E-Government-Initiative für D und den neuen Personalausweis

Größe: px
Ab Seite anzeigen:

Download "E-Government-Initiative für De-Mail und den neuen Personalausweis"

Transkript

1 E-Government-Initiative für D und den neuen Personalausweis Verbandsgemeinde Montabaur in Zusammenarbeit mit KommWis IT-Sicherheitskonzeption zum Betrieb der Online-Bürgerdienste (OBD) in Rheinland-Pfalz Das Bundesministerium des Innern ist nicht verantwortlich für den Inhalt der Ergebnisdokumente, die im Rahmen der E-Government-Initiative für D und den neuen Personalausweis erstellt wurden. Deshalb werden die jeweils Verantwortlichen im Impressum auf der letzten Seite der Dokumente genannt. Sie stehen Ihnen für inhaltliche Fragen zur Verfügung.

2 IT-Sicherheitskonzeption zum Betrieb der Online-Bürgerdienste (OBD) in Rheinland- Pfalz Version Dezember 2013

3 Dokumentinformationen Datum 6. Dezember 2013 Version 0.1 Zustand in Bearbeitung seit: 16. Mai 2013 vorgelegt am: akzeptiert/abgeschlossen Verfasser Verantwortlich Alexander Hazenbiller Herbert Benz Dokumenten-ID Dokumentenhistorie Datum Version Änderungsgrund Bearbeiter 16. Mai Ersterstellung AH

4 Inhaltsverzeichnis 1 Einleitung Aufbau des Sicherheitskonzeptes Ziel der IT-Sicherheitskonzeption Fokus des Sicherheitskonzeptes Rahmenbedingungen Zuständigkeiten und Aufgabenzuordnungen Verfügbarkeitsanforderungen Aufbau und Zusammenhang von OBD Gesetzliche Vorschriften Erstellung des Sicherheitskonzeptes Bestimmung und Abgrenzung des Informationsverbundes Netzplan IT-Systeme und Anwendungen Räume und Gebäude Kommunikationsverbindungen Strukturanalyse Auswertung des Netzplans Geschäftsprozesse Erhebung der IT-Systeme Erfassung der Anwendungen Erfassung der Räume Feststellung des Schutzbedarfes Definition der Schutzbedarfskategorien Schutzbedarfsfeststellung Auswertung aus den Ergebnissen der Schutzbedarfsanalyse Modellierung Basis-Sicherheitscheck Ergänzende Sicherheitsanalyse Ergänzende Risikoanalyse Abkürzungen Referenzierte Dokumente KommWis GmbH Seite: i von iii

5 Abbildungsverzeichnis Abbildung 1 - Beschriftung... 1 Abbildung 2 - Übersicht über Verteilung der abhängigen IT-Systeme... 4 Abbildung 3 - Abgrenzung des Informationsverbundes (Physikalische Sicht)... 5 KommWis GmbH Seite: ii von iii

6 Tabellenverzeichnis Tabelle 1 - Servicezeiten... 3 Tabelle 2 - Schutzbedarfskategorien... 7 Tabelle 3 - Ermittlung und Abgrenzung von Schadensszenarien... 7 KommWis GmbH Seite: iii von iii

7 1 Einleitung In dem vorliegenden Dokument wird ein IT-Sicherheitskonzept zum Betrieb von Online- Bürgerdiensten in Rheinland-Pfalz (OBD) nach Empfehlungen der IT-Grundschutz-Kataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI) in Verbindung mit den BSI-Standards erstellt. Der Aufbau dieses Dokuments richtet sich dabei nach dem Vorgehensmodell ISO auf der Basis von IT-Grundschutz. In der nachfolgenden Abbildung 1 ist das Vorgehen zusammenfassend dargestellt. Abbildung 1 - Beschriftung 1.1 Aufbau des Sicherheitskonzeptes Die Erstellung einer Sicherheitskonzeption nach IT-Grundschutz besteht in dieser Ausarbeitung aus einem konzeptionellen und einem praktischen Teil. In Kapitel 2, dem konzeptionellen Teil, werden vorerst die Rahmenbedingungen erläutert. Ferner werden die Zuständigkeiten als auch der Aufbau von Online-Bürgerdiensten und deren Zusammenhang vorgestellt. Der konzeptionelle Teil enthält weiterhin die gesetzlichen Vorgaben des Bundesverwaltungsamtes für die Wahrnehmung des Geschäftszwecks. Der praktische Teil dieses Dokuments beginnt mit dem 3. Kapitel. Einleitend wird zunächst der Informationsverbund aus einer organisatorischen Sicht definiert. Anschließend erfolgt eine ausführliche Erfassung aller infrastrukturellen, organisatorischen, personellen und technischen Komponenten, die der Aufgabenerfüllung der Informationsverarbeitung innerhalb des Informationsverbunds dienen. Darüber hinaus wird anhand einer detaillierten Schutzbedarfsanalyse unter Verwendung der vom BSI vorgeschlagenen Schadensszenarien der Schutzbedarf für die Komponenten ermittelt. Mit Hilfe der Informationen aus der Strukturanalyse und der Schutzbedarfsfeststellung folgt danach eine Nachbildung des definierten Informationsverbunds unter Zuhilfenahme des Grundschutz-Tools (GSTOOL). KommWis GmbH Seite: 1 von 14

