esi - Der elektronische Sicherheitsinspektor

Größe: px
Ab Seite anzeigen:

Download "esi - Der elektronische Sicherheitsinspektor"

Transkript

1 esi - Der elektronische Sicherheitsinspektor Unterstützung für eine kontinuierliche Überprüfung von IT-Sicherheitsmaßnahmen in Unternehmensnetzen Heinz Sarbinowski

2 Inhalt esi im Projekt SKe IT-Sicherheitsmaßnahmen Vorgehensmodell zur automatisierten Überprüfung esi Komponenten / Funktionen esi Maßnahmenüberprüfungen Seite 2

3 esi im Projekt SKe SKe Durchgängige Sicherheitskonzeption mit dynamischen Kontrollmechanismen für eservice-prozesse BMBF Förderprojekt im Programm Leben und Arbeiten in einer vernetzten Welt (Mai 2001 bis Dezember 2003) Formales Sicherheitsmodell, Angriffsimulator, strukturiertes Sicherheitskonzept elektronischer Sicherheitsinspektor esi Erfahrungsbasierte Sicherheitsdatenbank, Aufzeichnen von Vorfällen, Diagnose von Vorfällen, Handlungsempfehlungen Seite 3

4 esi im Projekt SKe Formales Formales Sicherheitsmodell Sicherheitsmodell (FSM) (FSM) Verifikation Verifikation der der geforderten geforderten Sicherheit Sicherheit im im Modell Modell Strukturiertes Strukturiertes Sicherheitskonzept Sicherheitskonzept Erfahrungsbasierte Erfahrungsbasierte Elektronischer Elektronischer Sicherheits- Sicherheits- Sicherheitsdatenbank (esdb) (esdb) Inspektor Inspektor (esi) (esi) Systematische Systematische Aufzeichnung Aufzeichnung Kontinuierliche Kontinuierliche und und von von Vorfällen Vorfällen und und Erfahrungen Erfahrungen umfassende umfassende Überprüfung Überprüfung der der Systematische Systematische Anwendung Anwendung tatsächlich tatsächlich umgesetzten umgesetzten gemachter gemachter Erfahrungen Erfahrungen Sicherheitsmaßnahmen SKe Sicherheitsprozess für eservices Seite 4

5 IT-Sicherheitsmaßnahmen IT-Sicherheitsprozess nach GSHB / SHB IT-Strukturanalyse IT-Strukturanalyse Erfassung der IT und der IT Anwendungen Erfassung der IT und der IT Anwendungen Gruppenbildung Gruppenbildung Schutzbedarfsfeststellung Schutzbedarfsfeststellung Initiierung des IT-Sicherheitsprozesses Initiierung des IT-Sicherheitsprozesses Erstellung einer IT-Sicherheitsleitlinie Erstellung einer IT-Sicherheitsleitlinie Einrichtung des IT-Sicherheitsmanagements Einrichtung des IT-Sicherheitsmanagements Erstellen eines IT-Sicherheitskonzepts Erstellen eines IT-Sicherheitskonzepts Niedriger / mittlerer Schutzbedarf IT-Grundschutzanalyse IT-Grundschutzanalyse Modellierung nach IT-Grundschutz Modellierung nach IT-Grundschutz Basis-Sicherheitscheck mit Soll-Ist-Vergleich Basis-Sicherheitscheck mit Soll-Ist-Vergleich Bedrohungsanalyse Bedrohungsanalyse Hoher Schutzbedarf Erfassung der bedrohten Objekte Erfassung der bedrohten Objekte Bestimmung der Grundbedrohungen Bestimmung Bestimmung der der Gefährdungen Grundbedrohungen Bestimmung der Gefährdungen Umsetzung: Umsetzung: Realisierung fehlender Maßnahmen in den Bereichen Realisierung Infrastruktur, fehlender Organisation, Maßnahmen in Personal, den Technik, Bereichen Kommunikation Infrastruktur, und Organisation, Notfallvorsorge, Personal, insbesondere Technik, Kommunikation und Notfallvorsorge, insbesondere Sensibilisierung für IT-Sicherheit Schulung Sensibilisierung zur IT-Sicherheit für IT-Sicherheit Schulung zur IT-Sicherheit Aufrechterhaltung im laufenden Betrieb Aufrechterhaltung im laufenden Betrieb Werkzeugunterstützung durch esi Realisierungsplanung Realisierungsplanung Konsolidierung der Maßnahmen Konsolidierung der Maßnahmen Umsetzungsplan Umsetzungsplan Risikoanalyse Risikoanalyse Bewertung der bedrohten Objekte Bewertung der bedrohten Objekte Bestimmung der Häufigkeit von Schäden Bestimmung Bestimmung der der aktuellen Häufigkeit Risiken von Schäden Bestimmung der aktuellen Risiken Maßnahmen Maßnahmen Auswahl von Maßnahmen Auswahl von Maßnahmen Bewertung der Maßnahmen Kosten-Nutzen-/ Bewertung der Gesamtkosten-Betrachtung Maßnahmen Restrisikoanalyse Kosten-Nutzen-/ Gesamtkosten-Betrachtung Restrisikoanalyse Seite 5

6 IT-Sicherheitsmaßnahmen Werkzeugeinordnung des esi Werkzeuge für: Erstellen von Sicherheitskonzepten (GSTOOL, textorientiert ) Umsetzung von IT-Sicherheitsmaßnahmen Teils händisch, teils Werkzeug-unterstützt Teils automatisierte Umsetzung bei Produkt-bezogener Konfiguration (Policy enforcement: Windows Richtlinien, epolicy Orchestrator) Überprüfung auf Schwachstellen (Vulnerability scanner: Baseline Security Scanner, Nessus) Bekannte Programmfehler (bugs) in Standardprodukten (Server, PCs, ...) Bekannte Konfigurationsfehler in Standardprodukten (Server, PCs, ...) Überprüfung von IT-Sicherheitsmaßnahmen (Sicherheitsaudit,...) Seite 6

7 IT-Sicherheitsmaßnahmen Werkzeugeinordnung des esi (1) Security Audit 2003/2004 Checklisten für Interviews, Begehungen, Security Scans Jede Checkliste enthält außer den durchzuführenden Arbeiten ein Bewertungsschema, um den Erfüllungsgrad jeder Prüfung zu messen. Zusätzlich gibt es k.o.-kriterien, ohne deren Bestehen das Fazit einer Prüfung durchgefallen lautet. Werkzeuge Portscanner: nmap (Unix), MingSweeper (Windows) Security Scanner: nessus (Unix), LANguard Network Security Scanner (Windows), N-Stealth (Windows-Tool für den Scan von Webservern) Integritäts-Checker: AIDE (Unix), Tiger (Unix) Prüfung von Passwörtern: LC4 (Windows), Crack (Unix) Registry-Tools: doeskey (Windows) Seite 7

8 IT-Sicherheitsmaßnahmen arbeiten rüfungskatalog Internet-PC ferenz: BSI-Baustein 5.8 Nr. Durchzuführende Arbeit 1 Kontrolle der Aufstellung eines IT- Systems (Interview und Begehung erforderlich) 2 Kontrolle der Konzeption von Internet-PCs e? Testmethode k.o. Prio EG verantwortlich Bemerkungen Unterformulare Interview Begehung Interview 3 K.O. 1 BS Re M Löschen Öffnen Neu anlegen M Löschen Öffnen Neu anlegen me des Erstellers: Datum: 3 Kontrolle der Richtlinien für die Nutzung von Internet-PCs Interview 2 M Löschen Öffnen Neu anlegen 4 Kontrolle der Schulung vor Programmnutzung Interview 1 M Löschen Öffnen Neu anlegen 5 Kontrolle der Schulung zu IT- Sicherheitsmaßnahmen Interview 1 M Löschen Öffnen Neu anlegen 6 Kontrolle des regelmäßiges Einsatzes eines Virensuchprogramms Interview 1 M Löschen Öffnen Neu anlegen 7 Kontrolle von PC- Sicherheitsprodukten Interview 1 M Löschen Öffnen Penetrationstest Neu anlegen 8 Kontrolle der Prüfung eingehender Dateien auf Makro-Viren 9 Kontrolle der sicheren Installation von Internet-PCs Interview Interview Begehung 1 K.O. 1 M Löschen Öffnen Neu anlegen M Löschen Öffnen Neu anlegen 10 Kontrolle des sicheren Betriebs von Internet- PCs Interview 2 Seite 8 M Löschen Öffnen Neu anlegen

9 IT-Sicherheitsmaßnahmen Werkzeugeinordnung des esi (2) Prüfschema für Auditoren (BSI, Qualifizierung/Zertifizierung nach IT-Grundschutz) Überprüfung nach Aktenlage (Referenzdokumente) Inspektion vor Ort... Der Auditor überprüft vor Ort die Umsetzung aller Maßnahmen des Bausteins IT-Sicherheitsmanagement für den IT-Verbund. Zusätzlich zur Überprüfung des Management-Bausteines sind Stichproben aus den fünf Schichten "Übergeordnete Aspekte", "Infrastruktur", "IT- Systeme", "Netze" und "Anwendungen" zu wählen. Die Prüfung der einzelnen Maßnahmen sollte direkt am Zielobjekt erfolgen, nicht nur anhand der Papierlage. Bei technischen Maßnahmen bedeutet dies eine Demonstration durch den jeweils zuständigen Administrator oder Vertreter. Der Auditor sollte nicht selbst in das System eingreifen.... Seite 9

10 IT-Sicherheitsmaßnahmen Wer kontrolliert die Einhaltung der IT-Sicherheitsmaßnahmen? Überhaupt kontrolliert Der Sicherheitsbeauftragte Sicherheitsrevision / Auditing Gelegentlich / einmal im Jahr Stichprobenartig Checkliste textorientiert Seite 10

11 IT-Sicherheitsmaßnahmen Der elektronische Sicherheitsinspektor (esi) kontrolliert die Einhaltung der IT-Sicherheitsmaßnahmen Mit Hilfe von elektronischen Checklisten kann eine derartige Überprüfung kontinuierlich und umfassend (nicht nur Stichproben) automatisiert durchgeführt werden Seite 11

