Webkurs IT-Grundschutz Beschreibung des Beispielunternehmens RECPLAST GmbH

Save this PDF as:
 WORD  PNG  TXT  JPG

Größe: px
Ab Seite anzeigen:

Download "Webkurs IT-Grundschutz Beschreibung des Beispielunternehmens RECPLAST GmbH"

Transkript

1 Webkurs IT-Grundschutz Beschreibung des Beispielunternehmens RECPLAST GmbH Ausgabe Juni 2006

2 Dieses Dokument ergänzt den Webkurs IT-Grundschutz und enthält die Darstellungen, Tabellen und Erläuterungen zu dem (fiktiven) Unternehmen RECPLAST, das in dem Kurs als Beispiel zur Veranschaulichung der IT-Grundschutz-Vorgehensweise verwendet wird. Grundlage: IT-Grundschutz-Kataloge vom Dezember Der Webkurs IT-Grundschutz wurde im Auftrag des BSI vom Fraunhofer-Institut für Sichere Informationstechnologie SIT, Bereich Sichere Prozesse und Infrastrukturen SPI, Sankt Augustin erstellt. Internet: Bundesamt für Sicherheit in der Informationstechnik Referat 114 Postfach Bonn Telefon: Internet: Bundesamt für Sicherheit in der Informationstechnik 2006

3 Inhaltsverzeichnis 1 Das Beispielunternehmen Recplast GmbH Organisatorische Gliederung Informationstechnik IT-Sicherheitsmanagement Vorschläge für die IT-Sicherheitsleitlinie Einführung der IT-Sicherheitsleitlinie im Unternehmen IT-Strukturanalyse Netzplan Erhebung IT-Systeme Erhebung IT-Anwendungen Schutzbedarfsfeststellung Anpassung der Schutzbedarfskategorien Schutzbedarfsfeststellung der IT-Anwendungen Schutzbedarfsfeststellung der IT-Systeme Schutzbedarf der Kommunikationsverbindungen Schutzbedarfsfeststellung der IT-genutzten Räume Modellierung gemäß IT-Grundschutz Schicht 1: Übergreifende Aspekte Schicht 2: Infrastruktur Schicht 3: IT-Systeme Schicht 4: Netze Schicht 5: Anwendungen Basis-Sicherheitscheck Beispiel aus Schicht 1: B 1.0 IT-Sicherheitsmanagement Beispiel aus Schicht 1: B 1.2 Personal Beispiel aus Schicht 2: B 2.4 Serverraum Beispiel II aus Schicht 3: B Allgemeiner Server Beispiel II aus Schicht 3: B Server unter Windows Beispiel aus Schicht 4: B 4.1 Heterogene Netze Beispiel aus Schicht 5: B 5.7 Datenbanken Ergänzende Risikoanalyse Erstellung der Gefährdungsübersicht Ermittlung zusätzlicher Gefährdungen Bewertung der Gefährdungen Behandlung der Risiken und Maßnahmenauswahl Realisierungsplanung Konsolidierter Realisierungsplan Abgestimmter Realisierungsplan Seite 1

4 1 Das Beispielunternehmen Recplast GmbH Die Vorgehensweise bei der Anwendung der IT-Grundschutz-Kataloge soll ein Beispiel veranschaulichen und zwar ein Unternehmen mittlerer Größe, das selbstverständlich rein fiktiv ist. Es handelt sich dabei um die RECPLAST GmbH, die aus Recyclingmaterialien etwa 400 unterschiedliche Kunststoffprodukte produziert und vertreibt, zum Beispiel Bauelemente wie Rund- und Brettprofile, Zäune, Blumenkübel oder Abfallbehälter und zwar teils in größeren Serien für Endkunden, teils spezifisch für einzelne Geschäftskunden. Auftragsvolumen, Häufigkeit der Aufträge und die Kunden variieren: Es gibt einige wenige Stamm- und Großkunden und zahlreiche Einmalkunden. Der jährliche Gesamtumsatz des Unternehmens beläuft sich auf ca. 50 Millionen Euro bei einem Gewinn von etwa 1 Millionen Euro. Dem Beispiel liegt die Version vom Dezember 2005 der IT-Grundschutz-Kataloge zugrunde. 1.1 Organisatorische Gliederung Die organisatorische Gliederung der RECPLAST GmbH gibt folgendes Organigramm wieder: Geschäftsführung Verwaltung Einkauf Produktion Marketing/ Vertrieb Lager/Logistik Personal Entwicklung Zentrale Bad Godesberg Informationstechnik Fertigung Vertriebsbüro Berlin Buchhaltung Vertriebsbüro Hamburg Haus- und Gebäudetechnik Vertriebsbüro München Abbildung 1: Organigramm der RECPLAST GmbH Verwaltung sowie Produktion und Lager befinden sich in Bonn, allerdings an unterschiedlichen Standorten: Die Geschäftsführung hat zusammen mit den Verwaltungsabteilungen und den Abteilungen für Einkauf sowie Marketing und Vertrieb vor kurzem ein neues Gebäude in Bad Godesberg (BG) bezogen, während Produktion, Material- und Auslieferungslager am ursprünglichen Firmensitz im Stadtteil Beuel verblieben sind. Zusätzlich gibt es Vertriebsbüros in Berlin, Hamburg und München. Das Unternehmen beschäftigt insgesamt 180 Mitarbeiter, von denen 40 in der Verwaltung in Bad Godesberg, 134 in Produktion und Lager in Beuel und jeweils 2 Mitarbeiter in den Vertriebsbüros in Berlin, Hamburg und München tätig sind. Seite 2

5 1.2 Informationstechnik Am Standort Bad Godesberg ist im Zuge des Umzugs ein zentral administriertes Windows 2000-Netz mit insgesamt 30 angeschlossenen Arbeitsplätzen eingerichtet worden. Die Arbeitsplatzrechner sind einheitlich mit dem Betriebssystem Windows 2000, üblichen Büro-Anwendungen (Standardsoftware für Textverarbeitung, Tabellenkalkulation und Präsentationen) und Client-Software zur - Nutzung ausgestattet. Zusätzlich gibt es je nach Aufgabengebiet auf verschiedenen Rechnern Spezialsoftware. Im Netz des Standorts Bad Godesberg werden insgesamt 5 Server für folgende Zwecke eingesetzt: Ein Server dient als Domänen-Controller, ein weiterer Server dient der Dateiablage- und als Druck-Server, ein Server dient als Datenbankserver für die Personal- und Finanzdaten, ein weiterer Datenbank-Server dient der Kunden- und Auftragsbearbeitung und der fünfte Server dient als interner Kommunikations-Server (interner Mail-Server, Termin- und Adressverwaltung). Der Standort Bonn-Beuel ist mit einem weiteren Server und 12 Arbeitsplatzrechnern über eine angemietete Standleitung in das Firmennetz eingebunden. Der Server dient als zusätzlicher Domänen- Controller sowie als Datei- und Druckserver für diesen Standort. Die Grundausstattung der Arbeitsplatzrechner in Beuel stimmt mit der der Rechner in der Verwaltung überein. Zusätzlich ist auf 4 Rechnern CAD/CAM-Software installiert. Die Vertriebsbüros sind jeweils mit einem Windows-2000 Einzelplatzrechner ausgestattet und haben eine Internet-Anbindung über ISDN, die mit Hilfe eines VPN-Clients bei Bedarf auch genutzt werden kann, um unter Ausnutzung der VPN-Funktionalität der Firewall Zugang zum Firmennetz zu erhalten. Das Firmennetz ist über DSL an das Internet angebunden. Der Internet-Zugang ist über eine Firewall und einen Router mit Paketfilter abgesichert. Alle Client-Rechner haben Zugang zum Internet (für WWW und ). Die WWW-Seiten des Unternehmens einschließlich eines Produktkatalogs und der Möglichkeit, Bestellungen per abzugeben, werden auf einem Web-Server des Providers vorgehalten. An zusätzlicher Informationstechnik sind zu berücksichtigen: Telekommunikationsanlagen in Bad Godesberg und Beuel, insgesamt 8 Faxgeräte (davon 4 in Bad Godesberg, je 1 in den Vertriebsbüros und 1 in Beuel) und 8 Laptops (4 in Bad Godesberg, je 1 in den Vertriebsbüros und 1 in Beuel), die bei Bedarf in das Netz eingebunden werden können; von entfernten Standorten aus über VPN. Für das reibungslose Funktionieren der Informationstechnik an allen Standorten ist die zentrale DV- Abteilung in Bad Godesberg zuständig. Zum Umgang mit der betrieblichen Informationstechnik gibt es eine Anweisung, der zufolge diese ausschließlich für Firmenzwecke genutzt werden darf und das Einbringen von privater Hard- und Software untersagt ist. Seite 3