8 Im 6. Kapitel bietet der Basis-Sicherheitscheck einen Überblick über das bereits vorhandene Sicherheitsniveau. Dadurch können noch nicht oder teilweise umgesetzte Maßnahmen identifiziert und Verbesserungsmöglichkeiten für die Sicherheit der betrachteten Geschäftsprozesse und der aufgezeigt werden. 1.2 Ziel der IT-Sicherheitskonzeption Das Ziel dieses IT-Sicherheitskonzepts stellt die Wahrung der drei Grundwerte Verfügbarkeit, Vertraulichkeit und Integrität dar. Dadurch soll die Abwicklung der Geschäftsprozesse aufrechterhalten, Gefahren bzw. Sicherheitsdefizite frühzeitig festgestellt und durch geeignete Maßnahmen abgewendet werden. Weiterhin gibt dieses Dokument Aufschluss darüber, welches Sicherheitsniveau angestrebt wird und auf welcher Grundlage die Sicherheitsmaßnahmen festgelegt wurden. 1.3 Fokus des Sicherheitskonzeptes Das vorliegende IT-Sicherheitskonzept fokussiert auf das s-managementsystem (ISMS) des kommunalen Dienstleisters KommWis GmbH, der die Gesamtverantwortung für den Betrieb der Online-Bürgerdienste übernimmt. Explizit nicht Gegenstand dieses IT-Sicherheitskonzeptes sind alle IT-Systeme, Netzkomponenten und Anwendungen des bürgerlichen Clients sowie die Webportale auf Seiten des Diensteanbieters und Payment-Providers. KommWis GmbH Seite: 2 von 14

9 2 Rahmenbedingungen 2.1 Zuständigkeiten und Aufgabenzuordnungen Die effiziente Planung, Umsetzung und nachhaltige Aufrechterhaltung des Sicherheitsniveaus erfordert ein kontinuierliches Engagement von allen an der Planung und Umsetzung beteiligten Personen. Daher ist das Zusammenwirken der Mitarbeiter folgender Bereiche erforderlich: Mitarbeiter KommWis GmbH (KommWis) Mitarbeiter Kommunales Gebietsrechenzentrum Koblenz (KGRZ) Die von jeder Arbeitsgruppe durchzuführenden Aufgaben wurden gemeinsam definiert und anschließend den einzelnen Arbeitsgruppen zugeordnet. Für den sicheren Betrieb der Online-Bürgerdienste übernimmt KommWis die Gesamtverantwortung, initiiert sowie koordiniert die erforderlichen Aktivitäten und sorgt für die notwendige Einhaltung der und der Umsetzung der festgelegten technischen und organisatorischen Maßnahmen. Das KGRZ liefert gemäß dem Mietschein alle wesentlichen infrastrukturellen Ausstattungen. 2.2 Verfügbarkeitsanforderungen Für den Betrieb der Online-Bürgerdienste sind keine garantierten Verfügbarkeitsregelungen getroffen (SLA). Die Anforderungen an die Servicezeiten sowie Instandsetzung leiten sich aus dem Mietschein zum Vertrag für die Anmietung von EDV-Anlagen und EDV-Geräten ab (siehe Referenzierte Dokumente Nr. 1): Servicezeiten: Montag bis Donnerstag Freitag 08:00 12:00 Uhr 13:00 16:00 Uhr 08:00 13:00 Uhr Tabelle 1 - Servicezeiten 2.3 Aufbau und Zusammenhang von OBD Die nachfolgende Abbildung 2 führt die Gesamtansicht aller zusammenhängenden Systeme und deren Vernetzung auf. Die Darstellung beinhaltet dabei sämtliche Komponenten der Informationstechnologie, die der Aufgabenerfüllung des Geschäftsprozesses dienen. Eine genaue Abgrenzung und Beschreibung des Informationsverbundes nach IT-Grundschutz erfolgt im Kapitel 3.1. Eine vollständige Erfassung aller Komponenten innerhalb des Informationsverbundes im Rahmen der Strukturanalyse wird im Kapitel 3.2 betrachtet. KommWis GmbH Seite: 3 von 14

10 OBD Physikalische Sicht (Gesamtansicht) Informationsverbund Online Dienste (KGRZ) KGRZ N3: Switch V2 Prüfung eid (BOS) Payment (ComputTop) V1 V4 KGRZ S1: Vmware ESXi KGRZ N1: Firewall Internet V5 KW N1: WAF V3 Formularserver (Chamäleon) Internet KGRZ N2: Firewall knrp knrp KDZ IREG-DB (Int.) Bürger KommWis (Internet DMZ) KommWis (LAN) Syslog Admin 2.4 Gesetzliche Vorschriften Abbildung 2 - Übersicht über Verteilung der abhängigen IT-Systeme Für die Wahrnehmung des Geschäftsprozesses Abwicklung von Verwaltungsleistungen mit Identifikationsbedarf ohne Registrierung im Sinne der GemO Rheinland-Pfalz hat das Bundesverwaltungsamt im Schreiben vom (siehe Referenzierte Dokumente Nr. 2) die Berechtigung für die Anfrage sowie flüchtige Datenhaltung für die folgenden Datenfelder des neuen elektronischen Personalausweises erteilt: Familienname Vornamen Tag der Geburt Anschrift Dokumentenart Abkürzung D für Bundesrepublik Deutschland Die Daten werden im Rahmen des Bestellvorganges einmalig ausgelesen und für die Dauer des Geschäftsprozesses im Arbeitsspeicher (RAM) gehalten. Ein dauerhaftes Anlegen und Nutzen der Daten findet nicht statt. Der elektronische Identitätsnachweis kann nur mittels eines Berechtigungszertifikats, das von der Vergabestelle für Berechtigungszertifikate (VfB) bereitgestellt wurde, genutzt werden. Das Berechtigungszertifikat wird alle zwei Tage bei dem Berechtigungszertifikatanbieter erneuert. Weiterhin gilt es die Vorgaben des Bundesdatenschutzgesetzes (BDSG) zu beachten: Einhaltung der Zweckbindung der ausgelesenen Daten Recht auf Auskunft über gespeicherte Daten bzw. Löschen gespeicherter Daten Verpflichtung zur Absicherung der Verarbeitung personenbezogener Daten Verbot der Weitergabe der Daten ohne Einwilligung KommWis GmbH Seite: 4 von 14

