extra Harmonischer Dreier Security Die Folgen eines unzulänglichen Compliance und Risk Management Werk - zeuge und Anbieter Veranstaltungen

Größe: px
Ab Seite anzeigen:

Download "extra Harmonischer Dreier Security Die Folgen eines unzulänglichen Compliance und Risk Management Werk - zeuge und Anbieter Veranstaltungen"

Transkript

1 sponsored by: Ein Verlagsbeihefter der Heise Zeitschriften Verlag GmbH & Co. KG extra Security Compliance und Risk Management Werk - zeuge und Anbieter Ressourcen, Regeln und Risiken in Einklang bringen Harmonischer Dreier Seite I Security Harmonischer Dreier Ressourcen, Regeln und Risiken in Einklang bringen Das Dreigespann Governance, Risk Management und Compliance (GRC) erlebt seit der Wirtschaftskrise einen Aufschwung, und wie bei allen jüngeren Trends schmücken sich auch hier zahllose Angebote mit diesem Akronym. Der Beitrag stellt die Kernelemente für diesen Aufgabenbereich sowie eine Vorgehensweise als Leitfaden vor. Sicherheitsprozesse und -abläufe aufsetzen Gut gemanagt Sicherheitsinformationen sammeln, verarbeiten und verwalten Zentraler Nachrichtendienst Vorschau Storage Gezielt aufbewahren die Technik aktueller Archivierungs systeme Veranstaltungen 1.ˇ ˇ5. März, Hannover CeBIT 22.ˇ ˇ25. März, Weimar GUUG-Frühjahrsfachgespräch ˇ ˇ12. Mai, Bonn BSI-Kongress: Sicher in die digitale Welt von morgen Seite VI Seite IX Seite XII ix extra Security zum Nachschlagen: Die Folgen eines unzulänglichen oder nicht vorhandenen Risikomanagements sind zumindest aus dem Banken - wesen hinlänglich bekannt. Auch Verstöße gegen das Bundesdatenschutzgesetz oder gegen die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) können Unternehmen teuer zu stehen kommen. Daher ist es nicht verwunderlich, dass die Begriffe Governance, Risk Management und Compliance zusammenfassend GRC immer öfter fallen, wenn es um das gesetzeskonforme und sichere beziehungsweise risikobewusste Management eines Unternehmens geht. Auch wenn der Begriff relativ deutlich umrissene Aufgabenfelder (siehe Kasten) umfasst, gibt es bislang noch keine klare Definition für GRC-Management. Die Softwarehersteller bedienen sich des Akronyms, um darunter mehr oder weniger umfassende Lösungen mit unterschiedlichen Fähigkeiten anzubieten. Die Analysten von Gartner verstehen unter GRC-Management die Automatisierung des Managements, der Messung, Anpassung und des Reportings von Kontrollmechanismen und der Risiken im Einklang mit Regeln, Richtlinien, Standards, Policies und Geschäftsentscheidungen. Bis vor Kurzem setzten viele Unternehmen noch einzelne Anwendungen ein, um damit einer ganz bestimmten Anforderung zu genügen, etwa den Sarbanes-Oxley-Bestimmungen oder branchenspezifischen Regularien. Doch diese eingeschränkte Sicht auf GRC ändere sich gerade, so Gartner, und Unternehmen wollen künftig zusätzliche Aktivitäten wie Audit-Management, IT-Governance, Remediation- und Policy-Management in ihr Vorgehen einbeziehen. Eine sogenannte Enterprise- GRC-Plattform (RGRC) muss gemäß diesen Trends vier Kernfähigkeiten mitbringen. Dazu gehört in erster Linie das Risk Management. Ein solches I

2 Werkzeug unterstützt die Verantwortlichen bei der Dokumentation, dem Einführen und Abarbeiten von Workflows, beim Aufdecken sowie der Analyse, dem Reporting und der Minimierung von Risiken. Neben den Aufgaben des operationalen Risikomanagements kann das Produkt unter Umständen auch Daten aus dedizierten Risiko-Analysewerkzeugen sammeln, um einen Überblick über das unternehmensweite Risk Management zu liefern. Das Risikomanagement ist immer noch der Haupttreiber bei der Entscheidung für GRC. Unerlässliche Kontrollmechanismen Compliance Management, die zweite wichtige Komponente, sollte die für die Thematik Verantwortlichen mit Dokumenta - tion, Workflows und Reporting Governance: bezeichnet eine Reihe von Policies, Prozeduren, Praktiken und organisatorische Strukturen, die auf die strategischen Ziele eines Unternehmens ausgerichtet sind. Dazu gehören auch die Richtlinien für das Aufsetzen und die Nutzung der IT (IT Governance). Ein sinnvolles GRC setzt regelmäßige Aktivitäten und deren Überprüfung voraus. sowie der Visualisierung der Kontrollziele unterstützen. Hinzu kommen die für die Sicherstellung der Compliance benötigten Kontrollmechanismen für die jeweiligen Risiken sowie Möglichkeiten für das Testen und die Mängelbeseitigung. Ein solches Werkzeug muss neben der Compliance im Finanzreporting auch die Einhaltung anderer Richtlinien und Gesetze unterstützen, etwa ISOˇ9000, PCI (Payment Card Industry) oder branchenspe - zifische Regularien, Service Level Agreements und interne Policies. Des Weiteren gehört ein Audit-Management dazu, das die internen Auditoren bei der Verwaltung von Arbeitspapieren unterstützt, aber auch beim Aufsetzen von Audit-bezogenen Aufgaben, dem Zeitmanagement sowie beim Reporting. Und schließlich bildet das Policy-Management die vierte zentrale Funktion von EGRC- Lösungen. Es umfasst eine spezielle Art des Dokumentenmanagements, die den Lebenszyklus von Policies von deren Erstellung, Überarbeitung und Änderung bis zur Archivierung verwalten soll. Die weiteren Aufgaben eines solchen Werkzeugs beinhalten die Zuordnung der Policies einerseits zu den Verantwortlichkeiten sowie Geschäftszielen und andererseits zu Risiken und Kontrollmechanismen, aber auch die Verteilung an Mitarbeiter und Geschäftspartner. Überprüfung der IT inklusive Definition von GRC (Governance, Risk Management, Compliance) Risk Management: leitet sich von den Anforderungen der Governance ab und bezeichnet den Prozess, der gewährleistet, dass wichtige Unternehmensabläufe mit möglichst geringem Risiko und den festgelegten Policies, Prozeduren, Praktiken und organisatorische Strukturen entsprechend funktionieren. Risikomanagement bedeutet ein frühzeitiges Erkennen, Analysieren und Minimieren von Gefahren für den Betrieb. Compliance Management: soll garantieren, dass die Unternehmensabläufe den gültigen Richtlinien und der Gesetzgebung entsprechen. Auch hier spielt die IT eine wesentliche Rolle, denn manche Gesetze wie das Bundesdatenschutzgesetz sind IT-spezifisch oder enthalten IT-relevante Teile, und andere wiederum lassen sich ohne IT-Werkzeuge nicht effizient umsetzen (etwa Auditing- oder Bescheinigungsanforderungen). Quellle: Kuppinger Cole + Partner Viele Anforderungen benötigen bekanntlich IT-Unterstützung. Daher wollen immer mehr Anwender Produkte, mit denen sie zusätzlich auch das Risiko und die Compliance ihrer IT managen können. Sie wollen das Reporting aus der Automatisierung der kontinuierlichen Überwachung der ERP-Anwendungen und anderer Teile ihrer Infrastruktur ebenso in ihre GRC-Plattform einbinden. Dies sind typischerweise Aufgaben des sogenannten IT GRCM, das in erster Linie auf die IT-Verantwortlichen ausgerichtet ist. Kern des IT GRCM sind Policy und Asset Repositories. Des Weiteren gibt es wie bei EGRC ein Basis-Dokumentenmanage - ment, Workflows und Reporting- sowie Dashboard-Funktionen. Alle Funktionen sind jedoch auf die IT-Controls ausgerichtet. Die Werkzeuge erhalten ihren Input aus den IT-Monitoring-Tools, beispielsweise aus dem Vulnerability Assessment, Konfigurations-Auditing, dem Identitäts- und Zugriffs - management oder dem Security Information und Event Monitoring. Für Martin Kuppinger von Kuppinger Cole + Partner ist eine der zentralen Forderungen an ein IT-GRC-Tool die Unterstützung von mehr als einem Compliance-Regelwerk und jeder Art von IT-System. Er erkennt hier einen Trend zu integrierten Lösungen, die sich des Weiteren mit spezialisierten Werkzeugen etwa für Fraud Detection oder Intrusion Detection auf Netzwerkebene kombinieren lassen. In einer GRC-Plattform darf nach Ansicht des Marktforschers ein IAM-be - zogenes (Identity Access Management) GRC-Tool nicht fehlen. Es muss sechs Kernfunktionen mitbringen: Analyse, Bescheinigung (Attestation), Authorization Management, Risk Management, Rollen - management sowie SoD- Verwaltung (Segregation of Duties). Der Analyse bedarf es, um die riesige Datenmenge aus den verschiedenen Systemen zu verwalten. Die Einträge in Audit-Logs, Echtzeitdaten und weitere muss ein solches System normalisieren und analy- II ix extra 3/2011

