Inventarisierung + Bewertung von IT-Risiken

Größe: px
Ab Seite anzeigen:

Download "Inventarisierung + Bewertung von IT-Risiken"

Transkript

1 26. DECUS Symposium Inventarisierung + Bewertung von IT-Risiken Thomas Maus Maus IT-Consulting 26. DECUS Symposium Inhalt Wo soll die Reise hingehen? Was ist eigentlich? Ein pragmatisches Modell für Die kultur Ihrer Organisation Das inventar Ihrer Organisation struktur an Beispiel-Szenarien A-Risk-Methics Aus- und Rückblick Thomas Maus 1

2 26. DECUS Symposium Wo soll die Reise hingehen? Verstehen der eigenen Sicherheitslage Kommunikationshilfsmittel für Gespräche zwischen Management, Fachseite + Administratoren Grundlage für nachvollziehbare, obektivierbare Entscheidungen Planungshilfsmittel für Sicherheitsarchitektur Priorisierung und Wirtschaftlichkeit von Maßnahmen Was ist eigentlich? Mathematisch/Ingenieurswissenschaftlich Moralisch/Politisch Psychologisch Thomas Maus 2

3 26. DECUS Symposium Was ist? Mathematisch/Ingenieurswissenschaftlich DIN, VDE 31000: (Schadensereignis) = () Schadensausmaß x (mittlere) Eintrittswahrscheinlichkeit aber: wann gilt das? Schadensausmaß? Eintrittswahrscheinlichkeit? Schadensverlauf und Beherrschbarkeit??? Was ist? Mathematisch/Ingenieurswissenschaftlich Schadensausmaß Eintrittshäufigkeit Wahrscheinlichkeit X 7 Wahrscheinlichkeit Mittelwert 0 Mittelwert Thomas Maus 3

4 26. DECUS Symposium Was ist? Mathematisch/Ingenieurswissenschaftlich 10 Schadensausmaß 10 Eintrittshäufigkeit Wahrscheinlichkeit X 7 Wahrscheinlichkeit Best Case Mittelwert Worst Case 0 Min Ø 99%-il Was ist? Moralisch/Politisch Beispiel: Friedliche Nutzung der Kernenergie Statistisch (BRD): 6 12 Tote/Kernkraftwerk/Jahr ~ 200 Kernkrafttote/a << ~ 5000 Verkehrstote/a Schadensfall: SuperGAU Hüllenbruch > 10 7 a 1 2 Millionen Tote Millionen Dauergeschädigte weite Teile Jahre unbewohnbar Akzeptabel? Welche Prävention, Reaktion? Thomas Maus 4

5 26. DECUS Symposium Was ist? Psychologisch Beispiel: Hausbesitzer 100% Beitrag normale Gebäudeversicherung 120% Beitrag + Elementarschäden 130% Beitrag + Allgefahrenversicherung Welchen Versicherungsschutz? Begrenztes Budget: lieber Allgefahrengebäude- und kein Hausrat-V oder Normale Gebäude- und Hausrat-V? Was ist? Psychologisch Saalexperiment Was würden Sie wählen? 500 Gewinn / Münzwurf: nichts oder Gewinn 500 Verlust / Münzwurf: nichts oder Verlust 500 Gewinn / Würfel: 6 = Gewinn 500 Verlust / Würfel: 6 = Verlust Thomas Maus 5

6 26. DECUS Symposium Was ist? Psychologisch Gedankenexperiment zur IT-Sicherheit: Stellen Sie sich Ihren persönlichen GAU vor: Unter denen Zuhörern ohne blauen Hut wird einer ausgelost den trifft sein persönlicher Gau Drei Hüte hab' ich noch. Gebote? -Psychologie: Was ist? Psychologisch Chancen und Risiken werden asymmetrisch wahrgenommen Tendenz zur Verlustvermeidung Auswirkung von Informationsmangel/defiziten Wahrnehmbarkeit von Risiken Verdrängung von Risiken Gruppendynamische Effekte Thomas Maus 6

7 26. DECUS Symposium Ein pragmatisches Modell für Anforderungen an das Modell: Politische Grundsatzentscheidungen dokumentieren und abbilden Psychologischen Effekten entgegen wirken sinnvolle -Arithmetiken ermöglichen Schadensausmaß und Eintrittswahrscheinlichkeiten handhabbar machen -Modell: Eine Klasse für sich... Vorgehensweise: Definition von Klassen für Schaden Eintrittshäufigkeit Verwendung von Liebert-Skalen Anpassung an Unternehmenssicht Thomas Maus 7

8 26. DECUS Symposium Modell: Eine Klasse für sich... Häufigkeitsklassen für Schadensereignisse a a b c d unvermeidbar äußerst häufig sehr häufig häufig tritt sicher ein alle paar Tage monatlich ährlich 1,00E+000 2,00E-001 3,00E-002 2,74E-003 ### 6,60E-001 1,32E-001 1,98E-002 1,81E-003 kultur -Klassifikation-Matrix Die -Matrix definiert die klasse, die aus der Kombination bestimmter Häufigkeits- und Schadensklassen für Schadensereignisse resultiert. Häufigkeitsklassen für Schadenereignisse Schadensklassen für Schadensereignisse Klasse A B C D E F Umschreibung katastrophal großer Schaden mittlerer Schaden kleiner Schaden unbedeutend vernachlässigbar irrationales irrationales irrationales irrationales a unvermeidbar kleines irrationales irrationales b äußerst häufig großes minimales irrationales c sehr häufig großes großes kein irrationales d häufig großes kleines kein irrationales e selten großes kleines minimales kein f sehr selten großes kleines minimales kein kein g äußerst selten kleines minimales kein kein kein h eher unmöglich kleines minimales unvermeidl. Restrisiko kein kein kein i praktisch unmöglich unvermeidl. unvermeidl. Restrisiko Restrisiko kein kein kein kein Thomas Maus 8

9 26. DECUS Symposium inventar Werte Image Unterstützende Daten- + Funktionsbestände Betriebsgeheimnisse I+K-Ressourcen Produktivität Mitarbeiter Prozeßwirkungen Wertschöpfende Prozesse Rechtswirksame Prozesse Sonstige Prozeßwirkg. inventar Rechtl.+Vertragl. Risiken Bundesdatenschutzg esetz Haftungspflichten (BGB, vertragl.) Fernmeldegeheimnis Kryptoregulierungen Telekommunikations dienste-gesetze... KonTraG Betriebsverfassungs gesetz Thomas Maus 9

10 26. DECUS Symposium struktur an Beispiel- Szenarien Zwei Beispielszenarien für bewertung: K-Fall-Vorsorge für ein (kleines) fiktives RZ, Vergleich verschiedener Lösungsvarianten hinsichtlich Schutz und Wirtschaftlichkeit Sicherheitsanalyse, Vergleich von Sicherheitsarchitekturen, und Wirtschaftlichkeitsbetrachtung der Sicherheitsmaßnahmen bewertungstableaux Szenario Ist-Zustand Internet-Porta Vorschlag: Zwei unabhängige Firewalls, funktionales Interface zur DB, Grundschutz für Arbeitsplätze Die Eingabefelder sind blau hervorgehoben. Es sollte eweils ein Grund für die Entscheidung angegeben werden. Beliebige Texteinträge (z.b. Entscheidungsgründe) stellen die Verbindung zwischen technischen und geschäftlichen Bedrohungen her. Die Kalkulationslogik berechnet auf Grundlage der Eingaben die kumulierten technischen und geschäftlichen Einzelrisiken sowie Gesamtris Technische Perspektive Gesamtlage Gesamtlage Oops Oops 395 Vorsorge 395 großes großes ### Vor- Managementperspektive sorge Prognosezeitpunkt Äußere Firewall 0,00 kleines B g W , Thomas Maus 10

11 26. DECUS Symposium A-Risk-Methics Ein Blick hinter die Kulissen: Schaurige Formeln in wohlweislich versteckten Zellen Aus- und Rückblick Interview-Technik und resultierende Tabellen werden von Management und Technikern als hilfreich befunden. Viele Fragestellungen können nach Initialaufwand effizient beleuchtet werden. Graphisches Werkzeug und etwas ausführlichere mathematische Modellierung wären wünschenswert. Thomas Maus 11

12 26. DECUS Symposium Ende Vielen Dank für Ihre Aufmerksamkeit! Für Fragen: Thomas Maus 12

