extra Harmonischer Dreier Security Die Folgen eines unzulänglichen Compliance und Risk Management Werk - zeuge und Anbieter Veranstaltungen

Größe: px
Ab Seite anzeigen:

Download "extra Harmonischer Dreier Security Die Folgen eines unzulänglichen Compliance und Risk Management Werk - zeuge und Anbieter Veranstaltungen"

Transkript

1 sponsored by: Ein Verlagsbeihefter der Heise Zeitschriften Verlag GmbH & Co. KG extra Security Compliance und Risk Management Werk - zeuge und Anbieter Ressourcen, Regeln und Risiken in Einklang bringen Harmonischer Dreier Seite I Security Harmonischer Dreier Ressourcen, Regeln und Risiken in Einklang bringen Das Dreigespann Governance, Risk Management und Compliance (GRC) erlebt seit der Wirtschaftskrise einen Aufschwung, und wie bei allen jüngeren Trends schmücken sich auch hier zahllose Angebote mit diesem Akronym. Der Beitrag stellt die Kernelemente für diesen Aufgabenbereich sowie eine Vorgehensweise als Leitfaden vor. Sicherheitsprozesse und -abläufe aufsetzen Gut gemanagt Sicherheitsinformationen sammeln, verarbeiten und verwalten Zentraler Nachrichtendienst Vorschau Storage Gezielt aufbewahren die Technik aktueller Archivierungs systeme Veranstaltungen 1.ˇ ˇ5. März, Hannover CeBIT 22.ˇ ˇ25. März, Weimar GUUG-Frühjahrsfachgespräch ˇ ˇ12. Mai, Bonn BSI-Kongress: Sicher in die digitale Welt von morgen Seite VI Seite IX Seite XII ix extra Security zum Nachschlagen: Die Folgen eines unzulänglichen oder nicht vorhandenen Risikomanagements sind zumindest aus dem Banken - wesen hinlänglich bekannt. Auch Verstöße gegen das Bundesdatenschutzgesetz oder gegen die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) können Unternehmen teuer zu stehen kommen. Daher ist es nicht verwunderlich, dass die Begriffe Governance, Risk Management und Compliance zusammenfassend GRC immer öfter fallen, wenn es um das gesetzeskonforme und sichere beziehungsweise risikobewusste Management eines Unternehmens geht. Auch wenn der Begriff relativ deutlich umrissene Aufgabenfelder (siehe Kasten) umfasst, gibt es bislang noch keine klare Definition für GRC-Management. Die Softwarehersteller bedienen sich des Akronyms, um darunter mehr oder weniger umfassende Lösungen mit unterschiedlichen Fähigkeiten anzubieten. Die Analysten von Gartner verstehen unter GRC-Management die Automatisierung des Managements, der Messung, Anpassung und des Reportings von Kontrollmechanismen und der Risiken im Einklang mit Regeln, Richtlinien, Standards, Policies und Geschäftsentscheidungen. Bis vor Kurzem setzten viele Unternehmen noch einzelne Anwendungen ein, um damit einer ganz bestimmten Anforderung zu genügen, etwa den Sarbanes-Oxley-Bestimmungen oder branchenspezifischen Regularien. Doch diese eingeschränkte Sicht auf GRC ändere sich gerade, so Gartner, und Unternehmen wollen künftig zusätzliche Aktivitäten wie Audit-Management, IT-Governance, Remediation- und Policy-Management in ihr Vorgehen einbeziehen. Eine sogenannte Enterprise- GRC-Plattform (RGRC) muss gemäß diesen Trends vier Kernfähigkeiten mitbringen. Dazu gehört in erster Linie das Risk Management. Ein solches I

2 Werkzeug unterstützt die Verantwortlichen bei der Dokumentation, dem Einführen und Abarbeiten von Workflows, beim Aufdecken sowie der Analyse, dem Reporting und der Minimierung von Risiken. Neben den Aufgaben des operationalen Risikomanagements kann das Produkt unter Umständen auch Daten aus dedizierten Risiko-Analysewerkzeugen sammeln, um einen Überblick über das unternehmensweite Risk Management zu liefern. Das Risikomanagement ist immer noch der Haupttreiber bei der Entscheidung für GRC. Unerlässliche Kontrollmechanismen Compliance Management, die zweite wichtige Komponente, sollte die für die Thematik Verantwortlichen mit Dokumenta - tion, Workflows und Reporting Governance: bezeichnet eine Reihe von Policies, Prozeduren, Praktiken und organisatorische Strukturen, die auf die strategischen Ziele eines Unternehmens ausgerichtet sind. Dazu gehören auch die Richtlinien für das Aufsetzen und die Nutzung der IT (IT Governance). Ein sinnvolles GRC setzt regelmäßige Aktivitäten und deren Überprüfung voraus. sowie der Visualisierung der Kontrollziele unterstützen. Hinzu kommen die für die Sicherstellung der Compliance benötigten Kontrollmechanismen für die jeweiligen Risiken sowie Möglichkeiten für das Testen und die Mängelbeseitigung. Ein solches Werkzeug muss neben der Compliance im Finanzreporting auch die Einhaltung anderer Richtlinien und Gesetze unterstützen, etwa ISOˇ9000, PCI (Payment Card Industry) oder branchenspe - zifische Regularien, Service Level Agreements und interne Policies. Des Weiteren gehört ein Audit-Management dazu, das die internen Auditoren bei der Verwaltung von Arbeitspapieren unterstützt, aber auch beim Aufsetzen von Audit-bezogenen Aufgaben, dem Zeitmanagement sowie beim Reporting. Und schließlich bildet das Policy-Management die vierte zentrale Funktion von EGRC- Lösungen. Es umfasst eine spezielle Art des Dokumentenmanagements, die den Lebenszyklus von Policies von deren Erstellung, Überarbeitung und Änderung bis zur Archivierung verwalten soll. Die weiteren Aufgaben eines solchen Werkzeugs beinhalten die Zuordnung der Policies einerseits zu den Verantwortlichkeiten sowie Geschäftszielen und andererseits zu Risiken und Kontrollmechanismen, aber auch die Verteilung an Mitarbeiter und Geschäftspartner. Überprüfung der IT inklusive Definition von GRC (Governance, Risk Management, Compliance) Risk Management: leitet sich von den Anforderungen der Governance ab und bezeichnet den Prozess, der gewährleistet, dass wichtige Unternehmensabläufe mit möglichst geringem Risiko und den festgelegten Policies, Prozeduren, Praktiken und organisatorische Strukturen entsprechend funktionieren. Risikomanagement bedeutet ein frühzeitiges Erkennen, Analysieren und Minimieren von Gefahren für den Betrieb. Compliance Management: soll garantieren, dass die Unternehmensabläufe den gültigen Richtlinien und der Gesetzgebung entsprechen. Auch hier spielt die IT eine wesentliche Rolle, denn manche Gesetze wie das Bundesdatenschutzgesetz sind IT-spezifisch oder enthalten IT-relevante Teile, und andere wiederum lassen sich ohne IT-Werkzeuge nicht effizient umsetzen (etwa Auditing- oder Bescheinigungsanforderungen). Quellle: Kuppinger Cole + Partner Viele Anforderungen benötigen bekanntlich IT-Unterstützung. Daher wollen immer mehr Anwender Produkte, mit denen sie zusätzlich auch das Risiko und die Compliance ihrer IT managen können. Sie wollen das Reporting aus der Automatisierung der kontinuierlichen Überwachung der ERP-Anwendungen und anderer Teile ihrer Infrastruktur ebenso in ihre GRC-Plattform einbinden. Dies sind typischerweise Aufgaben des sogenannten IT GRCM, das in erster Linie auf die IT-Verantwortlichen ausgerichtet ist. Kern des IT GRCM sind Policy und Asset Repositories. Des Weiteren gibt es wie bei EGRC ein Basis-Dokumentenmanage - ment, Workflows und Reporting- sowie Dashboard-Funktionen. Alle Funktionen sind jedoch auf die IT-Controls ausgerichtet. Die Werkzeuge erhalten ihren Input aus den IT-Monitoring-Tools, beispielsweise aus dem Vulnerability Assessment, Konfigurations-Auditing, dem Identitäts- und Zugriffs - management oder dem Security Information und Event Monitoring. Für Martin Kuppinger von Kuppinger Cole + Partner ist eine der zentralen Forderungen an ein IT-GRC-Tool die Unterstützung von mehr als einem Compliance-Regelwerk und jeder Art von IT-System. Er erkennt hier einen Trend zu integrierten Lösungen, die sich des Weiteren mit spezialisierten Werkzeugen etwa für Fraud Detection oder Intrusion Detection auf Netzwerkebene kombinieren lassen. In einer GRC-Plattform darf nach Ansicht des Marktforschers ein IAM-be - zogenes (Identity Access Management) GRC-Tool nicht fehlen. Es muss sechs Kernfunktionen mitbringen: Analyse, Bescheinigung (Attestation), Authorization Management, Risk Management, Rollen - management sowie SoD- Verwaltung (Segregation of Duties). Der Analyse bedarf es, um die riesige Datenmenge aus den verschiedenen Systemen zu verwalten. Die Einträge in Audit-Logs, Echtzeitdaten und weitere muss ein solches System normalisieren und analy- II ix extra 3/2011

