Inventarisierung + Bewertung von IT-Risiken

Größe: px
Ab Seite anzeigen:

Download "Inventarisierung + Bewertung von IT-Risiken"

Transkript

1 26. DECUS Symposium Inventarisierung + Bewertung von IT-Risiken Thomas Maus Maus IT-Consulting 26. DECUS Symposium Inhalt Wo soll die Reise hingehen? Was ist eigentlich? Ein pragmatisches Modell für Die kultur Ihrer Organisation Das inventar Ihrer Organisation struktur an Beispiel-Szenarien A-Risk-Methics Aus- und Rückblick Thomas Maus 1

2 26. DECUS Symposium Wo soll die Reise hingehen? Verstehen der eigenen Sicherheitslage Kommunikationshilfsmittel für Gespräche zwischen Management, Fachseite + Administratoren Grundlage für nachvollziehbare, obektivierbare Entscheidungen Planungshilfsmittel für Sicherheitsarchitektur Priorisierung und Wirtschaftlichkeit von Maßnahmen Was ist eigentlich? Mathematisch/Ingenieurswissenschaftlich Moralisch/Politisch Psychologisch Thomas Maus 2

3 26. DECUS Symposium Was ist? Mathematisch/Ingenieurswissenschaftlich DIN, VDE 31000: (Schadensereignis) = () Schadensausmaß x (mittlere) Eintrittswahrscheinlichkeit aber: wann gilt das? Schadensausmaß? Eintrittswahrscheinlichkeit? Schadensverlauf und Beherrschbarkeit??? Was ist? Mathematisch/Ingenieurswissenschaftlich Schadensausmaß Eintrittshäufigkeit Wahrscheinlichkeit X 7 Wahrscheinlichkeit Mittelwert 0 Mittelwert Thomas Maus 3

4 26. DECUS Symposium Was ist? Mathematisch/Ingenieurswissenschaftlich 10 Schadensausmaß 10 Eintrittshäufigkeit Wahrscheinlichkeit X 7 Wahrscheinlichkeit Best Case Mittelwert Worst Case 0 Min Ø 99%-il Was ist? Moralisch/Politisch Beispiel: Friedliche Nutzung der Kernenergie Statistisch (BRD): 6 12 Tote/Kernkraftwerk/Jahr ~ 200 Kernkrafttote/a << ~ 5000 Verkehrstote/a Schadensfall: SuperGAU Hüllenbruch > 10 7 a 1 2 Millionen Tote Millionen Dauergeschädigte weite Teile Jahre unbewohnbar Akzeptabel? Welche Prävention, Reaktion? Thomas Maus 4

5 26. DECUS Symposium Was ist? Psychologisch Beispiel: Hausbesitzer 100% Beitrag normale Gebäudeversicherung 120% Beitrag + Elementarschäden 130% Beitrag + Allgefahrenversicherung Welchen Versicherungsschutz? Begrenztes Budget: lieber Allgefahrengebäude- und kein Hausrat-V oder Normale Gebäude- und Hausrat-V? Was ist? Psychologisch Saalexperiment Was würden Sie wählen? 500 Gewinn / Münzwurf: nichts oder Gewinn 500 Verlust / Münzwurf: nichts oder Verlust 500 Gewinn / Würfel: 6 = Gewinn 500 Verlust / Würfel: 6 = Verlust Thomas Maus 5

6 26. DECUS Symposium Was ist? Psychologisch Gedankenexperiment zur IT-Sicherheit: Stellen Sie sich Ihren persönlichen GAU vor: Unter denen Zuhörern ohne blauen Hut wird einer ausgelost den trifft sein persönlicher Gau Drei Hüte hab' ich noch. Gebote? -Psychologie: Was ist? Psychologisch Chancen und Risiken werden asymmetrisch wahrgenommen Tendenz zur Verlustvermeidung Auswirkung von Informationsmangel/defiziten Wahrnehmbarkeit von Risiken Verdrängung von Risiken Gruppendynamische Effekte Thomas Maus 6

7 26. DECUS Symposium Ein pragmatisches Modell für Anforderungen an das Modell: Politische Grundsatzentscheidungen dokumentieren und abbilden Psychologischen Effekten entgegen wirken sinnvolle -Arithmetiken ermöglichen Schadensausmaß und Eintrittswahrscheinlichkeiten handhabbar machen -Modell: Eine Klasse für sich... Vorgehensweise: Definition von Klassen für Schaden Eintrittshäufigkeit Verwendung von Liebert-Skalen Anpassung an Unternehmenssicht Thomas Maus 7

8 26. DECUS Symposium Modell: Eine Klasse für sich... Häufigkeitsklassen für Schadensereignisse a a b c d unvermeidbar äußerst häufig sehr häufig häufig tritt sicher ein alle paar Tage monatlich ährlich 1,00E+000 2,00E-001 3,00E-002 2,74E-003 ### 6,60E-001 1,32E-001 1,98E-002 1,81E-003 kultur -Klassifikation-Matrix Die -Matrix definiert die klasse, die aus der Kombination bestimmter Häufigkeits- und Schadensklassen für Schadensereignisse resultiert. Häufigkeitsklassen für Schadenereignisse Schadensklassen für Schadensereignisse Klasse A B C D E F Umschreibung katastrophal großer Schaden mittlerer Schaden kleiner Schaden unbedeutend vernachlässigbar irrationales irrationales irrationales irrationales a unvermeidbar kleines irrationales irrationales b äußerst häufig großes minimales irrationales c sehr häufig großes großes kein irrationales d häufig großes kleines kein irrationales e selten großes kleines minimales kein f sehr selten großes kleines minimales kein kein g äußerst selten kleines minimales kein kein kein h eher unmöglich kleines minimales unvermeidl. Restrisiko kein kein kein i praktisch unmöglich unvermeidl. unvermeidl. Restrisiko Restrisiko kein kein kein kein Thomas Maus 8

9 26. DECUS Symposium inventar Werte Image Unterstützende Daten- + Funktionsbestände Betriebsgeheimnisse I+K-Ressourcen Produktivität Mitarbeiter Prozeßwirkungen Wertschöpfende Prozesse Rechtswirksame Prozesse Sonstige Prozeßwirkg. inventar Rechtl.+Vertragl. Risiken Bundesdatenschutzg esetz Haftungspflichten (BGB, vertragl.) Fernmeldegeheimnis Kryptoregulierungen Telekommunikations dienste-gesetze... KonTraG Betriebsverfassungs gesetz Thomas Maus 9

10 26. DECUS Symposium struktur an Beispiel- Szenarien Zwei Beispielszenarien für bewertung: K-Fall-Vorsorge für ein (kleines) fiktives RZ, Vergleich verschiedener Lösungsvarianten hinsichtlich Schutz und Wirtschaftlichkeit Sicherheitsanalyse, Vergleich von Sicherheitsarchitekturen, und Wirtschaftlichkeitsbetrachtung der Sicherheitsmaßnahmen bewertungstableaux Szenario Ist-Zustand Internet-Porta Vorschlag: Zwei unabhängige Firewalls, funktionales Interface zur DB, Grundschutz für Arbeitsplätze Die Eingabefelder sind blau hervorgehoben. Es sollte eweils ein Grund für die Entscheidung angegeben werden. Beliebige Texteinträge (z.b. Entscheidungsgründe) stellen die Verbindung zwischen technischen und geschäftlichen Bedrohungen her. Die Kalkulationslogik berechnet auf Grundlage der Eingaben die kumulierten technischen und geschäftlichen Einzelrisiken sowie Gesamtris Technische Perspektive Gesamtlage Gesamtlage Oops Oops 395 Vorsorge 395 großes großes ### Vor- Managementperspektive sorge Prognosezeitpunkt Äußere Firewall 0,00 kleines B g W , Thomas Maus 10

11 26. DECUS Symposium A-Risk-Methics Ein Blick hinter die Kulissen: Schaurige Formeln in wohlweislich versteckten Zellen Aus- und Rückblick Interview-Technik und resultierende Tabellen werden von Management und Technikern als hilfreich befunden. Viele Fragestellungen können nach Initialaufwand effizient beleuchtet werden. Graphisches Werkzeug und etwas ausführlichere mathematische Modellierung wären wünschenswert. Thomas Maus 11

12 26. DECUS Symposium Ende Vielen Dank für Ihre Aufmerksamkeit! Für Fragen: Thomas Maus 12