11 3 Erstellung des Sicherheitskonzeptes 3.1 Bestimmung und Abgrenzung des Informationsverbundes Da einige Komponenten und Bereiche außerhalb des Verantwortungsbereichs der KommWis liegen, kann eine Betrachtung der Gesamtheit aller infrastrukturellen, organisatorischen, personellen und technischen Aspekte nicht stattfinden. Stattdessen wird der Informationsverbund eindeutig abgegrenzt, indem nur die für den Betrieb der Online-Bürgerdienste essentiellen IT-Systeme, Anwendungen sowie deren Verbindungen betrachtet werden (Abbildung 3). Informationsverbund Online Dienste (KGRZ) KGRZ N3: Switch V2 V1 V4 KGRZ S1: Vmware ESXi KGRZ N1: Firewall Internet KW N1: WAF V5 V3 KGRZ N2: Firewall knrp Abbildung 3 - Abgrenzung des Informationsverbundes (Physikalische Sicht) Netzplan In Abbildung 3 sind die einzelnen physikalischen IT-Systeme und deren Vernetzung innerhalb des Informationsverbundes aufgeführt. Die beiden Firewalls (KGRZ N1 und KGRZ N2), der Switch (KGRZ N3) sowie der VMware ESXi Hypervisor (KGRZ S1) befinden sich zentral in einem Serverraum und werden vom KGZR bereitgestellt und administriert. Die Web Application Firewall (WAF, KW N1) ist ebenfalls im Serverraum der KGZR untergebracht, wird jedoch durch KommWis per Fernzugriff verwaltet. Die Schnittstellen zum bzw. aus dem Informationsverbund stellen jeweils die LAN-Ports der KGRZ und knrp (kommunales Netz Rheinland-Pfalz) Firewall dar IT-Systeme und Anwendungen Die virtuellen Maschinen sind mit einem Linux-Betriebssystem ausgestattet. Die einheitliche Haltung soll den Administrationsaufwand minimieren. Als Anwendung kommen eine Oracle 11g Datenbank sowie Komponenten der Firma HSH und bos zum Einsatz Räume und Gebäude Die oben genannten technischen Komponenten bzw. der Stellplatz für die WAF (KW N1) sind von der KommWis angemietet und werden durch das KGRZ in deren Räumlichkeiten betrieben. Leistungen wie Stromanschluss, Netzwerk und Klimatisierung stellt das KGRZ bereit. Der Zutritt zu dem Serverraum ist nur auf einen ausgewählten Personenkreis beschränkt, nachgewiesen und durch die Dienstanweisungen des KGRZ geregelt. Gemäß Geltungsbereich werden die Räumlichkeiten nicht näher betrachtet. KommWis GmbH Seite: 5 von 14

12 3.1.4 Kommunikationsverbindungen Alle physikalischen IT-Systeme besitzen ein dediziertes Netzwerkkabel zum Switch. Die Kommunikationsverbindungen der jeweiligen IT-Systeme sind entsprechend mit V1 bis V5 gekennzeichnet. Über die beiden Firewalls KGRZ N1 und KGRZ N2 werden Außenverbindungen aus dem knrp bzw. zum und vom Internet aufgebaut. Zum reinen Firewalling-Prozess wird der Datenstrom der Anwendungen vom und zum Internet zusätzlich durch eine WAF (KW N1) kontrolliert. 3.2 Strukturanalyse Auswertung des Netzplans Die Bereinigung des Netzplans gemäß IT-Grundschutz zur Komplexitätsreduzierung findet nicht statt, da die einzelnen IT-Systeme in ihrer Eigenschaft und Konfiguration unterschiedlich sind und daher nicht zu einer Gruppe zusammengefasst werden können. Der in Abbildung 3 dargestellte Netzplan bildet die Grundlage für die nachfolgenden Schritte der Strukturanalyse Geschäftsprozesse Die Kernprozesse (Abläufe) im Bereich Meldewesen zur Antragsstellung sind in einem separaten Dokument detailliert beschrieben (siehe Referenzierte Dokumente Nr. 3) Erhebung der IT-Systeme Die IT-Systeme sind im GSTOOL erfasst und beschrieben. Es werden nur die IT-Systeme betrachtet, die unmittelbar zur Unterstützung der Vorgänge dienen Erfassung der Anwendungen Die Anwendungen sind im GSTOOL erfasst und beschrieben. Bei der Erfassung wird angegeben, ob personenbezogene Daten mit der Anwendung verarbeitet werden Erfassung der Räume Die Räumlichkeiten bei der KGRZ werden gemäß Geltungsbereich nicht näher betrachtet. Eine detaillierte Sicherheitsbetrachtung findet in dem Sicherheitskonzept der KGRZ statt. KommWis GmbH Seite: 6 von 14