3 Langzeit-Archivierung im grünen Bereich Die patentierte Content-Archiv-Software icas ermöglicht es Unternehmen weltweit vorhandene, heterogene IT- icas Archive schonen IT-Budgets. Mit icas: Ohne icas: HP & icas: Archive für die Zukunft CeBIT Halle 3 Stand D34

4 sieren. Zudem hat ein GRC- System in der Lage zu sein, regelmäßig die Rechte- und Privilegienzuordnungen sowie weitere Settings zu überprüfen, und dies auf mehreren Ebenen. Denn, so Kuppinger, es reicht nicht aus, dass lediglich die Korrektheit der Zuordnung von Nutzern zu Geschäftsrollen bescheinigt wird. Darüber hinaus hat beispielsweise auch die Zuordnung dieser Geschäftsrollen zu Systemrollen oder Gruppen zu stimmen. Geregelter Zugriff auf allen Ebenen Während die sogenannte Attestierung einen Ansatz zu regelmäßigen Überprüfungen bietet, ist die Autorisierung ein Konzept der konsistenten, stetigen Verwaltung von Zugriffsrechten. Das Autorisierungsmanagement beginnt auf Geschäftsebene und reicht hinunter bis auf die verschiedenen IT-Systeme. Ein Kernelement dieser Funktion sind SoD-Regel - mechanismen, die miteinander in Widerspruch stehende Rechte etwa in ERP-Systemen beschreiben und die Konflikte auflösen. Diese Regeln lassen sich auf jeder Ebene definieren, und das GRC-Werkzeug sollte sie unterstützen sowie mit den SoD-Konflikten im Kontext der beschriebenen Risiken umgehen können. Die Aufgaben im IT-Risikomanagement unterscheiden sich nach Ansicht des Analysten nicht von denen des allgemeinen Risikomanagements. Darüber hinaus geht er davon ANBIETER VON GRC-PLATTFORMEN aus, dass die Plattformen mit einem einheitlichen Ansatz für die Verwaltung der Geschäftsrichtlinien ausgestattet werden. Damit soll es dann möglich sein, Business-Regeln zu beschreiben und diese den IT-Policies und -Einstellungen zuzuordnen. Die meisten heutigen Tools unterstützen einige Policy-Funktionen. Weitere Aspekte, die Kuppinger für GRC als zentral erachtet, sind SIEM (Security Information and Event Management) sowie ITSM (IT Service Management). Einen anderen Ansatz versucht auch das Analystenhaus Kuppinger Cole zu verwirklichen: Eine Referenzarchitektur soll den Begriff GRC klären, indem festgelegt ist, was ein entsprechendes Framework enthalten muss und wie die Hersteller Produkt Website Aline Aline GRC ARC Logics Axentis, TeamMate, Sword cchteammate.com BPS Resolver BPS Resolver BWise BWise Compliance 360 Compliance 360 Computer Associates GRC Manager Cura Technologies Cura DB3 HiScout GRC Suite Double Check GRC&Audit Platform EMC RSA Archer egrc Solutions Ibi Research iris IBM GRC (OpenPages) List Group GRC Evolution LogicManager LogicManager Mega Mega Suite governance-risk-compliance Methodware Enterprise Risk Assessor MetricStream GRC Oracle Fusion GRC Paisley Enterprise GRC Protiviti Governance Portal SAP Businessobjects GRC businessobjects/large/governance-riskcompliance/index.epx SAS Enterprise GRC Software AG GRC overview/default.asp Strategic Thought ARM management.html Die Übersicht erhebt keinen Anspruch auf Vollständigkeit. verschiedenen Teile miteinander interagieren. Vier Phasen sollen ein solches Framework bestimmen (s. Abb.): ˇDie Modellierung der Anforderungen (Analysieren, Entscheiden und Übertragen der Compliance-Anforderungen aus unterschiedlichen Quellen auf die interne Control-Umgebung), ˇdie Statusuntersuchung (Zusammenführen verschiedener Arten von Informationen zu einem kohärenten Status der Compliance aufgrund der in der ersten Phase definierten Anforderungen), ˇVerbesserungsaktivitäten (eine Reihe von Projekten, die zur Verbesserung der Com - pliance führen sollen) ˇsowie das Krisen- und Vorfallsmanagement (vorbereitende Aktivitäten und Prozesse, die eine Organisation in die Lage versetzen, im Notfall adäquat zu reagieren). Die ersten drei Schritte sind regelmäßig zu wiederholen, während der letzte Schritt nur bei Bedarf auszuführen ist. Dem Framework muss ein Risiko-Datenmodell zugrunde liegen, in dem die betroffenen Einheiten modelliert sind. Das bedeutet, das Unternehmen muss erst die Assets und involvierten Geschäftsprozesse bestimmen und bewerten, auf die sich die GRC-Aktivitäten beziehen. Dann sollten die Verantwortlichen die Einflüsse, sprich Gefahren, und die Wahrscheinlichkeit des Eintreffens untersuchen, um schließlich verschiedene Gefahren in Gruppen zusammenfassen zu können und ihnen Kontollmechanismen zuordnen zu können. Ein solch einheitliches Modell ist laut Kuppinger Cole in der Lage, alle verschiedenen Facetten der GRC-Thematik abzudecken: Betrugserkennung, Finanzreporting, gesetzliche Compliance, unternehmensweite Sicherheit sowie Governance. (ur) Susanne Franke ist freie IT-Fachautorin in München. IV ix extra 3/2011

5 Anzeige Web 2.0 und The Ring of Fire Web 2.0 verspricht noch mehr Freiheit und Mobilität im Netz, allerdings heisst das auch, dass Netzwerke häufigeren Angriffen ausgesetzt sind. Dabei wird unter dem Begriff Web 2.0 keine grundlegend neue Art von Technologien oder Anwendungen verstanden, es handelt sich einzig um eine veränderte Nutzung des Internets durch den User. Das Web wird hier nicht mehr nur zur Verbreitung von Informationen instrumentalisiert, sondern die interaktive Beteiligung der Nutzer und die Generierung von Zusatznutzen stehen im Vordergrund auch für Unternehmen. Hier kann sich praktisch jeder frei bewegen, Anwendungen nutzen, Dateien bewegen etc. diese neue Freiheit bedeutet gleichzeitig auch neue Gefahren und Bedrohungen. Hier sollte also ein Ring of Fire errichtet werden, der Netzwerke von Unternehmen, die das Web 2.0 brauchen und nutzen, schützen. Man mag es kaum für möglich halten, aber das Instrumentarium dafür gibt es schon fast so lange wie das Internet selbst: man schützt sich mit einer Firewall. Die ersten Firewalls waren auf die Kontrolle von Ports, Protokolle und IP- Adressen beschränkt. Das reicht für die heutige Bedrohungslage längst nicht mehr aus, sie erfordert eine unmittel - bare Transparenz, die über Ports und Protokolle hinausgeht und Web-Anwendungen und Nutzer einschließt. Die Firewalls der heutigen Zeit müssen in der Lage sein, ein Risiko präventiv einzuschätzen. Mit Einsatz des Web 2.0 wird auch der Einsatz einer Firewall der nächsten Generation notwendig. Eine schnellerer Rhythmus... Ein Einblick in Protokolle und Ports und die Prüfung des auch verschlüsselten Datenverkehrs ist notwendig um zu kontrollieren, was wirklich vorgeht und wer welche Anwendungen nutzt. Nur so können unternehmensgerechte Regeln festgelegt werden für ein- und ausgehende Aktivitäten auf Anwenderebene. Da eine solche Kontrolle auf verschiedenen Ebenen stattfinden muß, kommen auch unterschiedliche Schutzmaßnahmen zum Einsatz. Eine Next-Generation-Firewall konsolidiert Sicherheitsdienste wie Intrusion Prevention, Malware- und Spyware-Schutz und URL-Filterung ohne zusätzliche Kosten oder erhöhten Integrationsaufwand. Die Regeln, die für diese Maßnahmen festgelegt werden, sollten in einem Fenster angezeigt werden, damit mögliche Konflikte und Überschneidungen geprüft und verhindert werden können. Einmal erstellte Regeln, die auch nach langer Zeit noch Gültigkeit haben können, müssen in einer veränderten Bedrohungslage migriert und integriert werden können, ohne viel Zeit darauf zu verwenden. Weil Internetkriminelle in mehrstufige Bedrohungen investieren, die auch unterschiedliche Angriffswege nutzen, reicht ein signaturbasierter Schutz nicht mehr aus. Eine Firewall muß also in der Lage sein, ein Risiko aufgrund von Verhalten, Reputation, Absender- und Empfängeradresse und des Inhalts zu bewerten. Das ganze soll möglichst in Echtzeit erfolgen. Oft sind Unternehmen physisch über mehrere Niederlassungen verteilt, die auch geschützt werden müssen. Es bietet sich also an, dass die in den Zweigstellen verteilten Firewalls über eine zentrale Stelle verwaltet werden, damit die gleichen Regeln überall angewendet werden.... für den Ring of Fire Die neue McAfee Firewall Enterprise vereint drei Innovationen zu einem Schutz: die Kombination von Transparenz, Steuerung von Anwendungen mit reputationsbasierter Bedrohungsintelligenz und Schutz vor vielseitigen Angriffen. Die Transparenz wird erreicht durch den Firewall Profiler, der alle Datenströme und Anwendungen erkennt, die gerade im Einsatz sind. So werden mögliche Risiken erkannt, und Richtlinien können schnell angepasst werden. Diese Richtlinien sind benutzerbezogen, d.h. Zugangsrechte können geprüft werden, sobald ein Nutzer eine Verbindung herstellt. Eine integrierte Anwendungssteuerung ermöglicht die Anpassung der Benutzerrechte innerhalb einer Anwendung. Die McAfee Firewall Enterprise bietet jedoch auch die Möglichkeit, nur festgelegte Nutzungszeiten zu gewähren oder Anwendungen komplett zu blockieren. Auch Whitelistings können erstellt werden, die lediglich Daten bestimmter Anwendungen zulassen. Die Verwaltung von Risiken muss durch die Verwaltung von Regeln ersetzt werden. Die McAfee Firewall ermöglicht das schnelle und problemlose Hinzufügen neuer Anwendungen. Durch die Zuweisung dynamischer Reputationsdaten zu Webseiten, Absendern und Standorten wird eine Blockierung von ca. 70 % aller unterwünschten Daten erreicht, bevor diese ins Netz gelangen. McAfee Firewall Enterprise verfügt außerdem über eine intuitive Verwaltungskonsole, über die an nur einem Bildschirm Regeln erstellt und Verteidigungsmaßnahmen bereitgestellt werden können. Neue Updates der Soft - ware werden automatisch über das Internet ausgebracht. Mit der neuen Generation der Firewalls wie McAfee Firewall Enterprise können die Gefahren, die durch die Nutzung von Web 2.0 entstehen, auf ein Minimum reduziert werden. Das geschieht ohne großen Aufwand und mit überschaubaren Kosten. Ein praktisch undurchdringlicher Ring of Fire kann also ohne große Probleme kreiert werden. Besuchen Sie uns auf der CeBIT 2011 in Halle 11, Stand D11. Erfahren Sie auf unserem McAfee-Forum am Dienstagvormittag, den 01. März und am Donnerstagnachmittag, den 03. März mehr über die McAfee Netzwerksicherheitslösungen der nächsten Generation.