13 26. DECUS Symposium -Tableauxs: Vorschlag Sec bewertungstableaux Szenario Vorschlag für Sicherheitsarchitektur Vorschlag: Zwei unabhängige Firewalls, funktionales Interface zur DB, Grundschutz für Arbeitsplätze Die Eingabefelder sind blau hervorgehoben. Es sollte eweils ein Grund für die Entscheidung angegeben werden. Beliebige Texteinträge (z.b. Entscheidungsgründe) stellen die Verbindung zwischen technischen und geschäftlichen Bedrohungen her. Die Kalkulationslogik berechnet auf Grundlage der Eingaben die kumulierten technischen und geschäftlichen Einzelrisiken sowie Gesamtrisiken. Technische Perspektive Sonstige Prozeßwirkg. Mißbrauch der I+K als Angriffsvehikel B B B B B B B B Schadensaggregation g h e i h g e e Häufigkeitsaggregation W8 W9 W6 W8 W3 W4 W4 W4 Wirksames Schutzniveau , , , , , , , ,01000 Innentäter 1, , , , , , , ,00500 Externe Profis 1, , , , , , , ,00010 Cyber-Terroristen 500, , , , , , ,00000 klass. Hacker , , , , , , ,00000 Cyber-Punks schwere Betriebsstörung (löst Web-Server- x x x x e B mind. Image-Schaden, wahrscheinl. geschwächte e D schwere Betriebsstörung e E kleine Betriebsstörung x x e B Verlust von Kunden und e D Vor- Managementperspektive Gesamtlage DB-Server Interne Schwachstellen mit Kunden- Server mit in der Web-Server und Vertrags- kritischen Gesamtlage sorge Äußere in der DMZ Applikationslogik Firewall Web-Portal prozessen Arbeitsplätze Arbeitsplätze Innere daten für Geschäfts- interne Admin- Oops Oops 395 Firewall (Web-Portal) Bedrohungen Vorsorge 395 Akzeptanz-Indikator großes großes kleines minimales großes unvermeidl. minimales kleines großes großes Restrisiko -Aggregation Prognosezeitpunkt schwere Betriebsstörung (löst Web-Server- x x x e C einer Verurteilung wegen (löst Web-Server- x x ungenügender Absicherung Rechtl.+Vertragl. Bundesdatenschutzgesetz kleines e D Strafgelder... dürfte Sicherungspflichten verletzen Haftungspflichten großes e B Verurteilungen, (löst Web-Server- möglicherweise ziemlich sicher? Schadensersatz-forderungen F zahlreiche weitere rechtl kein vertragl. potentiale Geschätzte Angriffe/Jahr der eweiligen Tätertypen Letzte Aktualisierg des Schutzniveaus aggregation W'keit Schadensklasse W8 W9 W7 W8 W3 W5 W5 W5 Schutzniveau (Schätzung) Aggre Begründung vor allem gehärtet und Zugriff auf löst alle inneren vom Web-Server nur von innen Grundschutz Admin-WS sind Begründung gation Piercing-, über FW Risiken aus, aus nur fixe zugänglich, (externe Angriffe normale löst Risiken des abgeschottet über URL- angreifbar nur Funktionsaufrufe Grundschutz via Mail oder Arbeitsplätze zugänglich Web) Web-Servers Manipulationen über äußere FW inventar Ind. Klasse aus! o.ä. oder Web-Server Werte Image des Unternehmens großes d C per Definition prakt. ede prakt. ede prakt. ede prakt. ede prakt. ede prakt. ede prakt. ede prakt. ede Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf großes d C (löst Web-Server- per Definition x x Unterstützende Daten- + Funktionsbestände Betriebsgeheimnisse I+K-Ressourcen (Verfügbarkeit) großes kleines minimales großes kleines Produktivität minimales e E Ausfallzeiten/Hemmnisse in der Produktion Mitarbeiter (Vertraulichkeit e C schwere BDSG-Verletzung, x x Verlust von Kernmitarbeitern der Mitarbeiterdaten) Prozeßwirkungen Wertschöpfende Proz. Internet-Portal e C Image-Schaden, Verlust von (löst Web-Server- x Kunden, schwerste Produktionsausfälle Rechtswirksame Proz. Leistungszusagen über großes e B Gewinnausfälle (löst Web-Server- x x das Internet-Portal Autor: Appendix: Seite 1/12

14 26. DECUS Symposium -Tableauxs: Ist_Zustand Sec bewertungstableaux Szenario Ist-Zustand Internet-Portal-zentriertes Unternehmen Internet-Portal stellt den Hauptgeschäftsprozeß des Unternehmens dar. Absicherung über eine Firewall mit DMZ und Intranet. DB im Intranet. Die Eingabefelder sind blau hervorgehoben. Es sollte eweils ein Grund für die Entscheidung angegeben werden. Beliebige Texteinträge (z.b. Entscheidungsgründe) stellen die Verbindung zwischen technischen und geschäftlichen Bedrohungen her. Die Kalkulationslogik berechnet auf Grundlage der Eingaben die kumulierten technischen und geschäftlichen Einzelrisiken sowie Gesamtrisiken. Technische Perspektive Sonstige Prozeßwirkg. Mißbrauch der I+K als Angriffsvehikel B B B B B B B B Schadensaggregation g h e g h e d d Häufigkeitsaggregation W8 W9 W6 W8 W3 W3 W3 W3 Wirksames Schutzniveau , , , , , , , ,01000 Innentäter 1, , , , , , , ,00500 Externe Profis 1, , , , , , , ,00010 Cyber-Terroristen 500, , , , , , ,00000 klass. Hacker , , , , , , ,00000 Cyber-Punks schwere Betriebsstörung (löst Web-Server- x x d B mind. Image-Schaden, wahrscheinl. geschwächte schwere Betriebsstörung d E kleine Betriebsstörung x x d B Verlust von Kunden und Vor- Managementperspektive Gesamtlage DB-Server Interne Schwachstellen mit Kunden- Server mit in der Web-Server und Vertrags- kritischen Gesamtlage sorge Äußere in der DMZ Applikationslogik Firewall Web-Portal prozessen Arbeitsplätze Arbeitsplätze Innere daten für Geschäfts- interne Admin- Oops Oops Firewall (Web-Portal) Bedrohungen Vorsorge Akzeptanz-Indikator kleines minimales großes kleines minimales großes -Aggregation Planungszeitpunkt schwere Betriebsstörung (löst Web-Server- x x x d C einer Verurteilung wegen (löst Web-Server- x x ungenügender Absicherung Rechtl.+Vertragl. Bundesdatenschutzgesetz kleines e D Strafgelder... dürfte Sicherungspflichten verletzen Haftungspflichten d B Verurteilungen, (löst Web-Server- möglicherweise ziemlich sicher? Schadensersatz-forderungen F zahlreiche weitere rechtl kein vertragl. potentiale Geschätzte Angriffe/Jahr der eweiligen Tätertypen Letzte Aktualisierg des Schutzniveaus aggregation W'keit Schadensklasse W8 W9 W7 W8 W3 W4 W3 W3 Schutzniveau (Schätzung) Aggre Begründung vor allem gehärtet und Zugriff auf nur eine Firewall, über SQL vom nur von innen installiert + Admin-WS sind Begründung gation Piercing-, über FW also gleiche Web-Server aus zugänglich, wird gehärtet (externe normale löst Risiken des abgeschottet über URL- Exposition, löst zugänglich! aber gepflegt Angriffe via Mail Arbeitsplätze oder Web) Web-Servers Manipulationen alle inneren inventar Ind. Klasse aus! o.ä. Risiken aus Werte Image des Unternehmens großes d C per Definition prakt. ede prakt. ede prakt. ede prakt. ede prakt. ede prakt. ede prakt. ede prakt. ede Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf großes d C (löst Web-Server- per Definition x x Unterstützende Daten- + Funktionsbestände Betriebsgeheimnisse I+K-Ressourcen (Verfügbarkeit) kleines Produktivität kleines d E Ausfallzeiten/Hemmnisse in der Produktion Mitarbeiter (Vertraulichkeit großes d C schwere BDSG-Verletzung, x x Verlust von Kernmitarbeitern der Mitarbeiterdaten) Prozeßwirkungen Wertschöpfende Proz. Internet-Portal großes d C Image-Schaden, Verlust von (löst Web-Server- x Kunden, schwerste Produktionsausfälle Rechtswirksame Proz. Leistungszusagen über d B Gewinnausfälle (löst Web-Server- x x das Internet-Portal großes Autor: Appendix: Seite 2/12