13 4 Feststellung des Schutzbedarfs Die Schutzbedarfsfeststellung betrachtet die oben ermittelten sicherheitsrelevanten Objekte (Prozesse, Informationen, Anwendungen). Der Schutzbedarf bezieht sich jeweils auf die drei Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit. 4.1 Definition der Schutzbedarfskategorien Der Schutzbedarf wird in die Kategorien normal, hoch und sehr hoch unterteilt. Als Rahmen dient hierbei die folgende Einstufung: Schutzbedarfskategorie normal hoch sehr hoch Beschreibung Die Schadensauswirkungen sind begrenzt und überschaubar. Die Schadensauswirkungen können beträchtlich sein. Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen. Tabelle 2 - Schutzbedarfskategorien Damit eine eindeutige Abgrenzung der Schutzbedarfskategorien voneinander stattfinden kann, wurden die potenziellen Schadensauswirkungen anhand einer Schutzbedarfsanalyse in Kollaboration mit der Geschäftsleitung erarbeitet. Kategorie normal/ hoch/ sehr hoch Schadensszenario [Verstoß gegen Gesetze/Vorschriften/Verträge] Verstöße gegen Vorschriften und Gesetze haben geringfügige/erhebliche/ruinöse Konsequenzen. Vertragsverletzungen mit geringen/hohen/sehr hohen Vertragsstrafen. [Beeinträchtigung des informationellen Selbstbestimmungsrechts] Eine Beeinträchtigung des informationellen Selbstbestimmungsrechts würde durch den Einzelnen als tolerabel/bedeutend/nicht akzeptabel eingeschätzt werden. Ein möglicher Missbrauch personenbezogener Daten hat nur geringfügige/erhebliche/gravierende Auswirkungen auf die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen. Schadensersatzansprüche Dritter sind nicht/wahrscheinlich/zu erwarten. [Beeinträchtigung der persönlichen Unversehrtheit] Eine Beeinträchtigung der persönlichen Unversehrtheit kann wahrscheinlich/nicht absolut/nicht ausgeschlossen werden. [Beeinträchtigung der Aufgabenerfüllung] Die Beeinträchtigung würde von den Betroffenen als tolerabel/arbeitsverhindernd/nicht hinnehmbar eingeschätzt werden. Die zugesicherte Wiederherstellungszeit beträgt mehr als 24/zwischen 8 und 24/weniger als 8 Stunden. [Negative Außenwirkung] Eine geringe bzw. nur interne/breite/landesweite Ansehens- oder Vertrauensbeeinträchtigung ist zu erwarten. Keine/hohe/sehr hohe Abwanderung von Kunden ist zu erwarten. [Finanzielle Auswirkungen] Der finanzielle Schaden bleibt für die KommWis tragbar/geschäftsschädigend/existenz bedrohlich. Tabelle 3 - Ermittlung und Abgrenzung von Schadensszenarien KommWis GmbH Seite: 7 von 14

14 4.2 Schutzbedarfsfeststellung Eine detaillierte Ermittlung des Schutzbedarfs nach BSI-Grundschutz ist dem Anhang 1 zu entnehmen. 4.3 Auswertung aus den Ergebnissen der Schutzbedarfsanalyse Die Schutzbedarfsfeststellung hat ergeben, dass die verarbeiteten Informationen aufgrund der gesetzlichen Vorschriften als sicherheitskritisch eingestuft werden und daher eines höheren Schutzbedarfs bedürfen. Welche Maßnahmen sich als geeignet erweisen, wird nach der Durchführung des Basis- Sicherheitschecks und einer ergänzenden Sicherheitsanalyse ermittelt. KommWis GmbH Seite: 8 von 14

15 5 Modellierung Die Modellierung des Informationsverbunds nach IT-Grundschutz sowie die Ermittlung der notwendigen Sicherheitsmaßnahmen erfolgt unter Zuhilfenahme des GSTOOL. KommWis GmbH Seite: 9 von 14

16 6 Basis-Sicherheitscheck Die Ermittlung des aktuellen Umsetzungsgrades der einzelnen Sicherheitsmaßnahmen eines Bausteines erfolgt direkt im GSTOOL (siehe Anhang 2). KommWis GmbH Seite: 10 von 14

17 7 Ergänzende Sicherheitsanalyse Die Schutzbedarfsfeststellung hat ergeben, dass der Grundwert Vertraulichkeit einen hohen Schutzbedarf besitzt. Daher wird mittels einer ergänzenden Sicherheitsanalyse festgestellt, ob höherrangige Sicherheitsmaßnahmen ergriffen werden müssen. Eine ausführliche Risikoanalyse auf der Basis von IT-Grundschutz ist in einem separaten Dokument beschrieben (siehe Referenzierte Dokumente Nr. 4). KommWis GmbH Seite: 11 von 14

18 8 Ergänzende Risikoanalyse Die ergänzende Sicherheitsanalyse hat ergeben, dass eine ergänzende Risikoanalyse nicht notwendig ist. KommWis GmbH Seite: 12 von 14

19 9 Abkürzungen BDSG bos KGRZ knrp OBD RAM VfB WAF Bundesdatenschutzgesetz bremen online services Kommunales Gebietsrechenzentrum Kommunales Netz Rheinland-Pfalz Online-Bürgerdienste Random Access Memory Vergabestelle für Berechtigungszertifikate Web Application Firwall KommWis GmbH Seite: 13 von 14

20 10 Referenzierte Dokumente Nr. Dokumententitel, Version, Datum, Ersteller, Dokumentname /1/ Mietschein, 2.0, KGRZ/KommWis GmbH, KGRZ-Mietschein.docx /2/ Schreiben vom bzgl. Berechtigungszertifikat /3/ OBD Meldewesen Prozesse, 0.1, Achim Fürst, OBD_Konzept- Meldewesen_Prozesse.docx /4/ Ergänzende Sicherheitsanalyse, 1.0, Detlev Reimann, ODB-Ergaennzende- Sicherheitsanalyse.doc KommWis GmbH Seite: 14 von 14

21 Herausgeber Bundesministerium des Innern IT-Stab, Referat IT4 Alt-Moabit 101 D, Berlin Bezugsquelle Bundesministerium des Innern Internet: und Tel.: +49(0) Fax: +49(0) Veröffentlicht Dezember 2013 HINWEIS Das Bundesministerium des Innern ist nicht verantwortlich für den Inhalt der Ergebnisdokumente, die im Rahmen der E-Government-Initiative für D und den neuen Personalausweis erstellt wurden. Bitte wenden Sie sich bei inhaltlichen Fragen direkt an die hier genannten Ansprechpartner. Verantwortlich für den Inhalt dieses Ergebnisdokumentes Gesellschaft für Kommunikation und Wissenstransfer mbh (KommWis) Herr Herbert Benz Hindenburgplatz 3, Mainz Tel.: + 49 (0) Internet: Diese Veröffentlichung ist Teil der Öffentlichkeitsarbeit der Bundesregierung. Sie wird kostenlos abgegeben und ist nicht zum Verkauf bestimmt.