13 26. DECUS Symposium -Tableauxs: Vorschlag Sec bewertungstableaux Szenario Vorschlag für Sicherheitsarchitektur Vorschlag: Zwei unabhängige Firewalls, funktionales Interface zur DB, Grundschutz für Arbeitsplätze Die Eingabefelder sind blau hervorgehoben. Es sollte eweils ein Grund für die Entscheidung angegeben werden. Beliebige Texteinträge (z.b. Entscheidungsgründe) stellen die Verbindung zwischen technischen und geschäftlichen Bedrohungen her. Die Kalkulationslogik berechnet auf Grundlage der Eingaben die kumulierten technischen und geschäftlichen Einzelrisiken sowie Gesamtrisiken. Technische Perspektive Sonstige Prozeßwirkg. Mißbrauch der I+K als Angriffsvehikel B B B B B B B B Schadensaggregation g h e i h g e e Häufigkeitsaggregation W8 W9 W6 W8 W3 W4 W4 W4 Wirksames Schutzniveau , , , , , , , ,01000 Innentäter 1, , , , , , , ,00500 Externe Profis 1, , , , , , , ,00010 Cyber-Terroristen 500, , , , , , ,00000 klass. Hacker , , , , , , ,00000 Cyber-Punks schwere Betriebsstörung (löst Web-Server- x x x x e B mind. Image-Schaden, wahrscheinl. geschwächte e D schwere Betriebsstörung e E kleine Betriebsstörung x x e B Verlust von Kunden und e D Vor- Managementperspektive Gesamtlage DB-Server Interne Schwachstellen mit Kunden- Server mit in der Web-Server und Vertrags- kritischen Gesamtlage sorge Äußere in der DMZ Applikationslogik Firewall Web-Portal prozessen Arbeitsplätze Arbeitsplätze Innere daten für Geschäfts- interne Admin- Oops Oops 395 Firewall (Web-Portal) Bedrohungen Vorsorge 395 Akzeptanz-Indikator großes großes kleines minimales großes unvermeidl. minimales kleines großes großes Restrisiko -Aggregation Prognosezeitpunkt schwere Betriebsstörung (löst Web-Server- x x x e C einer Verurteilung wegen (löst Web-Server- x x ungenügender Absicherung Rechtl.+Vertragl. Bundesdatenschutzgesetz kleines e D Strafgelder... dürfte Sicherungspflichten verletzen Haftungspflichten großes e B Verurteilungen, (löst Web-Server- möglicherweise ziemlich sicher? Schadensersatz-forderungen F zahlreiche weitere rechtl kein vertragl. potentiale Geschätzte Angriffe/Jahr der eweiligen Tätertypen Letzte Aktualisierg des Schutzniveaus aggregation W'keit Schadensklasse W8 W9 W7 W8 W3 W5 W5 W5 Schutzniveau (Schätzung) Aggre Begründung vor allem gehärtet und Zugriff auf löst alle inneren vom Web-Server nur von innen Grundschutz Admin-WS sind Begründung gation Piercing-, über FW Risiken aus, aus nur fixe zugänglich, (externe Angriffe normale löst Risiken des abgeschottet über URL- angreifbar nur Funktionsaufrufe Grundschutz via Mail oder Arbeitsplätze zugänglich Web) Web-Servers Manipulationen über äußere FW inventar Ind. Klasse aus! o.ä. oder Web-Server Werte Image des Unternehmens großes d C per Definition prakt. ede prakt. ede prakt. ede prakt. ede prakt. ede prakt. ede prakt. ede prakt. ede Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf großes d C (löst Web-Server- per Definition x x Unterstützende Daten- + Funktionsbestände Betriebsgeheimnisse I+K-Ressourcen (Verfügbarkeit) großes kleines minimales großes kleines Produktivität minimales e E Ausfallzeiten/Hemmnisse in der Produktion Mitarbeiter (Vertraulichkeit e C schwere BDSG-Verletzung, x x Verlust von Kernmitarbeitern der Mitarbeiterdaten) Prozeßwirkungen Wertschöpfende Proz. Internet-Portal e C Image-Schaden, Verlust von (löst Web-Server- x Kunden, schwerste Produktionsausfälle Rechtswirksame Proz. Leistungszusagen über großes e B Gewinnausfälle (löst Web-Server- x x das Internet-Portal Autor: Appendix: Seite 1/12

14 26. DECUS Symposium -Tableauxs: Ist_Zustand Sec bewertungstableaux Szenario Ist-Zustand Internet-Portal-zentriertes Unternehmen Internet-Portal stellt den Hauptgeschäftsprozeß des Unternehmens dar. Absicherung über eine Firewall mit DMZ und Intranet. DB im Intranet. Die Eingabefelder sind blau hervorgehoben. Es sollte eweils ein Grund für die Entscheidung angegeben werden. Beliebige Texteinträge (z.b. Entscheidungsgründe) stellen die Verbindung zwischen technischen und geschäftlichen Bedrohungen her. Die Kalkulationslogik berechnet auf Grundlage der Eingaben die kumulierten technischen und geschäftlichen Einzelrisiken sowie Gesamtrisiken. Technische Perspektive Sonstige Prozeßwirkg. Mißbrauch der I+K als Angriffsvehikel B B B B B B B B Schadensaggregation g h e g h e d d Häufigkeitsaggregation W8 W9 W6 W8 W3 W3 W3 W3 Wirksames Schutzniveau , , , , , , , ,01000 Innentäter 1, , , , , , , ,00500 Externe Profis 1, , , , , , , ,00010 Cyber-Terroristen 500, , , , , , ,00000 klass. Hacker , , , , , , ,00000 Cyber-Punks schwere Betriebsstörung (löst Web-Server- x x d B mind. Image-Schaden, wahrscheinl. geschwächte schwere Betriebsstörung d E kleine Betriebsstörung x x d B Verlust von Kunden und Vor- Managementperspektive Gesamtlage DB-Server Interne Schwachstellen mit Kunden- Server mit in der Web-Server und Vertrags- kritischen Gesamtlage sorge Äußere in der DMZ Applikationslogik Firewall Web-Portal prozessen Arbeitsplätze Arbeitsplätze Innere daten für Geschäfts- interne Admin- Oops Oops Firewall (Web-Portal) Bedrohungen Vorsorge Akzeptanz-Indikator kleines minimales großes kleines minimales großes -Aggregation Planungszeitpunkt schwere Betriebsstörung (löst Web-Server- x x x d C einer Verurteilung wegen (löst Web-Server- x x ungenügender Absicherung Rechtl.+Vertragl. Bundesdatenschutzgesetz kleines e D Strafgelder... dürfte Sicherungspflichten verletzen Haftungspflichten d B Verurteilungen, (löst Web-Server- möglicherweise ziemlich sicher? Schadensersatz-forderungen F zahlreiche weitere rechtl kein vertragl. potentiale Geschätzte Angriffe/Jahr der eweiligen Tätertypen Letzte Aktualisierg des Schutzniveaus aggregation W'keit Schadensklasse W8 W9 W7 W8 W3 W4 W3 W3 Schutzniveau (Schätzung) Aggre Begründung vor allem gehärtet und Zugriff auf nur eine Firewall, über SQL vom nur von innen installiert + Admin-WS sind Begründung gation Piercing-, über FW also gleiche Web-Server aus zugänglich, wird gehärtet (externe normale löst Risiken des abgeschottet über URL- Exposition, löst zugänglich! aber gepflegt Angriffe via Mail Arbeitsplätze oder Web) Web-Servers Manipulationen alle inneren inventar Ind. Klasse aus! o.ä. Risiken aus Werte Image des Unternehmens großes d C per Definition prakt. ede prakt. ede prakt. ede prakt. ede prakt. ede prakt. ede prakt. ede prakt. ede Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf großes d C (löst Web-Server- per Definition x x Unterstützende Daten- + Funktionsbestände Betriebsgeheimnisse I+K-Ressourcen (Verfügbarkeit) kleines Produktivität kleines d E Ausfallzeiten/Hemmnisse in der Produktion Mitarbeiter (Vertraulichkeit großes d C schwere BDSG-Verletzung, x x Verlust von Kernmitarbeitern der Mitarbeiterdaten) Prozeßwirkungen Wertschöpfende Proz. Internet-Portal großes d C Image-Schaden, Verlust von (löst Web-Server- x Kunden, schwerste Produktionsausfälle Rechtswirksame Proz. Leistungszusagen über d B Gewinnausfälle (löst Web-Server- x x das Internet-Portal großes Autor: Appendix: Seite 2/12