6 2 IT-Sicherheitsmanagement Die Geschäftsführung beabsichtigt, ein IT-Sicherheitskonzept für das Unternehmen ausarbeiten zu lassen, das in allen Unternehmensbereichen umgesetzt werden soll. Dazu müssen die Unternehmenspolitik zur IT-Sicherheit und die vorhandenen Sicherheitsrichtlinien präzisiert werden. Zuerst wird für die Analysen, Konzepte und Folgearbeiten des IT-Sicherheitsprozesses ein IT-Sicherheitsbeauftragter ernannt. Da diese Aufgabe umfangreiche IT-Kenntnisse erfordert, wird hierfür ein Mitarbeiter der Abteilung Informationstechnik bestimmt. Danach wird ein zeitlich befristetes Projekt IT-Sicherheitskonzept eingerichtet, in dem neben dem IT-Sicherheitsbeauftragten der Datenschutzbeauftragte und Zuständige für IT-Anwendungen und IT-Systeme zu folgenden Ergebnissen zusammenarbeiten sollen: 1. Vorschläge und Entscheidungsvorlage für eine IT-Sicherheitsleitlinie, 2. Erstellung einer Übersicht vorhandener IT-Systeme, 3. Ausarbeitung und Entscheidungsvorlage des IT-Sicherheitskonzepts und eines Realisierungsplans inklusive Maßnahmen zur Notfallvorsorge und Benutzerinformation, 4. Vorschläge für Maßnahmen zur Aufrechterhaltung der IT-Sicherheit, 5. Dokumentation aller Entscheidungsvorlagen, Entscheidungen und der umgesetzten Maßnahmen des IT-Sicherheitsprozesses. Mehrere Bereichsleiter wollen, dass auch ein Mitarbeiter aus ihrem Bereich in dem Projektteam vertreten sein soll. Aus drei Bereichen können wegen dringender Terminarbeiten keine Mitarbeiter am Projekt teilnehmen. Die Geschäftsführung schließt diese Diskussion damit ab, dass maximal drei Mitarbeiter im Projekt arbeiten sollen: 1. der IT-Sicherheitsbeauftragte sowie 2. ein Mitarbeiter, der im Vertrieb für die IT- Anwendungen zuständig und gleichzeitig Datenschutzbeauftragter ist, und 3. die kaufmännische Geschäftsleitung. Alle Bereiche sollen den Projektmitarbeitern die erforderlichen Auskünfte über den Stand der IT- Sicherheit angesichts der gegenwärtigen und geplanten Informationstechnik geben. Zwischen- und Endergebnisse sollen in der Managementsitzung und mit dem Betriebsrat beraten und dann von der Geschäftsführung entschieden werden. Die Ergebnisse will sie selbst den Beschäftigten mitteilen. Nach Vorarbeiten des IT-Sicherheitsbeauftragten und Beratungen des Projektteams IT-Sicherheitskonzept werden folgende Vorschläge für die IT-Sicherheitsleitlinie mit der Geschäftsführung beraten: Seite 4

7 2.1 Vorschläge für die IT-Sicherheitsleitlinie Stellenwert der IT und Bedeutung der IT-Sicherheitsleitlinie Der Geschäftserfolg des Unternehmens ist abhängig von aktuellen und korrekten Geschäftsinformationen, die das Unternehmen mit Kunden, Zulieferern, Kooperationspartnern, Geldinstituten und anderen Institutionen zunehmend elektronisch austauscht. Die Informationstechnik ist ein wichtiger, unterstützender Teil unseres Geschäfts und unserer Arbeiten in allen Abteilungen. Eine funktionsfähige Informationstechnik und ein sicherheitsbewusster Umgang mit ihr sind wesentliche Voraussetzungen für die Einhaltung der IT-Sicherheitsziele Verfügbarkeit, Integrität und Vertraulichkeit von Informationen. Die Unternehmensleitung hat aufgrund ihrer Verantwortung für die Informationssicherheit einen IT- Sicherheitsprozess in Gang gesetzt. Dazu gehören die Entwicklung und Umsetzung dieser Leitlinie und eines IT-Sicherheitskonzepts. Die Einhaltung der Leitlinie sowie Aktualität und Angemessenheit des Sicherheitskonzepts werden regelmäßig überprüft. IT-Sicherheitsniveau und Ziele Die Unternehmensleitung schätzt die strategische und operative Bedeutung der Informationstechnik folgendermaßen ein: Die Informationstechnik dient unserem Unternehmen wesentlich zur Erfüllung des Massengeschäfts im Vertrieb und Einkauf, für die Aufgaben der Finanz- und Lohnbuchhaltung und für qualitative Aufgaben in der Entwicklung, Auftragsabwicklung und im Management. Insbesondere für auftragsbezogene Entscheidungen und Investitionen sind aktuelle und korrekte Unternehmensdaten erforderlich. Ein Ausfall von IT-Systemen ist bis zu einem Tag überbrückbar, darüber hinaus wären Beeinträchtigungen der Managementdispositionen, der Auftragsabwicklung und der Unternehmenskommunikation zwischen Verwaltung, Produktion und Lager riskant. In Abwägung der Gefährdungen, der Werte der zu schützenden Güter sowie des vertretbaren Aufwands an Personal und Finanzmitteln für IT-Sicherheit, hat die Unternehmensleitung bestimmt, dass ein mittleres IT-Sicherheitsniveau angestrebt werden soll. Dieses Sicherheitsniveau bedingt folgende Sicherheitsziele und Strategie: 1. Informationssicherheit soll mit Sicherheitsbewusstsein der Beschäftigten bezüglich möglicher Gefährdungen und mit ihrem persönlich-verantwortlichen Verhalten praktiziert und mit organisatorischen und technischen Maßnahmen unterstützt werden. Dafür sollen regelmäßige Fortbildungsmaßnahmen zur IT-Sicherheit durchgeführt werden. 2. Die für das Unternehmen wichtigen Informationen sollen gemäß ihrer Vertraulichkeit und bezüglich ihrer Integrität geschützt werden. Das bedeutet, dass auch im Umgang mit elektronischen Dokumenten und Daten Geheimhaltungsanweisungen strikt Folge zu leisten ist. 3. Die für das Unternehmen relevanten Gesetze und Vorschriften sowie vertragliche und aufsichtsrechtliche Verpflichtungen müssen eingehalten werden. 4. Ziel ist, die Sicherheit der IT (gleichwertig neben Leistungsfähigkeit und Funktionalität) im Unternehmen aufrechtzuerhalten, so dass die Geschäftsinformationen bei Bedarf verfügbar sind. Ausfälle der IT haben Beeinträchtigungen des Unternehmens zur Folge. Lang andauernde Ausfälle, die zu Terminüberschreitungen von mehr als einem Tag führen, sind nicht tolerierbar. 5. Durch Sicherheitsmängel im Umgang mit IT verursachte Ersatzansprüche, Schadensregulierungen und Image-Schäden müssen verhindert werden. [Kleinere Fehler können toleriert werden.] Seite 5

8 6. Im Unternehmen sollen für die Zugangskontrolle sowohl physikalische als auch logische Sicherheitsmaßnahmen angewandt werden. 7. Bereits betriebene und geplante Informationstechnik soll nach der Vorgehensweise des IT- Grundschutzes des BSI in einem IT-Sicherheitskonzept erfasst, im Schutzbedarf eingeschätzt, modelliert und auf Sicherheitsmaßnahmen überprüft werden. Sicherheit der IT soll u. a. auch durch Anwenden von Normen und Standards und durch den Einsatz zertifizierter Systeme erreicht werden. Verantwortungen Für Daten, Informationen, Geschäftsverfahren, unterstützende Systeme, Netze und Infrastruktur werden so genannte Informationseigentümer benannt. Sie sollen verantwortlich für die Einschätzung der geschäftlichen Bedeutung (der Information, Technik), für die sichere Nutzung und Kontrolle, inklusive der Einhaltung von Sicherheitsgrundsätzen, Standards und Richtlinien sein. Die Eigentümer definieren die erforderliche Zugänglichkeit (der Information, Technik) sowie Art und Umfang der Autorisierung. Sie sind für die Verwaltung der zustehenden Zugriffsrechte der Benutzer verantwortlich und gegenüber der Leitung in Rechenschaftspflicht. Ein Informationstreuhänder, der z. B. aufgrund eines Serviceauftrags für das Unternehmen Leistungen erbringt, hat Vorgaben des Informationseigentümers und diese IT Sicherheitsleitlinie einzuhalten. Damit ist er verantwortlich für die Einhaltung der IT Sicherheitsziele (Wahrung der Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Rechenschaftspflicht und Verbindlichkeit der Informationen). Bei erkennbaren Mängeln oder Risiken eingesetzter Sicherheitsmaßnahmen hat er den Informationseigentümer zu informieren. Jeder Mitarbeiter soll im Rahmen seines Umgangs mit IT (als Benutzer, Berater, Geschäftspartner) die erforderliche Integrität und Vertraulichkeit von Informationen sowie Verbindlichkeit und Beweisbarkeit von Geschäftskommunikation gewährleisten und die Richtlinien des Unternehmens einhalten. Unterstützt durch sensibilisierende Schulung und Benutzerbetreuung am Arbeitsplatz soll jeder im Rahmen seiner Möglichkeiten, Sicherheitsvorfälle von innen und außen vermeiden. Erkannte Fehler sind den Zuständigen umgehend zu melden, damit schnellstmöglich Abhilfemaßnahmen eingeleitet werden können. Das Sicherheitsmanagement, bestehend aus IT-Sicherheitsbeauftragtem, Mitarbeitern des Projekts IT-Sicherheitskonzept, Zuständigen für die IT-Anwendungen, Datenschutz und IT-Service, ist gemäß den Sicherheitsvorgaben verantwortlich für die Sicherheit im Umgang mit der IT und den Schutz der Geschäftsinformationen, einschließlich der Kunden-, Entwicklungs- und Managementdaten. Ebenso ist es zuständig für die Weiterentwicklung des IT-Sicherheitsniveaus, des IT- Sicherheitskonzepts und für seine Umsetzung und Aufrechterhaltung von Sicherheit im Betrieb. Für die Überprüfung der IT-Sicherheit bei der Bearbeitung, Nutzung und Kontrolle von Informationen werden jeweils unabhängige Verantwortliche eingesetzt, die z. B. Zugriffsmöglichkeiten auf Finanzdaten und den Umgang mit Finanztransaktionen und zugehörige Sicherheitsmaßnahmen kontrollieren. Verstöße und Folgen Beabsichtigte oder grob fahrlässige Handlungen, die die Sicherheit von Daten, Informationen, Anwendungen, IT-Systemen oder des Netzes gefährden, werden als Verstöße verfolgt. Dazu gehören beispielsweise: der Missbrauch von Daten, der finanziellen Verlust verursachen kann, Seite 6

9 der unberechtigte Zugriff auf Informationen bzw. ihre Änderung und unbefugte Übermittlung, die illegale Nutzung von Informationen aus dem Unternehmen, die Gefährdung der IT-Sicherheit der Mitarbeiter, Geschäftspartner und des Unternehmens und die Schädigung des Rufes des Unternehmens. Bewusste Zuwiderhandlungen gegen die IT-Sicherheitsleitlinie werden bestraft gegebenenfalls disziplinarisch, arbeitsrechtlich oder mit zivil- und strafrechtlichen Verfahren, in denen auch Haftungsansprüche und Regressforderungen erhoben werden können. Geltung und Detaillierung Diese IT-Sicherheitsleitlinie gilt für das gesamte Unternehmen. Jeder Beschäftigte ist daher verpflichtet, die IT-Sicherheitsleitlinie im Rahmen seiner Zuständigkeiten und Arbeiten einzuhalten und die Informationen und die Technik angemessen zu schützen. Unter den Vorgaben dieser IT-Sicherheitsleitlinie und der IT-Grundschutz-Kataloge des Bundesamtes für Sicherheit in der Informationstechnik, werden Ziele, Anforderungen, organisatorische und technische Sicherheitsmaßnahmen in dem IT-Sicherheitskonzept detailliert, geplant, dokumentiert und dann umgesetzt. 2.2 Einführung der IT-Sicherheitsleitlinie im Unternehmen Die Unternehmensleitung lässt sich zu den Inhalten der IT-Sicherheitsleitlinie von dem IT-Sicherheitsbeauftragten, der Projektgruppe IT-Sicherheitskonzept und dem IT-Sicherheitsmanagement- Team ausgiebig beraten. Dann stellt sie die IT-Sicherheitsleitlinie in der Managementsitzung der Bereichsleiter vor, an der auch der Betriebsrat teilnimmt. Nach Diskussion der Aussagen zur Bedeutung der IT und zum Sicherheitsniveau, der Sicherheitsziele, Strategieaussagen, organisatorischen Regelungen und Konsequenzen werden Vorschläge für Änderungen eingebracht. Nach einer Überarbeitung durch den IT-Sicherheitsbeauftragten lädt die Unternehmensleitung alle Beschäftigten zu einer Versammlung ein (ggf. im Einvernehmen mit dem Betriebsrat im Rahmen einer Betriebsversammlung). Sie erläutert im Vortrag die Wichtigkeit der Leitlinie für das Unternehmen und erklärt Ziele, Maßnahmen und Konsequenzen. Jeder Mitarbeiter bekommt eine schriftliche Ausfertigung der Leitlinie. Die Unternehmensleitung kündigt eine Reihe von Fortbildungsveranstaltungen zur IT-Sicherheit an, damit die Mitarbeiter für mögliche Gefährdungen sensibilisiert und auf einzuhaltende IT-Sicherheitsmaßnahmen vorbereitet werden. Die Unternehmensleitung gibt den Termin bekannt, ab dem die Leitlinie in Kraft gesetzt ist und verlangt ihre Einhaltung. Weitere Informationen zum IT-Sicherheitsmanagement finden Sie in folgenden Dokumenten: in dem BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS), in den Kapiteln 2 und 3 der Beschreibung der IT-Grundschutz-Vorgehensweise (BSI-Standard 100-2) sowie im Baustein B 1.0 IT-Sicherheitsmanagement der IT-Grundschutz-Kataloge. Seite 7

10 3 IT-Strukturanalyse Grundlage eines jeden IT-Sicherheitskonzepts ist eine genaue Kenntnis der im festgelegten IT- Verbund vorhandenen Informationstechnik, ihrer organisatorischen und personellen Rahmenbedingungen sowie ihrer Nutzung. Bei der IT-Strukturanalyse geht es darum, die dazu erforderlichen Informationen zusammenzustellen und so aufzubereiten, dass sie die weiteren Schritte bei der Anwendung der IT-Grundschutz-Kataloge unterstützen. Dazu gehören die folgenden Teilschritte: 1. Netzplanerhebung und Komplexitätsreduktion durch Gruppenbildung, 2. Erfassung der IT-Systeme sowie 3. Erfassung der IT-Anwendungen und der zugehörigen Informationen. Weitere Informationen zur IT-Strukturanalyse finden Sie in Kapitel 4.1 der Beschreibung der IT- Grundschutz-Vorgehensweise (BSI-Standard 100-2). 3.1 Netzplan Erhebung Ausgangspunkt für die IT-Strukturanalyse bei RECPLAST ist der Netzplan in Abbildung 2. Um die Übersichtlichkeit zu bewahren, wurde darauf verzichtet, Geräte und Informationen in den Netzplan einzutragen, die bei den nachfolgenden Beschreibungen nicht weiter benötigt werden (zum Beispiel Netzdrucker, Sicherungslaufwerke, Netzadressen) Bereinigung Nicht alle Informationen des vorliegenden Netzplans sind für die nachfolgenden Schritte beim Vorgehen gemäß IT-Grundschutz tatsächlich erforderlich. So können Komponenten zu einer Gruppe zusammengefasst werden, die vom gleichen Typ sind, gleich oder nahezu gleich konfiguriert sind, gleich oder nahezu gleich in das Netz eingebunden sind, den gleichen administrativen und infrastrukturellen Rahmenbedingungen unterliegen und die gleichen Anwendungen bedienen. Im Netzplan ist dieser Schritt noch nicht vollzogen worden. Daneben weist dieser Netzplan noch weitere Mängel auf. So fehlen für eine Reihe von Komponenten eindeutige Bezeichnungen, zum Beispiel für die Netzkopplungselemente. Seite 8

11 Verwaltung Bad Godesberg Betrieb Bonn-Beuel Internet Switch Router Firewall Router Standleitung Router Switch Vertriebsbüro Berlin Client VPN DB-Server Fibu Switch Domänen- Controller Dom.-Controller Datei- und Druckserver Clients IT Laptop Faxgerät Komm.-Server (Exchange) Vertriebsbüro Hamburg Clients Lohn/Fibu Clients Produktion Client Datei- und Druckserver Laptop Faxgerät Clients Geschäftsführung Vertriebsbüro München Clients Market./Vertrieb DB-Server Kunden- und Auftragsbearb: Clients Entwicklung Clients Personal Client Clients Einkauf Laptop Faxgerät Clients Lager Faxgeräte TK-Anlage Laptops Laptop Faxgerät TK-Anlage Server und Clients werden einheitlich mit dem Betriebssystem Windows 2000 betrieben Abbildung 2: Netzplan der RECPLAST GmbH Im bereinigten Netzplan (siehe Abbildung 3) sind sowohl diese Mängel behoben als auch Gruppen gebildet worden: Die Clients der Abteilungen Produktion und Lager wurden zusammengefasst, da sie grundsätzlich gleich ausgestattet sind und mit ihnen auf weitgehend identische Datenbestände zugegriffen werden kann. Die drei Vertriebsbüros zeichnen sich durch eine einheitliche IT-Ausstattung, übereinstimmende Aufgaben und Regelungen sowie einer identischen Zugangsmöglichkeit zum Firmennetz aus. Sie lassen sich in gewisser Weise mit häuslichen Telearbeitsplätzen vergleichen. Sie wurden deswegen zu einer Gruppe zusammengefasst. Die nicht vernetzten Komponenten Laptops und Faxgeräte wurden Standort übergreifend zu jeweils einer Gruppe zusammengefasst, da für den Umgang mit diesen Geräten übereinstimmende organisatorische Regelungen gelten. Seite 9

12 Folgende Clients sollten nicht zusammengefasst werden: Bei den Rechnern der Geschäftsführung kann man von einem höheren Schutzbedarf ausgehen (z. B. könnte auf ihnen besonders vertrauliche Korrespondenz gespeichert sein). Die größere Sensibilität der Daten ist auch ein Grund dafür, die Rechner der Entwicklungsabteilung gesondert zu erfassen. Auf ihnen befinden sich Konstruktionspläne und unter Umständen kundenspezifische Entwicklungen und Verfahrensbeschreibungen, die z. B. vor Wirtschaftsspionage und damit möglichen gravierenden wirtschaftlichen Folgen für die Firma zu schützen sind. Eine hohe Vertraulichkeit besitzen ferner auch die Daten, die in der Personalabteilung bearbeitet werden, sowie die Daten der Finanz- und Lohnbuchhaltung. Auf Rechnern der IT-Administratoren laufen Anwendungen, die für die Verwaltung des Netzes erforderlich sind. Von daher verlangen auch diese Rechner eine besondere Aufmerksamkeit. Verwaltung Bad Godesberg Betrieb Bonn-Beuel Internet N1: Router N2: Firewall N3: Switch N5: Router Standleitung N6: Router N7: Switch Vertriebsbüros C8: 3 Clients Vertriebsbüros VPN S5: DB-Server Fibu C1: 5 Clients Lohn/Fibu N4: Switch C4: 4Clients IT S1: Domänen- Controller S2: Komm.-Server (Exchange) S6: Domänen- Controller, Dateiu. Druckserver C6: 12 Clients Fertigung/Lager T3: 8 Faxgeräte C9: 8 Laptops C2: 3 Clients Geschäftsführung C5: 14 Clients Einkauf/Marketing/ Vertrieb S3: Datei- und Druckserver C7: 6 Clients Entwicklung C3: 4 Clients Personal T1: TK-Anlage S4: DB-Server Kunden- und Auftragsbearb. T2: TK-Anlage Server und Clients werden einheitlich mit dem Betriebssystem Windows 2000 betrieben Abbildung 3: Bereinigter Netzplan der RECPLAST GmbH Seite 10

13 3.2 Erhebung IT-Systeme Bei der Erhebung der IT-Systeme geht es darum, die vorhandenen und geplanten IT-Systeme und die sie jeweils charakterisierenden Angaben zusammenzustellen. Dazu zählen alle im Netz vorhandenen Computer (Clients und Server), Gruppen von Computern und aktiven Netzkomponenten, Netzdrucker, aber auch nicht vernetzte Computer wie Internet PCs und Laptops, Telekommunikationskomponenten wie TK-Anlagen, Faxgeräte, Mobiltelefone und Anrufbeantworter. Aufgrund der damit verbundenen besseren Übersichtlichkeit empfiehlt sich eine tabellarische Darstellung, die folgende Angaben enthalten sollte: eindeutige Bezeichnung, Beschreibung (insbesondere der Einsatzzweck und der Typ, z. B. Server für Personalverwaltung, Router zum Internet), Plattform (Welcher Hardwaretyp, welches Betriebssystem?), Standort (Gebäude und Raumnummer), bei Gruppen: Anzahl der zusammengefassten IT-Systeme, Status (in Betrieb, im Test, in Planung) und Benutzer und Administrator. Die Erhebung der IT-Systeme bei der RECPLAST GmbH ergab die nachfolgend abgebildeten Übersichten. Die IT-Systeme sind jeweils durchnummeriert. Ein vorangestellter Buchstabe kennzeichnet dessen Typ (S = Server, C = Client, N = Netzkomponente, T = Telekommunikationskomponente) Übersicht Server Nr. Beschreibung Plattform Standort Anzahl Status Benutzer/Administrator S1 Domänen-Controller Windows 2000 Server BG, R (Serverraum) 1 In Betrieb Alle IT-Benutzer/ IT-Administration S2 Interner Kommunikationsserver Windows 2000 Server BG, R (Serverraum) 1 In Betrieb Alle IT-Benutzer/ IT-Administration S3 Datei- und Druckserver Windows 2000 Server BG, R (Serverraum) 1 In Betrieb Alle IT-Benutzer/ IT-Administration S4 DB-Server Kunden- und Auftragsbearbeitung Windows 2000 Server BG, R (Serverraum) 1 In Betrieb Marketing und Vertrieb, Fertigung, Lager/ IT-Administration S5 DB-Server Finanzbuchhaltung Windows 2000 Server BG, R (Serverraum) 1 In Betrieb Mitarbeiter Lohn/Fibu S6 Server Beuel Windows 2000 Server Beuel, R (Serverraum) 1 In Betrieb Alle Mitarbeiter in Beuel Seite 11

14 3.2.2 Übersicht Clients Nr. Beschreibung Plattform Standort Anzahl Status Benutzer/Administrator C1 Clients in der Finanzbuchhaltung Windows 2000 Client BG, R In Betrieb Mitarbeiter in der Finanzbuchhaltung C2 Clients der Geschäftsführung Windows 2000 Client BG, R In Betrieb Geschäftsführung C3 Clients der Personalabteilung Windows 2000 Client BG, R In Betrieb Mitarbeiter der Personalabteilung C4 Clients der Informationstechnik Windows 2000 Client BG, R In Betrieb Mitarbeiter IT / IT-Administration C5 Clients Kunden- und Auftragsbearbeitung Windows 2000 Client BG, R In Betrieb Einkauf, Marketing und Vertrieb C6 Clients Fertigung und Lager Windows 2000 Client Beuel, R In Betrieb Mitarbeiter Fertigung und Lager C7 Clients in Entwicklungsabteilung Windows 2000 Client Beuel, R In Betrieb Entwicklung/ IT-Administration C8 Clients in Vertriebsbüros Windows 2000 Client C9 Laptops Windows 2000 Client Vertriebsbüros (Berlin, Hamburg, München) 4 in BG, je 1 in Beuel und in den Vertriebsbüros 3 In Betrieb Mitarbeiter in Vertriebsbüros/ IT-Administration 8 In Betrieb Mitarbeiter Vertrieb/ IT-Administration Übersicht Netzkomponenten Nr. Beschreibung Plattform Standort Anzahl Status Benutzer/Administrator N1 Router zum Internet DSL-Router BG, R (Serverraum) N2 Firewall Windows 2000 BG, R (Serverraum) 1 In Betrieb Alle IT-Benutzer/ IT-Administration 1 In Betrieb Alle IT-Benutzer/ IT-Administration N3 Zentraler Switch in Bad Godesberg BG, R (Serverraum) 1 In Betrieb Alle IT-Benutzer/ IT-Administration N4 Switch für Personalabteilung BG, R (Serverraum) 1 In Betrieb Personalabteilung, GF, Lohn, Fibu/ IT-Administration N5 Router zur Anbindung des Standorts Beuel Router BG, R (Serverraum) 1 In Betrieb Alle IT-Benutzer/ IT-Administration N6 Router zur Anbindung nach Bad Godesberg Router Beuel, R (Technikraum) 1 In Betrieb Alle IT-Benutzer/ IT-Administration N7 Switch in Beuel Beuel, R (Technikraum) 1 In Betrieb Alle IT-Benutzer/ IT-Administration Seite 12

15 3.2.4 Übersicht Telekommunikationskomponenten Nr. Beschreibung Plattform Standort Anzahl Status Benutzer/Administrator T1 Telefonanlage BG ISDN-TK- Anlage T2 Telefonanlage Beuel ISDN-TK- Anlage BG, R In Betrieb Alle Mitarbeiter in BG/ IT-Administration Beuel, R In Betrieb Alle Mitarbeiter in Beuel/ IT-Administration T3 Faxgeräte 4 in BG, je 1 in Beuel und in den Vertriebsbüros 8 In Betrieb Alle Mitarbeiter 3.3 Erhebung IT-Anwendungen Bei der Erhebung der IT-Anwendungen werden die wichtigsten Anwendungen einer Organisation erfasst, also diejenigen deren Daten, Informationen und Programme den höchsten Bedarf an Geheimhaltung (Vertraulichkeit) haben, deren Daten, Informationen und Programme den höchsten Bedarf an Korrektheit und Unverfälschtheit (Integrität) haben oder die die kürzeste tolerierbare Ausfallzeit (höchster Bedarf an Verfügbarkeit) haben. Unter Berücksichtigung der Auskünfte der Benutzer und fachlich Verantwortlichen wurden bei RECPLAST die folgenden Anwendungen in diesem Sinne als wesentlich identifiziert: Nr. Beschreibung Nr. Beschreibung A1 Personaldatenverarbeitung A9 Druckservice BG A2 Reisekostenabrechnung A10 Druckservice Beuel A3 Finanzbuchhaltung A11 Office-Anwendungen (Textverarbeitung, Tabellenkalkulation, Präsentation) A4 Auftrags- und Kundenverwaltung A12 Internet-Zugang A5 Benutzerauthentisierung A13 Application Gateway A6 Systemmanagement A14 Filterfunktionalität A7 , Terminkalender A15 TK-Vermittlung A8 Zentrale Dokumentenverwaltung A16 Faxen In den folgenden Tabellen sind die Anwendungen den Servern, Clients, Netz- und Telekommunikationskomponenten zugeordnet, die für deren Ausführung erforderlich sind. Zusätzlich ist für jede IT-Anwendung vermerkt, ob sie personenbezogene Daten verarbeitet oder nicht. Seite 13

16 3.3.1 Zuordnung der Anwendungen zu den Servern Nr. Beschreibung Pers.-bez. Daten S1 S2 S3 S4 S5 S6 A1 Personaldatenverarbeitung A2 Reisekostenabrechnung A3 Finanzbuchhaltung A4 Auftrags- und Kundenverwaltung A5 Benutzerauthentisierung A6 Systemmanagement A7 , Terminkalender A8 Zentrale Dokumentenverwaltung A9 Druckservice BG A10 Druckservice Beuel A11 A12 A13 A14 A15 A16 Office-Anwendungen (Textverarbeitung, Tabellenkalkulation, Präsentation) Internet-Zugang Application Gateway Filterfunktionalität TK-Vermittlung Faxen Zuordnung der Anwendungen zu den Clients Nr. Beschreibung Pers.-bez. Daten C1 C2 C3 C4 C5 C6 C7 C8 C9 A1 Personaldatenverarbeitung A2 Reisekostenabrechnung A3 Finanzbuchhaltung A4 Auftrags- und Kundenverwaltung A5 Benutzerauthentisierung A6 Systemmanagement A7 , Terminkalender A8 Zentrale Dokumentenverwaltung Seite 14

17 Nr. Beschreibung Pers.-bez. C1 C2 C3 C4 C5 C6 C7 C8 C9 Daten A9 Druckservice BG A10 Druckservice Beuel A11 Office-Anwendungen (Textverarbeitung, Tabellenkalkulation, Präsentation) A12 Internet-Zugang A13 A14 A15 Application Gateway Filterfunktionalität TK-Vermittlung A16 Faxen Zuordnung der Anwendungen zu den Netz- und Telekommunikationskomponenten Nr. Beschreibung Pers.-bez. Daten N1 N2 N3 N4 N5 N6 N7 T1 T2 T3 A1 Personaldatenverarbeitung A2 Reisekostenabrechnung A3 Finanzbuchhaltung A4 Auftrags- und Kundenverwaltung A5 Benutzerauthentisierung A6 Systemmanagement A7 , Terminkalender A8 Zentrale Dokumentenverwaltung A9 Druckservice BG A10 Druckservice Beuel A11 Office-Anwendungen (Textverarbeitung, Tabellenkalkulation, Präsentation) A12 Internet-Zugang A13 Application Gateway A14 Filterfunktionalität A15 TK-Vermittlung A16 Faxen Seite 15

18 4 Schutzbedarfsfeststellung Wie viel Schutz benötigen die Informationstechnik und die durch diese unterstützten Anwendungen? Wie kommt man zu begründeten und nachvollziehbaren Einschätzungen des Schutzbedarfs? Welche Komponenten der Informationstechnik benötigen mehr Sicherheit, bei welchen genügen elementare Schutzmaßnahmen? Ziel der Schutzbedarfsfeststellung ist es, diese Fragen zu klären und damit die Auswahl angemessener Sicherheitsmaßnahmen für die verschiedenen Komponenten der Informationstechnik (Systeme, Anwendungen, Räume, Kommunikationsverbindungen) zu unterstützen. Zur Schutzbedarfsfeststellung gehören die folgenden Aktivitäten: 1. die auf Ihre Organisation zugeschnittene Definition von Schutzbedarfskategorien (z. B. normal, hoch, sehr hoch ), 2. die Schutzbedarfsfeststellung der in der IT-Strukturanalyse erfassten Anwendungen mit Hilfe der festgelegten Kategorien, 3. die Ableitung des Schutzbedarfs der IT-Systeme aus dem Schutzbedarf der Anwendungen, 4. daraus abgeleitet die Feststellung des Schutzbedarfs der Kommunikationsverbindungen und ITgenutzten Räume sowie 5. die Dokumentation und Auswertung der vorgenommenen Einschätzungen. Weitere Informationen zur Schutzbedarfsfeststellung finden Sie in Kapitel 4.2 der Beschreibung der IT-Grundschutz-Vorgehensweise (BSI-Standard 100-2). 4.1 Anpassung der Schutzbedarfskategorien Bei der RECPLAST GmbH wurden die Schutzbedarfskategorien vom zuständigen Sicherheitsmanagementteam folgendermaßen definiert und mit der Geschäftsführung abgestimmt: Schutzbedarfskategorie normal: Ein möglicher Schaden hätte begrenzte, überschaubare Auswirkungen auf die RECPLAST GmbH: Bei Verstößen gegen Gesetze, Vorschriften oder Verträge drohen allenfalls geringfügige juristische Konsequenzen oder Konventionalstrafen. Beeinträchtigungen des informationellen Selbstbestimmungsrechts und der Missbrauch personenbezogener Daten hätten nur geringfügige Auswirkungen auf die davon Betroffenen und würden von diesen toleriert. Die persönliche Unversehrtheit wird nicht beeinträchtigt. Die Abläufe bei RECPLAST werden allenfalls unerheblich beeinträchtigt. Ausfallzeiten von mehr als 24 Stunden können hingenommen werden. Es droht kein Ansehensverlust bei Kunden und Geschäftspartnern. Der mögliche finanzielle Schaden ist kleiner als Euro. Schutzbedarfskategorie hoch: Ein möglicher Schaden hätte beträchtliche Auswirkungen auf die RECPLAST GmbH: Seite 16

19 Bei Verstößen gegen Gesetze, Vorschriften oder Verträge drohen schwerwiegende juristische Konsequenzen oder hohe Konventionalstrafen. Beeinträchtigungen des informationellen Selbstbestimmungsrechts und der Missbrauch personenbezogener Daten hätten beträchtliche Auswirkungen auf die davon Betroffenen und würden von diesen nicht toleriert. Die persönliche Unversehrtheit wird nicht beeinträchtigt. Die Abläufe bei RECPLAST werden erheblich beeinträchtigt. Ausfallzeiten dürfen maximal 24 Stunden betragen. Das Ansehen des Unternehmens bei Kunden und Geschäftspartnern wird erheblich beeinträchtigt. Der mögliche finanzielle Schaden liegt zwischen und Euro. Schutzbedarfskategorie sehr hoch: Ein möglicher Schaden hätte katastrophale Auswirkungen: Bei Verstößen gegen Gesetze, Vorschriften oder Verträge drohen juristische Konsequenzen oder Konventionalstrafen, die die Existenz des Unternehmens gefährden. Beeinträchtigungen des informationellen Selbstbestimmungsrechts und der Missbrauch personenbezogener Daten hätten ruinöse Auswirkungen auf die gesellschaftliche oder wirtschaftliche Stellung der davon Betroffenen. Die persönliche Unversehrtheit wird nicht beeinträchtigt. Die Abläufe bei RECPLAST werden so stark beeinträchtigt, dass Ausfallzeiten, die über 2 Stunden hinausgehen, nicht toleriert werden können. Das Ansehen des Unternehmens bei Kunden und Geschäftspartnern wird grundlegend und nachhaltig beschädigt. Der mögliche finanzielle Schaden liegt über Euro. 4.2 Schutzbedarfsfeststellung der IT-Anwendungen Bei der Schutzbedarfsfeststellung der IT-Anwendungen ist für alle in der IT-Strukturanalyse erfassten Anwendungen und differenziert nach den drei Grundwerten Vertraulichkeit, Integrität und Verfügbarkeit eine Zuordnung zu den zuvor festgelegten Schutzbedarfskategorien vorzunehmen. Die folgende Tabelle zeigt, welche Zuordnungen bei der RECPLAST GmbH vorgenommen wurden: Seite 17

20 IT-Anwendung Schutzbedarfsfeststellung Nr. Bezeichnung Pers.-bez. Daten Grundwert Schutzbedarf Begründung A1 Personaldatenverarbeitung Vertraulichkeit hoch Personaldaten sind besonders schutzbedürftige Daten, deren Bekanntwerden die Betroffenen erheblich beeinträchtigen kann. Integrität normal Fehler werden rasch erkannt und können entweder aus der Datensicherung eingespielt oder durch Eingabe korrigiert werden. Verfügbarkeit normal Ausfälle bis zu einer Woche können mit manuellen Verfahren überbrückt werden. A2 Reisekostenabrechnung Vertraulichkeit hoch Auch Reisekostendaten sind personenbezogene Daten und damit schützenswert. Integrität normal Fehler werden rasch erkannt und können nachträglich korrigiert werden. Verfügbarkeit normal Ausfälle können mittels manueller Verfahren überbrückt werden. A3 Finanzbuchhaltung Vertraulichkeit hoch Es werden vertrauliche Finanzdaten des Unternehmens verarbeitet, deren Bekanntwerden dem Unternehmen u. U. hohen finanziellen Schaden und Ansehensverlust zufügen kann. Integrität hoch Alle Finanzdispositionen setzen korrekte Daten voraus. Bei falschen Daten sind finanzielle Schäden über EURO möglich. Verfügbarkeit normal Ein Ausfall bis zu drei Tagen kann (mit zumutbarem Mehraufwand) manuell überbrückt werden. A4 Auftrags- und Kundenverwaltung Vertraulichkeit hoch Es werden personenbezogene Daten verarbeitet, deren Bekanntwerden dem Unternehmen großen Schaden zufügen kann (z. B. besondere Kundenkonditionen). Integrität hoch Falls Mengen- oder Preisangaben verändert werden, kann dem Unternehmen großer Schaden entstehen, der leicht Euro überschreiten kann und zu großem Ansehensverlust führen kann. Verfügbarkeit hoch Da mit dieser Anwendung alle Funktionen vom Einkauf über die Bestellabwicklung und das Schreiben der Lieferscheine, bis hin zum Lagerbestand abgedeckt werden, kann ein Ausfall höchstens bis zu 24 Stunden manuell überbrückt werden. A5 Benutzerauthentisierung Vertraulichkeit normal Die Passwörter sind verschlüsselt gespeichert und damit praktisch nicht zugänglich. Integrität hoch Der hohe Schutzbedarf ergibt sich daraus, dass sich alle Mitarbeiter hierüber identifizieren. Verfügbarkeit hoch Bei Ausfall dieser Anwendung sind keine Identifizierung und damit keine Ausführung von IT-Verfahren möglich. Ein Ausfall ist allenfalls bis zu 24 Stunden tolerabel. Seite 18

21 IT-Anwendung Schutzbedarfsfeststellung Nr. Bezeichnung Pers.-bez. Grundwert Schutz- Begründung Daten bedarf A6 A7 A8 A9 Systemmanagement , Terminkalender Zentrale Dokumentenverwaltung Druckservice für den Standort Bad Godesberg Vertraulichkeit normal Es werden keine vertraulichen Daten erzeugt oder gespeichert. Integrität hoch Fehler in den Konfigurationsdateien können alle Rechner und insbesondere auch die Sicherheitseinstellungen betreffen. Verfügbarkeit normal Bei Ausfall der Anwendung können Administration und Konfiguration an den einzelnen Rechnern durchgeführt werden. Ein Ausfall ist daher kurzzeitig vertretbar. Vertraulichkeit hoch Es existiert eine Organisationsvereinbarung, die es verbietet, vertrauliche Daten (z. B. Personaldaten zu versenden. Da aber immer häufiger Kunden per bestellen oder Konditionen erfragen, ist der Schutzbedarf hoch. Integrität hoch Kundenanfragen oder Bestellungen müssen gegen fehlerhafte Daten geschützt werden. Verfügbarkeit hoch Sowohl die interne Kommunikation als auch ein großer Teil der Kommunikation mit Kunden erfolgt über E- Mail. Ein Ausfall führt zu hohem Ansehensverlust und evtl. zum Verlust von Bestellungen. Ein Ausfall ist daher höchstens für 24 Stunden akzeptabel. Vertraulichkeit normal Die Dokumentenvorlage und auch die hier gespeicherten Dokumente sind nicht vertraulich. Sie werden zum Teil sogar öffentlich gemacht. Integrität normal Fehler werden in der Regel schnell erkannt und können nachträglich bereinigt werden. Verfügbarkeit normal Bei Ausfall der Anwendung können die Vorlagen manuell erstellt werden. Dokumente werden auf den Arbeitsplatzrechnern gespeichert und können bei Verfügbarkeit gespeichert werden. Vertraulichkeit normal Es werden keine vertraulichen Daten verarbeitet. Abteilungen, die vertrauliche oder personenbezogene Daten ausdrucken, sind mit Arbeitsplatzdruckern ausgestattet. Integrität normal Wenn Daten fehlerhaft ausgedruckt werden, kann dies leicht festgestellt werden. Verfügbarkeit normal Da an wichtigen Arbeitsplätzen lokale Drucker vorhanden sind, kann ein Ausfall bis zu drei Tagen hingenommen werden. Seite 19

22 IT-Anwendung Schutzbedarfsfeststellung Nr. Bezeichnung Pers.-bez. Grundwert Schutz- Begründung Daten bedarf A10 A11 A12 A13 A14 Druckservice für den Beueler Standort Office- Anwendungen Internet-Zugang Application Gateway Filterfunktionalität Vertraulichkeit normal Es werden in der Hauptsache Lieferscheine und Lagerbestände gedruckt, die keine vertraulichen Angaben enthalten. Integrität normal Falsch ausgedruckte Daten werden leicht erkannt und können korrigiert werden. Verfügbarkeit normal Da noch ein weiterer Arbeitsplatzdrucker vorhanden ist, können Daten bei Ausfall der Anwendung darüber ausgedruckt werden. Vertraulichkeit normal Es werden keine vertraulichen Daten verarbeitet. Integrität normal Fehlerhafte Daten können leicht erkannt und korrigiert werden. es sind keine finanzielle Schäden zu erwarten. Verfügbarkeit normal Der Ausfall auf einem Client ist bis zu einer Woche hinnehmbar. Ersatzweise kann auf einem Laptop weitergearbeitet werden. Vertraulichkeit normal Es werden keine vertraulichen Daten verarbeitet. Integrität normal Fehlerhafte Daten können in der Regel leicht erkannt werden. Verfügbarkeit hoch Die Recherche im Internet ist für einige Abteilungen wichtig (insbesondere die Einkaufsabteilung). Ein Ausfall ist höchstens 24 Stunden hinnehmbar. Vertraulichkeit normal Über das System werden keine vertraulichen Daten geleitet. Integrität hoch An die Integrität der Konfigurations- und Betriebssystemdateien sind hohe Anforderungen zu stellen, um Netzeinbrüche auszuschließen. Bei Netzeinbrüchen können vertrauliche Daten kompromittiert werden. Verfügbarkeit hoch und Internet-Recherche sind wesentliche Bestandteile der Tätigkeit der Fachabteilungen. Ein Ausfall der Anwendung ist allenfalls für 24 Stunden tolerabel. Vertraulichkeit normal Über diese Anwendungen werden keine vertraulichen Daten geleitet. Integrität hoch An die Integrität der Konfigurations- und Routing- Tabellen sind hohe Anforderungen zu stellen, da ansonsten Netzeinbrüche möglich werden, die dazu führen können, dass vertrauliche Daten kompromittiert werden. Verfügbarkeit hoch und Recherche im Internet sind wesentliche Bestandteile der Arbeit der Fachabteilung. Ein Ausfall ist höchstens für 24 Stunden hinnehmbar. Seite 20

23 IT-Anwendung Schutzbedarfsfeststellung Nr. Bezeichnung Pers.-bez. Grundwert Schutz- Begründung Daten bedarf A15 A16 TK-Vermittlung Faxen Vertraulichkeit normal Die Betroffenen werden nur unerheblich beeinträchtigt, wenn die Daten bekannt werden. Integrität normal Fehler in der Konfigurationsdatei können leicht erkannt und korrigiert werden. Evtl. Schäden aufgrund fehlerhafter Gebührenerfassung liegen unter 500 Euro. Verfügbarkeit hoch Die TK-Anlage ist ein wesentliches Kommunikationsmittel mit den Kunden. Ein Ausfall würde die Arbeit erheblich beeinträchtigen und zu einem wesentlichen Ansehensverlust führen. Vertraulichkeit hoch Über die Faxgeräte werden Kunden Angebote und Konditionen unterbreitet. Diese sollten nur den Betroffenen bekannt werden. Integrität normal Veränderungen an den übermittelten Daten können in der Regel leicht erkannt werden oder führen zu Rückfragen. Verfügbarkeit normal Da mehrere Faxgeräte in der Verwaltung vorhanden sind, führt der Ausfall eines Faxgeräts nur zu einer minimalen Einschränkung. Bei Ausfall in den Vertriebsbüros oder der Produktionsstätte kann per Telefon oder kommuniziert werden. 4.3 Schutzbedarfsfeststellung der IT-Systeme Der Schutzbedarf eines IT-Systems hängt im Wesentlichen von dem Schutzbedarf derjenigen Anwendungen ab, für deren Ausführung es benötigt wird. Der Schutzbedarf der Anwendung vererbt sich auf den Schutzbedarf des IT-Systems. Bei der Vererbung lassen sich folgende Fälle unterscheiden: In vielen Fällen lässt sich der höchste Schutzbedarf aller Anwendungen, die das IT-System benötigen, übernehmen (Maximumprinzip). Der Schutzbedarf des IT-Systems kann höher sein als der Schutzbedarf der einzelnen Anwendungen (Kumulationseffekt). Dies ist z. B. dann der Fall, wenn auf einem Server mehrere Anwendungen mit mittlerem Schutzbedarf in Betrieb sind. Der Ausfall einer dieser Anwendungen könnte überbrückt werden. Wenn aber alle Anwendungen gleichzeitig ausfallen würden, dann kann ein hoher Schaden entstehen. Der Schutzbedarf kann niedriger sein als der Schutzbedarf der zugeordneten Anwendungen, wenn eine Anwendung mit hohem Schutzbedarf auf mehrere Systeme verteilt ist, und auf dem betreffenden IT-System nur weniger wichtige Teile dieser Anwendung ausgeführt werden (Verteilungseffekt). Bei Anwendungen, die personenbezogene Daten verarbeiten, sind z. B. Komponenten weniger kritisch, in denen die Daten nur in pseudonymisierter oder aggregierter Form verwendet werden. Auch der Schutzbedarf für die IT-Systeme sollte für jeden der drei Grundwerte (Vertraulichkeit, Integrität und Verfügbarkeit) festgelegt und anschließend z. B. tabellarisch dokumentiert werden. Die folgenden Tabellen enthalten die Schutzbedarfsfeststellung für die Server, Clients, Netz- und Telekommunikationskomponenten der RECPLAST GmbH. Seite 21