12 IT-Sicherheitsmaßnahmen Welche Maßnahmen sind automatisiert überprüfbar? Generell: nur technisch überprüfbare Maßnahmen Organisatorische Maßnahmen (Richtlinien) im Einzelfall Auf den Arbeitsplatzrechnern dürfen keine privaten Programme installiert werden : eher ja Die Mitarbeiter sind über die aktuellen Datenschutzrichtlinien zu informieren : eher nein Technische Maßnahmen: grundsätzlich ja Qualität der Prüfergebnisse (Messstellen, Prüfwerkzeuge) Aufwand für die Überprüfung ist abzuwägen Beim Prüfwerkzeug-Hersteller Standard- / Individualfälle, Aktualisierung Beim Unternehmen Werkzeugeinsatz, Konfigurationsmanagement / Inventarisierung, spezielle Messstellen Seite 12

13 IT-Sicherheitsmaßnahmen Prüfverfahren für Maßnahmen Verhaltensprüfung des Objekts (tut es, was es tun soll?) Konfigurationsprüfung (korrekte Konfiguration bewirkt korrektes Verhalten) Prüfwerkzeugimplemetierung Zentrale Implementierung (etwa Portscanner) Verteilte Implementierung (etwa zentraler Abruf der Messwerte von lokal installierten Agenten ) Seite 13

14 IT-Sicherheitsmaßnahmen Welche Maßnahmen werden vom esi überprüft? Standard -Maßnahmen Grundschutzhandbuch SANS Top 20 Individuelle Maßnahmen Unternehmens- / Anwendungsspezifisch Generell: nur technisch überprüfbare Maßnahmen Seite 14

15 Vorgehensmodell zur automatisierten Überprüfung Schritt 1 Person prüft mit Hilfe eines Standard- / Spezialwerkzeuges die korrekte Umsetzung / Einhaltung einer Maßnahme Gliederung in zu prüfende Teilmaßnahmen Kriterien für Umsetzung bestimmen (zu prüfende Messwerte, Messstellen, Qualität ) Werkzeug auswählen Bedienung lernen Prüfauftrag eingeben Prüfergebnisse interpretieren und auswerten Seite 15

16 Vorgehensmodell zur automatisierten Überprüfung Schritt 1 Wissen Wissen über über den den Umgang mit mit Sicherheitsmaßnahmen die die Prüfung von von Umsetzungszuständen Umgang mit mit Prüfwerkzeugen die die Interpretation der der Prüfergebnisse und und der der Auswertungsergebnisse Whisker Sicherheitsbeauftragter Sicherheitsaudit /-revision Prüfwerkzeug Web-Server zso (Zu schützendes Objekt) Seite 16

17 Vorgehensmodell zur automatisierten Überprüfung Schritt 2 Prüfauftrag automatisieren (welche Maßnahme, welches Objekt, wann...) Automatisierte Interpretation und Auswertung der Ergebnisse Prüfauftrag Interpretation / Auswertung Whisker Sicherheitsbeauftragter Sicherheitsaudit /-revision Prüfwerkzeug Web-Server zso (Zu schützendes Objekt) Seite 17

18 Vorgehensmodell zur automatisierten Überprüfung Schritt 3 Viele Werkzeuge für unterschiedlichste Prüfzwecke / Maßnahmen Whisker nmap Net-snmp Spezial Seite 18

19 Vorgehensmodell zur automatisierten Überprüfung Schritt 4 Ein Zugangspunkt und einheitliche Bedienung für alle Prüfwerkzeuge Whisker Interpretation / Auswertung Prüfaufträge nmap Net-snmp Spezial Seite 19

20 esi Komponenten Prüfwerkzeuge (Whisker( Whisker, Nmap, NBTscan,, SSL/TLS Net-SNMP, Win-Registry Registry,, Stringsuche in Dateien,..., Web- Browser HTML Anfragebearbeitung Anfragebearbeitung Kontrollauftrag / Auswertungslogik Scheduling Verwaltung Master Master Dispatcher Dispatcher Java-RMI Dispatcher Dispatcher Kontroll- Kontroll- Modul Modul n n Kontroll- Kontroll- Modul Modul 2 2 IT-Infrastruktur Netze Netze Server Server Betriebssysteme Betriebssysteme Webserver Tomcat (jsp, struts) esi - DB Konfig. - Daten Checklisten Prüfergebnisse App.Server - Jonas - (Java-EJB) Kontroll- Kontroll- Modul Modul 1 1 Anwendungen Anwendungen PostgreSQL Java Seite 20

21 esi Komponenten (2) esi Basis- und Erweiterungskomponenten Rahmen für Auftrags-/ Auswertungsmodule GUI GUI /Anfrage GUI bearbeitung Scheduler Service-Module Verwaltung (Appl.-Server) Master Dispatcher Dispatcher Dispatcher Rahmen für Kontrollmodule esi-db Dispatcher Seite 21

22 esi Maßnahmenüberprüfungen Ablauf einer Überprüfung 1. Auswahl von Maßnahme und Objekt am GUI Starten einer Kontrolle Seite 22

23 esi Maßnahmenüberprüfungen Ablauf einer Überprüfung 2. Ablauf innerhalb des esi-kerns Anfrage-bearbeitung Kontrollauftrag / Auswertungslogik Scheduling Verwaltung Master Master Dispatcher Dispatcher esi - DB Konfig. - Daten Checklisten Prüfergebnisse Seite 23

24 esi Maßnahmenüberprüfungen 3. Ablauf Kontrollauftrag (M die vom Hersteller mitgelieferten CGI- Programme sind vollständig zu entfernen...) esi esi --Kern Kern Master Dispatcher Dispatcher Manager Proxy (RMI, SOAP,...) Proxy Dispatcher Wann soll die Kontrollauftrag Erfasste Whisker Wer Der soll unverzüglich Kontrolle Informationen Dispatcher, diesen Welches beginnen? KM KM1 Nummer State httpresponse des KM: 1 welcher Auftrag das soll...wird Path Gewünschte Informationen: verwendet State, httpresponse, geladen werden? Path Von KM benötigte Informationen: -- whisker / v1.4.0 / rain forest puppy / Not Found: -- HEAD /www/ Not Found: KM1 bearbeiten? HEAD anbietet /import/ + = -= 404 -= -= Not -= Found: -= HEAD /zipfiles/ + = Host: Not Found: HEAD /passwd -= Server: Content-Location: Apache/ password.txt zso_ip= PHP/ Not Found: HEAD /www/ Erfasste Not Found: Informationen: HEAD /import/ Not + Found: 404 Not HEAD Found: /zipfiles/ HEAD /www/ Not... Found: HEAD /passwd - Content-Location: password.txt Not Found: HEAD /www/ Aufgetretene Aufgetretene Fehler: Fehler: keine keine Dauer: 12:31-12:45 zso Auftragsmanager KM-Manager KM1 KM2 Whisker KM3 Seite 24

25 esi Maßnahmenüberprüfungen Einige Maßnahmen-Beispiele Abschalten von DNS GSHB M4.96 V07/99 Ein Dienst pro Server GSHB M4.97 V07/99 Standardscripte <=> MnNr.5 SANS G7 V2.504 Port 111 (RPC) blockieren SANS U1 V3.21 Problematische Parameter bei Samba GSHB M5.82 V10/00 regelm. Aktualisierung d. Virensuchprogr. GSHB M4.3 V07/99 transienter Betrieb des Virensuchprogramms GSHB M4.3 V07/99 residenter Betrieb des Virensuchprogramms GSHB M4.3 V07/99 Virenscannerkonfiguration nach Vorgabe Spezial-SKE M0.006»Verzeichnisinhalt auflisten«deaktivieren GSHB M2.174 V10/03 Symbolische Links deaktivieren GSHB M2.174 V10/03 IP-Forwarding deaktivieren GSHB M4.95 V07/99 Seite 25

esi - Der elektronische Sicherheitsinspektor

esi - Der elektronische Sicherheitsinspektor esi - Der elektronische Sicherheitsinspektor Unterstützung für eine kontinuierliche Überprüfung von IT-Sicherheitsmaßnahmen in Unternehmensnetzen Michael Zapf Überblick esi im Projekt SKe IT-Sicherheitsmaßnahmen

Mehr

Der elektronische Sicherheitsinspektor esi: Ein Tool zur dynamischen Analyse der IT-Sicherheit eines Systems

Der elektronische Sicherheitsinspektor esi: Ein Tool zur dynamischen Analyse der IT-Sicherheit eines Systems Der elektronische Sicherheitsinspektor esi: Ein Tool zur dynamischen Analyse der IT-Sicherheit eines Systems H. Sarbinowski, T. Shafi, C. Eckert Fraunhofer Institut für Sichere Telekooperation (SIT) Rheinstr.

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

Praktizierter Grundschutz in einem mittelständigen Unternehmen

Praktizierter Grundschutz in einem mittelständigen Unternehmen Praktizierter Grundschutz in einem mittelständigen Unternehmen Adolf Brast, Leiter Informationsverarbeitung Bochum-Gelsenkirchener Straßenbahnen AG auf dem 4. Stuttgarter IT-Sicherheitstag, 16.02.06 Überblick

Mehr

IT-Sicherheitsmanagement nach ISO 17799 und nach BSI- Grundschutzhandbuch Eine vergleichende Betrachtung

IT-Sicherheitsmanagement nach ISO 17799 und nach BSI- Grundschutzhandbuch Eine vergleichende Betrachtung IT-Sicherheitsmanagement nach ISO 17799 und nach BSI- Grundschutzhandbuch Eine vergleichende Betrachtung Prof. Dr. Universität Regensburg http://www-sec.uni-regensburg.de 1 Kriterienlandschaft Sicherheitsmanagement

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Staatlich geprüfte IT-Sicherheit

Staatlich geprüfte IT-Sicherheit Bild: Lampertz GmbH & Co.KG Staatlich geprüfte IT-Sicherheit Dr.-Ing. Christian Scharff Lizenziert vom Bundesamt für Sicherheit in der Informationstechnik (BSI) Accuris Consulting / EGT InformationsSysteme

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

Dr. G. Weck, INFODAS GmbH, Köln DECUS IT-Symposium, Nürnberg Vortrag 2K04

Dr. G. Weck, INFODAS GmbH, Köln DECUS IT-Symposium, Nürnberg Vortrag 2K04 Erfahrungen aus einer Zertifizierung nach ISO 27001 und nach BSI-Grundschutz Dr. G. Weck, INFODAS GmbH, Köln DECUS IT-Symposium, Nürnberg Vortrag 2K04 Inhalt Kontext und Phasen der Zertifizierung Schritte

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie Seite 1 von 13 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: De-Mail Sicherheit Modulübergreifend Anwendungsbereich: Kürzel: BSI De-Mail TR 01201

Mehr

IT-Grundschutz und Zertifizierung

IT-Grundschutz und Zertifizierung IT-Grundschutz und Zertifizierung Gliederung Was macht das BSI? Standardsicherheit nach IT-Grundschutz Qualifizierung nach IT-Grundschutz Zertifizierungsschema Verhältnis zu ISO 17799 in der Informationstechnik

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2013 09.10.2013 Agenda

Mehr

SerNet. Vom Prozess zum Workflow - IS-Management mit Tools unterstützen. Alexander Koderman SerNet GmbH. Seite 1 / 2010 SerNet GmbH

SerNet. Vom Prozess zum Workflow - IS-Management mit Tools unterstützen. Alexander Koderman SerNet GmbH. Seite 1 / 2010 SerNet GmbH Vom Prozess zum Workflow - IS-Management mit Tools unterstützen Alexander Koderman SerNet GmbH Seite 1 / 2010 SerNet GmbH Informationssicherheit...Informationen sind wertvoll für eine Organisation und

Mehr

3 Juristische Grundlagen

3 Juristische Grundlagen beauftragter - Grundlagen Ziele: Einführung in das recht Kennen lernen der grundlegenden Aufgaben des beauftragten (DSB) Praxishinweise für die Umsetzung Inhalte: Ziele des es Zusammenarbeit mit Datensicherheit/IT-Sicherheit

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 11. Kommunales IuK-Forum

Mehr

Neues vom IT-Grundschutz: Ausblick und Diskussion

Neues vom IT-Grundschutz: Ausblick und Diskussion Neues vom IT-Grundschutz: Ausblick und Diskussion Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2014

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

Biotech-Forum: IT-Sicherheit für Biotechs

Biotech-Forum: IT-Sicherheit für Biotechs Biotech-Forum: IT-Sicherheit für Biotechs IT-Sicherheit systematisch und handhabbar Holger Kurrek Fraunhofer ISST Abteilung Sichere Business IT-Infrastrukturen Arbeitsgruppe IT-Sicherheit Berlin, 25. Oktober

Mehr

Patchmanagement. Jochen Schlichting jochen.schlichting@secorvo.de. Jochen Schlichting 15.-17.11.2011

Patchmanagement. Jochen Schlichting jochen.schlichting@secorvo.de. Jochen Schlichting 15.-17.11.2011 IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzungen jochen.schlichting@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1 Inhalt

Mehr

Kurzpräsentation zum Thema Vulnerability Scanning. by WellComm AG, Lengnau Seite 1

Kurzpräsentation zum Thema Vulnerability Scanning. by WellComm AG, Lengnau Seite 1 Kurzpräsentation zum Thema Vulnerability Scanning by WellComm AG, Lengnau Seite 1 Januar 2005 IT Risk Management Prozess Prozessschritt 1. Informationsbeschaffung 2. Analyse 3. Umsetzung 4. Kontrolle Modul

Mehr

Modernisierung des IT-Grundschutzes

Modernisierung des IT-Grundschutzes Modernisierung des IT-Grundschutzes Isabel Münch Referatsleiterin Allianz für Cyber-Sicherheit, Penetrationszentrum und IS-Revision Bundesamt für Sicherheit in der Informationstechnik netzdialog 2014 06.11.2014

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Berater-Profil 3079. OOA, OOD, OOP Paralleles und verteiltes Rechnen C/S-Systeme und Internetanwendungen. EDV-Erfahrung seit 1991

Berater-Profil 3079. OOA, OOD, OOP Paralleles und verteiltes Rechnen C/S-Systeme und Internetanwendungen. EDV-Erfahrung seit 1991 Berater-Profil 3079 OOA, OOD, OOP Paralleles und verteiltes Rechnen C/S-Systeme und Internetanwendungen Ausbildung Dipl.-Inform. (Technische Informatik, Universität Tübingen), Dr. rer. nat. (Technische

Mehr

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

Compliance und IT-Sicherheit

Compliance und IT-Sicherheit Compliance und IT-Sicherheit Isabel Münch Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Agenda Das BSI Compliance-Anforderungen und IT-Sicherheit Risikomanagement

Mehr

Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform. durch die Prüfstelle. greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg

Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform. durch die Prüfstelle. greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform durch die Prüfstelle greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg Dokumententitel: Erteilung des Datenschutz-Siegels Datenschutzkonform

Mehr

Städtisches Klinikum Braunschweig GmbH. Zertifizierung InterSystems Ensemble nach ISO 27001 auf Basis von IT-Grundschutz

Städtisches Klinikum Braunschweig GmbH. Zertifizierung InterSystems Ensemble nach ISO 27001 auf Basis von IT-Grundschutz Städtisches Klinikum Braunschweig GmbH Zertifizierung InterSystems Ensemble nach ISO 27001 auf Basis von IT-Grundschutz InterSystems Symposium 2015 Ensemble/Healthshare Enduser Meeting Vortsellung des

Mehr

Ihr Weg zu mehr Sicherheit

Ihr Weg zu mehr Sicherheit Ihr Weg zu mehr Sicherheit IT-Sicherheitsproblem Für IT-Sicherheit wird nicht genug getan, denn... Zwei von fünf Firmen sind pleite, wenn sie ihre Daten verlieren (CIO, 11/2001) Jährliche Steigerungsraten

Mehr

Neues vom IT-Grundschutzhandbuch

Neues vom IT-Grundschutzhandbuch Neues vom IT-Grundschutzhandbuch Angelika Jaschob Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik Überblick Das IT-Grundschutzhandbuch Der Web-Kurs - als Einstieg in den IT-Grundschutz

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

TimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München

TimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München Time CGI Version 1.5 Stand 04.12.2013 TimeMachine Dokument: time.odt Berger EDV Service Tulbeckstr. 33 80339 München Fon +49 89 13945642 Mail rb@bergertime.de Versionsangaben Autor Version Datum Kommentar

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

3.5 IT Security Coordinator (IT-Sicherheitskoordinator/in)

3.5 IT Security Coordinator (IT-Sicherheitskoordinator/in) 3.5 IT Security Coordinator (IT-Sicherheitskoordinator/in) 3.5.1 Kurzbeschreibung IT Security Coordinators konzipieren angemessene IT Sicherheitslösungen entsprechend geltender technischer Standards, Gesetze

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit Informationssicherheitsmanagement BSI- Grundschutz in der Praxis Informationssicherheit nach BSI-Grundschutz und ISO 27001 im Praxisvergleich Cyber Akademie

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH /

Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH / Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH Pallas stellt sich vor Wir sind ein MSSP: Managed Security

Mehr

LEISTUNGSBESCHREIBUNG

LEISTUNGSBESCHREIBUNG Auditierung eines IT-Sicherheitsmanagement Systems Human Internet CONSULT AG Kirchschlager Weg 8 71711 Murr Version: 1.0 Datum: 2006 Seiten: 8 INHALTSVERZEICHNIS 1 AUSGANGSSITUATION...3 2 AUDITIERUNG EINES

Mehr

Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz Prüfschema für ISO 27001-Audits

Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz Prüfschema für ISO 27001-Audits Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz Prüfschema für ISO 27001-Audits Stand: 1. Februar 2006 Herausgeber Bundesamt für Sicherheit in der Informationstechnik Redaktion: mailto:

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

Informationssicherheit und Zertifizierung in der Praxis. NÜRNBERGER Versicherungsgruppe

Informationssicherheit und Zertifizierung in der Praxis. NÜRNBERGER Versicherungsgruppe NÜRNBERGER Versicherungsgruppe 1 Agenda Die NÜRNBERGER Einstieg in das Thema IT-Grundschutz Projekt ISO 27001-Zertifizierung auf Basis von IT-Grundschutz Resümee Ausblick 2 Agenda Die NÜRNBERGER Einstieg

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 6. Übung im SoSe 2013: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 6. Übung im SoSe 2013: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 6. Übung im SoSe 2013: Konzepte zur IT-Sicherheit Aufgabe: 6.1 Aufgaben des IT-Sicherheitsbeauftragten Ein Unternehmen möchte einen IT-Sicherheitsbeauftragten einsetzen.

Mehr

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010 IT-Sicherheit Abteilung IT/2 Informationstechnologie Dr. Robert Kristöfl 1 3. Dezember 2010 Begriffsdefinitionen Safety / Funktionssicherheit: stellt sicher, dass sich ein IT-System konform zur erwarteten

Mehr

Informationssicherheits-, Risiko- und Compliance-Management

Informationssicherheits-, Risiko- und Compliance-Management Informationssicherheits-, Risiko- und Compliance-Management Professionelles Informationssicherheits-, Risiko- und Compliance-Management ISO 27001, Risiko- und Compliance-Management, Prozesse, Policies,

Mehr

(IT-SICHERHEITSGRUNDSÄTZE)

(IT-SICHERHEITSGRUNDSÄTZE) Senatsverwaltung für Inneres und Sport 1 GRUNDSÄTZE ZUR GEWÄHRLEISTUNG DER NOTWENDIGEN SICHERHEIT BEIM IT-EINSATZ IN DER BERLINER VERWALTUNG (IT-SICHERHEITSGRUNDSÄTZE) (beschlossen vom Senat am 11.12.07)

Mehr

Security Audits. Ihre IT beim TÜV

Security Audits. Ihre IT beim TÜV Security Audits Ihre IT beim TÜV Thinking Objects GmbH Leistungsstark. Sicher. Nachhaltig. Gegründet 1994 inhabergeführt Hauptsitz Stuttgart Kompetenter IT-Dienstleister und Systemintegrator Schwerpunkte:

Mehr

Managed VPSv3 Was ist neu?

Managed VPSv3 Was ist neu? Managed VPSv3 Was ist neu? Copyright 2006 VERIO Europe Seite 1 1 EINFÜHRUNG 3 1.1 Inhalt 3 2 WAS IST NEU? 4 2.1 Speicherplatz 4 2.2 Betriebssystem 4 2.3 Dateisystem 4 2.4 Wichtige Services 5 2.5 Programme

Mehr

Sicherheit entsprechend den BSI-Standards

Sicherheit entsprechend den BSI-Standards Sicherheit entsprechend den s Planungsunterstützung durch Open Source 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze Agenda 54. GMDS-Jahrestagung Essen, 2009-09-09 1. 2. Material / Methode

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

BSI-Standard 100-3 Risikoanalyse auf der Basis von IT-Grundschutz. Version 2.0

BSI-Standard 100-3 Risikoanalyse auf der Basis von IT-Grundschutz. Version 2.0 BSI-Standard 100-3 Risikoanalyse auf der Basis von IT-Grundschutz Version 2.0 Inhaltsverzeichnis 1 Einleitung 3 1.1 Versionshistorie 3 1.2 Zielsetzung 3 1.3 Adressatenkreis 4 1.4 Anwendungsweise 4 1.5

Mehr

Berufsakademie Gera Themen für die Projektarbeit

Berufsakademie Gera Themen für die Projektarbeit Berufsakademie Gera Themen für die Projektarbeit Themenvorschlag 1: Passen Sie die vom BSI vorgegebenen Definitionen der Schutzbedarfskategorien an Ihre Behörde/Ihr Unternehmen an. Beschreiben Sie Ihre

Mehr

BSI Grundschutz beim Brandenburgischen IT-Dienstleister. Bernd Birkholz Telefon: 0331-39567 E-Mail: bernd.birkholz@zit-bb.brandenburg.

BSI Grundschutz beim Brandenburgischen IT-Dienstleister. Bernd Birkholz Telefon: 0331-39567 E-Mail: bernd.birkholz@zit-bb.brandenburg. BSI Grundschutz beim Brandenburgischen IT-Dienstleister Telefon: 0331-39567 E-Mail: bernd.birkholz@zit-bb.brandenburg.de Gründung des Brandenburgischen IT-Dienstleisters zum 1.1.2009 Errichtungserlass

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

Willkommen zum Livehacking

Willkommen zum Livehacking Willkommen zum Livehacking bei der Deutschen Bank Berlin mit Unterstützung des BVMW 23.10.2012 Da nachgefragt wurde: Ja! Antago steht Ihnen gerne mit Rat und Tat rund um Ihre Informationssicherheit zur

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

SerNet. verinice. ISMS in der Praxis umsetzen. Alexander Koderman, CISA SerNet GmbH. Seite 1 / 2009 SerNet GmbH

SerNet. verinice. ISMS in der Praxis umsetzen. Alexander Koderman, CISA SerNet GmbH. Seite 1 / 2009 SerNet GmbH verinice. ISMS in der Praxis umsetzen Alexander Koderman, CISA SerNet GmbH Seite 1 / 2009 SerNet GmbH SerNet GmbH gegründet 1997 Büros in Göttingen, Berlin, Nürnberg, Menlo Park Informationssicherheit

Mehr

Installation SuperWebMailer

Installation SuperWebMailer Installation SuperWebMailer Die Installation von SuperWebMailer ist einfach gestaltet. Es müssen zuerst per FTP alle Dateien auf die eigene Webpräsenz/Server übertragen werden, danach ist das Script install.php

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

Effizientes Sicherheits-Management von Endbenutzergeräten

Effizientes Sicherheits-Management von Endbenutzergeräten Effizientes Sicherheits-Management von Endbenutzergeräten Kammerstetter Bernhard Client Technical Professional IBM Tivoli http://www-01.ibm.com/software/tivoli/solutions/endpoint/ Bernhard_Kammerstetter@at.ibm.com

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz. Prüfschema für ISO 27001-Audits

Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz. Prüfschema für ISO 27001-Audits Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz Prüfschema für ISO 27001-Audits Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 228 99 9582-111

Mehr

Leitlinie zur Gewährleistung der IT-Sicherheit in der Landesverwaltung Brandenburg (IT- Sicherheitsleitlinie)

Leitlinie zur Gewährleistung der IT-Sicherheit in der Landesverwaltung Brandenburg (IT- Sicherheitsleitlinie) Leitlinie zur Gewährleistung der IT-Sicherheit in der Landesverwaltung Brandenburg (IT- Sicherheitsleitlinie) Runderlass der Landesregierung Az.: 653/07 Vom 2. Oktober 2007 0. Präambel Für die Staatskanzlei,

Mehr

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt Vorlesung im Sommersemester 2011 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche

Mehr

IT-Grundschutz-Zertifizierung einer Cloud-Umgebung. Projektbericht. 3. IT-Grundschutz-Tag 2013 Berlin, 12. September

IT-Grundschutz-Zertifizierung einer Cloud-Umgebung. Projektbericht. 3. IT-Grundschutz-Tag 2013 Berlin, 12. September IT-Grundschutz-Zertifizierung einer Cloud-Umgebung Projektbericht 3. IT-Grundschutz-Tag 2013 Berlin, 12. September Michael Schmidt-Plankemann, LL.M. activemind AG 1 Agenda Kurzvorstellung activemind AG

Mehr

Sicheres Cloud Computing

Sicheres Cloud Computing Sicheres Cloud Computing für die öffentliche Verwaltung mit der Private Cloud praktische Erfahrungen BSI Grundschutztag am 26.6.2014 IT-Dienstleistungszentrum Berlin Dipl.-Ing. Karsten Pirschel Moderne