15 26. DECUS Symposium -Tableauxs: Muster_Security bewertungstableaux Szenario Muster Das -Tableaux stellt Management- und IT-technische Perspektive und in Beziehung. Technische Komponenten werden nach ihrem eweiligen Schutzniveau und dem Expositionsgrad den Angreifertypen klassifiziert, die geschäftlichen nach ihrer Schadensklasse. Die Eingabefelder sind blau hervorgehoben. Es sollte eweils ein Grund für die Entscheidung angegeben werden. Beliebige Texteinträge (z.b. Entscheidungsgründe) stellen die Verbindung zwischen technischen und geschäftlichen Bedrohungen her. Die Kalkulationslogik berechnet auf Grundlage der Eingaben die kumulierten technischen und geschäftlichen Einzelrisiken sowie Gesamtrisiken. Technische Perspektive Sonstige Prozeßwirkg. Mißbrauch der I+K als Angriffsvehikel B B B B B B B B Schadensaggregation g h e g h e d d Häufigkeitsaggregation W8 W9 W6 W8 W3 W3 W3 W3 Wirksames Schutzniveau , , , , , , , ,01000 Innentäter 1, , , , , , , ,00500 Externe Profis 1, , , , , , , ,00010 Cyber-Terroristen 500, , , , , , ,00000 klass. Hacker , , , , , , ,00000 Cyber-Punks schwere Betriebsstörung (löst Web-Server- x x d B mind. Image-Schaden, wahrscheinl. geschwächte schwere Betriebsstörung d E kleine Betriebsstörung x x d B Verlust von Kunden und Vor- Managementperspektive Gesamtlage DB-Server Interne Schwachstellen mit Kunden- Server mit in der Web-Server und Vertrags- kritischen Gesamtlage sorge Äußere in der DMZ Applikationslogik Firewall Web-Portal prozessen Arbeitsplätze Arbeitsplätze Innere daten für Geschäfts- interne Admin- Oops Oops Firewall (Web-Portal) Bedrohungen Vorsorge Akzeptanz-Indikator kleines minimales großes kleines minimales großes -Aggregation Planungszeitpunkt schwere Betriebsstörung (löst Web-Server- x x x d C einer Verurteilung wegen (löst Web-Server- x x ungenügender Absicherung Rechtl.+Vertragl. Bundesdatenschutzgesetz kleines e D Strafgelder... dürfte Sicherungspflichten verletzen Haftungspflichten d B Verurteilungen, (löst Web-Server- möglicherweise ziemlich sicher? Schadensersatz-forderungen F zahlreiche weitere rechtl kein vertragl. potentiale Geschätzte Angriffe/Jahr der eweiligen Tätertypen Letzte Aktualisierg des Schutzniveaus aggregation W'keit Schadensklasse W8 W9 W7 W8 W3 W4 W3 W3 Schutzniveau (Schätzung) Aggre Begründung vor allem gehärtet und Zugriff auf nur eine Firewall, über SQL vom nur von innen installiert + Admin-WS sind Begründung gation Piercing-, über FW also gleiche Web-Server aus zugänglich, wird gehärtet (externe normale löst Risiken des abgeschottet über URL- Exposition, löst zugänglich! aber gepflegt Angriffe via Mail Arbeitsplätze oder Web) Web-Servers Manipulationen alle inneren inventar Ind. Klasse aus! o.ä. Risiken aus Werte Image des Unternehmens großes d C per Definition prakt. ede prakt. ede prakt. ede prakt. ede prakt. ede prakt. ede prakt. ede prakt. ede Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf großes d C (löst Web-Server- per Definition x x Unterstützende Daten- + Funktionsbestände Betriebsgeheimnisse I+K-Ressourcen (Verfügbarkeit) kleines Produktivität kleines d E Ausfallzeiten/Hemmnisse in der Produktion Mitarbeiter (Vertraulichkeit großes d C schwere BDSG-Verletzung, x x Verlust von Kernmitarbeitern der Mitarbeiterdaten) Prozeßwirkungen Wertschöpfende Proz. Internet-Portal großes d C Image-Schaden, Verlust von (löst Web-Server- x Kunden, schwerste Produktionsausfälle Rechtswirksame Proz. Leistungszusagen über d B Gewinnausfälle (löst Web-Server- x x das Internet-Portal großes Autor: Appendix: Seite 3/12

16 26. DECUS Symposium -Tableauxs: RZ neu und alt bewertungstableaux Szenario RZ an beiden Standorten Das RZ wird auf beide Standorte verteilt, die Stand-Bys stehen also an verschiedenen Standorten. Die Standorte werden über eine Laser-Richtstrecke vernetzt. Telefonie per VoIP. Die Eingabefelder sind blau hervorgehoben. Es sollte eweils ein Grund für die Entscheidung angegeben werden. Beliebige Texteinträge (z.b. Entscheidungsgründe) stellen die Verbindung zwischen technischen und geschäftlichen Bedrohungen her. Die Kalkulationslogik berechnet auf Grundlage der Eingaben die kumulierten technischen und geschäftlichen Einzelrisiken sowie Gesamtrisiken. Technische Perspektive Gesamtlage Werte Gesamtlage Oops Oops 0 Bedrohungen Vorsorge 0 Akzeptanz-Indikator minimales minimales kein kein unvermeidl. Restrisiko kein minimales kein minimales -Aggregation B C B C B C B Schadensaggregation aggregation W'keit Schadensklasse i i h i h Häufigkeitsklasse (Schätzung) Aggre Begründung ausgeschlossen ausgeschlossen Bänder lagen Produktion ist eigentl. kein zb Sturm zerlegt zb Bagger Begründung gation nicht im Safe brandgefährdeter Erdbebengebiet Oberleitgsring zerreißt Kabel inventar Ind. Klasse Image des Unternehmens unvermeidl. h C per Definition offensichtliche nicht erreichbar Restrisiko Schlamperei C per Definition kein Unterstützende Daten- + Funktionsbestände Betriebsgeheimnisse I+K-Ressourcen (Verfügbarkeit) Produktivität Mitarbeiter (Vertraulichkeit der Mitarbeiterdaten) kein kein kein kein kein kein kein kein h D schwere Betriebsstörung x B mind. Image-Schaden, wahrscheinl. geschwächte h D schwere Betriebsstörung x h E B h D kleine Betriebsstörung vorübergehend x schwere Betriebsstörung x h E Ausfallzeiten/Hemmnisse in der Produktion C Prozeßwirkungen Wertschöpfende Proz. Internet-Portal unvermeidl. h C Image-Schaden, Verlust von x Kunden, schwerste Restrisiko Produktionsausfälle Rechtswirksame Proz. Leistungszusagen über B kein Gewinnausfälle das Internet-Portal Sonstige Prozeßwirkg. Mißbrauch der I+K als Angriffsvehikel Rechtl.+Vertragl. Bundesdatenschutzgesetz kein kein dauerhafter Stromausfall durch Leitungszerstörg dauerhafter (t>usv) Kommunikationsausfall durch Leitungszerstörg Vor- Managementperspektive sorge C D Verlust von Kunden und schwere BDSG-Verletzung, Verlust von Kernmitarbeitern einer Verurteilung wegen ungenügender Absicherung Strafgelder... Hochwasser vernichtet nur Server, Datensicherg wird gerettet Hochwasser vernichtet Server und Datensicherungsmedien Feuer,Löschwasser oder Feuer,Löschwasser oder Kontaminatio n vernichten Kontaminatio Server und n vernichten Datensicherg nur Server Erdbeben führt zu Gebäudeeinsturz Haftungspflichten minimales h B... kein F Verurteilungen, Schadensersatz-forderungen zahlreiche weitere rechtl. + vertragl. potentiale Autor: Appendix: Seite 4/12

17 26. DECUS Symposium -Tableauxs: RZ outsourcen bewertungstableaux Szenario RZ in Outsourcing RZ-Outsourcing mit entsprechenden SLAs.. Die Eingabefelder sind blau hervorgehoben. Es sollte eweils ein Grund für die Entscheidung angegeben werden. Beliebige Texteinträge (z.b. Entscheidungsgründe) stellen die Verbindung zwischen technischen und geschäftlichen Bedrohungen her. Die Kalkulationslogik berechnet auf Grundlage der Eingaben die kumulierten technischen und geschäftlichen Einzelrisiken sowie Gesamtrisiken. Technische Perspektive Gesamtlage Gesamtlage Oops Oops 119 Bedrohungen sorge Vorsorge 119 Akzeptanz-Indikator großes unvermeidl. minimales kein kein kein kein Restrisiko -Aggregation B C B C B B C B Schadensaggregation aggregation W'keit Schadensklasse i i h f i d Häufigkeitsklasse (Schätzung) inventar Aggre Begründung ausgeschlossen ausgeschlossen per SLA per SLA eigentl. kein eigentl. kein per SLA unser Begründung Ind. Klasse gation ausgeschlossen ausgeschlossen Erdbebengebiet Erdbebengebiet ausgeschlossen Kommunikationsproblem besteht! (bzw. Haftung) (bzw. Haftung) (bzw. Haftung) Werte Image des Unternehmens großes d C offensichtliche ist ungerecht, ttrifft per Definition nicht erreichbar Schlamperei uns aber trotzdem Unterstützende Daten- + Funktionsbestände Betriebsgeheimnisse I+K-Ressourcen (Verfügbarkeit) Produktivität Mitarbeiter (Vertraulichkeit der Mitarbeiterdaten) kein f C per Definition x schwere Betriebsstörung x x f B mind. Image-Schaden, x wahrscheinl. geschwächte schwere Betriebsstörung x x d E kleine Betriebsstörung x vorübergehend x f B Verlust von Kunden und x schwere Betriebsstörung x x f E Ausfallzeiten/Hemmnisse in der x Produktion f C schwere BDSG-Verletzung, x Verlust von Kernmitarbeitern Prozeßwirkungen Wertschöpfende Proz. Internet-Portal großes d C Image-Schaden, Verlust von x x Kunden, schwerste Rechtswirksame Proz. Leistungszusagen über das Internet-Portal Sonstige Prozeßwirkg. Mißbrauch der I+K als Angriffsvehikel kleines kleines kleines kleines Rechtl.+Vertragl. Bundesdatenschutzgesetz minimales f D Haftungspflichten f B... kein F f B Gewinnausfälle x dauerhafter Kommunikationsausfall durch Leitungszerstörg Vor- Managementperspektive Produktionsausfälle Hochwasser vernichtet Server und Datensicherungsmedien Feuer,Löschwasser oder Feuer,Lösch- Hochwasser vernichtet nur Kontaminatio wasser oder Server, n vernichten Kontaminatio Datensicherg Server und n vernichten wird gerettet Datensicherg nur Server Erdbeben führt zu Gebäudeeinsturz zusätzliche Datenspionage + -sabotage- Risiken f C einer Verurteilung wegen x ungenügender Absicherung Strafgelder... x Verurteilungen, Schadensersatz-forderungen zahlreiche weitere rechtl. + vertragl. potentiale dauerhafter Stromausfall durch Leitungszerstörg (t>usv) Autor: Appendix: Seite 5/12

18 26. DECUS Symposium -Tableauxs: RZ neu bewertungstableaux Szenario RZ in Produktionsgebäude auf dem Berg umziehen Das RZ könnte in den Produktiontrakt verlegt werden. Dieser liegt deutlich hangaufwärts. Die Eingabefelder sind blau hervorgehoben. Es sollte eweils ein Grund für die Entscheidung angegeben werden. Beliebige Texteinträge (z.b. Entscheidungsgründe) stellen die Verbindung zwischen technischen und geschäftlichen Bedrohungen her. Die Kalkulationslogik berechnet auf Grundlage der Eingaben die kumulierten technischen und geschäftlichen Einzelrisiken sowie Gesamtrisiken. Technische Perspektive Gesamtlage Werte Gesamtlage Oops Oops 196 Bedrohungen Vorsorge 196 Akzeptanz-Indikator großes großes großes minimales kein kein -Aggregation B C B C B C B Schadensaggregation aggregation W'keit Schadensklasse e d h e d Häufigkeitsklasse (Schätzung) Aggre Begründung ausgeschlossen ausgeschlossen Bänder lagen Produktion ist eigentl. kein zb Sturm zerlegt zb Bagger Begründung gation nicht im Safe brandgefährdeter Erdbebengebiet Oberleitgsring zerreißt Kabel inventar Ind. Klasse Image des Unternehmens großes d C per Definition offensichtliche nicht erreichbar Schlamperei C per Definition kein Unterstützende Daten- + Funktionsbestände Betriebsgeheimnisse I+K-Ressourcen (Verfügbarkeit) kein kein schwere Betriebsstörung x B mind. Image-Schaden, wahrscheinl. geschwächte schwere Betriebsstörung x d E B kleine Betriebsstörung vorübergehend x schwere Betriebsstörung x Produktivität kleines d E Ausfallzeiten/Hemmnisse in der Produktion Mitarbeiter (Vertraulichkeit C schwere BDSG-Verletzung, kein Verlust von Kernmitarbeitern der Mitarbeiterdaten) Prozeßwirkungen Wertschöpfende Proz. Internet-Portal großes d C Image-Schaden, Verlust von x Kunden, schwerste Produktionsausfälle Rechtswirksame Proz. Leistungszusagen über B kein Gewinnausfälle das Internet-Portal Sonstige Prozeßwirkg. Mißbrauch der I+K als Angriffsvehikel Rechtl.+Vertragl. Bundesdatenschutzgesetz kleines kein kein dauerhafter Kommunikationsausfall durch Leitungszerstörg Vor- Managementperspektive sorge C D Verlust von Kunden und einer Verurteilung wegen ungenügender Absicherung Strafgelder... Hochwasser vernichtet nur Server, Datensicherg wird gerettet Hochwasser vernichtet Server und Datensicherungsmedien Feuer,Löschwasser oder Feuer,Löschwasser oder Kontaminatio n vernichten Kontaminatio Server und n vernichten Datensicherg nur Server Erdbeben führt zu Gebäudeeinsturz dauerhafter Stromausfall durch Leitungszerstörg (t>usv) Haftungspflichten großes e B... kein F Verurteilungen, Schadensersatz-forderungen zahlreiche weitere rechtl. + vertragl. potentiale Autor: Appendix: Seite 6/12

19 26. DECUS Symposium -Tableauxs: RZ alt bewertungstableaux Szenario Altes RZ im Verwaltungsgebäude Das RZ liegt im Keller des Verwaltungsgebäude, hinter dem Hochwasserdech, also hochwassergefährdet.was tun? Die Eingabefelder sind blau hervorgehoben. Es sollte eweils ein Grund für die Entscheidung angegeben werden. Beliebige Texteinträge (z.b. Entscheidungsgründe) stellen die Verbindung zwischen technischen und geschäftlichen Bedrohungen her. Die Kalkulationslogik berechnet auf Grundlage der Eingaben die kumulierten technischen und geschäftlichen Einzelrisiken sowie Gesamtrisiken. Technische Perspektive Gesamtlage Werte Gesamtlage Oops Oops 125 inventar Ind. Klasse Image des Unternehmens großes d C per Definition offensichtliche nicht erreichbar Schlamperei C per Definition kein Unterstützende Daten- + Funktionsbestände Betriebsgeheimnisse I+K-Ressourcen (Verfügbarkeit) kein kein schwere Betriebsstörung x B mind. Image-Schaden, wahrscheinl. geschwächte schwere Betriebsstörung x d E B kleine Betriebsstörung vorübergehend x schwere Betriebsstörung x Produktivität minimales e E Ausfallzeiten/Hemmnisse in der Produktion Mitarbeiter (Vertraulichkeit C schwere BDSG-Verletzung, kein Verlust von Kernmitarbeitern der Mitarbeiterdaten) Prozeßwirkungen Wertschöpfende Proz. Internet-Portal großes d C Image-Schaden, Verlust von x Kunden, schwerste Produktionsausfälle Rechtswirksame Proz. Leistungszusagen über B kein Gewinnausfälle das Internet-Portal Sonstige Prozeßwirkg. Mißbrauch der I+K als Angriffsvehikel Rechtl.+Vertragl. Bundesdatenschutzgesetz kein kein C D Strafgelder... Hochwasser vernichtet Server und Datensicherungsmedien Hochwasser vernichtet nur Server, Datensicherg wird gerettet Feuer (und Löschwasser Feuer (und ) vernichten Löschwasser Server und ) vernichten Datensicherg nur Server Erdbeben führt zu Gebäudeeinsturz dauerhafter Stromausfall durch Leitungszerstörg (t>usv) Bedrohungen dauerhafter Kommunikationsausfall durch Leitungszerstörg Vor- Managementperspektive sorge Vorsorge 125 Akzeptanz-Indikator großes kleines kleines minimales -Aggregation B C B C B C B Schadensaggregation aggregation W'keit Schadensklasse g f f e h e d Häufigkeitsklasse (Schätzung) Aggre Begründung Jahrhunder-HW Jahrhunderthochwasser Bänder lagen Bänder sollen in eigentl. kein zb Sturm zerlegt zb Bagger Begründung gation + unglückl. nicht im Safe Safe liegen Erdbebengebiet Oberleitgsring zerreißt Kabel Umstände kleines Verlust von Kunden und einer Verurteilung wegen ungenügender Absicherung Haftungspflichten f B... kein F Verurteilungen, Schadensersatz-forderungen zahlreiche weitere rechtl. + vertragl. potentiale Autor: Appendix: Seite 7/12

20 26. DECUS Symposium -Tableauxs: Muster_Safety bewertungstableaux Szenario Muster Das -Tableaux stellt Management- und IT-technische Perspektive und in Beziehung. Die technischen Bedrohungen müssen nach ihrer eweiligen Eintrittswahrscheinlichkeit klassifiziert werden, die geschäftlichen nach ihrer Schadensklasse. Die Eingabefelder sind blau hervorgehoben. Es sollte eweils ein Grund für die Entscheidung angegeben werden. Beliebige Texteinträge (z.b. Entscheidungsgründe) stellen die Verbindung zwischen technischen und geschäftlichen Bedrohungen her. Die Kalkulationslogik berechnet auf Grundlage der Eingaben die kumulierten technischen und geschäftlichen Einzelrisiken sowie Gesamtrisiken. Technische Perspektive Gesamtlage Werte Gesamtlage Oops Oops 125 inventar Ind. Klasse Image des Unternehmens großes d C per Definition offensichtliche nicht erreichbar Schlamperei C per Definition kein Unterstützende Daten- + Funktionsbestände Betriebsgeheimnisse I+K-Ressourcen (Verfügbarkeit) kein kein schwere Betriebsstörung x B mind. Image-Schaden, wahrscheinl. geschwächte schwere Betriebsstörung x d E B kleine Betriebsstörung vorübergehend x schwere Betriebsstörung x Produktivität minimales e E Ausfallzeiten/Hemmnisse in der Produktion Mitarbeiter (Vertraulichkeit C schwere BDSG-Verletzung, kein Verlust von Kernmitarbeitern der Mitarbeiterdaten) Prozeßwirkungen Wertschöpfende Proz. Internet-Portal großes d C Image-Schaden, Verlust von x Kunden, schwerste Produktionsausfälle Rechtswirksame Proz. Leistungszusagen über B kein Gewinnausfälle das Internet-Portal Sonstige Prozeßwirkg. Mißbrauch der I+K als Angriffsvehikel Rechtl.+Vertragl. Bundesdatenschutzgesetz kein kein C D Strafgelder... Hochwasser vernichtet Server und Datensicherungsmedien Hochwasser vernichtet nur Server, Datensicherg wird gerettet Feuer (und Löschwasser Feuer (und ) vernichten Löschwasser Server und ) vernichten Datensicherg nur Server Erdbeben führt zu Gebäudeeinsturz dauerhafter Stromausfall durch Leitungszerstörg (t>usv) Bedrohungen dauerhafter Kommunikationsausfall durch Leitungszerstörg Vor- Managementperspektive sorge Vorsorge 125 Akzeptanz-Indikator großes kleines kleines minimales -Aggregation B C B C B C B Schadensaggregation aggregation W'keit Schadensklasse g f f e h e d Häufigkeitsklasse (Schätzung) Aggre Begründung Jahrhunder-HW Jahrhunderthochwasser Bänder lagen Bänder sollen in eigentl. kein zb Sturm zerlegt zb Bagger Begründung gation + unglückl. nicht im Safe Safe liegen Erdbebengebiet Oberleitgsring zerreißt Kabel Umstände kleines Verlust von Kunden und einer Verurteilung wegen ungenügender Absicherung Haftungspflichten f B... kein F Verurteilungen, Schadensersatz-forderungen zahlreiche weitere rechtl. + vertragl. potentiale Autor: Appendix: Seite 8/12

Inventarisierung + Bewertung von IT-Risiken

Inventarisierung + Bewertung von IT-Risiken Inventarisierung + Bewertung von IT-Risiken Thomas Maus Maus IT-Consulting thomas.maus@alumni.uni-karlsruhe.de Thomas.Maus@alumni.uni-karlsruhe.de 02.11.2003 1 Inhalt Wo soll die Reise hingehen? Was ist

Mehr

Risikomanagement: Aufgabensammlung I

Risikomanagement: Aufgabensammlung I Thema Dokumentart Risikomanagement: Aufgabensammlung I Lösungen Theorie im Buch "Integrale Betriebswirtschaftslehre" Teil: E2 Risikomanagement Risikomanagement: Aufgabensammlung I Aufgabe 1 1.1 Definieren

Mehr

Sichere Website. Gezielt ist oft besser als viel 02.12.2014. Markus Müller secunet Security Networks AG

Sichere Website. Gezielt ist oft besser als viel 02.12.2014. Markus Müller secunet Security Networks AG Sichere Website Gezielt ist oft besser als viel 02.12.2014 Markus Müller secunet Security Networks AG stellt sich vor führender Anbieter für anspruchsvolle IT-Sicherheit seit 2004 Sicherheitspartner der

Mehr

KoSSE-Tag 2013 Software-Qualitätssicherung

KoSSE-Tag 2013 Software-Qualitätssicherung KoSSE-Tag 2013 Software-Qualitätssicherung Jan Setzer Wirt. Inf. BA Leiter SoftwareLab EnergieSystemeNord Power für Ihr Business www.esn.de ESN auf einen Blick Als Partner der Energie-, Wasserund Abwasserwirtschaft

Mehr

Überlegungen zur Effizienz bei der Umsetzung von it-sicherheits-maßnahmen für KMUs

Überlegungen zur Effizienz bei der Umsetzung von it-sicherheits-maßnahmen für KMUs Überlegungen zur Effizienz bei der Umsetzung von it-sicherheits-maßnahmen für KMUs Roadshow: Cybercrime eine Bedrohung auch für kleine und mittlere Unternehmen Tobias Rademann, Bochum, 19. November 2013

Mehr

Wenn Ereignisse zu Krisen werden ohne Prävention keine professionelle Kommunikation!

Wenn Ereignisse zu Krisen werden ohne Prävention keine professionelle Kommunikation! Michael Koschare Wenn Ereignisse zu Krisen werden ohne Prävention keine professionelle Kommunikation! Jahrestagung 2012 für Sicherheit im Bergbau, 14. Juni 2012, Gmunden am Traunsee Definition Ereignis

Mehr

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz IT-Grundschutz modellieren modellieren Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz / Überblick IT- Grundschutzhandbuch (GSHB) betrachtet im Allgemeinen folgende Merkmale: Infrastruktur

Mehr

Professionelles Risikomanagement in der Logistik

Professionelles Risikomanagement in der Logistik Michael Siebrandt Chancen nutzen Gefahren abwehren Erfolg steigern Professionelles Risikomanagement in der Logistik Praxishandbuch mit Arbeitshilfen und Beispielen :'i\c 2ib!iothek DVV Media Group Deutscher

Mehr

INS Engineering & Consulting AG

INS Engineering & Consulting AG INS Engineering & Consulting AG INS Präsentation «Auslagerung von Dienstleistungen im KMU-Umfeld» 11. Juni 2015 Seite 0 Agenda Begrüssung & Vorstellung Was macht KMUs einzigartig? Was sind Gründe für eine

Mehr

Prof. Dr. Bruno Brühwiler, Präsident Netzwerk Risikomanagement ISO 9001:2015 UND RISIKOMANAGEMENT

Prof. Dr. Bruno Brühwiler, Präsident Netzwerk Risikomanagement ISO 9001:2015 UND RISIKOMANAGEMENT Prof. Dr. Bruno Brühwiler, Präsident Netzwerk Risikomanagement ISO 9001:2015 UND RISIKOMANAGEMENT Wesentliche Änderungen Anwendung der High Level Structure 10 Kapitel Verstärkte Anforderungen an die oberste

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

Risikomanagement Begriffe, Grundlagen, Definitionen

Risikomanagement Begriffe, Grundlagen, Definitionen Risikomanagement Begriffe, Grundlagen, Definitionen Rudolpho Duab_pixelio.de Laumat.at Juristen, Sachverständige, Anrainer, Nutzer, Politik, Beamte, Sachfragen, Vermutungen, Präferenzen, Tricks, Interessen,

Mehr

4Brain IT-Netzwerke IT-Sicherheit

4Brain IT-Netzwerke IT-Sicherheit 4Brain IT-Netzwerke IT-Sicherheit Markus Hannemann Geschäftsführer IT-Counsultant 4Brain IT-Netzwerke IT-Sicherheit Essener Straße 59 46047 Oberhausen 0208 307791-81 info@4brain.de 1 Firmenportrait März

Mehr

Business Continuity Management - Ganzheitlich. ein anderer Ansatz. 17.10.2014 itmcp it Management Consulting & Projekte

Business Continuity Management - Ganzheitlich. ein anderer Ansatz. 17.10.2014 itmcp it Management Consulting & Projekte - Ganzheitlich ein anderer Ansatz 1 Was ist das? Unvorhergesehen Wie konnte das passieren? Alles läuft gut Bei Ihrem Auto sorgen Sie durch rechtzeitigen Kundendienst vor 2 Was ist das? Kerngesunde, liquide

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Informations- / IT-Sicherheit - Warum eigentlich?

Informations- / IT-Sicherheit - Warum eigentlich? Informations- / IT-Sicherheit - Warum eigentlich? Hagen, 20.10.2015 Uwe Franz Account Manager procilon IT-Solutions GmbH Niederlassung Nord-West Londoner Bogen 4 44269 Dortmund Mobil: +49 173 6893 297

Mehr

Kommunales Risikomanagement für Großveranstaltungen

Kommunales Risikomanagement für Großveranstaltungen Kommunales Risikomanagement für Großveranstaltungen Identifikation Bewertung Steuerung Reporting Dr. Björn Weiße Amtsleiter s- und Bürgeramt Stadt Karlsruhe Hier bitte Film 1 einfügen: Start mit Klick

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement und der IT-Sicherheit Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement 7.1 Risikoportfolio Vertraulichkeit Aufgabe: Gegeben seien folgende Werte einer Sicherheitsanalyse eines IT-Systems hinsichtlich

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen, IDEAS Übersicht # 1 Einleitung # 2 IT-Sicherheit wozu denn? # 3 IT-Sicherheit die Grundpfeiler # 4 IT-Sicherheit ein

Mehr

IT- Wir machen das! Leistungskatalog. M3B Service GmbH Alter Sportplatz Lake 1 57392 Schmallenberg

IT- Wir machen das! Leistungskatalog. M3B Service GmbH Alter Sportplatz Lake 1 57392 Schmallenberg IT- Wir machen das! Leistungskatalog M3B Service GmbH Alter Sportplatz Lake 1 57392 Schmallenberg Tel.: 02972 9725-0 Fax: 02972 9725-92 Email: info@m3b.de www.m3b.de www.systemhaus-sauerland.de Inhaltsverzeichnis

Mehr

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen 29. Mai 2008 Schutz gegen DoS-Angriffe auf Webapplikationen Agenda Bedrohung Schutz aktiv passiv 29.05.2008, Seite 2 Bedrohung Definition Denial of Service Angriffe auf Webapplikationen erfolgen auf Schicht

Mehr

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen Marc Schober Bundesamt für Sicherheit in der Informationstechnik Referat 112 Kritische Infrastrukturen und IT-Sicherheitsrevision Bundesamt

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

IT-Revision als Chance für das IT- Management

IT-Revision als Chance für das IT- Management IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT

Mehr

Der Prozess Risikomanagement. Seine Integration in das Managementsystem

Der Prozess Risikomanagement. Seine Integration in das Managementsystem SAQ-Jahrestagung 17.6.2003 Dr. J. Liechti, Neosys AG Workshop RiskManagement-Prozess Seite 1 Der Prozess Risikomanagement Seine Integration in das Managementsystem Unterlagen zum Workshop 3 SAQ-Jahrestagung

Mehr

Allgemeine Geschäftsbedingungen für die Nutzung der Generali Online Akademie

Allgemeine Geschäftsbedingungen für die Nutzung der Generali Online Akademie Allgemeine Geschäftsbedingungen für die Nutzung der Generali Online Akademie 1 VORBEMERKUNG Die Generali Online Akademie wird von der Generali Versicherung AG, Adenauerring 7, 81737 München, betrieben

Mehr

Die Medien berichten häufig über das Thema IT-Sicherheit: Mit Cyber-Crime kann man viel Geld verdienen Vorfälle bei bekannten Unternehmen Immer neue

Die Medien berichten häufig über das Thema IT-Sicherheit: Mit Cyber-Crime kann man viel Geld verdienen Vorfälle bei bekannten Unternehmen Immer neue 1 3 Die Medien berichten häufig über das Thema IT-Sicherheit: Mit Cyber-Crime kann man viel Geld verdienen Vorfälle bei bekannten Unternehmen Immer neue Sicherheitslücken Jeder, der für ein Unternehmen

Mehr

Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN

Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN GLIEDERUNG Intro Risiko-Management Was bedeutet Risiko-Managment? Wie wird Risiko-Management umgesetzt? Nutzen von Risiko-Management Relevanz

Mehr

Datensicherheit und Backup

Datensicherheit und Backup Beratung Entwicklung Administration Hosting Datensicherheit und Backup Dipl.-Inform. Dominik Vallendor & Dipl.-Inform. Carl Thomas Witzenrath 25.05.2010 Tralios IT Dipl.-Inform. Dominik Vallendor und Dipl.-Inform.

Mehr

Cyber- und IT-Risiken im unternehmerischen Risikomanagement. Essen 20.03.2015

Cyber- und IT-Risiken im unternehmerischen Risikomanagement. Essen 20.03.2015 Cyber- und IT-Risiken im unternehmerischen Risikomanagement Essen 20.03.2015 Cyber Risiken Bedeutung für Ihr Unternehmen Nicht erreichbar? Erpressung Quelle: Palo Alto Networks Essen 20.03.2015 Sony Pictures

Mehr

Die Fettnäpfchen im Mittelstand. Die IT-Risiken und deren Auswirkungen in Produktion, Vertrieb und Verwaltung?

Die Fettnäpfchen im Mittelstand. Die IT-Risiken und deren Auswirkungen in Produktion, Vertrieb und Verwaltung? Die Fettnäpfchen im Mittelstand Die IT-Risiken und deren Auswirkungen in Produktion, Vertrieb und Verwaltung? Dipl Ing. (FH) Helmut Gruhn Sachverständigenbüro, Consulting Schwabach Veröffentlichung und

Mehr

(IT-) Notfallmanagement. gemäß BSI-Standard 100-4. Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH

(IT-) Notfallmanagement. gemäß BSI-Standard 100-4. Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH Kammer-Workshop 2014 (IT-) Notfallmanagement gemäß BSI-Standard 100-4 Vorschlag: Screenshot-Folie (auch unter den Masterfolien angelegt) Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH Agenda

Mehr

IT-Sicherheit. Referent: Michael Harenberg (IT-Sicherheitsbeauftragter, VR-Bank eg) 09.12.2013. Folie 1. Quelle: FIDUCIA IT AG

IT-Sicherheit. Referent: Michael Harenberg (IT-Sicherheitsbeauftragter, VR-Bank eg) 09.12.2013. Folie 1. Quelle: FIDUCIA IT AG IT-Sicherheit Referent: Michael Harenberg (IT-Sicherheitsbeauftragter, VR-Bank eg) Quelle: FIDUCIA IT AG Folie 1 Gefahren aus dem Internet Angreifer, Angriffsziele und Gegenmaßnahmen Folie 2 Statistik

Mehr

IPCB e.u. FN 321087 m (eingetr. LG St. Pölten)

IPCB e.u. FN 321087 m (eingetr. LG St. Pölten) VORSTELLUNG IPCB e.u. FN 321087 m (eingetr. LG St. Pölten) Dr. Wolfgang Baumann-Renner 3363 Ulmerfeld-Hausmening, Marktplatz 8/2 +43 676 7507543 +43 7475 53060 33 w.baumann@ipcb.at www.ipcb.at 1 www.ipcb.at

Mehr

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen Open Source professionell einsetzen 1 Mein Background Ich bin überzeugt von Open Source. Ich verwende fast nur Open Source privat und beruflich. Ich arbeite seit mehr als 10 Jahren mit Linux und Open Source.

Mehr

Schweizer Bank Schweizer Bank Schweizer Bank Unternehmensrisiken steuern (Frankfurter Allgemeine) René F. Manser und Agatha Kalhoff Chancen und Risiken sind zwei Seiten derselben Medaille vor allem

Mehr

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013 Werte- und prozessorientierte Risikoanalyse mit OCTAVE Christian Aust.consecco Dr. Christian Paulsen DFN-CERT Was Sie erwartet Vorstellung von OCTAVE:

Mehr

IT- Sicherheitsmanagement

IT- Sicherheitsmanagement IT- Sicherheitsmanagement Wie sicher ist IT- Sicherheitsmanagement? Dipl. Inf. (FH) Jürgen Bader, medien forum freiburg Zur Person Jürgen Bader ich bin in Freiburg zu Hause Informatikstudium an der FH

Mehr

Gestaltung und Standardisierung von IT- Prozessen: Op9mierung an der Schni=stelle zwischen Dienstleistern und Kunden

Gestaltung und Standardisierung von IT- Prozessen: Op9mierung an der Schni=stelle zwischen Dienstleistern und Kunden Gestaltung und Standardisierung von Prozessen: Op9mierung an der Schni=stelle zwischen Dienstleistern und Kunden Tagung Kommunale Prozessintelligenz Bremen, 29.09.2009 Arne Fischer Entwicklung von Services

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Cyberkriminalität Auswirkungen für die (Medien-) Wirtschaft

Cyberkriminalität Auswirkungen für die (Medien-) Wirtschaft Cyberkriminalität Auswirkungen für die (Medien-) Wirtschaft Ausmaß und Gegenmaßnahmen MEDIENTAGE MÜNCHEN 17. Oktober 2002 Marcus Rubenschuh Agenda 1 Ausmaß der Cyberkriminalität 2 Bedrohungen für die (Medien-)

Mehr

Teil - I Gesetzliche Anforderungen an IT-Sicherheit

Teil - I Gesetzliche Anforderungen an IT-Sicherheit Teil - I an IT-Sicherheit Unternehmensrisiken (Einleitung Abschnitt-1) Jedes Unternehmen ist Risiken 1 ausgesetzt oder geht Risiken bewusst manchmal auch unbewusst ein. Risiken können entstehen in den

Mehr

Risikoanalyse zur Informations-Sicherheit: ein Vorgehensmodell. Bernd Ewert it-sa Oktober 2009 Forum rot

Risikoanalyse zur Informations-Sicherheit: ein Vorgehensmodell. Bernd Ewert it-sa Oktober 2009 Forum rot Risikoanalyse zur Informations-Sicherheit: ein Vorgehensmodell Bernd Ewert it-sa Oktober 2009 Forum rot Grundsätzliches zur Risikoanalyse Sinn der Risikoanalyse: Übersicht schaffen Schutzmaßnahmen steuern

Mehr

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

Der Weg zum sicheren Webauftritt

Der Weg zum sicheren Webauftritt Der Weg zum sicheren Webauftritt Referent: Bruno Herzog Management Consultant Information Security CSC Switzerland AG Symposium on Privacy and Security CSC 200 03.05.200 Archivschlüssel.ppt Der Weg zum

Mehr

DIE UNSTERBLICHE PARTIE 16.04.2010 2

DIE UNSTERBLICHE PARTIE 16.04.2010 2 Manfred Bublies Dynamisches Risikomanagement am Beispiel des BOS Digitalfunkprojekts in Rheinland-Pfalz Wo 16.04.2010 1 DIE UNSTERBLICHE PARTIE 16.04.2010 2 DEFINITION RISIKOMANAGEMENT Risikomanagement

Mehr

IT-Security Herausforderung für KMU s

IT-Security Herausforderung für KMU s unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/

Mehr

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH TÜV Informationstechnik GmbH Langemarckstraße 20 45141 Essen, Germany Phone: +49-201-8999-401 Fax: +49-201-8999-888 Email: A.sommer@tuvit.de Web: www.tuvit.de Sicherheit als strategische Herausforderung

Mehr

Die IT Sicherheit der BEKB BCBE

Die IT Sicherheit der BEKB BCBE Die IT Sicherheit der BEKB BCBE 2. Mai 2006 - Folie 1-03.05.2006 15:20 Aufbau Internet Benutzer Internet Web Server HOST Grossrechner und Server - Folie 2-03.05.2006 15:20 1 Kunden der BEKB im Internet

Mehr

Gestaltung und Standardisierung von IT- Prozessen: Optimierung an der Schnittstelle zwischen Dienstleistern und Kunden

Gestaltung und Standardisierung von IT- Prozessen: Optimierung an der Schnittstelle zwischen Dienstleistern und Kunden Gestaltung und Standardisierung von Prozessen: Optimierung an der Schnittstelle zwischen Dienstleistern und Kunden Tagung Kommunale Prozessintelligenz Bremen, 29.09.2009 Arne Fischer 1 Entwicklung von

Mehr

1 Die Active Directory

1 Die Active Directory 1 Die Active Directory Infrastruktur Prüfungsanforderungen von Microsoft: Configuring the Active Directory Infrastructure o Configure a forest or a domain o Configure trusts o Configure sites o Configure

Mehr

Surfen im Büro? Aber sicher!

Surfen im Büro? Aber sicher! Surfen im Büro? Aber sicher! 03.04.2014 Dr. Norbert Schirmer Sirrix AG Web-Browser heute unverzichtbar Arbeitsplatzrechner INTRANET Produktbezogene Daten Produktentwicklungsunterlagen Strategische Konzepte

Mehr

Ein schlüsselfertiges Rechenzentrum. Übersicht von der Planung bis hin zur Realisierung

Ein schlüsselfertiges Rechenzentrum. Übersicht von der Planung bis hin zur Realisierung Ein schlüsselfertiges Rechenzentrum Übersicht von der Planung bis hin zur Realisierung Stationen des Projektes Vorstellung der Rheinbahn Projektinitialisierung Problematiken, Anforderungen und Rahmenbedingungen

Mehr

Herzlich. Willkommen zum Seminar Gefährdungsbeurteilung

Herzlich. Willkommen zum Seminar Gefährdungsbeurteilung Herzlich Willkommen zum Seminar Gefährdungsbeurteilung Begriffsklärung Gefahr Definition 1: Vorhandensein von Bedingungen in einem Arbeitssystem, die Leben und Gesundheit von Beschäftigten aber auch Sachgüter

Mehr

Kochbuch für eine Business Impact Analyse. von bcm-news.de

Kochbuch für eine Business Impact Analyse. von bcm-news.de Kochbuch für eine Business Impact Analyse von bcm-news.de Phasen zur Durchführung einer Business Impact Analyse Scope und Konzeption Erhebung Analyse und Entscheidung Festlegung des Umfangs der BIA Konzeption

Mehr

IT-Sicherheit im Bankenumfeld: Ein konzeptioneller Ansatz

IT-Sicherheit im Bankenumfeld: Ein konzeptioneller Ansatz Universität Hildesheim Institut für Betriebswirtschaftslehre und Wirtschaftsinformatik Hannover OE 2152 Endgeräte 02.07.2008 Christian Kröher 1 02.07.2008 Christian Kröher 2 1 Ausgangssituation Unsichere

Mehr

Datensicherheit und Co. IHK Potsdam, 22.05.2013

Datensicherheit und Co. IHK Potsdam, 22.05.2013 Datensicherheit und Co. IHK Potsdam, 22.05.2013 Aktuelles 25.04.2013/ 17:18 Gefälschte Bank-Mails verteilen Trojaner für Android Hacker-Angriff Bonn (dpa/tmn) - Android-Smartphones stehen gerade im Visier

Mehr

Risikoanalyse mit der OCTAVE-Methode

Risikoanalyse mit der OCTAVE-Methode Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte

Mehr

Cloud-Services im Berechtigungsund PW Management? Alle Wege führen zum IAM. IT-Com Casino Baden. Gerd Rossa, CEO ism Secu-Sys AG

Cloud-Services im Berechtigungsund PW Management? Alle Wege führen zum IAM. IT-Com Casino Baden. Gerd Rossa, CEO ism Secu-Sys AG Cloud-Services im Berechtigungsund PW Management? Alle Wege führen zum IAM. IT-Com Casino Baden Gerd Rossa, CEO ism Secu-Sys AG ism GmbH 2012 Unternehmens-IT in der Klemme Problem 1: Schatten-IT Problem

Mehr

Gesamtverband der Deutschen Versicherungswirtschaft e.v.

Gesamtverband der Deutschen Versicherungswirtschaft e.v. Gesamtverband der Deutschen Versicherungswirtschaft e.v. Klimawandel und Klimaanpassungsstrategien aus Sicht der Versicherungswirtschaft n Fachaustausch Geoinformation 16.11.2011 Print Media Academy Heidelberg

Mehr

Wozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM.

Wozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM. Wozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM. 4. IT-Grundschutz-Tag 2014, Nürnberg Bundesamt für Sicherheit in der Informationstechnik ism Secu-Sys AG Gerd Rossa, CEO ism Secu-Sys

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

GPP Projekte gemeinsam zum Erfolg führen

GPP Projekte gemeinsam zum Erfolg führen GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.

Mehr

Versicherung von IT-/Cyber-Risiken in der Produktion

Versicherung von IT-/Cyber-Risiken in der Produktion Versicherung von IT-/Cyber-Risiken in der Produktion Themenwerkstatt Produktion der Zukunft Bochum, 24.06.2015 Dirk Kalinowski AXA Versicherung AG Beispiele Betriebsunterbrechung im Chemiewerk Was war

Mehr

Verfügbarkeit von RZ-Infrastrukturen Wie viel benötigt die Mittelgroß GmbH?

Verfügbarkeit von RZ-Infrastrukturen Wie viel benötigt die Mittelgroß GmbH? 1 I P R Ä S E N T A T I O N I Verfügbarkeit von RZ-Infrastrukturen Wie viel benötigt die Mittelgroß GmbH? Dipl. Ing. (FH) Stefan ghof Geschäftsführer Wiesenweg 6 75045 Walzbachtal Tel: 07203/9133-51 Fax:

Mehr

Dipl.-Ing. Detlef Steffenhagen. Gliederung. Dipl.-Ing. Detlef Steffenhagen

Dipl.-Ing. Detlef Steffenhagen. Gliederung. Dipl.-Ing. Detlef Steffenhagen Gliederung 1. Eingangsverpflichtung 2. Parameter des Systems 3. Funktionsanalyse 4. Gefährdungsanalyse 5. 6. Risikobewertung Eingangsverpflichtung 1. Verpflichtung zur 1.1 Arbeitsschutzgesetz: Nach 1 (Anwendungsbereich)

Mehr

Grundlagen des Datenschutzes. Musterlösung zur 6. Übung im SoSe 2012: Risikomanagement

Grundlagen des Datenschutzes. Musterlösung zur 6. Übung im SoSe 2012: Risikomanagement und der IT-Sicherheit Musterlösung zur 6. Übung im SoSe 2012: Risikomanagement 6.1 Fehlerbaum Aufgabe: Erstellen Sie eine Fehlerbaum (Fault Tree Analysis) zu dem Fehlerereignis "mangelnde Verfügbarkeit

Mehr

Sicherheitsaspekte der kommunalen Arbeit

Sicherheitsaspekte der kommunalen Arbeit Sicherheitsaspekte der kommunalen Arbeit Was ist machbar, finanzierbar, umzusetzen und unbedingt notwendig? Sicherheit in der Gemeinde Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen,

Mehr

Informationstechnik in der Prozessüberwachung und -steuerung. Grundsätzliche Anmerkungen

Informationstechnik in der Prozessüberwachung und -steuerung. Grundsätzliche Anmerkungen Informationstechnik in der Prozessüberwachung und -steuerung Grundsätzliche Anmerkungen Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 95820 E-Mail: ics-sec@bsi.bund.de

Mehr

Grundlagen des Datenschutzes

Grundlagen des Datenschutzes Vorlesung im Sommersemester 2009 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche

Mehr

Quantifizierung von Risiken

Quantifizierung von Risiken Quantifizierung von Risiken Alpiq Group Risk Management Olten, 31. Oktober 2013 Was ist ein Risiko? Ein Risiko ist die Beschreibung eines Ereignisses mit der Möglichkeit einer negativen Auswirkung. In

Mehr

Regelwerk für die Planung und Konzipierung sicherer Datennetze. Dr. Herbert Blum

Regelwerk für die Planung und Konzipierung sicherer Datennetze. Dr. Herbert Blum Regelwerk für die Planung und Konzipierung sicherer Datennetze Dr. Herbert Blum 12. Deutscher IT-Sicherheitskongress Bonn, 7 Anwendung 6 Darstellung 5 Sitzung Anwendung Datensicherheit in Netzen 3 Vermittlung

Mehr

Wissensmanagement in der Notfallplanung

Wissensmanagement in der Notfallplanung 1 5. FIT-ÖV V am 9.2. in Bochum Wissensmanagement in der Notfallplanung Hans-Jörg Heming CHG-MERIDIAN Agenda Vorstellung Das Unternehmen Wissensmanagement in der Notfallplanung Ausfallszenario Organisatorische

Mehr

Status Quo der Sicherheitslage

Status Quo der Sicherheitslage Status Quo der Sicherheitslage Secure Summit 2010 Themen Strategische Veränderung des Risikos Aktuelle Bedrohungsszenarien Täterformen Angemessene Reaktionen Herausforderungen für die Zukunft Strukturproblem

Mehr

Naturgefahren Aus Schaden klug werden: Vorsorge statt Nachsorge?

Naturgefahren Aus Schaden klug werden: Vorsorge statt Nachsorge? Naturgefahren Aus Schaden klug werden: Vorsorge statt Nachsorge? Wer den Schaden hat, braucht für den Spott nicht zu sorgen... _ Erkenntnis: Bei allen Fallbeispielen wären vorsorgliche bzw. präventive

Mehr

Methodik für Entwurf, Aufbau und Betrieb von Ausfallrechenzentren

Methodik für Entwurf, Aufbau und Betrieb von Ausfallrechenzentren Methodik für, und von Ausfallrechenzentren Das Lebenszyklus-Modell der Networkers AG Inf.-sw. Christoph Haas Senior Consultant 30.09.2010 I Networkers AG I Seite 1 Vorgehen mit Methode Wieso, weshalb,

Mehr

Effizientes Sicherheits-Management von Endbenutzergeräten

Effizientes Sicherheits-Management von Endbenutzergeräten Effizientes Sicherheits-Management von Endbenutzergeräten Kammerstetter Bernhard Client Technical Professional IBM Tivoli http://www-01.ibm.com/software/tivoli/solutions/endpoint/ Bernhard_Kammerstetter@at.ibm.com

Mehr

IT-Sicherheitstag NRW WLAN Ein Service mit Sicherheits- und Rechtsfolgen

IT-Sicherheitstag NRW WLAN Ein Service mit Sicherheits- und Rechtsfolgen IT-Sicherheitstag NRW WLAN Ein Service mit Sicherheits- und Rechtsfolgen Referent Eugen Neufeld 2 / 17 Agenda WLAN Entwicklung & Anforderungen Empfehlungen Fazit 3 / 17 WLAN Entwicklung & Anforderungen

Mehr

Application Service Providing ASP - das neue Geschäftsmodell im ecommerce!

Application Service Providing ASP - das neue Geschäftsmodell im ecommerce! ASP - das neue Geschäftsmodell im ecommerce! Was ist ASP? Was ist ASP? Unterschiede ASP/ normale Software? Was ist ASP? Unterschiede ASP/ normale Software? Welche Vorteile bringt ASP? Was ist ASP? Unterschiede

Mehr

Digitale Risiken und Schadenszenarien. Die deutsche Perspektive

Digitale Risiken und Schadenszenarien. Die deutsche Perspektive Digitale Risiken und Schadenszenarien Die deutsche Perspektive Robin Kroha Director Corporate Security Management HiSolutions AG http://hisolutions.com/ Vertrauliche Informationen können in Minuten zu

Mehr

Produktinformation workany Stand: 02. April 2013. ITynamics GmbH Industriering 7 63868 Grosswallstadt Tel. 0 60 22-26 10 10 info@itynamics.

Produktinformation workany Stand: 02. April 2013. ITynamics GmbH Industriering 7 63868 Grosswallstadt Tel. 0 60 22-26 10 10 info@itynamics. Produktinformation workany Stand: 02. April 2013 ITynamics GmbH Industriering 7 63868 Grosswallstadt Tel. 0 60 22-26 10 10 info@itynamics.com workany @ Swiss Fort Knox Cloud Computing und Private Cloud

Mehr

Penetrationtests: Praxisnahe IT-Sicherheit

Penetrationtests: Praxisnahe IT-Sicherheit Ihr Netzwerk aus der Angreiferperspektive jens.liebchen@redteam-pentesting.de http://www.redteam-pentesting.de 21. März 2007 Technologieforum Telekommunikation IHK Aachen Februar 2007: Agenda Verfassungsschutz:

Mehr

QUICK-CHECK IT-SICHERHEIT

QUICK-CHECK IT-SICHERHEIT QUICK-CHECK IT-SICHERHEIT Systeme fachkundig überprüfen lassen? Die Führung eines Unternehmens ist für dessen reibungslosen Ablauf verantwortlich. IT-Systeme spielen dabei eine wichtige Rolle. Im digitalen

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Ihre Informationen in guten. Bedarfsgerechte Lösungen für Ihr Informationsmanagement

Ihre Informationen in guten. Bedarfsgerechte Lösungen für Ihr Informationsmanagement Ihre Informationen in guten Händen. Mit Sicherheit. 4444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444 Bedarfsgerechte Lösungen für Ihr Informationsmanagement

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

Webbasierte Software zur Planung von Instandhaltungs- Maßnahmen in WEGs. Stefan Nienhagen, wowiconsult GmbH Geschäftsführender Gesellschafter

Webbasierte Software zur Planung von Instandhaltungs- Maßnahmen in WEGs. Stefan Nienhagen, wowiconsult GmbH Geschäftsführender Gesellschafter Webbasierte Software zur Planung von Instandhaltungs- Maßnahmen in WEGs Stefan Nienhagen, wowiconsult GmbH Geschäftsführender Gesellschafter Technisches Bestandsmanagement in der Immobilienwirtschaft IT

Mehr

Pragmatisches Risikomanagement in der pharmazeutischen Herstellung

Pragmatisches Risikomanagement in der pharmazeutischen Herstellung Pragmatisches Risikomanagement in der pharmazeutischen Herstellung XIV. Fortbildungsveranstaltung der Arbeitsgemeinschaft Plasmapherese e.v 22. November 2014, Leipzig _Eitelstraße 80 _40472 Düsseldorf

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

Vorlesung Software-Wartung Änderungs- und Konfigurationsmanagement

Vorlesung Software-Wartung Änderungs- und Konfigurationsmanagement Vorlesung Software-Wartung Änderungs- und Konfigurationsmanagement Dr. Markus Pizka Technische Universität München Institut für Informatik pizka@in.tum.de 3.3 Änderungsmanagement (CM) Evolution der Software

Mehr

ERP-Systemeinsatz bewerten und optimieren

ERP-Systemeinsatz bewerten und optimieren ERP-Systemeinsatz bewerten und optimieren Handlungsfelder zur Optimierung des ERP-Systemeinsatzes ERP-Lösungen werden meist über viele Jahre lang eingesetzt, um die Geschäftsprozesse softwaretechnisch

Mehr

secunet Security Networks AG Täter im Anzug Wenn die Firewall gerade nicht hinschaut SECURITY 2006 11. Oktober 2006 www.secunet.

secunet Security Networks AG Täter im Anzug Wenn die Firewall gerade nicht hinschaut SECURITY 2006 11. Oktober 2006 www.secunet. secunet Security Networks AG Täter im Anzug Wenn die Firewall gerade nicht hinschaut SECURITY 2006 11. Oktober 2006 www.secunet.com Übersicht Aktuelle Angriffe auf Web-Anwendungen Grenzen heutiger Schutzstrategien

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Patientensicherheit und Risikomanagement in Reha-Kliniken

Patientensicherheit und Risikomanagement in Reha-Kliniken Patientensicherheit und Risikomanagement Patientensicherheit und Risikomanagement in Reha-Kliniken IQMG-Jahrestagung Berlin November 2013 1 Grundlagen des Risikomanagements Die größten Risiken im Krankenhaus:

Mehr

Cloud-Computing. Selina Oertli KBW 28.10.2014

Cloud-Computing. Selina Oertli KBW 28.10.2014 2014 Cloud-Computing Selina Oertli KBW 0 28.10.2014 Inhalt Cloud-Computing... 2 Was ist eine Cloud?... 2 Wozu kann eine Cloud gebraucht werden?... 2 Wie sicher sind die Daten in der Cloud?... 2 Wie sieht

Mehr

Datenschutzrechtliche Aspekte bei Campus Management Systemen

Datenschutzrechtliche Aspekte bei Campus Management Systemen Datenschutzrechtliche Aspekte bei Campus Management Systemen 3. Internationales Kanzlertreffen Luzern, 10.05.2011 Thorsten Ebert IT Beratung Der Sony-Hack Der Datendiebstahl beim Sony-Playstation-Network

Mehr

Risikosimulation zur Optimierung der Finanzierungsplanung von Projekten

Risikosimulation zur Optimierung der Finanzierungsplanung von Projekten Risikosimulation zur Optimierung der Finanzierungsplanung von Projekten Dresden, 18.06.2012 Agenda Motivation Notwendigkeit einer Risikosimulation Grundlagen der Monte-Carlo-Simulation Konzept einer 4-Stufen-Risikosimulation

Mehr