krz - Forum 2012 Fachforum Datensicherheit 10.00h Begrüßung / Einführung Reinhard Blome, krz

Größe: px
Ab Seite anzeigen:

Download "krz - Forum 2012 Fachforum Datensicherheit 10.00h Begrüßung / Einführung Reinhard Blome, krz"

Transkript

1 krz - Forum 2012 Fachforum Datensicherheit 10.00h Begrüßung / Einführung Reinhard Blome, krz 10.05h Arbeitsschutz / Arbeitssicherheit Gerhard Hessel, Fa. SLH UWEB2000 Die Lösung für die kommunale Verwaltung Reinhard Blome, krz 10:45h Kaffeepause 11.15h Informationssicherheit / Datenschutz Markus Kohlstädt, krz Entwicklung eines Sicherheitskonzepts (BSI) von den Datenschutzanforderungen für den npa zu einem Sicherheitskonzept für die Gesamtverwaltung krz Minden-Ravensberg/Lippe

2 Entwicklung eines Sicherheitskonzepts (BSI) Von den Datenschutzanforderungen für den npa zu einem Sicherheitskonzept für die Gesamtverwaltung Markus Kohlstädt, stv. IT-Sicherheitsbeauftragter krz und externer Datenschutzbeauftragter

3 Agenda Einführung: Definitionen und Rechtsgrundlagen Einführung eines gesteuerten Sicherheitsprozesses für die gesamte Verwaltung Sicherheitskonzept für den neuen Personalausweis krz Minden-Ravensberg/Lippe 3

4 IT-Sicherheit und Datenschutz Es gibt eine gemeinsame Schnittmenge, die IT-Sicherheit ist aber der umfassendere Datenschutz als Teilmenge im Bereich IT. Datenschutz krz Minden-Ravensberg/Lippe 4

5 Bedrohungen der IT-Sicherheit Online- Betrüger Hacker Faktor Mensch Viren, Würmer & Co. Spionage Sabotage Spams Botnetze krz Minden-Ravensberg/Lippe 5

6 Erfahrungen im Bereich der Informationssicherheit BSI-Zertifizierung 2007 nach ISO auf Basis von IT-Grundschutz Erstes kommunales Service-Rechenzentrum in Deutschland BSI-Re-Zertifizierung 2009 (gültig bis ) BSI-Re-Zertifizierung 2012 (gültig bis ) Weiterhin erstes kommunales Service-Rechenzentrum Ohne Datensicherheit kein Datenschutz Aufgabenwahrnehmung als behördliche Datenschutzbeauftragte für Kunden krz Minden-Ravensberg/Lippe 6

7 Was ist IT-Sicherheit? Das ist der Zustand eines IT-Systems, in dem Risiken, die beim Einsatz dieses IT-Systems vorhanden sind, durch angemessene Maßnahmen auf ein tragbares Maß beschränkt werden. IT-Sicherheit betrifft aber nicht nur IT-Komponenten, sondern auch Organisation Personal Räumliche Infrastruktur Arbeitsplätze Betriebsabläufe krz Minden-Ravensberg/Lippe 7

8 Rechtsgrundlage / gesetzliche Vorgabe 10 Abs. 3 Datenschutzgesetz NRW: Die zu treffenden technischen und organisatorischen Maßnahmen sind auf der Grundlage eines zu dokumentierenden Sicherheitskonzeptes zu ermitteln,. Die Nichtbeachtung dieses Gesetzes kann eine Straftat sein. Die Folgen bei Verstößen sind Bußgeld oder sogar eine Haftstrafe für die verantwortliche Verwaltungsspitze (z.b. Bürgermeister, Kämmerer) krz Minden-Ravensberg/Lippe 8

9 Rechtsgrundlage Zivilrecht (BGB) Nach richterlicher Rechtsprechung haben alle Betreiber von IT-Systemen eine Verkehrssicherungspflicht. Diese Verkehrssicherungspflicht beinhaltet die Organisations-und Aufsichtspflicht für den Umgang mit IT, d.h. es sind nicht nur Regelungen zu treffen, sondern auch ihre Einhaltung zu kontrollieren. Wer diese Pflichten nicht wahrnimmt, steht als gesetzlicher Vertreter einer Kommune in der Haftung: im Schadensfall muss die Kommune oder der Verantwortliche (z.b. Bürgermeister, Kämmerer) persönlich Schadenersatz leisten krz Minden-Ravensberg/Lippe 9

10 Anforderungen für den neuen Personalausweis Keine direkte gesetzliche Vorgabe Aber: Handlungsleitfaden für Personalausweisbehörden des Bundesministerium des Inneren Entwicklung eines IT-Sicherheitskonzeptes für den neuen Personalausweis - Runderlass vom (Auszug): Insbesondere für die elektronisch zu bearbeitenden sensiblen personenbezogenen Daten und die dafür notwendige Technik sind Sicherheitsvorkehrungen zu treffen, um diese vor Bedrohungen, wie Missbrauch, Diebstahl und Manipulation zu schützen. Die Verantwortung hierfür liegt dabei grundsätzlich bei der jeweiligen Personalausweisbehörde im Rahmen der eigenverantwortlichen Ausführung des Personalausweisgesetzes krz Minden-Ravensberg/Lippe 10

11 Wie können diese gesetzlichen Vorgaben und Anforderungen umgesetzt werden? Es gibt verschiedene Ansätze zur Umsetzung von IT-Sicherheit. Der vom BSI entwickelte IT- Grundschutz ist die Methode, die in Deutschland als Standard gilt. Im Datenschutzrecht empfehlen die Landesbeauftragten für den Datenschutz die Anwendung von IT-Grundschutz. Zivilrechtlich werden gängige Maßnahmen gefordert. Nach Rechtsauffassung ist dies die Erfüllung des Standards, den IT-Grundschutz definiert. Die Anforderungen an den neuen Personalausweis basieren ebenfalls auf IT-Grundschutz krz Minden-Ravensberg/Lippe 11

12 Sicherheitsstrategie für die (Gesamt-) Behörde auf Basis von IT-Grundschutz Initiierung des IT-Sicherheitsprozesses Die Initiative für Sicherheit muss von der Behörden- bzw. Unternehmensleitung ausgehen. Erstellung eines IT-Sicherheitskonzeptes - (IT)-Strukturanalyse - Schutzbedarfsfeststellung - Grundschutzanalyse Realisierungsplanung krz Minden-Ravensberg/Lippe 12

13 Der Sicherheitsprozess krz Minden-Ravensberg/Lippe 13

14 Erstellung einer IT-Sicherheitsleitlinie Die Sicherheitsleitlinie sollte mindestens enthalten: Stellenwert der IT-Sicherheit und Bedeutung der IT für die Aufgabenerfüllung des Unternehmens Sicherheitsziele und Sicherheitsstrategie Zusicherung, dass die IT-Sicherheitsleitlinie von der Leitungsebene durchgesetzt wird und hierfür finanzielle, personelle und zeitliche Ressourcen zur Verfügung gestellt werden. Bekanntgabe und Aktualisierung der IT-Sicherheitsleitlinie krz Minden-Ravensberg/Lippe 14