15 26. DECUS Symposium -Tableauxs: Muster_Security bewertungstableaux Szenario Muster Das -Tableaux stellt Management- und IT-technische Perspektive und in Beziehung. Technische Komponenten werden nach ihrem eweiligen Schutzniveau und dem Expositionsgrad den Angreifertypen klassifiziert, die geschäftlichen nach ihrer Schadensklasse. Die Eingabefelder sind blau hervorgehoben. Es sollte eweils ein Grund für die Entscheidung angegeben werden. Beliebige Texteinträge (z.b. Entscheidungsgründe) stellen die Verbindung zwischen technischen und geschäftlichen Bedrohungen her. Die Kalkulationslogik berechnet auf Grundlage der Eingaben die kumulierten technischen und geschäftlichen Einzelrisiken sowie Gesamtrisiken. Technische Perspektive Sonstige Prozeßwirkg. Mißbrauch der I+K als Angriffsvehikel B B B B B B B B Schadensaggregation g h e g h e d d Häufigkeitsaggregation W8 W9 W6 W8 W3 W3 W3 W3 Wirksames Schutzniveau , , , , , , , ,01000 Innentäter 1, , , , , , , ,00500 Externe Profis 1, , , , , , , ,00010 Cyber-Terroristen 500, , , , , , ,00000 klass. Hacker , , , , , , ,00000 Cyber-Punks schwere Betriebsstörung (löst Web-Server- x x d B mind. Image-Schaden, wahrscheinl. geschwächte schwere Betriebsstörung d E kleine Betriebsstörung x x d B Verlust von Kunden und Vor- Managementperspektive Gesamtlage DB-Server Interne Schwachstellen mit Kunden- Server mit in der Web-Server und Vertrags- kritischen Gesamtlage sorge Äußere in der DMZ Applikationslogik Firewall Web-Portal prozessen Arbeitsplätze Arbeitsplätze Innere daten für Geschäfts- interne Admin- Oops Oops Firewall (Web-Portal) Bedrohungen Vorsorge Akzeptanz-Indikator kleines minimales großes kleines minimales großes -Aggregation Planungszeitpunkt schwere Betriebsstörung (löst Web-Server- x x x d C einer Verurteilung wegen (löst Web-Server- x x ungenügender Absicherung Rechtl.+Vertragl. Bundesdatenschutzgesetz kleines e D Strafgelder... dürfte Sicherungspflichten verletzen Haftungspflichten d B Verurteilungen, (löst Web-Server- möglicherweise ziemlich sicher? Schadensersatz-forderungen F zahlreiche weitere rechtl kein vertragl. potentiale Geschätzte Angriffe/Jahr der eweiligen Tätertypen Letzte Aktualisierg des Schutzniveaus aggregation W'keit Schadensklasse W8 W9 W7 W8 W3 W4 W3 W3 Schutzniveau (Schätzung) Aggre Begründung vor allem gehärtet und Zugriff auf nur eine Firewall, über SQL vom nur von innen installiert + Admin-WS sind Begründung gation Piercing-, über FW also gleiche Web-Server aus zugänglich, wird gehärtet (externe normale löst Risiken des abgeschottet über URL- Exposition, löst zugänglich! aber gepflegt Angriffe via Mail Arbeitsplätze oder Web) Web-Servers Manipulationen alle inneren inventar Ind. Klasse aus! o.ä. Risiken aus Werte Image des Unternehmens großes d C per Definition prakt. ede prakt. ede prakt. ede prakt. ede prakt. ede prakt. ede prakt. ede prakt. ede Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf großes d C (löst Web-Server- per Definition x x Unterstützende Daten- + Funktionsbestände Betriebsgeheimnisse I+K-Ressourcen (Verfügbarkeit) kleines Produktivität kleines d E Ausfallzeiten/Hemmnisse in der Produktion Mitarbeiter (Vertraulichkeit großes d C schwere BDSG-Verletzung, x x Verlust von Kernmitarbeitern der Mitarbeiterdaten) Prozeßwirkungen Wertschöpfende Proz. Internet-Portal großes d C Image-Schaden, Verlust von (löst Web-Server- x Kunden, schwerste Produktionsausfälle Rechtswirksame Proz. Leistungszusagen über d B Gewinnausfälle (löst Web-Server- x x das Internet-Portal großes Autor: Appendix: Seite 3/12

16 26. DECUS Symposium -Tableauxs: RZ neu und alt bewertungstableaux Szenario RZ an beiden Standorten Das RZ wird auf beide Standorte verteilt, die Stand-Bys stehen also an verschiedenen Standorten. Die Standorte werden über eine Laser-Richtstrecke vernetzt. Telefonie per VoIP. Die Eingabefelder sind blau hervorgehoben. Es sollte eweils ein Grund für die Entscheidung angegeben werden. Beliebige Texteinträge (z.b. Entscheidungsgründe) stellen die Verbindung zwischen technischen und geschäftlichen Bedrohungen her. Die Kalkulationslogik berechnet auf Grundlage der Eingaben die kumulierten technischen und geschäftlichen Einzelrisiken sowie Gesamtrisiken. Technische Perspektive Gesamtlage Werte Gesamtlage Oops Oops 0 Bedrohungen Vorsorge 0 Akzeptanz-Indikator minimales minimales kein kein unvermeidl. Restrisiko kein minimales kein minimales -Aggregation B C B C B C B Schadensaggregation aggregation W'keit Schadensklasse i i h i h Häufigkeitsklasse (Schätzung) Aggre Begründung ausgeschlossen ausgeschlossen Bänder lagen Produktion ist eigentl. kein zb Sturm zerlegt zb Bagger Begründung gation nicht im Safe brandgefährdeter Erdbebengebiet Oberleitgsring zerreißt Kabel inventar Ind. Klasse Image des Unternehmens unvermeidl. h C per Definition offensichtliche nicht erreichbar Restrisiko Schlamperei C per Definition kein Unterstützende Daten- + Funktionsbestände Betriebsgeheimnisse I+K-Ressourcen (Verfügbarkeit) Produktivität Mitarbeiter (Vertraulichkeit der Mitarbeiterdaten) kein kein kein kein kein kein kein kein h D schwere Betriebsstörung x B mind. Image-Schaden, wahrscheinl. geschwächte h D schwere Betriebsstörung x h E B h D kleine Betriebsstörung vorübergehend x schwere Betriebsstörung x h E Ausfallzeiten/Hemmnisse in der Produktion C Prozeßwirkungen Wertschöpfende Proz. Internet-Portal unvermeidl. h C Image-Schaden, Verlust von x Kunden, schwerste Restrisiko Produktionsausfälle Rechtswirksame Proz. Leistungszusagen über B kein Gewinnausfälle das Internet-Portal Sonstige Prozeßwirkg. Mißbrauch der I+K als Angriffsvehikel Rechtl.+Vertragl. Bundesdatenschutzgesetz kein kein dauerhafter Stromausfall durch Leitungszerstörg dauerhafter (t>usv) Kommunikationsausfall durch Leitungszerstörg Vor- Managementperspektive sorge C D Verlust von Kunden und schwere BDSG-Verletzung, Verlust von Kernmitarbeitern einer Verurteilung wegen ungenügender Absicherung Strafgelder... Hochwasser vernichtet nur Server, Datensicherg wird gerettet Hochwasser vernichtet Server und Datensicherungsmedien Feuer,Löschwasser oder Feuer,Löschwasser oder Kontaminatio n vernichten Kontaminatio Server und n vernichten Datensicherg nur Server Erdbeben führt zu Gebäudeeinsturz Haftungspflichten minimales h B... kein F Verurteilungen, Schadensersatz-forderungen zahlreiche weitere rechtl. + vertragl. potentiale Autor: Appendix: Seite 4/12

17 26. DECUS Symposium -Tableauxs: RZ outsourcen bewertungstableaux Szenario RZ in Outsourcing RZ-Outsourcing mit entsprechenden SLAs.. Die Eingabefelder sind blau hervorgehoben. Es sollte eweils ein Grund für die Entscheidung angegeben werden. Beliebige Texteinträge (z.b. Entscheidungsgründe) stellen die Verbindung zwischen technischen und geschäftlichen Bedrohungen her. Die Kalkulationslogik berechnet auf Grundlage der Eingaben die kumulierten technischen und geschäftlichen Einzelrisiken sowie Gesamtrisiken. Technische Perspektive Gesamtlage Gesamtlage Oops Oops 119 Bedrohungen sorge Vorsorge 119 Akzeptanz-Indikator großes unvermeidl. minimales kein kein kein kein Restrisiko -Aggregation B C B C B B C B Schadensaggregation aggregation W'keit Schadensklasse i i h f i d Häufigkeitsklasse (Schätzung) inventar Aggre Begründung ausgeschlossen ausgeschlossen per SLA per SLA eigentl. kein eigentl. kein per SLA unser Begründung Ind. Klasse gation ausgeschlossen ausgeschlossen Erdbebengebiet Erdbebengebiet ausgeschlossen Kommunikationsproblem besteht! (bzw. Haftung) (bzw. Haftung) (bzw. Haftung) Werte Image des Unternehmens großes d C offensichtliche ist ungerecht, ttrifft per Definition nicht erreichbar Schlamperei uns aber trotzdem Unterstützende Daten- + Funktionsbestände Betriebsgeheimnisse I+K-Ressourcen (Verfügbarkeit) Produktivität Mitarbeiter (Vertraulichkeit der Mitarbeiterdaten) kein f C per Definition x schwere Betriebsstörung x x f B mind. Image-Schaden, x wahrscheinl. geschwächte schwere Betriebsstörung x x d E kleine Betriebsstörung x vorübergehend x f B Verlust von Kunden und x schwere Betriebsstörung x x f E Ausfallzeiten/Hemmnisse in der x Produktion f C schwere BDSG-Verletzung, x Verlust von Kernmitarbeitern Prozeßwirkungen Wertschöpfende Proz. Internet-Portal großes d C Image-Schaden, Verlust von x x Kunden, schwerste Rechtswirksame Proz. Leistungszusagen über das Internet-Portal Sonstige Prozeßwirkg. Mißbrauch der I+K als Angriffsvehikel kleines kleines kleines kleines Rechtl.+Vertragl. Bundesdatenschutzgesetz minimales f D Haftungspflichten f B... kein F f B Gewinnausfälle x dauerhafter Kommunikationsausfall durch Leitungszerstörg Vor- Managementperspektive Produktionsausfälle Hochwasser vernichtet Server und Datensicherungsmedien Feuer,Löschwasser oder Feuer,Lösch- Hochwasser vernichtet nur Kontaminatio wasser oder Server, n vernichten Kontaminatio Datensicherg Server und n vernichten wird gerettet Datensicherg nur Server Erdbeben führt zu Gebäudeeinsturz zusätzliche Datenspionage + -sabotage- Risiken f C einer Verurteilung wegen x ungenügender Absicherung Strafgelder... x Verurteilungen, Schadensersatz-forderungen zahlreiche weitere rechtl. + vertragl. potentiale dauerhafter Stromausfall durch Leitungszerstörg (t>usv) Autor: Appendix: Seite 5/12