E-Government-Initiative für De-Mail und den neuen Personalausweis

E-Government-Initiative für De-Mail und den neuen Personalausweis E-Government-Initiative für De-Mail und den neuen Personalausweis Verbandsgemeinde Montabaur in Zusammenarbeit mit KommWis OBD Das Bundesministerium des Innern ist nicht verantwortlich für den Inhalt der

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz 3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz Institut für Informatik und Automation Dipl.-Inf. Günther Diederich Institut für Informatik und Automation In-Institut der Hochschule

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

Klausurtagung des Landesausschusses 12. April 2013. Alles was Recht ist. Dinge, die Kommunen im Netz beachten sollten

Klausurtagung des Landesausschusses 12. April 2013. Alles was Recht ist. Dinge, die Kommunen im Netz beachten sollten Klausurtagung des Landesausschusses 12. April 2013 Alles was Recht ist Dinge, die Kommunen im Netz beachten sollten VORBEREITUNG EINES KOMMUNALEN INTERNETAUFTRITTS Relevante Rechtsgebiete bei der Domainregistrierung

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit Informationssicherheitsmanagement BSI- Grundschutz in der Praxis Informationssicherheit nach BSI-Grundschutz und ISO 27001 im Praxisvergleich Cyber Akademie

Mehr

Richtlinien der HHU für die Verwendung von Sync & Share NRW

Richtlinien der HHU für die Verwendung von Sync & Share NRW Richtlinien der HHU für die Verwendung von Sync & Share NRW HHU 21. Januar 2015 Sync & Share NRW ist ein Cloud-Storage-Dienst zu Zwecken von Forschung, Lehre, Studium und Hochschulverwaltung. Die in Sync

Mehr

Staatlich geprüfte IT-Sicherheit

Staatlich geprüfte IT-Sicherheit Bild: Lampertz GmbH & Co.KG Staatlich geprüfte IT-Sicherheit Dr.-Ing. Christian Scharff Lizenziert vom Bundesamt für Sicherheit in der Informationstechnik (BSI) Accuris Consulting / EGT InformationsSysteme

Mehr

Empfehlungen für die Verwendung des Cloudspeicherdienstes sciebo

Empfehlungen für die Verwendung des Cloudspeicherdienstes sciebo Empfehlungen für die Verwendung des Cloudspeicherdienstes sciebo IV-Sicherheitsteam der WWU November 2014 Dieses Dokument soll darüber aufklären, welche Daten von Mitgliedern und Angehörigen der WWU in

Mehr

Richtlinie für die Verwendung des Cloud-Speicherdienstes sciebo an der Fachhochschule Südwestfalen

Richtlinie für die Verwendung des Cloud-Speicherdienstes sciebo an der Fachhochschule Südwestfalen Richtlinie für die Verwendung des Cloud-Speicherdienstes sciebo an der Fachhochschule Südwestfalen Rektorat der FH SWF - 11.02.2015 Dieses Dokument soll darüber aufklären, welche Daten von Mitgliedern

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

Empfehlungen für die Verwendung von Sciebo (Sync & Share NRW)

Empfehlungen für die Verwendung von Sciebo (Sync & Share NRW) Stand 06. März 2015 Empfehlungen für die Verwendung von Sciebo (Sync & Share NRW) IV-Sicherheitsteam der WWU Juni 2014, angepasst für Mitglieder und Angehörige der FH Köln Dieses Dokument, das mit freundlicher

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie Seite 1 von 13 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: De-Mail Sicherheit Modulübergreifend Anwendungsbereich: Kürzel: BSI De-Mail TR 01201

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Neues vom IT-Grundschutz: Ausblick und Diskussion

Neues vom IT-Grundschutz: Ausblick und Diskussion Neues vom IT-Grundschutz: Ausblick und Diskussion Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2014

Mehr

(IT-SICHERHEITSGRUNDSÄTZE)

(IT-SICHERHEITSGRUNDSÄTZE) Senatsverwaltung für Inneres und Sport 1 GRUNDSÄTZE ZUR GEWÄHRLEISTUNG DER NOTWENDIGEN SICHERHEIT BEIM IT-EINSATZ IN DER BERLINER VERWALTUNG (IT-SICHERHEITSGRUNDSÄTZE) (beschlossen vom Senat am 11.12.07)

Mehr

Über den Sinn von Beziehungen

Über den Sinn von Beziehungen Über den Sinn von Beziehungen IT-Dokumentation und IT-Sicherheit passen und gehören zusammen! Uwe Franz Vorstellung procilon 1 Fakten, Historie & Vision 2 Übersicht Kernkompetenzen Fakten, Historie & Vision

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

Virtuelle Kommune. Pilotprojekt mit der VG Mendig. Ein besonderes Cloud-& egovernment-projekt. Präsentation am 12.11.2013 in Mainz

Virtuelle Kommune. Pilotprojekt mit der VG Mendig. Ein besonderes Cloud-& egovernment-projekt. Präsentation am 12.11.2013 in Mainz Virtuelle Kommune Pilotprojekt mit der VG Mendig Ein besonderes Cloud-& egovernment-projekt Präsentation am 12.11.2013 in Mainz LEUCHTTURMPROJEKTE IN RHEINLAND-PFALZ IT-Landschaft in der Verbandsgemeinde

Mehr

Inhaltsverzeichnis. 1 Einleitung 3

Inhaltsverzeichnis. 1 Einleitung 3 Bundesamt für Sicherheit in der Informationstechnik Referat 114 IT-Sicherheitsmanagement und IT-Grundschutz Postfach 20 03 63 53133 Bonn Tel:+49 (0) 22899-9582-5369 E-Mail: grundschutz@bsi.bund.de Internet:

Mehr

Schulungsunterlagen IT-Grundschutz nach BSI. Robert M. Albrecht Creative Commons by-nc-sa

Schulungsunterlagen IT-Grundschutz nach BSI. Robert M. Albrecht Creative Commons by-nc-sa Schulungsunterlagen IT-Grundschutz nach BSI Robert M. Albrecht Creative Commons by-nc-sa The audience is listening. IT-Grundschutz nach BSI Robert M. Albrecht Agenda Was ist das BSI? Warum IT-Grundschutz?

