E-Government-Initiative für D und den neuen Personalausweis

Größe: px
Ab Seite anzeigen:

Download "E-Government-Initiative für De-Mail und den neuen Personalausweis"

Transkript

1 E-Government-Initiative für D und den neuen Personalausweis Verbandsgemeinde Montabaur in Zusammenarbeit mit KommWis IT-Sicherheitskonzeption zum Betrieb der Online-Bürgerdienste (OBD) in Rheinland-Pfalz Das Bundesministerium des Innern ist nicht verantwortlich für den Inhalt der Ergebnisdokumente, die im Rahmen der E-Government-Initiative für D und den neuen Personalausweis erstellt wurden. Deshalb werden die jeweils Verantwortlichen im Impressum auf der letzten Seite der Dokumente genannt. Sie stehen Ihnen für inhaltliche Fragen zur Verfügung.

2 IT-Sicherheitskonzeption zum Betrieb der Online-Bürgerdienste (OBD) in Rheinland- Pfalz Version Dezember 2013

3 Dokumentinformationen Datum 6. Dezember 2013 Version 0.1 Zustand in Bearbeitung seit: 16. Mai 2013 vorgelegt am: akzeptiert/abgeschlossen Verfasser Verantwortlich Alexander Hazenbiller Herbert Benz Dokumenten-ID Dokumentenhistorie Datum Version Änderungsgrund Bearbeiter 16. Mai Ersterstellung AH

4 Inhaltsverzeichnis 1 Einleitung Aufbau des Sicherheitskonzeptes Ziel der IT-Sicherheitskonzeption Fokus des Sicherheitskonzeptes Rahmenbedingungen Zuständigkeiten und Aufgabenzuordnungen Verfügbarkeitsanforderungen Aufbau und Zusammenhang von OBD Gesetzliche Vorschriften Erstellung des Sicherheitskonzeptes Bestimmung und Abgrenzung des Informationsverbundes Netzplan IT-Systeme und Anwendungen Räume und Gebäude Kommunikationsverbindungen Strukturanalyse Auswertung des Netzplans Geschäftsprozesse Erhebung der IT-Systeme Erfassung der Anwendungen Erfassung der Räume Feststellung des Schutzbedarfes Definition der Schutzbedarfskategorien Schutzbedarfsfeststellung Auswertung aus den Ergebnissen der Schutzbedarfsanalyse Modellierung Basis-Sicherheitscheck Ergänzende Sicherheitsanalyse Ergänzende Risikoanalyse Abkürzungen Referenzierte Dokumente KommWis GmbH Seite: i von iii

5 Abbildungsverzeichnis Abbildung 1 - Beschriftung... 1 Abbildung 2 - Übersicht über Verteilung der abhängigen IT-Systeme... 4 Abbildung 3 - Abgrenzung des Informationsverbundes (Physikalische Sicht)... 5 KommWis GmbH Seite: ii von iii

6 Tabellenverzeichnis Tabelle 1 - Servicezeiten... 3 Tabelle 2 - Schutzbedarfskategorien... 7 Tabelle 3 - Ermittlung und Abgrenzung von Schadensszenarien... 7 KommWis GmbH Seite: iii von iii

7 1 Einleitung In dem vorliegenden Dokument wird ein IT-Sicherheitskonzept zum Betrieb von Online- Bürgerdiensten in Rheinland-Pfalz (OBD) nach Empfehlungen der IT-Grundschutz-Kataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI) in Verbindung mit den BSI-Standards erstellt. Der Aufbau dieses Dokuments richtet sich dabei nach dem Vorgehensmodell ISO auf der Basis von IT-Grundschutz. In der nachfolgenden Abbildung 1 ist das Vorgehen zusammenfassend dargestellt. Abbildung 1 - Beschriftung 1.1 Aufbau des Sicherheitskonzeptes Die Erstellung einer Sicherheitskonzeption nach IT-Grundschutz besteht in dieser Ausarbeitung aus einem konzeptionellen und einem praktischen Teil. In Kapitel 2, dem konzeptionellen Teil, werden vorerst die Rahmenbedingungen erläutert. Ferner werden die Zuständigkeiten als auch der Aufbau von Online-Bürgerdiensten und deren Zusammenhang vorgestellt. Der konzeptionelle Teil enthält weiterhin die gesetzlichen Vorgaben des Bundesverwaltungsamtes für die Wahrnehmung des Geschäftszwecks. Der praktische Teil dieses Dokuments beginnt mit dem 3. Kapitel. Einleitend wird zunächst der Informationsverbund aus einer organisatorischen Sicht definiert. Anschließend erfolgt eine ausführliche Erfassung aller infrastrukturellen, organisatorischen, personellen und technischen Komponenten, die der Aufgabenerfüllung der Informationsverarbeitung innerhalb des Informationsverbunds dienen. Darüber hinaus wird anhand einer detaillierten Schutzbedarfsanalyse unter Verwendung der vom BSI vorgeschlagenen Schadensszenarien der Schutzbedarf für die Komponenten ermittelt. Mit Hilfe der Informationen aus der Strukturanalyse und der Schutzbedarfsfeststellung folgt danach eine Nachbildung des definierten Informationsverbunds unter Zuhilfenahme des Grundschutz-Tools (GSTOOL). KommWis GmbH Seite: 1 von 14