24 Schutzbedarf Server IT-System Schutzbedarfsfeststellung Begründung S1 S2 S3 S4 S5 S6 Nr. Beschreibung Grundwert Schutzbedarf Domänen- Controller BG Interner Kommunikationsserver Datei- und Druckserver BG Server für Kunden- und Auftragsbearbeitung DB-Server Finanzbuchhaltung Server Beuel Vertraulichkeit normal Maximumprinzip gemäß Anwendung A5 (Benutzerauthentisierung) Integrität hoch Maximumprinzip gemäß Anwendung A5 (Benutzerauthentisierung) Verfügbarkeit normal Gemäß Anwendung A5 (Benutzerauthentisierung) ist der Schutzbedarf hoch. Da jedoch in Beuel ein zweiter Domänencontroller (S6) steht, ist eine Anmeldung auch für Benutzer aus Godesberg über diesen Rechner möglich. Ein Ausfall bis zu drei Tagen ist hinnehmbar (Verteilungseffekt). Vertraulichkeit hoch Maximumprinzip gemäß Anwendung A7 ( ) Integrität hoch Maximumprinzip gemäß Anwendung A7 ( ) Verfügbarkeit hoch Maximumprinzip gemäß Anwendung A7 ( ) Vertraulichkeit normal Maximumprinzip gemäß Anwendung A9 Integrität normal Maximumprinzip gemäß Anwendung A9 Verfügbarkeit normal Maximumprinzip gemäß Anwendung A9 Vertraulichkeit hoch Maximumprinzip. Die Standardanwendung Auftrags- und Kundenverwaltung (A4) hat hohen Schutzbedarf. Integrität hoch Maximumprinzip. Die Standardanwendung Auftrags- und Kundenverwaltung (A4) hat hohen Schutzbedarf. Verfügbarkeit hoch Maximumprinzip. Die Standardanwendung Auftrags- und Kundenverwaltung (A4) hat hohen Schutzbedarf. Vertraulichkeit hoch Maximumprinzip, da hohe Vertraulichkeit bei Anwendungen A1 (Personaldatenverarbeitung) und A3 (Finanzbuchhaltung) Integrität normal Maximumprinzip von Anwendung A3 (Finanzbuchhaltung) Verfügbarkeit normal Ausfälle können mittels manueller Verfahren überbrückt werden. Vertraulichkeit normal Maximumprinzip von A5 und A10 Integrität normal Maximumprinzip von A5 und A10 Verfügbarkeit normal Gemäß Anwendung A5 ist der Schutzbedarf hoch. Da die Mitarbeiter in Beuel sich aber auch über den zweiten Domänencontroller (S1) in Bad Godesberg identifizieren und anmelden können, ist ein Ausfall bis zu drei Tagen tolerierbar. Seite 22

25 Schutzbedarf Clients IT-System Schutzbedarfsfeststellung Nr. Beschreibung Grundwert Schutzbedarf Begründung C1 C2 C3 C4 C5 C6 Clients in der Finanzbuchhaltung Clients der Geschäftsführung Clients in der Personalabteilung Clients in der Informationstechnik Clients für die Kunden- und Auftragsbearbei tung im Einkauf, Marketing und Vertrieb Clients in Beuel für Fertigung und Lager Vertraulichkeit hoch Maximumprinzip von Anwendung A3 Integrität normal Maximumprinzip von Anwendung A3 Verfügbarkeit normal Bei Ausfall eines Clients kann die Aufgabe an einem anderen Client wahrgenommen werden oder kurzfristig ein Laptop zur Verfügung gestellt werden. Vertraulichkeit hoch Es werden personenbezogene Daten verarbeitet. Maximumprinzip von Anwendung A1 Integrität normal Auf den PCs werden keine wichtigen Daten gespeichert. Verfügbarkeit normal Der Ausfall eines Rechners kann bis zu drei Tagen toleriert werden. Ein Laptop steht als Reserve bereit. Vertraulichkeit hoch Es werden personenbezogene Daten verarbeitet. Integrität normal Auf dem PC werden keine wichtigen Daten gespeichert. Verfügbarkeit normal Ein Ausfall bis zu drei Tagen kann toleriert werden. Ein Laptop steht als Ersatz zur Verfügung. Vertraulichkeit normal Es werden keine personenbezogenen Daten verarbeitet. Auf den System- und Netzmanagement-Server kann nur mit Passwort zugegriffen werden. Integrität normal Es werden keine wichtigen Daten auf dem PC gespeichert. Verfügbarkeit normal Bei Ausfall eines PCs kann kurzfristig ein Laptop zur Verfügung gestellt werden. Vertraulichkeit hoch Maximumprinzip von Anwendung A4 Integrität hoch Maximumprinzip von Anwendung A4 Verfügbarkeit normal Bei Ausfall eines Clients kann die Aufgabe an einem anderen Client wahrgenommen oder kurzfristig ein Laptop zur Verfügung gestellt werden. Vertraulichkeit hoch Da auch auf Kundendaten zugegriffen wird, ist die Vertraulichkeit als hoch zu bewerten. Integrität normal Auf den PCs werden keine wichtigen Daten gespeichert. Verfügbarkeit normal Bei Ausfall eines Clients kann die Aufgabe an einem anderen Client wahrgenommen werden oder kurzfristig ein Laptop zur Verfügung gestellt werden. Seite 23

DE 098/2008. IT- Sicherheitsleitlinie

DE 098/2008. IT- Sicherheitsleitlinie DE 098/2008 IT- Sicherheitsleitlinie Chemnitz, 12. November 2008 Inhalt 1 Zweck der IT-Sicherheitsrichtlinie...2 2 Verantwortung für IT- Sicherheit...2 3 Sicherheitsziele und Sicherheitsniveau...3 4 IT-Sicherheitsmanagement...3

Mehr

Webkurs IT-Grundschutz Beschreibung des Beispielunternehmens RECPLAST GmbH

Webkurs IT-Grundschutz Beschreibung des Beispielunternehmens RECPLAST GmbH Webkurs IT-Grundschutz Beschreibung des Beispielunternehmens RECPLAST GmbH Ausgabe April 2011 Dieses Dokument ergänzt den Webkurs IT-Grundschutz und enthält die Darstellungen, Tabellen und Erläuterungen

Mehr

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz. Version 1.

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz. Version 1. Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Version 1.0 Bundesamt für Sicherheit in der Informationstechnik Postfach

Mehr

krz - Forum 2012 Fachforum Datensicherheit 10.00h Begrüßung / Einführung Reinhard Blome, krz

krz - Forum 2012 Fachforum Datensicherheit 10.00h Begrüßung / Einführung Reinhard Blome, krz krz - Forum 2012 Fachforum Datensicherheit 10.00h Begrüßung / Einführung Reinhard Blome, krz 10.05h Arbeitsschutz / Arbeitssicherheit Gerhard Hessel, Fa. SLH UWEB2000 Die Lösung für die kommunale Verwaltung

Mehr

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutz Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutzhandbuch Agenda Ziel der IT-Sicherheit Das IT-Grundschutzhandbuch Umsetzung des IT-Grundschutzhandbuchs Ausbaustufen

Mehr

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz IT-Grundschutz modellieren modellieren Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz / Überblick IT- Grundschutzhandbuch (GSHB) betrachtet im Allgemeinen folgende Merkmale: Infrastruktur

Mehr

Leitlinie für die Informationssicherheit

Leitlinie für die Informationssicherheit Informationssicherheit Flughafen Köln/Bonn GmbH Leitlinie für die Informationssicherheit ISMS Dokumentation Dokumentenname Kurzzeichen Leitlinie für die Informationssicherheit ISMS-1-1-D Revision 2.0 Autor

Mehr

Ergänzung zum BSI-Standard 100-3, Version 2.5

Ergänzung zum BSI-Standard 100-3, Version 2.5 Ergänzung zum BSI-Standard 100-3, Version 2.5 Verwendung der elementaren Gefährdungen aus den IT-Grundschutz-Katalogen zur Durchführung von Risikoanalysen Stand: 03. August 2011 Bundesamt für Sicherheit