3 Langzeit-Archivierung im grünen Bereich Die patentierte Content-Archiv-Software icas ermöglicht es Unternehmen weltweit vorhandene, heterogene IT- icas Archive schonen IT-Budgets. Mit icas: Ohne icas: HP & icas: Archive für die Zukunft CeBIT Halle 3 Stand D34

4 sieren. Zudem hat ein GRC- System in der Lage zu sein, regelmäßig die Rechte- und Privilegienzuordnungen sowie weitere Settings zu überprüfen, und dies auf mehreren Ebenen. Denn, so Kuppinger, es reicht nicht aus, dass lediglich die Korrektheit der Zuordnung von Nutzern zu Geschäftsrollen bescheinigt wird. Darüber hinaus hat beispielsweise auch die Zuordnung dieser Geschäftsrollen zu Systemrollen oder Gruppen zu stimmen. Geregelter Zugriff auf allen Ebenen Während die sogenannte Attestierung einen Ansatz zu regelmäßigen Überprüfungen bietet, ist die Autorisierung ein Konzept der konsistenten, stetigen Verwaltung von Zugriffsrechten. Das Autorisierungsmanagement beginnt auf Geschäftsebene und reicht hinunter bis auf die verschiedenen IT-Systeme. Ein Kernelement dieser Funktion sind SoD-Regel - mechanismen, die miteinander in Widerspruch stehende Rechte etwa in ERP-Systemen beschreiben und die Konflikte auflösen. Diese Regeln lassen sich auf jeder Ebene definieren, und das GRC-Werkzeug sollte sie unterstützen sowie mit den SoD-Konflikten im Kontext der beschriebenen Risiken umgehen können. Die Aufgaben im IT-Risikomanagement unterscheiden sich nach Ansicht des Analysten nicht von denen des allgemeinen Risikomanagements. Darüber hinaus geht er davon ANBIETER VON GRC-PLATTFORMEN aus, dass die Plattformen mit einem einheitlichen Ansatz für die Verwaltung der Geschäftsrichtlinien ausgestattet werden. Damit soll es dann möglich sein, Business-Regeln zu beschreiben und diese den IT-Policies und -Einstellungen zuzuordnen. Die meisten heutigen Tools unterstützen einige Policy-Funktionen. Weitere Aspekte, die Kuppinger für GRC als zentral erachtet, sind SIEM (Security Information and Event Management) sowie ITSM (IT Service Management). Einen anderen Ansatz versucht auch das Analystenhaus Kuppinger Cole zu verwirklichen: Eine Referenzarchitektur soll den Begriff GRC klären, indem festgelegt ist, was ein entsprechendes Framework enthalten muss und wie die Hersteller Produkt Website Aline Aline GRC ARC Logics Axentis, TeamMate, Sword cchteammate.com BPS Resolver BPS Resolver BWise BWise Compliance 360 Compliance 360 Computer Associates GRC Manager Cura Technologies Cura DB3 HiScout GRC Suite Double Check GRC&Audit Platform EMC RSA Archer egrc Solutions Ibi Research iris IBM GRC (OpenPages) List Group GRC Evolution LogicManager LogicManager Mega Mega Suite governance-risk-compliance Methodware Enterprise Risk Assessor MetricStream GRC Oracle Fusion GRC Paisley Enterprise GRC Protiviti Governance Portal SAP Businessobjects GRC businessobjects/large/governance-riskcompliance/index.epx SAS Enterprise GRC Software AG GRC overview/default.asp Strategic Thought ARM management.html Die Übersicht erhebt keinen Anspruch auf Vollständigkeit. verschiedenen Teile miteinander interagieren. Vier Phasen sollen ein solches Framework bestimmen (s. Abb.): ˇDie Modellierung der Anforderungen (Analysieren, Entscheiden und Übertragen der Compliance-Anforderungen aus unterschiedlichen Quellen auf die interne Control-Umgebung), ˇdie Statusuntersuchung (Zusammenführen verschiedener Arten von Informationen zu einem kohärenten Status der Compliance aufgrund der in der ersten Phase definierten Anforderungen), ˇVerbesserungsaktivitäten (eine Reihe von Projekten, die zur Verbesserung der Com - pliance führen sollen) ˇsowie das Krisen- und Vorfallsmanagement (vorbereitende Aktivitäten und Prozesse, die eine Organisation in die Lage versetzen, im Notfall adäquat zu reagieren). Die ersten drei Schritte sind regelmäßig zu wiederholen, während der letzte Schritt nur bei Bedarf auszuführen ist. Dem Framework muss ein Risiko-Datenmodell zugrunde liegen, in dem die betroffenen Einheiten modelliert sind. Das bedeutet, das Unternehmen muss erst die Assets und involvierten Geschäftsprozesse bestimmen und bewerten, auf die sich die GRC-Aktivitäten beziehen. Dann sollten die Verantwortlichen die Einflüsse, sprich Gefahren, und die Wahrscheinlichkeit des Eintreffens untersuchen, um schließlich verschiedene Gefahren in Gruppen zusammenfassen zu können und ihnen Kontollmechanismen zuordnen zu können. Ein solch einheitliches Modell ist laut Kuppinger Cole in der Lage, alle verschiedenen Facetten der GRC-Thematik abzudecken: Betrugserkennung, Finanzreporting, gesetzliche Compliance, unternehmensweite Sicherheit sowie Governance. (ur) Susanne Franke ist freie IT-Fachautorin in München. IV ix extra 3/2011

5 Anzeige Web 2.0 und The Ring of Fire Web 2.0 verspricht noch mehr Freiheit und Mobilität im Netz, allerdings heisst das auch, dass Netzwerke häufigeren Angriffen ausgesetzt sind. Dabei wird unter dem Begriff Web 2.0 keine grundlegend neue Art von Technologien oder Anwendungen verstanden, es handelt sich einzig um eine veränderte Nutzung des Internets durch den User. Das Web wird hier nicht mehr nur zur Verbreitung von Informationen instrumentalisiert, sondern die interaktive Beteiligung der Nutzer und die Generierung von Zusatznutzen stehen im Vordergrund auch für Unternehmen. Hier kann sich praktisch jeder frei bewegen, Anwendungen nutzen, Dateien bewegen etc. diese neue Freiheit bedeutet gleichzeitig auch neue Gefahren und Bedrohungen. Hier sollte also ein Ring of Fire errichtet werden, der Netzwerke von Unternehmen, die das Web 2.0 brauchen und nutzen, schützen. Man mag es kaum für möglich halten, aber das Instrumentarium dafür gibt es schon fast so lange wie das Internet selbst: man schützt sich mit einer Firewall. Die ersten Firewalls waren auf die Kontrolle von Ports, Protokolle und IP- Adressen beschränkt. Das reicht für die heutige Bedrohungslage längst nicht mehr aus, sie erfordert eine unmittel - bare Transparenz, die über Ports und Protokolle hinausgeht und Web-Anwendungen und Nutzer einschließt. Die Firewalls der heutigen Zeit müssen in der Lage sein, ein Risiko präventiv einzuschätzen. Mit Einsatz des Web 2.0 wird auch der Einsatz einer Firewall der nächsten Generation notwendig. Eine schnellerer Rhythmus... Ein Einblick in Protokolle und Ports und die Prüfung des auch verschlüsselten Datenverkehrs ist notwendig um zu kontrollieren, was wirklich vorgeht und wer welche Anwendungen nutzt. Nur so können unternehmensgerechte Regeln festgelegt werden für ein- und ausgehende Aktivitäten auf Anwenderebene. Da eine solche Kontrolle auf verschiedenen Ebenen stattfinden muß, kommen auch unterschiedliche Schutzmaßnahmen zum Einsatz. Eine Next-Generation-Firewall konsolidiert Sicherheitsdienste wie Intrusion Prevention, Malware- und Spyware-Schutz und URL-Filterung ohne zusätzliche Kosten oder erhöhten Integrationsaufwand. Die Regeln, die für diese Maßnahmen festgelegt werden, sollten in einem Fenster angezeigt werden, damit mögliche Konflikte und Überschneidungen geprüft und verhindert werden können. Einmal erstellte Regeln, die auch nach langer Zeit noch Gültigkeit haben können, müssen in einer veränderten Bedrohungslage migriert und integriert werden können, ohne viel Zeit darauf zu verwenden. Weil Internetkriminelle in mehrstufige Bedrohungen investieren, die auch unterschiedliche Angriffswege nutzen, reicht ein signaturbasierter Schutz nicht mehr aus. Eine Firewall muß also in der Lage sein, ein Risiko aufgrund von Verhalten, Reputation, Absender- und Empfängeradresse und des Inhalts zu bewerten. Das ganze soll möglichst in Echtzeit erfolgen. Oft sind Unternehmen physisch über mehrere Niederlassungen verteilt, die auch geschützt werden müssen. Es bietet sich also an, dass die in den Zweigstellen verteilten Firewalls über eine zentrale Stelle verwaltet werden, damit die gleichen Regeln überall angewendet werden.... für den Ring of Fire Die neue McAfee Firewall Enterprise vereint drei Innovationen zu einem Schutz: die Kombination von Transparenz, Steuerung von Anwendungen mit reputationsbasierter Bedrohungsintelligenz und Schutz vor vielseitigen Angriffen. Die Transparenz wird erreicht durch den Firewall Profiler, der alle Datenströme und Anwendungen erkennt, die gerade im Einsatz sind. So werden mögliche Risiken erkannt, und Richtlinien können schnell angepasst werden. Diese Richtlinien sind benutzerbezogen, d.h. Zugangsrechte können geprüft werden, sobald ein Nutzer eine Verbindung herstellt. Eine integrierte Anwendungssteuerung ermöglicht die Anpassung der Benutzerrechte innerhalb einer Anwendung. Die McAfee Firewall Enterprise bietet jedoch auch die Möglichkeit, nur festgelegte Nutzungszeiten zu gewähren oder Anwendungen komplett zu blockieren. Auch Whitelistings können erstellt werden, die lediglich Daten bestimmter Anwendungen zulassen. Die Verwaltung von Risiken muss durch die Verwaltung von Regeln ersetzt werden. Die McAfee Firewall ermöglicht das schnelle und problemlose Hinzufügen neuer Anwendungen. Durch die Zuweisung dynamischer Reputationsdaten zu Webseiten, Absendern und Standorten wird eine Blockierung von ca. 70 % aller unterwünschten Daten erreicht, bevor diese ins Netz gelangen. McAfee Firewall Enterprise verfügt außerdem über eine intuitive Verwaltungskonsole, über die an nur einem Bildschirm Regeln erstellt und Verteidigungsmaßnahmen bereitgestellt werden können. Neue Updates der Soft - ware werden automatisch über das Internet ausgebracht. Mit der neuen Generation der Firewalls wie McAfee Firewall Enterprise können die Gefahren, die durch die Nutzung von Web 2.0 entstehen, auf ein Minimum reduziert werden. Das geschieht ohne großen Aufwand und mit überschaubaren Kosten. Ein praktisch undurchdringlicher Ring of Fire kann also ohne große Probleme kreiert werden. Besuchen Sie uns auf der CeBIT 2011 in Halle 11, Stand D11. Erfahren Sie auf unserem McAfee-Forum am Dienstagvormittag, den 01. März und am Donnerstagnachmittag, den 03. März mehr über die McAfee Netzwerksicherheitslösungen der nächsten Generation.

