Global Headquarters: 5 Speen Street Framingham, MA USA P F

Größe: px
Ab Seite anzeigen:

Download "Global Headquarters: 5 Speen Street Framingham, MA 01701 USA P.508.872.8200 F.508.935.4015 www.idc.com"

Transkript

1 Global Headquarters: 5 Speen Street Framingham, MA USA P F W H I T E P A P E R S i n d I h r e s e n s i t i v e n D a t e n s i c h e r? E i n e S t u d i e z u m S t a t u s d e r I T - S e c u r i t y - P r a x i s i n D e u t s c h l a n d Gesponsert von: Tripwire Matthias Zacher Oktober 2011 Eric Domage Basis des vorliegenden Whitepapers ist eine Befragung von IT Security Fach- und Führungskräften in Deutschland durch IDC. Diese Befragung ist im Sommer 2011 durchgeführt worden. Grundlegende Ergebnisse der Befragung sind: IT Security Verantwortliche in Deutschland verfügen über ein klar umrissenes Verständnis ihres Aufgabengebiets nämlich dem Schutz des operativen Geschäfts, der Unternehmensmarken und der Sicherung des Kundenvertrauens. Der Stellenwert von sicherheitsrelevanten Daten (persönliche Kundendaten, Finanzdaten und geistiges Eigentum) ist exakt definiert und potenzielle Geschäftsschädigungen (Verlust des Kundenvertrauens bzw. von Umsätzen sowie rechtliche Sanktionen). durch Vorkommnisse in der IT können genau eingeschätzt werden Compliance ist eines der wichtigsten und umfassendsten Themen, bei einem starken lokalen Fokus. IT Security Experten in Deutschland müssen eine ganze Reihe an gesetzlichen Anforderungen und Richtlinien berücksichtigen und verarbeiten. Allerdings zeigt die Befragung auch eine gewisse Zurückhaltung gegenüber offiziellen Audits und Prüfungen der Security Policy und flächendeckenden IT Security Controls. Die Unternehmen halten die obligatorischen gesetzlichen Regelungen ein, die Fähigkeit auf mögliche ernsthafte Zwischenfälle im Nachhinein zu reagieren ist eher schwach ausgeprägt- In den Unternehmen eingesetzte IT Security Controls erfüllen heute Basisanforderungen (Daten-Recovery, Malware-Abwehr, Accessmanagement). Aber tiefergehende Instrumente, die Schwachstellen in der IT Security aufdecken und Abhilfe schaffen könnten (Security Configuration Management, Störfallbearbeitungen, Auslastungstests) werden bisher kaum eingesetzt. Aktuelle IT Security Controls adressieren vor allem die Verbesserung von Security Skills, Audit Log Monitoring, Account Monitoring, Asset Inventory und Data Loss Prevention. Zusätzlich zur Befragung wurden Expertengespräche in Fokusgruppen geführt. Dabei zeigt sich ein einheitliches Bild der aktuellen Entwicklungen. Die befragten IT- Experten sind mit den aktuellen IT Security-Anforderungen durch das Business vertraut Das Thema Sicherheit und Compliance findet immer stärker Berücksichtigung. Dennoch scheint die IT-Sicherheit, gemessen am Grad der Automatisierung von IT Security Controls (Maßnahmen, Vorgehensweisen und IT Security Technologie), noch auf einem niedrigen Stand bei deutschen Unternehmen zu sein.

2 IDC geht davon aus, dass automatisierte Security Controls ein geeigneter Ansatz sind, wenn es darum geht, den aktuellen Level der IT-Sicherheit zu verbessern und ROI (Return-on-Investment) zu generieren. Des Weiteren können IT Security Controls gezielt dort eingesetzt werden, wo Optimierungsbedarf besteht und somit interne Ressourcen für wichtigere Aufgaben freigesetzt werden. Das senkt zugleich die Total Costs für IT Security. #IDCWP41T 2011 IDC

3 I N H A L T S V E R Z E I C H N I S Einführung... 1 Methodik... 1 Aktuelle Situation... 2 Schutz von Daten... 2 Typen von zu schützenden Daten... 2 IT Security Controls... 7 PCI DSS im Detail Einführung Compliance mit PCI DSS PCI DSS Anforderungen Zusammenfassung Copyright-Hinweis P 2011 IDC #IDCWP41T

4 A B B I L D U N G S V E R Z E I C H N I S 1 Welche Arten von sensitiven Daten müssen von Ihrem Unternehmen geschützt werden? Was wären die Auswirkungen auf Ihr Unternehmen, wenn sensible Daten verloren gingen oder kompromittiert würden? Wie zuversichtlich sind Sie, dass Sie im Falle eines erfolgreichen Angriffs auf Ihre IT die Ursache und alle nicht autorisierten Eingriffe schnell herausfinden und identifizieren können? Was ist der Hauptgrund, warum IT Sicherheitstechnologien und Maßnahmen erfolgreiche Angriffe auf die IT nicht verhindern bzw. nicht rechtzeitig entdecken können? Welche der folgenden IT Security Controls haben Sie bereits implementiert, wollen Sie erweitern oder beabsichtigen Sie zu implementieren? Welche der folgenden IT Security Controls beabsichtigen Sie zu erweitern oder zu implementieren? Top 10 Nennungen Welche der folgenden IT Security Controls haben Sie nicht implementiert? Top 10 Nennungen Führt Ihr Unternehmen Audits zur Wirksamkeit der eingesetzten IT Security Controls durch? Mit welchen der folgenden Gesetze und Richtlinien muss Ihr Unternehmen compliant sein? Verfügen Sie über ein formelles Informations-Sicherheits-Management System, das die Risiken im Zusammenhang mit Ihren sensitiven Unternehmensdaten beschreibt und die IT Security Controls definiert, die für den Schutz notwendig sind? Wir haben eine formelle Vorgehensweise implementiert, die auf einem der folgenden Standards oder Richtlinien beruht Sind Sie derzeit PCI DSS compliant? Bitte wählen Sie aus den folgenden 12 PCI DSS-Compliance Anforderungen diejenige aus, die am EINFACHSTEN zu erfüllen ist Bitte wählen Sie aus den folgenden 11 PCI DSS-Compliance Anforderungen diejenige aus, die am SCHWIERIGSTEN zu erfüllen ist Werden in Ihrem Unternehmen regelmäßig PCI DSS Compliance Audits durchgeführt? P #IDCWP41T 2011 IDC

5 E i n f ü h r u n g 2011 ist ein äußert herausforderndes Jahr hinsichtlich der IT-Sicherheit in Unternehmen. Das gilt umso mehr für die Verantwortlichen, die für die Sicherheit sorgen müssen. Über Sicherheitslücken und Datenlecks in Unternehmen wird derzeit vielfach in den Medien berichtet und die Zahl strafrechtlich relevanter Attacken und Angriffe auf die Daten von Behörden, Unternehmen und Privatpersonen steigt kontinuierlich. Der richtige Umgang mit sicherheitsrelevanten (sensitiven) Daten ist für viele Organisationen aufgrund fehlender Mittel, knapper personeller Ressourcen und mangelnder technischer Expertise schwierig, oftmals mit desaströsten Folgen. Aber die Unternehmen in Deutschland verstärken ihre Anstrengungen zum Schutz sensitiver Daten und setzen in wachsendem Maße vorbeugende Maßregeln und Mechanismen ein. Die Spannbreite dieser Maßnahmen reicht von Schulungen und Awareness Programmen bis zur Einführung neuer IT Security Lösungen. Das Einführen einer passenden technischen Lösung zum Schutz von Daten ist absolut wichtig geworden. Einerseits sind Angriffe aufgrund verfeinerter Vorgehensweise immer schwieriger zu erkennen und andererseits erfordern komplexe und umfassende Technologien adäquate Schutzvorrichtungen. M e t h o d i k Ziel des vorliegenden Whitepapers ist es, die aktuellen Herausforderungen und Bedürfnisse deutscher Unternehmen und Institutionen hinsichtlich des Schutzes sensitiver Daten und der Rolle von IT Security Controls zu untersuchen. Dabei wird auf die Sichtweisen und Anforderungen von Unternehmen eingegangen, der stetig wachsenden Bedrohung sensitiver Daten entgegen zu steuern und dem Bedürfnis nach leistungsfähigeren IT Security Controls nachzukommen. Diese Anforderungen stehen in engem Zusammenhang mit sich ändernden technologischen Standards und der Art und Weise, wie IT heutzutage im Unternehmensalltag Verwendung findet. Dementsprechend bedarf es immer mehr Schutzvorkehrungen und Gegenmaßnahmen, um Bedrohungen der IT zu entschärfen. In dieser Studie wird dabei auch auf Compliance Richtlinien in Deutschland eingegangen. IDC hat 2011 im Juli und August 150 Unternehmen mit mehr als 100 Mitarbeitern in Deutschland zur IT Security und aktuellen Bedrohungsszenarien befragt, um ein besseres Verständnis über den Einsatz von IT Security Lösungen und die Abwehr von Gefährdungspotenzialen zu bekommen. Ergänzend zur Befragung fanden zudem Diskussionen in Fokusgruppen mit IT Security Verantwortlichen auf Senior Level in München und Frankfurt statt. Der Teilnehmerkreis der Befragung und der Fokusgruppen setzte sich aus Experten und Managern zusammen, die vorwiegend für die Sicherheit der IT in ihrem Unternehmen zuständig sind. Im Branchensplit der Studienteilnehmer stellt die Industrie den größten Anteil, gefolgt von den Branchen Handel, Unternehmensdienstleistungen, das Gesundheitswesen, Finanzdienstleister und Andere. Das vorliegende Dokument fasst die Key-Ergebnisse der Befragung und der Diskussion der Fokusgruppen zusammen IDC #IDCWP41T 1