6 Gut gemanagt Sicherheitsprozesse und -abläufe aufsetzen Um Sicherheitsbedrohungen angemessen zu begegnen, müssen die Verantwortlichen alle am Schutz beteiligten Hardware- und Software-Instanzen auf dem aktuellen Stand halten. Damit das funktioniert, ist es wichtig, für das Sicherheitsmanagement einen Ablaufprozess aufzusetzen. Nicht vergessen darf man dabei aber die Praxis, wenn etwa Sicherheits-Patches so schnell wie möglich eingespielt werden müssen. Das Sicherheits- und das Risikomanagement gelten gemeinhin als Spielwiese für Spezialisten in großen Unternehmen. Dabei demonstriert schon ein banales Alltagsbeispiel ganz eindringlich, wie sinnvoll eine Auseinandersetzung mit der Materie für jeden Anwendungsfall sein kann. Wer als Nutzer eine Personal Firewall sowie ein Anti-Virus- und Anti-Spam-Programm auf seinem Rechner installiert hat, kann ein Lied davon singen: Es ist beliebig kompliziert, Firewall, Schutzprogramm und die Patches des Betriebssystems so aufeinander einzustellen, dass alles reibungslos funk - tioniert. Im ungünstigen Fall etwa blockiert die Firewall den Durchlass eines Viren-Signatur- Updates vielleicht, weil sich seit dem letzten OS-Patch irgendwo eine vermeintlich belanglose Registry-Einstellung geändert hat. Dies schickt das Anti-Viren-Programm beim Start in eine Endloswarteschleife und der Rechner stellt jede weitere Kommunikation mit seinem Benutzer ein. In einer Zeit, in der sich die meisten Unternehmen in ihren Geschäftsabläufen auf ihre IT- Infrastruktur und Softwareanwendungen verlassen müssen, ist deren einwandfreie Funk - tionsfähigkeit eine überlebensnotwendige Bedingung. Doch Grafische Oberflächen und prozessorientierte Benutzerführung unterstützen die Verwaltung komplexer Firewall-Landschaften. Quelle: Gateprotect Malware, Viren oder Trojaner, aber auch Softwarefehler können die für Firmen kritischen Anforderungen an die Verfügbarkeit, Performance, Daten - integrität und -sicherheit untergraben. Die Folgen eines Angriffs durch Hacker oder Malware können finanzieller und rechtlicher Natur sein und zusätzlich den guten Ruf der Organisation schädigen. Realistisch betrachtet steckt dahinter allerdings eine vielfach komplexere Aufgabe, als die wenigen Teile des Softwarekonglomerats aus dem Eingangsbeispiel aufeinander abzustimmen. Ideal und Wirklichkeit Um den genannten Bedrohungen angemessen zu begegnen, ist es nötig, alle am Schutz beteiligten Hard- und Softwareinstanzen aktuell zu halten. In einer idealen Welt verfügen Unternehmen dazu über einen exakt definierten Ablaufplan, der in das Risikomanagement integriert ist und auf einen realistischen Bestand wirkt, den das Asset-Management beliebig genau bestimmen kann. Bevor Patches und Updates auf die Geräte der Produktivumgebung gespielt werden, kümmert sich ein extra dafür eingeteiltes Team von Experten darum, ob es Inkompatibilitäten mit den unternehmenseigenen Ressourcen oder unter den Patches selbst gibt. Solche Unzulänglichkeiten gibt es jedoch immer noch in der idealen Welt fast nie, weil alle Hard- und Softwarehersteller ihre Updates und Patches nur hinreichend getestet und sorgfältig auf - einander abgestimmt veröffentlichen. Die Wirklichkeit sieht im weitaus größten Teil aller Unternehmen jedoch ganz anders aus. Dort sind viele Adminis - tratoren und Verantwortliche ohnehin über ihre Kapazität hinaus belastet. Für langwierige Kompatibilitätstests nebst zugehöriger Recherche, welcher Patch oder Bugfix gerade jetzt notwendig ist, bleibt in der Praxis fast nie Zeit zumal, wenn das Aufspielen wegen einer akuten Gefahr schnell erfolgen muss. Situationsverschärfend kommt hinzu, dass eine unternehmensumspannende Managementlösung nur selten ganz oben in der Bewilligungsliste der IT-Budgets zu finden ist. Das vordergründige Argument: Sicherheitsmanagement hat für die Geschäftsprozesse eine untergeordnete Bedeutung. Dennoch hat das Szenario der idealen Welt mehr als nur akademischen Wert. Selbst wenn der zur Verfügung stehende finanzielle Rahmen klein ist, die Teams lediglich aus einem einzigen Administrator bestehen dürfen und der Alltagsstress kaum Zeit lässt, es rentiert sich in jedem Fall, das Security-Management als geordneten Prozess aufzusetzen. Hilfreich kann es sein, sich an der Norm ISO/IEC (ehemals ISO/IEC 17799) zu orientieren, die inhaltlich auf dem British Standard Nr. 7799, Teil 1 (BS :1999) aufbaut (siehe Kasten). Sie enthält zum Beispiel die Beschreibung diverser Kontrollmechanismen. Den deutschen Anteil an der internationalen Normungsarbeit des ISO/IEC JTC 1/SC 27 Information Technology Security Techniques trägt die Gruppe DIN NIA IT-Sicherheitsverfahren. Hilfestellung durch Normen Nach der Überarbeitung der ISO/IEC 17799:2000 kamen jeweils neue Hauptkategorien und Sicherheitsmaßnahmen hinzu, außerdem definierten die Beteiligten einen neuen Überwachungsbereich (Information Security Incident Management Umgang mit Sicherheitsvorfällen). Als Grundlage für die Standardisierung gilt dabei eine Sammlung von Erfahrungen, VI ix extra 3/2011