8 Im 6. Kapitel bietet der Basis-Sicherheitscheck einen Überblick über das bereits vorhandene Sicherheitsniveau. Dadurch können noch nicht oder teilweise umgesetzte Maßnahmen identifiziert und Verbesserungsmöglichkeiten für die Sicherheit der betrachteten Geschäftsprozesse und der aufgezeigt werden. 1.2 Ziel der IT-Sicherheitskonzeption Das Ziel dieses IT-Sicherheitskonzepts stellt die Wahrung der drei Grundwerte Verfügbarkeit, Vertraulichkeit und Integrität dar. Dadurch soll die Abwicklung der Geschäftsprozesse aufrechterhalten, Gefahren bzw. Sicherheitsdefizite frühzeitig festgestellt und durch geeignete Maßnahmen abgewendet werden. Weiterhin gibt dieses Dokument Aufschluss darüber, welches Sicherheitsniveau angestrebt wird und auf welcher Grundlage die Sicherheitsmaßnahmen festgelegt wurden. 1.3 Fokus des Sicherheitskonzeptes Das vorliegende IT-Sicherheitskonzept fokussiert auf das s-managementsystem (ISMS) des kommunalen Dienstleisters KommWis GmbH, der die Gesamtverantwortung für den Betrieb der Online-Bürgerdienste übernimmt. Explizit nicht Gegenstand dieses IT-Sicherheitskonzeptes sind alle IT-Systeme, Netzkomponenten und Anwendungen des bürgerlichen Clients sowie die Webportale auf Seiten des Diensteanbieters und Payment-Providers. KommWis GmbH Seite: 2 von 14

9 2 Rahmenbedingungen 2.1 Zuständigkeiten und Aufgabenzuordnungen Die effiziente Planung, Umsetzung und nachhaltige Aufrechterhaltung des Sicherheitsniveaus erfordert ein kontinuierliches Engagement von allen an der Planung und Umsetzung beteiligten Personen. Daher ist das Zusammenwirken der Mitarbeiter folgender Bereiche erforderlich: Mitarbeiter KommWis GmbH (KommWis) Mitarbeiter Kommunales Gebietsrechenzentrum Koblenz (KGRZ) Die von jeder Arbeitsgruppe durchzuführenden Aufgaben wurden gemeinsam definiert und anschließend den einzelnen Arbeitsgruppen zugeordnet. Für den sicheren Betrieb der Online-Bürgerdienste übernimmt KommWis die Gesamtverantwortung, initiiert sowie koordiniert die erforderlichen Aktivitäten und sorgt für die notwendige Einhaltung der und der Umsetzung der festgelegten technischen und organisatorischen Maßnahmen. Das KGRZ liefert gemäß dem Mietschein alle wesentlichen infrastrukturellen Ausstattungen. 2.2 Verfügbarkeitsanforderungen Für den Betrieb der Online-Bürgerdienste sind keine garantierten Verfügbarkeitsregelungen getroffen (SLA). Die Anforderungen an die Servicezeiten sowie Instandsetzung leiten sich aus dem Mietschein zum Vertrag für die Anmietung von EDV-Anlagen und EDV-Geräten ab (siehe Referenzierte Dokumente Nr. 1): Servicezeiten: Montag bis Donnerstag Freitag 08:00 12:00 Uhr 13:00 16:00 Uhr 08:00 13:00 Uhr Tabelle 1 - Servicezeiten 2.3 Aufbau und Zusammenhang von OBD Die nachfolgende Abbildung 2 führt die Gesamtansicht aller zusammenhängenden Systeme und deren Vernetzung auf. Die Darstellung beinhaltet dabei sämtliche Komponenten der Informationstechnologie, die der Aufgabenerfüllung des Geschäftsprozesses dienen. Eine genaue Abgrenzung und Beschreibung des Informationsverbundes nach IT-Grundschutz erfolgt im Kapitel 3.1. Eine vollständige Erfassung aller Komponenten innerhalb des Informationsverbundes im Rahmen der Strukturanalyse wird im Kapitel 3.2 betrachtet. KommWis GmbH Seite: 3 von 14

10 OBD Physikalische Sicht (Gesamtansicht) Informationsverbund Online Dienste (KGRZ) KGRZ N3: Switch V2 Prüfung eid (BOS) Payment (ComputTop) V1 V4 KGRZ S1: Vmware ESXi KGRZ N1: Firewall Internet V5 KW N1: WAF V3 Formularserver (Chamäleon) Internet KGRZ N2: Firewall knrp knrp KDZ IREG-DB (Int.) Bürger KommWis (Internet DMZ) KommWis (LAN) Syslog Admin 2.4 Gesetzliche Vorschriften Abbildung 2 - Übersicht über Verteilung der abhängigen IT-Systeme Für die Wahrnehmung des Geschäftsprozesses Abwicklung von Verwaltungsleistungen mit Identifikationsbedarf ohne Registrierung im Sinne der GemO Rheinland-Pfalz hat das Bundesverwaltungsamt im Schreiben vom (siehe Referenzierte Dokumente Nr. 2) die Berechtigung für die Anfrage sowie flüchtige Datenhaltung für die folgenden Datenfelder des neuen elektronischen Personalausweises erteilt: Familienname Vornamen Tag der Geburt Anschrift Dokumentenart Abkürzung D für Bundesrepublik Deutschland Die Daten werden im Rahmen des Bestellvorganges einmalig ausgelesen und für die Dauer des Geschäftsprozesses im Arbeitsspeicher (RAM) gehalten. Ein dauerhaftes Anlegen und Nutzen der Daten findet nicht statt. Der elektronische Identitätsnachweis kann nur mittels eines Berechtigungszertifikats, das von der Vergabestelle für Berechtigungszertifikate (VfB) bereitgestellt wurde, genutzt werden. Das Berechtigungszertifikat wird alle zwei Tage bei dem Berechtigungszertifikatanbieter erneuert. Weiterhin gilt es die Vorgaben des Bundesdatenschutzgesetzes (BDSG) zu beachten: Einhaltung der Zweckbindung der ausgelesenen Daten Recht auf Auskunft über gespeicherte Daten bzw. Löschen gespeicherter Daten Verpflichtung zur Absicherung der Verarbeitung personenbezogener Daten Verbot der Weitergabe der Daten ohne Einwilligung KommWis GmbH Seite: 4 von 14

11 3 Erstellung des Sicherheitskonzeptes 3.1 Bestimmung und Abgrenzung des Informationsverbundes Da einige Komponenten und Bereiche außerhalb des Verantwortungsbereichs der KommWis liegen, kann eine Betrachtung der Gesamtheit aller infrastrukturellen, organisatorischen, personellen und technischen Aspekte nicht stattfinden. Stattdessen wird der Informationsverbund eindeutig abgegrenzt, indem nur die für den Betrieb der Online-Bürgerdienste essentiellen IT-Systeme, Anwendungen sowie deren Verbindungen betrachtet werden (Abbildung 3). Informationsverbund Online Dienste (KGRZ) KGRZ N3: Switch V2 V1 V4 KGRZ S1: Vmware ESXi KGRZ N1: Firewall Internet KW N1: WAF V5 V3 KGRZ N2: Firewall knrp Abbildung 3 - Abgrenzung des Informationsverbundes (Physikalische Sicht) Netzplan In Abbildung 3 sind die einzelnen physikalischen IT-Systeme und deren Vernetzung innerhalb des Informationsverbundes aufgeführt. Die beiden Firewalls (KGRZ N1 und KGRZ N2), der Switch (KGRZ N3) sowie der VMware ESXi Hypervisor (KGRZ S1) befinden sich zentral in einem Serverraum und werden vom KGZR bereitgestellt und administriert. Die Web Application Firewall (WAF, KW N1) ist ebenfalls im Serverraum der KGZR untergebracht, wird jedoch durch KommWis per Fernzugriff verwaltet. Die Schnittstellen zum bzw. aus dem Informationsverbund stellen jeweils die LAN-Ports der KGRZ und knrp (kommunales Netz Rheinland-Pfalz) Firewall dar IT-Systeme und Anwendungen Die virtuellen Maschinen sind mit einem Linux-Betriebssystem ausgestattet. Die einheitliche Haltung soll den Administrationsaufwand minimieren. Als Anwendung kommen eine Oracle 11g Datenbank sowie Komponenten der Firma HSH und bos zum Einsatz Räume und Gebäude Die oben genannten technischen Komponenten bzw. der Stellplatz für die WAF (KW N1) sind von der KommWis angemietet und werden durch das KGRZ in deren Räumlichkeiten betrieben. Leistungen wie Stromanschluss, Netzwerk und Klimatisierung stellt das KGRZ bereit. Der Zutritt zu dem Serverraum ist nur auf einen ausgewählten Personenkreis beschränkt, nachgewiesen und durch die Dienstanweisungen des KGRZ geregelt. Gemäß Geltungsbereich werden die Räumlichkeiten nicht näher betrachtet. KommWis GmbH Seite: 5 von 14

12 3.1.4 Kommunikationsverbindungen Alle physikalischen IT-Systeme besitzen ein dediziertes Netzwerkkabel zum Switch. Die Kommunikationsverbindungen der jeweiligen IT-Systeme sind entsprechend mit V1 bis V5 gekennzeichnet. Über die beiden Firewalls KGRZ N1 und KGRZ N2 werden Außenverbindungen aus dem knrp bzw. zum und vom Internet aufgebaut. Zum reinen Firewalling-Prozess wird der Datenstrom der Anwendungen vom und zum Internet zusätzlich durch eine WAF (KW N1) kontrolliert. 3.2 Strukturanalyse Auswertung des Netzplans Die Bereinigung des Netzplans gemäß IT-Grundschutz zur Komplexitätsreduzierung findet nicht statt, da die einzelnen IT-Systeme in ihrer Eigenschaft und Konfiguration unterschiedlich sind und daher nicht zu einer Gruppe zusammengefasst werden können. Der in Abbildung 3 dargestellte Netzplan bildet die Grundlage für die nachfolgenden Schritte der Strukturanalyse Geschäftsprozesse Die Kernprozesse (Abläufe) im Bereich Meldewesen zur Antragsstellung sind in einem separaten Dokument detailliert beschrieben (siehe Referenzierte Dokumente Nr. 3) Erhebung der IT-Systeme Die IT-Systeme sind im GSTOOL erfasst und beschrieben. Es werden nur die IT-Systeme betrachtet, die unmittelbar zur Unterstützung der Vorgänge dienen Erfassung der Anwendungen Die Anwendungen sind im GSTOOL erfasst und beschrieben. Bei der Erfassung wird angegeben, ob personenbezogene Daten mit der Anwendung verarbeitet werden Erfassung der Räume Die Räumlichkeiten bei der KGRZ werden gemäß Geltungsbereich nicht näher betrachtet. Eine detaillierte Sicherheitsbetrachtung findet in dem Sicherheitskonzept der KGRZ statt. KommWis GmbH Seite: 6 von 14

13 4 Feststellung des Schutzbedarfs Die Schutzbedarfsfeststellung betrachtet die oben ermittelten sicherheitsrelevanten Objekte (Prozesse, Informationen, Anwendungen). Der Schutzbedarf bezieht sich jeweils auf die drei Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit. 4.1 Definition der Schutzbedarfskategorien Der Schutzbedarf wird in die Kategorien normal, hoch und sehr hoch unterteilt. Als Rahmen dient hierbei die folgende Einstufung: Schutzbedarfskategorie normal hoch sehr hoch Beschreibung Die Schadensauswirkungen sind begrenzt und überschaubar. Die Schadensauswirkungen können beträchtlich sein. Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen. Tabelle 2 - Schutzbedarfskategorien Damit eine eindeutige Abgrenzung der Schutzbedarfskategorien voneinander stattfinden kann, wurden die potenziellen Schadensauswirkungen anhand einer Schutzbedarfsanalyse in Kollaboration mit der Geschäftsleitung erarbeitet. Kategorie normal/ hoch/ sehr hoch Schadensszenario [Verstoß gegen Gesetze/Vorschriften/Verträge] Verstöße gegen Vorschriften und Gesetze haben geringfügige/erhebliche/ruinöse Konsequenzen. Vertragsverletzungen mit geringen/hohen/sehr hohen Vertragsstrafen. [Beeinträchtigung des informationellen Selbstbestimmungsrechts] Eine Beeinträchtigung des informationellen Selbstbestimmungsrechts würde durch den Einzelnen als tolerabel/bedeutend/nicht akzeptabel eingeschätzt werden. Ein möglicher Missbrauch personenbezogener Daten hat nur geringfügige/erhebliche/gravierende Auswirkungen auf die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen. Schadensersatzansprüche Dritter sind nicht/wahrscheinlich/zu erwarten. [Beeinträchtigung der persönlichen Unversehrtheit] Eine Beeinträchtigung der persönlichen Unversehrtheit kann wahrscheinlich/nicht absolut/nicht ausgeschlossen werden. [Beeinträchtigung der Aufgabenerfüllung] Die Beeinträchtigung würde von den Betroffenen als tolerabel/arbeitsverhindernd/nicht hinnehmbar eingeschätzt werden. Die zugesicherte Wiederherstellungszeit beträgt mehr als 24/zwischen 8 und 24/weniger als 8 Stunden. [Negative Außenwirkung] Eine geringe bzw. nur interne/breite/landesweite Ansehens- oder Vertrauensbeeinträchtigung ist zu erwarten. Keine/hohe/sehr hohe Abwanderung von Kunden ist zu erwarten. [Finanzielle Auswirkungen] Der finanzielle Schaden bleibt für die KommWis tragbar/geschäftsschädigend/existenz bedrohlich. Tabelle 3 - Ermittlung und Abgrenzung von Schadensszenarien KommWis GmbH Seite: 7 von 14

14 4.2 Schutzbedarfsfeststellung Eine detaillierte Ermittlung des Schutzbedarfs nach BSI-Grundschutz ist dem Anhang 1 zu entnehmen. 4.3 Auswertung aus den Ergebnissen der Schutzbedarfsanalyse Die Schutzbedarfsfeststellung hat ergeben, dass die verarbeiteten Informationen aufgrund der gesetzlichen Vorschriften als sicherheitskritisch eingestuft werden und daher eines höheren Schutzbedarfs bedürfen. Welche Maßnahmen sich als geeignet erweisen, wird nach der Durchführung des Basis- Sicherheitschecks und einer ergänzenden Sicherheitsanalyse ermittelt. KommWis GmbH Seite: 8 von 14

15 5 Modellierung Die Modellierung des Informationsverbunds nach IT-Grundschutz sowie die Ermittlung der notwendigen Sicherheitsmaßnahmen erfolgt unter Zuhilfenahme des GSTOOL. KommWis GmbH Seite: 9 von 14

16 6 Basis-Sicherheitscheck Die Ermittlung des aktuellen Umsetzungsgrades der einzelnen Sicherheitsmaßnahmen eines Bausteines erfolgt direkt im GSTOOL (siehe Anhang 2). KommWis GmbH Seite: 10 von 14

17 7 Ergänzende Sicherheitsanalyse Die Schutzbedarfsfeststellung hat ergeben, dass der Grundwert Vertraulichkeit einen hohen Schutzbedarf besitzt. Daher wird mittels einer ergänzenden Sicherheitsanalyse festgestellt, ob höherrangige Sicherheitsmaßnahmen ergriffen werden müssen. Eine ausführliche Risikoanalyse auf der Basis von IT-Grundschutz ist in einem separaten Dokument beschrieben (siehe Referenzierte Dokumente Nr. 4). KommWis GmbH Seite: 11 von 14

18 8 Ergänzende Risikoanalyse Die ergänzende Sicherheitsanalyse hat ergeben, dass eine ergänzende Risikoanalyse nicht notwendig ist. KommWis GmbH Seite: 12 von 14

19 9 Abkürzungen BDSG bos KGRZ knrp OBD RAM VfB WAF Bundesdatenschutzgesetz bremen online services Kommunales Gebietsrechenzentrum Kommunales Netz Rheinland-Pfalz Online-Bürgerdienste Random Access Memory Vergabestelle für Berechtigungszertifikate Web Application Firwall KommWis GmbH Seite: 13 von 14

20 10 Referenzierte Dokumente Nr. Dokumententitel, Version, Datum, Ersteller, Dokumentname /1/ Mietschein, 2.0, KGRZ/KommWis GmbH, KGRZ-Mietschein.docx /2/ Schreiben vom bzgl. Berechtigungszertifikat /3/ OBD Meldewesen Prozesse, 0.1, Achim Fürst, OBD_Konzept- Meldewesen_Prozesse.docx /4/ Ergänzende Sicherheitsanalyse, 1.0, Detlev Reimann, ODB-Ergaennzende- Sicherheitsanalyse.doc KommWis GmbH Seite: 14 von 14

21 Herausgeber Bundesministerium des Innern IT-Stab, Referat IT4 Alt-Moabit 101 D, Berlin Bezugsquelle Bundesministerium des Innern Internet: und Tel.: +49(0) Fax: +49(0) Veröffentlicht Dezember 2013 HINWEIS Das Bundesministerium des Innern ist nicht verantwortlich für den Inhalt der Ergebnisdokumente, die im Rahmen der E-Government-Initiative für D und den neuen Personalausweis erstellt wurden. Bitte wenden Sie sich bei inhaltlichen Fragen direkt an die hier genannten Ansprechpartner. Verantwortlich für den Inhalt dieses Ergebnisdokumentes Gesellschaft für Kommunikation und Wissenstransfer mbh (KommWis) Herr Herbert Benz Hindenburgplatz 3, Mainz Tel.: + 49 (0) Internet: Diese Veröffentlichung ist Teil der Öffentlichkeitsarbeit der Bundesregierung. Sie wird kostenlos abgegeben und ist nicht zum Verkauf bestimmt.

E-Government-Initiative für De-Mail und den neuen Personalausweis

E-Government-Initiative für De-Mail und den neuen Personalausweis E-Government-Initiative für De-Mail und den neuen Personalausweis Verbandsgemeinde Montabaur in Zusammenarbeit mit KommWis OBD Das Bundesministerium des Innern ist nicht verantwortlich für den Inhalt der

Mehr

IT-Grundschutz praktisch im Projekt Nationales Waffenregister

IT-Grundschutz praktisch im Projekt Nationales Waffenregister IT-Grundschutz praktisch im Projekt Nationales Waffenregister Günther Ennen Bundesamt für Sicherheit in der Informationstechnik 19. Berliner Anwenderforum E-Government am 19. und 20. Februar 2013 Fachforum

Mehr

Dr. Martin Meints, ULD 29. August 2005

Dr. Martin Meints, ULD 29. August 2005 Infobörse 2 Dr. Martin Meints Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Sommerakademie, 29. August 2005 Agenda Datensicherheit / Datenschutz wo liegen die Unterschiede? Welche Bedeutung

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE Alternative Ansätze im Sicherheitsmanagement Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutz Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutzhandbuch Agenda Ziel der IT-Sicherheit Das IT-Grundschutzhandbuch Umsetzung des IT-Grundschutzhandbuchs Ausbaustufen

Mehr

Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie -Einrichten eines IT-Sicherheitsmanagements

Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie -Einrichten eines IT-Sicherheitsmanagements Cloud Security (Minimal-)vorgaben des BSI Kai Wittenburg, Geschäftsführer & ISO27001-Auditor (BSI) neam IT-Services GmbH Vorgehensweise Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

Amtliches Mitteilungsblatt

Amtliches Mitteilungsblatt Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................

Mehr

IT-Revision als Chance für das IT- Management

IT-Revision als Chance für das IT- Management IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

E-Government-Initiative für De-Mail und den neuen Personalausweis

E-Government-Initiative für De-Mail und den neuen Personalausweis E-Government-Initiative für De-Mail und den neuen Personalausweis Online-Zulassung beim Landratsamt Rhein-Neckar-Kreis Projektbericht Das Bundesministerium des Innern ist nicht verantwortlich für den Inhalt

Mehr

Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse

Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse Verfasser: BSI Ref. 113 Version: 1.0 Stand: 26. Januar 2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen. Marco Puschmann

Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen. Marco Puschmann Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen Marco Puschmann Agenda Kurzportrait HannIT (AöR) Das Personenstandswesen Daten Gesetzliche Rahmenbedingungen (PStV) technische

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

Wie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 1. IT-Grundschutz-Tag 2013 27.02.2013 Inhalte

Mehr

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT STEINBUCH CENTRE FOR COMPUTING - SCC KIT University of the State of Baden-Wuerttemberg and National Research

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

Ergänzung zum BSI-Standard 100-3, Version 2.5

Ergänzung zum BSI-Standard 100-3, Version 2.5 Ergänzung zum BSI-Standard 100-3, Version 2.5 Verwendung der elementaren Gefährdungen aus den IT-Grundschutz-Katalogen zur Durchführung von Risikoanalysen Stand: 03. August 2011 Bundesamt für Sicherheit

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen Dirk Loomans, Micha-Klaus Müller Bedrohungs- und Schwachstellenanalysen Übersicht über die Arbeitshilfen risikoanalyse.doc Das Klammersymbol Checkliste zur Durchführung einer Risikoanalyse im Text verweist

Mehr

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz. Version 1.

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz. Version 1. Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Version 1.0 Bundesamt für Sicherheit in der Informationstechnik Postfach

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

Antrag auf Erteilung eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz durch das Bundesamt für Sicherheit in der Informationstechnik (BSI)

Antrag auf Erteilung eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) Antrag auf Erteilung eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) Für den unter Ziffer 3 genannten Untersuchungsgegenstand

Mehr

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz 3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz Institut für Informatik und Automation Dipl.-Inf. Günther Diederich Institut für Informatik und Automation In-Institut der Hochschule

Mehr

E-Government-Initiative für De-Mail und den neuen Personalausweis

E-Government-Initiative für De-Mail und den neuen Personalausweis E-Government-Initiative für De-Mail und den neuen Personalausweis Freie Hansestadt Bremen Nutzung eines Bürgerterminals für Anwendungen mit dem neuen Personalausweis Vorstellung des Bürgerterminals Das

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

Projekt IT-Sicherheitskonzept.DVDV

Projekt IT-Sicherheitskonzept.DVDV Projekt IT-Sicherheitskonzept.DVDV Dokumentation.Sicherheitsrichtlinie.Server DVDV Dienstleister Bundesverwaltungsamt BIT 3 Barbarastr. 1 50735 Köln 10. Mai 2006 Dokumentinformationen Projekt IT-Sicherheitskonzept.DVDV

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH TÜV Informationstechnik GmbH Langemarckstraße 20 45141 Essen, Germany Phone: +49-201-8999-401 Fax: +49-201-8999-888 Email: A.sommer@tuvit.de Web: www.tuvit.de Sicherheit als strategische Herausforderung

Mehr

Empfehlungen für die Verwendung des Cloudspeicherdienstes sciebo

Empfehlungen für die Verwendung des Cloudspeicherdienstes sciebo Empfehlungen für die Verwendung des Cloudspeicherdienstes sciebo IV-Sicherheitsteam der WWU November 2014 Dieses Dokument soll darüber aufklären, welche Daten von Mitgliedern und Angehörigen der WWU in

Mehr

Richtlinien der HHU für die Verwendung von Sync & Share NRW

Richtlinien der HHU für die Verwendung von Sync & Share NRW Richtlinien der HHU für die Verwendung von Sync & Share NRW HHU 21. Januar 2015 Sync & Share NRW ist ein Cloud-Storage-Dienst zu Zwecken von Forschung, Lehre, Studium und Hochschulverwaltung. Die in Sync

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Online-Bürgerdienste in Rheinland-Pfalz Erfahrungsaustausch im Rahmen der E-Government- Initiative 2012/2013

Online-Bürgerdienste in Rheinland-Pfalz Erfahrungsaustausch im Rahmen der E-Government- Initiative 2012/2013 ELEKTRONISCHE IDENTITÄT - EID Online-Bürgerdienste in Rheinland-Pfalz Erfahrungsaustausch im Rahmen der E-Government- Initiative 2012/2013 AGENDA 1. Zur KommWis 2. Rahmenbedingungen in Rheinland-Pfalz

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund Muster (Ausschnitt) Datenschutzkonzept Informationsverbund.. Dokumentinformationen BSI-Konformität und gesetzliche Grundlagen Bausteine Gesetzliche Grundlagen verantwortlich für den Inhalt Name Telefon

Mehr

Richtlinie für die Verwendung des Cloud-Speicherdienstes sciebo an der Fachhochschule Südwestfalen

Richtlinie für die Verwendung des Cloud-Speicherdienstes sciebo an der Fachhochschule Südwestfalen Richtlinie für die Verwendung des Cloud-Speicherdienstes sciebo an der Fachhochschule Südwestfalen Rektorat der FH SWF - 11.02.2015 Dieses Dokument soll darüber aufklären, welche Daten von Mitgliedern

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit Informationssicherheitsmanagement BSI- Grundschutz in der Praxis Informationssicherheit nach BSI-Grundschutz und ISO 27001 im Praxisvergleich Cyber Akademie

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Datenschutz und IT-Grundschutz für Museen

Datenschutz und IT-Grundschutz für Museen Datenschutz und IT-Grundschutz für Museen MusIS-Nutzertreffen Staatsgalerie Stuttgart 21.04.2009 2009 Volker Conradt, BSZ Definition: Datenschutz und IT-Grundschutz Datenschutz ( 1 Bundesdatenschutzgesetz

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2013 09.10.2013 Agenda

Mehr

Notfallmanagement nach BS25999 oder BSI-Standard 100-4

Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und Datenschutz als

Mehr

Klausurtagung des Landesausschusses 12. April 2013. Alles was Recht ist. Dinge, die Kommunen im Netz beachten sollten

Klausurtagung des Landesausschusses 12. April 2013. Alles was Recht ist. Dinge, die Kommunen im Netz beachten sollten Klausurtagung des Landesausschusses 12. April 2013 Alles was Recht ist Dinge, die Kommunen im Netz beachten sollten VORBEREITUNG EINES KOMMUNALEN INTERNETAUFTRITTS Relevante Rechtsgebiete bei der Domainregistrierung

Mehr

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Informationsveranstaltung IT-Aufsicht bei Banken Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Axel Leckner - Informationsveranstaltung IT-Aufsicht bei 1 Banken

Mehr

E-Government-Initiative für De-Mail und den neuen Personalausweis

E-Government-Initiative für De-Mail und den neuen Personalausweis E-Government-Initiative für De-Mail und den neuen Personalausweis De-Mail Namenskonzept M-V Einsatz von De-Mail in Mecklenburg-Vorpommern Das Bundesministerium des Innern ist nicht verantwortlich für den

Mehr

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel - Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 AUSWAHL EINES OUTSOURCING-DIENSTLEISTERS... 3 4 VERTRAGSSPEZIFISCHE

Mehr

IS-Revision in der Verwaltung

IS-Revision in der Verwaltung IS-Revision in der Verwaltung Dr. Gerhard Weck INFODAS GmbH, Köln 27. November 2009 Inhalt Nationaler Plan zur Sicherung der Informationsinfrastrukturen (NPSI) Umsetzungsplan KRITIS Umsetzungsplan Bund

Mehr

Empfehlungen für die Verwendung von Sciebo (Sync & Share NRW)

Empfehlungen für die Verwendung von Sciebo (Sync & Share NRW) Stand 06. März 2015 Empfehlungen für die Verwendung von Sciebo (Sync & Share NRW) IV-Sicherheitsteam der WWU Juni 2014, angepasst für Mitglieder und Angehörige der FH Köln Dieses Dokument, das mit freundlicher

Mehr

Die Umsetzung von IT-Sicherheit in KMU

Die Umsetzung von IT-Sicherheit in KMU Informatik Patrick Düngel / A. Berenberg / R. Nowak / J. Paetzoldt Die Umsetzung von IT-Sicherheit in KMU Gemäß dem IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik Wissenschaftliche

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Staatlich geprüfte IT-Sicherheit

Staatlich geprüfte IT-Sicherheit Bild: Lampertz GmbH & Co.KG Staatlich geprüfte IT-Sicherheit Dr.-Ing. Christian Scharff Lizenziert vom Bundesamt für Sicherheit in der Informationstechnik (BSI) Accuris Consulting / EGT InformationsSysteme

Mehr

SCHUTZBEDARFSKATEGORIEN

SCHUTZBEDARFSKATEGORIEN SCHUTZBEDARFSKATEGORIEN Version 1.0 EVANGELISCHE KIRCHE IN DEUTSCHLAND Seite 2 von 5 SCHUTZBEDARFSKATEGORIEN Diese Schutzbedarfskategorien wurden von der Arbeitsgruppe zur Bereitstellung der Muster-IT-

Mehr

Aspekte der Informationssicherheit bei der Einführung von SAP an der TU Dresden. Vorgehen, Werkzeuge, Erfahrungen-

Aspekte der Informationssicherheit bei der Einführung von SAP an der TU Dresden. Vorgehen, Werkzeuge, Erfahrungen- Aspekte der Informationssicherheit bei der Einführung von SAP an der TU Dresden Vorgehen, Werkzeuge, Erfahrungen- BSI IT-Grundschutz-Tag Berlin 13. Februar 2014 Jens Syckor IT-Sicherheitsbeauftragter Matthias

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit mit TÜV Rheinland geprüfter Qualifikation 16. 20. November 2015, Berlin Cyber Akademie (CAk) ist eine eingetragene Marke www.cyber-akademie.de IT-Sicherheitsbeauftragte

Mehr

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie Seite 1 von 13 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: De-Mail Sicherheit Modulübergreifend Anwendungsbereich: Kürzel: BSI De-Mail TR 01201

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2014 20.03.2014

Mehr

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz IT-Grundschutz modellieren modellieren Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz / Überblick IT- Grundschutzhandbuch (GSHB) betrachtet im Allgemeinen folgende Merkmale: Infrastruktur

Mehr

DE-MAIL DATENSCHUTZ-NACHWEIS

DE-MAIL DATENSCHUTZ-NACHWEIS KURZGUTACHTEN ZUM DE-MAIL DATENSCHUTZ-NACHWEIS Version: 2.0 Prüfgegenstand: Verantwortliche Stelle: Datenschutzkonzept und dessen Umsetzung für den De-Mail- Dienst der 1 & 1 De-Mail GmbH 1 & 1 De-Mail

Mehr

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 53227 Bonn Copyright Scopevisio AG. All rights reserved. Seite 1 von 11 Copyright Scopevisio AG. All rights reserved. Seite 2 von 11 Inhalt

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

Inhaltsverzeichnis. 1 Einleitung 3

Inhaltsverzeichnis. 1 Einleitung 3 Bundesamt für Sicherheit in der Informationstechnik Referat 114 IT-Sicherheitsmanagement und IT-Grundschutz Postfach 20 03 63 53133 Bonn Tel:+49 (0) 22899-9582-5369 E-Mail: grundschutz@bsi.bund.de Internet:

Mehr

E-Government-Initiative für De-Mail und den neuen Personalausweis

E-Government-Initiative für De-Mail und den neuen Personalausweis E-Government-Initiative für De-Mail und den neuen Personalausweis Bundesagentur für Arbeit De-Mail-Lösungsansätze Das Bundesministerium des Innern ist nicht verantwortlich für den Inhalt der Ergebnisdokumente,

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2013 13.06.2013 Agenda

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 1. IT-Grundschutz-Tag 2013 27.02.2013 Inhalte

Mehr

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

Informationssicherheit (k)eine Frage für Ihr Unternehmen? Ziele Informationssicherheit (k)eine Frage für Ihr Unternehmen? SSV bei connect Schnelligkeit, Sicherheit, Verfügbarkeit Vortrag von Ingrid Dubois, dubois it-consulting gmbh Informationssicherheit: Ziele

Mehr

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Cloud Computing aus Sicht von Datensicherheit und Datenschutz Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen

Mehr

IT-Sicherheit betrifft alle

IT-Sicherheit betrifft alle IT-Sicherheit betrifft alle Vorgehensweise nach IT-Grundschutz Angelika Jaschob Bundesamt für Sicherheit in der Informationstechnik Das BSI... ist eine unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

der Informationssicherheit

der Informationssicherheit Alexander Wagner Prozessorientierte Gestaltung der Informationssicherheit im Krankenhaus Konzeptionierung und Implementierung einer prozessorientierten Methode zur Unterstützung der Risikoanalyse Verlag

Mehr

Neu erstellen!!! Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter

Neu erstellen!!! Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter und Nutzung der Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter Neu erstellen!!! I3 - Gruppe IT-Sicherheit und Cyber Defence IT-Sicherheit in der Folie 1 und Nutzung in der Bundesamt

Mehr

Scannen Sie schon oder blättern Sie noch?

Scannen Sie schon oder blättern Sie noch? Scannen Sie schon oder blättern Sie noch? Martin Steger Geschäftsführer intersoft certification services GmbH intersoft mc sec certification 2014 services GmbH mentana-claimsoft.de Agenda Scannen Sie schon

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz IT-Grundschutz-Tag 09.10.2013

Mehr

Praktizierter Grundschutz in einem mittelständigen Unternehmen

Praktizierter Grundschutz in einem mittelständigen Unternehmen Praktizierter Grundschutz in einem mittelständigen Unternehmen Adolf Brast, Leiter Informationsverarbeitung Bochum-Gelsenkirchener Straßenbahnen AG auf dem 4. Stuttgarter IT-Sicherheitstag, 16.02.06 Überblick

Mehr

Praxisbericht Zertifizierung Digitale Nachweise in IT-Grundschutz- Zertifizierungsverfahren

Praxisbericht Zertifizierung Digitale Nachweise in IT-Grundschutz- Zertifizierungsverfahren Praxisbericht Zertifizierung Digitale Nachweise in IT-Grundschutz- Zertifizierungsverfahren IT-Grundschutztag 13. Juni 2012, Bremen Dr. Sönke Maseberg "Es gilt auch Handschlagqualität in diesem Bereich,

Mehr

SCHUTZBEDARFSFESTSTELLUNG

SCHUTZBEDARFSFESTSTELLUNG SCHUTZBEDARFSFESTSTELLUNG Version 1.0 EVANGELISCHE KIRCHE IN DEUTSCHLAND MUSTER ZUR SCHUTZBEDARFSFESTSTELLUNG Die folgenden sfeststellungen wurden von der Arbeitsgruppe Muster IT- Sicherheitskonzepte der

Mehr

IT-Grundschutz für mittelständische Unternehmen

IT-Grundschutz für mittelständische Unternehmen IT-Grundschutz für mittelständische Unternehmen Randolf Skerka SRC Security Research & Consulting GmbH Bonn - Wiesbaden IT-Grundschutzhandbuch Agenda Ein wenig über SRC Das IT-Grundschutzhandbuch Umsetzung