18 26. DECUS Symposium -Tableauxs: RZ neu bewertungstableaux Szenario RZ in Produktionsgebäude auf dem Berg umziehen Das RZ könnte in den Produktiontrakt verlegt werden. Dieser liegt deutlich hangaufwärts. Die Eingabefelder sind blau hervorgehoben. Es sollte eweils ein Grund für die Entscheidung angegeben werden. Beliebige Texteinträge (z.b. Entscheidungsgründe) stellen die Verbindung zwischen technischen und geschäftlichen Bedrohungen her. Die Kalkulationslogik berechnet auf Grundlage der Eingaben die kumulierten technischen und geschäftlichen Einzelrisiken sowie Gesamtrisiken. Technische Perspektive Gesamtlage Werte Gesamtlage Oops Oops 196 Bedrohungen Vorsorge 196 Akzeptanz-Indikator großes großes großes minimales kein kein -Aggregation B C B C B C B Schadensaggregation aggregation W'keit Schadensklasse e d h e d Häufigkeitsklasse (Schätzung) Aggre Begründung ausgeschlossen ausgeschlossen Bänder lagen Produktion ist eigentl. kein zb Sturm zerlegt zb Bagger Begründung gation nicht im Safe brandgefährdeter Erdbebengebiet Oberleitgsring zerreißt Kabel inventar Ind. Klasse Image des Unternehmens großes d C per Definition offensichtliche nicht erreichbar Schlamperei C per Definition kein Unterstützende Daten- + Funktionsbestände Betriebsgeheimnisse I+K-Ressourcen (Verfügbarkeit) kein kein schwere Betriebsstörung x B mind. Image-Schaden, wahrscheinl. geschwächte schwere Betriebsstörung x d E B kleine Betriebsstörung vorübergehend x schwere Betriebsstörung x Produktivität kleines d E Ausfallzeiten/Hemmnisse in der Produktion Mitarbeiter (Vertraulichkeit C schwere BDSG-Verletzung, kein Verlust von Kernmitarbeitern der Mitarbeiterdaten) Prozeßwirkungen Wertschöpfende Proz. Internet-Portal großes d C Image-Schaden, Verlust von x Kunden, schwerste Produktionsausfälle Rechtswirksame Proz. Leistungszusagen über B kein Gewinnausfälle das Internet-Portal Sonstige Prozeßwirkg. Mißbrauch der I+K als Angriffsvehikel Rechtl.+Vertragl. Bundesdatenschutzgesetz kleines kein kein dauerhafter Kommunikationsausfall durch Leitungszerstörg Vor- Managementperspektive sorge C D Verlust von Kunden und einer Verurteilung wegen ungenügender Absicherung Strafgelder... Hochwasser vernichtet nur Server, Datensicherg wird gerettet Hochwasser vernichtet Server und Datensicherungsmedien Feuer,Löschwasser oder Feuer,Löschwasser oder Kontaminatio n vernichten Kontaminatio Server und n vernichten Datensicherg nur Server Erdbeben führt zu Gebäudeeinsturz dauerhafter Stromausfall durch Leitungszerstörg (t>usv) Haftungspflichten großes e B... kein F Verurteilungen, Schadensersatz-forderungen zahlreiche weitere rechtl. + vertragl. potentiale Autor: Appendix: Seite 6/12

19 26. DECUS Symposium -Tableauxs: RZ alt bewertungstableaux Szenario Altes RZ im Verwaltungsgebäude Das RZ liegt im Keller des Verwaltungsgebäude, hinter dem Hochwasserdech, also hochwassergefährdet.was tun? Die Eingabefelder sind blau hervorgehoben. Es sollte eweils ein Grund für die Entscheidung angegeben werden. Beliebige Texteinträge (z.b. Entscheidungsgründe) stellen die Verbindung zwischen technischen und geschäftlichen Bedrohungen her. Die Kalkulationslogik berechnet auf Grundlage der Eingaben die kumulierten technischen und geschäftlichen Einzelrisiken sowie Gesamtrisiken. Technische Perspektive Gesamtlage Werte Gesamtlage Oops Oops 125 inventar Ind. Klasse Image des Unternehmens großes d C per Definition offensichtliche nicht erreichbar Schlamperei C per Definition kein Unterstützende Daten- + Funktionsbestände Betriebsgeheimnisse I+K-Ressourcen (Verfügbarkeit) kein kein schwere Betriebsstörung x B mind. Image-Schaden, wahrscheinl. geschwächte schwere Betriebsstörung x d E B kleine Betriebsstörung vorübergehend x schwere Betriebsstörung x Produktivität minimales e E Ausfallzeiten/Hemmnisse in der Produktion Mitarbeiter (Vertraulichkeit C schwere BDSG-Verletzung, kein Verlust von Kernmitarbeitern der Mitarbeiterdaten) Prozeßwirkungen Wertschöpfende Proz. Internet-Portal großes d C Image-Schaden, Verlust von x Kunden, schwerste Produktionsausfälle Rechtswirksame Proz. Leistungszusagen über B kein Gewinnausfälle das Internet-Portal Sonstige Prozeßwirkg. Mißbrauch der I+K als Angriffsvehikel Rechtl.+Vertragl. Bundesdatenschutzgesetz kein kein C D Strafgelder... Hochwasser vernichtet Server und Datensicherungsmedien Hochwasser vernichtet nur Server, Datensicherg wird gerettet Feuer (und Löschwasser Feuer (und ) vernichten Löschwasser Server und ) vernichten Datensicherg nur Server Erdbeben führt zu Gebäudeeinsturz dauerhafter Stromausfall durch Leitungszerstörg (t>usv) Bedrohungen dauerhafter Kommunikationsausfall durch Leitungszerstörg Vor- Managementperspektive sorge Vorsorge 125 Akzeptanz-Indikator großes kleines kleines minimales -Aggregation B C B C B C B Schadensaggregation aggregation W'keit Schadensklasse g f f e h e d Häufigkeitsklasse (Schätzung) Aggre Begründung Jahrhunder-HW Jahrhunderthochwasser Bänder lagen Bänder sollen in eigentl. kein zb Sturm zerlegt zb Bagger Begründung gation + unglückl. nicht im Safe Safe liegen Erdbebengebiet Oberleitgsring zerreißt Kabel Umstände kleines Verlust von Kunden und einer Verurteilung wegen ungenügender Absicherung Haftungspflichten f B... kein F Verurteilungen, Schadensersatz-forderungen zahlreiche weitere rechtl. + vertragl. potentiale Autor: Appendix: Seite 7/12

20 26. DECUS Symposium -Tableauxs: Muster_Safety bewertungstableaux Szenario Muster Das -Tableaux stellt Management- und IT-technische Perspektive und in Beziehung. Die technischen Bedrohungen müssen nach ihrer eweiligen Eintrittswahrscheinlichkeit klassifiziert werden, die geschäftlichen nach ihrer Schadensklasse. Die Eingabefelder sind blau hervorgehoben. Es sollte eweils ein Grund für die Entscheidung angegeben werden. Beliebige Texteinträge (z.b. Entscheidungsgründe) stellen die Verbindung zwischen technischen und geschäftlichen Bedrohungen her. Die Kalkulationslogik berechnet auf Grundlage der Eingaben die kumulierten technischen und geschäftlichen Einzelrisiken sowie Gesamtrisiken. Technische Perspektive Gesamtlage Werte Gesamtlage Oops Oops 125 inventar Ind. Klasse Image des Unternehmens großes d C per Definition offensichtliche nicht erreichbar Schlamperei C per Definition kein Unterstützende Daten- + Funktionsbestände Betriebsgeheimnisse I+K-Ressourcen (Verfügbarkeit) kein kein schwere Betriebsstörung x B mind. Image-Schaden, wahrscheinl. geschwächte schwere Betriebsstörung x d E B kleine Betriebsstörung vorübergehend x schwere Betriebsstörung x Produktivität minimales e E Ausfallzeiten/Hemmnisse in der Produktion Mitarbeiter (Vertraulichkeit C schwere BDSG-Verletzung, kein Verlust von Kernmitarbeitern der Mitarbeiterdaten) Prozeßwirkungen Wertschöpfende Proz. Internet-Portal großes d C Image-Schaden, Verlust von x Kunden, schwerste Produktionsausfälle Rechtswirksame Proz. Leistungszusagen über B kein Gewinnausfälle das Internet-Portal Sonstige Prozeßwirkg. Mißbrauch der I+K als Angriffsvehikel Rechtl.+Vertragl. Bundesdatenschutzgesetz kein kein C D Strafgelder... Hochwasser vernichtet Server und Datensicherungsmedien Hochwasser vernichtet nur Server, Datensicherg wird gerettet Feuer (und Löschwasser Feuer (und ) vernichten Löschwasser Server und ) vernichten Datensicherg nur Server Erdbeben führt zu Gebäudeeinsturz dauerhafter Stromausfall durch Leitungszerstörg (t>usv) Bedrohungen dauerhafter Kommunikationsausfall durch Leitungszerstörg Vor- Managementperspektive sorge Vorsorge 125 Akzeptanz-Indikator großes kleines kleines minimales -Aggregation B C B C B C B Schadensaggregation aggregation W'keit Schadensklasse g f f e h e d Häufigkeitsklasse (Schätzung) Aggre Begründung Jahrhunder-HW Jahrhunderthochwasser Bänder lagen Bänder sollen in eigentl. kein zb Sturm zerlegt zb Bagger Begründung gation + unglückl. nicht im Safe Safe liegen Erdbebengebiet Oberleitgsring zerreißt Kabel Umstände kleines Verlust von Kunden und einer Verurteilung wegen ungenügender Absicherung Haftungspflichten f B... kein F Verurteilungen, Schadensersatz-forderungen zahlreiche weitere rechtl. + vertragl. potentiale Autor: Appendix: Seite 8/12