Mehr

2008 by Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee 185-189, 53175 Bonn

2008 by Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee 185-189, 53175 Bonn 2008 by Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee 185-189, 53175 Bonn Inhaltsverzeichnis Inhaltsverzeichnis 1 Einleitung 4 1.1 Versionshistorie 4 1.2 Zielsetzung 4 1.3

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2013 09.10.2013 Agenda

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Praktizierter Grundschutz in einem mittelständigen Unternehmen

Praktizierter Grundschutz in einem mittelständigen Unternehmen Praktizierter Grundschutz in einem mittelständigen Unternehmen Adolf Brast, Leiter Informationsverarbeitung Bochum-Gelsenkirchener Straßenbahnen AG auf dem 4. Stuttgarter IT-Sicherheitstag, 16.02.06 Überblick

Mehr

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster Informationssicherheit im mittelstand... > Bavarian IT Security & Safety Cluster > ein PROdUKt des BayeRisCHen it-sicherheits- ClUsteRs e.v. der Bayerische it-sicherheitscluster e.v. Der Bayerische It-sicherheitscluster

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit mit TÜV Rheinland geprüfter Qualifikation 16. 20. November 2015, Berlin Cyber Akademie (CAk) ist eine eingetragene Marke www.cyber-akademie.de IT-Sicherheitsbeauftragte

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel - Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 AUSWAHL EINES OUTSOURCING-DIENSTLEISTERS... 3 4 VERTRAGSSPEZIFISCHE

Mehr

Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen

Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen Rechtsgrundlagen Personenbezogene Daten Datenschutz

Mehr

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Cloud Computing aus Sicht von Datensicherheit und Datenschutz Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 11. Kommunales IuK-Forum

Mehr

Handreichung zum datenschutzgerechten Umgang mit besonders schützenswerten Daten beim Versand mittels De-Mail

Handreichung zum datenschutzgerechten Umgang mit besonders schützenswerten Daten beim Versand mittels De-Mail . E Bonn, 1. März 2013 Handreichung zum datenschutzgerechten Umgang mit besonders schützenswerten Daten beim Versand mittels De-Mail Die Handreichung soll die Nutzer von De-Mail für die datenschutzrechtlichen

Mehr

Veranstaltung Cybercrime 27.08.2015. Hinterher ist man immer schlauer wie Sie späte Einsicht vermeiden. Prof. Dr. Thomas Jäschke

Veranstaltung Cybercrime 27.08.2015. Hinterher ist man immer schlauer wie Sie späte Einsicht vermeiden. Prof. Dr. Thomas Jäschke Veranstaltung Cybercrime 27.08.2015 Hinterher ist man immer schlauer wie Sie späte Einsicht vermeiden. Prof. Dr. Thomas Jäschke Vorstellung DATATREE AG Beratung von Unternehmen und öffentlichen Stellen

Mehr

Compliance und IT-Sicherheit

Compliance und IT-Sicherheit Compliance und IT-Sicherheit Isabel Münch Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Agenda Das BSI Compliance-Anforderungen und IT-Sicherheit Risikomanagement

Mehr

Beispiel: Bundesamt für Organisation und Verwaltung (BOV)

Beispiel: Bundesamt für Organisation und Verwaltung (BOV) Beispiel: Bundesamt für Organisation und Verwaltung (BOV) Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Postfach 20 03 63 53133 Tel.: +49 228 99

Mehr

Umsetzung BSI Grundschutz

Umsetzung BSI Grundschutz Umsetzung BSI Grundschutz ISO 27001 auf der Basis von IT-Grundschutz - ein Erfahrungsbericht An den Steinen, die einem in den Weg gelegt werden, erkennt man erst, wo es langgeht IT-Grundschutztag 9.2.2012

Mehr

Berufsakademie Gera Themen für die Projektarbeit

Berufsakademie Gera Themen für die Projektarbeit Berufsakademie Gera Themen für die Projektarbeit Themenvorschlag 1: Passen Sie die vom BSI vorgegebenen Definitionen der Schutzbedarfskategorien an Ihre Behörde/Ihr Unternehmen an. Beschreiben Sie Ihre

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

Über den Sinn von Beziehungen. IT-Dokumentation und IT-Sicherheit passen und gehören zusammen!

Über den Sinn von Beziehungen. IT-Dokumentation und IT-Sicherheit passen und gehören zusammen! Über den Sinn von Beziehungen IT-Dokumentation und IT-Sicherheit passen und gehören zusammen! Vorstellung procilon Fakten, Historie & Vision Übersicht Kernkompetenzen Fakten, Historie & Vision Vorstellung

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Datenschutz nach. Herzlich Willkommen. bei unserem Datenschutz-Seminar. Bundesdatenschutzgesetz (BDSG)

Datenschutz nach. Herzlich Willkommen. bei unserem Datenschutz-Seminar. Bundesdatenschutzgesetz (BDSG) Datenschutz nach Bundesdatenschutzgesetz (BDSG) Herzlich Willkommen bei unserem Datenschutz-Seminar 1 Vorstellung Matthias A. Walter EDV-Sachverständiger (DESAG) Datenschutzbeauftragter (TÜV) 11 Jahre

Mehr

BSI-Standard 100-3 Risikoanalyse auf der Basis von IT-Grundschutz. Version 2.0

BSI-Standard 100-3 Risikoanalyse auf der Basis von IT-Grundschutz. Version 2.0 BSI-Standard 100-3 Risikoanalyse auf der Basis von IT-Grundschutz Version 2.0 Inhaltsverzeichnis 1 Einleitung 3 1.1 Versionshistorie 3 1.2 Zielsetzung 3 1.3 Adressatenkreis 4 1.4 Anwendungsweise 4 1.5