Mehr

2008 by Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee 185-189, 53175 Bonn

2008 by Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee 185-189, 53175 Bonn 2008 by Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee 185-189, 53175 Bonn Inhaltsverzeichnis Inhaltsverzeichnis 1 Einleitung 4 1.1 Versionshistorie 4 1.2 Zielsetzung 4 1.3

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Virtuelle Kommune. Pilotprojekt mit der VG Mendig. Ein besonderes Cloud-& egovernment-projekt. Präsentation am 12.11.2013 in Mainz

Virtuelle Kommune. Pilotprojekt mit der VG Mendig. Ein besonderes Cloud-& egovernment-projekt. Präsentation am 12.11.2013 in Mainz Virtuelle Kommune Pilotprojekt mit der VG Mendig Ein besonderes Cloud-& egovernment-projekt Präsentation am 12.11.2013 in Mainz LEUCHTTURMPROJEKTE IN RHEINLAND-PFALZ IT-Landschaft in der Verbandsgemeinde

Mehr

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess, Projektmanager und Sales Consultant, EMPRISE Process Management GmbH Das Gesetz

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team Gültigkeitsbereich Verantwortlich Team Zweck AWO RV Halle Merseburg und alle Tochtergesellschaften GF Datenschutzbeauftragter ist Prozessverantwortlich Alle MA sind durchführungsverantwortlich Zweck des

Mehr

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster Informationssicherheit im mittelstand... > Bavarian IT Security & Safety Cluster > ein PROdUKt des BayeRisCHen it-sicherheits- ClUsteRs e.v. der Bayerische it-sicherheitscluster e.v. Der Bayerische It-sicherheitscluster

Mehr

Praktischer Datenschutz

Praktischer Datenschutz Praktischer Datenschutz Heiko Behrendt Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel ULD72@datenschutzzentrum.de Praktischer Datenschutz 1 Themen 1. Behördlicher und betrieblicher

Mehr

WAS VERLANGT DAS GESETZ?

WAS VERLANGT DAS GESETZ? Technischorganisatorische Maßnahmen??? Gesetzliche Grundlagen WAS VERLANGT DAS GESETZ? 1 Gesetzliche Grundlagen: 9 Technische und organisatorische Maßnahmen 1 Öffentliche und nicht-öffentliche Stellen,

Mehr

BSI Grundschutz beim Brandenburgischen IT-Dienstleister. Bernd Birkholz Telefon: 0331-39567 E-Mail: bernd.birkholz@zit-bb.brandenburg.

BSI Grundschutz beim Brandenburgischen IT-Dienstleister. Bernd Birkholz Telefon: 0331-39567 E-Mail: bernd.birkholz@zit-bb.brandenburg. BSI Grundschutz beim Brandenburgischen IT-Dienstleister Telefon: 0331-39567 E-Mail: bernd.birkholz@zit-bb.brandenburg.de Gründung des Brandenburgischen IT-Dienstleisters zum 1.1.2009 Errichtungserlass

Mehr

Nachweisbare Sicherheit durch Zertifizierung nach BSI Grundschutz

Nachweisbare Sicherheit durch Zertifizierung nach BSI Grundschutz Nachweisbare Sicherheit durch Zertifizierung nach BSI Grundschutz DECUS Symposium 8.-10. April 2003 Jürgen Bachinger Senior Consultant HP Services - Consulting & Integration BSI-Auditor: BSI-GSL-0001-2002

Mehr

Informationssicherheitsmanagement nach BSI-Grundschutz und ISO 27001 im Vergleich. 13. 16. Januar 2014, München

Informationssicherheitsmanagement nach BSI-Grundschutz und ISO 27001 im Vergleich. 13. 16. Januar 2014, München Informationssicherheitsmanagement nach BSI-Grundschutz und ISO 27001 im Vergleich 13. 16. Januar 2014, München Informationssicherheitsmanagement nach BSI-Grundschutz und ISO 27001 im Vergleich 13. 16.

Mehr

Informationssicherheit als Outsourcing Kandidat

Informationssicherheit als Outsourcing Kandidat Informationssicherheit als Outsourcing Kandidat aus Kundenprojekten Frankfurt 16.06.2015 Thomas Freund Senior Security Consultant / ISO 27001 Lead Auditor Agenda Informationssicherheit Outsourcing Kandidat

Mehr

DIGITALE INFRASTRUKTUR SCHÜTZEN UND OPTIMIEREN

DIGITALE INFRASTRUKTUR SCHÜTZEN UND OPTIMIEREN DIGITALE INFRASTRUKTUR SCHÜTZEN UND OPTIMIEREN anhand eines praktischen Beispiels bei der Versatel Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration (MBA)

Mehr

Schulungsunterlagen IT-Grundschutz nach BSI. Robert M. Albrecht Creative Commons by-nc-sa

Schulungsunterlagen IT-Grundschutz nach BSI. Robert M. Albrecht Creative Commons by-nc-sa Schulungsunterlagen IT-Grundschutz nach BSI Robert M. Albrecht Creative Commons by-nc-sa The audience is listening. IT-Grundschutz nach BSI Robert M. Albrecht Agenda Was ist das BSI? Warum IT-Grundschutz?

Mehr

Technische und organisatorische Anforderungen zur Nutzung von Berechtigungszertifikaten

Technische und organisatorische Anforderungen zur Nutzung von Berechtigungszertifikaten Vergabestelle für Berechtigungszertifikate Richtlinie gemäß 29 Abs. 2 PAuswV Technische und organisatorische Anforderungen zur Nutzung von Berechtigungszertifikaten Version Datum 1.1 23.02.11 Inhaltsverzeichnis

Mehr

Neues vom IT-Grundschutz: Ausblick und Diskussion

Neues vom IT-Grundschutz: Ausblick und Diskussion Neues vom IT-Grundschutz: Ausblick und Diskussion Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2014

Mehr