6 Gut gemanagt Sicherheitsprozesse und -abläufe aufsetzen Um Sicherheitsbedrohungen angemessen zu begegnen, müssen die Verantwortlichen alle am Schutz beteiligten Hardware- und Software-Instanzen auf dem aktuellen Stand halten. Damit das funktioniert, ist es wichtig, für das Sicherheitsmanagement einen Ablaufprozess aufzusetzen. Nicht vergessen darf man dabei aber die Praxis, wenn etwa Sicherheits-Patches so schnell wie möglich eingespielt werden müssen. Das Sicherheits- und das Risikomanagement gelten gemeinhin als Spielwiese für Spezialisten in großen Unternehmen. Dabei demonstriert schon ein banales Alltagsbeispiel ganz eindringlich, wie sinnvoll eine Auseinandersetzung mit der Materie für jeden Anwendungsfall sein kann. Wer als Nutzer eine Personal Firewall sowie ein Anti-Virus- und Anti-Spam-Programm auf seinem Rechner installiert hat, kann ein Lied davon singen: Es ist beliebig kompliziert, Firewall, Schutzprogramm und die Patches des Betriebssystems so aufeinander einzustellen, dass alles reibungslos funk - tioniert. Im ungünstigen Fall etwa blockiert die Firewall den Durchlass eines Viren-Signatur- Updates vielleicht, weil sich seit dem letzten OS-Patch irgendwo eine vermeintlich belanglose Registry-Einstellung geändert hat. Dies schickt das Anti-Viren-Programm beim Start in eine Endloswarteschleife und der Rechner stellt jede weitere Kommunikation mit seinem Benutzer ein. In einer Zeit, in der sich die meisten Unternehmen in ihren Geschäftsabläufen auf ihre IT- Infrastruktur und Softwareanwendungen verlassen müssen, ist deren einwandfreie Funk - tionsfähigkeit eine überlebensnotwendige Bedingung. Doch Grafische Oberflächen und prozessorientierte Benutzerführung unterstützen die Verwaltung komplexer Firewall-Landschaften. Quelle: Gateprotect Malware, Viren oder Trojaner, aber auch Softwarefehler können die für Firmen kritischen Anforderungen an die Verfügbarkeit, Performance, Daten - integrität und -sicherheit untergraben. Die Folgen eines Angriffs durch Hacker oder Malware können finanzieller und rechtlicher Natur sein und zusätzlich den guten Ruf der Organisation schädigen. Realistisch betrachtet steckt dahinter allerdings eine vielfach komplexere Aufgabe, als die wenigen Teile des Softwarekonglomerats aus dem Eingangsbeispiel aufeinander abzustimmen. Ideal und Wirklichkeit Um den genannten Bedrohungen angemessen zu begegnen, ist es nötig, alle am Schutz beteiligten Hard- und Softwareinstanzen aktuell zu halten. In einer idealen Welt verfügen Unternehmen dazu über einen exakt definierten Ablaufplan, der in das Risikomanagement integriert ist und auf einen realistischen Bestand wirkt, den das Asset-Management beliebig genau bestimmen kann. Bevor Patches und Updates auf die Geräte der Produktivumgebung gespielt werden, kümmert sich ein extra dafür eingeteiltes Team von Experten darum, ob es Inkompatibilitäten mit den unternehmenseigenen Ressourcen oder unter den Patches selbst gibt. Solche Unzulänglichkeiten gibt es jedoch immer noch in der idealen Welt fast nie, weil alle Hard- und Softwarehersteller ihre Updates und Patches nur hinreichend getestet und sorgfältig auf - einander abgestimmt veröffentlichen. Die Wirklichkeit sieht im weitaus größten Teil aller Unternehmen jedoch ganz anders aus. Dort sind viele Adminis - tratoren und Verantwortliche ohnehin über ihre Kapazität hinaus belastet. Für langwierige Kompatibilitätstests nebst zugehöriger Recherche, welcher Patch oder Bugfix gerade jetzt notwendig ist, bleibt in der Praxis fast nie Zeit zumal, wenn das Aufspielen wegen einer akuten Gefahr schnell erfolgen muss. Situationsverschärfend kommt hinzu, dass eine unternehmensumspannende Managementlösung nur selten ganz oben in der Bewilligungsliste der IT-Budgets zu finden ist. Das vordergründige Argument: Sicherheitsmanagement hat für die Geschäftsprozesse eine untergeordnete Bedeutung. Dennoch hat das Szenario der idealen Welt mehr als nur akademischen Wert. Selbst wenn der zur Verfügung stehende finanzielle Rahmen klein ist, die Teams lediglich aus einem einzigen Administrator bestehen dürfen und der Alltagsstress kaum Zeit lässt, es rentiert sich in jedem Fall, das Security-Management als geordneten Prozess aufzusetzen. Hilfreich kann es sein, sich an der Norm ISO/IEC (ehemals ISO/IEC 17799) zu orientieren, die inhaltlich auf dem British Standard Nr. 7799, Teil 1 (BS :1999) aufbaut (siehe Kasten). Sie enthält zum Beispiel die Beschreibung diverser Kontrollmechanismen. Den deutschen Anteil an der internationalen Normungsarbeit des ISO/IEC JTC 1/SC 27 Information Technology Security Techniques trägt die Gruppe DIN NIA IT-Sicherheitsverfahren. Hilfestellung durch Normen Nach der Überarbeitung der ISO/IEC 17799:2000 kamen jeweils neue Hauptkategorien und Sicherheitsmaßnahmen hinzu, außerdem definierten die Beteiligten einen neuen Überwachungsbereich (Information Security Incident Management Umgang mit Sicherheitsvorfällen). Als Grundlage für die Standardisierung gilt dabei eine Sammlung von Erfahrungen, VI ix extra 3/2011

7 ESET-Virenschutz für die gesamte Firmen-IT Damit Ihr Unternehmen kein Pflegefall wird

8 Verfahren und Methoden aus der Praxis (ähnlich ITIL), um einen Best-Practice-Ansatz zu erreichen. Eine Zertifizierung nach ISO/IEC ist allerdings grundsätzlich nicht machbar, da es sich bei der Norm um eine Sammlung von Vorschlägen und nicht For derungen handelt. Will ein Unternehmen ein Informationssicherheits-Management-System zertifizieren lassen, ist dies nur über die Erfüllung der Anforderungen nach ISO/IEC möglich. Welche Bereiche einer normgerechten Her - angehensweise unterliegen, zeigt der Kasten auf dieser Seite. Eine der wichtigsten Erkenntnisse: Der Einsatz eines Software-Tools allein löst noch kein Sicherheitsproblem. Security-Management ist stets ein Kompromiss aus einem komplett selbst überwachten Prozess und von Hersteller und Dienstleister vorgegebenen Teilen. Konkret heißt das beispielsweise, dass kaum ein Unternehmen in der Lage ist, die regelmäßig erscheinenden Betriebssystem-Patches selbst zu testen, sondern diese Verantwortung an den Hersteller abgibt. Besonders im Security-Umfeld gibt es oft gar keine Alternative zu dieser Vorgehensweise, denn bei akuten Bedrohungen müssen dort die Patches so schnell wie möglich eingespielt werden. Dazu gehört auch, dass sich die Verantwortlichen rechtzeitig über die aktuelle Bedrohungslage informieren. Der Aufwand, die einschlägigen Community-Web - seiten, Mailing-Listen, Foren und Blogs sowie Herstellerverlautbarungen zu beobachten, ist jedoch selbst für Spezialisten in einem IT-Team gewöhnlicher Größe enorm. Appliances können unterstützen Security-Management nach ISO/IEC 27002:2005 Die ISO/IEC 27002:2005 befasst sich mit den folgenden 11 Überwachungsbereichen: 1. Weisungen und Richtlinien zur Informationssicherheit 2. organisatorische Sicherheitsmaßnahmen und Management- Prozess 3. Verantwortung und Klassifizierung von Informationswerten 4. personelle Sicherheit 5. physische Sicherheit und öffentliche Versorgungsdienste 6. Netzwerk- und Betriebssicherheit (Daten und Telefonie) 7. Zugriffskontrolle 8. Systementwicklung und Wartung 9. Umgang mit Sicherheitsvorfällen 10. Notfallvorsorgeplanung 11. Einhaltung rechtlicher Vorgaben, der Sicherheitsrichtlinien und Überprüfungen durch Audits Die elf Bereiche gliedern sich in 39 Hauptkategorien, Kontrollziele genannt. Sie sind mit insgesamt 133 Sicherheitsmaßnahmen untersetzt, deren Anwendung das Erreichen der Kontrollziele unterstützen soll. Quelle: Wikipedia Ein Beispiel dafür, wie ein durchdachtes Konzept dem Endanwender viel Arbeit und Kopfzerbrechen ersparen kann, liefert eine UTM-Firewall-Appliance (Unified Threat Management), auf der eine Kombina - tion aus Open-Source-Software und kommerziellen Produkten arbeitet. In den allermeisten Fällen wird sich der Betreiber für eine Appliance entschieden haben, um den eigenen Aufwand möglichst gering zu halten. Von den Sicherheits- Fea tures aus dem Open- Source-Umfeld weiß er, dass sie besonders leistungsfähig und aktuell sind, weil die Commu nity permanent ein waches Auges darauf hält und Bugs wie Fixes dafür flott kommuniziert. Er selbst hingegen verfügt weder über ausreichend Kompetenz noch über die Zeit, sich ständig auf dem Laufenden zu halten. Er profitiert davon, wenn der UTM-Firewall-Anbieter dediziert zu diesem Zweck ein eigenes Team unterhält, das nichts anderes tut, als den Kontakt zur Community der Entwickler und Benutzer aktuell zu halten. Dies ergibt einen sofort einsehbaren Geschwindigkeitsvorteil. Außerdem verhindert es, dass der Anwender einen Fehler etwa bei einem Kompatibilitätsproblem wiederholt, den ein anderer schon früher gemacht und veröffentlicht hat. Es liegt im Wesen einer UTM-Firewall-Appliance, dass sie für die Sicherheit eines Unternehmens einen besonders kritischen Punkt darstellt. Ein Ausfall wäre für den Betreiber ein Desaster. Überwacht eine kompetente Community sowohl die Bedrohungslage als auch das Funktionieren der Patches, stellt sich fast immer ein Gewinn an Sicherheit ein, und zwar zusätzlich zum Geschwindigkeitsvorteil. Es spricht aber nichts dagegen, dass außer der Open-Source-Software ebenfalls kommerzielle Produkte auf der Appliance laufen können. Anbieter von Anti-Virus-Lösungen liefern ihre Signaturen heute mindestens im Stundentakt; auf der Appliance auch im Zusammenspiel mit anderer Software ohne Probleme. Allerdings ist es selten sinnvoll, den geschilderten Prozess vollständig zu automatisieren. Die individuelle Situation im Alltag des Anwenderunternehmens kann bisweilen ein manuelles Eingreifen erforderlich machen, jedenfalls sollte die Option dazu existieren. Dabei kommt es offensichtlich wieder auf eine exakte Definition des Einsatzortes an: Bei einer Firewall sollte ein kompetenter Administrator entscheiden können, ob das Aufspielen eines Patches oder eines Updates zu einem bestimmten Zeitpunkt gewünscht ist oder nicht. Bei einem Viren-Signatur-Update auf dem Desktop-Systems eines Endanwenders darf diese Entscheidung dagegen nicht beim Nutzer liegen. Vielmehr sollte garantiert sein, dass ein Endbenutzer keine wichtigen Sicherheitsfunktionen deaktivieren kann. Fazit Zu den wichtigsten Aufgaben für ein effizientes Security-Management zählt die Definition eines sauberen Prozesses, der auf der möglichst exakten Kenntnis der eingesetzten Hardware und Software aufsetzt. Kriterien dazu können beispielsweise die einschlägigen internationalen Normierungswerke liefern. Hilfestellung kommt von geeigneter Soft- und Hardware, etwa in Form von Sicherheits-Appliances, die als alleinige Problem - löser aber nicht taugen. Vielmehr ist ein durchdachtes und individuell abgestimmtes Konzept gefragt. Wie viel Eigenleistung des Anwenderunternehmens bei der zeitnahen Beobachtung etwa der Bedrohungslage sinnvoll und möglich ist, hängt von den zur Verfügung stehenden Ressourcen und der Qualifika - tion des zuständigen Personals ab. Meist ist es außerdem sinnvoll, Mitarbeiter vor allem IT-fremde durch spezielle Security-Awareness-Maßnahmen für die Thematik zu sensibili - sieren und entsprechende Schulungen abzuhalten. (ur) Susanne Franke ist freie IT-Fachautorin in München. VIII ix extra 3/2011

9 Zentraler Nachrichtendienst Sicherheitsinformationen sammeln, verarbeiten und verwalten Das Akronym SIEM gehört noch immer zu den wenig bekannten Kürzeln der IT-Sicherheitswelt. Dies wird sich ändern, denn das sogenannte Security Information and Event Management ist für die Erfüllung vieler Compliance-Anforderungen und für ein funktionierendes Informations-Sicherheitsmanagement (ISMS) nach ISO eine wichtige Vorbedingung. Wie auch immer eine Organisation sich dem Thema Informationssicherheit nähert, sie muss auf jeden Fall wissen, wie ihr aktueller Status ist und ob sich der eigene Sicherheitslevel eher nach oben oder nach unten bewegt. Das soll das sogenannte Security Information and Event Management, das zentralisierte Erfassen, Interpretieren und Verwalten aller Daten aus sicherheitsrelevanten Systemen, leisten. Ohne dieses Wissen ist es unmöglich, zielgerichtete Maßnahmen zu ergreifen. Außerdem drohen Fehlinvestitionen bei der Auswahl von Sicherheitsprodukten, und auch ein Nachweis ausreichender Vorkehrungen lässt sich nicht führen. Compliance-Anforderungen spielen eine weitere wichtige Rolle: Externe Vorgaben aus der Wirtschaft und aus dem nationalen und internationalen Recht etwa fordern die Kenntnis des eigenen Status explizit oder implizit ein. Unternehmen schließlich, die ein Managementsystem für Informationssicherheit nach ISOˇ27001 oder BSI-Grundschutz einführen wollen, sind im Rahmen des typischen Regelkreislaufs solcher Management systeme zu einer kontinuierlichen Beobachtung der Sicherheitssitua- NETGEAR FÜR KLEINERE UND MITTLERE UNTERNEHMEN Sicherheit ist kostbar. Und kostengünstig. Bieten Sie Ihren Kunden mit NETGEAR pass genaue Lösungen für kleinere und mittlere Unternehmen. Entdecken Sie Enter prise -Class-Qualität mit erheblichen Kosten vorteilen und übersichtlichem Lizenzierungs modell. In NETGEAR ProSecure Security-Appliances kommt die beste verfügbare Sicherheitsarchitektur zum Einsatz. Sie bieten durch 1,2 Mio. bzw. 3,2 Mio. Signaturen einen effektiven Schutz vor Viren und Malware und arbeiten durch die Stream-Scanning-Technologie bis zu fünfmal schneller als herkömmliche Lösungen. Sie finden uns in Halle 11, Stand D16 UTM5/10/25/50 All-in-one-Gateway-Lösungen mit Router, Application-Proxy-Firewall, VPN, IPsec und SSL-VPN für bis zu 50 Computer-Arbeitsplätze. STM150/300/600 Security-Appliances für Web- und -Threat-Management für bis zu 600 Computer-Arbeitsplätze. Fordern Sie jetzt weitere Informationen oder Ihren persönlichen Katalog an: telefonisch unter oder per UTM50 STM600

10 verstreuten Informationen und weiterer sicherheitsrelevanter Daten zu erleichtern, sodass die Verantwortlichen auf der Basis der Ergebnisse sinnvolle Sicherheitsentscheidungen treffen können. Dazu müssen SIEM-Systeme eine Reihe komplexer Aufgaben lösen. Eine erste Aufgabe, bei der SIEM-Systeme Sicherheitsverantwortliche unterstützen sollen, ist die Analyse des Datenbestands aus unterschiedlichen Perspektiven. In einem Gateway-Log beispielsweise, das das Auftreten aller möglichen Spionageprogramme aufzeichnet, sind im Normalfall nicht alle Einträge von unmittelbarem Interesse. Der Administrator muss sich im Arbeitsalltag auf die Malware konzentrieren, die in seinem Netz überhaupt Schaden anrichten kann. In einem reinen Windows-Netzwerk etwa stellt Windows-Malware eine große Bedrohung dar, deren Auftreten gegebenenfalls Alarme rechtfertigt. Das Beispiel AlienVault zeigt einen typischen SIEM-Bildschirm mit Incident-Status, Netzwerkdarstellung und Risikosituation (Abb. 1). tion gezwungen. Nur so können sie ihre Maßnahmen und Risikoabschätzungen überprüfen, und ohne leicht zugängliche Dokumenta tion der Sicherheitsvorfälle bekommen die Organisationen kein Zertifikat. Logdaten als Quelle Zu den im Rahmen eines Security Information and Event Management relevanten Informationen gehören unterschiedliche statische und dynamische Daten: ˇInformationen über die jeweils aktuelle Funktionsfähigkeit von Sicherheitssystemen, ˇDaten über den Patch-Status von Softwarekomponenten, ˇdie aktuelle Konfiguration relevanter Systeme, ˇZuverlässigkeits- und Laufzeitdaten, ˇInformationen über die Einhaltung von Richtlinien, ˇStatistiken über Funde von Viren und anderer Malware, ˇDaten über Verluste mobiler Speichermedien und Endgeräte, ˇunerlaubte Zugriffsversuche auf vertrauliche Ressourcen und vieles mehr. Auf der technischen Ebene ist die reine Erhebung dieser Daten unproblematisch, denn nahezu alle IT-Systeme vom Server über Firewalls und Intrusion-Detection-Appliances bis hin zu Authentifizierungssystemen liefern auf Wunsch fast beliebig umfangreiche Logdateien. In diesen Dateien gehen die wirklich sicherheitsrelevanten Informationen allerdings oft unter. Außerdem sind sie häufig nur für Techniker verständlich, die die Systeme gut kennen. SIEM hilft bei allen Vorgängen SIEM-Systeme wurden entworfen, um die Verwaltung, Speicherung, Auswertung und Aufbereitung der in den Logdateien Herausfinden, was relevant ist Schädliche Programme für Linux-Rechner sind hier dagegen nur eine Randerscheinung. Diese Einschätzung ändert sich zwangsläufig, wenn plötzlich die Anschaffung von Linux-Servern ansteht. In diesem Fall lohnt sich ein statistischer Rückblick auf die Linux-Mal - ware-funde in der Vergangenheit, um das Risiko abschätzen zu können, das den neuen Systemen im konkreten Netz drohen wird. Der Betreiber kann anhand solcher Daten den Schutzbedarf für die Linux- Server feststellen und seine Entscheidung für bestimmte Maßnahmen nachvollziehbar rechtfertigen und dokumentieren. Logdateien so zu verwalten, dass sie für Auswertungen aufgrund aktu eller, aber auch möglicher zukünftiger Anforderungen zur Verfügung stehen, ist somit ein wichtiger Funkti- X ix extra 3/2011

11 onsbereich von SIEM-Systemen. Eine andere Herausforderung liegt darin, dass über die sicherheitsbezogene Relevanz von Informationen häufig individuelle Schwellenwerte entscheiden. Eine hohe Zahl täglicher Zugriffe auf eine öffentlich zugängliche Datenbank zum Beispiel ist normal, aber ab einer gewissen Zugriffszahl könnte eine Denialof-Service-Attacke dahinter stecken. Tippfehler bei der Authentifizierung an internen Systemen gehören ebenfalls zum normalen Betriebsalltag, aber je nach Muster und Häufigkeit können sie auch auf einen Versuch hindeuten, die Sicherheitsmechanismen eines Systems zu überwinden oder es über einen Software fehler in einen unkontrollierten Zustand zu bringen. Damit ein SIEM-System erkennen kann, ob eine Anomalie vorliegt und ob sie irrelevant ist oder auf einen Angriff hindeutet, muss es die normale Kommunikation im Netz kennen und gegebenenfalls nach dem Muster von Fraud-Detection- Produkten Informationen über bekannte Angriffsmuster aufnehmen können Funktionen, die in den existierenden Angeboten allerdings noch selten zur Verfügung stehen und auf recht unterschiedlichen technischen Ansätzen beruhen. Es gehört zu den wichtigsten Qualitätsmaßstäben für SIEM-Lösungen, dass sie vorhandene Daten unter immer neuen Vorgaben untersuchen können und sich auf die Sicherheitsanforderungen des Betreibers genau einstellen lassen. Dies gilt nicht nur für nachträgliche Analysen, sondern auch für die Echtzeitüberwachung mit Warnfunktion. Dabei spielt unter anderem die Fähigkeit eine Rolle, Informationen aus verschiedenen Quellen korrelieren zu können, denn komplexe Angriffsformen zeigen sich oft erst beim Abgleich von Sicherheitsdaten aus verschiedenen Systemen. Nichttechnische Quellen als Problem Sicherheitsinformationen aus nichttechnischen Quellen, die viele Unternehmen gern in die Managementsysteme aufnehmen würden, lassen sich mit SIEM nur mühsam verarbeiten. Für Sicherheitsverantwortliche ist es beispielsweise interessant, ob Schulungsziele von Awareness-Kampagnen die Unterrichteten erreicht haben oder auf welchem Stand Maßnahmen sind, die im Rahmen einer ISMS-Einführung (Information Security Management System) umgesetzt werden müssen. Informationen dieser Art müssen von Personen erfasst und in ein standardisiertes Format gebracht werden. Dies und die Tatsache, dass schon bei der Eingabe der Informationen subjektive Bewertungen ins Spiel kommen, macht eine sinnvolle automatische Auswertung zu einem Vorgang mit recht vagen Ergebnissen. Moderne SIEM-Systeme versuchen, dem Benutzer eine möglichst übersichtliche Benutzeroberfläche ( Dashboard ) zu bieten, die heute fast immer

12 SIEM liefert gezielt Daten für Nicht-Techniker hier ein Executive-Bildschirm aus dem Open-Source-System OSSIM, das sich auf Compliance-Informationen konzentriert (Abb. 2). zugleich Echtzeitüberwachung mit Warnfunktionen und umfangreiche Analysemöglichkeiten bietet. Beide Funktionsbereiche sind darauf abgestimmt, dass die Informationen auch Managern zugänglich sein sollen, deren technisches Verständnis begrenzt ist. So geben diese Werkzeuge Bedrohungstrends etwa das Malware-Aufkommen oder Angriffsformen wie Denial of Service häufig als statistische Grafiken aus und fassen sie automatisch zu Reports zusammen. Diese Berichte lassen sich in Sicherheitsdokumentationen auf - nehmen und helfen den Unternehmen, entsprechende Compliance-Anforderungen zu erfüllen. Die Burton Group verweist in ihrem SIEM- Market-Profile von 2010 darauf, dass Schätzungen zufolge 80 Prozent der verkauften SIEM- Lösungen aus Compliance- Gründen angeschafft werden. Bei der Echtzeitüberwachung zeigen die Werkzeuge in vielen Fällen Netzwerke als grafische Landkarten an, wobei sich der Sicherheitsstatus einzelner Systeme beispielsweise nach dem Ampel-Prinzip an den Farben Rot, Gelb oder Grün erkennen lässt. Oft ist es möglich, für jedes dargestellte System per Mausklick auf die Karte tiefergehende Informationen abzurufen. Manche Produkte erlauben es auch, festgelegte Verfahren zum Umgang mit Sicherheitsvorfällen einzuleiten dies können technische Reaktionen wie die Abkopplung sensibler Systeme oder Maßnahmen wie die Benachrichtigung von zuständigen Fachkräften sein. Auf Kompatibilität achten Daten langfristig aufzubewahren steht nicht besonders weit oben auf der Prioritätenliste der IT-Verantwortlichen. Lippenbekenntnisse gibt es wie beim Backup viele. Damit Archivierung gesetzlichen und anderen In ix extra 4/2011 Storage: Gezielt aufbewahren die Technik aktueller Archivierungssysteme DIE WEITEREN IX EXTRAS: Um Logdaten unterschiedlicher Sicherheitsprodukte und gegebenenfalls Informationen aus zusätzlichen Quellen auswerten zu können, müssen SIEM- Produkte die Logs in einem gemeinsamen Repository sammeln, normalisieren, kategorisieren, auf sicheren Hoch - leistungsspeichersystemen ablegen, korrelieren, auswerten und schließlich anschaulich darstellen. Anwender, die ein entsprechendes System implementieren möchten, sollten deshalb darauf achten, dass das ausgewählte Produkt mit den bereits im Netz vorhandenen Sicherheitssystemen zusammenarbeitet und dass die Architektur die Einbindung immer neuer, zukünftiger Datenquellen erlaubt. Moderne Systeme erfassen inzwischen beispielsweise sogar die Social-Media-Aktivitäten der Anwender in einem Netzwerk. Anwender sollten außerdem berücksichtigen, dass sich ein einmal installiertes SIEM-System auch auf die Einbindung neuer Sicherheitsprodukte ins Netzwerk auswirkt. Jede neue Security-Appliance oder -Software zieht Abstimmungsarbeiten an der SIEM-Technik nach sich. Die technische Konfiguration macht allerdings nur einen Teil dieses Aufwands aus. Hinzu kommt die Verankerung von Sicherheitsregeln, Schwellenwerten, Kategorien von Events und anderen Informationen in der SIEM-Umgebung, die sich wiederum aus der Risikosituation des Unternehmens sowie einzelner IT-Systeme ableiten. Speziell das Definieren von Korrelationsregeln kann extrem aufwendig sein. Sie beschreiben unter anderem, welche Daten welcher Quellen beim Zusammentreffen mit bestimmten Daten anderer Quellen auf einen Sicherheitsvorfall schließen lassen. Sowohl die Flexibilität des jeweiligen SIEM-Systems als auch die Anwenderfreundlichkeit der Konfiguration entscheiden dabei über den Implementierungsaufwand mit. Als eine neue Herausforderung nennt die Burton Group in der schon erwähnten Studie die Erfassung von Daten aus der Cloud durch SIEM-Systeme. Vor allem für die Übermittlung von Security-Event-Informationen mangelt es noch an praktikablen Verfahren. (ur) Bettina Weßelmann ist freie Journalistin und Spezialistin für unternehmensinterne Sicherheitskommunikation. Regelungen entsprechend in die Praxis umgesetzt wird (Stichwort Compliance ), bedarf es eines Migrationskonzeptes: Je nach Wertigkeit muss das Data Lifecycle Management die Daten auf verschiedenen Stufen ablegen. Das Datenwachstum lässt sogar das Interesse an Tapes wieder aufleben. Erscheinungstermin: Ausgabe Thema Erscheinungstermin 5/11 Networking Mobile Firmenzugänge VPN und 28.ˇ04.ˇ11 die Alternativen 6/11 Embedded Systems Product Lifecycle Management 26.ˇ05.ˇ11 im Automotive-Umfeld 7/11 Security Application-Scanner, Web-Firewalls & Co. 23.ˇ06.ˇ11 Sicherheit im Web 2.0 XII ix extra 3/2011

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Cloud Computing Governance Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Definition Cloud - Wolke Wolke, die; -, -n; Wölkchen: Hoch in der Luft schwebende Massen feiner Wassertröpfchen

Mehr

Der Weg zu einem ganzheitlichen GRC Management

Der Weg zu einem ganzheitlichen GRC Management Der Weg zu einem ganzheitlichen GRC Management Die Bedeutung von GRC Programmen für die Informationsicherheit Dr. Michael Teschner, RSA Deutschland Oktober 2013 1 Transformationen im Markt Mobilität Cloud

Mehr

Cloud Computing Leitstand: Risiko- und Sicherheits-Management für virtualisierte IT-Infrastrukturen

Cloud Computing Leitstand: Risiko- und Sicherheits-Management für virtualisierte IT-Infrastrukturen 1 Cloud Computing Leitstand: Risiko- und Sicherheits-Management für virtualisierte IT-Infrastrukturen Führungskräfte Forum Berlin, den 18.10.2011 Thomas Köhler Leiter Public Sector, RSA Thomas.Koehler@rsa.com

Mehr

Bestimmungen zur Kontrolle externer Lieferanten. Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko

Bestimmungen zur Kontrolle externer Lieferanten. Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko 1. Ressourcenschutz und Systemkonfiguration 2. Änderungs- und Patchmanagement Die

Mehr

Informations- / IT-Sicherheit - Warum eigentlich?

Informations- / IT-Sicherheit - Warum eigentlich? Informations- / IT-Sicherheit - Warum eigentlich? Hagen, 20.10.2015 Uwe Franz Account Manager procilon IT-Solutions GmbH Niederlassung Nord-West Londoner Bogen 4 44269 Dortmund Mobil: +49 173 6893 297

Mehr

Automatisierung eines ISMS nach ISO 27001 mit RSA Archer

Automatisierung eines ISMS nach ISO 27001 mit RSA Archer Automatisierung eines ISMS nach ISO 27001 mit RSA Archer Wilhelm Suffel Senior Consultant Computacenter AG & Co ohg Hörselbergstraße 7, 81677 München, Germany Tel.: +49 89 45712 446 Mobile: +49 172 8218825

Mehr

Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn Sie einen

Mehr

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn

Mehr

Security Information und Event Management (SIEM) erweiterte Sicherheitsanforderungen bei wachsender Datenflut

Security Information und Event Management (SIEM) erweiterte Sicherheitsanforderungen bei wachsender Datenflut TWINSOF T Security Information und Event Management (SIEM) erweiterte Sicherheitsanforderungen bei wachsender Datenflut 05.06.2013 GI Themenabend BIG DATA: Matthias Hesse, Twinsoft Ablauf 1. Wer ist denn

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

BeamYourScreen Sicherheit

BeamYourScreen Sicherheit BeamYourScreen Sicherheit Inhalt BeamYourScreen Sicherheit... 1 Das Wichtigste im Überblick... 3 Sicherheit der Inhalte... 3 Sicherheit der Benutzeroberfläche... 3 Sicherheit der Infrastruktur... 3 Im

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur.

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur. MIKOGO SICHERHEIT Inhaltsverzeichnis Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur Seite 2. Im Einzelnen 4 Komponenten der Applikation

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

Effizientes Sicherheits-Management von Endbenutzergeräten

Effizientes Sicherheits-Management von Endbenutzergeräten Effizientes Sicherheits-Management von Endbenutzergeräten Kammerstetter Bernhard Client Technical Professional IBM Tivoli http://www-01.ibm.com/software/tivoli/solutions/endpoint/ Bernhard_Kammerstetter@at.ibm.com

Mehr

INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN

INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN EINFÜHRUNG KURZE EINFÜHRUNG IN DIE ERSTELLUNG UND VERWALTUNG VON

Mehr

IT- Sicherheitsmanagement

IT- Sicherheitsmanagement IT- Sicherheitsmanagement Wie sicher ist IT- Sicherheitsmanagement? Dipl. Inf. (FH) Jürgen Bader, medien forum freiburg Zur Person Jürgen Bader ich bin in Freiburg zu Hause Informatikstudium an der FH

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

Sicherheit im IT - Netzwerk

Sicherheit im IT - Netzwerk OSKAR EMMENEGGER & SÖHNE AG IT - SERVICES Email mail@it-services.tv WWW http://www.it-services.tv Stöcklistrasse CH-7205 Zizers Telefon 081-307 22 02 Telefax 081-307 22 52 Kunden erwarten von ihrem Lösungsanbieter

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

Dunkel Mail Security

Dunkel Mail Security Dunkel Mail Security email-sicherheit auf die stressfreie Art Unser Service verhindert wie ein externer Schutzschild, dass Spam, Viren und andere Bedrohungen mit der email in Ihr Unternehmen gelangen und

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

IN DER EINFACHHEIT LIEGT DIE KRAFT. Business Suite

IN DER EINFACHHEIT LIEGT DIE KRAFT. Business Suite IN DER EINFACHHEIT LIEGT DIE KRAFT Business Suite DIE GEFAHR IST DA Online-Gefahren für Ihr Unternehmen sind da, egal was Sie tun. Solange Sie über Daten und/oder Geld verfügen, sind Sie ein potenzielles

Mehr

BSI-Grundschutzhandbuch

BSI-Grundschutzhandbuch IT-Sicherheit trotz Dipl.-Math. Jürgen Jakob Inhalt des Vortrags IT-Sicherheit trotz 1. These: IT-Sicherheit trotz 2. Beispiel AVG Sicherheitssystem 3. So erstellt man eine Policy 4. Sie wissen schon alles,

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

ITIL IT Infrastructure Library

ITIL IT Infrastructure Library ITIL IT Infrastructure Library Einführung in das IT-Service-Management Andreas Linhart - 2009 Agenda IT-Service-Management Der ITIL-Ansatz Lizenzen & Zertifizierungen ITIL-Prozessmodell (v2) Service Support

Mehr

RHENUS OFFICE SYSTEMS. Compliance, Informationssicherheit und Datenschutz

RHENUS OFFICE SYSTEMS. Compliance, Informationssicherheit und Datenschutz RHENUS OFFICE SYSTEMS Compliance, Informationssicherheit und Datenschutz SCHUTZ VON INFORMATIONEN Im Informationszeitalter sind Daten ein unverzichtbares Wirtschaftsgut, das professionellen Schutz verdient.

Mehr

Die Vorteile von Multicore-UTM. Umfassender Echtzeit-Schutz jenseits der Geschwindigkeitsbarriere

Die Vorteile von Multicore-UTM. Umfassender Echtzeit-Schutz jenseits der Geschwindigkeitsbarriere Die Vorteile von Multicore-UTM Umfassender Echtzeit-Schutz jenseits der Geschwindigkeitsbarriere Inhalt Netzwerksicherheit wird immer komplexer 1 UTM ist am effizientesten, wenn ganze Pakete gescannt werden

Mehr

Big Data im Bereich Information Security

Big Data im Bereich Information Security Der IT-Sicherheitsverband. TeleTrusT-interner Workshop Bochum, 27./28.06.2013 Big Data im Bereich Information Security Axel Daum RSA The Security Division of EMC Agenda Ausgangslage Die Angreifer kommen

Mehr

Skills-Management Investieren in Kompetenz

Skills-Management Investieren in Kompetenz -Management Investieren in Kompetenz data assessment solutions Potenziale nutzen, Zukunftsfähigkeit sichern Seite 3 -Management erfolgreich einführen Seite 4 Fähigkeiten definieren und messen Seite 5 -Management

Mehr

Compliance mit dem IEM Endpoint Manager durchsetzen

Compliance mit dem IEM Endpoint Manager durchsetzen Compliance mit dem IEM Endpoint Manager durchsetzen PPPvorlage_sxUKMvo-05.00.potx santix AG Mies-van-der-Rohe-Straße 4 80807 München www.santix.de santix AG 2 Sicherheit in der IT Was bedeutet Sicherheit

Mehr

Incident Response und Forensik

Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Der Einbruch eines Hackers in die Web-Applikation des Unternehmens, ein Mitarbeiter, der vertrauliche Daten

Mehr

HANDHABBAR INTEGRIERT UMFASSEND

HANDHABBAR INTEGRIERT UMFASSEND Gefährlichere Bedrohungen Fortgeschrittenerer Anwendungsorientierter Häufiger Auf Profit abzielend Fragmentierung von Sicherheitstechnologie Zu viele Einzelprodukte Dürftige Interoperabilität Fehlende

Mehr

4. Stuttgarter Sicherheitskongress: IT-Sicherheit in industriellen Anlagen

4. Stuttgarter Sicherheitskongress: IT-Sicherheit in industriellen Anlagen 4. Stuttgarter Sicherheitskongress: IT-Sicherheit in industriellen Anlagen Henning Sandfort Siemens AG, Sector Industry SIMATIC Produkt- & Systemmanagement Allgemeine Security-Bedrohungen in der Automatisierung

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

VARONIS DATADVANTAGE. für Exchange

VARONIS DATADVANTAGE. für Exchange VARONIS DATADVANTAGE für Exchange VARONIS DATADVANTAGE für Exchange Funktionen und Vorteile TRANSPARENZ Bidirektionale Smart Views aller Berechtigungen für Postfächer und öffentliche Ordner sowie Überwachung

Mehr

CIB DOXIMA PRODUKTINFORMATION

CIB DOXIMA PRODUKTINFORMATION > CIB Marketing CIB DOXIMA PRODUKTINFORMATION Dokumentenmanagement & Dokumentenarchivierung > Stand: Januar 2013 INHALT 1 CIB DOXIMA 2 1.1 The next generation DMS 3 1.2 Dokumente erfassen Abläufe optimieren

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Compliance-Management leicht gemacht

Compliance-Management leicht gemacht Compliance-Management leicht gemacht Compliance-Management leicht gemacht Log- und Compliance- Management in einer Lösung Das Management der Security-Infrastruktur unter Einhaltung aller Compliance- Richtlinien

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

SICHERER GESCHÄFTSBETRIEB - GANZ GLEICH, WAS AUF SIE ZUKOMMT. Protection Service for Business

SICHERER GESCHÄFTSBETRIEB - GANZ GLEICH, WAS AUF SIE ZUKOMMT. Protection Service for Business SICHERER GESCHÄFTSBETRIEB - GANZ GLEICH, WAS AUF SIE ZUKOMMT Protection Service for Business DIE WELT IST MOBIL WLAN Die Anzahl der Endgeräte und der Verbindungen ist heute größer als jemals zuvor. Wählen

Mehr

Penetrationstest Digitale Forensik Schulungen Live-Hacking

Penetrationstest Digitale Forensik Schulungen Live-Hacking M IT S I C H E R H E I T Penetrationstest Digitale Forensik Schulungen Live-Hacking Seien Sie den Hackern einen Schritt voraus. Wir finden Ihre Sicherheitslücken, bevor andere sie ausnutzen. Ethisches

Mehr

Microsoft Solutions Framework. Daniel Dengler CN7. Unterschied MSF - MOF Microsoft Solutions Framework

Microsoft Solutions Framework. Daniel Dengler CN7. Unterschied MSF - MOF Microsoft Solutions Framework Einführung MSF MOF Microsoft Solutions Framework Microsoft Operations Framework Daniel Dengler CN7 Agenda Unterschied MSF - MOF Microsoft Solutions Framework Elementare Komponenten grundlegende Richtlinien

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Integration mit Service Repositories zur SOA Governance

Integration mit Service Repositories zur SOA Governance Integration mit Service Repositories zur SOA Governance Nürnberg, 10.11.2009 I N H A L T 1. SOA Governance 2. Service Repository 3. Modelle und Service Repository 4. Modell-Driven SOA I N H A L T 1. SOA

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

CIS Ihr Standard für Sicherheit. Ein Partner der QA. CIS Certification & Information CIS GmbH

CIS Ihr Standard für Sicherheit. Ein Partner der QA. CIS Certification & Information CIS GmbH Ein Partner der QA CIS Certification & Information by Security CIS GmbH Services GmbH CIS Certification & Information Security Services: Akkreditierte Zertifizierungsanstalt für ISO 27001 Information Security

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

Jump Project. Softwarelösungen für professionelles Projektmanagement

Jump Project. Softwarelösungen für professionelles Projektmanagement Jump Project Softwarelösungen für professionelles Projektmanagement Jump Project Office Übersichtliche Dokumentenstruktur und schneller Zugriff auf alle wichtigen Funktionen. Steuern Sie Ihre Projekte

Mehr

Keine Kompromisse. Optimaler Schutz für Desktops und Laptops CLIENT SECURITY

Keine Kompromisse. Optimaler Schutz für Desktops und Laptops CLIENT SECURITY Keine Kompromisse Optimaler Schutz für Desktops und Laptops CLIENT SECURITY Aktuelle Software ist der Schlüssel zur Sicherheit 83 % [1] der Top-Ten-Malware hätten mit aktueller Software vermieden werden

Mehr

RSA INTELLIGENCE DRIVEN SECURITY IN ACTION

RSA INTELLIGENCE DRIVEN SECURITY IN ACTION RSA INTELLIGENCE DRIVEN SECURITY IN ACTION So schützen Sie einheitlich Ihre Benutzeridentitäten im Unternehmen und in der Cloud! Mathias Schollmeyer Assoc Technical Consultant EMEA 1 AGENDA Überblick RSA

Mehr

Business Continuity Management

Business Continuity Management Business Continuity Management PROFI Engineering Systems AG Heinz Günter Meser Business Continuity Management ² BCM - Was ist das? ² BCM - Grundlagen und Anforderungen ² BCM - Lösungsstrategien und Ergebnisse

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

Strukturierte Informationssicherheit

Strukturierte Informationssicherheit Strukturierte Informationssicherheit Was muss getan werden ein kurzer Überblick. Donnerstag, 16.Juli 2009 Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de

Mehr

Industrial Defender Defense in Depth Strategie

Industrial Defender Defense in Depth Strategie Industrial Defender Defense in Depth Strategie Security aus der Sicht eines Dienstleisters Michael Krammel KORAMIS Unternehmensverbund mit 80 Mitarbeitern in 7 regionalen Niederlassungen in D und CH Seit

Mehr

Endpoint Web Control Übersichtsanleitung

Endpoint Web Control Übersichtsanleitung Endpoint Web Control Übersichtsanleitung Sophos Web Appliance Sophos UTM (Version 9.2 oder höher) Sophos Enterprise Console Sophos Endpoint Security and Control Stand: Dezember 2013 Inhalt 1 Endpoint Web

Mehr

Installieren von GFI EventsManager

Installieren von GFI EventsManager Installieren von GFI EventsManager Einführung Wo kann GFI EventsManager im Netzwerk installiert werden? GFI EventsManager kann ungeachtet des Standorts auf allen Computern im Netzwerk installiert werden,

Mehr

ITIL Trainernachweise

ITIL Trainernachweise ITIL Trainernachweise Allgemein: Akkreditierung als ITIL -Trainer für Foundation, Service Strategy, Service Design, Service Transition, Service Operation, CSI, Managing across the Lifecycle (MALC) Akkreditierung

Mehr

TÜV Rheinland. ISO 27001 / Aufbau eines ISMS

TÜV Rheinland. ISO 27001 / Aufbau eines ISMS TÜV Rheinland. ISO 27001 / Aufbau eines ISMS TÜV Rheinland i-sec GmbH / ISMS Kurze Unternehmensvorstellung Was ist ein ISMS (und was nicht)? Drei zentrale Elemente eines ISMS Die Phasen einer ISMS Implementierung

Mehr

Windows Server 2003 End of Service

Windows Server 2003 End of Service Windows Server 2003 End of Service Herausforderungen & Migration Michael Korp Microsoft Deutschland GmbH Ende des Support für 2003, 2008, 2008 R2 Ende des Support für Windows 2003 Ende des Mainstream Support

Mehr

SAP Simple Service Request. Eine Beratungslösung der SAP Consulting SAP Deutschland SE & Co. KG

SAP Simple Service Request. Eine Beratungslösung der SAP Consulting SAP Deutschland SE & Co. KG SAP Simple Service Request Eine Beratungslösung der SAP Consulting SAP Deutschland SE & Co. KG IT Service Management mit SAP Solution Manager SAP Solution Manager deckt alle Prozesse im IT Service Management

Mehr

Hans-Joachim Lorenz Teamleiter Software Sales GB LE Süd hans.lorenz@de.ibm.com

Hans-Joachim Lorenz Teamleiter Software Sales GB LE Süd hans.lorenz@de.ibm.com IBM Software Partner Academy Whiteboarding- Positionierung des Tivoli Security Produkte 3. Tag, Donnerstag der 09.10.2008 Hans-Joachim Lorenz Teamleiter Software Sales GB LE Süd hans.lorenz@de.ibm.com

Mehr

Herausforderungen des Enterprise Endpoint Managements

Herausforderungen des Enterprise Endpoint Managements Herausforderungen des Enterprise Endpoint Managements PPPvorlage_sxUKMvo-05.00.potx santix AG Mies-van-der-Rohe-Straße 4 80807 München www.santix.de santix AG Herausforderungen 09.10.2013 Herausforderungen

Mehr

Energieeffiziente IT

Energieeffiziente IT EnergiEEffiziente IT - Dienstleistungen Audit Revision Beratung Wir bieten eine energieeffiziente IT Infrastruktur und die Sicherheit ihrer Daten. Wir unterstützen sie bei der UmsetZUng, der Revision

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015 ITK Sicherheitsgesetz Umsetzung mit verinice.pro verinice.xp- Grundschutztag 15.09.2015 Überblick Kurze Vorstellung des IT-Sicherheitsgesetzes Konkretisierung des Gesetzes für Energieversorger Abbildung

Mehr

Servicespezifikation. H&S IT Configuration Management Service. simplify your business. www.hs-reliablesolutions.com

Servicespezifikation. H&S IT Configuration Management Service. simplify your business. www.hs-reliablesolutions.com Servicespezifikation H&S IT Configuration Management Service simplify your business www.hs-reliablesolutions.com H&S reliable solutions GmbH 2010 H&S IT Configuration Management Service Eine der wichtigsten

Mehr

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG) Unternehmen: Branche: Ansprechpartner: Position: Straße: PLZ / Ort: Tel.: Mail: Website: Kontaktdaten Datenschutzbeauftragter: Fax: Sicherheitspolitik des Unternehmens JA NEIN 01. Besteht eine verbindliche

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

IT-Security Herausforderung für KMU s

IT-Security Herausforderung für KMU s unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/

Mehr

Systems Management bei ZFLS

Systems Management bei ZFLS ZF Lenksysteme GmbH ZF Lenksysteme GmbH FIR Thilo Helmig & Stefan Zeul 02.10.2009 Systems Management bei ZFLS Abt.: Design 29.09.2009 1 vorlage.ppt ZF Lenksysteme GmbH Agenda ZF Lenksysteme stellt sich

Mehr

Die Beurteilung normativer Managementsysteme

Die Beurteilung normativer Managementsysteme Die Beurteilung normativer Managementsysteme Hanspeter Ischi, Leiter SAS 1. Ziel und Zweck Um die Vertrauenswürdigkeit von Zertifikaten, welche durch akkreditierte Zertifizierungsstellen ausgestellt werden,

Mehr

IT-Sicherheit in Werbung und. von Bartosz Komander

IT-Sicherheit in Werbung und. von Bartosz Komander IT-Sicherheit in Werbung und Informatik von Bartosz Komander Gliederung Einführung Anti-viren-software Verschlüsselungssoftware Firewalls Mein Fazit Quellen 2 Einführung Was ist eigentlich IT-Sicherheit?

Mehr

Informationssicherheit mehr als Technologie. Herzlich willkommen

Informationssicherheit mehr als Technologie. Herzlich willkommen Informationssicherheit mehr als Technologie Herzlich willkommen AL Conuslt 2012 Vorstellung Schwerpunkte IT-Strategie und IT-Strategieentwicklung (z.b. mit CObIT) IT Service-Management (ITIL und ISO 20000)

Mehr

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013 Werte- und prozessorientierte Risikoanalyse mit OCTAVE Christian Aust.consecco Dr. Christian Paulsen DFN-CERT Was Sie erwartet Vorstellung von OCTAVE:

Mehr

Bessere Systemleistung reibungslose Geschäftsprozesse

Bessere Systemleistung reibungslose Geschäftsprozesse im Überblick SAP-Technologie Remote Support Platform for SAP Business One Herausforderungen Bessere Systemleistung reibungslose Geschäftsprozesse Wartung im Handumdrehen Immer gut betreut Wartung im Handumdrehen

Mehr

Next-Generation Firewall

Next-Generation Firewall Ansprechpartner: / +49 221 788 059 14 / +49 176 668 392 51 / f.felix@coretress.de Wie sieht eine sichere Optimierung Ihres Netzwerks aus? 10 Möglichkeiten zur sicheren Optimierung Ihres Netzwerks 1. Intelligente

Mehr

toolwear Die Verbindung aller Systemwelten

toolwear Die Verbindung aller Systemwelten toolwear Die Verbindung aller Systemwelten toolwear schlägt als erstes Programm seiner Art die Brücke zwischen den unterschiedlichsten Rechnersystemen. toolwear ist ein branchenneutrales Produkt. Systemarchitekturen

Mehr

Die richtige Cloud für Ihr Unternehmen.

Die richtige Cloud für Ihr Unternehmen. Die richtige Cloud für Ihr Unternehmen. Das ist die Microsoft Cloud. Jedes einzelne Unternehmen ist einzigartig. Ob Gesundheitswesen oder Einzelhandel, Produktion oder Finanzwesen keine zwei Unternehmen

Mehr

Trusted Network Connect. Networking Academy Day 19.04.2008

Trusted Network Connect. Networking Academy Day 19.04.2008 Trusted Network Connect Networking Academy Day 19.04.2008 Dipl.-Inf. Stephan Gitz Roadmap Ziele der Informationssicherheit Herausforderungen der Informationssicherheit Angriffsvektoren

Mehr

IT-Revision als Chance für das IT- Management

IT-Revision als Chance für das IT- Management IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT

Mehr

Zentrale Loganalyse als wichtiges Element für eine sichere IT-Infrastruktur

Zentrale Loganalyse als wichtiges Element für eine sichere IT-Infrastruktur Zentrale Loganalyse als wichtiges Element für eine sichere IT-Infrastruktur Rainer Schneemayer Zentrale Loganalyse als wichtiges Element für eine sichere IT-Infrastruktur Unzählige Logfiles befinden sich

Mehr

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP)

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP) MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP) Oliver Steinhauer.mobile PROFI Mobile Business Agenda MOBILE ENTERPRISE APPLICATION PLATFORM AGENDA 01 Mobile Enterprise Application Platform 02 PROFI News

Mehr

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central Modernes Vulnerability Management Christoph Brecht Managing Director EMEA Central Definition Vulnerability Management ist ein Prozess, welcher IT Infrastrukturen sicherer macht und Organisationen dabei

Mehr

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it Neuigkeiten in Microsoft Windows Codename Longhorn Windows Server - Next Generation Derzeit noch Beta Version (aktuelles Build 5308) Weder definitiver Name und Erscheinungstermin sind festgelegt Direkter

Mehr

In-Memory & Real-Time Hype vs. Realität: Maßgeschneiderte IBM Business Analytics Lösungen für SAP-Kunden

In-Memory & Real-Time Hype vs. Realität: Maßgeschneiderte IBM Business Analytics Lösungen für SAP-Kunden In-Memory & Real-Time Hype vs. Realität: Maßgeschneiderte IBM Business Analytics Lösungen für SAP-Kunden Jens Kaminski ERP Strategy Executive IBM Deutschland Ungebremstes Datenwachstum > 4,6 Millarden

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

Security Knowledge Management auf Basis einer Dokumentenvorlage für Sicherheitskonzepte. Felix von Eye Leibniz-Rechenzentrum, Garching bei München

Security Knowledge Management auf Basis einer Dokumentenvorlage für Sicherheitskonzepte. Felix von Eye Leibniz-Rechenzentrum, Garching bei München auf Basis einer Dokumentenvorlage für Sicherheitskonzepte Felix von Eye Leibniz-Rechenzentrum, Garching bei München 18.02.2014 Leibniz-Rechenzentrum (LRZ) Rechenzentrum für Münchner Universitäten und Hochschulen

Mehr

IT Security in der Praxis. Datensicherheit, Einbruchssicherheit, Rechtssicherheit. Carsten Fischer (Produkt Management)

IT Security in der Praxis. Datensicherheit, Einbruchssicherheit, Rechtssicherheit. Carsten Fischer (Produkt Management) IT Security in der Praxis Datensicherheit, Einbruchssicherheit, Rechtssicherheit Carsten Fischer (Produkt Management) Übersicht Wer ist die TELCO TECH GmbH? Sicherheitsprobleme in KMUs Elemente einer Lösung

Mehr

PROFI MANAGED SERVICES

PROFI MANAGED SERVICES S assuretsm Webcast Darmstadt 27.09.2013 Hans Larcén AGENDA PROFI Managed Services Serviceablauf und SLAs Ihre Vorteile Unser Vorgehensmodell assuretsm 2 MANAGED SERVICE Übernahme des operativen Betriebs

Mehr

Integriertes Service Management

Integriertes Service Management Live Demo PPPvorlage_sxUKMvo-05.00.potx santix AG Mies-van-der-Rohe-Straße 4 80807 München www.santix.de santix AG Themen Beteiligte Prozesse Service Catalog Management Change Management Asset und Configuration

Mehr