Mehr

3. Verbraucherdialog Mobile Payment

3. Verbraucherdialog Mobile Payment 3. Verbraucherdialog Mobile Payment Empfehlungen der Arbeitsgruppe Datenschutz 1. Überlegungen vor Einführung von Mobile Payment Angeboten Vor der Einführung von Mobile Payment Verfahren ist die datenschutzrechtliche

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

MUSTER-IT-SICHERHEITSKONZEPT FÜR MITTLERE UND GROSSE EINRICHTUNGEN

MUSTER-IT-SICHERHEITSKONZEPT FÜR MITTLERE UND GROSSE EINRICHTUNGEN MUSTER-IT-SICHERHEITSKONZEPT FÜR MITTLERE UND GROSSE EINRICHTUNGEN MANAGEMENT SUMMARY Das Muster-IT-Sicherheitskonzept gibt eine Empfehlung zur Umsetzung der Vorgaben zur IT- Sicherheit gemäß der Anforderungen

Mehr

Webkurs GSTOOL Eine Einführung zur Anwendung und Administration in das GSTOOL

Webkurs GSTOOL Eine Einführung zur Anwendung und Administration in das GSTOOL Eine Einführung zur Anwendung und Administration in das GSTOOL Inhaltsverzeichnis Willkommen zum...5 Teil I: Was ist neu ab GSTOOL 4.5?...6 Teil II: Anwendung...7 1 Das GSTOOL anwenden Überblick...7 2

Mehr

Einführung in den Datenschutz

Einführung in den Datenschutz Einführung in den Datenschutz Grundlagen zu Recht und Praxis Inhaltsverzeichnis Was ist Datenschutz?... 3 Wo spielt Datenschutz in der Uni Bonn eine Rolle?... 4 Warum gibt es Datenschutz?... 5 Wo ist der

Mehr

BSI Grundschutz beim Brandenburgischen IT-Dienstleister. Bernd Birkholz Telefon: 0331-39567 E-Mail: bernd.birkholz@zit-bb.brandenburg.

BSI Grundschutz beim Brandenburgischen IT-Dienstleister. Bernd Birkholz Telefon: 0331-39567 E-Mail: bernd.birkholz@zit-bb.brandenburg. BSI Grundschutz beim Brandenburgischen IT-Dienstleister Telefon: 0331-39567 E-Mail: bernd.birkholz@zit-bb.brandenburg.de Gründung des Brandenburgischen IT-Dienstleisters zum 1.1.2009 Errichtungserlass

Mehr

Muster mit Beispiel Auditbericht im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz

Muster mit Beispiel Auditbericht im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz Muster mit Beispiel Auditbericht im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz Auditierte Institution: Zertifizierungskennung: BSI-XXX-XXXX Der Inhalt dieses Auditreports

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung Kooperationsgruppe Informationssicherheit des IT-PLR Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung - Hauptdokument - Stand 19.02.2013 Version 1.8 (10. IT-Planungsrat Beschluss

Mehr

Projekt NaLa. Konzept Sicherheit. Phase III - Umsetzungsempfehlung Version 1.0. Im Auftrag der Staatskanzlei SH erstellt durch

Projekt NaLa. Konzept Sicherheit. Phase III - Umsetzungsempfehlung Version 1.0. Im Auftrag der Staatskanzlei SH erstellt durch Projekt NaLa Konzept Sicherheit Phase III - Umsetzungsempfehlung Version 1.0 Im Auftrag der Staatskanzlei SH erstellt durch Verantwortliche Stelle: Staatskanzlei SH Zentrales IT-Management SH Dataport

Mehr

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6 Datenschutz ist... Inhalt Datenschutz ist Grundrechtsschutz 4 Wessen Daten werden geschützt? 5 Wer muss den Datenschutz beachten? 6 Welche Daten werden vom Datenschutzrecht erfasst? 7 Wann dürfen personenbezogene

Mehr

Programm. Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land)

Programm. Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land) Programm Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land) Veranstaltungsnummer: 2015 Q053 MO (3. Modul) Termin: 01.12. 02.12.2015 (3. Modul) Zielgruppe: Tagungsort: Künftige

Mehr

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH zum Phoenix Videokonferenzsystem der Phoenix Software GmbH BSI - Bundesamt für Sicherheit in der Informationstechnik, Postfach 20 03 63, D-53133 Bonn Telefon +49 (0)228 9582-0, Fax +49 (0)228 9582-5477,

Mehr

Landkreis Harburg. Warum ein IT-Sicherheitsbeauftragter? Beweggründe. Mike Wille Betriebsleiter IT. 11. Kommunales IuK-Forum Niedersachsen

Landkreis Harburg. Warum ein IT-Sicherheitsbeauftragter? Beweggründe. Mike Wille Betriebsleiter IT. 11. Kommunales IuK-Forum Niedersachsen Landkreis Harburg Warum ein IT-Sicherheitsbeauftragter? Beweggründe Mike Wille Betriebsleiter IT Landkreis Harburg Vertraulichkeit Verfügbarkeit Informationssicherheit Integrität Landkreis Harburg die

Mehr

Amtliche Mitteilungen

Amtliche Mitteilungen Amtliche Mitteilungen Datum 26. Juli 2011 Nr. 25/2011 I n h a l t : Leitlinien zur Informationssicherheit der Universität Siegen Vom 26. Juli 2011 Herausgeber: Rektorat der Universität Siegen Redaktion:

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

Der PCI DSS als Basis für die ISO 27001-Umsetzung

Der PCI DSS als Basis für die ISO 27001-Umsetzung Der PCI DSS als Basis für die ISO 27001-Umsetzung Matthias Hauß Warum der PCI DSS als Grundlage für weitere Sicherheitsbestrebungen dienen kann Der Druck zur Einhaltung von Compliance-Vorgaben, sei es