7 ESET-Virenschutz für die gesamte Firmen-IT Damit Ihr Unternehmen kein Pflegefall wird

8 Verfahren und Methoden aus der Praxis (ähnlich ITIL), um einen Best-Practice-Ansatz zu erreichen. Eine Zertifizierung nach ISO/IEC ist allerdings grundsätzlich nicht machbar, da es sich bei der Norm um eine Sammlung von Vorschlägen und nicht For derungen handelt. Will ein Unternehmen ein Informationssicherheits-Management-System zertifizieren lassen, ist dies nur über die Erfüllung der Anforderungen nach ISO/IEC möglich. Welche Bereiche einer normgerechten Her - angehensweise unterliegen, zeigt der Kasten auf dieser Seite. Eine der wichtigsten Erkenntnisse: Der Einsatz eines Software-Tools allein löst noch kein Sicherheitsproblem. Security-Management ist stets ein Kompromiss aus einem komplett selbst überwachten Prozess und von Hersteller und Dienstleister vorgegebenen Teilen. Konkret heißt das beispielsweise, dass kaum ein Unternehmen in der Lage ist, die regelmäßig erscheinenden Betriebssystem-Patches selbst zu testen, sondern diese Verantwortung an den Hersteller abgibt. Besonders im Security-Umfeld gibt es oft gar keine Alternative zu dieser Vorgehensweise, denn bei akuten Bedrohungen müssen dort die Patches so schnell wie möglich eingespielt werden. Dazu gehört auch, dass sich die Verantwortlichen rechtzeitig über die aktuelle Bedrohungslage informieren. Der Aufwand, die einschlägigen Community-Web - seiten, Mailing-Listen, Foren und Blogs sowie Herstellerverlautbarungen zu beobachten, ist jedoch selbst für Spezialisten in einem IT-Team gewöhnlicher Größe enorm. Appliances können unterstützen Security-Management nach ISO/IEC 27002:2005 Die ISO/IEC 27002:2005 befasst sich mit den folgenden 11 Überwachungsbereichen: 1. Weisungen und Richtlinien zur Informationssicherheit 2. organisatorische Sicherheitsmaßnahmen und Management- Prozess 3. Verantwortung und Klassifizierung von Informationswerten 4. personelle Sicherheit 5. physische Sicherheit und öffentliche Versorgungsdienste 6. Netzwerk- und Betriebssicherheit (Daten und Telefonie) 7. Zugriffskontrolle 8. Systementwicklung und Wartung 9. Umgang mit Sicherheitsvorfällen 10. Notfallvorsorgeplanung 11. Einhaltung rechtlicher Vorgaben, der Sicherheitsrichtlinien und Überprüfungen durch Audits Die elf Bereiche gliedern sich in 39 Hauptkategorien, Kontrollziele genannt. Sie sind mit insgesamt 133 Sicherheitsmaßnahmen untersetzt, deren Anwendung das Erreichen der Kontrollziele unterstützen soll. Quelle: Wikipedia Ein Beispiel dafür, wie ein durchdachtes Konzept dem Endanwender viel Arbeit und Kopfzerbrechen ersparen kann, liefert eine UTM-Firewall-Appliance (Unified Threat Management), auf der eine Kombina - tion aus Open-Source-Software und kommerziellen Produkten arbeitet. In den allermeisten Fällen wird sich der Betreiber für eine Appliance entschieden haben, um den eigenen Aufwand möglichst gering zu halten. Von den Sicherheits- Fea tures aus dem Open- Source-Umfeld weiß er, dass sie besonders leistungsfähig und aktuell sind, weil die Commu nity permanent ein waches Auges darauf hält und Bugs wie Fixes dafür flott kommuniziert. Er selbst hingegen verfügt weder über ausreichend Kompetenz noch über die Zeit, sich ständig auf dem Laufenden zu halten. Er profitiert davon, wenn der UTM-Firewall-Anbieter dediziert zu diesem Zweck ein eigenes Team unterhält, das nichts anderes tut, als den Kontakt zur Community der Entwickler und Benutzer aktuell zu halten. Dies ergibt einen sofort einsehbaren Geschwindigkeitsvorteil. Außerdem verhindert es, dass der Anwender einen Fehler etwa bei einem Kompatibilitätsproblem wiederholt, den ein anderer schon früher gemacht und veröffentlicht hat. Es liegt im Wesen einer UTM-Firewall-Appliance, dass sie für die Sicherheit eines Unternehmens einen besonders kritischen Punkt darstellt. Ein Ausfall wäre für den Betreiber ein Desaster. Überwacht eine kompetente Community sowohl die Bedrohungslage als auch das Funktionieren der Patches, stellt sich fast immer ein Gewinn an Sicherheit ein, und zwar zusätzlich zum Geschwindigkeitsvorteil. Es spricht aber nichts dagegen, dass außer der Open-Source-Software ebenfalls kommerzielle Produkte auf der Appliance laufen können. Anbieter von Anti-Virus-Lösungen liefern ihre Signaturen heute mindestens im Stundentakt; auf der Appliance auch im Zusammenspiel mit anderer Software ohne Probleme. Allerdings ist es selten sinnvoll, den geschilderten Prozess vollständig zu automatisieren. Die individuelle Situation im Alltag des Anwenderunternehmens kann bisweilen ein manuelles Eingreifen erforderlich machen, jedenfalls sollte die Option dazu existieren. Dabei kommt es offensichtlich wieder auf eine exakte Definition des Einsatzortes an: Bei einer Firewall sollte ein kompetenter Administrator entscheiden können, ob das Aufspielen eines Patches oder eines Updates zu einem bestimmten Zeitpunkt gewünscht ist oder nicht. Bei einem Viren-Signatur-Update auf dem Desktop-Systems eines Endanwenders darf diese Entscheidung dagegen nicht beim Nutzer liegen. Vielmehr sollte garantiert sein, dass ein Endbenutzer keine wichtigen Sicherheitsfunktionen deaktivieren kann. Fazit Zu den wichtigsten Aufgaben für ein effizientes Security-Management zählt die Definition eines sauberen Prozesses, der auf der möglichst exakten Kenntnis der eingesetzten Hardware und Software aufsetzt. Kriterien dazu können beispielsweise die einschlägigen internationalen Normierungswerke liefern. Hilfestellung kommt von geeigneter Soft- und Hardware, etwa in Form von Sicherheits-Appliances, die als alleinige Problem - löser aber nicht taugen. Vielmehr ist ein durchdachtes und individuell abgestimmtes Konzept gefragt. Wie viel Eigenleistung des Anwenderunternehmens bei der zeitnahen Beobachtung etwa der Bedrohungslage sinnvoll und möglich ist, hängt von den zur Verfügung stehenden Ressourcen und der Qualifika - tion des zuständigen Personals ab. Meist ist es außerdem sinnvoll, Mitarbeiter vor allem IT-fremde durch spezielle Security-Awareness-Maßnahmen für die Thematik zu sensibili - sieren und entsprechende Schulungen abzuhalten. (ur) Susanne Franke ist freie IT-Fachautorin in München. VIII ix extra 3/2011

9 Zentraler Nachrichtendienst Sicherheitsinformationen sammeln, verarbeiten und verwalten Das Akronym SIEM gehört noch immer zu den wenig bekannten Kürzeln der IT-Sicherheitswelt. Dies wird sich ändern, denn das sogenannte Security Information and Event Management ist für die Erfüllung vieler Compliance-Anforderungen und für ein funktionierendes Informations-Sicherheitsmanagement (ISMS) nach ISO eine wichtige Vorbedingung. Wie auch immer eine Organisation sich dem Thema Informationssicherheit nähert, sie muss auf jeden Fall wissen, wie ihr aktueller Status ist und ob sich der eigene Sicherheitslevel eher nach oben oder nach unten bewegt. Das soll das sogenannte Security Information and Event Management, das zentralisierte Erfassen, Interpretieren und Verwalten aller Daten aus sicherheitsrelevanten Systemen, leisten. Ohne dieses Wissen ist es unmöglich, zielgerichtete Maßnahmen zu ergreifen. Außerdem drohen Fehlinvestitionen bei der Auswahl von Sicherheitsprodukten, und auch ein Nachweis ausreichender Vorkehrungen lässt sich nicht führen. Compliance-Anforderungen spielen eine weitere wichtige Rolle: Externe Vorgaben aus der Wirtschaft und aus dem nationalen und internationalen Recht etwa fordern die Kenntnis des eigenen Status explizit oder implizit ein. Unternehmen schließlich, die ein Managementsystem für Informationssicherheit nach ISOˇ27001 oder BSI-Grundschutz einführen wollen, sind im Rahmen des typischen Regelkreislaufs solcher Management systeme zu einer kontinuierlichen Beobachtung der Sicherheitssitua- NETGEAR FÜR KLEINERE UND MITTLERE UNTERNEHMEN Sicherheit ist kostbar. Und kostengünstig. Bieten Sie Ihren Kunden mit NETGEAR pass genaue Lösungen für kleinere und mittlere Unternehmen. Entdecken Sie Enter prise -Class-Qualität mit erheblichen Kosten vorteilen und übersichtlichem Lizenzierungs modell. In NETGEAR ProSecure Security-Appliances kommt die beste verfügbare Sicherheitsarchitektur zum Einsatz. Sie bieten durch 1,2 Mio. bzw. 3,2 Mio. Signaturen einen effektiven Schutz vor Viren und Malware und arbeiten durch die Stream-Scanning-Technologie bis zu fünfmal schneller als herkömmliche Lösungen. Sie finden uns in Halle 11, Stand D16 UTM5/10/25/50 All-in-one-Gateway-Lösungen mit Router, Application-Proxy-Firewall, VPN, IPsec und SSL-VPN für bis zu 50 Computer-Arbeitsplätze. STM150/300/600 Security-Appliances für Web- und -Threat-Management für bis zu 600 Computer-Arbeitsplätze. Fordern Sie jetzt weitere Informationen oder Ihren persönlichen Katalog an: telefonisch unter oder per UTM50 STM600

10 verstreuten Informationen und weiterer sicherheitsrelevanter Daten zu erleichtern, sodass die Verantwortlichen auf der Basis der Ergebnisse sinnvolle Sicherheitsentscheidungen treffen können. Dazu müssen SIEM-Systeme eine Reihe komplexer Aufgaben lösen. Eine erste Aufgabe, bei der SIEM-Systeme Sicherheitsverantwortliche unterstützen sollen, ist die Analyse des Datenbestands aus unterschiedlichen Perspektiven. In einem Gateway-Log beispielsweise, das das Auftreten aller möglichen Spionageprogramme aufzeichnet, sind im Normalfall nicht alle Einträge von unmittelbarem Interesse. Der Administrator muss sich im Arbeitsalltag auf die Malware konzentrieren, die in seinem Netz überhaupt Schaden anrichten kann. In einem reinen Windows-Netzwerk etwa stellt Windows-Malware eine große Bedrohung dar, deren Auftreten gegebenenfalls Alarme rechtfertigt. Das Beispiel AlienVault zeigt einen typischen SIEM-Bildschirm mit Incident-Status, Netzwerkdarstellung und Risikosituation (Abb. 1). tion gezwungen. Nur so können sie ihre Maßnahmen und Risikoabschätzungen überprüfen, und ohne leicht zugängliche Dokumenta tion der Sicherheitsvorfälle bekommen die Organisationen kein Zertifikat. Logdaten als Quelle Zu den im Rahmen eines Security Information and Event Management relevanten Informationen gehören unterschiedliche statische und dynamische Daten: ˇInformationen über die jeweils aktuelle Funktionsfähigkeit von Sicherheitssystemen, ˇDaten über den Patch-Status von Softwarekomponenten, ˇdie aktuelle Konfiguration relevanter Systeme, ˇZuverlässigkeits- und Laufzeitdaten, ˇInformationen über die Einhaltung von Richtlinien, ˇStatistiken über Funde von Viren und anderer Malware, ˇDaten über Verluste mobiler Speichermedien und Endgeräte, ˇunerlaubte Zugriffsversuche auf vertrauliche Ressourcen und vieles mehr. Auf der technischen Ebene ist die reine Erhebung dieser Daten unproblematisch, denn nahezu alle IT-Systeme vom Server über Firewalls und Intrusion-Detection-Appliances bis hin zu Authentifizierungssystemen liefern auf Wunsch fast beliebig umfangreiche Logdateien. In diesen Dateien gehen die wirklich sicherheitsrelevanten Informationen allerdings oft unter. Außerdem sind sie häufig nur für Techniker verständlich, die die Systeme gut kennen. SIEM hilft bei allen Vorgängen SIEM-Systeme wurden entworfen, um die Verwaltung, Speicherung, Auswertung und Aufbereitung der in den Logdateien Herausfinden, was relevant ist Schädliche Programme für Linux-Rechner sind hier dagegen nur eine Randerscheinung. Diese Einschätzung ändert sich zwangsläufig, wenn plötzlich die Anschaffung von Linux-Servern ansteht. In diesem Fall lohnt sich ein statistischer Rückblick auf die Linux-Mal - ware-funde in der Vergangenheit, um das Risiko abschätzen zu können, das den neuen Systemen im konkreten Netz drohen wird. Der Betreiber kann anhand solcher Daten den Schutzbedarf für die Linux- Server feststellen und seine Entscheidung für bestimmte Maßnahmen nachvollziehbar rechtfertigen und dokumentieren. Logdateien so zu verwalten, dass sie für Auswertungen aufgrund aktu eller, aber auch möglicher zukünftiger Anforderungen zur Verfügung stehen, ist somit ein wichtiger Funkti- X ix extra 3/2011

11 onsbereich von SIEM-Systemen. Eine andere Herausforderung liegt darin, dass über die sicherheitsbezogene Relevanz von Informationen häufig individuelle Schwellenwerte entscheiden. Eine hohe Zahl täglicher Zugriffe auf eine öffentlich zugängliche Datenbank zum Beispiel ist normal, aber ab einer gewissen Zugriffszahl könnte eine Denialof-Service-Attacke dahinter stecken. Tippfehler bei der Authentifizierung an internen Systemen gehören ebenfalls zum normalen Betriebsalltag, aber je nach Muster und Häufigkeit können sie auch auf einen Versuch hindeuten, die Sicherheitsmechanismen eines Systems zu überwinden oder es über einen Software fehler in einen unkontrollierten Zustand zu bringen. Damit ein SIEM-System erkennen kann, ob eine Anomalie vorliegt und ob sie irrelevant ist oder auf einen Angriff hindeutet, muss es die normale Kommunikation im Netz kennen und gegebenenfalls nach dem Muster von Fraud-Detection- Produkten Informationen über bekannte Angriffsmuster aufnehmen können Funktionen, die in den existierenden Angeboten allerdings noch selten zur Verfügung stehen und auf recht unterschiedlichen technischen Ansätzen beruhen. Es gehört zu den wichtigsten Qualitätsmaßstäben für SIEM-Lösungen, dass sie vorhandene Daten unter immer neuen Vorgaben untersuchen können und sich auf die Sicherheitsanforderungen des Betreibers genau einstellen lassen. Dies gilt nicht nur für nachträgliche Analysen, sondern auch für die Echtzeitüberwachung mit Warnfunktion. Dabei spielt unter anderem die Fähigkeit eine Rolle, Informationen aus verschiedenen Quellen korrelieren zu können, denn komplexe Angriffsformen zeigen sich oft erst beim Abgleich von Sicherheitsdaten aus verschiedenen Systemen. Nichttechnische Quellen als Problem Sicherheitsinformationen aus nichttechnischen Quellen, die viele Unternehmen gern in die Managementsysteme aufnehmen würden, lassen sich mit SIEM nur mühsam verarbeiten. Für Sicherheitsverantwortliche ist es beispielsweise interessant, ob Schulungsziele von Awareness-Kampagnen die Unterrichteten erreicht haben oder auf welchem Stand Maßnahmen sind, die im Rahmen einer ISMS-Einführung (Information Security Management System) umgesetzt werden müssen. Informationen dieser Art müssen von Personen erfasst und in ein standardisiertes Format gebracht werden. Dies und die Tatsache, dass schon bei der Eingabe der Informationen subjektive Bewertungen ins Spiel kommen, macht eine sinnvolle automatische Auswertung zu einem Vorgang mit recht vagen Ergebnissen. Moderne SIEM-Systeme versuchen, dem Benutzer eine möglichst übersichtliche Benutzeroberfläche ( Dashboard ) zu bieten, die heute fast immer

12 SIEM liefert gezielt Daten für Nicht-Techniker hier ein Executive-Bildschirm aus dem Open-Source-System OSSIM, das sich auf Compliance-Informationen konzentriert (Abb. 2). zugleich Echtzeitüberwachung mit Warnfunktionen und umfangreiche Analysemöglichkeiten bietet. Beide Funktionsbereiche sind darauf abgestimmt, dass die Informationen auch Managern zugänglich sein sollen, deren technisches Verständnis begrenzt ist. So geben diese Werkzeuge Bedrohungstrends etwa das Malware-Aufkommen oder Angriffsformen wie Denial of Service häufig als statistische Grafiken aus und fassen sie automatisch zu Reports zusammen. Diese Berichte lassen sich in Sicherheitsdokumentationen auf - nehmen und helfen den Unternehmen, entsprechende Compliance-Anforderungen zu erfüllen. Die Burton Group verweist in ihrem SIEM- Market-Profile von 2010 darauf, dass Schätzungen zufolge 80 Prozent der verkauften SIEM- Lösungen aus Compliance- Gründen angeschafft werden. Bei der Echtzeitüberwachung zeigen die Werkzeuge in vielen Fällen Netzwerke als grafische Landkarten an, wobei sich der Sicherheitsstatus einzelner Systeme beispielsweise nach dem Ampel-Prinzip an den Farben Rot, Gelb oder Grün erkennen lässt. Oft ist es möglich, für jedes dargestellte System per Mausklick auf die Karte tiefergehende Informationen abzurufen. Manche Produkte erlauben es auch, festgelegte Verfahren zum Umgang mit Sicherheitsvorfällen einzuleiten dies können technische Reaktionen wie die Abkopplung sensibler Systeme oder Maßnahmen wie die Benachrichtigung von zuständigen Fachkräften sein. Auf Kompatibilität achten Daten langfristig aufzubewahren steht nicht besonders weit oben auf der Prioritätenliste der IT-Verantwortlichen. Lippenbekenntnisse gibt es wie beim Backup viele. Damit Archivierung gesetzlichen und anderen In ix extra 4/2011 Storage: Gezielt aufbewahren die Technik aktueller Archivierungssysteme DIE WEITEREN IX EXTRAS: Um Logdaten unterschiedlicher Sicherheitsprodukte und gegebenenfalls Informationen aus zusätzlichen Quellen auswerten zu können, müssen SIEM- Produkte die Logs in einem gemeinsamen Repository sammeln, normalisieren, kategorisieren, auf sicheren Hoch - leistungsspeichersystemen ablegen, korrelieren, auswerten und schließlich anschaulich darstellen. Anwender, die ein entsprechendes System implementieren möchten, sollten deshalb darauf achten, dass das ausgewählte Produkt mit den bereits im Netz vorhandenen Sicherheitssystemen zusammenarbeitet und dass die Architektur die Einbindung immer neuer, zukünftiger Datenquellen erlaubt. Moderne Systeme erfassen inzwischen beispielsweise sogar die Social-Media-Aktivitäten der Anwender in einem Netzwerk. Anwender sollten außerdem berücksichtigen, dass sich ein einmal installiertes SIEM-System auch auf die Einbindung neuer Sicherheitsprodukte ins Netzwerk auswirkt. Jede neue Security-Appliance oder -Software zieht Abstimmungsarbeiten an der SIEM-Technik nach sich. Die technische Konfiguration macht allerdings nur einen Teil dieses Aufwands aus. Hinzu kommt die Verankerung von Sicherheitsregeln, Schwellenwerten, Kategorien von Events und anderen Informationen in der SIEM-Umgebung, die sich wiederum aus der Risikosituation des Unternehmens sowie einzelner IT-Systeme ableiten. Speziell das Definieren von Korrelationsregeln kann extrem aufwendig sein. Sie beschreiben unter anderem, welche Daten welcher Quellen beim Zusammentreffen mit bestimmten Daten anderer Quellen auf einen Sicherheitsvorfall schließen lassen. Sowohl die Flexibilität des jeweiligen SIEM-Systems als auch die Anwenderfreundlichkeit der Konfiguration entscheiden dabei über den Implementierungsaufwand mit. Als eine neue Herausforderung nennt die Burton Group in der schon erwähnten Studie die Erfassung von Daten aus der Cloud durch SIEM-Systeme. Vor allem für die Übermittlung von Security-Event-Informationen mangelt es noch an praktikablen Verfahren. (ur) Bettina Weßelmann ist freie Journalistin und Spezialistin für unternehmensinterne Sicherheitskommunikation. Regelungen entsprechend in die Praxis umgesetzt wird (Stichwort Compliance ), bedarf es eines Migrationskonzeptes: Je nach Wertigkeit muss das Data Lifecycle Management die Daten auf verschiedenen Stufen ablegen. Das Datenwachstum lässt sogar das Interesse an Tapes wieder aufleben. Erscheinungstermin: Ausgabe Thema Erscheinungstermin 5/11 Networking Mobile Firmenzugänge VPN und 28.ˇ04.ˇ11 die Alternativen 6/11 Embedded Systems Product Lifecycle Management 26.ˇ05.ˇ11 im Automotive-Umfeld 7/11 Security Application-Scanner, Web-Firewalls & Co. 23.ˇ06.ˇ11 Sicherheit im Web 2.0 XII ix extra 3/2011

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr

Der Weg zu einem ganzheitlichen GRC Management

Der Weg zu einem ganzheitlichen GRC Management Der Weg zu einem ganzheitlichen GRC Management Die Bedeutung von GRC Programmen für die Informationsicherheit Dr. Michael Teschner, RSA Deutschland Oktober 2013 1 Transformationen im Markt Mobilität Cloud

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Cloud Computing Governance Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Definition Cloud - Wolke Wolke, die; -, -n; Wölkchen: Hoch in der Luft schwebende Massen feiner Wassertröpfchen

Mehr

Compliance-Management leicht gemacht

Compliance-Management leicht gemacht Compliance-Management leicht gemacht Compliance-Management leicht gemacht Log- und Compliance- Management in einer Lösung Das Management der Security-Infrastruktur unter Einhaltung aller Compliance- Richtlinien

Mehr

Security Information und Event Management (SIEM) erweiterte Sicherheitsanforderungen bei wachsender Datenflut

Security Information und Event Management (SIEM) erweiterte Sicherheitsanforderungen bei wachsender Datenflut TWINSOF T Security Information und Event Management (SIEM) erweiterte Sicherheitsanforderungen bei wachsender Datenflut 05.06.2013 GI Themenabend BIG DATA: Matthias Hesse, Twinsoft Ablauf 1. Wer ist denn

Mehr

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR.

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. Hans Joachim von Zieten DATEN DAS WICHTIGSTE GUT Daten und Informationen sind ein wichtiges, ja sogar

Mehr

Cloud Computing Leitstand: Risiko- und Sicherheits-Management für virtualisierte IT-Infrastrukturen

Cloud Computing Leitstand: Risiko- und Sicherheits-Management für virtualisierte IT-Infrastrukturen 1 Cloud Computing Leitstand: Risiko- und Sicherheits-Management für virtualisierte IT-Infrastrukturen Führungskräfte Forum Berlin, den 18.10.2011 Thomas Köhler Leiter Public Sector, RSA Thomas.Koehler@rsa.com

Mehr

Zentrale Loganalyse als wichtiges Element für eine sichere IT-Infrastruktur

Zentrale Loganalyse als wichtiges Element für eine sichere IT-Infrastruktur Zentrale Loganalyse als wichtiges Element für eine sichere IT-Infrastruktur Rainer Schneemayer Zentrale Loganalyse als wichtiges Element für eine sichere IT-Infrastruktur Unzählige Logfiles befinden sich

Mehr

Mobile Device Management

Mobile Device Management Mobile Device Management Ein Überblick über die neue Herausforderung in der IT Mobile Device Management Seite 1 von 6 Was ist Mobile Device Management? Mobiles Arbeiten gewinnt in Unternehmen zunehmend

Mehr

Incident Response und Forensik

Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Der Einbruch eines Hackers in die Web-Applikation des Unternehmens, ein Mitarbeiter, der vertrauliche Daten

Mehr

Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn Sie einen

Mehr

Automatisierung eines ISMS nach ISO 27001 mit RSA Archer

Automatisierung eines ISMS nach ISO 27001 mit RSA Archer Automatisierung eines ISMS nach ISO 27001 mit RSA Archer Wilhelm Suffel Senior Consultant Computacenter AG & Co ohg Hörselbergstraße 7, 81677 München, Germany Tel.: +49 89 45712 446 Mobile: +49 172 8218825

Mehr

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

Die Vorteile von Multicore-UTM. Umfassender Echtzeit-Schutz jenseits der Geschwindigkeitsbarriere

Die Vorteile von Multicore-UTM. Umfassender Echtzeit-Schutz jenseits der Geschwindigkeitsbarriere Die Vorteile von Multicore-UTM Umfassender Echtzeit-Schutz jenseits der Geschwindigkeitsbarriere Inhalt Netzwerksicherheit wird immer komplexer 1 UTM ist am effizientesten, wenn ganze Pakete gescannt werden

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

McAfee Total Protection Vereinfachen Sie Ihr Sicherheits-Management

McAfee Total Protection Vereinfachen Sie Ihr Sicherheits-Management McAfee Vereinfachen Sie Ihr Sicherheits-Management Seit der erste Computervirus vor 25 Jahren sein Unwesen trieb, hat sich die Computersicherheit dramatisch verändert. Sie ist viel komplexer und zeitaufwendiger

Mehr

Security Operations Center

Security Operations Center Nadine Nagel / Dr. Stefan Blum Security Operations Center Von der Konzeption bis zur Umsetzung Agenda Bedrohungslage Security Operations Center Security Intelligence Herausforderungen Empfehlungen 2 Bedrohungslage

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

SECURITY, COMPLIANCE & TRUST IN DER CLOUD

SECURITY, COMPLIANCE & TRUST IN DER CLOUD SECURITY, COMPLIANCE & TRUST IN DER CLOUD See More, Act Faster, Spend Less Dr. Michael Teschner, RSA Deutschland Herausforderungen Security & Compliance Informationen Datenwachstum Bedeutung und Wert Infrastruktur

Mehr

White Paper. 1. GRC und ISMS - Warum Einsatz von Software-Lösungen?

White Paper. 1. GRC und ISMS - Warum Einsatz von Software-Lösungen? e:digital media GmbH software distribution White Paper Information Security Management System Inhalt: 1. GRC und ISMS - Warum Einsatz von Software-Lösungen? 2. Was sind die QSEC-Suiten? 3. Warum ein Information

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

BeamYourScreen Sicherheit

BeamYourScreen Sicherheit BeamYourScreen Sicherheit Inhalt BeamYourScreen Sicherheit... 1 Das Wichtigste im Überblick... 3 Sicherheit der Inhalte... 3 Sicherheit der Benutzeroberfläche... 3 Sicherheit der Infrastruktur... 3 Im

Mehr

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur.

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur. MIKOGO SICHERHEIT Inhaltsverzeichnis Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur Seite 2. Im Einzelnen 4 Komponenten der Applikation

Mehr

IT-Monitoring braucht Sicherheit Sicherheit braucht Monitoring. Günther Klix op5 GmbH - Area Manager D/A/CH

IT-Monitoring braucht Sicherheit Sicherheit braucht Monitoring. Günther Klix op5 GmbH - Area Manager D/A/CH IT-Monitoring braucht Sicherheit Sicherheit braucht Monitoring Günther Klix op5 GmbH - Area Manager D/A/CH Technische Anforderungen an IT Immer komplexere & verteiltere Umgebungen zunehmend heterogene

Mehr

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

Kann Big Data Security unsere IT-Sicherheitssituation verbessern?

Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

Die Herausforderungen in der Logfileanalyse zur Angriffserkennung

Die Herausforderungen in der Logfileanalyse zur Angriffserkennung Die Herausforderungen in der Logfileanalyse zur Angriffserkennung Patrick Sauer, M.Sc. 29.01.2014 V1.0 Agenda Zielstellung Vorstellung: Wer bin ich, was mache ich? Angriffe und die Auswirkungen in den

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

SAP BusinessObjects Solutions for Governance, Risk and Compliance

SAP BusinessObjects Solutions for Governance, Risk and Compliance SAP BusinessObjects Solutions for Governance, Risk and Compliance B4: Berechtigungsvergabe datenschutz- und compliancekonform gestalten mit SAP BusinessObjects Access Control und SAP Netweaver Identity

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

Sicherheit im IT - Netzwerk

Sicherheit im IT - Netzwerk OSKAR EMMENEGGER & SÖHNE AG IT - SERVICES Email mail@it-services.tv WWW http://www.it-services.tv Stöcklistrasse CH-7205 Zizers Telefon 081-307 22 02 Telefax 081-307 22 52 Kunden erwarten von ihrem Lösungsanbieter

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin Software EMEA Performance Tour 2013 17.-19 Juni, Berlin HP Autonomy Information Governance Strategie: Die Kontrolle über die Informationsflut Petra Berneaud - Account Manager Autonomy Status in vielen

Mehr

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI.

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. ISO/IEC 27001 von BSI Ihre erste Wahl für Informationssicherheit BSI ist die Gesellschaft für Unternehmensstandards,

Mehr

Cloud Computing Wohin geht die Reise?

Cloud Computing Wohin geht die Reise? Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen 17.10.2011 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten

Mehr

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem 1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem Management, Access Management a. Event Management b. Service Desk c. Facilities Management d. Change Management e. Request Fulfilment

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

ITIL IT Infrastructure Library

ITIL IT Infrastructure Library ITIL IT Infrastructure Library Einführung in das IT-Service-Management Andreas Linhart - 2009 Agenda IT-Service-Management Der ITIL-Ansatz Lizenzen & Zertifizierungen ITIL-Prozessmodell (v2) Service Support

Mehr

AirITSystems auf der CeBIT 2014: Positive Bilanz dank topaktueller IT-Security-Themen und verbessertem B-to-B-Konzept des Veranstalters.

AirITSystems auf der CeBIT 2014: Positive Bilanz dank topaktueller IT-Security-Themen und verbessertem B-to-B-Konzept des Veranstalters. AirITSystems auf der CeBIT 2014: Positive Bilanz dank topaktueller IT-Security-Themen und verbessertem B-to-B-Konzept des Veranstalters Pressekontakt Unternehmenskommunikation Fax 0511/977-4100 ÜP Seite

Mehr

IT Security in der Praxis. Datensicherheit, Einbruchssicherheit, Rechtssicherheit. Carsten Fischer (Produkt Management)

IT Security in der Praxis. Datensicherheit, Einbruchssicherheit, Rechtssicherheit. Carsten Fischer (Produkt Management) IT Security in der Praxis Datensicherheit, Einbruchssicherheit, Rechtssicherheit Carsten Fischer (Produkt Management) Übersicht Wer ist die TELCO TECH GmbH? Sicherheitsprobleme in KMUs Elemente einer Lösung

Mehr

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central Modernes Vulnerability Management Christoph Brecht Managing Director EMEA Central Definition Vulnerability Management ist ein Prozess, welcher IT Infrastrukturen sicherer macht und Organisationen dabei

Mehr

Dunkel Mail Security

Dunkel Mail Security Dunkel Mail Security email-sicherheit auf die stressfreie Art Unser Service verhindert wie ein externer Schutzschild, dass Spam, Viren und andere Bedrohungen mit der email in Ihr Unternehmen gelangen und

Mehr

WOTAN-GRC-Monitor. Governance, Risk & Compliance Governance (Betriebsführung) Risk (Risiko-Management) Compliance (Einhaltung von Regeln)

WOTAN-GRC-Monitor. Governance, Risk & Compliance Governance (Betriebsführung) Risk (Risiko-Management) Compliance (Einhaltung von Regeln) Governance, Risk & Compliance Governance (Betriebsführung) Risk (Risiko-Management) Compliance (Einhaltung von Regeln) WOTAN-GRC-Monitor Das Risiko eines Unternehmens ist zu einem beträchtlichen Teil von

Mehr

Network Access Control für Remote Access: Best Practice Technical Paper

Network Access Control für Remote Access: Best Practice Technical Paper Network Access Control für Remote Access: Best Practice Technical Paper Stand Mai 2010 Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden und

Mehr

ITIL Trainernachweise

ITIL Trainernachweise ITIL Trainernachweise Allgemein: Akkreditierung als ITIL -Trainer für Foundation, Service Strategy, Service Design, Service Transition, Service Operation, CSI, Managing across the Lifecycle (MALC) Akkreditierung

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

IN DER EINFACHHEIT LIEGT DIE KRAFT. Business Suite

IN DER EINFACHHEIT LIEGT DIE KRAFT. Business Suite IN DER EINFACHHEIT LIEGT DIE KRAFT Business Suite DIE GEFAHR IST DA Online-Gefahren für Ihr Unternehmen sind da, egal was Sie tun. Solange Sie über Daten und/oder Geld verfügen, sind Sie ein potenzielles

Mehr

HANDHABBAR INTEGRIERT UMFASSEND

HANDHABBAR INTEGRIERT UMFASSEND Gefährlichere Bedrohungen Fortgeschrittenerer Anwendungsorientierter Häufiger Auf Profit abzielend Fragmentierung von Sicherheitstechnologie Zu viele Einzelprodukte Dürftige Interoperabilität Fehlende

Mehr

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015 ITK Sicherheitsgesetz Umsetzung mit verinice.pro verinice.xp- Grundschutztag 15.09.2015 Überblick Kurze Vorstellung des IT-Sicherheitsgesetzes Konkretisierung des Gesetzes für Energieversorger Abbildung

Mehr

Big Data im Bereich Information Security

Big Data im Bereich Information Security Der IT-Sicherheitsverband. TeleTrusT-interner Workshop Bochum, 27./28.06.2013 Big Data im Bereich Information Security Axel Daum RSA The Security Division of EMC Agenda Ausgangslage Die Angreifer kommen

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Symantec Protection Suite Enterprise Edition für Endpoints Effizienter Umgang mit IT-Sicherheitsrisiken

Symantec Protection Suite Enterprise Edition für Endpoints Effizienter Umgang mit IT-Sicherheitsrisiken Datenblatt: Endpoint Security Symantec Protection Suite Enterprise Edition für Endpoints Effizienter Umgang mit IT-Sicherheitsrisiken Überblick Mit minimieren Unternehmen das Gefährdungspotenzial der ITRessourcen,

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Symantec Protection Suite Advanced Business Edition Mehr als nur Viren- und Endgeräteschutz

Symantec Protection Suite Advanced Business Edition Mehr als nur Viren- und Endgeräteschutz Datenblatt: Endpoint Security Mehr als nur Viren- und Endgeräteschutz Überblick Symantec Protection Suite Advanced Business Edition ist ein Komplettpaket, das kritische Unternehmensressourcen besser vor

Mehr

P R E S S E M I T T E I L U N G

P R E S S E M I T T E I L U N G PRESSEMITTEILUNG KuppingerCole und Beta Systems ermitteln in gemeinsamer Studie die technische Reife von Identity Access Management und Governance in der Finanzindustrie Identity Provisioning als Basistechnologie

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

Wir haben den Markt durch Innovationen grundlegend verändert. Über 11.000 zufriedene Kunden sprechen eine deutliche Sprache:

Wir haben den Markt durch Innovationen grundlegend verändert. Über 11.000 zufriedene Kunden sprechen eine deutliche Sprache: EIN SERVERSYSTEM, DAS NEUE WEGE BESCHREITET Wir haben den Markt durch Innovationen grundlegend verändert. Über 11.000 zufriedene Kunden sprechen eine deutliche Sprache: 80 % verbesserte Produktivität von