Inventarisierung + Bewertung von IT-Risiken

Inventarisierung + Bewertung von IT-Risiken Inventarisierung + Bewertung von IT-Risiken Thomas Maus Maus IT-Consulting thomas.maus@alumni.uni-karlsruhe.de Thomas.Maus@alumni.uni-karlsruhe.de 02.11.2003 1 Inhalt Wo soll die Reise hingehen? Was ist

Mehr

Die Medien berichten häufig über das Thema IT-Sicherheit: Mit Cyber-Crime kann man viel Geld verdienen Vorfälle bei bekannten Unternehmen Immer neue

Die Medien berichten häufig über das Thema IT-Sicherheit: Mit Cyber-Crime kann man viel Geld verdienen Vorfälle bei bekannten Unternehmen Immer neue 1 3 Die Medien berichten häufig über das Thema IT-Sicherheit: Mit Cyber-Crime kann man viel Geld verdienen Vorfälle bei bekannten Unternehmen Immer neue Sicherheitslücken Jeder, der für ein Unternehmen

Mehr

Professionelles Risikomanagement in der Logistik

Professionelles Risikomanagement in der Logistik Michael Siebrandt Chancen nutzen Gefahren abwehren Erfolg steigern Professionelles Risikomanagement in der Logistik Praxishandbuch mit Arbeitshilfen und Beispielen :'i\c 2ib!iothek DVV Media Group Deutscher

Mehr

Sichere Website. Gezielt ist oft besser als viel 02.12.2014. Markus Müller secunet Security Networks AG

Sichere Website. Gezielt ist oft besser als viel 02.12.2014. Markus Müller secunet Security Networks AG Sichere Website Gezielt ist oft besser als viel 02.12.2014 Markus Müller secunet Security Networks AG stellt sich vor führender Anbieter für anspruchsvolle IT-Sicherheit seit 2004 Sicherheitspartner der

Mehr

Dipl.-Ing. Detlef Steffenhagen. Gliederung. Dipl.-Ing. Detlef Steffenhagen

Dipl.-Ing. Detlef Steffenhagen. Gliederung. Dipl.-Ing. Detlef Steffenhagen Gliederung 1. Eingangsverpflichtung 2. Parameter des Systems 3. Funktionsanalyse 4. Gefährdungsanalyse 5. 6. Risikobewertung Eingangsverpflichtung 1. Verpflichtung zur 1.1 Arbeitsschutzgesetz: Nach 1 (Anwendungsbereich)

Mehr

Cyber- und IT-Risiken im unternehmerischen Risikomanagement. Essen 20.03.2015

Cyber- und IT-Risiken im unternehmerischen Risikomanagement. Essen 20.03.2015 Cyber- und IT-Risiken im unternehmerischen Risikomanagement Essen 20.03.2015 Cyber Risiken Bedeutung für Ihr Unternehmen Nicht erreichbar? Erpressung Quelle: Palo Alto Networks Essen 20.03.2015 Sony Pictures

Mehr

Risikomanagement Begriffe, Grundlagen, Definitionen

Risikomanagement Begriffe, Grundlagen, Definitionen Risikomanagement Begriffe, Grundlagen, Definitionen Rudolpho Duab_pixelio.de Laumat.at Juristen, Sachverständige, Anrainer, Nutzer, Politik, Beamte, Sachfragen, Vermutungen, Präferenzen, Tricks, Interessen,

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

BSI-Leitfaden Bedrohung der Informationssicherheit durch den gezielten Einsatz von Schadprogrammen Kurztest zur Einschätzung der eigenen

BSI-Leitfaden Bedrohung der Informationssicherheit durch den gezielten Einsatz von Schadprogrammen Kurztest zur Einschätzung der eigenen BSI-Leitfaden Bedrohung der Informationssicherheit durch den gezielten Einsatz von Schadprogrammen Teil 3: Kurztest zur Einschätzung der eigenen Bedrohungslage Änderungshistorie Datum Änderung.01.007 Version

Mehr

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen Open Source professionell einsetzen 1 Mein Background Ich bin überzeugt von Open Source. Ich verwende fast nur Open Source privat und beruflich. Ich arbeite seit mehr als 10 Jahren mit Linux und Open Source.

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

Risikoanalyse zur Informations-Sicherheit: ein Vorgehensmodell. Bernd Ewert it-sa Oktober 2009 Forum rot

Risikoanalyse zur Informations-Sicherheit: ein Vorgehensmodell. Bernd Ewert it-sa Oktober 2009 Forum rot Risikoanalyse zur Informations-Sicherheit: ein Vorgehensmodell Bernd Ewert it-sa Oktober 2009 Forum rot Grundsätzliches zur Risikoanalyse Sinn der Risikoanalyse: Übersicht schaffen Schutzmaßnahmen steuern

Mehr

Die Haftung des Geschäftsführers für Organisationsmängel

Die Haftung des Geschäftsführers für Organisationsmängel Die Haftung des Geschäftsführers für Organisationsmängel Organisationspflichten, Wissenszurechnung und Haftung des Unternehmens IHK zu Münster 22.9.2015 RA Andreas Göbel Fachanwalt für Informationstechnologierecht

Mehr

Biotech-Forum: IT-Sicherheit für Biotechs

Biotech-Forum: IT-Sicherheit für Biotechs Biotech-Forum: IT-Sicherheit für Biotechs IT-Sicherheit systematisch und handhabbar Holger Kurrek Fraunhofer ISST Abteilung Sichere Business IT-Infrastrukturen Arbeitsgruppe IT-Sicherheit Berlin, 25. Oktober

Mehr

KoSSE-Tag 2013 Software-Qualitätssicherung

KoSSE-Tag 2013 Software-Qualitätssicherung KoSSE-Tag 2013 Software-Qualitätssicherung Jan Setzer Wirt. Inf. BA Leiter SoftwareLab EnergieSystemeNord Power für Ihr Business www.esn.de ESN auf einen Blick Als Partner der Energie-, Wasserund Abwasserwirtschaft

Mehr

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen 29. Mai 2008 Schutz gegen DoS-Angriffe auf Webapplikationen Agenda Bedrohung Schutz aktiv passiv 29.05.2008, Seite 2 Bedrohung Definition Denial of Service Angriffe auf Webapplikationen erfolgen auf Schicht

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen Marc Schober Bundesamt für Sicherheit in der Informationstechnik Referat 112 Kritische Infrastrukturen und IT-Sicherheitsrevision Bundesamt

Mehr

Erfolgsfaktor Proaktives IT-Sicherheitsmanagement

Erfolgsfaktor Proaktives IT-Sicherheitsmanagement 1. Dezember 2004 Seite: 1 / 5 Erfolgsfaktor Proaktives IT-Sicherheitsmanagement Christian Peter Global Services Executive, IBM Österreich 1. Dezember 2004 1 Abstract IT-Sicherheitsmanagement: unverzichtbares

Mehr

Vorlesung Software-Wartung Änderungs- und Konfigurationsmanagement

Vorlesung Software-Wartung Änderungs- und Konfigurationsmanagement Vorlesung Software-Wartung Änderungs- und Konfigurationsmanagement Dr. Markus Pizka Technische Universität München Institut für Informatik pizka@in.tum.de 3.3 Änderungsmanagement (CM) Evolution der Software

Mehr

Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN

Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN GLIEDERUNG Intro Risiko-Management Was bedeutet Risiko-Managment? Wie wird Risiko-Management umgesetzt? Nutzen von Risiko-Management Relevanz

Mehr

Gute Beratung wird verstanden

Gute Beratung wird verstanden Gute Beratung wird verstanden Sehr geehrte Damen und Herrn! Wüssten Sie gern, ob die in Ihrem Unternehmen angewandten Maßnahmen zur Sicherheit der Informationstechnik noch ausreichen? Wenn Sie sicher sein

Mehr

Business Continuity Management - Ganzheitlich. ein anderer Ansatz. 17.10.2014 itmcp it Management Consulting & Projekte

Business Continuity Management - Ganzheitlich. ein anderer Ansatz. 17.10.2014 itmcp it Management Consulting & Projekte - Ganzheitlich ein anderer Ansatz 1 Was ist das? Unvorhergesehen Wie konnte das passieren? Alles läuft gut Bei Ihrem Auto sorgen Sie durch rechtzeitigen Kundendienst vor 2 Was ist das? Kerngesunde, liquide

Mehr

Benutzerhandbuch RISIKOBEWERTUNG

Benutzerhandbuch RISIKOBEWERTUNG Benutzerhandbuch RISIKOBEWERTUNG Redesign Katastrophenressourcendatenbank für Kärnten und Konzeption für ein INTERREG IV A PROJEKT: SIcherheitsinformationSServIcE Anleitung zur Eingabe der Risikobewertung

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement und der IT-Sicherheit Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement 7.1 Risikoportfolio Vertraulichkeit Aufgabe: Gegeben seien folgende Werte einer Sicherheitsanalyse eines IT-Systems hinsichtlich

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

Tobias Rademann, M.A.

Tobias Rademann, M.A. Roadshow: "Cybercrime Eine Bedrohung auch für KMUs" EDV im Mittelstand: praxisnahe Strategien für effektive it-sicherheit Tobias Rademann, M.A. Roadshow: "Cybercrime" 2015 Transport Layer Security Hacker

Mehr

Verfügbarkeit von RZ-Infrastrukturen Wie viel benötigt die Mittelgroß GmbH?

Verfügbarkeit von RZ-Infrastrukturen Wie viel benötigt die Mittelgroß GmbH? 1 I P R Ä S E N T A T I O N I Verfügbarkeit von RZ-Infrastrukturen Wie viel benötigt die Mittelgroß GmbH? Dipl. Ing. (FH) Stefan ghof Geschäftsführer Wiesenweg 6 75045 Walzbachtal Tel: 07203/9133-51 Fax:

Mehr

IT-Schwachstellenampel: Produktsicherheit auf einen Blick+

IT-Schwachstellenampel: Produktsicherheit auf einen Blick+ IT-SECURITY-FORUM: GEFAHREN UND PRAKTISCHE HILFESTELLUNG IT-Schwachstellenampel: Produktsicherheit auf einen Blick+ 1 Aktuelle Lage 2 Bedrohungen für Unternehmen Welche Folgen können für Sie aus Datenpannen

Mehr

Risikomanagement im Bevölkerungsschutz

Risikomanagement im Bevölkerungsschutz Risikomanagement im Bevölkerungsschutz Grundlage für eine fähigkeitsbasierte Planung Workshop Grenzüberschreitende Unterstützungsleistung 08.10.2014 Bregenz, Vorarlberg BBK-II.1-1 - Agenda 2 2 1. Rahmenbedingungen

Mehr

PRAXISTAUGLICHE RISIKOBEWERTUNG VON BETRIEBSBEREICHEN UND ANLAGEN, DIE DER 12. BIMSCHV UNTERLIEGEN

PRAXISTAUGLICHE RISIKOBEWERTUNG VON BETRIEBSBEREICHEN UND ANLAGEN, DIE DER 12. BIMSCHV UNTERLIEGEN in Karlsruhe am 15. und 16. Juni 2010 Veranstalter: LUBW Landesanstalt für Umwelt, Messungen und Naturschutz Baden-Württemberg PRAXISTAUGLICHE RISIKOBEWERTUNG VON BETRIEBSBEREICHEN UND ANLAGEN, DIE DER

Mehr

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen, IDEAS Übersicht # 1 Einleitung # 2 IT-Sicherheit wozu denn? # 3 IT-Sicherheit die Grundpfeiler # 4 IT-Sicherheit ein

Mehr

Unsichere Zeiten für unsichere Systeme

Unsichere Zeiten für unsichere Systeme Trusted Hosting Services von ADACOR Unsichere Zeiten für unsichere Systeme IT-Sicherheit ist komplex: die technische Vielschichtigkeit, die wachsende Anzahl an gesetzlichen Regelungen auf deutscher, europäischer

Mehr

Informationssicherheit für Juristen: vernachlässigter Prozess?

Informationssicherheit für Juristen: vernachlässigter Prozess? Informationssicherheit für Juristen: vernachlässigter Prozess? Ulrich Brügger Managing Security Consultant ISSS Vorstand, IBM Schweiz AG Es gibt gute Gründe Informationen zu schützen Behördliche Vorgaben

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

Zusammenfassung IT SEC + MAN

Zusammenfassung IT SEC + MAN Zusammenfassung IT SEC + MAN Zusammenfassung aus den Vorlesungen Sicherheitswahrnehmung Sicherheitsrelease Ausbreitung Funktionalität-Sicherheit Post-Incident-Verhalten (Das Verhalten nach dem Vorfall)

Mehr

Monitoring Wissen, was passiert. Wissen, was zu tun ist. Thorsten Kramm SLAC 2011

Monitoring Wissen, was passiert. Wissen, was zu tun ist. Thorsten Kramm SLAC 2011 Thorsten Kramm SLAC 2011 Was ist Zabbix? Opensource lösung Basierend auf: Serverdaemon SQL Datenbank Webgui Agent Was macht Zabbix? Daten sammeln (Items) Zabbix Agent (Unix, Windows) SNMP, IMPI, SSH, Telnet,

Mehr

bis 100 % Überspannung nach einem bis 50 % Versicherungssumme Blitzeinschlag entstehen Versicherungssumme bis 3000 und Schmelzwasser entstehen

bis 100 % Überspannung nach einem bis 50 % Versicherungssumme Blitzeinschlag entstehen Versicherungssumme bis 3000 und Schmelzwasser entstehen Versicherungen Hausratversicherung Leistungen Hausratversicherung Highlights bis 50 % bis 100 % bis 100 % Überspannung nach einem Blitzeinschlag Einbeziehung künftiger Leistungsverbesserungen im jeweiligen

Mehr

Richtlinie zur Informationssicherheit

Richtlinie zur Informationssicherheit Richtlinie zur Informationssicherheit Agenda Einführung Gefahrenumfeld Warum benötige ich eine Richtlinie zur IT-Sicherheit? Grundlagen Datenschutz Best-Practice-Beispiel Vorgehensweise Richtlinie zur

Mehr

Risikomanagement für IT- Netzwerke im medizinischen Umfeld

Risikomanagement für IT- Netzwerke im medizinischen Umfeld Risikomanagement für IT- Netzwerke im medizinischen Umfeld Mag. Bernd Baumgartner bernd.baumgartner@calpana.com calpana business consulting gmbh Blumauerstraße 43, 4020 Linz calpana business consulting

Mehr

Wenn Ereignisse zu Krisen werden ohne Prävention keine professionelle Kommunikation!

Wenn Ereignisse zu Krisen werden ohne Prävention keine professionelle Kommunikation! Michael Koschare Wenn Ereignisse zu Krisen werden ohne Prävention keine professionelle Kommunikation! Jahrestagung 2012 für Sicherheit im Bergbau, 14. Juni 2012, Gmunden am Traunsee Definition Ereignis

Mehr

Moderne Arbeitsstile im Unternehmen Faktor Mensch vs. Moderne Technik? Frank Roth - Vorstand

Moderne Arbeitsstile im Unternehmen Faktor Mensch vs. Moderne Technik? Frank Roth - Vorstand Moderne Arbeitsstile im Unternehmen Faktor Mensch vs. Moderne Technik? Frank Roth - Vorstand Was versteht man unter modernen Arbeitsstilen? Moderne Arbeitsstile erhöhen Mitarbeiterproduktivität und zufriedenheit

Mehr

Cyberkriminalität Auswirkungen für die (Medien-) Wirtschaft

Cyberkriminalität Auswirkungen für die (Medien-) Wirtschaft Cyberkriminalität Auswirkungen für die (Medien-) Wirtschaft Ausmaß und Gegenmaßnahmen MEDIENTAGE MÜNCHEN 17. Oktober 2002 Marcus Rubenschuh Agenda 1 Ausmaß der Cyberkriminalität 2 Bedrohungen für die (Medien-)

Mehr

Lifecycle der IT-Sicherheit Sichern Sie die Existenz Ihres Unternehmens

Lifecycle der IT-Sicherheit Sichern Sie die Existenz Ihres Unternehmens Lifecycle der IT-Sicherheit Sichern Sie die Existenz Ihres Unternehmens Thomas D. Schmidt Consulting IT-Security Enterprise Computing Networking & Security ADA Das SystemHaus GmbH Region West Dohrweg 59

Mehr

Entwicklung Krisenmanagementsystem. Sicherheitsconsulting

Entwicklung Krisenmanagementsystem. Sicherheitsconsulting Entwicklung Krisenmanagementsystem Inhaltsverzeichnis Grundsätzliche Überlegungen zum Krisenmanagement Bewältigung von Ereignissen Definition Krise Begriffsbestimmungen Ereignistrichter vom Störfall zur

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Versicherung von IT-/Cyber-Risiken in der Produktion

Versicherung von IT-/Cyber-Risiken in der Produktion Versicherung von IT-/Cyber-Risiken in der Produktion Themenwerkstatt Produktion der Zukunft Bochum, 24.06.2015 Dirk Kalinowski AXA Versicherung AG Beispiele Betriebsunterbrechung im Chemiewerk Was war