Mehr

Datensicherheit und IT-Grundschutz. Prof. Dr. Reinhardt Nindel

Datensicherheit und IT-Grundschutz. Prof. Dr. Reinhardt Nindel Datensicherheit und IT-Grundschutz Prof. Dr. Reinhardt Nindel Datensicherheit Datenschutz Bund Der Bundesbeauftragte für Datenschutz Schutz demokratischer Grundwerte, der Privatsphäre und des informellen

Mehr

Der neue Personalausweis aktueller Sachstand

Der neue Personalausweis aktueller Sachstand Der neue Personalausweis aktueller Sachstand Jens Fromm Forschungsgruppe Elektronische Identitäten Bremen Januar 2011 Identitätsmanagement Jeder Mensch ist Viele! Identitätsmanagement erfordert Vertrauen

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter Beraten statt prüfen Betrieblicher Datenschutzbeauftragter Bestellpflicht zum Datenschutzbeauftragten Nach 4 f Bundesdatenschutzgesetz (BDSG) müssen Unternehmen einen betrieblichen Datenschutzbeauftragten

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

Biotech-Forum: IT-Sicherheit für Biotechs

Biotech-Forum: IT-Sicherheit für Biotechs Biotech-Forum: IT-Sicherheit für Biotechs IT-Sicherheit systematisch und handhabbar Holger Kurrek Fraunhofer ISST Abteilung Sichere Business IT-Infrastrukturen Arbeitsgruppe IT-Sicherheit Berlin, 25. Oktober

Mehr

Universität Bielefeld

Universität Bielefeld Universität Bielefeld IT-Sicherheitsrichtlinie zur Handhabung von IT-Sicherheitsvorfällen Referenznummer Titel Zielgruppe IT-SEC RL010 IT-Sicherheitsrichtlinie zur Handhabung von IT- Sicherheitsvorfällen

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Systema Datentechnik Firmenüberblick

Systema Datentechnik Firmenüberblick Systema Datentechnik Firmenüberblick IT-Sicherheitsaudit Late-Afternoon-Forum 2014 06.11.2014, Baden-Dättwil Dipl.-Ing. (FH) Sten Kalleske Bereichsleiter SEC SEC IT-Sicherheit betrifft Jeden Systema erarbeitet

Mehr

3 Juristische Grundlagen

3 Juristische Grundlagen beauftragter - Grundlagen Ziele: Einführung in das recht Kennen lernen der grundlegenden Aufgaben des beauftragten (DSB) Praxishinweise für die Umsetzung Inhalte: Ziele des es Zusammenarbeit mit Datensicherheit/IT-Sicherheit

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

Modernisierung des IT-Grundschutzes

Modernisierung des IT-Grundschutzes Modernisierung des IT-Grundschutzes Isabel Münch Referatsleiterin Allianz für Cyber-Sicherheit, Penetrationszentrum und IS-Revision Bundesamt für Sicherheit in der Informationstechnik netzdialog 2014 06.11.2014

Mehr

Was Kommunen beim Datenschutz beachten müssen

Was Kommunen beim Datenschutz beachten müssen Wiesbaden DiKOM am 08.05.2012 Was Kommunen beim Datenschutz beachten müssen Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Seit 1970 Oberste Landesbehörde Dem Hessischen Landtag zugeordnet Aufsichtsbehörde

Mehr

IT-Sicherheit im Deutschen Patent- und Markenamt

IT-Sicherheit im Deutschen Patent- und Markenamt IT-Sicherheit im Deutschen Patent- und Markenamt IT-Sicherheitsrichtlinie des Deutschen Patent- und Markenamtes Dokumenten-Information Autor IT-Sicherheitsmanagement Stand (letztes Speicherdatum) 28.08.2007

Mehr

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen, IDEAS Übersicht # 1 Einleitung # 2 IT-Sicherheit wozu denn? # 3 IT-Sicherheit die Grundpfeiler # 4 IT-Sicherheit ein

Mehr

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN 1 Bayerischer IT-Sicherheitscluster e.v. 09.10.2015 REFERENT Claudia Pock Sales Managerin IT Security Applied Security

Mehr

ISO 27001 Zertifizierung

ISO 27001 Zertifizierung ISO 27001 Zertifizierung - Zertifizierte IT-Sicherheit nach internationalen Standards Trigonum GmbH Trigonum Wir machen Unternehmen sicherer und IT effizienter! - 2 - Kombinierte Sicherheit Datenschutz

Mehr

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009 Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen IT Profis Berlin, 24.06.2009 Leistungsspektrum Trigonum GmbH Geschäftsprozess- und Organisationsmanagement Erfolgreich Prozesse und

Mehr

2.4.7 Zugriffsprotokoll und Kontrollen

2.4.7 Zugriffsprotokoll und Kontrollen 2.4.7 Zugriffsprotokoll und Kontrollen Die Vermeidung der missbräuchlichen Nutzung von personenbezogenen oder personenbeziehbaren Daten ist ein Kernpunkt der Regelungen zum Einsatz von Personalinformationssystemen.

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

6 IT-Grundschutz. Einleitung. 6.1 Historie

6 IT-Grundschutz. Einleitung. 6.1 Historie Historie 6 IT-Grundschutz Einleitung Im deutschsprachigen Raum spielt der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine wichtige Rolle. Ursprünglich wurden durch das

Mehr

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand Cloud- und Informationssicherheit -praktisch umgesetzt in KMU- IHK München (27. Februar 2014)

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

Service-Level-Agreement für SpaceNet Service 7x24 und 7x14

Service-Level-Agreement für SpaceNet Service 7x24 und 7x14 Service-Level-Agreement für SpaceNet Service 7x24 und 7x14 Leitbild SpaceNet ist Spezialist für das Hosting geschäftskritischer Anwendungen und Daten. Unbedingtes Ziel der SpaceNet ist es jede Störung

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr