorher feststellen, sowie dass daraus notwendig werdene Vorgehen sicher evaluieren zu können, ohne die Grundschutzwerte des operativen Systems/der operativen Umgebung zu gefährden. Diese Aktualisierungen sollen der zu gewährleistenden Verfügbarkeit der Cloud Services, aber auch zur Sicherstellung der gewünschten Funktionsweise im Rahmen der erforderlichen Vertraulichkeit dienen. Zugleich müssen die betroffenen Systeme und Komponenten so gepflegt werden, dass ihre sichere Konfiguration uneingeschränkt gegeben ist und erforderliche Anpassungen somit auch zeitnah erfolgen können. Zur Sicherstellung der Verfügbarkeit der Cloud Services für die Serviceabonnenten sind derartige Maßnahmen rechtzeitig vorher anzukündigen bzw. bei einem größeren Umfang (bspw. beim Upgrade von Hard- und Software) mit dem jeweiligen Mandanten gemeinsam abzustimmen. M Der Cloud Service Provider muss dokumentierte Prozesse etablieren, welche die Realisierung dieser Richtlinien durchsetzen, kontrollieren und ihre Wirksamkeit regelmäßig überprüfen und nachvollziehbar dokumentieren.

13 2.2 Technische Sicherheitsmaßnahmen Index Titel und Beschreibung STRIDE Zuordnung M2.01 Authentifizierung und Autorisierung M Die Informationssysteme des Cloud Service müssen eine zuverlässige Replay-resistente Multifaktor-Authentisierung für Netzwerkzugriffe auf privilegierte und nicht-privilegierte Nutzerkonten eines Serviceabonnenten, zuverlässige Replay-resistente Multifaktor-Authentisierung für Zugriffe auf Komponenten, Systeme und Daten des Service durch Mitarbeiter des Serviceproviders sowie in die Bereitstellung des Service involvierter Dritter durchsetzen. M Dabei ist sicherzustellen, dass rollen- und regelbasierte Zugriffe auf Komponenten und Systeme nur in Verbindung mit einer eindeutigen, individuellen (d. h. personen- oder für Dienste mittels einer systembezogenen) Authentifizierung möglich sein dürfen. Die personen- oder systembezogene Authentisierung muss der rollen- und regelbasierten Authentisierung übergeordnet sein. Eine Umgehung von Authentifizierungsmaßnahmen beim Zugriff auf Anwendungen, Komponenten und Daten darf nicht möglich sein. Ein nicht autorisierter Zugriff auf und die Manipulation von Authentifizierungsinformationen muss nach Maßgabe zu erwartender Bedrohungen ausgeschlossen werden können. Anmerkung: Um darüber hinaus einen sicheren nach Mandanten und nach Akteuren getrennten Zugriff etablieren zu können, ist die Kennzeichnung (Attribuierung) von Informationen und Daten gemäß der Schutzbedarfsfeststellung des Serviceabonnenten eine wesentliche Voraussetzung. Auf der Grundlage dieser Kennzeichnung kann im Anschluss an die erfolgreiche Authentifikation des jeweiligen Akteurs auch die Autorisierung für den Zugriff auf Anwendungen und Objekte zweifelsfrei festgestellt werden. M2.02 Schutz gespeicherter Daten M Die Informationssysteme des Cloud Service müssen sicherstellen, dass ein Zugriff auf Kundendaten erst nach erfolgreicher und zweifelsfreier Identifikation und Authentifikation (sowohl bzgl. aller Akteure, als auch in Frage kommender Dienste) möglich ist (siehe auch M1.01, M1.03, M1.04 und M2.01). Durch die zwingende Verknüpfung rollen- und regelbasierter Zugriffe mit individuellen Authentifikationsinformationen muss eine unbemerkte Eskalation von Zugriffsrechten verhindert werden können. M2.01:

14 M Vor dem Hintergrund der in Teil 2 dieses Dokuments beschriebenen Bedrohungsszenarien sind dabei insbesondere folgende (Detail-) Aspekte zu berücksichtigen: (1) Verschlüsselung von Daten: Kundendaten müssen grundsätzlich verschlüsselt auf den Speichermedien des Cloud Service Provider abgelegt werden. Für die Verschlüsselung sind ausnahmslos vertrauenswürdige Hard- und/oder Softwarekomponenten einzusetzen. Die Vertrauenswürdigkeit kann durch international anerkannte (Sicherheits-) Zertifikate belegt werden. Storage-Security-Appliances müssen für die Data-at-Rest-Sicherheit über Funktionen wie Datenverschlüsselung, Zugangsschutz, Firewall, Logging und Auditing sowie Key-Management verfügen. Die Sicherheit und die Zuverlässigkeit der kryptographischen Maßnahmen und Komponenten sowie die Integrität verschlüsselt gespeicherter Daten ist regelmäßig zu überprüfen und zu nachzuweisen. (2) Sichere Trennung von Komponenten, Diensten und Daten (Multi-Mandanten-Fahigkeit): Die Informationssysteme des Cloud Service müssen eine strikte und sichere Trennung von Komponenten, Diensten, Anwendungen und Daten verschiedener Serviceabonnenten durchsetzen. Eine Kompromittierung der Integrität ausführbarer Programme und/oder Programminstanzen darf nach Maßgabe zu erwartender Bedrohungen nicht unbemerkt bleiben. Der Zugang zu diesen Komponenten, insbesondere zu genutzten Speichermedien, darf nur ausdrücklich autorisierten Personen möglich sein (siehe M1.01). Anmerkung: Die Trennung von Mandanten und Ressourcen muss stringent und fehlerfrei beginnend mit der Anmeldung im ADL bis hin zum Informations-/Datenobjekt, auf welches durch die jeweilige Anwendung zugegriffen werden soll, durchgesetzt werden. Dazu braucht es eindeutige und zweifelsfreie elektronische Identitäten sowie sichere und nicht zu umgehende Authentifikationsprozeduren, mit denen einer Eskalation von Zugriffsrechten zuverlässig begegnet werden kann. (3) Sichere Konfiguration von Speicher-Arrays/SAN: Die Speicherressourcen des CSP müssen gegen die unbefugte Kenntnisnahme und den unbefugten Zugriff durch Dritte geschützt werden. Daten und (virtualisierte) Speicherressourcen sind sicher zu konfigurieren, bspw. durch sicheres Zoning und/oder LUN Masquerading. Anmerkung: Zur Sicherstellung der Vertraulichkeit der in der Cloud- Umgebung gespeicherten Informationen und Daten eines jeden einzelnen Mandanten, ist es erforderlich, dass der jeweilige Serviceabonnent zusammen mit dem CSP auf der Grundlage der Schutzbedarfsfeststellung des Serviceabonnenten prüft und festlegt, welche Form des Zoning und/oder Masquerading genutzt werden müssen. (4) Überprüfung der Integrität und Sicherstellung der Verwendbarkeit: Die Integrität gespeicherter Daten und die Lesbarkeit bzw. die Verwendbarkeit der Speichermedien und M2.02-2(1): Denialof Service M2.02-2(2): M2.02-2(3): M (4):

15 der darauf befindlichen Daten sind regelmäßig und unabhängig vom Speicher- oder Aufbewahrungszeitraum zu überprüfen und zu protokollieren. (5) Datensicherung, Backup und Archivierung: Die gemäß M1.04-3(3) definierten Richtlinien sind so umzusetzen, dass erforderliche Datensicherungsmaßnahmen zu den definierten Intervallen unterbrechungsfrei und sicher stattfinden. M (5): Der CSP muss sicherstellen, dass die hierfür benötigten Systeme und Speicherkapazitäten uneingeschränkt zur Verfügung stehen und überwacht werden. Regelmäßige Backup-Maßnahmen müssen den Verlust gespeicherter Daten durch Ausfall oder Störungen von virtuellen und/oder physikalischen Ressourcen verhindern und eine unverzügliche Wiederaufnahme des Service in der zugesicherten Leistungsgüte gewährleisten. (6) Einstufung und Kennzeichnung von Daten: M2.02-2(6): Die durch den Serviceabonnenten als schutzbedürftig definierten Informationen/Daten (sowohl die kritischen Kundendaten auf den Datenhaltungsschichten und -systemen, als auch die Konfigurationsdaten der involvierten Komponenten, siehe auch M1.03-3(1)), sind gemäß dem dazu gemeinsam er arbeiteten Konzept zu klassifizieren und zuverlässig zu kennzeichnen (digital classification label). Ziel ist die Anwendung der getroffenen Definitionen auf alle Daten des jeweiligen Serviceabonnenten, ein schließlich der separat gespeicherten Konfigurationsdaten der für die Cloud Services des jeweiligen Mandanten relevanten Systeme und Komponenten. Hierzu können Anwendungen oder Scripte für Office-Anwendungen oder Dienste genutzt werden (bspw. die Kennzeichnung der Daten aufgrund der Gruppenzugehörigkeit des Erstellers/Besitzers oder auf Grund des Inhalts/der Schlagworte in einer Datei), welche die vom CSP etablierten Prozesse zur Einstufung und Kennzeichnung sowie zur Wahrung der Integrität unterstützen. Anmerkung: Die Kennzeichnung (Attribuierung) der Information und Daten auf der Grundlage der Schutzbedarfsfeststellung durch den Serviceabonnenten stellen eine entscheidende Voraussetzung für Regelungen bzgl. der Gewährung von Zugang und Zugriff auf diese Daten dar. Nur so ist eine benutzerund systembestimmte Trennung von Mandanten und Akteuren eines Mandanten stringent durchsetzbar. M2.03 Schutz von Daten während der Kommunikation/des Transports M Die Informationssysteme des Cloud Service müssen vertrauenswürdige Kommunikationskanäle und Kommunikationsendpunkte für die Kommunikation mit dem Serviceabonnenten sowie der Datenübertragung zwischen den Servicekomponenten und -systemen einschließlich der Kommunikation mit involvierten Drittanbietern bereit stellen. M Vor dem Hintergrund der in Teil 2 dieses Dokuments beschriebenen Bedrohungsszenarien sind dabei insbesondere folgende (Detail-) Aspekte zu berücksichtigen:

16 (1) Schutz der Kommunikation und Kommunikationsendpunkte: Die Informationssysteme des Cloud Service müssen vertrauenswürdige Kommunikationskanäle und Kommunikationsendpunkte für die Kommunikation mit dem Serviceabonnenten sowie der Datenübertragung zwischen den Servicekomponenten und -systemen einschließlich der Kommunikation mit in volvierten Drittanbietern bereit stellen. Der hierbei erwartete Funktionsumfang muss unter anderem die Verschlüsselung der Kommunikation, die zwingende Zugriffskontrolle für die Management-Schnittstelle(n), eine Switch-zu-Switch-Authentifikation und -Autorisierung sowie die Zugriffskontrolle auf etwaige Device-Level (Ports) umfassen. Die Vertrauenswürdigkeit muss durch eine ausreichende Verschlüsselung der Kommunikationskanäle, eine sichere Authentisierung der Kommunikationsendpunkte, geeignete Maßnahmen zum Schutz der Authentizität von Kommunikationssitzungen sowie die Validierung importierter Daten unterstützt werden. Daher sind zu diesem Zweck ausschließlich sicherheitsgeeignete Technologien und Verfahren sowie sicherheitsüberprüfte Kommunikationsanbieter (ISP) einzusetzen. Störungen der Kommunikation ausgelöst durch Fehlverhalten oder den Ausfall von Komponenten müssen durch eine ausreichende redundante Auslegung der Kommunikationsressourcen, einschließlich der relevanten Netzwerkverbindungen und genutzten Plattformen, begegnet werden. Anmerkung: Für das Anwendungsszenario SaaS CRM ist der Schutz der Informationen und Daten während der Kommunikation mit und in der Cloud-Umgebung des CSP besonders wichtig. Aus diesem Grund sind insbesondere die Kommunikationsverbindungen und die entsprechenden Kommunikationsendpunkte durch geeignete Maßnahmen ausreichend zu schützen, so dass ein nicht autorisierter Zutritt und Zugang nach Maßgabe zu erwartender Bedrohungen ausgeschlossen werden kann. Eine redundante Auslegung ermöglicht im Fall einer Kompromittierung die Schließung betroffener Kommunikationskanäle und den Wechsel auf nicht kompromittierte Kommunikationskanäle. (2) Überwachung der Aktivitäten in Netzwerken mittels NIDS (Network Intrusion Detection System): Die Kommunikation zwischen Abonnenten, Komponenten und Systemen des Cloud Service ist durch Netzwerk-basierte Intrusion Detection Systeme zu überwachen und zu protokollieren, um so auf tretende Anomalien, Auffälligkeiten, Gefährdungen und Angriffe schnellstmöglich feststellen zu können. Die protokollierten Daten (sicherheitsrelevante Ereignisse) sollen umgehend und automatisch an geeignete SIEM- Systeme (Security Information and Event Management) weitergeleitet werden, um aus den korrelierten Informationen umgehend erforderliche (Gegen-) Maßnahmen initiieren zu können. Die Log-Daten müssen zuverlässig vor Manipulation und Verlust geschützt werden. M2.03-2(1): M2.03-2(2):

SaaS Sicherheitsprofil für eine Collaboration Platform. Teil 3: Sicherheitsmaßnahmen für das CP SaaS Modell

SaaS Sicherheitsprofil für eine Collaboration Platform. Teil 3: Sicherheitsmaßnahmen für das CP SaaS Modell SaaS Sicherheitsprofil für eine Collaboration Platform Teil 3: Sicherheitsmaßnahmen für das CP SaaS Modell CSC Deutschland Solutions GmbH Abraham-Lincoln.Park1 65189 Wiesbaden www.csc.com/de Bundesamt

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Sicherheitshinweise für Administratoren. - Beispiel -

Sicherheitshinweise für Administratoren. - Beispiel - Sicherheitshinweise für Administratoren - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 VERANTWORTUNGSBEREICH... 2 3 VERWALTUNG DER IT-DIENSTE... 3 3.1 KONFIGURATION DER IT-DIENSTE...

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers Anlage zum Vertrag zur Auftragsdatenverarbeitung Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers im Rahmen der Auftragsdatenverarbeitung? Wir helfen: www.activemind.de

Mehr

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 53227 Bonn Copyright Scopevisio AG. All rights reserved. Seite 1 von 11 Copyright Scopevisio AG. All rights reserved. Seite 2 von 11 Inhalt

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation

E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation Dr. André Wittenburg, Vice President Architektur & Plattformstragie i2b, Bremen, Februar 2012 1 Der E-Postbrief: Ein kurzer Überflug 2 Sicherheit

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Atos Worldline GmbH Hahnstraße 25 60528 Frankfurt/Main für das PIN Change-Verfahren Telefonbasierte Self Selected

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Die Server von blau direkt werden in einem Nürnberger Rechenzentrum betrieben. Mit den beteiligten Dienstleistern wurden ordnungsgemäße

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen e-netz Südhessen GmbH & Co. KG Dornheimer Weg 24 64293 Darmstadt für das IT System Querverbundleitstelle Darmstadt

Mehr

Amtliches Mitteilungsblatt

Amtliches Mitteilungsblatt Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

BYOD Bring Your Own Device

BYOD Bring Your Own Device BYOD Bring Your Own Device Was ist das Problem? So könnt ihr es regeln. Bruno Schierbaum Berater bei der BTQ Niedersachsen GmbH BTQ Niedersachsen GmbH Donnerschweer Straße 84; 26123 Oldenburg Fon 0441/8

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG:

Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG: Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG: Geprüftes Unternehmen: Firmenname: oberste Leitung; EDV-Abteilung: Datenschutzbeauftragter: Firmensitz: Niederlassungen: Prüfdaten: Prüfung

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für den Webshop RWE SmartHome Shop die Erfüllung aller Anforderungen

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Sicherheitsprofil SaaS-CRM

Sicherheitsprofil SaaS-CRM Sicherheitsprofil SaaS-CRM Dr. Clemens Doubrava Referat B22 Informationssicherheit und Digitalisierung Jahreskongress Trusted Cloud 2014 Strategische Aspekte des Cloud Computing CC-BY 2.0, Eugene Regis

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

Bestimmungen zur Kontrolle externer Lieferanten. Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko

Bestimmungen zur Kontrolle externer Lieferanten. Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko 1. Ressourcenschutz und Systemkonfiguration 2. Änderungs- und Patchmanagement Die

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

Sicherheitsaspekte der kommunalen Arbeit

Sicherheitsaspekte der kommunalen Arbeit Sicherheitsaspekte der kommunalen Arbeit Was ist machbar, finanzierbar, umzusetzen und unbedingt notwendig? Sicherheit in der Gemeinde Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen,

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Anleitung A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Inhalt 1 Einleitung... 2 2 Zweck der Informationssicherheitsorganisation...

Mehr

Informations- / IT-Sicherheit - Warum eigentlich?

Informations- / IT-Sicherheit - Warum eigentlich? Informations- / IT-Sicherheit - Warum eigentlich? Hagen, 20.10.2015 Uwe Franz Account Manager procilon IT-Solutions GmbH Niederlassung Nord-West Londoner Bogen 4 44269 Dortmund Mobil: +49 173 6893 297

Mehr

Maintenance & Re-Zertifizierung

Maintenance & Re-Zertifizierung Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0

Mehr

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Erstprüfung und Folgeprüfung Seite 1 von 12 1 Gesetzliche Grundlagen zu technisch organisatorischen Maßnahmen 1.1 9

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Cyber-Sicherheits- Check

Cyber-Sicherheits- Check -MUSTER- -MUSTER- Muster-Beurteilungsbericht zum Cyber-Sicherheits- Check der Beispiel GmbH Januar 2014 1. Rahmendaten Beurteilungsgegenstand Beurteiler Anlass Grundlagen und Anforderungen Zeitlicher Ablauf

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2-4

Mehr

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel - Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 AUSWAHL EINES OUTSOURCING-DIENSTLEISTERS... 3 4 VERTRAGSSPEZIFISCHE

Mehr

Die Top 10 Gebote. der industriellen Datenkommunikation für mehr IT-Sicherheit

Die Top 10 Gebote. der industriellen Datenkommunikation für mehr IT-Sicherheit Die Top 10 Gebote der industriellen Datenkommunikation für mehr IT-Sicherheit 1. Gebot Sei einzigartig! Passwörter dienen dazu, jemanden zuverlässig zu identifizieren. Sehr kritisch und hoch bedroht sind

Mehr

IT-Dienstleistungszentrum Berlin

IT-Dienstleistungszentrum Berlin IT-Dienstleistungszentrum Berlin»Private Cloud für das Land Berlin«25.11.2010, Kai Osterhage IT-Sicherheitsbeauftragter des ITDZ Berlin Moderne n für die Verwaltung. Private Cloud Computing Private Cloud

Mehr

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag Anlage zum Vertrag vom Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag O durch Wartung bzw. O Fernwartung *Zutreffendes bitte ankreuzen Diese Anlage konkretisiert die datenschutzrechtlichen

Mehr

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer

Mehr

Mobile Endgeräte - Sicherheitsrisiken erkennen und abwehren

Mobile Endgeräte - Sicherheitsrisiken erkennen und abwehren Mobile Endgeräte - Sicherheitsrisiken erkennen und abwehren Enrico Mahl Information Technology Specialist Infinigate Deutschland GmbH ema@infinigate.de 1 Alles Arbeit, kein Spiel Smartphones& Tabletserweitern

Mehr

Network Access Control für Remote Access: Best Practice Technical Paper

Network Access Control für Remote Access: Best Practice Technical Paper Network Access Control für Remote Access: Best Practice Technical Paper Stand Mai 2010 Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden und

Mehr

Surfen am Arbeitsplatz. Ein Datenschutz-Wegweiser

Surfen am Arbeitsplatz. Ein Datenschutz-Wegweiser Surfen am Arbeitsplatz Ein Datenschutz-Wegweiser Inhalt Allgemeine Fragen zur Wahrung der Privatsphäre 4 Grundsätzliche Anforderungen 6 Allgemeines 6 Dienstliche Nutzung 7 Private Nutzung 8 Protokollierung

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für die Firewall- und Serverinstallation SmartHome Backend und

Mehr

Mindeststandard des BSI nach 8 Abs. 1 Satz 1 BSIG für den Einsatz des SSL/TLS-Protokolls in der Bundesverwaltung

Mindeststandard des BSI nach 8 Abs. 1 Satz 1 BSIG für den Einsatz des SSL/TLS-Protokolls in der Bundesverwaltung Mindeststandard des BSI nach 8 Abs. 1 Satz 1 BSIG für den Einsatz des SSL/TLS-Protokolls in der Bundesverwaltung Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49

Mehr

Sicherheitsanalyse von Private Clouds

Sicherheitsanalyse von Private Clouds Sicherheitsanalyse von Private Clouds Alex Didier Essoh und Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik 12. Deutscher IT-Sicherheitskongress 2011 Bonn, 10.05.2011 Agenda Einleitung

Mehr

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG) Unternehmen: Branche: Ansprechpartner: Position: Straße: PLZ / Ort: Tel.: Mail: Website: Kontaktdaten Datenschutzbeauftragter: Fax: Sicherheitspolitik des Unternehmens JA NEIN 01. Besteht eine verbindliche

Mehr

BeamYourScreen Sicherheit

BeamYourScreen Sicherheit BeamYourScreen Sicherheit Inhalt BeamYourScreen Sicherheit... 1 Das Wichtigste im Überblick... 3 Sicherheit der Inhalte... 3 Sicherheit der Benutzeroberfläche... 3 Sicherheit der Infrastruktur... 3 Im

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie Seite 1 von 8 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: Kürzel: De-Mail Dokumentenablage IT-Sicherheit BSI TR 01201 Anwendungsbereich: Version:

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

Willkommen bei DATEV. it-sa 2013: Forum Rot. PRISM - Gerade deswegen ist Datenschutz noch wichtiger!

Willkommen bei DATEV. it-sa 2013: Forum Rot. PRISM - Gerade deswegen ist Datenschutz noch wichtiger! Willkommen bei DATEV it-sa 2013: Forum Rot PRISM - Gerade deswegen ist Datenschutz noch wichtiger! Wer ist DATEV? Softwarehaus und IT-Dienstleister mit über 40 Jahren Erfahrung mit Software, Services und

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

ISSS Security Lunch - Cloud Computing

ISSS Security Lunch - Cloud Computing ISSS Security Lunch - Cloud Computing Technische Lösungsansätze Insert Andreas Your Kröhnert Name Insert Technical Your Account Title Manager Insert 6. Dezember Date 2010 The Cloud Unternehmensgrenzen

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Bring Your Own Device

Bring Your Own Device Bring Your Own Device Was Sie über die Sicherung mobiler Geräte wissen sollten Roman Schlenker Senior Sales Engineer 1 Alles Arbeit, kein Spiel Smartphones & Tablets erweitern einen Arbeitstag um bis zu

Mehr

Account Information Security Programme - Allgemeine Informationen -

Account Information Security Programme - Allgemeine Informationen - Account Information Security Programme - Allgemeine Informationen - Neue Sicherheitsstandards für die Aufbewahrung und Weiterverarbeitung sensibler Karteninhaberdaten Kreditkartenzahlungen erfreuen sich

Mehr

Dell Data Protection Solutions Datensicherungslösungen von Dell

Dell Data Protection Solutions Datensicherungslösungen von Dell Dell Data Protection Solutions Datensicherungslösungen von Dell André Plagemann SME DACH Region SME Data Protection DACH Region Dell Softwarelösungen Vereinfachung der IT. Minimierung von Risiken. Schnellere

Mehr

Active Repository und Active Migration Manager

Active Repository und Active Migration Manager Mit der neuen Active Outlook App lassen sich Emails direkt aus Outlook 2013 oder aus Outlook 2013 WebApp archivieren oder auf Storagesysteme auslagern! An Funktionalitäten sind die Archivierung und Auslagerung

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015 COBIT 5 Controls & Assurance in the Cloud 05. November 2015 Charakteristika der Cloud On-Demand Self Service Benötigte IT-Kapazität selbstständig ordern und einrichten Broad Network Access Zugriff auf

Mehr

IT-Security Herausforderung für KMU s

IT-Security Herausforderung für KMU s unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/

Mehr

4. Stuttgarter Sicherheitskongress: IT-Sicherheit in industriellen Anlagen

4. Stuttgarter Sicherheitskongress: IT-Sicherheit in industriellen Anlagen 4. Stuttgarter Sicherheitskongress: IT-Sicherheit in industriellen Anlagen Henning Sandfort Siemens AG, Sector Industry SIMATIC Produkt- & Systemmanagement Allgemeine Security-Bedrohungen in der Automatisierung

Mehr

Taxifahrende Notebooks und andere Normalitäten. Frederik Humpert

Taxifahrende Notebooks und andere Normalitäten. Frederik Humpert Taxifahrende Notebooks und andere Normalitäten Frederik Humpert Ein paar Zahlen Von September 2004 bis Februar 2005 wurden weltweit 11.300 Laptops 31.400 Handhelds 200.000 Mobiltelefone in Taxis vergessen

Mehr

Astaro Mail Archiving Service Version 1.0

Astaro Mail Archiving Service Version 1.0 Astaro Mail Archiving Service Version 1.0 Verfahrensdokumentation Inhaltsverzeichnis 1. Einleitung... 2 2. Übersicht... 2 2.1 Production-Cloud... 3 2.2 Backup-Cloud... 3 2.3 Control-Cloud... 3 2.4 Zugangsschutz...

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter. www.s-inn.de

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter. www.s-inn.de Endpoint Security Where trust begins and ends SINN GmbH Andreas Fleischmann Technischer Leiter www.s-inn.de Herausforderung für die IT Wer befindet sich im Netzwerk? Welcher Benutzer? Mit welchem Gerät?

Mehr

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT STEINBUCH CENTRE FOR COMPUTING - SCC KIT University of the State of Baden-Wuerttemberg and National Research

Mehr

Sicherheitsprofile Software as a Service. Sichere Nutzung von Cloud-Diensten

Sicherheitsprofile Software as a Service. Sichere Nutzung von Cloud-Diensten Sicherheitsprofile Software as a Service Sichere Nutzung von Cloud-Diensten Referat B22 Informationssicherheit und Digitalisierung it-sa 2014, Nürnberg Was ist ein Sicherheitsprofil Das Sicherheitsprofil

Mehr

Cloud Zertifizierung und Kompetenz. Hendrik A. Reese, Principal Consultant, TÜV Rheinland

Cloud Zertifizierung und Kompetenz. Hendrik A. Reese, Principal Consultant, TÜV Rheinland Cloud Zertifizierung und Kompetenz. Hendrik A. Reese, Principal Consultant, TÜV Rheinland Cloud Computing. Marktsituation in Deutschland. 30% 65% 90% Marktwachstum von 2015 auf 2016 Interviewte Personen:

Mehr

SaaS Sicherheitsprofil für ein CRM System. Teil 2: Bedrohungs- und Risikoanalyse für das SaaS CRM Modell

SaaS Sicherheitsprofil für ein CRM System. Teil 2: Bedrohungs- und Risikoanalyse für das SaaS CRM Modell SaaS Sicherheitsprofil für ein CRM System Teil 2: Bedrohungs- und Risikoanalyse für das SaaS CRM Modell CSC Deutschland Solutions GmbH Abraham-Lincoln Park 1 65189 Wiesbaden www.csc.com/de Bundesamt für

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Vom Bewusstsein zur Lösung Angriffszenarien und Schutzmöglichkeiten

Vom Bewusstsein zur Lösung Angriffszenarien und Schutzmöglichkeiten Vom Bewusstsein zur Lösung Angriffszenarien und Schutzmöglichkeiten 25.11.2009 Hessen IT Kongress, Frankfurt/Main Hans Joachim Giegerich Giegerich & Partner GmbH Christian Schülke schuelke.net internet.security.consulting

Mehr

Mobilkommunikation. Basisschutz leicht gemacht. 10 Tipps zum Umgang mit den Endgeräten mobiler Kommunikationstechnik. www.bsi-fuer-buerger.

Mobilkommunikation. Basisschutz leicht gemacht. 10 Tipps zum Umgang mit den Endgeräten mobiler Kommunikationstechnik. www.bsi-fuer-buerger. Mobilkommunikation Basisschutz leicht gemacht 10 Tipps zum Umgang mit den Endgeräten mobiler Kommunikationstechnik www.bsi-fuer-buerger.de MOBILKOMMUNIKATION VORWORT Mobilkommunikation Basisschutz leicht

Mehr

IT-Grundschutzhandbuch: Stand Juli 1999 1

IT-Grundschutzhandbuch: Stand Juli 1999 1 1. Information Security Policy 1.1. Einleitung Die Firma/Behörde ist von Informationen abhängig. Informationen entscheiden über unseren Erfolg und den unserer Kunden. Von größter Wichtigkeit ist neben

Mehr

Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom

Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom +423 392 28 78 2 Ziel Einführung eines angemessenen, auf Ihre Unternehmung angepassten

Mehr

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur.

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur. MIKOGO SICHERHEIT Inhaltsverzeichnis Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur Seite 2. Im Einzelnen 4 Komponenten der Applikation

Mehr

Datensicherheit und Backup

Datensicherheit und Backup Beratung Entwicklung Administration Hosting Datensicherheit und Backup Dipl.-Inform. Dominik Vallendor & Dipl.-Inform. Carl Thomas Witzenrath 25.05.2010 Tralios IT Dipl.-Inform. Dominik Vallendor und Dipl.-Inform.

Mehr

Automatisiertes Informationsmanagement für Microsoft Exchange Server

Automatisiertes Informationsmanagement für Microsoft Exchange Server Windream Exchange Automatisiertes Informationsmanagement für Microsoft Exchange Server Facts: Zugriff auf E-Mails sowohl aus Microsoft Outlook als auch aus Windream Komfortable Recherche und Verwaltung

Mehr

Sicheres Cloud Computing

Sicheres Cloud Computing Sicheres Cloud Computing für die öffentliche Verwaltung mit der Private Cloud IT-Dienstleistungszentrum Berlin Dipl.-Ing. Karsten Pirschel Moderne Perspektiven für die Verwaltung. Private Cloud Computing

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Was Kommunen beim Datenschutz beachten müssen

Was Kommunen beim Datenschutz beachten müssen Wiesbaden DiKOM am 08.05.2012 Was Kommunen beim Datenschutz beachten müssen Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Seit 1970 Oberste Landesbehörde Dem Hessischen Landtag zugeordnet Aufsichtsbehörde