15 Einrichten eines IT-Sicherheitsmanagement - Team Auf jeden Fall sollte als zentraler Verantwortlicher für IT-Sicherheit ein IT-Sicherheitsbeauftragter und kompetenter Vertreter benannt sein. Daneben bietet sich die Bildung eines IT-Sicherheitsmanagement-Teams bestehend aus (abhängig von der jeweiligen Größe): Behörden- bzw. Geschäftsleitung, IT-SB, Revisor, Leiter IT-Technik / Netzwerk / Server, Leiter Personal/Orga, DSB, PR, krz Minden-Ravensberg/Lippe 15

16 Beispielhafte Aufgaben des IT-Sicherheitsbeauftragten Verantwortlich für die Belange der IT-Sicherheit in der Organisation Gestaltung des IT-Sicherheitsprozesses Erstellung der IT-Sicherheitsrichtlinien Realisierung für IT-Sicherheitsmaßnahmen initiieren und überprüfen Berichtswesen gegenüber der Leitung Untersuchung von IT-Sicherheitsvorfällen Sensibilisierungs- u. Schulungsmaßnahmen zur Informationssicherheit krz Minden-Ravensberg/Lippe 16

17 Beispielhafte Aufgaben des IT-Sicherheitsmanagement-Team Unterstützt den IT-Sicherheitsbeauftragten Bestimmt die IT-Sicherheitsziele und strategien Entwickelt die IT-Sicherheitsleitlinie und prüft deren Umsetzung Mitwirkung bei der Erstellung des IT-Sicherheitskonzepts Berät und kontrolliert die IT-Sicherheitsrichtlinien Prüft die beabsichtigte Wirksamkeit der IT-Sicherheitsmaßnahmen krz Minden-Ravensberg/Lippe 17

18 Einbindung aller Mitarbeiter in den IT-Sicherheitsprozess IT-Sicherheit betrifft ohne Ausnahme alle Mitarbeiter Die Mitarbeiter müssen beteiligt und eingebunden werden Alle Mitarbeiter müssen für die Bedeutung von Sicherheitsmaßnahmen und ihre Anwendungen geschult und sensibilisiert werden Ansprechpartner zu Sicherheitsthemen müssen bekannt sein Meldewege in Sicherheitsvorfällen müssen bekannt sein (Zeitfaktor) Einarbeitung neuer Mitarbeiter bis hin zu einem geregelten Ausscheiden eines Mitarbeiters krz Minden-Ravensberg/Lippe 18

19 Sicherheitsstrategie für die (Gesamt-) Behörde auf Basis von IT-Grundschutz Initiierung des IT-Sicherheitsprozesses Die Initiative für Sicherheit muss von der Behörden- bzw. Unternehmensleitung ausgehen. Erstellung eines IT-Sicherheitskonzeptes - (IT)-Strukturanalyse - Schutzbedarfsfeststellung - Grundschutzanalyse Realisierungsplanung krz Minden-Ravensberg/Lippe 19

20 Erstellung eines IT-Sicherheitskonzeptes Mit welchen Maßnahmen die in der Leitlinie zur Informationssicherheit vorgegebenen Ziele und Strategien verfolgt werden sollen, wird in einem Sicherheitskonzept beschrieben. Zunächst ist der Geltungsbereich des Sicherheitskonzepts festzulegen (= Definition des Informationsverbundes) Danach sind die Objekte strukturiert zu erfassen, die Bestandteil dieses Geltungsbereichs und daher im Sicherheitskonzept zu berücksichtigen sind (= Strukturanalyse) krz Minden-Ravensberg/Lippe 20

21 Strukturanalyse Bestandteile: Erstellung bzw. Aktualisierung Netzplan (grafische Übersicht) Erhebung der IT-Systeme und Netzkomponenten Erfassung der IT-Anwendungen und der zugehörigen Informationen Erfassung der Gebäude / Räume Komplexitätsreduktion durch Gruppenbildung (d. h. gleichartige Komponenten sollten zu einer Gruppe zusammengefasst werden) z.b. PC s Personalabteilung gleiches Betriebssystem, gleiche Anwendungen, gleiche oder nahezu gleiche Konfiguration und Netzanbindung krz Minden-Ravensberg/Lippe 21

22 Strukturanalyse Beispiel: Erhebung der IT-Systeme und Netzkomponenten Alle im Netz vorhanden Computer (Clients und Server), Netzkomponenten (Firewall, Router, Switche), Drucker, Kopierer und Multifunktionsgeräte Nicht vernetzte Computer, wie Internet PC s und Laptops Telekommunikationskomponenten wie TK-Anlagen, Faxgeräte, Mobiletelefone Eindeutige Bezeichnung und Beschreibung Standort (Gebäude / Raum) und Status Benutzer oder Administrator krz Minden-Ravensberg/Lippe 22

23 Sicherheitsstrategie für die (Gesamt-) Behörde auf Basis von IT-Grundschutz Initiierung des IT-Sicherheitsprozesses Die Initiative für Sicherheit muss von der Behörden- bzw. Unternehmensleitung ausgehen. Erstellung eines IT-Sicherheitskonzeptes - (IT)-Strukturanalyse - Schutzbedarfsfeststellung - Grundschutzanalyse Realisierungsplanung krz Minden-Ravensberg/Lippe 23

24 Ziel der Schutzbedarfsfeststellung Bei der Schutzbedarfsfeststellung ist danach zu fragen, welcher Schaden entstehen kann, wenn die Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit eines Objekts verletzt werden, wenn also vertrauliche Informationen unberechtigt zur Kenntnis genommen oder weitergegeben werden (Verletzung der Vertraulichkeit), die Korrektheit der Informationen und der Funktionsweise von Systemen nicht mehr gegeben ist (Verletzung der Integrität), autorisierte Benutzer am Zugriff auf Informationen und Systeme behindert werden (Verletzung der Verfügbarkeit) krz Minden-Ravensberg/Lippe 24

25 Schutzbedarfskategorien: Der Schutzbedarf ist meist nicht quantifizierbar, daher beschränkt sich das BSI auf 3 Kategorien: Schutzbedarfskategorien: normal hoch sehr hoch Die Schadensauswirkungen sind begrenzt und überschaubar. Die Schadensauswirkungen können beträchtlich sein. Die Schadensauswirkungen können ein existenziell bedrohliches, katastrophales Ausmaß erreichen krz Minden-Ravensberg/Lippe 25

26 Sicherheitsstrategie für die (Gesamt-) Behörde auf Basis von IT-Grundschutz Initiierung des IT-Sicherheitsprozesse s Die Initiative für Sicherheit muss von der Behörden- bzw. Unternehmensleitung ausgehen. Erstellung eines IT-Sicherheitskonzeptes - (IT)-Strukturanalyse - Schutzbedarfsfeststellung - Grundschutzanalyse Realisierungsplanung krz Minden-Ravensberg/Lippe 26

27 Grundschutzanalyse Modellierung nach IT-Grundschutz Basis-Sicherheitscheck mit Soll-Ist-Vergleich Grafik : Quelle Bundesamt für Sicherheit in der Informationstechnik (BSI) krz Minden-Ravensberg/Lippe 27

28 Modellierung Bei der Umsetzung von IT-Grundschutz muss der betrachtete Informationsverbund mit Hilfe der vorhandenen Bausteine der IT-Grundschutz-Kataloge nachgebildet werden. Die Bausteine der IT-Grundschutz-Kataloge enthalten jeweils eine Kurzbeschreibung der betrachteten Komponenten, Vorgehensweisen und IT-Systeme sowie einen Überblick über die Gefährdungslage und die Maßnahmenempfehlungen krz Minden-Ravensberg/Lippe 28

29 IT-Grundschutz-Kataloge Beispiel: Baustein B 2.4 Serverraum (Fundstelle BSI IT-Grundschutz -) Beschreibung: Der Serverraum dient in erster Linie zur Unterbringung eines Servers, z. B. DB-Server, Exchange-Server.. Gefährdungen: Höhere Gewalt (Feuer, Wasser ), organisatorische Mängel (fehlende oder unzureichende Regelungen ), technisches Versagen (Ausfall Stromversorgung), vorsätzliche Handlungen (Manipulation, Diebstahl..) Maßnahmen- empfehlungen: Handfeuerlöscher, Sicherheitstüren, USV, Zutrittsregelung und -kontrolle, Klimatisierung, krz Minden-Ravensberg/Lippe 29

30 Basis-Sicherheitscheck mit Soll-Ist-Vergleich Bei dem Basis-Sicherheitscheck werden die bereits umgesetzten Sicherheitsmaßnahmen mit den Empfehlungen der IT-Grundschutz-Kataloge verglichen, um das erreichte Sicherheitsniveau zu identifizieren und Verbesserungsmöglichkeiten aufzuzeigen krz Minden-Ravensberg/Lippe 30

31 Umsetzungsstatus einzelner Maßnahmen Als Antworten bezüglich des Umsetzungsstatus der einzelnen Maßnahmen kommen folgende Aussagen in Betracht: "entbehrlich "ja" "teilweise "nein Die Umsetzung der Maßnahmenempfehlungen ist in der vorgeschlagenen Art nicht notwendig, weil andere adäquate Maßnahmen gegen die entsprechenden Gefährdungen wirken (z. B. Maßnahmen, die nicht im IT-Grundschutz aufgeführt sind, aber dieselbe Wirkung erzielen), oder weil die Maßnahmenempfehlungen nicht relevant sind (z. B. weil Dienste nicht aktiviert wurden). Alle Empfehlungen in der Maßnahme sind vollständig, wirksam und angemessen umgesetzt. Einige der Empfehlungen sind umgesetzt, andere noch nicht oder nur teilweise. Die Empfehlungen der Maßnahme sind größtenteils noch nicht umgesetzt. Text: Quelle Bundesamt für Sicherheit in der Informationstechnik (BSI) krz Minden-Ravensberg/Lippe 31

32 Basis-Sicherheitsscheck / Abschlussbetrachtung Grafik: Quelle Bundesamt für Sicherheit in der Informationstechnik (BSI) krz Minden-Ravensberg/Lippe 32

33 Ergänzende Sicherheitsanalyse und Ergänzende Risikoanalyse Grafik: Quelle Bundesamt für Sicherheit in der Informationstechnik (BSI) krz Minden-Ravensberg/Lippe 33

34 Sicherheitsstrategie für die (Gesamt-) Behörde auf Basis von IT-Grundschutz Initiierung des IT-Sicherheitsprozesses Die Initiative für Sicherheit muss von der Behörden- bzw. Unternehmensleitung ausgehen. Erstellung eines IT-Sicherheitskonzeptes - (IT)-Strukturanalyse - Schutzbedarfsfeststellung - Grundschutzanalyse Realisierungsplanung krz Minden-Ravensberg/Lippe 34

35 Realisierungsplanung Sichtung der Untersuchungsergebnisse aus dem Soll-Ist-Vergleich Prüfen und konkretisieren der Maßnahmen im Zusammenhang, dadurch ggf. Reduzierung der umzusetzenden Maßnahmen. Kosten- und Aufwandschätzung Festlegung der Umsetzungsreihenfolge der Maßnahmen Festlegung von Verantwortlichkeiten Begleitende Maßnahmen festlegen, wie Sensibilisierung und Schulung krz Minden-Ravensberg/Lippe 35

36 Sicherheitsstrategie für die (Gesamt-) Behörde auf Basis von IT-Grundschutz Initiierung des IT-Sicherheitsprozesses Die Initiative für Sicherheit muss von der Behörden- bzw. Unternehmensleitung ausgehen. Erstellung eines IT-Sicherheitskonzeptes - (IT)-Strukturanalyse - Schutzbedarfsfeststellung - Grundschutzanalyse Realisierungsplanung krz Minden-Ravensberg/Lippe 36

37 Vorgehensweise Sicherheitskonzept npa Teil I: (Struktur-Analyse) - Ansprechpartner und die betroffene Org.-Einheiten - Übersichten aller IT-Systeme - betroffene Räumlichkeiten / Gebäudeteile - Zeitvorgaben (Meilensteine) krz Minden-Ravensberg/Lippe 37

38 Vorgehensweise Sicherheitskonzept npa Teil II: Die Ist-Aufnahme - Raumbegehung (schriftl. Dokumentation) - Bearbeitung der notwendigen Bausteine (Checklisten Basis-Sicherheitscheck) krz Minden-Ravensberg/Lippe 38

39 Teil II: Checklisten Baustein B 1 Übergreifende Aspekte B 1.1 Organisation B 1.2 Personal B 1.5 Datenschutz B 1.6 Schutz vor Schadprogrammen B 1.8 Behandlung von Sicherheitsvorfällen B 1.10 Standardsoftware B 1.13 Sensibilisierung und Schulung zur Informationssicherheit krz Minden-Ravensberg/Lippe 39

40 Teil II: Checklisten Baustein B 2 Infrastruktur B 2.3 Büroraum B 2.4 Serverraum B 2.6 Raum für technische Infrastruktur B 2.7 Schutzschränke krz Minden-Ravensberg/Lippe 40

41 Teil II: Checklisten Baustein B 3 IT-Systeme B Allgemeiner Server B Windows Server 2003, etc. B Allgemeiner Client B Client unter Windows XP B Client unter Windows Vista, etc. B Router und Switches B Drucker, Kopierer, Multifunktionsgeräte krz Minden-Ravensberg/Lippe 41

42 Teil II: Checklisten Baustein B 4 Netze B 4.2 Netz-und Systemmanagement Baustein B 5 Anwendungen Individuell, z.b. Checkliste Exchange/Outlook, Datenbanken, Telearbeit, etc krz Minden-Ravensberg/Lippe 42

43 Teil III: (Sicherheits-)Soll-Ist-Vergleich Soll-Ist-Vergleich - Risikobewertung - Maßnahmenempfehlung - Realisierungsplan - Präsentation Sonstige Maßnahmen - Entwickeln einer Dienstanweisung - Anpassen der Anlage zum Sicherheitskonzept krz Minden-Ravensberg/Lippe 43

44 Dienstanweisung npa Mit der Einführung des neuen Personalausweises werden vorrangig Erfordernisse des Datenschutzes berührt, denen mit dieser Dienstanweisung Rechnung getragen werden soll. Durch eine Dienstanweisung soll sowohl die Betriebsfähigkeit als auch die Sicherheit der den Mitarbeiter/innen des Bürgerbüros anvertrauten technischen Einrichtungen gewährleistet werden krz Minden-Ravensberg/Lippe 44

45 Dienstanweisung npa Bei dem Erfassungsprozess für den neuen Personalausweis werden personenbezogene (teils biometrische) Daten elektronisch verarbeitet. Die Räume und Arbeitsplätze mit Zugriff auf die notwendigen Verfahren (z. B.: OK-EWO )sind daher dahingehend zu schützen, dass Unberechtigte keinen Zugriff auf die zwischengespeicherten vertraulichen Daten erlangen können (physisch als auch mittels manipulierter Software). Die Integrität personenbezogener Daten ist sicherzustellen, da ansonsten falsche Informationen in den Produktionsprozess bzw. auf den Ausweischip gelangen könnten. Identitätsbetrug, -diebstahl wäre ggf. die Konsequenz. Die Verfügbarkeit der für den Prozess benötigten Geräte Visualisierungssystemen, Änderungsterminal, etc.) ist organisatorisch sicherzustellen krz Minden-Ravensberg/Lippe 45

46 Dienstleistung Der neue Personalausweis (npa) Anforderungen an Datenschutz und Datensicherheit krz Minden-Ravensberg/Lippe 46

47 Beratungen im Rahmen von ISO Zertifizierungen auf Basis von IT-Grundschutz Das krz ist zertifiziert nach ISO auf der Basis von IT-Grundschutz, darüber hinaus beschäftigt es einen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) anerkannten Auditor nach ISO auf Basis von IT-Grundschutz krz Minden-Ravensberg/Lippe 47

48 krz Minden-Ravensberg/Lippe 48

49 BWP Basis-Workshop-Paket IT-Grundschutz In Kooperation mit einem renommierten Berater in der IT-Sicherheit bietet das krz eine günstige Workshop-Reihe zur Konzeption und Einführung eines rechtssicheren Informations- Sicherheits-Management-Systems (ISMS) an. Insgesamt 6 Präsenz-Workshop-Tage für 2 Personen je Kommune Zwischenphasen für eigenständige Anpassung der Konzepte Zielgruppe: IT-Sicherheitsbeauftragte, Datenschutzbeauftragte sowie verantwortliche Mitarbeiter der IT-oder Organisationsabteilung. Initiiert den vom IT-Grundschutz geforderten kontinuierlichen Verbesserungsprozess Bereitstellung von vorgefertigten Formularen (Aufgabenbeschreibungen, Revisionspläne, Aktualisierungspläne) krz Minden-Ravensberg/Lippe 49

50 Sicher ist, dass nichts sicher ist. Selbst das nicht! Joachim Ringelnatz krz Minden-Ravensberg/Lippe 50

51 Vielen Dank für Ihre Aufmerksamkeit! Markus Kohlstädt Kommunales Rechenzentrum Minden-Ravensberg/Lippe Am Lindenhaus Lemgo Tel: 05261/ krz Minden-Ravensberg/Lippe 51

npa warum Basis-Sicherheitscheck? krz Forum 2010 Jeanette Timme

npa warum Basis-Sicherheitscheck? krz Forum 2010 Jeanette Timme npa warum Basis-Sicherheitscheck? krz Forum 2010 Jeanette Timme Rechtsgrundlage 10 Abs. 3 Datenschutzgesetz NRW: Die zu treffenden technischen und organisatorischen Maßnahmen sind auf der Grundlage eines

Mehr

DE 098/2008. IT- Sicherheitsleitlinie

DE 098/2008. IT- Sicherheitsleitlinie DE 098/2008 IT- Sicherheitsleitlinie Chemnitz, 12. November 2008 Inhalt 1 Zweck der IT-Sicherheitsrichtlinie...2 2 Verantwortung für IT- Sicherheit...2 3 Sicherheitsziele und Sicherheitsniveau...3 4 IT-Sicherheitsmanagement...3

Mehr

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz. Version 1.

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz. Version 1. Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Version 1.0 Bundesamt für Sicherheit in der Informationstechnik Postfach

Mehr

Der externe IT-SB; Informationssicherheit durch das krz

Der externe IT-SB; Informationssicherheit durch das krz Der externe IT-SB; Informationssicherheit durch das krz von Frank Lehnert Dienstag, den 11.06.2013 Wir integrieren Innovationen 1 Agenda Der (externe) IT-SB Sicherheitsorganisation Aufgaben und Anforderungen,

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 7. Übungsblattes IT-Grundschutzhandbuch

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 7. Übungsblattes IT-Grundschutzhandbuch und der IT-Sicherheit Lösungen des 7. Übungsblattes IT-Grundschutzhandbuch 7.1 Bausteine des IT-GSHB (1) Nach Kapitel 1.4 des IT-GSHB gibt es folgende Bausteine: 3.0 IT-Sicherheitsmanagement 3.1 Organisation

Mehr

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutz Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutzhandbuch Agenda Ziel der IT-Sicherheit Das IT-Grundschutzhandbuch Umsetzung des IT-Grundschutzhandbuchs Ausbaustufen

Mehr

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz IT-Grundschutz modellieren modellieren Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz / Überblick IT- Grundschutzhandbuch (GSHB) betrachtet im Allgemeinen folgende Merkmale: Infrastruktur

Mehr

Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie -Einrichten eines IT-Sicherheitsmanagements

Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie -Einrichten eines IT-Sicherheitsmanagements Cloud Security (Minimal-)vorgaben des BSI Kai Wittenburg, Geschäftsführer & ISO27001-Auditor (BSI) neam IT-Services GmbH Vorgehensweise Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie

Mehr

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 2.

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 2. Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Version 2.0 Bundesamt für Sicherheit in der Informationstechnik Postfach

Mehr

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden

Mehr

Glücklich mit Grundschutz Isabel Münch

Glücklich mit Grundschutz Isabel Münch Glücklich mit Grundschutz Isabel Münch Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Jubiläumsveranstaltung, 23. Juni 2009 Gliederung IT-Grundschutz -

Mehr

Prüfaspekte zur Wirksamkeit eines ISMS. Schicht 1. Sicherheitsorganisation

Prüfaspekte zur Wirksamkeit eines ISMS. Schicht 1. Sicherheitsorganisation Prüfaspekte zur Wirksamkeit eines ISMS Schicht 1 Sicherheitsorganisation Sicherheitsmanagement Sicherheitsleitlinie Kritische Geschäftsprozesse Sicherheitskonzept Personal Versions-und Änderungsmanagement

Mehr

Cloud für Verwaltung - Vertrauen braucht Sicherheit

Cloud für Verwaltung - Vertrauen braucht Sicherheit Cloud für Verwaltung - Vertrauen braucht Sicherheit Wege und Erfahrungen des krz Wolfgang Scherer Stellv. Geschäftsführer Effizienter Staat Berlin, 05. Mai 2015 Wir integrieren Innovationen Agenda krz

Mehr

Verbindliche Prüfthemen für die IS-Kurzrevision

Verbindliche Prüfthemen für die IS-Kurzrevision Im Rahmen der werden alle Schichten des IT-Grundschutzes geprüft. Die zu den Prüfthemen sind Aspekte, die bei der Bearbeitung des entsprechenden s betrachtet werden können. Die Stichproben, insbesondere

Mehr

Definitionen Schwachstellen und Bedrohungen von IT-Systemen Sicherheitsmanagement Katastrophenmanagement Trends und Entwicklungen bei IT-Bedrohungen

Definitionen Schwachstellen und Bedrohungen von IT-Systemen Sicherheitsmanagement Katastrophenmanagement Trends und Entwicklungen bei IT-Bedrohungen 10 IT-Sicherheit Definitionen Schwachstellen und Bedrohungen von IT-Systemen Sicherheitsmanagement Katastrophenmanagement Trends und Entwicklungen bei IT-Bedrohungen http://www.bsi.de 10-10 Definitionen

Mehr

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

BSI-Modernisierung Grundschutz: Nicht Alt Nicht Neu Aber Anders. 27. September 2016 Simone Hock & Denny Dittrich

BSI-Modernisierung Grundschutz: Nicht Alt Nicht Neu Aber Anders. 27. September 2016 Simone Hock & Denny Dittrich BSI-Modernisierung Grundschutz: Nicht Alt Nicht Neu Aber Anders 27. September 2016 Simone Hock & Denny Dittrich Inhalt Darstellung der Neuerungen im IT-Grundschutz im Rahmen der BSI-Modernisierung 2017

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Sicherheitsmanagement und IT-Grundschutz IT-Grundschutz-Tag 23.11.2011 Inhalte

Mehr

Datenschutz und IT-Sicherheit an der UniBi

Datenschutz und IT-Sicherheit an der UniBi Datenschutz und IT-Sicherheit an der UniBi 1. Dezember 2009 Ines Meyer Michael Sundermeyer Datenschutz Datenschutz hat Verfassungsrang Recht auf informationelle Selbstbestimmung Datenschutzgesetz Nordrhein-Westfalen

Mehr

Inhaltsverzeichnis. Informationssicherheits-Management nach ISACA

Inhaltsverzeichnis. Informationssicherheits-Management nach ISACA Inhaltsverzeichnis 1 Einleitung und Motivation... 1 1.1 Der Wert von Informationen... 1 1.2 Informationssicherheit und IT-Sicherheit... 3 1.3 Informationssicherheit, Daten- und Geheimschutz... 6 1.3.1

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit und der IT-Sicherheit Musterlösung zur 7. Übung im SoSe 2007: Risiko-Bewertung & -Behandlung 7.1 Risikotabelle Rg. Bedrohung Auftreten Schaden Risiko 1 Computer-Viren 9 6 54 2 Trojanische Pferde 4 6 24

Mehr

Informationssicherheit in der öffentlichen Verwaltung. BfIS-Land Informationssicherheit in der Landesverwaltung

Informationssicherheit in der öffentlichen Verwaltung. BfIS-Land Informationssicherheit in der Landesverwaltung Informationssicherheit in der öffentlichen Verwaltung BfIS-Land Informationssicherheit in der Landesverwaltung Warum Informationssicherheit? Die überwiegende Mehrzahl aller Verwaltungsprozesse in Kommunalverwaltungen

Mehr

Datenschutzkonforme IT-Sicherheit. am Beispiel des krz. krz - Forum 2010

Datenschutzkonforme IT-Sicherheit. am Beispiel des krz. krz - Forum 2010 Datenschutzkonforme IT-Sicherheit am Beispiel des krz krz - Forum 2010 Vortragsthemen - Übersicht Kurze Vorstellung des krz- Referenten Datenschutzkonforme IT-Sicherheit am Beispiel des krz Ausgangslage

Mehr

Amtliche Bekanntmachung der Universität Konstanz

Amtliche Bekanntmachung der Universität Konstanz Amtliche Bekanntmachung der Universität Konstanz Nr. 10/2012 Leitlinie zur Informationssicherheit der Universität Konstanz Vom 6. März 2012 Herausgeber: Justitiariat der Universität Konstanz, 78457 Konstanz,

Mehr

DS-GVO und IT-Grundschutz

DS-GVO und IT-Grundschutz DS-GVO und IT-Grundschutz Traumhochzeit oder Rosenkrieg? Robert Krelle IT-Sicherheitsbeauftragter Ministerium für Landwirtschaft und Umwelt Mecklenburg-Vorpommern DS-GVO IT-GS DS-GVO Datenschutz Informationssicherheit

Mehr

Webkurs IT-Grundschutz Beschreibung des Beispielunternehmens RECPLAST GmbH

Webkurs IT-Grundschutz Beschreibung des Beispielunternehmens RECPLAST GmbH Webkurs IT-Grundschutz Beschreibung des Beispielunternehmens RECPLAST GmbH Ausgabe Juni 2006 Dieses Dokument ergänzt den Webkurs IT-Grundschutz und enthält die Darstellungen, Tabellen und Erläuterungen

Mehr

IT-Grundschutz Profile: Beispiele zur Anwendung des IT-Grundschutzes für ein effektives IT-Sicherheitsmanagement

IT-Grundschutz Profile: Beispiele zur Anwendung des IT-Grundschutzes für ein effektives IT-Sicherheitsmanagement IT-Grundschutz Profile: Beispiele zur Anwendung des IT-Grundschutzes für ein effektives IT-Sicherheitsmanagement Dr. Lydia Tsintsifa Bundesamt für Sicherheit in der Informationstechnik IT-Symposium 2005

Mehr

Patch- und Änderungsmanagement

Patch- und Änderungsmanagement Patch- und Änderungsmanagement Mindestsicherheitsstandard erfordert Change Management Werner Fritsche 2 Vortragsthemen - Übersicht Patch- und Änderungsmanagement: Mindestsicherheitsstandard erfordert Change

Mehr

IT-Grundschutz für mittelständische Unternehmen

IT-Grundschutz für mittelständische Unternehmen IT-Grundschutz für mittelständische Unternehmen Randolf Skerka SRC Security Research & Consulting GmbH Bonn - Wiesbaden IT-Grundschutzhandbuch Agenda Ein wenig über SRC Das IT-Grundschutzhandbuch Umsetzung

Mehr

Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis

Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis Auswirkungen auf die Praxis SPEAKER Steffen Niesel Fachanwalt für IT-Recht Ulf Riechen Dipl.-Ing. für Informationstechnik 2 Einleitung Wann tritt die Datenschutzgrundverordnung (DS-GVO) in Kraft? 25. Mai

Mehr

Sicherheit für Ihre Geodaten

Sicherheit für Ihre Geodaten Sicherheit für Ihre Geodaten Externe Geodatenverwaltung als Bestandteil eines Informationssicherheitskonzeptes für Kommunen; Grundlagen zum Thema Integriertes Sicherheitsmanagement (ISMS) sowie von Zertifizierungsmodellen

Mehr

IT-Grundschutz Einführung und Anwendung auf Datenbanken

IT-Grundschutz Einführung und Anwendung auf Datenbanken IT-Grundschutz Einführung und Anwendung auf Datenbanken 16.Oktober 2012 DOAG IT-Sicherheit, Köln Prof. Dr. Dirk Loomans, Mainz Durchbruch bei Ford Automobiles Die Whiz Kids bringen den Erfolg Loomans &

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

Informationssicherheit (k)eine Frage für Ihr Unternehmen? Ziele Informationssicherheit (k)eine Frage für Ihr Unternehmen? SSV bei connect Schnelligkeit, Sicherheit, Verfügbarkeit Vortrag von Ingrid Dubois, dubois it-consulting gmbh Informationssicherheit: Ziele

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

IT-Grundschutz-Methodik im Kontext von Outsourcing

IT-Grundschutz-Methodik im Kontext von Outsourcing IT-Grundschutz-Methodik im Kontext von Outsourcing Version 1.0 Stand: 11.10.2017 Inhaltsverzeichnis Inhaltsverzeichnis... 2 1 Einleitung... 3 2 Sicherheitskonzeption nach IT-Grundschutz... 4 2.1 Strukturanalyse...

Mehr

Datenschutz in Schulen

Datenschutz in Schulen Datenschutz in Schulen von Markus Kohlstädt Dienstag, 11. Juni 2013 Wir integrieren Innovationen 11.06.2013 2013 krz Minden-Ravensberg/Lippe 1 Agenda Einführung Datenschutzbeauftragte/r der Schule Sicherheitskonzept

Mehr

Mitglieder- und Partnertag 10 Jahre ego-mv

Mitglieder- und Partnertag 10 Jahre ego-mv Mitglieder- und Partnertag 10 Jahre ego-mv Workshop 4: Informationssicherheitsmanagement (ISM), IT-Sicherheitskonzepte und die Rolle des IT-Sicherheitsbeauftragten Rostock, 15.06.2016 Agenda Was ist Informationssicherheitsmanagement?

Mehr

IT Sicherheitsbeauftragte in der öffentlichen Verwaltung

IT Sicherheitsbeauftragte in der öffentlichen Verwaltung Brühl Boppard Berlin 1 IT-Fortbildung des Bundes Themenfelder Brühl Strategisch politische Zielsetzungen Boppard IT-Einsatz- IT-Sicherheit Berlin Prozesseffizienz Verwaltungsmodernisierung mittels Informationstechnik

Mehr

Informationssicherheitsmanagementsystem (ISMS) KO-Kriterien zum Erfolg: Koordination, Kooperation, Kommunikation

Informationssicherheitsmanagementsystem (ISMS) KO-Kriterien zum Erfolg: Koordination, Kooperation, Kommunikation Informationssicherheitsmanagementsystem (ISMS) KO-Kriterien zum Erfolg: Koordination, Kooperation, Kommunikation Bundesamt für Sicherheit in der Informationstechnik Claudia Großer 31. Forum Kommunikation

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 2014 13.02.2014 Agenda Das BSI Informationssicherheit

Mehr

Vorgehensweisen des neuen IT-Grundschutzes

Vorgehensweisen des neuen IT-Grundschutzes Vorgehensweisen des neuen IT-Grundschutzes 1. IT-Grundschutz-Tag 2016, 12.05.2016 Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz und nun? Neue Anforderungen nach

Mehr

Erfahrungen mit dem Einsatz der OCTAVE- Methode an der Universität Leipzig

Erfahrungen mit dem Einsatz der OCTAVE- Methode an der Universität Leipzig Erfahrungen mit dem Einsatz der OCTAVE- Methode an der Universität Leipzig DFN-Kanzlerforum, Berlin, 09.05.2012 Dr. Gunnar Auth, Martin Ullrich Universität Leipzig Agenda Ausgangslage & Lösungsansatz Methode:

Mehr

Staatlich geprüfte IT-Sicherheit

Staatlich geprüfte IT-Sicherheit Bild: Lampertz GmbH & Co.KG Staatlich geprüfte IT-Sicherheit Dr.-Ing. Christian Scharff Lizenziert vom Bundesamt für Sicherheit in der Informationstechnik (BSI) Accuris Consulting / EGT InformationsSysteme

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit

Mehr

Die IT-Sicherheitsverordnung der EKD

Die IT-Sicherheitsverordnung der EKD Die IT-Sicherheitsverordnung der EKD und ihre Auswirkungen SK-Consulting Group Mittwoch, 27. April 2016 Über mich Daniel Engelke Seit 01.01.2015 Geschäftsführer der SK-Consulting Group GmbH IT-Sicherheitsbeauftragter

Mehr

MODELLIERUNGSVORSCHRIFT. Version 1.0 EVANGELISCHE KIRCHE IN DEUTSCHLAND

MODELLIERUNGSVORSCHRIFT. Version 1.0 EVANGELISCHE KIRCHE IN DEUTSCHLAND MODELLIERUNGSVORSCHRIFT Version 1.0 EVANGELISCHE KIRCHE IN DEUTSCHLAND INHALTSVERZEICHNIS 1 ALLGEMEINES 3 2 ÜBERGEORDNETE ASPEKTE 3 3 INFRASTRUKTUR 5 4 IT-SYSTEME 6 5 NETZE 8 6 IT-ANWENDUNGEN 8 KONTAKT

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an

Mehr

IT-Sicherheitsmanagement. Teil 15: BSI-Grundschutz

IT-Sicherheitsmanagement. Teil 15: BSI-Grundschutz IT-Sicherheitsmanagement Teil 15: BSI-Grundschutz 17.01.17 1 Literatur [15-1] https://www.bsi.bund.de/de/themen/itgrundschutz/itgrundschutz_nod e.html [15-2] BSI-Grundschutz-Kataloge 2016, 16. Ergänzungslieferung

Mehr

[15-1] https://www.bsi.bund.de/de/themen/itgrundschutz/itgrundschutz_nod e.html

[15-1] https://www.bsi.bund.de/de/themen/itgrundschutz/itgrundschutz_nod e.html Literatur [15-1] https://www.bsi.bund.de/de/themen/itgrundschutz/itgrundschutz_nod e.html [15-2] BSI-Grundschutz-Kataloge 2016, 16. Ergänzungslieferung (5080 Seiten) https://www.bsi.bund.de/de/themen/itgrundschutz/itgrundschutzkat

Mehr

IT-Sicherheitsmanagement. Teil 15: BSI-Grundschutz

IT-Sicherheitsmanagement. Teil 15: BSI-Grundschutz IT-Sicherheitsmanagement Teil 15: BSI-Grundschutz 13.06.17 1 Literatur [15-1] https://www.bsi.bund.de/de/themen/itgrundschutz/itgrundschutz_nod e.html [15-2] BSI-Grundschutz-Kataloge 2016, 16. Ergänzungslieferung

Mehr

ES200 Behördlicher IT-Sicherheitsbeauftragter (mit Zertifizierung)

ES200 Behördlicher IT-Sicherheitsbeauftragter (mit Zertifizierung) ES200 Behördlicher IT-Sicherheitsbeauftragter (mit Zertifizierung) Kurzbeschreibung: In diesem Seminar vermitteln wir Ihnen das Basiswissen, mit dem Sie die Aufgaben eines IT-Sicherheitsbeauftragten in

Mehr

Thomas W. Harich. IT-Sicherheit im Unternehmen

Thomas W. Harich. IT-Sicherheit im Unternehmen Thomas W. Harich IT-Sicherheit im Unternehmen Vorwort von Dr. Markus Morawietz n Vorwort 15 1 Einfuhrung in die IT-Sicherheit 25 1.1 IT-Sicherheit und wie man sie erreicht 25 1.2 Wichtige Begriffe 28 1.2.1

Mehr

IT-Sicherheit für KMUs

IT-Sicherheit für KMUs Quelle: fotolia Schutzschilde aufbauen und aufrechterhalten EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 1 Ihr Referent Inhaber Ing.-Büro DaTeCom IT-Sicherheitsbeauftragter Cyber-Security-Consultant Datenschutzbeauftragter

Mehr

IT-Sicherheit beim Landkreis Goslar

IT-Sicherheit beim Landkreis Goslar IT-Sicherheit beim Landkreis Goslar Erfahrungen und Vorgehensweisen 16. Kommunales IuK-Forum Niedersachsen 04./05.08.2016 1 GLIEDERUNG Wie haben wir die IT-Sicherheit bisher bearbeitet? Beauftragung des

Mehr

Datenschutzzertifizierung für Auftragsdatenverarbeitung - Nutzen für Auftraggeber und Auftragnehmer. Dr. Niels Lepperhoff (Geschäftsführer)

Datenschutzzertifizierung für Auftragsdatenverarbeitung - Nutzen für Auftraggeber und Auftragnehmer. Dr. Niels Lepperhoff (Geschäftsführer) Datenschutzzertifizierung für Auftragsdatenverarbeitung - Nutzen für Auftraggeber und Auftragnehmer Dr. Niels Lepperhoff (Geschäftsführer) 1 Auftragsdatenverarbeitung = Quell stetiger Konfusion Auftraggeber

Mehr

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE Alternative Ansätze im Sicherheitsmanagement Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration

Mehr

Zertifizierung der EU-Zahlstelle nach dem Audit ist vor dem Audit

Zertifizierung der EU-Zahlstelle nach dem Audit ist vor dem Audit Zertifizierung der EU-Zahlstelle nach dem Audit ist vor dem Audit III. Kundenforum des SID 14. November 2017 14. November 2017 Jürgen Kirst (SMUL-Leiter der Zahlstelle) & Denny Dittrich (SID) AGENDA 1

Mehr

Agenda INTELLIGENT. EINFACH. PREMIUM.

Agenda INTELLIGENT. EINFACH. PREMIUM. Agenda CARMAO, wer sind wir? Die Branche Wasser/Abwasser und KRITIS Projektarbeit Organisation Vorgehensweise Erfahrungen Der B3S WA Aufbau und Gliederung Grundlagen Durchführung/ Umsetzung im Betrieb

Mehr

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg 09.03.2017 Wer wir sind Beratung und Dienstleistung für anspruchsvolle Anforderungen

Mehr

Informationssicherheit an der RWTH

Informationssicherheit an der RWTH Informationssicherheit an der RWTH Dipl.-Inform. Guido Bunsen IT Center / RWTH Aachen University Was tun wir für die Sicherheit Überprüfung aller eingehenden E-Mail auf Viren Schutz vor weiteren schädlichen

Mehr

Leitlinie für die Informationssicherheit

Leitlinie für die Informationssicherheit Informationssicherheit Flughafen Köln/Bonn GmbH Leitlinie für die Informationssicherheit ISMS Dokumentation Dokumentenname Kurzzeichen Leitlinie für die Informationssicherheit ISMS-1-1-D Revision 2.0 Autor

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Ausblick und Diskussion. Isabel Münch Referatsleiterin IT-Grundschutz und Allianz für Cyber-Sicherheit

Ausblick und Diskussion. Isabel Münch Referatsleiterin IT-Grundschutz und Allianz für Cyber-Sicherheit Ausblick und Diskussion Isabel Münch Referatsleiterin IT-Grundschutz und Allianz für Cyber-Sicherheit IT-Grundschutz-Tag, Köln, 12.05.2016 IT-Grundschutz-Tools IT-Grundschutz-Tools Übersicht lizenzierter

Mehr

Datensicherheit. Datenschutz-Forum Schweiz. Dr. Esther Hefti, CLCC 5 Datenschutzbeauftragte / Archivierungsverantwortliche der Credit Suisse Juni 2005

Datensicherheit. Datenschutz-Forum Schweiz. Dr. Esther Hefti, CLCC 5 Datenschutzbeauftragte / Archivierungsverantwortliche der Credit Suisse Juni 2005 Datensicherheit Dr. Esther Hefti, CLCC 5 Datenschutzbeauftragte / Archivierungsverantwortliche der Credit Suisse Juni 2005 Copyright Datenschutz-Forum Schweiz 1 Integrale Sicherheit statt Zufallsprinzip

Mehr

Workshop zu Praxisfragen des IT-Sicherheitsrechts

Workshop zu Praxisfragen des IT-Sicherheitsrechts Workshop zu Praxisfragen des IT-Sicherheitsrechts unterstützt von Rechtliche Anforderungen an ein IT-Sicherheitskonzept Leiter des Projekts BayWiDI 11. Oktober 2016 IT-Sicherheit als Lebensader der Digitalen

Mehr

Pragmatischer Umgang mit den wandelnden Anforderungen in KMU

Pragmatischer Umgang mit den wandelnden Anforderungen in KMU Pragmatischer Umgang mit den wandelnden Anforderungen in KMU EU-Datenschutz-Grundverordnung, Safe Harbor und das IT-Sicherheitsgesetz Tim Hoffmann 20. April 2016 Bochum IT-Trends Sicherheit Referent Tim

Mehr

ISO 27001: Basis für formales Verfahren zur Zertifzierung; seit 2005 internationaler Standard; Prozessorientierter Ansatz

ISO 27001: Basis für formales Verfahren zur Zertifzierung; seit 2005 internationaler Standard; Prozessorientierter Ansatz 1. Vorgehensweise IT Grundschutz (BSI 100-2) und ISO27000, inklusive Vergleich zwischen beiden Grundschutz: Idee: ähnliche Risiken in vielen Systemen pauschalisierte Gefährdungslage, Auswahl der Sicherheitsmaßnahmen

Mehr

Modernisierung IT-Grundschutz Eine neue Chance für Kommunen?!

Modernisierung IT-Grundschutz Eine neue Chance für Kommunen?! Modernisierung IT-Grundschutz Eine neue Chance für Kommunen?! 1 Zielgruppe Cyber-Kriminelle IT-Sicherheitsbeauftragte IT-Verantwortliche 2 Modernisierung IT-Grundschutz 3 Motivation und Ziele des BSI Skalierbarkeit

Mehr

Informationssicherheitsleitlinie der Vollzugspolizei des Saarlandes

Informationssicherheitsleitlinie der Vollzugspolizei des Saarlandes 1 Informationssicherheitsleitlinie der Vollzugspolizei des Saarlandes Informationssicherheitsleitlinie der Vollzugspolizei des Saarlandes Version 2.0 2 Informationssicherheitsleitlinie der Vollzugspolizei

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

ISIS12 Tipps und Tricks 16.09.2015

ISIS12 Tipps und Tricks 16.09.2015 ISIS12 Tipps und Tricks 16.09.2015 Zum Referenten Claus Möhler Jahrgang 1975 Berater für Informationssicherheit Seit 2000 bei Applied Security GmbH ISO 27001 Lead Auditor Anerkannter Berater für Cyber-Security

Mehr

Nachweisbare Sicherheit durch Zertifizierung nach BSI Grundschutz

Nachweisbare Sicherheit durch Zertifizierung nach BSI Grundschutz Nachweisbare Sicherheit durch Zertifizierung nach BSI Grundschutz DECUS Symposium 8.-10. April 2003 Jürgen Bachinger Senior Consultant HP Services - Consulting & Integration BSI-Auditor: BSI-GSL-0001-2002

Mehr

Wie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

Grundsätze zur Informationssicherheit an der Universität Leipzig

Grundsätze zur Informationssicherheit an der Universität Leipzig 3/1 Universität Leipzig Grundsätze zur Informationssicherheit an der Universität Leipzig Vom 21. Januar 2014 1. Präambel Die Grundsätze zur Informationssicherheit beschreiben die Strategie, die für die

Mehr

Der Datenschutzbeauftragte

Der Datenschutzbeauftragte Der Datenschutzbeauftragte Benennung, Stellung und Aufgaben Heiko Behrendt ISO 27001 Auditor Fon: 0431 988 1212 Mail: hbehrendt@datenschutzzentrum.de Web: https://www.datenschutzzentrum.de/ CAU - Der Datenschutzbeauftragte

Mehr

Fachvortrag Bedrohung und Sicherheitslage in der Cloud bei cloudbasierten Anwendungen und Prozessen. Markus Willems

Fachvortrag Bedrohung und Sicherheitslage in der Cloud bei cloudbasierten Anwendungen und Prozessen. Markus Willems Fachvortrag 20.03.2019 Bedrohung und Sicherheitslage in der Cloud bei cloudbasierten Anwendungen und Prozessen Markus Willems Leistungsportfolio Your Partner in Digital Forensics Ethical Hacking IT & Cyber

Mehr

TÜV NORD Akademie Personenzertifizierung. Zertifizierungsprogramm: Merkblatt Datenschutzbeauftragter (TÜV )

TÜV NORD Akademie Personenzertifizierung. Zertifizierungsprogramm: Merkblatt Datenschutzbeauftragter (TÜV ) TÜV NORD Akademie Personenzertifizierung Zertifizierungsprogramm: Merkblatt Datenschutzbeauftragter (TÜV ) Merkblatt Datenschutzbeauftragter (TÜV ) Personenzertifizierung Große Bahnstraße 31 22525 Hamburg

Mehr

Inhaltsverzeichnis. 1 Vorbemerkung. 2 Geltungsbereich { Zielgruppe. 3 Ziele und Prinzipien der IT- Sicherheit

Inhaltsverzeichnis. 1 Vorbemerkung. 2 Geltungsbereich { Zielgruppe. 3 Ziele und Prinzipien der IT- Sicherheit IT Sicherheitsteitlinie für die Vollzugspolizol des Saarlandos Inhaltsverzeichnis 1 Vorbemerkung 2 Geltungsbereich { Zielgruppe 3 Ziele und Prinzipien der IT- Sicherheit 3.1 Ziele der IT- Sicherheit 3.2

Mehr

BSI Grundschutz & ISMS nach ISO 27001

BSI Grundschutz & ISMS nach ISO 27001 BSI Grundschutz & ISMS nach ISO 27001 Online-Training Ausbildungsinhalte ITKservice Online-Trainings IT-Sicherheit und Datenschutz BSI Grundschutz & Information Security Management Systems (ISMS) nach

Mehr

Risikomanagement kri.scher Geschä3sprozesse

Risikomanagement kri.scher Geschä3sprozesse Risikomanagement kri.scher Geschä3sprozesse Kai Wi8enburg, Geschä)sführer, ISO27001- Audi9eamleiter (BSI) Ihre IT in sicheren Händen Vorgehensweise BSI 100-2 IT- Strukturanalyse Erfassen der IT und der

Mehr

Locky & Co Prävention aktueller Gefahren

Locky & Co Prävention aktueller Gefahren Locky & Co Prävention aktueller Gefahren Agenda - Locky & Co Vorstellung Ich Wir Locky & Co. Überblick Prävention Fazit Agenda - Locky & Co Vorstellung Ich Wir Locky & Co. Überblick Prävention Fazit Markus

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts DATENSCHUTZ NEU DENKEN! (Neue) Anforderungen der Datenschutz-Grundverordnung für die IT-Sicherheit Heiko Behrendt

Mehr

M U S T E R. (Stand:September 2008/Version:1.0) IS-Prüfplan. zur. Informationssicherheitsrevision auf Basis von IT-Grundschutz

M U S T E R. (Stand:September 2008/Version:1.0) IS-Prüfplan. zur. Informationssicherheitsrevision auf Basis von IT-Grundschutz M U S T E R (Stand:September 2008/Version:1.0) IS-Prüfplan zur Informationssicherheitsrevision auf Basis von IT-Grundschutz Bundesamt für Organisation und Verwaltung (BOV) Dezember 2008 BOV - IS-Revision

Mehr

Datenschutzmanagement. DS-GVO mit ISIS12. im Zeichen der

Datenschutzmanagement. DS-GVO mit ISIS12. im Zeichen der Datenschutzmanagement im Zeichen der DS-GVO mit ISIS12 IT-Sicherheit am Donaustrand Regensburg Die EU-Datenschutzgrundverordnung (DS-GVO) und ihre Umsetzung im Unternehmen 06.07.2017 Michael Gruber Fachbeirat

Mehr

Informationssicherheitsmanagement und Compliance

Informationssicherheitsmanagement und Compliance IT-Revision als Chance für das IT-Management Informationssicherheitsmanagement und Compliance Frühstück Rechtsgültige Archivierung Finance Forum 2008 4. November 2008 Stand 2.07 Fragen im Zusammenhang

Mehr

IT-Grundschutz praktisch im Projekt Nationales Waffenregister

IT-Grundschutz praktisch im Projekt Nationales Waffenregister IT-Grundschutz praktisch im Projekt Nationales Waffenregister Günther Ennen Bundesamt für Sicherheit in der Informationstechnik 19. Berliner Anwenderforum E-Government am 19. und 20. Februar 2013 Fachforum

Mehr

Rainer Faldey Datenschutzbeauftragter GDDcert. EU Rainer Faldey Dipl. Betriebswirt (FH) Datenschutzbeauftragter GDDcert. EU Datenschutzbeauftragter IHK Mitglied der Gesellschaft für Datenschutz und Datensicherheit

Mehr

Verordnung über die Informationssicherheit (ISV)

Verordnung über die Informationssicherheit (ISV) Informationssicherheit: Verordnung 5.0 Verordnung über die Informationssicherheit (ISV) Vom. Dezember 06 (Stand 8. Dezember 06) Der Regierungsrat des Kantons Basel-Stadt, gestützt auf das Gesetz betreffend

Mehr

Erklärung zur Datensicherheit

Erklärung zur Datensicherheit Erklärung zur Datensicherheit für Kunden der OpenIT GmbH Dateiname und Ablageort:.odt Wiki Dokumententyp: KO = Konzepte Vertraulichkeitsstufe: Für Kunden der OpenIT GmbH Status: Freigegeben Verteiler:

Mehr

VEGA Deutschland. Die Lenkung der IT-Sicherheit im Unternehmen IT-Sicherheitskonzepte mehr als ein Papiertiger? A Finmeccanica Company

VEGA Deutschland. Die Lenkung der IT-Sicherheit im Unternehmen IT-Sicherheitskonzepte mehr als ein Papiertiger? A Finmeccanica Company VEGA Deutschland Die Lenkung der IT-Sicherheit im Unternehmen IT-Sicherheitskonzepte mehr als ein Papiertiger? Ihr heutiger Gesprächspartner Dieter Gottschling Baujahr 1967 Diplom Kaufmann 13 Jahre Soldat

Mehr

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Antragsteller: Zertifizierungskennung: BSI-XXX-XXXX Der Inhalt

Mehr

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT STEINBUCH CENTRE FOR COMPUTING - SCC KIT University of the State of Baden-Wuerttemberg and National Research

Mehr

Mitteilung zur Kenntnisnahme

Mitteilung zur Kenntnisnahme 17. Wahlperiode Drucksache 17/1776 24.07.2014 Mitteilung zur Kenntnisnahme Stärkung der IT-Sicherheit bei den Behörden des Landes Berlin Drucksache 17/1526 und Schlussbericht Abgeordnetenhaus von Berlin

Mehr