Mehr

Hans-Joachim Lorenz Teamleiter Software Sales GB LE Süd hans.lorenz@de.ibm.com

Hans-Joachim Lorenz Teamleiter Software Sales GB LE Süd hans.lorenz@de.ibm.com IBM Software Partner Academy Whiteboarding- Positionierung des Tivoli Security Produkte 3. Tag, Donnerstag der 09.10.2008 Hans-Joachim Lorenz Teamleiter Software Sales GB LE Süd hans.lorenz@de.ibm.com

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Revisionssicherheit und Langzeitarchivierung für

Revisionssicherheit und Langzeitarchivierung für Connect to Product Info Revisionssicherheit und Langzeitarchivierung für Connect to verbindet Microsoft Office mit dem Dokumentenmanagement-System DocuWare. -Anwender gewinnen eine ideale Lösung, um Dokumente

Mehr

Cisco ProtectLink Endpoint

Cisco ProtectLink Endpoint Cisco ProtectLink Endpoint Kostengünstige Daten- und Benutzersicherheit Wenn der Geschäftsbetrieb erste Priorität hat, bleibt keine Zeit für die Lösung von Sicherheitsproblemen, ständiges Patchen und Bereinigen

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

E-SEC ONLINE RISK ANALYSIS & MANAGEMENT

E-SEC ONLINE RISK ANALYSIS & MANAGEMENT 1 E-SEC ONLINE RISK ANALYSIS & MANAGEMENT Überprüfung der Personellen Informationssicherheit Ihres Unternehmens aussagekräftig, schnell und effektiv Änderungen vorbehalten, Stand: Jänner 2007 E-SEC INFORMATION

Mehr

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism INSTITUT FÜR SYSTEM- MANAGEMENT Compliance Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism ism GmbH 2010 Definition: Compliance Compliance die Bedeutung allgemein:

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

inxire Enterprise Content Management White Paper

inxire Enterprise Content Management White Paper inxire Enterprise Content Management White Paper inxire Enterprise Content Management Einleitung Die Informationstechnologie spielt eine zentrale Rolle für den Informationsaustausch und die Zusammenarbeit

Mehr

Dr. Andreas Gabriel Ethon GmbH 24.09.2015

Dr. Andreas Gabriel Ethon GmbH 24.09.2015 Wie meistern Sie nachhaltig die Kann Ihnen eine Zertifizierung ISO 27001 helfen? Dr. Andreas Gabriel Ethon GmbH KURZE VORSTELLUNG 2 Profil der Ethon GmbH; Ulm Über die Ethon GmbH Informationssicherheit

Mehr

Risikooptimierung durch Einhaltung von Standards und Zertifizierung

Risikooptimierung durch Einhaltung von Standards und Zertifizierung Rolf H. Weber Risikooptimierung durch Einhaltung von Standards und Zertifizierung Rechtliche Aspekte der Inkorporierung privater Normenkomplexe in unternehmerische Abläufe Übersicht 1.ICT-Konzept 2.Bedeutung

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Bessere Systemleistung reibungslose Geschäftsprozesse

Bessere Systemleistung reibungslose Geschäftsprozesse im Überblick SAP-Technologie Remote Support Platform for SAP Business One Herausforderungen Bessere Systemleistung reibungslose Geschäftsprozesse Wartung im Handumdrehen Immer gut betreut Wartung im Handumdrehen

Mehr

Sicherheits- & Management Aspekte im mobilen Umfeld

Sicherheits- & Management Aspekte im mobilen Umfeld Sicherheits- & Management Aspekte im mobilen Umfeld Einfach war gestern 1 2012 IBM Corporation Zielgerichtete Angriffe erschüttern Unternehmen und Behörden 2 Source: IBM X-Force 2011 Trend and Risk Report

Mehr

ÜBERBLICK ÜBER DIE WEBSENSE EMAIL SECURITY-LÖSUNGEN

ÜBERBLICK ÜBER DIE WEBSENSE EMAIL SECURITY-LÖSUNGEN ÜBERBLICK ÜBER DIE WEBSENSE EMAIL SECURITY-LÖSUNGEN ÜBERBLICK Herausforderung Viele der größten Sicherheitsverletzungen beginnen heutzutage mit einem einfachen E-Mail- Angriff, der sich Web-Schwachstellen

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

4. PQM-Dialog: Qualitätszertifizierungen Vorgehen und Erfahrungen FH Kufstein Tirol 16. November 2012

4. PQM-Dialog: Qualitätszertifizierungen Vorgehen und Erfahrungen FH Kufstein Tirol 16. November 2012 ZUVERLÄSSIGE UND EFFIZIENTE ZERTIFIZIERUNGEN: TOOLUNTERSTÜTZES, INTEGRIERTES MANAGEMENTSYSTEM ZUR COMPLIANCE MIT REGULARIEN IM QUALITÄTS- UND RISIKOMANAGEMENT 4. PQM-Dialog: Qualitätszertifizierungen Vorgehen

Mehr

Effizientes Sicherheits-Management von Endbenutzergeräten

Effizientes Sicherheits-Management von Endbenutzergeräten Effizientes Sicherheits-Management von Endbenutzergeräten Kammerstetter Bernhard Client Technical Professional IBM Tivoli http://www-01.ibm.com/software/tivoli/solutions/endpoint/ Bernhard_Kammerstetter@at.ibm.com

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

PROFI MANAGED SERVICES

PROFI MANAGED SERVICES S assuretsm Webcast Darmstadt 27.09.2013 Hans Larcén AGENDA PROFI Managed Services Serviceablauf und SLAs Ihre Vorteile Unser Vorgehensmodell assuretsm 2 MANAGED SERVICE Übernahme des operativen Betriebs

Mehr

esec der sichere Weg zum ganzheitlichen Information-Security-Management-System (ISMS) nach ISO 27001 Version: 2.9 / 29.09.2008

esec der sichere Weg zum ganzheitlichen Information-Security-Management-System (ISMS) nach ISO 27001 Version: 2.9 / 29.09.2008 esec der sichere Weg zum ganzheitlichen Information-Security-Management-System (ISMS) nach ISO 27001 Version: 2.9 / 29.09.2008 WMC Wüpper Management Consulting GmbH Vertriebs-/Projektbüros Unternehmenssitz

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

Peter Meier. Die Umsetzung von Risikomanagement nach ISO 31000. - Leseprobe -

Peter Meier. Die Umsetzung von Risikomanagement nach ISO 31000. - Leseprobe - Peter Meier Die Umsetzung von Risikomanagement nach ISO 31000 Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen

Mehr

RSA INTELLIGENCE DRIVEN SECURITY IN ACTION

RSA INTELLIGENCE DRIVEN SECURITY IN ACTION RSA INTELLIGENCE DRIVEN SECURITY IN ACTION So schützen Sie einheitlich Ihre Benutzeridentitäten im Unternehmen und in der Cloud! Mathias Schollmeyer Assoc Technical Consultant EMEA 1 AGENDA Überblick RSA

Mehr

DesktopSecurity. Schutz für den Windows-Arbeitsplatz PCs, Workstations und Laptops gegen Bedrohungen aus dem Internet

DesktopSecurity. Schutz für den Windows-Arbeitsplatz PCs, Workstations und Laptops gegen Bedrohungen aus dem Internet DesktopSecurity Schutz für den Windows-Arbeitsplatz PCs, Workstations und Laptops gegen Bedrohungen aus dem Internet Ralf Niederhüfner PROLINK internet communications GmbH 1 Desktop Security Szenarien

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

3 Projektmanagement. Auch hier lassen sich wieder grob kommerzielle und nicht kommerzielle Projekte unterscheiden.

3 Projektmanagement. Auch hier lassen sich wieder grob kommerzielle und nicht kommerzielle Projekte unterscheiden. 3 Projektmanagement Das Thema Projektmanagement kann man aus sehr unterschiedlichen Perspektiven angehen. Klar strukturiert mit Netzplänen und Controlling- Methoden oder teamorientiert mit Moderationstechniken

Mehr

Endpoint Web Control Übersichtsanleitung

Endpoint Web Control Übersichtsanleitung Endpoint Web Control Übersichtsanleitung Sophos Web Appliance Sophos UTM (Version 9.2 oder höher) Sophos Enterprise Console Sophos Endpoint Security and Control Stand: Dezember 2013 Inhalt 1 Endpoint Web

Mehr

Security Services and Solutions. Sicherheit von der Planung über die Realisierung bis zum Betrieb.

Security Services and Solutions. Sicherheit von der Planung über die Realisierung bis zum Betrieb. Security Services and Solutions. Sicherheit von der Planung über die Realisierung bis zum Betrieb. Security Services and Solutions. Seamless End-to-End Service Provision. T-Systems unterstützt seine Kunden

Mehr

SAS Analytics bringt SAP HANA in den Fachbereich

SAS Analytics bringt SAP HANA in den Fachbereich Pressemitteilung Hamburg, 08. November 2013 SAS Analytics bringt SAP HANA in den Fachbereich Ergonomie kombiniert mit Leistungsfähigkeit: die BI-Experten der accantec group geben der neuen Partnerschaft

Mehr