6 A k t u e l l e S i t u a t i o n IT Security und damit der Schutz von Daten, Informationstechnologie und der IT Landschaft insgesamt zählt seit vielen Jahren zu den Topthemen der IT-Abteilungen deutscher Unternehmen. Obwohl Unternehmen in Deutschland die Wichtigkeit dessen erkannt haben, ist absolute IT Sicherheit heutzutage noch immer eine Illusion. IT Security ist immer komplexerer und anspruchsvollerer geworden und muss fortwährend neue Aspekte und Angriffsszenarien berücksichtigen. Laut Bundeskriminalamt (BKA) ist die Zahl der Cyber-Verbrechen im Jahr 2010 um 19 % angestiegen. Für 2011 erwartet IDC weiterhin eine wachsende Zahl von Bedrohungen, Angriffen und Sicherheitslücken. S c h u t z v o n D a t e n Die Entwicklung immer neuer Technologien zur Steigerung der Effektivität und Effizienz in Unternehmen geht aus Sicht der IT Security mit einem parallelen Anstieg der Bedrohungen für sensitive Daten Hand in Hand. Mit den heutigen Bedrohungsszenarien sind Angriffe auf die IT Infrastruktur alltäglich geworden und der Diebstahl sensitiver Daten stellt keine Seltenheit mehr dar. Typen von zu schützenden Daten Der Schutz der Sicherheit und Vertraulichkeit von Daten ist für jedes Unternehmen von hoher Bedeutung. Die vorliegende Befragung bestätigt, dass der Schutz personenbezogener Daten, Kundendaten und Finanzdaten bei über 90 % der Befragten ein Top Thema darstellt. Weitere Daten, bei denen erhöhter Sicherheitsbedarf besteht, sind geistiges Eigentum und Fachwissen, Daten von Kreditkartenbesitzern, Patientendaten und einige weitere gesetzlich geschützte und nicht geschützte Daten. 2 #IDCWP41T 2011 IDC

7 A B B I L D U N G 1 W e l c h e A r t e n v o n s e n s i t i v e n D a t e n m ü s s e n v o n I h r e m U n t e r n e h m e n g e s c h ü t z t w e r d e n? Personenbezogene daten 93,3% Kundendaten 92,0% Finanzdaten 91,3% Geistiges Eigentum, Fachwissen 69,3% Daten von Kreditkartenbesitzern 48,0% Patientendaten 16,7% Andere gesetzlich geschützte Daten 4,0% Andere nicht gesetzlich geschützte Daten 1,3% 0% 50% 100% n = 150 Umso mehr Technologien in einem Unternehmen eingesetzt werden, desto stärker häufen sich die Gefahren, sensible Daten zu streuen oder zu verlieren. Die Diskussion in den Fokusgruppen hat gezeigt, dass Unternehmen mit einer wachsenden Anzahl von Einbrüchen in die Informationstechnologie umgehen müssen. Die Anzahl der Angriffe auf unternehmensinterne IT-Infrastrukturen liegt bei bis zu Angriffen im Monat, Tendenz steigend. Es hat den Anschein, als seien die Fokusgruppenteilnehmer wesentlich offener im Umgang mit dieser Problematik, denn die Befragung in den Unternehmen zeichnet ein anderes Bild. Auch hier wurde nach der Anzahl der Angriffe auf die IT- Infrastruktur der Unternehmen gefragt über die Hälfte der Befragten äußerte sich dazu gar nicht, das Ergebnis der Übrigen ist wie folgt: Mehr als 15 % der befragten Unternehmen gaben an, noch nie Opfer eines Angriffs gewesen zu sein, 21 % bezifferten die Angriffe zwischen 1 und 10 im Monat, Bei 7 % der Befragten gebe es Angriffe im Monat. Die tatsächliche Situation spiegeln diese Zahlen nicht wider IDC geht davon aus, dass die Anzahl der Angriffe tatsächlich wesentlich höher ist und dass diese sich durch große Raffinesse auszeichnen. Viele Unternehmen haben erhebliche Probleme damit, das Gefahrenpotenzial neuer Bedrohungen einzuschätzen und es kommt erschwerend hinzu, dass es häufig keine unternehmensweiten Informationen über erfolgreiche Angriffe auf das Unternehmen gibt IDC #IDCWP41T 3

8 Die Befragten bezifferten in der Umfrage die Anzahl der in letzten 12 Monaten erfolgten Angriffe recht niedrig, was nach IDC Meinung nicht die Realität abbildet. Tatsächlich sind, wie aktuelle Reports und Nachrichten zeigen, erfolgreiche Angriffe im letzten Jahr dramatisch angestiegen. Der Verlust sensitiver Informationen wirkt sich nicht nur in Form wirtschaftlichen Verlustes aus, sondern kann das Image eines Unternehmens langfristig stören und damit eine ersthafte Bedrohung darstellen. Das Ergebnis zeigt, dass über 95 % der Befragten davon ausgehen, ein Datenverlust führe zu einem Vertrauensverlust der Kunden und habe negative Auswirkungen auf das Unternehmens-Brand bzw. den Ruf des Unternehmens. Dazu kommen Umsatzverluste (67,3 %), Schadenersatz, Wiederherstellungskosten, Vertragsstrafen und höhere Betriebskosten (66,7 %), gesetzliche Strafen und Bußgelder (52,7 %) sowie der Verlust des eigenen Jobs (12,7 %). Insgesamt decken sich diese Ergebnisse auch mit den Ausführungen in den Fokusgruppen. A B B I L D U N G 2 W a s w ä r e n d i e A u s w i r k u n g e n a u f I h r U n t e r n e h m e n, w e n n s e n s i b l e D a t e n v e r l o r e n g i n g e n o d e r k o m p r o m i t t i e r t w ü r d e n? Vertrauensverlust der Kunden, negative Auswirkungen auf das Unternehmens-Brand bzw. den Ruf des Unternehmens 95,3% Umsatzverlust 67,3% Schadensersatz, Wiederherstellungskosten, Vertragsstrafen, höhere Betriebskosten 66,7% Gesetzliche Strafen, Bußgelder, Kompensationen 52,7% Ich würde meine Stelle verlieren 12,7% 0% 50% 100% n = 150 Wenn eine Sicherheitslücke entdeckt wird, müssen Unternehmen diese umgehend schließen und schnell alle Auswirkungen des Angriffs ausfindig machen. Dazu gehören beispielsweise eingeschleuster Schadcode, zerstörte Daten und Dateien sowie jegliche andere unbefugten Zugriffe auf die IT-Infrastruktur (Nutzerprofile und Rechte). Um die Rechtsgültigkeit und Integrität der Daten sicherzustellen, bedürfen die Unternehmen verschiedener Lösungen, Policies und Methoden. 4 #IDCWP41T 2011 IDC

9 A B B I L D U N G 3 W i e z u v e r s i c h t l i c h s i n d S i e, d a s s S i e i m F a l l e e i n e s e r f o l g r e i c h e n A n g r i f f s a u f I h r e I T d i e U r s a c h e u n d a l l e n i c h t a u t o r i s i e r t e n E i n g r i f f e s c h n e l l h e r a u s f i n d e n u n d i d e n t i f i z i e r e n k ö n n e n? Nicht zuversichtlich (6,7%) Weiß nicht (1,3%) Sehr zuversichtlich (48,0%) Teils teils (44,0%) n = 150 Das Problem möglichen Datenverlustes ist zurzeit das wichtigste Thema der IT Security Verantwortlichen. IDC geht davon aus, dass Datenlecks- und Verluste sich nicht nur dramatisch auf die IT-Sicherheit auswirken, sondern auch auf den Geschäftsbetrieb insgesamt. Die Frage aber ist: Wie können IT Security Manager und Leiter Verletzungen der Datensicherheit erfolgreich bekämpfen und wie schnell kann die Quelle eines Angriffs tatsächlich ausfindig gemacht werden? Hat ein erfolgreicher Angriff stattgefunden, so müssen Unternehmen so schnell wie möglich handeln, um auf unerlaubte Vorgänge und Zugriffe reagieren zu können. In der Befragung geben jedoch weniger als die Hälfte der Unternehmen an, diesen Anforderungen gewachsen zu sein und auf Angriffe entsprechend reagieren zu können, 44 % der Unternehmen fühlen sich teilweise dazu in der Lage. 7 % hingegen gaben sogar an, nicht zuversichtlich dahingehend zu sein, bei einem Angriff richtig zu reagieren und 1 % der Befragten weiß es nicht. In Regel werden unbefugte Zugriffe mit einer Kombination aus Configuration Management, Change Monitoring und Network Change Detection bekämpft. Es sollte besonderes Augenmerk auf diese Themen gelegt werden, um auch zukünftige Angriffe kontrollieren zu können. Es gibt sehr unterschiedliche Gründe für das Versagen der IT Security bei der Erkennung und Schließung von Sicherheitslücken. Die drei häufigsten sind dabei der Mangel an passenden Fachkräften (48,7 %), fehlendes internes Know-how (42,7 %) 2011 IDC #IDCWP41T 5

10 und zu geringes Budget für den Kauf geeigneter Technologien (39,3 %). Insgesamt zeigt dieses Ergebnis den großen Handlungsbedarf auf, entsprechende Fähigkeiten im Unternehmen aufzubauen. Dabei muss darauf geachtet werden, die entsprechenden Ressourcen gezielt einzusetzen dort, wo eventuelle Angriffe am wahrscheinlichsten und am schwerwiegendsten sind. A B B I L D U N G 4 W a s i s t d e r H a u p t g r u n d, w a r u m I T S i c h e r h e i t s t e c h n o l o g i e n u n d M a ß n a h m e n e r f o l g r e i c h e A n g r i f f e a u f d i e I T n i c h t v e r h i n d e r n b z w. n i c h t r e c h t z e i t i g e n t d e c k e n k ö n n e n? Keine passenden Fachkräfte 48,7% Fehlendes internes Know-how Zu wenig Budget, um geeignete Technologien zu kaufen Eingesetzte Technologien sind unzulänglich / ineffektiv 34,0% 39,3% 42,7% Zu wenig IT Controls im Einsatz Mitarbeiter sind von Datenvolumen überfordert, das durch bestehende Lösungen entsteht Mangelnde Koordination oder Integration von bestehenden Technologien Derzeitige IT Sicherheitsmaßnahmen und Technologien werden nicht gepflegt (gewartet) 33,3% 32,0% 29,3% 24,0% Weiß nicht 7,3% 0% 30% 60% n = 150 Genauere Betrachtung der Aussagen der IT Security Verantwortlichen macht deutlich, wie unterschiedlich allgemeines Wissen und Expertise über die Mitglieder der Fokusgruppen verteilt sind. Während einige über ein großes Portfolio an IT Security Mitarbeitern innerhalb des Unternehmens verfügen, sind andere auf einen besonderen Bereich oder eine bestimmte Abteilung spezialisiert. Viele der neueren Security Mitarbeiter verfolgen eher einen technisch-basierten Lösungsansatz für die IT Security, zugleich wird aber die Informationssicherheit auf der Agenda der Verantwortlichen immer wichtiger. Dies ist zum Teil der Tatsache geschuldet, dass die Infrastruktur immer komplexer wird, aber auch immer neue gesetzlichen Vorschriften und Compliance Richtlinien zu beachten sind. Insgesamt ergibt sich daraus die Notwendigkeit eines erweiterten Ansatzes einer IT Security Strategie und Umsetzung. Je stärker sich Unternehmen mit IT-Sicherheit auseinandersetzen, desto eher werden neue, effektivere Abwehransätze entwickelt. 6 #IDCWP41T 2011 IDC

11 I T S e c u r i t y C o n t r o l s IT Security Controls sind Maßnahmen für die Prävention, Bearbeitung und Minimierung geschäftlicher Risiken. Sie stellen die unternehmensinternen Abläufe, Policies und Technologien dar, die den reibungslosen Ablauf grundlegender betrieblicher Prozesse sichern. Durch die Einführung von IT Security Controls werden Unternehmen in die Lage versetzt, ihre Abwehrfähigkeit gegenüber Datenverlust oder -diebstahl zu stärken. IDC hat in der vorliegenden Untersuchung die Einstellung deutscher Unternehmen zu diesen IT Security Controls eruiert. Im Zuge der Befragung und der Diskussion in den Fokusgruppen wurde eine Liste mit 18 grundlegenden IT Security Controls erarbeitet, die zur Entschärfung der Risiken von Datenverlusten von besonderer Bedeutung sind. Beide Gruppen haben dabei sehr interessante Einblicke zur Einführung dieser Schutzmaßnahmen gegeben. Abbildung 5 zeigt die von den Befragten am häufigsten eingeführten IT Security Controls im Vergleich zu den Plänen, diese künftig zu erweitern oder eine Einführung zu planen. Wichtigkeit und Relevanz der verschiedenen IT Security Controls im Einsatz bei den Unternehmen hängen im Wesentlichen von deren Konfiguration und der Sensitivität der Daten ab IDC #IDCWP41T 7

12 A B B I L D U N G 5 W e l c h e d e r f o l g e n d e n I T S e c u r i t y C o n t r o l s h a b e n S i e b e r e i t s i m p l e m e n t i e r t, w o l l e n S i e e r w e i t e r n o d e r b e a b s i c h t i g e n S i e z u i m p l e m e n t i e r e n? Malware-Schutz Informationssicherheitsrichtlinien Datenwiederherstellung Access Management Data Loss Prevention Anwendungssoftware Security Asset Inventory Audit Log Monitoring und Analyse Account Monitoring und Überwachung Datenverschlüsselung System Changes Monitoring und Analyse Security Skills & Awareness Training Secure Network Engineering (Boundary Defense) Vulnerability Assessment & Wiederherstellung Penetrations-Testing Überwachung drahtloser (WLAN) Geräte Incident Response Secure Configuration Standards (Hardening) 93,3% 84,7% 93,3% 78,0% 74,0% 76,7% 67,3% 70,7% 65,3% 64,7% 64,7% 58,7% 66,7% 58,7% 53,3% 51,3% 52,7% 51,3% 1,3% 9,3% 0,0% 6,6% 10,6% 6,7% 10,6% 6,6% 10,7% 10,6% 9,3% 14,6% 4,0% 9,9% 8,6% 7,3% 5,3% 5,3% 0% 50% 100% Bereits implementiert Erweiterung oder Einführung geplant n = 150 Über 90 % der befragten Unternehmen gaben an, solche grundlegenden Basis Security Controls wie Malware-Schutz, Datenwiederherstellung und Informationssicherheitsrichtlinien entweder bereits zu nutzen oder eine Erweiterung oder Einführung in Planung zu haben. Unter den fünf häufigsten Antworten finden sich zudem Access Management und Data Loss Prevention. Innerhalb der Fokusgruppen wird dies bestätigt. So betonten die Teilnehmer, dass es heutzutage unerlässlich ist, einen aktiven automatisierten Malware-Schutz in jedem System auf dem aktuellsten Stand zu haben. Abbildung 6 zeigt die Top 10 der IT Security Controls, die erweitert oder eingeführt werden sollen. Angeführt wird die Liste von Security Skills & Awareness, Datenverschlüsselung sowie Account Monitoring und Überwachung, welche aktuell viel Aufmerksamkeit bekommen, sich aber bisher noch auf einem niedrigen Nutzungs- bzw. Erweiterungs-Level befinden. 8 #IDCWP41T 2011 IDC

13 A B B I L D U N G 6 W e l c h e d e r f o l g e n d e n I T S e c u r i t y C o n t r o l s b e a b s i c h t i g e n S i e z u e r w e i t e r n o d e r z u i m p l e m e n t i e r e n? T o p 1 0 N e n n u n g e n Security Skills & Awareness Training 8,7% 6,0% Datenverschlüsselung 6,7% 4,0% Account Monitoring und Überwachung 6,0% 4,7% Asset Inventory 7,3% 3,3% Data Loss Prevention 9,3% 1,3% Vulnerability Assessment & Wiederherstellung System Changes Monitoring und Analyse Informationssicherheitsrichtlinien 6,7% 4,7% 6,0% 4,7% 3,3% 3,3% Penetrations-Testing Überwachung drahtloser (WLAN) Geräte 7,3% 5,3% 2,0% 1,3% 0% 5% 10% 15% 20% Einführung geplant Erweiterung geplant n = 150 IDC geht davon aus, dass einige der IT Security Controls noch unterbewertet und unterschätzt werden. Secure Configuration Standards, welche die Liste der am wenigsten implementierten IT Security Controls (Abbildung 7) anführt, ist ein Beispiel hierfür. IT Unternehmen müssen eine sichere Konfiguration der Computer und Netzwerke gewährleisten, "gehärtete" Systeme nachrüsten und regelmäßig updaten. Handlungsbedarf besteht auch bei der Verbesserung von Due Diligence, Assurance und Datenschutz IDC #IDCWP41T 9

14 A B B I L D U N G 7 W e l c h e d e r f o l g e n d e n I T S e c u r i t y C o n t r o l s h a b e n S i e n i c h t i m p l e m e n t i e r t? T o p 1 0 N e n n u n g e n Secure Configuration Standards (Hardening) Überwachung drahtloser (WLAN) Geräte Incident Response Capability Penetrations-Testing Vulnerability Assessment & Wiederherstellung Secure Network Engineering (Boundary Defense) Security Skills & Awareness Training System Changes Monitoring und Analyse Account Monitoring und Überwachung Data Loss Prevention 41,3% 40,3% 40,0% 36,7% 28,7% 27,3% 24,7% 24,0% 23,3% 22,0% 0% 25% 50% n = 150 Quelle: IDC, 201 Häufige Prüfungen (Audits) der Effektivität von IT Security Controls gehören zu den wichtigsten Elementen der Messung der Qualität einer sicheren IT Infrastruktur. Fast 73 % der befragten Unternehmen geben an, derartige Prüfungen zwar durchzuführen, aber nur gelegentlich oder in großen zeitlichen Abständen. Wie Abbildung 8 verdeutlicht, führen die meisten Unternehmen diese Prüfungen einmal jährlich durch (53 %), halbjährlich sind es 10 % und bei 9 % wird auf eine quartalsweise Prüfung geachtet. Besorgniserregend ist aber, dass fast ein Viertel der Befragungsteilnehmer (24 %) keinerlei Qualitätsmanagement in diesem Bereich einsetzt, also die Effektivität der IT Security Controls gar nicht überprüft. Wenn keine regelmäßigen Überprüfungen der IT Security Controls stattfinden, verringert das den Wert dieser Instrumente erheblich, da stets sichergestellt sein muss, dass sie funktionieren und effektiv sind. Unternehmen können unmöglich etwas verwalten, das sie nicht vorher messen und der Mangel häufiger Prüfungen führt damit zu einem erhöhten geschäftlichen Risiko. 10 #IDCWP41T 2011 IDC

15 Incident Response Capability Penetration Testing Vulnerability Assessment & Remediation 28,7% 40,0% 36,7% Secure Network Engineering (Boundary Defense) 27,3% A B B I L D U N G 8 Security Skills & Awareness Education 24,7% F ü h r t I h r U n t e r n e h m e n A u d i t s z u r W i r k s a m k e i t d e r Systems Changes Monitoring and Analysis e i n g e s e t z t e n I T S e c u r i t y C o n t r o l s d u r c h? 24,0% Account Monitoring and Control 23,3% Ja, einmal im Jahr Data Loss Prevention 22,0% 53,3% Audit Log Monitoring and Analysis Nein 24,0% Asset Inventory Ja, alle sechs Monate Access 10,0% Management 14,0% 21,3% 19,3% Ja, alle drei Monate Weiß nicht Data Encryption 9,3% Information Security Policy 3,3% Data Recovery Capability 14,0% 5,3% 4,7% 0% Malware Defenses 30% 4,7% 60% n = 150 Application Software Security 1,3% 0% 10% 20% 30% 40% 50% (%) Unternehmen müssen eine stetig steigende Anzahl von Richtlinien einhalten (Compliance), von denen einige branchenübergreifend sind und andere bestimmte interne Policies oder branchenspezifische Anforderungen abdecken. Die für diese Studie befragten Unternehmen listen eine ganze Reihe solcher Richtlinien auf, die für ihren geschäftlichen Alltag wichtig sind, welche in Abbildung 9 dargestellt sind. Die branchenübergreifenden Richtlinien, die das deutsche Gesetz fordert, werden dabei am häufigsten genannt. Dazu zählt das Bundesdatenschutzgesetz (BDSG) (91.3%) sowie das Aktiengesetz (AktG), GmbH-Gesetz (GmbHG) und das Handelsgesetzbuch (Handelsgesetzbuch) mit zusammen 66,7 % IDC #IDCWP41T 11

16 A B B I L D U N G 9 M i t w e l c h e n d e r f o l g e n d e n G e s e t z e u n d R i c h t l i n i e n m u s s I h r U n t e r n e h m e n c o m p l i a n t s e i n? Bundesdatenschutzgesetz (BDSG) Interne Compliance-Vorschriften und Regeln 91,3% 87,3% AktG, GmbHG, HGB GDPdU 66,7% 62,7% Basel II, Solvency II PCI DSS KontraG Sox / Eurosox MaRISK SAS 70 (SSAE 16) und PS 951 Weiß nicht. 41,3% 33,3% 27,3% 19,3% 12,0% 9,3% 1,3% 0% 50% 100% n = 150 Mit 87,3 % sind interne Compliance-Vorschriften und Regeln an zweiter Stelle genannt, was die große Bedeutung interner Richtlinien für deutsche Unternehmen unterstreicht. Gemeint sind damit Policies und Abläufe, die durch das Management festgelegt werden um das eigene geschäftliche Risiko zu minimieren. Gesetzliche Compliance Richtlinien sind für IT Abteilungen heute nicht mehr neu, dennoch befinden sich die Unternehmen immer noch auf unterschiedlichen Verständnis- und Umsetzungsstufen, wenn es um die Verinnerlichung dieser Prozesse und dessen effiziente Gestaltung geht. Die steigende Aufmerksamkeit gegenüber Compliance-Anforderungen, sowohl deren Beachtung als auch Implementierung, zieht ein deutliches Potenzial zur Automatisierung der Überwachung nach sich. Verschiedene Sicherheitsstufen sollten, wann immer es möglich ist, kombiniert werden um eine umfassende Absicherung der Systeme zu gewährleisten. Das Ziel der Implementierung eines Information Security Managements Systems ist grundsätzlich immer die Eindämmung und Begrenzung aktueller und künftiger geschäftlicher Risiken, daneben aber auch die Einhaltung aktueller Richtlinien und gesetzlicher Anforderungen zum Schutz und der Vertraulichkeit von Informationen. Dabei muss ein gutes Security Management in seinen Policies und Abläufen drei Dimensionen integrieren: Menschen, Prozesse und Technologie. 12 #IDCWP41T 2011 IDC

17 A B B I L D U N G 10 V e r f ü g e n S i e ü b e r e i n f o r m e l l e s I n f o r m a t i o n s - S i c h e r h e i t s - M a n a g e m e n t S y s t e m, d a s d i e R i s i k e n i m Z u s a m m e n h a n g m i t I h r e n s e n s i t i v e n U n t e r n e h m e n s d a t e n b e s c h r e i b t u n d d i e I T S e c u r i t y C o n t r o l s d e f i n i e r t, d i e f ü r d e n S c h u t z n o t w e n d i g s i n d? Weiß nicht. (2,7%) Wir haben kein Informations- Sicherheits- Management (30,7%) Wir haben eine formelle Vorgehensweise implementiert, die auf einem der folgenden Standards oder Richtlinien (66,7%) n = 150 Wurde erst einmal ein offizielles Information Security Management Systemeingerichtet, zeigt sich schnell der enorme Gewinn, da es von diesem Zeitpunkt an IT Security Verantwortlichen möglich wird, den Stand der Sicherheit zu messen und abzubilden. Zwei Drittel der befragten Unternehmen verfügen bereits, wenn auch in unterschiedlichen Ausprägungen, über ein offizielles Information Security Management System, in denen auch die Risiken für sensible Daten und die notwendigen Security Controls definiert sind. Das übrige Drittel hat derartige Modelle bisher nicht entwickelt. Nach IDC Meinung stellen Information Security Management Systeme grundlegende Instrumente dar, die von Unternehmen eingeführt werden sollten. Es sind hinreichende Ressourcen zur Anleitung entsprechender Security Policies vorhanden, sodass das "Was" kein Problem darstellen sollte. Security Verantwortliche der Fokusgruppen neigen bisher dazu, einzelne Policies für ihr Unternehmen auszuwählen und zu verwenden, während nur einige Verantwortliche komplette Standards implementieren. Dadurch können schnell Sicherheitslücken entstehen. Unternehmen, die bereits offizielle Modelle eingeführt haben, setzen auf Standardbasierte oder Best-Practices-Systeme. Die meisten Befragten (58 %) nutzen dementsprechend den IT-Grundschutz, ein Vorgehensmodell des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Erstellung eines Information Security Management Systems. Andere genannte Modelle basieren auf ISO 2700x (44%), ITIL 2011 IDC #IDCWP41T 13

18 (30%), Information Security Forum Best Practices (24%), PCI DSS (17%) und COBIT (11%). A B B I L D U N G 11 W i r h a b e n e i n e f o r m e l l e V o r g e h e n s w e i s e i m p l e m e n t i e r t, d i e a u f e i n e m d e r f o l g e n d e n S t a n d a r d s o d e r R i c h t l i n i e n ber u h t. IT Grundschutz 58,0% ISO 2700x 44,0% ITIL (Information Technology Infrastructure Library) Information Security Forum Best Practices (ISF) PCI DSS COBIT Keine der Genannten. 30,0% 24,0% 17,0% 11,0% 15% 0% 30% 60% n = 150 P C I D S S i m D e t a i l Einführung PCI DSS (Payment Card Industry Data Security Standard) ist eine im Auftrag der großen Kreditkartenmarken entwickelte Information Security Richtlinie des PCI Data Security Councils, welche spezifische Compliance Anforderungen für Unternehmen, die Kreditkarteninhaberinformationen verwalten, umfasst. Dieser Standard bietet ein erprobtes System zur Entwicklung stabiler und überprüfbarer Sicherheitsprozesse, das die Vorsorge, Ermittlung und Reaktion auf Störfälle bezüglich der Sicherheit in Relation zum Verlust sensibler Daten beinhaltet. Compliance mit PCI DSS Wie bereits Abbildung 9 verdeutlicht, nutzen 33 % der befragten Unternehmen PCI DSS. Innerhalb des Kreditkartenverkehrs haben diese Unternehmen unterschiedliche Rollen 61,3 % sind Händler, 25,3 % Service Provider und 13,3 % sind Banken. Mehr als 25 % der Banken, die PCI DSS einsetzen, tun dies seit mehr als zwei Jahren. Sie haben bereits Erfahrung im Umgang mit dem Aufbau und der Instandhaltung sicherer Netzwerke und dem Schutz der Daten Ihrer Kreditkarteninhaber. 20 % verwenden PCI DSS seit einem Jahr und weitere 20 % befinden sich noch in der Entscheidungsphase. Überraschenderweise haben 35 % 14 #IDCWP41T 2011 IDC

19 der befragten Unternehmen, die bestimmte Standards einhalten müssen, noch keinerlei Erfahrung mit PCI DSS zur Prüfung ihrer Compliance Vorschriften. A B B I L D U N G 12 S i n d S i e d e r z e i t P C I D S S c o m p l i a n t? Wir sind nicht PCI DSS-konform 34,7% Ja, seit mehr als zwei Jahren 25,3% Ja, seit einem Jahr 20,0% Wir sind gerade im PCI DSS Assessment 20,0% 0% 20% 40% n = 75 PCI DSS Anforderungen PCI DSS besteht aus 12 Anforderungen, die in Kombination oder durch Erweiterung mit "klassischen" IT Security Controls eine umfassende Minimierung des Risikos sicherstellen können. Als eines der sehr umfangreichen und strukturierten Systeme, analysiert es den Aufwand für die Einhaltung der vorgegeben Standards und gibt damit einen erweiterten detaillierteren Einblick über den aktuellen Status der IT Security Controls. Bei der Frage, welche der Anforderungen des PCI DSS für die befragten Unternehmen am EINFACHSTEN zu erfüllen seien, wird deutlich, dass die Umsetzung der Anforderungen 1, 5 und 8 am einfachsten für die befragten Unternehmen ist. Im Detail sind dies der Schutz von Karteninhaberdaten (Anf. 1), die Verwendung und regelmäßige Aktualisierung der Antivirensoftware (Anf. 5) und die Zuweisung einer eindeutigen ID für jede Person mit Computerzugriff (Anf. 8). Damit decken sich die Antworten gut mit denen, die bereits in Abbildung 5 dargestellt wurden und die jene IT Security Controls aufzeigten, die am häufigsten in den Unternehmen eingesetzt werden. Diejenigen PCI DSS Anforderungen, die am einfachsten für die Unternehmen umzusetzen sind, sind auch jene, die von Security- Organisationen aktuell bereits eingesetzt werden und ihnen am vertrautesten sind IDC #IDCWP41T 15

20 A B B I L D U N G 13 B i t t e w ä h l e n S i e a u s d e n f o l g e n d e n 1 2 P C I D S S - C o m p l i a n c e A n f o r d e r u n g e n d i e j e n i g e a u s, d i e a m E I N F A C H S T E N z u e r f ü l l e n i s t. Anforderung 1: Karteninhaberdaten 36,0% Anforderung 5: Verwendung und regelmäßige Aktualisierung von Antivirensoftware Anforderung 8: Zuweisung einer eindeutigen ID für jede Person mit Computerzugriff Anforderung 2: Systemkennwörter und andere Sichehreitsparameter verwenden 8,0% 14,7% 26,7% Anforderung 3: Schutz gespeicherter Karteninhaberdaten Anforderung 9: Physischen Zugriff auf Karteninhaberdaten beschränken Anforderung 10: Netzwerkressourcen und Karteninhaberdaten Anforderung 12: Befolgung einer Informationssicherheits- Richtlinie für das gesamte Personal Anforderung 4: Offene, öffentliche Netze Anforderung 6: Entwicklung und Wartung sicherer Systeme und Anwendungen Anforderung 7: Geschäftsinformationsbedarf Anforderung 11: Regelmäßiges Testen der Sicherheitssysteme und -prozesse Weiß nicht 4,0% 2,7% 1,3% 1,3% 1,3% 0,0% 0,0% 0,0% 4,0% 0% 10% 20% 30% 40% n = 75 Die drei am SCHWIERIGSTEN zu erfüllbaren Anforderungen von PCI DSS sind in Abbildung 14 (Anf. 10, 11 und 12) darstellt. Sie beziehen sich auf den Schutz der Netzwerkressourcen von Karteninhabern (Anf. 10), das Befolgen einer Informationssicherheitsrichtlinie für das gesamte Personal (Anf. 12) und das regelmäßige Testen der Sicherheitssysteme und -prozesse (Anf. 11). Erneut decken sich diese Erkenntnisse mit denen, die bereits in Abbildung 8 dargestellt wurden und die Security Controls abbildeten, die aktuell am seltensten eingesetzt werden. Diese Anforderungen sind also solche, die zum einen noch nicht hinreichend eingesetzt und zum anderen heutzutage noch unterschätzt werden. 16 #IDCWP41T 2011 IDC

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Account Information Security Programme - Allgemeine Informationen -

Account Information Security Programme - Allgemeine Informationen - Account Information Security Programme - Allgemeine Informationen - Neue Sicherheitsstandards für die Aufbewahrung und Weiterverarbeitung sensibler Karteninhaberdaten Kreditkartenzahlungen erfreuen sich

Mehr

IT- Sicherheitsmanagement

IT- Sicherheitsmanagement IT- Sicherheitsmanagement Wie sicher ist IT- Sicherheitsmanagement? Dipl. Inf. (FH) Jürgen Bader, medien forum freiburg Zur Person Jürgen Bader ich bin in Freiburg zu Hause Informatikstudium an der FH

Mehr

Outpacing change Ernst & Young s 12th annual global information security survey

Outpacing change Ernst & Young s 12th annual global information security survey Outpacing change Ernst & Young s 12th annual global information security survey Alfred Heiter 16. September 2010 Vorstellung Alfred Heiter alfred.heiter@at.ey.com Seit 11 Jahren im IT-Prüfungs- und IT-Beratungsgeschäft

Mehr

Informations- / IT-Sicherheit - Warum eigentlich?

Informations- / IT-Sicherheit - Warum eigentlich? Informations- / IT-Sicherheit - Warum eigentlich? Hagen, 20.10.2015 Uwe Franz Account Manager procilon IT-Solutions GmbH Niederlassung Nord-West Londoner Bogen 4 44269 Dortmund Mobil: +49 173 6893 297

Mehr

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Entwicklung und Evaluation eines Vorgehensmodells zur Optimierung des IT-Service im Rahmen eines IT-Assessment Framework Oliver

Mehr

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI.

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. ISO/IEC 27001 von BSI Ihre erste Wahl für Informationssicherheit BSI ist die Gesellschaft für Unternehmensstandards,

Mehr

Sicherheitsnachweise für elektronische Patientenakten

Sicherheitsnachweise für elektronische Patientenakten Copyright 2000-2011, AuthentiDate International AG Sicherheitsnachweise für elektronische Patientenakten Christian Schmitz Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 2 Systemziele

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet

PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet Dr.-Ing. Patrick Theobald, usd.de ag 2. Darmstädter Informationsrechtstag 23. Juni 2006 Vorstellung Dr.-Ing. Patrick Theobald Vorstand usd.de

Mehr

IT-Sicherheitsstandards und IT-Compliance 2010 Befragung zu Status quo, Trends und zukünftigen Anforderungen

IT-Sicherheitsstandards und IT-Compliance 2010 Befragung zu Status quo, Trends und zukünftigen Anforderungen Dr. Stefan Kronschnabl Stephan Weber Christian Dirnberger Elmar Török Isabel Münch IT-Sicherheitsstandards und IT-Compliance 2010 Befragung zu Status quo, Trends und zukünftigen Anforderungen Studie IT-Sicherheitsstandards

Mehr

Effizientes Sicherheits-Management von Endbenutzergeräten

Effizientes Sicherheits-Management von Endbenutzergeräten Effizientes Sicherheits-Management von Endbenutzergeräten Kammerstetter Bernhard Client Technical Professional IBM Tivoli http://www-01.ibm.com/software/tivoli/solutions/endpoint/ Bernhard_Kammerstetter@at.ibm.com

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke Vorstellung - Ihr Referent Prof. Dr. Thomas Jäschke Professor für Wirtschaftsinformatik an der FOM Hochschule für Oekonomie & Management

Mehr

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager TÜV SÜD Management Service GmbH Sicherheit, Verfügbarkeit und Zuverlässigkeit von Informationen stehen

Mehr

ITSM Executive Studie 2007

ITSM Executive Studie 2007 ITSM Executive Studie 2007 Ergebnisse der Befragung in Österreich und Deutschland Patrick Schnebel Geschäftsführer Niederlassung Wien Telefon: +43 6410820-0 E-Mail: Patrick.Schnebel@materna.de Ines Gebel

Mehr

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR.

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. Hans Joachim von Zieten DATEN DAS WICHTIGSTE GUT Daten und Informationen sind ein wichtiges, ja sogar

Mehr

Neueste IDG-Studie: Cyber Defense Maturity Report 2014

Neueste IDG-Studie: Cyber Defense Maturity Report 2014 Medienkontakt: Susanne Sothmann / Erna Kornelis Kafka Kommunikation 089 74 74 70 580 ssothmann@kafka-kommunikation.de ekornelis@kafka-kommunikation.de Neueste IDG-Studie: Cyber Defense Maturity Report

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

Weltweite Studie offenbart starken Vertrauensmangel von Führungskräften in ihre IT-Infrastrukturen

Weltweite Studie offenbart starken Vertrauensmangel von Führungskräften in ihre IT-Infrastrukturen 19. November 2013 Weltweite Studie offenbart starken Vertrauensmangel von Führungskräften in ihre IT-Infrastrukturen Überraschend geringes Selbstvertrauen in die Fähigkeit, ungeplante Ausfälle, Sicherheitslücken

Mehr

TÜV Rheinland. ISO 27001 / Aufbau eines ISMS

TÜV Rheinland. ISO 27001 / Aufbau eines ISMS TÜV Rheinland. ISO 27001 / Aufbau eines ISMS TÜV Rheinland i-sec GmbH / ISMS Kurze Unternehmensvorstellung Was ist ein ISMS (und was nicht)? Drei zentrale Elemente eines ISMS Die Phasen einer ISMS Implementierung

Mehr

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH Übersicht IT-Security Technisch Prozesse Analysen Beratung Audits Compliance Bewertungen Support & Training

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

GPP Projekte gemeinsam zum Erfolg führen

GPP Projekte gemeinsam zum Erfolg führen GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.

Mehr

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung 5. November 2012 2012 ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2 Agenda Einführung Konzepte und Prinzipien

Mehr

IT-Security und Datenschutz für die Praxis it-sa, Messe Nürnberg, Halle12, Raum Lissabon

IT-Security und Datenschutz für die Praxis it-sa, Messe Nürnberg, Halle12, Raum Lissabon 11. Oktober 2011 12. Oktober 2011 13. Oktober 2011 09:30 09:45 Begrüßung Begrüßung Begrüßung 09:45 11:00 Kurz-Audit Datenschutz Kurz-Audit Business Continuity Management Kurz-Audit Informationssicherheit

Mehr

IT SERVICE MANAGEMENT IN DEUTSCHLAND 2013

IT SERVICE MANAGEMENT IN DEUTSCHLAND 2013 Fallstudie: FrontRange IDC Market Brief-Projekt IT SERVICE MANAGEMENT IN DEUTSCHLAND 2013 Die Cloud als Herausforderung frontrange Fallstudie: Inventx Informationen zum Unternehmen Inventx ist ein Schweizer

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH ein Unternehmen der Allgeier SE / Division Allgeier Experts Übersicht IT-Security Technisch Prozesse Analysen

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Information Security Management

Information Security Management Information Security Management 11. Unternehmertag der Universität des Saarlandes, 30. September 2013 Aufbau einer Information Security Organisation mit einem schlanken Budget Agenda 1. Die treibenden

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

IDC-Studie: Abwehr neuer Angriffsszenarien, Cloud und Mobile Security sind die Top 3 Prioritäten deutscher IT Security Verantwortlicher

IDC-Studie: Abwehr neuer Angriffsszenarien, Cloud und Mobile Security sind die Top 3 Prioritäten deutscher IT Security Verantwortlicher Pressemeldung Frankfurt, 01. August 2011 IDC-Studie: Abwehr neuer Angriffsszenarien, Cloud und Mobile Security sind die Top 3 Prioritäten deutscher IT Security Verantwortlicher Die Bedrohungsszenarien

Mehr

IT Security Investments 2003

IT Security Investments 2003 Auswertung der Online-Befragung: IT Security Investments 2003 Viele Entscheidungsträger sehen die IT fast nur noch als Kostenträger, den es zu reduzieren gilt. Unter dieser Fehleinschätzung der Bedeutung

Mehr

Überblick Datenschutzbeauftragter für den Chaos Computer Club Frankfurt e.v.

Überblick Datenschutzbeauftragter für den Chaos Computer Club Frankfurt e.v. Überblick Datenschutzbeauftragter für den Chaos Computer Club Frankfurt e.v. binsec - binary security UG 13. Juni 2015 Agenda Werbung :-) Einführung Aufgaben eines DSB Kompetenzen und Rechte eines DSB

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Moderner Schutz gegen aktuelle Bedrohungen

Moderner Schutz gegen aktuelle Bedrohungen Moderner Schutz gegen aktuelle Bedrohungen Die Lösungen der PROFI AG Die Lösungen der PROFI AG Firewall Protection Content Security Data Encryption Security Services IT-Security von PROFI Sind Sie schon

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Joel Hencks

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Joel Hencks Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik Joel Hencks AeroEx 2012 1 1 Agenda Assessments in der Aviatik Audits in der Aviatik Interne Audits im Risk Management Management System

Mehr

Industrial IT Security

Industrial IT Security Industrial IT Security Herausforderung im 21. Jahrhundert INNOVATIONSPREIS-IT www.koramis.de IT-SECURITY Industrial IT Security zunehmend wichtiger Sehr geehrter Geschäftspartner, als wir in 2005 begannen,

Mehr

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern IT-Riskmanagement Strategie und Umsetzung Armin Furter TKH Informationmangement Bern Inhalte Einführung Allgemeines Risikomangement IT-Risikomanagement Mögliche Methoden Begriffe Bedrohung Schaden Schadensausmass

Mehr

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central Modernes Vulnerability Management Christoph Brecht Managing Director EMEA Central Definition Vulnerability Management ist ein Prozess, welcher IT Infrastrukturen sicherer macht und Organisationen dabei

Mehr

MOBILE SECURITY IN DEUTSCHLAND 2015

MOBILE SECURITY IN DEUTSCHLAND 2015 Fallstudie: AirWatch by VMware IDC Multi-Client-Projekt MOBILE SECURITY IN DEUTSCHLAND 2015 Unternehmen im Spannungsfeld zwischen Produktivität und Sicherheit AIRWATCH BY VMWARE Fallstudie: Universitätsspital

Mehr

PCI-Zertifizierung: Höchste Sicherheit für Kartendaten

PCI-Zertifizierung: Höchste Sicherheit für Kartendaten PCI-Zertifizierung: Höchste Sicherheit für Kartendaten Ein zentrales Risiko im Kartengeschäft ist der Verlust höchst vertraulicher Kartendaten. Für betroffene Unternehmen kann dies neben dem Imageschaden

Mehr

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Helmut Gottschalk. AeroEx 2012 1

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Helmut Gottschalk. AeroEx 2012 1 1 Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik Helmut Gottschalk AeroEx 2012 1 Agenda Definitionen Assessments in der Aviatik Audits in der Aviatik Interne Audits im Risk Management

Mehr

QUICK-CHECK IT-SICHERHEIT

QUICK-CHECK IT-SICHERHEIT QUICK-CHECK IT-SICHERHEIT Systeme fachkundig überprüfen lassen? Die Führung eines Unternehmens ist für dessen reibungslosen Ablauf verantwortlich. IT-Systeme spielen dabei eine wichtige Rolle. Im digitalen

Mehr

Informationssicherheit mehr als Technologie. Herzlich willkommen

Informationssicherheit mehr als Technologie. Herzlich willkommen Informationssicherheit mehr als Technologie Herzlich willkommen AL Conuslt 2012 Vorstellung Schwerpunkte IT-Strategie und IT-Strategieentwicklung (z.b. mit CObIT) IT Service-Management (ITIL und ISO 20000)

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. NetworkedAssets GmbH Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. Dezember 2006 Rechtliche Aspekte Administration Gliederung Praktische

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

Cloud Governance in deutschen Unternehmen eine Standortbestimmung

Cloud Governance in deutschen Unternehmen eine Standortbestimmung Cloud Governance in deutschen Unternehmen eine Standortbestimmung ISACA Fokus Event Meet & Explore IT Sicherheit & Cloud Aleksei Resetko, CISA, CISSP PricewaterhouseCoopers AG WPG 2015 ISACA Germany Chapter

Mehr

Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme

Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme DSQM Datenschutzmanagement Qualitätsmanagement Datenschutzmanagement Der Basis-Schritt zum

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

HYBRID CLOUD IN DEUTSCHLAND 2015/16

HYBRID CLOUD IN DEUTSCHLAND 2015/16 Fallstudie: IBM Deutschland GmbH IDC Multi-Client-Projekt HYBRID CLOUD IN DEUTSCHLAND 2015/16 Mit hybriden IT-Landschaften zur Digitalen Transformation? IBM DEUTSCHLAND GMBH Fallstudie: Panasonic Europe

Mehr

Sicherheitsaspekte der kommunalen Arbeit

Sicherheitsaspekte der kommunalen Arbeit Sicherheitsaspekte der kommunalen Arbeit Was ist machbar, finanzierbar, umzusetzen und unbedingt notwendig? Sicherheit in der Gemeinde Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen,

Mehr

IT-Sicherheit. IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen. Informationsrechtstag 2006 / Seite 1 von 22

IT-Sicherheit. IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen. Informationsrechtstag 2006 / Seite 1 von 22 IT-Sicherheit IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen Informationsrechtstag 2006 / Seite 1 von 22 BASF IT Services Wir stellen uns vor Gründung einer europaweiten IT-Organisation

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie P R E S S E M I T T E I L U N G KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie KWG und MaRisk sind die mit

Mehr

Informationen schützen Ihr Geschäft absichern ConSecur GmbH www.consecur.de

Informationen schützen Ihr Geschäft absichern ConSecur GmbH www.consecur.de Informationen schützen Ihr Geschäft absichern Aktuelle Bedrohungen und wie man sie mindert. Matthias Rammes rammes@consecur.de ConSecur GmbH Schulze-Delitzsch-Str. 2 D-49716 Meppen Fon +49 5931 9224-0

Mehr

Symantec s Enterprise Security Lösungen Eduard Kobliska Channel Sales Manager E-Mail: ekobliska@symantec.com

Symantec s Enterprise Security Lösungen Eduard Kobliska Channel Sales Manager E-Mail: ekobliska@symantec.com Symantec s Enterprise Security Lösungen Eduard Kobliska Channel Sales Manager E-Mail: ekobliska@symantec.com 2002 Symantec Corporation, All Rights Reserved Warum IT-Security? Neue 70,000 Blended Threats

Mehr

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012 Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Systemlieferanten Peter Grünberger 07.03.2012 Vorstellung COMPAREX COMPAREX versteht sich als unabhängiger IT Lösungsanbieter 2000

Mehr

Risiken auf Prozessebene

Risiken auf Prozessebene Risiken auf Prozessebene Ein Neuer Ansatz Armin Hepe Credit Suisse AG - IT Strategy Enabeling, Practices & Tools armin.hepe@credit-suisse.com Persönliche Vorstellung, kurz 1 Angestellter bei Credit Suisse

Mehr

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.

Mehr

ITIL IT Infrastructure Library

ITIL IT Infrastructure Library ITIL IT Infrastructure Library Einführung in das IT-Service-Management Andreas Linhart - 2009 Agenda IT-Service-Management Der ITIL-Ansatz Lizenzen & Zertifizierungen ITIL-Prozessmodell (v2) Service Support

Mehr

IT-Compliance Management und Identity Management Aktuelle Trends

IT-Compliance Management und Identity Management Aktuelle Trends IT-Compliance Management und Identity Management Aktuelle Trends Kurzbefragung Deutschland, April 2009 Matthias Zacher Senior Advisor matthias.zacher@experton-group.com Inhalt Themenabgrenzung Stichprobencharakteristika

Mehr

Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen. Bachelorarbeit

Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen. Bachelorarbeit Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft

Mehr

Mobile Endgeräte - Sicherheitsrisiken erkennen und abwehren

Mobile Endgeräte - Sicherheitsrisiken erkennen und abwehren Mobile Endgeräte - Sicherheitsrisiken erkennen und abwehren Enrico Mahl Information Technology Specialist Infinigate Deutschland GmbH ema@infinigate.de 1 Alles Arbeit, kein Spiel Smartphones& Tabletserweitern

Mehr

G Data Small Business Security Studie 2012. Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany

G Data Small Business Security Studie 2012. Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany G Data Small Business Security Studie 2012 Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany IT-Security ist für kleinere Firmen zu einer zentralen Herausforderung geworden,

Mehr

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org.

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org. IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten Amir Alsbih 17.11.2011 http://www.xing.com/profile/amir_alsbih http://de.linkedin.com/pub/amiralsbih/1a/19a/b57 Copyright The Foundation

Mehr

CON.ECT Informunity. Rudolf Kochesser Krzysztof Müller, CISA, CISSP 21.02.2008

CON.ECT Informunity. Rudolf Kochesser Krzysztof Müller, CISA, CISSP 21.02.2008 IT in Balance - Bedeutung von Risikomanagement und Compliance CON.ECT Informunity Rudolf Kochesser Krzysztof Müller, CISA, CISSP 21.02.2008 Management In Balance ROI Organization Business Quality Compliancy

Mehr

RHENUS OFFICE SYSTEMS. Compliance, Informationssicherheit und Datenschutz

RHENUS OFFICE SYSTEMS. Compliance, Informationssicherheit und Datenschutz RHENUS OFFICE SYSTEMS Compliance, Informationssicherheit und Datenschutz SCHUTZ VON INFORMATIONEN Im Informationszeitalter sind Daten ein unverzichtbares Wirtschaftsgut, das professionellen Schutz verdient.

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Aktuelle Herausforderungen Mehr Anwendungen 2 2014, Palo

Mehr

Cloud Computing Leitstand: Risiko- und Sicherheits-Management für virtualisierte IT-Infrastrukturen

Cloud Computing Leitstand: Risiko- und Sicherheits-Management für virtualisierte IT-Infrastrukturen 1 Cloud Computing Leitstand: Risiko- und Sicherheits-Management für virtualisierte IT-Infrastrukturen Führungskräfte Forum Berlin, den 18.10.2011 Thomas Köhler Leiter Public Sector, RSA Thomas.Koehler@rsa.com

Mehr

Cloud Zertifizierung und Kompetenz. Hendrik A. Reese, Principal Consultant, TÜV Rheinland

Cloud Zertifizierung und Kompetenz. Hendrik A. Reese, Principal Consultant, TÜV Rheinland Cloud Zertifizierung und Kompetenz. Hendrik A. Reese, Principal Consultant, TÜV Rheinland Cloud Computing. Marktsituation in Deutschland. 30% 65% 90% Marktwachstum von 2015 auf 2016 Interviewte Personen:

Mehr

PARNDORF DESIGNER OUTLET Arbeits- und Gesundheitsschutz-Strategie Verbesserung des Kundenerlebnisses. Version 3 2012-2013

PARNDORF DESIGNER OUTLET Arbeits- und Gesundheitsschutz-Strategie Verbesserung des Kundenerlebnisses. Version 3 2012-2013 PARNDORF DESIGNER OUTLET Arbeits- und Gesundheitsschutz-Strategie Verbesserung des Kundenerlebnisses Version 3 2012-2013 Erklärung des Vorstands Die Herausforderung ist es, eine langfristige und nachhaltige

Mehr

IDC Studie: Deutsche Unternehmen verlassen sich auf IT Service Management für die Cloud

IDC Studie: Deutsche Unternehmen verlassen sich auf IT Service Management für die Cloud Pressemeldung Frankfurt, 24. April 2013 IDC Studie: Deutsche Unternehmen verlassen sich auf IT Service Management für die Cloud Unternehmen verlassen sich für das Management ihrer Cloud Services auf IT

Mehr

Operational Big Data effektiv nutzen TIBCO LogLogic. Martin Ulmer, Tibco LogLogic Deutschland

Operational Big Data effektiv nutzen TIBCO LogLogic. Martin Ulmer, Tibco LogLogic Deutschland Operational Big Data effektiv nutzen TIBCO LogLogic Martin Ulmer, Tibco LogLogic Deutschland LOGS HINTERLASSEN SPUREN? Wer hat wann was gemacht Halten wir interne und externe IT Richtlinien ein Ist die

Mehr

Auf sichere Weise Geschäftsvorteile für das Online-Geschäft schaffen

Auf sichere Weise Geschäftsvorteile für das Online-Geschäft schaffen Auf sichere Weise Geschäftsvorteile für das Online-Geschäft schaffen Wichtige Technologietrends Schutz der Daten (vor Diebstahl und fahrlässiger Gefährdung) ist für die Einhaltung von Vorschriften und

Mehr

Information Security Awareness

Information Security Awareness Information Security Awareness Marcus Beyer Senior Security Awareness Architect Hewlett-Packard (Schweiz) GmbH Sarah Ahmed Junior Security Awareness Consultant Hewlett-Packard (Schweiz) GmbH Copyright

Mehr

Safety Management Systeme in der Luftfahrt. Joel Hencks. AeroEx 2012 1 12/09/2012

Safety Management Systeme in der Luftfahrt. Joel Hencks. AeroEx 2012 1 12/09/2012 Safety Management Systeme in der Luftfahrt Joel Hencks AeroEx 2012 1 Agenda Warum SMS? Definitionen Management System laut EASA SMS vs. CM SMS vs. Flugsicherheitsprogramme Schlüsselprozesse des SMS SMS

Mehr

Amtliches Mitteilungsblatt

Amtliches Mitteilungsblatt Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................

Mehr

Veranstaltung. IT Trends 2014 - Ihr Weg in die Zukunft. Prinzip Partnerschaft

Veranstaltung. IT Trends 2014 - Ihr Weg in die Zukunft. Prinzip Partnerschaft Veranstaltung IT Trends 2014 - Ihr Weg in die Zukunft Prinzip Partnerschaft IT Trends 2014 Im digitalen Zeitalter hat die weltweite Kommunikation rasant zugenommen. Bites und Bytes immer detailliert im

Mehr

Vom Intranet zum Knowledge Management

Vom Intranet zum Knowledge Management Vom Intranet zum Knowledge Management Die Veränderung der Informationskultur in Organisationen von Martin Kuppinger, Michael Woywode 1. Auflage Hanser München 2000 Verlag C.H. Beck im Internet: www.beck.de

Mehr

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz Rudolf Schraml Beratung und Vertrieb IT-Security und Datenschutz Effektives IT-Risikomanagement Chance oder Risiko Was vor einiger Zeit nur für die großen Unternehmen galt, ist jetzt auch im Mittelstand

Mehr

» IT-Sicherheit nach Maß «

» IT-Sicherheit nach Maß « » IT-Sicherheit nach Maß « » Am Anfang steht der neutrale, unabhängige Blick auf die IT, am Ende das beruhigende Gefühl der Sicherheit. « IT-SICHERHEIT Die Lebensadern des Unternehmens schützen Die IT-Landschaften

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

Die neue ISO 9001:2015 Neue Struktur

Die neue ISO 9001:2015 Neue Struktur Integrierte Managementsysteme Die neue ISO 9001:2015 Neue Struktur Inhalt Neue Struktur... 1 Die neue ISO 9001:2015... 1 Aktuelle Status der ISO 9001... 3 Änderungen zu erwarten... 3 Ziele der neuen ISO

Mehr

Bring Your Own Device

Bring Your Own Device Bring Your Own Device Was Sie über die Sicherung mobiler Geräte wissen sollten Roman Schlenker Senior Sales Engineer 1 Alles Arbeit, kein Spiel Smartphones & Tablets erweitern einen Arbeitstag um bis zu

Mehr

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. willkommen in sicherheit. 02...03 UNSER GEZIELTER ANGRIFF, IHRE BESTE VERTEIDIGUNG. Hackerangriffe sind eine wachsende Bedrohung

Mehr

CA Business Service Insight

CA Business Service Insight PRODUKTBLATT: CA Business Service Insight CA Business Service Insight agility made possible Mit CA Business Service Insight wissen Sie, welche Services in Ihrem Unternehmen verwendet werden. Sie können

Mehr

1.3 MDM-Systeme KAPITEL 1 ZAHLEN UND FAKTEN

1.3 MDM-Systeme KAPITEL 1 ZAHLEN UND FAKTEN KAPITEL ZAHLEN UND FAKTEN.3 MDM-Systeme MDM-Systeme sind in Unternehmen und Organisationen noch nicht flächendeckend verbreitet, ihr Einsatz hängt unmittelbar mit dem Aufbau von mobilen Infrastrukturen

Mehr

EN 50600-3-1: Informationen für Management und Betrieb

EN 50600-3-1: Informationen für Management und Betrieb : Informationen für Management und Betrieb 1 Agenda Einführung Informationen für Management und Betrieb Abnahmetests Prozesse o Übersicht o Betriebsprozesse o Management Prozesse Anhang A: Beispiel zur

Mehr