zum klassischen IT-Betrieb einen IT-Sicherheitsbeauftragten beziehungsweise

Größe: px
Ab Seite anzeigen:

Download "zum klassischen IT-Betrieb einen IT-Sicherheitsbeauftragten beziehungsweise"

Transkript

1 2012 # Jahrgang BSI Forum Forum Organ des Bundesamtes für Sicherheit in der Informationstechnik Inhalt Computernotfallteams (CERTs) 33 Allianz für Cyber-Sicherheit 36 Amtliche Mitteilungen 39 Computernotfallteams CERTs als zentrales Element nationaler Cyber-Sicherheit CERTs bieten mit ihrem auf Computernotfälle spezialisierten Wissen und Verfahren wertvolle Hilfen für die nationale Cybersicherheit. Ein wesentlicher Vorteil ist dabei die gute Vernetzung und Kooperation untereinander. Impressum Von Stefan Ritter, BSI Die voranschreitende Vernetzung von IT-Systemen hat zu neuen Chancen und Perspektiven sowohl für Bürgerinnen und Bürger als auch für Unternehmen und Verwaltung geführt. Annähernd jeder Lebens-, Wirtschafts- und Verwaltungsbereich ist heute mit Informationstechnologie durchwirkt und damit zu einem Teil des Cyberraums geworden. Unternehmen und Institutionen, deren Geschäfts- und Verwaltungsprozesse mit dem Internet verwoben sind, können von den Vorteilen wie mehr Effizienz und höherer Reichweite profitieren, müssen sich jedoch auch mit möglichen Risiken der Vernetzung auseinandersetzen. Hierzu gehört die Infizierung mit Schadsoftware und das dadurch mögliche Ausspähen von Informationen ebenso wie die Störung oder Ausschaltung der Webpräsenz oder der Prozesse durch Distributed- Denial-of-Service-(DDoS)-Attacken. Viele Institutionen schützen sich, indem sie ergänzend zum klassischen IT-Betrieb einen IT-Sicherheitsbeauftragten beziehungsweise eine eigene kleine IT- Sicherheitsorganisation eingerichtet haben, die sich ausschließlich um das Thema IT-Sicherheit kümmert. Das Aufgabenspektrum umfasst dabei Konzepte, Pläne, Vorgaben, Kontrollen, Notfallplantests und weitere IT-sicherheitsrelevante Themen. In Zusammenarbeit mit dem regulären IT-Betrieb bewältigen sie kleinere, alltägliche IT-Sicherheitsvorfälle. Treten allerdings außergewöhnliche Ereignisse ein, die selten, besonders schwerwiegend oder kompliziert sind, fehlt IT-Sicherheitsexperten oft die Erfahrung im Umgang damit sowie die notwendige Sensorik, um einen Angriff überhaupt zu verifizieren. In solchen Fällen bieten Computernotfallteams (Computer- Emergency-Response-Teams, CERTs) eine effiziente und bewährte Unterstützung. CERTs haben gemäß ihres Namens vor allem den Auftrag, Cyber-Sicherheitsinformationen zu Redaktion: Matthias Gärtner (verantwortlich) Sebastian Bebel Bundesamt für Sicherheit in der Informationstechnik (BSI) Referat Öffentlichkeitsarbeit und Presse Postfach Bonn Hausanschrift: Godesberger Allee Bonn Telefon: Telefax: Web: Das BSI-Forum, Organ des Bundesamtes für Sicherheit in der Informationstechnik in Bonn, ist Bestandteil der <kes> Die Zeitschrift für Informations-Sicherheit 20. Jahrgang 2012 BSI Bonn <kes> 2012 # 6 33

2 Computernotfallteams (CERTs) bewerten, IT-Sicherheitsvorfälle zu erkennen, bei deren Eindämmung zu unterstützen, um die Auswirkungen zu minimieren und bei der Wiederherstellung des normalen Betriebes zu helfen. Cyber-Sicherheit in Deutschland Neben der Bewertung und der Weitergabe von Schwachstelleninformationen der verschiedenen Software-Hersteller an die Kunden ist eine wichtige Aufgabe der Informationsaustausch zwischen den CERTs. Hier geht es unter anderem um: Informationen über die Ausnutzung von Schwachstellen und nicht-öffentlichen Hintergründen zu Angriffen, um die Bedrohungslage zu bewerten, Betroffenheiten von Kunden anderer Teams und anderer Länder, um diese zu warnen sowie neuartige Schadprogramme und Angriffsmethoden sowie deren Erkennungssignaturen oder bösartigen Internetbereiche, um die eigenen Netze besser schützen zu können. Das Zusammenführen des verteilten Wissens durch den Aus- tausch von Informationen führt in der vernetzten Welt zu konkreten und verbesserten Erkenntnissen sowie zu einer differenzierteren Lageeinschätzung. Die Angreifer sind international mit denselben Angriffsmethoden und -wegen sowie häufig denselben Systemen unterwegs. Wer diese Informationen sinnvoll zusammenführt, kann Handlungsmuster erkennen und Gegenmaßnahmen einleiten. Solange jedoch keine enge Zusammenarbeit stattfindet, ist jede Institution und jedes Unternehmen darauf angewiesen, relevante Informationen selbst zusammenzutragen und auszuwerten. Aufgaben und Rolle von Computer-Emergency-Response-Teams (CERTs) CERTs sind die (zentrale) Anlaufstelle bei IT-Sicherheitsproblemen. Damit ist eine autorisierte und fachkundige Stelle bekannt, an die sich IT-Experten aus Behörden und Unternehmen bei Verdacht, Problemen und Notfällen wenden können. Sie zeichnen sich durch die Vertrauensstellung aus, die einerseits institutionalisiert ist, da es sich um Einrichtungen handelt, die eigens zur Nothilfe geschaffen wurden, und andererseits aus der persönlichen Zusammenarbeit mit den Teammitgliedern erwachsen ist. CERTs weisen sich durch die notwendige Fachexpertise als Vorfallsbearbeiter / Incident-Handler oder -Coordinator aus, die durch spezielle Aus- und Weiterbildungen geschult sind, solche Ereignisse zu bewältigen. CERTS besitzen die notwendige Erfahrung im Umgang mit außergewöhnlichen IT-Sicherheitsvorfällen, da sie als zentrale Anlaufstelle häufiger von ihren verschiedenen Kunden um Hilfe gebeten werden. Somit sind die jeweiligen Ansprechpartner, Systeme und Systemumgebungen bekannt. Zusätzliche Erfahrungen und Kenntnisse werden durch die regelmäßige Teilnahme an Übungen und Planbesprechungen gewonnen. CERTs zeichnen sich durch schnelle Reaktionszeiten aus, da sie als zentrale Anlaufstelle bekannt sind, entsprechend geschulte personelle Ressourcen zur Verfügung haben und bei Benachrichtigung auf Basis langjähriger Erfahrung sofort wissen, welche Schritte einzuleiten sind. CERTs verfügen über die notwendige Vernetzung, um von Dritten über ähnliche Sachverhalte umfassendere Informationen zu erhalten. Ein weiteres Merkmal ist die Verschwiegenheit, um besonders schützenswerte Informationen der Quelle und des Angriffs vertraulich zu behandeln und die gewünschte Anonymität von Quellen sicherzustellen. In den meisten Fällen ist es auch möglich, anonym Hinweise auf Schwachstellen, Sicherheitsprobleme und Kompromittierungen abzugeben. CERTs besitzen Erfahrung in der Kommunikation mit anderen Akteuren der IT-Sicherheit wie anderen CERTs, Herstellern von IT- Produkten oder Antivirensoftware und Malwareexperten, um über Sachverhalte zu reden, ohne die Quelle preiszugeben (anonymisieren), sowie schützenswerte Informationen wegzulassen (bereinigen), aber dennoch ein Maximum an Unterstützung und zusätzlichem Wissen zu erhalten. Hierzu wurden in der CERT-Gemeinschaft eigene Regelwerke wie das Traffic-Light- Protokoll zur Kontrolle der Informationsweitergabe erarbeitet. CERTs greifen auf besondere Techniken und Kontakte zurück, die ihnen Möglichkeiten und Informationen vermitteln, die dezentral zu aufwändig bereitzustellen wären. Dazu zählen zentrale Techniken und Sensoren an Netzübergängen (Greylisting, Multi-AV-Scanning, Tagging von Spam und EXE, Netflowanalyse, IDS, SIEM etc.), DDoS-Prävention und -Mitigation, Forensik oder die Zusammenarbeit mit externen Dienstleistern für Spezialaufgaben (Malware-Scanning und -Analysen, Dropzone-Auswertung, Spamauswertung etc.). 34 BSI Bonn <kes> 2012 # 6

3 Zum Informationsaustausch unter den CERTs kommen noch konkrete Unterstützungsersuchen hinzu. So beispielsweise bei der Abschaltung von Command- und Control-Servern von Botnetzen, zur Bereinigung von malwareverseuchten Webseiten oder zur Mitigation von verteilten DoS-Angriffen. Vernetzung und Kooperation der CERTs Bei der fachkompetenten und vertrauensvollen Zusammenarbeit zwischen einem CERT und den Betroffenen kommt ein ganz besonderer Punkt zum Tragen: Die Vernetzung und Kooperation der CERTs untereinander. Denn anders als bei Strafverfolgungsbehörden und Nachrichtendiensten ist bei CERTs der gegenseitige Austausch über aktuelle Erkenntnisse ausdrücklich erwünscht. Erfahren dagegen Strafverfolgungsbehörden von Straftaten, unterliegen sie einem Ermittlungszwang und müssen ihre Ermittlungen, ähnlich wie Nachrichtendienste ihre Methoden, Quellen und Erkenntnisse, schützen. Um die Kommunikation zwischen den CERTs zu fördern, gibt es eine Reihe von Gruppen, Organisationen und Kreisen, darunter beispielsweise das Forum of Incident Response and Security Teams (FIRST), die Task Force Computer Security Incident Response Teams (TF-CSIRT) des Dachverbands der europäischen Forschungs- und Bildungsnetze TERENA, Trusted Introducer (Europäische Datenbank von Computer-Security-Incident- Response-Teams) sowie Aktivitäten von EU und ENISA ( European Network and Information Security Agency ) zur Zusammenarbeit der europäischen CERTs. mationen, die zur Kommunikation und Besprechung von Problemen und Vorfällen benötigt werden, können unter anderem für Angreifer oder konkurrierende Institutionen nützlich sein und damit den Betroffenen schaden. Um dies zu vermeiden und sensitive Daten zu schützen, ist der Austausch in einem vertrauenswürdigen Umfeld bei der nationalen und internationalen Kooperation entscheidend. In den genannten Kreisen wurde ein institutionalisiertes Vertrauen hergestellt, indem durch besondere Aufnahmeprozesse ein angemessenes Fachwissen und Grundvoraussetzungen für die zielführende Zusammenarbeit mit dem gesamten Team sichergestellt werden. Eine besondere Form des institutionalisierten Vertrauens sind die Kreise der Regierungs- und Verwaltungs-CERTs wie in der EU oder der zukünftige deutsche Verwaltungs-CERT-Verbund der Bundes- und Länder-CERTs, in denen Behörden durch ihre Verwaltungsrolle automatisch Mitglied werden. Daneben gibt es weitere Kreise, die noch stärker auf persönlichem Vertrauen basieren: Hierzu zählt unter anderem der Deutsche CERT-Verbund, der eine Mischung aus institutionalisiertem und persönlichem Vertrauen durch Patenschaftsmodelle und Gruppenentscheidungen über die Aufnahme neuer Bewerber nutzt. Bei all diesen Gruppen, Organisationen und Kreisen wächst das persönliche Vertrauen mit der gegenseitigen Erfahrung einer häufigen und guten Zusammenarbeit stets weiter. Zielgruppen und Definition von CERTs CERTs sind per se nicht miteinander vergleichbar zwar weisen sie alle die genannten Fähigkeiten auf, doch sind sie in ihren Zielgruppen und damit Dienstleistungen und Befugnissen oft sehr unterschiedlich. So gibt es beispielsweise Teams der öffentlichen Verwaltung, Konzernteams als interne Dienstleister, kommerzielle CERT-Dienstleister, Teams mit Universitätsschwerpunkt oder Teams als Dienstleister für die Forschung und deren Netze. Auch die Bezeichnung der Teams variiert zwischen dem ursprünglichen, mittlerweile markenrechtlich geschützten Namen Computer Emergency Response Team (CERT) der Carnegy-Mellon-Universität als Erfinder und dem synonym verwendeten Begriff Computer Security Incident Response Team (CSIRT). Nationales IT- Lagezentrum: Der Arbeitsplatz rechts vorne ist täglich von CERT-Bund besetzt. Bei der Zusammenarbeit der verschiedenen CERTs spielt Vertrauen eine zentrale Rolle, da häufig interne Details ausgetauscht werden müssen. Die oft vertraulichen Infor- BSI Bonn <kes> 2012 # 6 35

4 Computernotfallteams (CERTs) Eine Reihe von IT-Dienstleistern bietet CERTähnliche Dienste an, ohne den Namen CERT zu nutzen. Hier gilt zu bedenken, dass die grundsätzlichen Fähigkeiten denen der CERTs ähneln, jedoch die enge Vernetzung und damit der Wissenstransfer der CERTs untereinander in vielen Fällen dann nicht gegeben ist. Ein besonderer Typ sind nationale CERTs; davon gibt es in jedem Land lediglich eines. In Deutschland hat CERT-Bund diese Aufgabe übernommen. Als nationales CERT kommt dem Team neben der Vertretung der Interessen des Landes in internationalen Gremien und Treffen vor allem die Aufgabe des CERT of last resort des letzten Auswegs zu: Wenn ein von einem IT- Angriff betroffenes Unternehmen, eine Behörde oder ein anderes CERT in einem Land bei einem Betreiber keinen Kontakt herstellen kann, weil es diesen nicht kennt oder der Betreiber nicht reagiert, so verfügt oft das nationale CERT aufgrund seiner guten nationalen Vernetzung über offizielle oder inoffizielle Kontakte zu vielen relevanten Akteuren und kann meist vermittelnd helfen. Nimmt ein nationales und Regierungs-CERT zusätzlich noch die Rolle eines nationalen IT-Lagezentrums wahr, erweiteret dies Aufgaben, Funktionen und Informationsmöglichkeiten. Neben den zahlreichen Informationen, die aus öffentlichen und halböffentlichen Kontakten verfügbar sind, kann es aus seinen nicht-öffentlichen, vertraulichen Kontakten zu seinen Kunden wie zu den nationalen und internationalen Partnern wertvolle Lageinformationen gewinnen. Diese Informationen gestatten dem Lagezentrum, die nationale IT-Sicherheitslage einzuschätzen, seine Partner über die Lage und die Bewertung zu informieren und gegebenenfalls über bedrohliche Sachverhalte zu warnen und zu alarmieren. Bei nationalen Krisen reichen die Prozesse eines CERT-Teams nicht mehr aus. Dann müssen andere Mechanismen, wie zum Beispiel die eines nationalen IT- Krisenreaktionszentrums etabliert sein. Dieses kann dann durch geeignete Prozesse und personelle Fachunterstützung auch komplexere große nationale Krisen gemeinsam mit dem politischen Krisenmanagement im zuständigen Ministerium bewältigen. Mit ihrer zentralen und vernetzten Rolle als Informationsdrehscheibe und Helfer in der Not spielen CERTs bei der Bewältigung von IT-Sicherheitsvorfällen und zur Wahrung der Cyber-Sicherheit in Deutschland eine wesentliche Rolle. Unternehmen, die den Kontakt zu einem solchen Team lose oder fest als Partner oder Auftraggeber und Dienstleistungsnehmer haben, sind bei IT-Sicherheitsvorfällen deutlich besser aufgestellt als Teams, die versuchen müssen, das Problem ohne fremde Hilfe in den Griff zu bekommen. Allianz für Cyber-Sicherheit Die Herausforderung Cybersicherheit kann nur durch gemeinsame Anstrengungen von Wirtschaft, Wissenschaft und Verwaltung erreicht werden. Als Plattform für den Informations- und Erfahrungsaustausch auf diesem Gebiet haben das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.v. (BITKOM) die Allianz für Cyber-Sicherheit gegründet. Von Dr. Harald Niggemann, BSI Cyberangriffe werden von unterschiedlichen Tätergruppen mit diversen Zielsetzungen durchgeführt. Das Spektrum reicht von Denial-of-Service-Angriffen durch Aktivisten über die Manipulation von Internetbanking- Vorgängen durch Kriminelle bis hin zu Spionage und Sabotage in Behörden und Unternehmen durch fremde staatliche Stellen. Nicht selten arbeiten mehrere Tätergruppen bei der Vorbereitung oder Durchführung von Cyberangriffen arbeitsteilig zusammen. Über bekannt gewordene Cyberangriffe auf private und öffentliche Einrichtungen wird inzwischen nicht nur in Fachkreisen, sondern auch in der Medienwelt berichtet. Aufgrund der vielfältigen Szenarien und Formen von Angriffen im Cy- berraum ist eine Schätzung der Schäden, die dadurch in Deutschland entstehen, schwierig. Unbestritten ist jedoch, dass nicht nur die Überlebensfähigkeit einzelner Institutionen bedroht ist. Auch IT-Systeme der kritischen Infrastruktur, die für unsere Gesellschaft von besonderer Bedeutung sind und zu denen beispielsweise die Energie- und Lebensmittelversorgung gehören, sind Teil des Cyberraums und stehen dadurch unter ständiger Bedrohung. Die Ursachen für die Gefahr durch Cyberangriffe sind vielfältig. Einerseits können viele Angriffsziele relativ 36 BSI Bonn <kes> 2012 # 6

5 einfach attackiert und die Angriffswege effektiv verschleiert werden. Andererseits ist auch die heutige Informationstechnik aufgrund ihrer Komplexität nicht fehlerfrei und damit angreifbar. Täter nutzen nicht nur neue und bislang unbekannte Schwachstellen aus ( Zero Days ), sondern schlagen auch Kapital daraus, dass Updates und Patches in der Praxis häufig verspätet eingespielt werden. Praktikable Schutzmaßnahmen In diesem Zusammenhang stellt sich die Frage, ob angesichts der Gefährdungslage ein effektiver und effizienter Schutz vor Cyberangriffen überhaupt möglich ist. Grundsätzlich gilt auch in der Cybersicherheit, dass es wie in vielen Disziplinen keinen absoluten präventiven Schutz gibt. Allerdings zeigen die Erfahrungen der Labore und auch des BSI, dass das technische Niveau der Angriffe sehr unterschiedlich ist und sich die meisten Angriffe durch praktikable Schutzmaßnahmen abwehren lassen. Je besser die Schutzvorkehrungen sind, desto geringer ist die Wahrscheinlichkeit eines erfolgreichen Cyberangriffes in der eigenen Institution. Auch bei zielgerichteten Angriffen gilt, dass sich die Täter möglicherweise ein leichteres Ziel aussuchen, wenn sie auf wirksame Schutzmaßnahmen treffen. Kooperation und Anpassung Für einen angemessenen Schutz insgesamt sind punktuelle Maßnahmen jedoch nicht ausreichend: Die komplexen Strukturen des Cyberraums bieten den Tätern heute vielfältige Wege und Werkzeuge, um IT-Systeme zu manipulieren, außer Funktion zu setzen oder um vertrauliche Informationen abfließen zu lassen. Isolierte Einzelmaßnahmen werden von den Angreifern meist nach einer gewissen Zeit umgangen und durch angepasste Angriffsmethoden schließlich unwirksam gemacht. Nachhaltige Cybersicherheit lässt sich daher nur durch ein kooperatives Vorgehen aller Akteure in Wirtschaft, Wissenschaft und Staat und eine kontinuierliche Anpassung aller Maßnahmen zur Prävention, Erkennung und Reaktion an die Gefährdungslage und die Methoden der Angreifer erreichen. Als Plattform für den hierfür erforderlichen Informations- und Erfahrungsaustausch haben das BSI und der BITKOM e.v. die Allianz für Cyber-Sicherheit gegründet. Kernziele dieser Initiative sind: die Risiken des Cyberraums für Deutschland zu bewerten, angemessene Sicherheitsmaßnahmen zu konzipieren und zu realisieren, die nationalen Fähigkeiten zum Schutz im Cyberraum, zur Abwehr von Cyberangriffen und zur Bewältigung von Cyberkrisen zu stärken, im internationalen Vergleich eine führende Rolle im Bereich Cybersicherheit einzunehmen. Zur Erreichung dieser Ziele setzt die Allianz für Cyber-Sicherheit auf die Elemente Lageermittlung, Lösungshinweise, Gestaltung und Erfahrungsaustausch. Das IT-Sicherheitsniveau in Deutschland kann nur weiterentwickelt und verbessert werden, wenn der aktuelle Status bekannt ist und die Beseitigung vorhandener Defizite offen angegangen wird. Im Rahmen der Allianz für Cyber-Sicherheit stellt das BSI daher aktuelle Lageinformationen zur Verfügung, damit Institutionen ihre Aktivitäten daran ausrichten können. Zur Ermittlung der Lage nutzt das BSI nicht nur seine eigenen Erkenntnisse, sondern es fließen auch Beiträge von Partnern der Allianz für Cyber-Sicherheit ein. Um die Vollständigkeit der Lageinformationen weiter zu verbessern, besteht auch die Möglichkeit, Ereignisse im Zusammenhang mit Cyberangriffen anonym an das BSI zu melden. Ein weiteres wichtiges Element der Allianz für Cyber-Sicherheit sind Hinweise zu Lösungen: Hierzu gehören unter anderem Empfehlungen zum Einsatz bestimmter Sicherheitsmaßnahmen, zur Konfiguration von Produkten oder zu Sofortmaßnahmen für den Fall, dass eine Institution Opfer eines Cyberangriffs geworden ist. Dabei werden nicht nur Lösungshinweise des BSI, sondern auch von Partnern der Allianz für Cyber-Sicherheit zur Verfügung gestellt. Die Allianz für Cyber-Sicherheit dient somit auch zum schnellen Informationsaustausch, um zeitnah aktuelle Empfehlungen zum Schutz vor und zur professionellen Reaktion auf Cyberangriffe bereitzustellen. Auch Hersteller und Dienstleister im Bereich IT- Sicherheit, CERTs, Internet-Dienstleister et cetera wirken bei der Allianz für Cyber-Sicherheit mit. Der Informationsaustausch mit diesen Einrichtungen bietet die Chance, die Cybersicherheit in Deutschland mitzugestalten, beispielsweise durch Feedback von Anwendern und Betreibern. Die Allianz für Cyber-Sicherheit fungiert dabei als Kristallisationspunkt von Lösungen, Best Practices oder Standards. Sowohl bei der Sensibilisierung als auch bei der Konzeption von Maßnahmen kann der Erfahrungsaustausch mit anderen Institutionen einen wesentlichen Mehrwert liefern. Aufgrund der sensitiven Natur des Themas setzt dies jedoch ein besonderes Maß an Vertrauen voraus. Neben der zentralen Informationsverteilung setzt die Allianz für Cyber-Sicherheit daher auch auf den direkten Austausch in kleineren Gruppen, beispielsweise in regionalen und branchenbezogenen Foren, Arbeitskreisen oder Stammtischen. Die Leitung oder Betreuung solcher Gruppen ist eine Möglichkeit für Partner und Multiplikatoren zur Mitwirkung in der Allianz für Cyber-Sicherheit. BSI Bonn <kes> 2012 # 6 37

6 Allianz für Cyber-Sicherheit Freiwillige Registrierung Es gibt verschiedene Möglichkeiten, die Leistungen der Allianz für Cyber-Sicherheit zu nutzen. Die meisten Publikationen der Allianz für Cyber-Sicherheit werden ohne Zugriffsbeschränkung auf dem Web-Angebot unter der Adresse zur Verfügung gestellt, damit sie von möglichst vielen Anwendern für die Verbesserung der Cybersicherheit genutzt werden können. Bestimmte Angebote der Allianz für Cyber-Sicherheit richten sich jedoch nur an registrierte Teilnehmer: Die freiwillige Registrierung steht deutschen Institutionen (Unternehmen, Behörden, Forschungseinrichtungen etc.) offen und setzt die Benennung eines Ansprechpartners, der innerhalb der Institution die Verantwortung für Cybersicherheit trägt, und die Unterzeichnung einer Vertraulichkeitsvereinbarung voraus. Typische Ansprechpartner sind CIOs und CISOs, in kleineren Institutionen auch Administratoren. Die Vertraulichkeitsvereinbarung ist notwendig, damit auch nicht-öffentliche Informationen ausgetauscht werden können. Institutionen im besonderen staatlichen Interesse Ein erweitertes Informationsangebot besteht für Institutionen im besonderen staatlichen Interesse (INSI). Dazu gehören beispielsweise deutsche Unternehmen in der Geheimschutzbetreuung oder deutsche Betreiber kritischer Infrastruktur. Durch die Registrierung können solche Institutionen Zugriff auf einen gesonderten Bereich mit vertraulichen Informationen erhalten. Partner Die aktive Mitarbeit von Unternehmen und Behörden trägt wesentlich zum Erfolg der Allianz für Cyber- Sicherheit bei. Partner der Allianz für Cyber-Sicherheit sind deutsche Institutionen, die einen konkreten Mehrwert für die Allianz erzeugen, indem sie beispielsweise exklusive Informationen beisteuern oder kostenlose Dienstleistungen für Teilnehmer anbieten. Typischerweise verfügen Partner daher über hohe IT-Kompetenz und sind in einem der folgenden Bereiche tätig: Readiness (Sensibilisierung, Ausbildung, Konzeption, Audits, Übungen), Solutions (Bereitstellung von Produkten und Dienstleistungen), Situation (Lagebeobachtung, -analyse, -bewertung, Früherkennung, Warnung), Defence (Abwehr von Cyberangriffen, IT-Krisenreaktion und -bewältigung) sowie Research (Forschung und Entwicklung) Partner sind beispielsweise CERTs, Hersteller/ Dienstleister, die zur Cybersicherheit beitragen, Internet- Infrastrukturbetreiber und Forschungseinrichtungen mit einem Forschungsschwerpunkt Cybersicherheit. Eine weitere Möglichkeit, sich aktiv im Rahmen einer Partnerschaft zu engagieren, besteht beispielsweise in der Organisation von Foren für den Erfahrungsaustausch. Generell gilt, dass die Beiträge der Partner zur Allianz kostenlos sind. Multiplikatoren Cybersicherheit betrifft alle Anwender von Informationstechnik die Allianz für Cyber-Sicherheit ist deshalb keine Initiative mit ausgewählten Mitgliedern, sondern richtet sich an alle deutsche Institutionen aus dem privaten und öffentlichen Sektor. Der Beitrag der Multiplikatoren der Allianz für Cyber-Sicherheit ist es, die Reichweite der Allianz zu erhöhen, indem sie beispielsweise aktuelle Informationen über die Allianz für Cyber- Sicherheit an ihre Mitglieder oder an andere Adressatenkreise vermitteln, Artikel oder Vorträge über die Allianz für Cyber- Sicherheit oder über Themen der Cybersicherheit in ihren Medien oder Organen platzieren oder durch Gremien-, Medien- oder Öffentlichkeitsarbeit für die Anliegen der Cybersicherheit sensibilisieren. Als Multiplikatoren können etwa bundesweit oder regional agierende Wirtschaftsverbände, Industrie- und Handelskammern, Gremien, Vereine, Medien und ähnliche Einrichtungen die Allianz unterstützen. Fazit Die Allianz für Cyber-Sicherheit bietet Unternehmen und Behörden die Möglichkeit, sich mit den notwendigen Informationen zu versorgen, um angemessene Schutzmaßnahmen zu treffen und professionell auf Cyberangriffe zu reagieren. Durch die Teilnahme am Erfahrungsaustausch oder auch als Partner/Multiplikator können Institutionen daran mitwirken, die Cybersicherheit in Deutschland weiter zu verbessern und aktiv zu gestalten. Alle deutschen Institutionen sind aufgerufen, sich an diesem Prozess zu beteiligen. Weiterführende Informationen und Formulare zur Interessensbekundung finden sich auf dem Webangebot unter der Adresse www. allianz-fuer-cybersicherheit.de. Anfragen können per an die Adresse gerichtet werden. 38 BSI Bonn <kes> 2012 # 6

7 Amtliche Mitteilungen BSI Forum Amtliche Mitteilungen 1. Im Vergleich zur letzten Ausgabe dieser amtlichen Mitteilungen sind inzwischen folgende Zertifizierungen des BSI gemäß Common Criteria und ITSEC abgeschlossen worden: Hersteller/Vertreiber Produkt Produkt-Typ Ergebnis ID Zertifizierungsdatum Red Hat, Inc Red Hat Enterprise Linux, Version 6.2 Betriebssystem EAL 4+ with KVM Virtualization for x86 BSI-DSZ-CC Architectures Red Hat, Inc Red Hat Enterprise Linux, Version 6.2 Betriebssystem EAL 4+ on IBM Hardware for Power and BSI-DSZ-CC System z Architectures Continental Digital Tachograph DTCO 1381, Fahrtenschreiber BSI-DSZ-CC Automotive GmbH Release 2.0a MA intellic GmbH Digital Tachograph EFAS-4.1 Digitaler Tachograph BSI-DSZ-CC Version MA intellic GmbH Digital Tachograph EFAS-4.0 Digitaler Tachograph BSI-DSZ-CC Version MA IBM Corporation IBM z/os, Version 1, Release 13 Betriebssystem EAL 4+ BSI-DSZ-CC Infineon Infineon Security Controller M7892 B11 Smartcard Controller EAL 6+ Technologies AG with optional RSA2048/4096 v , BSI-DSZ-CC EC v , SHA-2 v1.01 and Toolbox v libraries and with specific IC dedicated software (firmware) cv cryptovision GmbH cv act epasslet/epki v3.6 Sichere Signatur- EAL 4+ erstellungseinheit BSI-DSZ-CC (SSCD) cv cryptovision GmbH cv act epasslet/eacv2-sac v1.8 IC mit Anwendung EAL 4+ BSI-DSZ-CC cv cryptovision GmbH cv act epasslet/bac v1.8 IC mit Anwendung EAL 4+ BSI-DSZ-CC cv cryptovision GmbH cv act epasslet/eacv1 v1.8 IC mit Anwendung EAL 4+ BSI-DSZ-CC Fujitsu Technology SecDocs Secuity Komponenten Softwareanwendung EAL 4+ Solutions GmbH Version 1.0, build version _6236 mit Signaturanwen- BSI-DSZ-CC dungskomponente BSI Bonn <kes> 2012 # 6 39

8 Amtliche Mitteilungen Hersteller/Vertreiber Produkt Produkt-Typ Ergebnis ID Zertifizierungsdatum Infineon Infineon smart card IC (Security Smartcard Controller EAL 5+ Technologies AG Controller) M7820 A11 and M11 with BSI-DSZ-CC optional RSA2048/4096 v , EC v , SHA-2 v1.01 and Toolbox v libraries and with specific IC dedicated software Giesecke & Devrient STARCOS 3.5 ID ECC C1 Sichere Signatur- EAL 4+ GmbH erstellungs einheit BSI-DSZ-CC (SSEE) Trueb AG tru/cos tacho v1.0 Tachograph Karte EAL 4+ BSI-DSZ-CC Infineon Infineon smart card IC (Security Smartcard Controller EAL 5+ Technologies AG Controller) M9900 A21 with specific BSI-DSZ-CC IC dedicated software IBM Corporation IBM AIX 7 for POWER, Betriebssystem EAL 4+ V7.1 Technology level BSI-DSZ-CC with optional IBM Virtual I/O Server V Bundesdruckerei Bundesdruckerei Document Reading Anwendungssoftware BSI-DSZ-CC GmbH Application Version zum Auslesen von MA-01 elektronischen Ausweisdokumenten NXP Semiconductors Crypto Library V2.7 on P5CD145V0v / Smartcard Controller BSI-DSZ-CC Germany GmbH P5CC145V0v / P5CD128V0v / MA-01 P5CC128V0v Anmerkung: Die zugehörigen Zertifizierungsreporte mit Zertifikaten sind auf der Web-Seite einzusehen. 2. Im Vergleich zur letzten Ausgabe dieser amtlichen Mitteilungen ist inzwischen für folgende Produkte eine Zertifizierung beantragt worden: Antragsteller Produktname Produkttyp Zertifizierungs-ID Bundesdruckerei GmbH Bundesdruckerei Document Änderungsterminal für BSI-DSZ-CC-0863 Application Version hoheitliche Dokumente Anmerkungen: Eine Veröffentlichung dieser Angaben erfolgt hier nur, sofern der Antragsteller damit einverstanden ist und die Evaluierung begonnen wurde. In der Liste vorhandene Nummerierungslücken betreffen beantragte Zertifizierungen, für die die genannten Voraussetzungen fehlen. Bei einigen Produkten handelt es sich um eine Re-Zertifizierung eines bereits zertifizierten Produktes wegen Änderungen am Produkt oder Wechsel der Prüfkriterien. 40 BSI Bonn <kes> 2012 # 6

9 3. Vom BSI zertifizierte und registrierte Schutzprofile Entwickler Profilbezeichnung ID Zertifizierungsdatum CEN/ISSS Protection profiles for secure signature creation device BSI-CC-PP Information Society Part 3: Device with key import, Version Standardization System Bundesamt für Portable Storage Media Protection Profile (PSMPP), BSI-CC-PP Sicherheit in der Version Informationstechnik 4. Vom BSI erteilte Standortzertifikate Antragsteller Entwicklungs-/Produktionsstandorte ID gültig bis Ausstellungsdatum GLOBALFOUNDRIES GLOBALFOUNDRIES Singapore Pte. Ltd., Fab 7 BSI-DSZ-CC-S Singapore Pte. Ltd GLOBALFOUNDRIES GLOBALFOUNDRIES Singapore (Tampines) Pte.,. Ltd., Fab 3E BSI-DSZ-CC-S Singapore Pte. Ltd Vom BSI erteilte ISO Zertifikate auf der Basis von IT-Grundschutz Zertifikatsnummer Institution Untersuchungsgegenstand gültig bis BSI-IGZ SAG Consulting Der Untersuchungsgegenstand ist der Geschäftsbereich Appli Services GmbH cation Management Center (AMC) der SAG Consulting Services GmbH. Dieser Bereich betreibt Kundensysteme und deren Anwendungen auf eigenen Rechnern. Darüber hinaus werden Anwendungen auf Basis von Software AG-Produkten auf externen Kundensystemen betreut. Weiterhin werden Anwendungen über eine VPN Verbindung, die vom Kunden verantwortet wird, betreut. Diese VPN Verbindungen enden in der Firewall des Bereiches AMC. Zum Informationsverbund gehören in diesem Fall nur die betriebenen Anwendungen. BSI-IGZ TDS Der Untersuchungsgegenstand umfasst den IT-Verbund des Informations- Geschäftsbereichs IT Outsourcing (ITO) der TDS Informations technologie AG technologie AG. Zum Verbund zählen alle Services, welche am Standort Neckarsulm, Neuenstadt am Kocher und Ulm (Bürostandort kein RZ-Betrieb durch TDS) durch den Geschäftsbereich ITO betreut werden. Der IT-Verbund umfasst den Betrieb der Serversysteme und Netzwerkkomponenten der hochverfügbaren Rechenzentren an den Standorten Neckarsulm und Neuenstadt am Kocher. BSI Bonn <kes> 2012 # 6 41

10 Amtliche Mitteilungen Zertifikatsnummer Institution Untersuchungsgegenstand gültig bis BSI-IGZ GISA GmbH Der Informationsverbund der GISA GmbH umfasst das Hosting einzelner Systeme, den Betrieb von IT-Infrastrukturen mit den erforderlichen Anwendungen und/oder die Bereitstellung definierter Services. Der Untersuchungsgegenstand besteht aus den IT-Komponenten, die für den Betrieb selbst genutzter oder für Kunden zur Verfügung gestellter Anwendungen, IT-Systeme und Services als Grundversorgung notwendig sind. Er schließt die dafür erforderliche RZ-Infrastruktur an den Standorten Halle und Chemnitz sowie die benötigten Netzwerkdienste und die operative Netzwerkplattform ein. Bestandteile des Untersuchungsgegenstandes sind Systeme zur Bereitstellung von Datensicherungsdiensten, SAN-Systeme, Verzeichnisdienste, Server für Netzbasisdienste, die zugehörigen Netzkomponenten wie Router und Switche, Sicherheitsgateways und Zugangssysteme für einen kontrollierten Zugriff auf unterschiedliche Teilnetze sowie das zugehörige Netz- und Systemmanagement. 6. Folgende Auditteamleiter für ISO Audits auf der Basis von IT-Grundschutz wurden zum zertifiziert: Zertifizierungs-Nr. Name Kontaktinfos Michail Harwardt PERSICON consultancy GmbH, Berlin, Hans Sauer WGZ BANK AG, Düsseldorf, Werner Ochs Deloitte & Touche GmbH, Hannover, Nico Müller Steria Mummert Consulting AG, Frankfurt am Main, Alexander Schlensog secunet Security Networks AG, Essen, Torsten Tuchscherer GISA GmbH, Halle (Saale), Carsten Schulz Infodas GmbH, Köln, Thomas Heß CONNECT Comp. & Netzwerktechnik GmbH, Freiburg, Robert Kallwies HiSolutions AG, Berlin Michael Schmidt-Plankemann activemind cert GmbH, München Christian Lotz plan42 GmbH, München, Francoise Brinkmann LOGICA DEUTSCHLAND GmbH & Co. KG, Hennef, Daniel Bachtanian PERSICON consultancy GmbH, Berlin, 42 BSI Bonn <kes> 2012 # 6

Allianz für Cyber-Sicherheit

Allianz für Cyber-Sicherheit Allianz für Cyber-Sicherheit Dirk Häger Bundesamt für Sicherheit in der Informationstechnik Bonn, 13. November 2012 1 Nationales CyberSicherheitsprogramm (BSI) Folie aus 2011 Ziele: die Risiken des Cyber-Raums

Mehr

Allianz für Cyber-Sicherheit. Allianz für Cyber-Sicherheit

Allianz für Cyber-Sicherheit. Allianz für Cyber-Sicherheit Allianz für Cyber-Sicherheit Allianz für Cyber-Sicherheit 1 Beirat der Allianz für Cyber-Sicherheit» Prof. Dieter Kempf Präsident des Bundesverbandes Informationswirtschaft, Telekommunikation und neue

Mehr

Aktuelles zur Lage und Sicherheitsmaßnahmen im Cyber-Raum. Thomas Haeberlen

Aktuelles zur Lage und Sicherheitsmaßnahmen im Cyber-Raum. Thomas Haeberlen Aktuelles zur Lage und Sicherheitsmaßnahmen im Cyber-Raum Thomas Haeberlen Gelsenkirchen, 11.Juni 2015 Agenda» Kernaussagen» Zahlen und Fakten zu Angriffen im Cyber-Raum» Cyber-Angriffsformen» Snowden-Enthüllungen»

Mehr

Marc Schober Bundesamt für Sicherheit in der Informationstechnik. Cyber-Sicherheit: Lagebild und Möglichkeiten des Erfahrungsaustauschs

Marc Schober Bundesamt für Sicherheit in der Informationstechnik. Cyber-Sicherheit: Lagebild und Möglichkeiten des Erfahrungsaustauschs TeleTrusT Bundesverband IT-Sicherheit e.v. TeleTrusT Bundesverband IT-Sicherheit e.v. TeleTrusT Bundesverband IT-Sicherheit e.v. Der IT-Sicherheitsverband e.v. TeleTrusT-interner Workshop Bochum, 27./

Mehr

Aktuelle Angriffsmuster was hilft?

Aktuelle Angriffsmuster was hilft? Aktuelle Angriffsmuster was hilft? Referatsleiterin Allianz für Cyber-Sicherheit, Penetrationszentrum und IS-Revision Bundesamt für Sicherheit in der Informationstechnik Managementforum Postmarkt, Frankfurt

Mehr

Die Cybersicherheitslage in Deutschland

Die Cybersicherheitslage in Deutschland Die Cybersicherheitslage in Deutschland Andreas Könen, Vizepräsident BSI IT-Sicherheitstag NRW / 04.12.2013, Köln Cyber-Sicherheitslage Deutschland Ist massives Ziel für Cyber-Crime Wird breit cyber-ausspioniert

Mehr

Cybercrime, Cyberspionage, Cybersabotage - Wie schützen wir unseren Cyberraum?

Cybercrime, Cyberspionage, Cybersabotage - Wie schützen wir unseren Cyberraum? Cybercrime, Cyberspionage, Cybersabotage - Wie schützen wir unseren Cyberraum? Dirk Häger, Fachbereichsleiter Operative Netzabwehr Bundesamt für Sicherheit in der Informationstechnik Jahrestagung CODE,

Mehr

CERT NRW Jahresbericht 2012

CERT NRW Jahresbericht 2012 Seite: 1 von 19 CERT NRW Jahresbericht 2012 Seite: 2 von 19 Inhalt CERT NRW... 1 Jahresbericht 2012... 1 Einleitung... 3 Aufgaben des CERT NRW... 3 Tätigkeitsbericht... 4 Schwachstellen in Webangeboten

Mehr

Cyber-Sicherheitslagebild & IT-Sicherheitslagebild

Cyber-Sicherheitslagebild & IT-Sicherheitslagebild Cyber-Sicherheitslagebild & IT-Sicherheitslagebild Andreas Könen Bundesamt für Sicherheit in der Informationstechnik 18. Bonner Microsoft Tag für Bundesbehörden 21. und 22. Mai 2014-1- Allianz für Cyber-Sicherheit

Mehr

Avira Partner der öffentlichen Verwaltung Wichtige Kooperationen und Allianzen

Avira Partner der öffentlichen Verwaltung Wichtige Kooperationen und Allianzen BSI Bundesamt für Sicherheit in der Informationstechnik Als einziger deutscher Hersteller von IT-Sicherheitslösungen unterstützt Avira wichtige Allianzen und Kooperationen der öffentlichen Hand. Diese

Mehr

SWITCH-CERT Christoph Graf Head of Network Security SWITCH

SWITCH-CERT Christoph Graf Head of Network Security SWITCH <graf@switch.ch> SWITCH-CERT Christoph Graf Head of Network Security SWITCH 2004 SWITCH Begriffe CERT: Computer Emergency Response Team Generische Begriffsbezeichnung für Computersicherheitsteams Aber:

Mehr

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Andreas Könen Vizepräsident, Bundesamt für Sicherheit in der Informationstechnik Hacking für Deutschland!? Aufgaben und Herausforderungen

Mehr

Lebenszyklus einer Schwachstelle

Lebenszyklus einer Schwachstelle GRUNDLAGEN STATISTIKEN BERICHTE Lebenszyklus einer Schwachstelle Nach Bekanntwerden einer neuen Zero-Day-Schwachstelle hat der Hersteller ein Advisory veröffentlicht, in dem bis zur Fertigstellung eines

Mehr

Marc Schober Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheit im Mittelstand Gunzenhausen, 28. April 2015

Marc Schober Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheit im Mittelstand Gunzenhausen, 28. April 2015 Risiken und Schutz im Cyber-Raum Marc Schober Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheit im Mittelstand Gunzenhausen, 28. April 2015 Stahlwerk in Deutschland durch APT-Angriff beschädigt

Mehr

Allianz für Cyber-Sicherheit

Allianz für Cyber-Sicherheit Allianz für Cyber-Sicherheit Dr. Hartmut Isselhorst Bundesamt für Sicherheit in der Informationstechnik 03. März 2012 Agenda Aktuelle Entwicklungen der Gefährdungslage Kooperationsangebot: Allianz für