Mehr

Trusted Network Connect. Networking Academy Day 19.04.2008

Trusted Network Connect. Networking Academy Day 19.04.2008 Trusted Network Connect Networking Academy Day 19.04.2008 Dipl.-Inf. Stephan Gitz Roadmap Ziele der Informationssicherheit Herausforderungen der Informationssicherheit Angriffsvektoren

Mehr

Installation/Update und Konfiguration des Renderservice (v1.7.0)

Installation/Update und Konfiguration des Renderservice (v1.7.0) Installation/Update und Konfiguration des Renderservice (v1.7.0) [edu- sharing Team] [Dieses Dokument beschreibt die Installation und Konfiguration des Renderservice.] edu- sharing / metaventis GmbH Postfach

Mehr

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Wozu IT-Notfallvorsorge? S k Schaden, der zum Konkurs des Unternehmens führt PENG! S limit vom Unternehmen

Mehr

Michael Bösch. EDV-Consulting. Dipl. Informatiker (FH)

Michael Bösch. EDV-Consulting. Dipl. Informatiker (FH) Michael Bösch Dipl. Informatiker (FH) EDV-Consulting Äußeres Pfaffengäßchen 11B 86152 Augsburg Deutschland Tel.: +49-821-4206523 Fax: +49-821-4206524 Mobil: +49-172-8628736 E-Mail: boesch@boesch-it.de

Mehr

Designprinzipien sicherer Systeme

Designprinzipien sicherer Systeme Designprinzipien sicherer Systeme Defense in Depth, Least Privilege, Design for Evil, Attack Surface Reduction, Security through Diversity, Dr. Peer Wichmann IT-Sicherheitsbeauftragter WIBU-SYSTEMS AG

Mehr

IT Best Practice Rules

IT Best Practice Rules Informatikdienste Direktion Reto Gutmann IT Best Practice Rules Versionskontrolle Version Historie / Status Datum Autor/in URL 1.0 Initial Version 27.08.2013 Autorengemeinschaft ID - nur für internen Gebrauch

Mehr

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Prof. Dr. Bernhard Stütz Leiter Real-World-Labs an der Fachhochschule Stralsund Prof. Dr. Bernhard Stütz Security 1 Übersicht

Mehr

Sicherheit in Netzen. Evaluierung des Schwachstellen-Scanners

Sicherheit in Netzen. Evaluierung des Schwachstellen-Scanners Sicherheit in Netzen Evaluierung des Schwachstellen-Scanners Murat Firat Master of Science in CS, WS 04/05 des Vortrages Ziel-Festlegung von Schwachstellen-Scanner Demonstration im Labor Murat Firat Seite

Mehr

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009 Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen IT Profis Berlin, 24.06.2009 Leistungsspektrum Trigonum GmbH Geschäftsprozess- und Organisationsmanagement Erfolgreich Prozesse und

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

Track 1: BYOD Do s and Dont s für KMU. Mark Semmler, Antago GmbH Stefan Rüeger, Studerus AG

Track 1: BYOD Do s and Dont s für KMU. Mark Semmler, Antago GmbH Stefan Rüeger, Studerus AG Track 1: BYOD Do s and Dont s für KMU Mark Semmler, Antago GmbH Stefan Rüeger, Studerus AG Agenda Überblick WLAN: MultiSSID und VLAN WLAN: 802.1x-User-Authentication WLAN: L2TP-VPN Wired-LAN: Port-Security

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz 3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz Institut für Informatik und Automation Dipl.-Inf. Günther Diederich Institut für Informatik und Automation In-Institut der Hochschule

Mehr

Einsatz und Umsetzung von Security Policies

Einsatz und Umsetzung von Security Policies Einsatz und Umsetzung von Security Policies Detlev Henze Geschäftsführer TÜV Secure it IT Security Day 2004 27. Mai 2004, München Inhalt TÜV Secure it Gemanagte IT-Security als Erfolgsfaktor für Unternehmen

Mehr

Konfiguration Zentyal 3.3 Inhaltsverzeichnis

Konfiguration Zentyal 3.3 Inhaltsverzeichnis Konfiguration Zentyal 3.3 Inhaltsverzeichnis Installation... 2 Grundkomponenten... 5 Grundkonfiguration... 6 Netzwerk... 6 Domain... 7 Updates installieren... 8 DNS konfigurieren... 10 Anpassungen in DNS

Mehr

Security Engineering

Security Engineering IT-Sicherheit: Security Engineering, Sicherheitsmanagement Security Engineering! Evaluation gemäß Sicherheitskriterien setzt fertiges IT-Produkt voraus! Wie erhält man die geeigneten Sicherheitsmechanismen

Mehr

PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet

PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet Dr.-Ing. Patrick Theobald, usd.de ag 2. Darmstädter Informationsrechtstag 23. Juni 2006 Vorstellung Dr.-Ing. Patrick Theobald Vorstand usd.de

Mehr

Risikomanagement. Nationale / Internationale Methoden. Herbert.Leitold@a-sit.at. Zentrum für sichere Informationstechnologie - Austria

Risikomanagement. Nationale / Internationale Methoden. Herbert.Leitold@a-sit.at. Zentrum für sichere Informationstechnologie - Austria Risikomanagement Nationale / Internationale Methoden Herbert.Leitold@a-sit.at Zentrum für sichere Informationstechnologie - Austria Inhalte Einleitung Vorgaben des Rates zu klassifizierten Informationen

Mehr