Mehr

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos Bring Your Own Device Roman Schlenker Senior Sales Engineer Sophos Der Smartphone Markt Marktanteil 2011 Marktanteil 2015 Quelle: IDC http://www.idc.com Tablets auf Höhenflug 3 Bring Your Own Device Definition

Mehr

Verwaltung von Geräten, die nicht im Besitz des Unternehmens sind Ermöglich mobiles Arbeiten für Mitarbeiter von verschiedenen Standorten

Verwaltung von Geräten, die nicht im Besitz des Unternehmens sind Ermöglich mobiles Arbeiten für Mitarbeiter von verschiedenen Standorten Tivoli Endpoint Manager für mobile Geräte Die wichtigste Aufgabe für Administratoren ist es, IT-Ressourcen und -Dienstleistungen bereitzustellen, wann und wo sie benötigt werden. Die Frage ist, wie geht

Mehr

Verarbeitung personenbezogener Daten bei Errichtung und Betrieb von Verzeichnisdiensten

Verarbeitung personenbezogener Daten bei Errichtung und Betrieb von Verzeichnisdiensten Verarbeitung personenbezogener Daten bei Errichtung und Betrieb von Verzeichnisdiensten Matthias Herber Datenschutzbeauftragter der TU Dresden Kontakt: datenschutz@tu-dresden.de AK Verzeichnisdienste Duisburg,

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Auftraggeber: Auftragnehmer: 1. Gegenstand der Vereinbarung Der Auftragnehmer erhebt / verarbeitet / nutzt personenbezogene

Mehr

Test GmbH Test 123 20555 Hamburg Hamburg

Test GmbH Test 123 20555 Hamburg Hamburg Test GmbH Test 123 20555 Hamburg Hamburg 29.07.2015 Angaben zum Unternehmen Unternehmensdaten Unternehmen Test GmbH Adresse Test 123 20555 Hamburg Hamburg Internetadresse http://www.was-acuh-immer.de Tätigkeitsangaben

Mehr

Prüfung Netzwerk. Sicherheitslücken im IT-Verbund

Prüfung Netzwerk. Sicherheitslücken im IT-Verbund Prüfung Netzwerk Sicherheitslücken im IT-Verbund Prüfung Netzwerk Netzwerke Router und Switche stellen das Rückgrat jeder Kommunikation in Unternehmen dar. Diese werden bei Prüfungen oft vernachlässigt

Mehr

Netz16 GmbH Managed Service / Cloud Solutions. www.netz16.de Netz16 GmbH Firmenpräsentation / Stand 2014 S. 1

Netz16 GmbH Managed Service / Cloud Solutions. www.netz16.de Netz16 GmbH Firmenpräsentation / Stand 2014 S. 1 Netz16 GmbH Managed Service / Cloud Solutions www.netz16.de Netz16 GmbH Firmenpräsentation / Stand 2014 S. 1 Vorstellung Netz16 Eckdaten unseres Unternehmens Personal 80 60 40 20 0 2010 2011 2012 2013

Mehr

INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN

INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN EINFÜHRUNG KURZE EINFÜHRUNG IN DIE ERSTELLUNG UND VERWALTUNG VON

Mehr

3. Verbraucherdialog Mobile Payment

3. Verbraucherdialog Mobile Payment 3. Verbraucherdialog Mobile Payment Empfehlungen der Arbeitsgruppe Datenschutz 1. Überlegungen vor Einführung von Mobile Payment Angeboten Vor der Einführung von Mobile Payment Verfahren ist die datenschutzrechtliche

Mehr

INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS

INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS WAS SIND INFORMATIONEN? Informationen sind essentiellen Werte einer Arztpraxis. müssen angemessen geschützt werden. 2 WAS IST INFORMATIONSSICHERHEIT?

Mehr

Eidgenössisches Finanzdepartement EFD Informatiksteuerungsorgan des Bundes ISB. Information Assurance innerhalb und mit der Bundesverwaltung

Eidgenössisches Finanzdepartement EFD Informatiksteuerungsorgan des Bundes ISB. Information Assurance innerhalb und mit der Bundesverwaltung Information Assurance innerhalb und mit der Bundesverwaltung Lars Minth/ 20.09.2013 Agenda Wir haben doch schon soviel Auftrag im Namen des Volkes Logisches Schubladendenken Information Assurance und Informationssicherheit

Mehr