Mehr

Überwachung der Sicherheit von IT-Services im Einsatz

Überwachung der Sicherheit von IT-Services im Einsatz Überwachung der Sicherheit von IT-Services im Einsatz Franz Lantenhammer Oberstleutnant Dipl.-Ing., CISSP Leiter CERTBw IT-Zentrum der Bundeswehr franzlantenhammer@bundeswehr.org franz.lantenhammer@certbw.de

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

Cyber-Sicherheit von Industrial Control Systems

Cyber-Sicherheit von Industrial Control Systems Cyber-Sicherheit von Industrial Control Systems Holger Junker Bundesamt für Sicherheit in der Informationstechnik Industrial IT Forum 2012-04-25 Agenda Das BSI Cyber-Sicherheit im ICS-Kontext Sicherheitsmaßnahmen

Mehr

Cloud Computing mit IT-Grundschutz

Cloud Computing mit IT-Grundschutz Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung

Mehr

Nationales CyberSicherheitsprogramm

Nationales CyberSicherheitsprogramm Nationales CyberSicherheitsprogramm Bundesamt für Sicherheit in der Informationstechnik WG2 der eicar, 15. November 2011 Vorgestern IKARUS Security Software GmbH 2/31 Gestern IKARUS Security Software GmbH

Mehr

Cyber-Sicherheit bei Cloud und Virtualisierung Sicherer Aufbau und Betrieb von Cloud- und Virtualisierungsumgebungen

Cyber-Sicherheit bei Cloud und Virtualisierung Sicherer Aufbau und Betrieb von Cloud- und Virtualisierungsumgebungen Cyber-Sicherheit bei Cloud und Virtualisierung Sicherer Aufbau und Betrieb von Cloud- und Virtualisierungsumgebungen 17. 18. Juni 2014, Berlin 9. 10. Dezember 2014, Düsseldorf Cyber-Sicherheit bei Cloud

Mehr

Risiken und Perspektiven einer sicheren Infrastruktur Internet

Risiken und Perspektiven einer sicheren Infrastruktur Internet Risiken und Perspektiven einer sicheren Infrastruktur Internet Michael Hange Präsident des Bundesamtes für Sicherheit in der Informationstechnik Konferenz Zukünftiges Internet Sitzung 3 Kritische Infrastruktur

Mehr

Cloud Computing Wohin geht die Reise?

Cloud Computing Wohin geht die Reise? Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen 17.10.2011 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten

Mehr

Neue Technologien sicher nutzen: IT-Sicherheit in der öffentlichen Verwaltung

Neue Technologien sicher nutzen: IT-Sicherheit in der öffentlichen Verwaltung Neue Technologien sicher nutzen: IT-Sicherheit in der öffentlichen Verwaltung Andreas Könen Bundesamt für Sicherheit in der Informationstechnik Memo Tagung 2. und 3. Juni 2014-1- Das BSI... ist eine unabhängige

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

IT-Sicherheit bei kleinen und mittleren Unternehmen. Dr. Kai Fuhrberg Bundesamt für Sicherheit in der Informationstechnik

IT-Sicherheit bei kleinen und mittleren Unternehmen. Dr. Kai Fuhrberg Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheit bei kleinen und mittleren Unternehmen Bundesamt für Sicherheit in der Informationstechnik Agenda BSI - Aufgaben und Dienstleistungen IT-Sicherheit: Zahlen & Fakten IT-Grundschutz Zertifizierung

Mehr

LANCOM Systems. Standortvernetzung NEU

LANCOM Systems. Standortvernetzung NEU LANCOM Systems Hochsichere Standortvernetzung NEU Hochsichere Standortvernetzung [...] Geheimdienste werten in ungeahntem Ausmaß deutsche Mails, Telefongespräche und Kurznachrichten aus. Unternehmen befürchten

Mehr

Rechtliche Anforderungen an die IT-Sicherheit

Rechtliche Anforderungen an die IT-Sicherheit Rechtliche Anforderungen an die IT-Sicherheit Tag der IT-Sicherheit 05.02.2015 NELL-BREUNING-ALLEE 6 D-66115 SAARBRÜCKEN TELEFON: +49(0)681 /9 26 75-0 TELFAX: +49(0)681 /9 26 75-80 WWW.JURE.DE Überblick

Mehr

Status quo Know-how Kontext Industrial IT-Security beim VDMA

Status quo Know-how Kontext Industrial IT-Security beim VDMA Status quo Know-how how-schutz im Kontext Industrial IT-Security beim VDMA Augsburg, 2014-02-19 Peter Mnich VICCON GmbH Ottostr. 1 76275 Ettlingen VICCON GmbH Büro Potsdam David-Gilly-Str. 1 14469 Potsdam

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

Sicherheitsanalyse von Private Clouds

Sicherheitsanalyse von Private Clouds Sicherheitsanalyse von Private Clouds Alex Didier Essoh und Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik 12. Deutscher IT-Sicherheitskongress 2011 Bonn, 10.05.2011 Agenda Einleitung

Mehr

Sozioökonomische Dienstleistungsinfrastrukturen

Sozioökonomische Dienstleistungsinfrastrukturen Das IT-Sicherheitsgesetz Am 12. Juni 2015 hat der deutsche Bundestag in 2. und 3. Lesung das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) beschlossen. Die Zustimmung

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

Nationale Kooperation CERT-Verbund und CERT-Architektur

Nationale Kooperation CERT-Verbund und CERT-Architektur Nationale Kooperation CERT-Verbund und CERT-Architektur 11. 1 September 10. September 2015 2015 Bettina Uwe Scheller Hoppenz / Uwe Hoppenz Inhaltsübersicht 2 10. September 2015 Uwe Hoppenz CERT-Architektur

Mehr

Deutsche IT-Sicherheitszertifikate

Deutsche IT-Sicherheitszertifikate Deutsche IT-Sicherheitszertifikate Zertifizierte IT-Produkte Zertifizierte Schutzprofile Nach Signaturgesetz bestätigte Produkte Zertifizierte Entwicklungs/Produktionsstandorte März 2015 7148 Deutsche

Mehr

... mehr als die Internet-Feuerwehr. DFN-CERT Services GmbH Dr. Klaus-Peter Kossakowski kossakowski@dfn-cert.de

... mehr als die Internet-Feuerwehr. DFN-CERT Services GmbH Dr. Klaus-Peter Kossakowski kossakowski@dfn-cert.de ... mehr als die Internet-Feuerwehr DFN-CERT Services GmbH Dr. Klaus-Peter Kossakowski kossakowski@dfn-cert.de CERTs Agenda: Das DFN-CERT Entstehung und Entwicklung Die Säulen der CERT-Arbeit Proaktive

Mehr

Soziale Netzwerke Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co.

Soziale Netzwerke Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co. www.bsi-fuer-buerger.de Ins Internet mit Sicherheit! Soziale Netzwerke Basisschutz leicht gemacht 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co. Sicher unterwegs in Facebook,

Mehr

Incident Response und Forensik

Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Der Einbruch eines Hackers in die Web-Applikation des Unternehmens, ein Mitarbeiter, der vertrauliche Daten

Mehr

Cyber-Sicherheitslage / Allianz für Cyber-Sicherheit

Cyber-Sicherheitslage / Allianz für Cyber-Sicherheit Cyber-Sicherheitslage / Allianz für Cyber-Sicherheit Marc Schober Bundesamt für Sicherheit in der Informationstechnik 14. Kommunales IuK-Forum Niedersachsen, Visselhövede Hintergrundbild: kantver / fotolia.com

Mehr

Mobile Device Security Risiken und Schutzmaßnahmen

Mobile Device Security Risiken und Schutzmaßnahmen Mobile Device Security Risiken und Schutzmaßnahmen 17. 19. Februar 2014, Hamburg 26. 28. Mai 2014, Köln 27. 29. August 2014, Berlin 5. 7. November 2014, Stuttgart Mobile Device Security Risiken und Schutzmaßnahmen

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

Aktuelle Gefährdungslage erfordert gemeinsames Handeln

Aktuelle Gefährdungslage erfordert gemeinsames Handeln 2012 # 2 20. Jahrgang BSI Forum Forum Organ des Bundesamtes für Sicherheit in der Informationstechnik Inhalt Allianz für Cyber-Sicherheit 35 Erfolgsmessung mit Kennzahlen 37 Kurz notiert 36 Amtliche Mitteilungen

Mehr

BSI-Leitfaden Bedrohung der Informationssicherheit durch den gezielten Einsatz von Schadprogrammen Kurztest zur Einschätzung der eigenen

BSI-Leitfaden Bedrohung der Informationssicherheit durch den gezielten Einsatz von Schadprogrammen Kurztest zur Einschätzung der eigenen BSI-Leitfaden Bedrohung der Informationssicherheit durch den gezielten Einsatz von Schadprogrammen Teil 3: Kurztest zur Einschätzung der eigenen Bedrohungslage Änderungshistorie Datum Änderung.01.007 Version

Mehr

Bundesamt für Ausrüstung, Informationstechnik und Nutzung der Bundeswehr

Bundesamt für Ausrüstung, Informationstechnik und Nutzung der Bundeswehr Referent Cyber Defence bei I3.1 und AG Leiter IT-Security Awareness Korvettenkapitän Alexander Schüttpelz IT-Security Awareness Einblicke in die Sensibilisierung der Bundeswehr 13. DEUTSCHER IT-SICHERHEITSKONGRESS

Mehr

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen Marc Schober Bundesamt für Sicherheit in der Informationstechnik Referat 112 Kritische Infrastrukturen und IT-Sicherheitsrevision Bundesamt

Mehr

Pressemitteilung. 3. Tag der IT-Sicherheit. Stand 15. Juli 2011. Zehn Jahre Karlsruher IT-Sicherheitsinitiative

Pressemitteilung. 3. Tag der IT-Sicherheit. Stand 15. Juli 2011. Zehn Jahre Karlsruher IT-Sicherheitsinitiative Pressemitteilung PM 55 (2011) Stand 15. Juli 2011 3. Tag der IT-Sicherheit Zehn Jahre Karlsruher IT-Sicherheitsinitiative Mit der wachsenden Bedeutung der Informations- und Kommunikationstechnologie steigt

Mehr

Aktuelles zu Bedrohungen und Maßnahmen. im Kontext des nationalen Lagebilds Cybersicherheit

Aktuelles zu Bedrohungen und Maßnahmen. im Kontext des nationalen Lagebilds Cybersicherheit Aktuelles zu Bedrohungen und Maßnahmen im Kontext des nationalen Lagebilds Cybersicherheit Dipl. Math. Klaus Keus Referatsleiter Cyber-Sicherheit: Analyse und Prognose Bundesamt für Sicherheit in der Informationstechnik

Mehr

IT-Sicherheit Herausforderung für Staat und Gesellschaft

IT-Sicherheit Herausforderung für Staat und Gesellschaft IT-Sicherheit Herausforderung für Staat und Gesellschaft Michael Hange Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn Bonn, 28. September 2010 www.bsi.bund.de 1 Agenda Das BSI Bedrohungslage

Mehr

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann Zur Person Frank Broekman IT-Security Auditor (TÜV) Geschäftsführer der dvs.net IT-Service

Mehr

Informationen schützen Ihr Geschäft absichern ConSecur GmbH www.consecur.de

Informationen schützen Ihr Geschäft absichern ConSecur GmbH www.consecur.de Informationen schützen Ihr Geschäft absichern Aktuelle Bedrohungen und wie man sie mindert. Matthias Rammes rammes@consecur.de ConSecur GmbH Schulze-Delitzsch-Str. 2 D-49716 Meppen Fon +49 5931 9224-0

Mehr

Mobile Device Security Risiken und Schutzmaßnahmen. 5. 7. November 2014, Stuttgart

Mobile Device Security Risiken und Schutzmaßnahmen. 5. 7. November 2014, Stuttgart Mobile Device Security Risiken und Schutzmaßnahmen 5. 7. November 2014, Stuttgart Mobile Device Security Risiken und Schutzmaßnahmen 5. 7. November 2014 Mobile Endgeräte verändern wesentlich unseren Alltag

Mehr

Schutz von IT-Dienststrukturen durch das DFN-CERT. Jürgen Brauckmann DFN-CERT Services GmbH brauckmann@dfn-cert.de

Schutz von IT-Dienststrukturen durch das DFN-CERT. Jürgen Brauckmann DFN-CERT Services GmbH brauckmann@dfn-cert.de Schutz von IT-Dienststrukturen durch das DFN-CERT Jürgen Brauckmann DFN-CERT Services GmbH brauckmann@dfn-cert.de Schutz - Warum? Folie 2 Schutz - Warum? (1) Schutz von IT-Dienststrukturen immer bedeutsamer:

Mehr

IT-Sicherheitszertifikat

IT-Sicherheitszertifikat Bundesamt Deutsches erteilt vom IT-Sicherheitszertifikat Bundesamt ISO 27001-Zertifikat auf der Basis von IT-Grundschutz Technisches Facility Management für hochverfügbare Datacenter der e-shelter facility

Mehr

Stand der CERT-Dienste im D-Grid. Security Workshop Göttingen 27.-28. März 2007

Stand der CERT-Dienste im D-Grid. Security Workshop Göttingen 27.-28. März 2007 Stand der CERT-Dienste im D-Grid Security Workshop Göttingen 27.-28. März 2007 Aufgaben des Grid-CERT Praktische Hilfe (Beratung) und Unterstützung bei Angriffen (Reaktion) Verhinderung von Angriffen und

Mehr

IT-Beauftragter der Bayerischen Staatsregierung IT-Sicherheitsstrukturen in Bayern

IT-Beauftragter der Bayerischen Staatsregierung IT-Sicherheitsstrukturen in Bayern IT-Sicherheitsstrukturen in Bayern Dr. Andreas Mück Agenda 1. Technische Rahmenbedingungen 2. Sicherheitsorganisation 3. Leitlinie zur IT-Sicherheit 4. Aktuelle Projekte Bayerisches Staatsministerium der

Mehr

Die Senatorin für Finanzen. Vortrag

Die Senatorin für Finanzen. Vortrag Vortrag Nationaler Plan zum Schutz der Informationsinfrastrukturen Ressortübergreifend abgestimmte IT- Sicherheitsstrategie für Deutschland Drei strategische Ziele Prävention: Informationsinfrastrukturen

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

Die Zukunft der IT-Sicherheit

Die Zukunft der IT-Sicherheit Die Zukunft der IT-Sicherheit Was wir aus dem IT-SiG und Co. so alles für die Zukunft lernen können! 20.03.2015 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

Security by Design. Praktische, individuelle und wirtschaftliche Lösung für den Mittelstand

Security by Design. Praktische, individuelle und wirtschaftliche Lösung für den Mittelstand Polizeipräsidium Mittelfranken Security by Design Praktische, individuelle und wirtschaftliche Lösung für den Mittelstand Referent: Matthias Wörner (MW IT-Businesspartner) gepr. IT Sachverständiger Matthias

Mehr

expect more Verfügbarkeit.

expect more Verfügbarkeit. expect more Verfügbarkeit. Erfolgreiche Managed-Hostingund Cloud-Projekte mit ADACOR expect more Wir wollen, dass Ihre IT-Projekte funktionieren. expect more expect more Verlässlichkeit.. Seit 2003 betreiben

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen e-netz Südhessen GmbH & Co. KG Dornheimer Weg 24 64293 Darmstadt für das IT System Querverbundleitstelle Darmstadt

Mehr

Informationssicherung und

Informationssicherung und Eidgenössisches Departement für Verteidigung, Bevölkerungsschutz und Sport VBS Nachrichtendienst des Bundes NDB MELANI Informationssicherung und Cybercrime das Internet und die Schweiz Lage, Probleme und

Mehr

CIIP Massnahmen in der Schweiz

CIIP Massnahmen in der Schweiz Informatikstrategieorgan Bund CIIP Massnahmen in der Schweiz Pascal Lamia, Leiter MELANI Partnerschaft zwischen Verwaltung und Wirtschaft (PPP) Staatsaufgabe: Artikel 2, Absatz 2 der Bundesverfassung [

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Sicherheitsaspekte beim Mobile Computing

Sicherheitsaspekte beim Mobile Computing Sicherheitsaspekte beim Mobile Computing Horst Flätgen Bundesamt für Sicherheit in der Informationstechnik (BSI) Bonn, 9. Mai 2012 www.bsi.bund.de Aufbrechen der Sicherheitsstruktur durch mobile Endgeräte

Mehr

25 Jahre Chapter München. AFCEA Herbstkonferenz 2012. 7. November 2012 Rohde & Schwarz Ampfingstr. 7, 81671 München Beginn 15.

25 Jahre Chapter München. AFCEA Herbstkonferenz 2012. 7. November 2012 Rohde & Schwarz Ampfingstr. 7, 81671 München Beginn 15. 25 Jahre Chapter München AFCEA Herbstkonferenz 2012 7. November 2012 Rohde & Schwarz Ampfingstr. 7, 81671 München Beginn 15.00h CYBER WAR III Die Bedrohungen der IT Infrastrukturen, der Vertraulichkeit,

Mehr

IT-Grundschutz: Cloud-Bausteine

IT-Grundschutz: Cloud-Bausteine IT-Grundschutz: Cloud-Bausteine Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 12.09.2013 Was sind die Risiken? (Public

Mehr

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr

IT Security Simulation

IT Security Simulation IT Security Simulation Sicherheits-Spielwiese auf europäischer Ebene CE.AT 2015 Wien, 5. März 2015 www.digitales.oesterreich.gv.at ENISA - Europäische Agentur für Netz- und Informationssicherheit Die ENISA

Mehr

Compass Security AG [The ICT-Security Experts]

Compass Security AG [The ICT-Security Experts] Compass Security AG [The ICT-Security Experts] Live Hacking: Cloud Computing - Sonnenschein oder (Donnerwetter)? [Sophos Anatomy of an Attack 14.12.2011] Marco Di Filippo Compass Security AG Werkstrasse

Mehr

Migration einer bestehenden Umgebung in eine private Cloud mit OpenStack

Migration einer bestehenden Umgebung in eine private Cloud mit OpenStack Migration einer bestehenden Umgebung in eine private Cloud mit OpenStack CeBIT 2014 14. März 2014 André Nähring Cloud Computing Solution Architect naehring@b1-systems.de - Linux/Open Source Consulting,

Mehr

Informationssicherheit: Praxisnahe Schutzmaßnahmen für kleine und mittlere Unternehmen

Informationssicherheit: Praxisnahe Schutzmaßnahmen für kleine und mittlere Unternehmen Informationssicherheit: Praxisnahe Schutzmaßnahmen für kleine und mittlere Unternehmen Claudiu Bugariu Industrie- und Handelskammer Nürnberg für 17. April 2015 Aktuelle Lage Digitale Angriffe auf jedes

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

Modellierung von Informationsverbünden mit Consumer-Endgeräten und BYOD

Modellierung von Informationsverbünden mit Consumer-Endgeräten und BYOD Modellierung von Informationsverbünden mit Consumer-Endgeräten und BYOD Erfahrungen und Empfehlungen für Zertifizierungen nach ISO 27001 auf der Basis von IT-Grundschutz Jonas Paulzen Bundesamt für Sicherheit

Mehr

Security Operations Center

Security Operations Center Nadine Nagel / Dr. Stefan Blum Security Operations Center Von der Konzeption bis zur Umsetzung Agenda Bedrohungslage Security Operations Center Security Intelligence Herausforderungen Empfehlungen 2 Bedrohungslage

Mehr

Kritische Infrastrukturen, Cybersicherheit: gestern, heute, morgen!

Kritische Infrastrukturen, Cybersicherheit: gestern, heute, morgen! Kritische Infrastrukturen, Cybersicherheit: gestern, heute, morgen! Informationsveranstaltung: IT-Aufsicht bei Banken 29. Oktober 2013 Dr. Jens Gampe Agenda Einführung Nationaler Plan zum Schutz Kritischer

Mehr

BSI Forum. der Krankenhaus-IT. Risiken erkennen, Gefahren bannen. Inhalt. Impressum. 2013 # 6 21. Jahrgang

BSI Forum. der Krankenhaus-IT. Risiken erkennen, Gefahren bannen. Inhalt. Impressum. 2013 # 6 21. Jahrgang 2013 # 6 21. Jahrgang BSI Forum offizielles Organ des BSI Krankenhaus-IT Risiken erkennen, Gefahren bannen Krankenhäuser zählen zur kritischen Infrastruktur unserer Gesellschaft und haben daher eine besondere

Mehr

Anforderungen an die langfristige, veränderungssichere Aufbewahrung elektronischer Dokumente.

Anforderungen an die langfristige, veränderungssichere Aufbewahrung elektronischer Dokumente. Anforderungen an die langfristige, veränderungssichere Aufbewahrung elektronischer Dokumente. Die langfristige, veränderungssichere Aufbewahrung elektronischer Dokumente ist in vielen Anwendungsgebieten

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

MELANI und der tägliche Kampf gegen die Cyberkriminalität

MELANI und der tägliche Kampf gegen die Cyberkriminalität Informatiksteuerungsorgan Bund ISB Nachrichtendienst des Bundes NDB MELANI und der tägliche Kampf gegen die Cyberkriminalität Max Klaus, Stv. Leiter MELANI Inhalte Cyberkriminalität im In- und Ausland

Mehr

Die IT-Sicherheitsleitlinie des IT-Planungsrates. Rainer Baalcke. IT-Sicherheitstag 2013. Ministerium für Inneres und Sport M-V

Die IT-Sicherheitsleitlinie des IT-Planungsrates. Rainer Baalcke. IT-Sicherheitstag 2013. Ministerium für Inneres und Sport M-V IT-Sicherheitstag 2013 Die IT-Sicherheitsleitlinie des IT-Planungsrates Rainer Baalcke Leiter des Referates Zentrales IT-Management; E-Governement-Strategie des Landes; IT-Betrieb M-V Schwerin, 24. Oktober

Mehr

IT-Risikomanagement Identifikation, Bewertung und Bewältigung von Risiken

IT-Risikomanagement Identifikation, Bewertung und Bewältigung von Risiken IT-Risikomanagement Identifikation, Bewertung und Bewältigung von Risiken Welchen IT-Risiken ist meine Institution ausgesetzt? Praktische Anleitung zur Erstellung von IT-Risikostrategien 24. 25. März 2014,

Mehr

Weitere Betriebssysteme im IT-Grundschutz Über den Tellerrand zu Alternativen

Weitere Betriebssysteme im IT-Grundschutz Über den Tellerrand zu Alternativen Weitere Betriebssysteme im IT-Grundschutz Über den Tellerrand zu Alternativen Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013

SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013 SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013 AGENDA Cloud-Computing: nach dem Hype Grundlagen und Orientierung (Daten-) Sicherheit in der Cloud Besonderheiten für

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG. Torsten Hemmer Berlin, 15.

Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG. Torsten Hemmer Berlin, 15. Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG Torsten Hemmer Berlin, 15. September 2015 Agenda Vorstellung der GDV Dienstleistungs-GmbH (GDV-DL) Die Informationssicherheit

Mehr

2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen

2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen Stellungnahme des Gesamtverbandes der Deutschen Versicherungswirtschaft ID-Nummer 6437280268-55 sowie des Verbandes der Privaten Krankenversicherung zum Referentenentwurf des Bundesministeriums des Innern

Mehr

26. November 2014, Frankfurt a.m.

26. November 2014, Frankfurt a.m. Datenschutz-Praxis Verfahrensverzeichnis und Vorabkontrolle Wann dürfen Verfahren zur automatisierten Verarbeitung personenbezogener Daten eingesetzt werden, wie werden sie gesetzeskonform dokumentiert?

Mehr

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA & Datenschutz und IT-Sicherheit Smart Meter CA & Gateway Administration SmartMeterCA & Gateway Administration 4 Projekte 4 gute Ideen für den Smart Meter Gateway Administrator Unsere vier Projekte im Überblick

Mehr

ULD Sommerakademie 2014. Rede Andreas Könen, Vizepräsident des Bundesamtes für Sicherheit in der Informationstechnik

ULD Sommerakademie 2014. Rede Andreas Könen, Vizepräsident des Bundesamtes für Sicherheit in der Informationstechnik ULD Sommerakademie 2014 25.08.2014, 08.30-17.00 Uhr, ULD Kiel Rede Andreas Könen, Vizepräsident des Bundesamtes für Sicherheit in der Informationstechnik Informationssicherheit in der digitalen Welt -

Mehr

Informationssicherheit in der Bundesverwaltung und das ITSM im Bundeswirtschaftsministerium

Informationssicherheit in der Bundesverwaltung und das ITSM im Bundeswirtschaftsministerium Informationssicherheit in der Bundesverwaltung und das ITSM im Bundeswirtschaftsministerium Andreas Schmidt IT-Sicherheitsbeauftragter im Bundesministerium für Wirtschaft und Technologie www.bmwi.de Andreas

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH ein Unternehmen der Allgeier SE / Division Allgeier Experts Übersicht IT-Security Technisch Prozesse Analysen

Mehr

DESKTOP AS A SERVICE. Schnell und sicher die Vorteile von Desktop- Virtualisierung nutzen. Peter Schappelwein, BSc und Michael Novomesky

DESKTOP AS A SERVICE. Schnell und sicher die Vorteile von Desktop- Virtualisierung nutzen. Peter Schappelwein, BSc und Michael Novomesky DESKTOP AS A SERVICE Schnell und sicher die Vorteile von Desktop- Virtualisierung nutzen Peter Schappelwein, BSc und Michael Novomesky KEY - TAKEAWAYS 1 2 Desktop-Virtualisierung erhöht die Flexibilität

Mehr

Neues vom IT-Grundschutz: Ausblick und Diskussion

Neues vom IT-Grundschutz: Ausblick und Diskussion Neues vom IT-Grundschutz: Ausblick und Diskussion Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2014

Mehr

IT-Sicherheit. im Kontext sicherheitskritischer Systeme. Stefan Kühne, Steffen Dienst, Jörn Hoffmann

IT-Sicherheit. im Kontext sicherheitskritischer Systeme. Stefan Kühne, Steffen Dienst, Jörn Hoffmann IT-Sicherheit im Kontext sicherheitskritischer Systeme Stefan Kühne, Steffen Dienst, Jörn Hoffmann Agenda Motivation Konzepte Maßnahmen Beispiel 2 Sicherheit bezeichnet einen Zustand, der frei von unvertretbaren

Mehr