Mehr

Rechtliche Aspekte und Compliance im Mobility Lifecycle Georg Meyer-Spasche

Rechtliche Aspekte und Compliance im Mobility Lifecycle Georg Meyer-Spasche Rechtliche Aspekte und Compliance im Mobility Lifecycle Georg Meyer-Spasche 21. September 2011 Aktuelle Schlagzeilen 1 Gefährdungsmöglichkeiten auf einen Blick Angreifer im Besitz des Geräts Potentielle

Mehr

IT Security / Mobile Security

IT Security / Mobile Security lcs ] Security computersyteme Lösungen für Unternehmen IT Security / Mobile Security Im Zuge der globalisierten Vernetzung und der steigenden Zahl mobiler Nutzer wird der Schutz der eigenen IT-Infrastruktur,

Mehr

Die Cybersicherheitslage in Deutschland

Die Cybersicherheitslage in Deutschland Die Cybersicherheitslage in Deutschland Andreas Könen, Vizepräsident BSI IT-Sicherheitstag NRW / 04.12.2013, Köln Cyber-Sicherheitslage Deutschland Ist massives Ziel für Cyber-Crime Wird breit cyber-ausspioniert

Mehr

BSI ICS-SECURITY-KOMPENDIUM

BSI ICS-SECURITY-KOMPENDIUM BSI ICS-SECURITY-KOMPENDIUM SICHERHEIT VON INDUSTRIELLEN STEUERANLAGEN Andreas Floß, Dipl.-Inform., Senior Consultant Information Security Management, HiSolutions AG 1 HiSolutions 2013 ICS-Kompendium Vorstellung

Mehr

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung KUMAtronik Systemhaus GmbH Vortrag zur symantec-veranstaltung am 24.04.2007 (it.sec) Inhalt: 1. Rechtliche Anforderungen an E-Mails 2. Compliance-Anforderungen

Mehr

Gefahren für die IT-Sicherheit lauern insbesondere intern!

Gefahren für die IT-Sicherheit lauern insbesondere intern! Gefahren für die IT-Sicherheit lauern insbesondere intern! Probleme erkennen, Probleme bannen: IT-Sicherheit effizient und kostengünstig herstellen Bochum, 21. April 2005 Internet: www.uimc.de Nützenberger

Mehr

"Anwendung von Quantitativen Risikoanalysen (QRAs)" Positionspapier der Fachgemeinschaft Sicherheitstechnik Arbeitsausschuss Risikomanagement

Anwendung von Quantitativen Risikoanalysen (QRAs) Positionspapier der Fachgemeinschaft Sicherheitstechnik Arbeitsausschuss Risikomanagement "Anwendung von Quantitativen Risikoanalysen (QRAs)" Positionspapier der Fachgemeinschaft Sicherheitstechnik Arbeitsausschuss Risikomanagement 1. Motivation zur Auseinandersetzung mit der Anwendung von

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

Versicherung gegen Elementarschäden. Hochwasserschutz in AKK Alle sind gefordert! Mai 2015

Versicherung gegen Elementarschäden. Hochwasserschutz in AKK Alle sind gefordert! Mai 2015 Versicherung gegen Elementarschäden Hochwasserschutz in AKK Alle sind gefordert! Mai 2015 Wer bin ich? Sylvine Löhmann Dipl.-Kffr. (FH) Schadenexpertin bei der Zuständig für Grundsatzfragen Sachschaden

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

EDV-Sicherheit. Wolf Rogner

EDV-Sicherheit. Wolf Rogner EDV-Sicherheit EDV-Sicherheit Was soll den groß passieren?: Vermutungen und Hoffnungen von Laien Bei mir ist nichts zu holen!: Gedanken zu Bedrohungsszenarien Typologie von Angreifern Schutzwürdige Objekte

Mehr

IT-Sicherheitstag NRW WLAN Ein Service mit Sicherheits- und Rechtsfolgen

IT-Sicherheitstag NRW WLAN Ein Service mit Sicherheits- und Rechtsfolgen IT-Sicherheitstag NRW WLAN Ein Service mit Sicherheits- und Rechtsfolgen Referent Eugen Neufeld 2 / 17 Agenda WLAN Entwicklung & Anforderungen Empfehlungen Fazit 3 / 17 WLAN Entwicklung & Anforderungen

Mehr

IT-Sicherheitsmanagement bei der Landeshauptstadt München

IT-Sicherheitsmanagement bei der Landeshauptstadt München IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung

Mehr

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang IT Security Audit Beschreibung Die Informatik ist immer stärker verantwortlich für das Erstellen und die Abwicklung von geschäftskritischen Abläufen und wird dadurch zum unmittelbaren Erfolgsfaktor eines

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

Grundlagen Risikomanagement Risiko- und Katastrophenmanagement in der Logistik

Grundlagen Risikomanagement Risiko- und Katastrophenmanagement in der Logistik Grundlagen 1 3. Systeme Grundlagen in der Logistik Gliederung 2 3. Systeme 1 Überblick Begriffbestimmungen 2 Risikoarten, Risikoindikatoren und Instrumente 3 Systeme systeme und Risikobewältigungsstrategien

Mehr

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

ERP-Systemeinsatz bewerten und optimieren

ERP-Systemeinsatz bewerten und optimieren ERP-Systemeinsatz bewerten und optimieren Handlungsfelder zur Optimierung des ERP-Systemeinsatzes ERP-Lösungen werden meist über viele Jahre lang eingesetzt, um die Geschäftsprozesse softwaretechnisch

Mehr

Ihr Weg zu mehr Sicherheit

Ihr Weg zu mehr Sicherheit Ihr Weg zu mehr Sicherheit IT-Sicherheitsproblem Für IT-Sicherheit wird nicht genug getan, denn... Zwei von fünf Firmen sind pleite, wenn sie ihre Daten verlieren (CIO, 11/2001) Jährliche Steigerungsraten

Mehr

IT-Sicherheit. Informationssicherheit: IT-Sicherheit bzw. IT-Risikomanagement

IT-Sicherheit. Informationssicherheit: IT-Sicherheit bzw. IT-Risikomanagement IT-Sicherheit Informationssicherheit: Schutz aller Informationen im Unternehmen elektronisch gespeicherte Daten Informationen in nichtelektronischer Form z.b. auf Papier Expertenwissen, in den Köpfen der

Mehr

IT-Schwachstellenampel: Produktsicherheit auf einen Blick

IT-Schwachstellenampel: Produktsicherheit auf einen Blick Fotolia Andrew Ostrovsky IHK-INFORMATIONSVERANSTALTUNG: IT-SICHERHEIT: GEFAHREN UND PRAKTISCHE HILFESTELLUNG IT-Schwachstellenampel: Produktsicherheit auf einen Blick 1 Aktuelle Lage 2 Bedrohungen für

Mehr

BSI-Sicherheitsemfehlungen für Anbieter in der Cloud

BSI-Sicherheitsemfehlungen für Anbieter in der Cloud BSI-Sicherheitsemfehlungen für Anbieter in der Cloud Dr.-Ing. Clemens Doubrava, BSI VATM-Workshop Köln / Referenzarchitektur Cloud Computing 2 Was sind die Risiken für CSP? (Public Cloud) Finanzielle Risiken

Mehr

RISIKO-MANAGEMENT FÜR IT-UNTERNEHMEN

RISIKO-MANAGEMENT FÜR IT-UNTERNEHMEN RISIKO-MANAGEMENT FÜR IT-UNTERNEHMEN Risiken erkennen, bewerten, vermeiden, vernichten und versichern Präsentation: Wolfram W. Heisen Heisen Projekt & Prozess Management Frankfurt, den 28.02.2013 Februar

Mehr

Datensicherheit und Backup

Datensicherheit und Backup Beratung Entwicklung Administration Hosting Datensicherheit und Backup Dipl.-Inform. Dominik Vallendor & Dipl.-Inform. Carl Thomas Witzenrath 25.05.2010 Tralios IT Dipl.-Inform. Dominik Vallendor und Dipl.-Inform.

Mehr

IT-SICHERHEIT UND MOBILE SECURITY

IT-SICHERHEIT UND MOBILE SECURITY IT-SICHERHEIT UND MOBILE SECURITY Grundlagen und Erfahrungen Dr.-Ing. Rainer Ulrich, Gruppenleiter IT SECURITY Schäubles Handy bei Einbruch gestohlen Bei Wolfgang Schäuble ist eingebrochen worden. Die

Mehr

Datensicherheit und Co. IHK Potsdam, 22.05.2013

Datensicherheit und Co. IHK Potsdam, 22.05.2013 Datensicherheit und Co. IHK Potsdam, 22.05.2013 Aktuelles 25.04.2013/ 17:18 Gefälschte Bank-Mails verteilen Trojaner für Android Hacker-Angriff Bonn (dpa/tmn) - Android-Smartphones stehen gerade im Visier

Mehr

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt Vorlesung im Sommersemester 2011 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche

Mehr

Sichere und datenschutzgerechte Internet-Anbindung:

Sichere und datenschutzgerechte Internet-Anbindung: Sichere und datenschutzgerechte Internet-Anbindung: VNC als Arbeitsplatz-Proxy Roman Maczkowsky Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein R.Maczkowsky@datenschutzzentrum.de Gliederung

Mehr

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter Senior Sales Engineer 1 Das Szenario 2 Früher Auf USB-Sticks Auf Netzlaufwerken Auf CDs/DVDs Auf Laptops & PCs 3 Jetzt Im Cloud Storage

Mehr

Sicherheit in industriellen Anlagen als Herausforderung für Forschung und Lehre

Sicherheit in industriellen Anlagen als Herausforderung für Forschung und Lehre Sicherheit in industriellen Anlagen als Herausforderung für Forschung und Lehre Andreas Seiler, B. Sc. Prof. Dr. Gordon Rohrmair Agenda Forschungsbedarf Herausforderungen für die Lehre MAPR - Industrial

Mehr

Elementar-Versicherung. Alles bestens. Die NV leistet schnelle Hilfe im Schadenfall! nv Elementar

Elementar-Versicherung. Alles bestens. Die NV leistet schnelle Hilfe im Schadenfall! nv Elementar Elementar-Versicherung Alles bestens. Die NV leistet schnelle Hilfe im Schadenfall! nv Elementar Das Klima ändert sich, Unwetter nehmen zu. Sturm Kyrill oder Sommerhochwasser an der Elbe: In den vergangenen

Mehr

Überlegungen zur Effizienz bei der Umsetzung von it-sicherheits-maßnahmen für KMUs

Überlegungen zur Effizienz bei der Umsetzung von it-sicherheits-maßnahmen für KMUs Überlegungen zur Effizienz bei der Umsetzung von it-sicherheits-maßnahmen für KMUs Roadshow: Cybercrime eine Bedrohung auch für kleine und mittlere Unternehmen Tobias Rademann, Bochum, 19. November 2013

Mehr

5 Analysen. 5.1 Betrachtungsmodell der ISO 27001

5 Analysen. 5.1 Betrachtungsmodell der ISO 27001 5 Analysen Bei den vielen unterschiedlichen Analysen, die im Rahmen des Sicherheitsprozesses zur Anwendung kommen können, verliert man schnell den Überblick zumal es sehr unterschiedliche Betrachtungsmodelle

Mehr

Wolfgang Straßer. wolfgang.strasser@add-yet.de. @-yet GmbH Schloß Eicherhof D-42799 Leichlingen +49 (02175) 16 55 0 www.add-yet.de

Wolfgang Straßer. wolfgang.strasser@add-yet.de. @-yet GmbH Schloß Eicherhof D-42799 Leichlingen +49 (02175) 16 55 0 www.add-yet.de Business Security Management Wolfgang Straßer wolfgang.strasser@add-yet.de @-yet GmbH Schloß Eicherhof D-42799 Leichlingen +49 (02175) 16 55 0 These These: Ohne IT keine Wertschöpfung Ohne IT keine Innovation

Mehr

Sicherheitsaspekte beim Mobile Computing

Sicherheitsaspekte beim Mobile Computing Sicherheitsaspekte beim Mobile Computing Horst Flätgen Bundesamt für Sicherheit in der Informationstechnik (BSI) Bonn, 9. Mai 2012 www.bsi.bund.de Aufbrechen der Sicherheitsstruktur durch mobile Endgeräte

Mehr

Unternehmerische Verantwortung für Daten und Sicherheit

Unternehmerische Verantwortung für Daten und Sicherheit Unternehmerische Verantwortung für Daten und Sicherheit Vertrauen ist gut Controlling ist besser Alcatraz Was ist mit IT-Sicherheit gemeint? Firewalls? Virenscanner? Verschlüsselung? Unternehmerische Verantwortung

Mehr

DIN V VDE V 0827 Notfall- und Gefahren-Reaktions- Systeme. Zusammenfassung

DIN V VDE V 0827 Notfall- und Gefahren-Reaktions- Systeme. Zusammenfassung DIN V VDE V 0827 Notfall- und Gefahren-Reaktions- Systeme Zusammenfassung der wichtigsten Eckdaten Scanvest übernimmt keinerlei Gewähr für die Aktualität, Korrektheit, Vollständigkeit oder Qualität der

Mehr

Wozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM.

Wozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM. Wozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM. 4. IT-Grundschutz-Tag 2014, Nürnberg Bundesamt für Sicherheit in der Informationstechnik ism Secu-Sys AG Gerd Rossa, CEO ism Secu-Sys

Mehr

Vorstudie Grid Sicherheits-Infrastruktur (GSI) Ergebnisse des Arbeitspakets 2: Risikoanalyse. Version: 4.0

Vorstudie Grid Sicherheits-Infrastruktur (GSI) Ergebnisse des Arbeitspakets 2: Risikoanalyse. Version: 4.0 Vorstudie Grid Sicherheits-Infrastruktur (GSI) Ergebnisse des Arbeitspakets 2: Risikoanalyse Version: 4.0 Bundesamt für Sicherheit in der Informationstechnik Postfach 200363 53133 Bonn Internet: www.bsi.bund.de

Mehr

Wissensmanagement in der Notfallplanung

Wissensmanagement in der Notfallplanung 1 5. FIT-ÖV V am 9.2. in Bochum Wissensmanagement in der Notfallplanung Hans-Jörg Heming CHG-MERIDIAN Agenda Vorstellung Das Unternehmen Wissensmanagement in der Notfallplanung Ausfallszenario Organisatorische

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

IT-Security Herausforderung für KMU s

IT-Security Herausforderung für KMU s unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/

Mehr

IT-Sicherheit. Folgerungen aus dem Lovsan- Vorfall. 21.9.2003, Dietrich Mönkemeyer, D4

IT-Sicherheit. Folgerungen aus dem Lovsan- Vorfall. 21.9.2003, Dietrich Mönkemeyer, D4 IT-Sicherheit Folgerungen aus dem Lovsan- Vorfall 21.9.2003, Dietrich Mönkemeyer, D4 Übersicht Schwachstelle(n) und Wurm Vorfall Infektionsweg Lehren Maßnahmen 2 Schwachstelle und Wurm DCOM-Schwachstelle

Mehr

Verfügbarkeit aus Unternehmenssicht

Verfügbarkeit aus Unternehmenssicht Verfügbarkeit aus Unternehmenssicht Die richtige Verfügbarkeit für die richtigen Kosten Jovan Ilic, acocon GmbH SLA Management Verfügbarkeit aus Unternehmenssicht Die Wirklichkeit! Garantie (Warranty)

Mehr

Prof. Dr. Rainer Elschen

Prof. Dr. Rainer Elschen Risikomanagement II - Vorlesung 2 - Prof. Dr. Rainer Elschen Prof. Dr. Rainer Elschen 1 Inhaltsübersicht 1. Unternehmerisches Risiko 1.1 Kausalitätsstruktur von Risiken 1.2 Risikokategorien 1.3 Risikostrategien

Mehr

Cloud Computing für redaktionelle Prozesse und Publishing. CROSSMEDIAFORUM 2013, München

Cloud Computing für redaktionelle Prozesse und Publishing. CROSSMEDIAFORUM 2013, München Cloud Computing für redaktionelle Prozesse und Publishing CROSSMEDIAFORUM 2013, München Cloud für Verlage inhouse Freie Autoren Content Pflege Publishing Website PDF epub apps, elearning, POD Infrastruktur

Mehr

Multimediagestattung kabelanschluss, internet und telefon

Multimediagestattung kabelanschluss, internet und telefon Multimediagestattung kabelanschluss, internet und telefon Ihr Kabelanschluss für Fernsehen, Internet und Telefon. serviceadresse hausanschrift Kabel Deutschland Vertrieb und Service GmbH,, Telefon 0800

Mehr

Ethik und Technikbewertung

Ethik und Technikbewertung Ethik und Technikbewertung 4. Vorlesung (15.11.2011): Möglichkeiten (Chancen/Risiken) Christoph Hubig Gliederung 1 Veränderung der Weltbezüge 2 Möglichkeiten 3 Kleines Begriffstraining 3.1 Risiken 3.2

Mehr

Kundenzentrierte Geschäftsprozesse sicher gestalten

Kundenzentrierte Geschäftsprozesse sicher gestalten Platzhalter für Logo Agenda 1.Vorstellung des MECK Kundenzentrierte Geschäftsprozesse sicher gestalten 2.Aufbau und Konzeption einer IT- Sicherheits-Strategie 3.Wie erkenne ich die relevanten Geschäftsprozesse?

Mehr

Bewertung der IT-Sicherheit von Industriellen Steuerungsumgebungen

Bewertung der IT-Sicherheit von Industriellen Steuerungsumgebungen Bewertung der IT-Sicherheit von Industriellen Steuerungsumgebungen Werkzeuge für den leichtgewichtigen Einstieg in industrielle Cyber-Security 12.08.2014 Michael Gröne Sirrix AG security technologies Herausforderung

Mehr

Informationstechnik in der Prozessüberwachung und -steuerung. Grundsätzliche Anmerkungen

Informationstechnik in der Prozessüberwachung und -steuerung. Grundsätzliche Anmerkungen Informationstechnik in der Prozessüberwachung und -steuerung Grundsätzliche Anmerkungen Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 95820 E-Mail: ics-sec@bsi.bund.de

Mehr