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

MODELLIERUNGSVORSCHRIFT. Version 1.0 EVANGELISCHE KIRCHE IN DEUTSCHLAND

MODELLIERUNGSVORSCHRIFT. Version 1.0 EVANGELISCHE KIRCHE IN DEUTSCHLAND MODELLIERUNGSVORSCHRIFT Version 1.0 EVANGELISCHE KIRCHE IN DEUTSCHLAND INHALTSVERZEICHNIS 1 ALLGEMEINES 3 2 ÜBERGEORDNETE ASPEKTE 3 3 INFRASTRUKTUR 5 4 IT-SYSTEME 6 5 NETZE 8 6 IT-ANWENDUNGEN 8 KONTAKT

Mehr

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

Informationssicherheit (k)eine Frage für Ihr Unternehmen? Ziele Informationssicherheit (k)eine Frage für Ihr Unternehmen? SSV bei connect Schnelligkeit, Sicherheit, Verfügbarkeit Vortrag von Ingrid Dubois, dubois it-consulting gmbh Informationssicherheit: Ziele

Mehr

Berufsprüfung ICT System und Netzwerktechnik. Betrieb von ICT Systemen und Netzwerken planen

Berufsprüfung ICT System und Netzwerktechnik. Betrieb von ICT Systemen und Netzwerken planen Berufsprüfung ICT System und Netzwerktechnik Betrieb von ICT Systemen und Netzwerken planen Informationen zur Prüfung Bei jeder Aufgabe sind die Punktzahlen angegeben, die Sie für die korrekte Beantwortung

Mehr

IT-Grundschutz für mittelständische Unternehmen

IT-Grundschutz für mittelständische Unternehmen IT-Grundschutz für mittelständische Unternehmen Randolf Skerka SRC Security Research & Consulting GmbH Bonn - Wiesbaden IT-Grundschutzhandbuch Agenda Ein wenig über SRC Das IT-Grundschutzhandbuch Umsetzung

Mehr

Informationssicherheitsleitlinie

Informationssicherheitsleitlinie Stand: 08.12.2010 Informationssicherheit Historie Version Datum Bemerkungen 1.0 16.06.2009 Durch Geschäftsführung herausgegeben und in Kraft getreten. 1.0.1 08.12.2010 Adressänderung des 4Com-Haupsitzes.

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

SCHUTZBEDARFSKATEGORIEN

SCHUTZBEDARFSKATEGORIEN SCHUTZBEDARFSKATEGORIEN Version 1.0 EVANGELISCHE KIRCHE IN DEUTSCHLAND Seite 2 von 5 SCHUTZBEDARFSKATEGORIEN Diese Schutzbedarfskategorien wurden von der Arbeitsgruppe zur Bereitstellung der Muster-IT-

Mehr

Nachweisbare Sicherheit durch Zertifizierung nach BSI Grundschutz

Nachweisbare Sicherheit durch Zertifizierung nach BSI Grundschutz Nachweisbare Sicherheit durch Zertifizierung nach BSI Grundschutz DECUS Symposium 8.-10. April 2003 Jürgen Bachinger Senior Consultant HP Services - Consulting & Integration BSI-Auditor: BSI-GSL-0001-2002

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Sicherheitshinweise für IT-Benutzer. - Beispiel -

Sicherheitshinweise für IT-Benutzer. - Beispiel - Sicherheitshinweise für IT-Benutzer - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG...2 2 VERANTWORTUNG...2 3 ALLGEMEINE REGELUNGEN...2 4 ZUTRITT UND ZUGANG...3 4.1 ALLGEMEINE ZUTRITTS- UND

Mehr

Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie -Einrichten eines IT-Sicherheitsmanagements

Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie -Einrichten eines IT-Sicherheitsmanagements Cloud Security (Minimal-)vorgaben des BSI Kai Wittenburg, Geschäftsführer & ISO27001-Auditor (BSI) neam IT-Services GmbH Vorgehensweise Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE Alternative Ansätze im Sicherheitsmanagement Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration

Mehr

Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse

Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse Verfasser: BSI Ref. 113 Version: 1.0 Stand: 26. Januar 2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

Patch- und Änderungsmanagement

Patch- und Änderungsmanagement Patch- und Änderungsmanagement Mindestsicherheitsstandard erfordert Change Management Werner Fritsche 2 Vortragsthemen - Übersicht Patch- und Änderungsmanagement: Mindestsicherheitsstandard erfordert Change

Mehr

Definitionen Schwachstellen und Bedrohungen von IT-Systemen Sicherheitsmanagement Katastrophenmanagement Trends und Entwicklungen bei IT-Bedrohungen

Definitionen Schwachstellen und Bedrohungen von IT-Systemen Sicherheitsmanagement Katastrophenmanagement Trends und Entwicklungen bei IT-Bedrohungen 10 IT-Sicherheit Definitionen Schwachstellen und Bedrohungen von IT-Systemen Sicherheitsmanagement Katastrophenmanagement Trends und Entwicklungen bei IT-Bedrohungen http://www.bsi.de 10-10 Definitionen

Mehr

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Antragsteller: Zertifizierungskennung: BSI-XXX-XXXX Der Inhalt

Mehr

npa warum Basis-Sicherheitscheck? krz Forum 2010 Jeanette Timme

npa warum Basis-Sicherheitscheck? krz Forum 2010 Jeanette Timme npa warum Basis-Sicherheitscheck? krz Forum 2010 Jeanette Timme Rechtsgrundlage 10 Abs. 3 Datenschutzgesetz NRW: Die zu treffenden technischen und organisatorischen Maßnahmen sind auf der Grundlage eines

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT STEINBUCH CENTRE FOR COMPUTING - SCC KIT University of the State of Baden-Wuerttemberg and National Research

Mehr

Informationssicherheitsmanagementsystem (ISMS) KO-Kriterien zum Erfolg: Koordination, Kooperation, Kommunikation

Informationssicherheitsmanagementsystem (ISMS) KO-Kriterien zum Erfolg: Koordination, Kooperation, Kommunikation Informationssicherheitsmanagementsystem (ISMS) KO-Kriterien zum Erfolg: Koordination, Kooperation, Kommunikation Bundesamt für Sicherheit in der Informationstechnik Claudia Großer 31. Forum Kommunikation

Mehr

Projekt IT-Sicherheitskonzept.DVDV

Projekt IT-Sicherheitskonzept.DVDV Projekt IT-Sicherheitskonzept.DVDV Dokumentation.Sicherheitsrichtlinie.Server DVDV Dienstleister Bundesverwaltungsamt BIT 3 Barbarastr. 1 50735 Köln 10. Mai 2006 Dokumentinformationen Projekt IT-Sicherheitskonzept.DVDV

Mehr

FORUM Gesellschaft für Informationssicherheit mbh. GenoBankSafe-IT Der IT-Sicherheitsmanager

FORUM Gesellschaft für Informationssicherheit mbh. GenoBankSafe-IT Der IT-Sicherheitsmanager FORUM Gesellschaft für Informationssicherheit mbh GenoBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? GenoBankSafe-IT bietet ein vollständiges IT-Sicherheitskonzept

Mehr

Informationssicherheit in der öffentlichen Verwaltung. BfIS-Land Informationssicherheit in der Landesverwaltung

Informationssicherheit in der öffentlichen Verwaltung. BfIS-Land Informationssicherheit in der Landesverwaltung Informationssicherheit in der öffentlichen Verwaltung BfIS-Land Informationssicherheit in der Landesverwaltung Warum Informationssicherheit? Die überwiegende Mehrzahl aller Verwaltungsprozesse in Kommunalverwaltungen

Mehr

Compliance. Verhaltenskodex der Berlinwasser Gruppe

Compliance. Verhaltenskodex der Berlinwasser Gruppe Compliance Gesetzmäßiges und verantwortungsbewusstes Handeln Verhaltenskodex der Berlinwasser Gruppe Grundsätze für verantwortungsvolles und rechtmäßiges Handeln Liebe Mitarbeiterinnen und Mitarbeiter,

Mehr

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit Umsetzungsverfahren KMU-Zertifizierung Informationssicherheit Inhalt Umsetzungsverfahren... 1 Umsetzungsverfahren zur KMU-Zertifizierung nach OVVI Summary... 2 1. Information Security Policy / IT-Sicherheitsleitlinie...

Mehr

Webkurs IT-Grundschutz IT-Grundschutz im Selbststudium. Ausgabe Juni 2006 Druckversion zum Webkurs

Webkurs IT-Grundschutz IT-Grundschutz im Selbststudium. Ausgabe Juni 2006 Druckversion zum Webkurs IT-Grundschutz im Selbststudium Ausgabe Juni 2006 Druckversion zum Webkurs Der IT-Grundschutz bietet eine bewährte Methode für die Planung und Überprüfung von IT- Sicherheit. Als Einstieg bietet das BSI

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz 3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz Institut für Informatik und Automation Dipl.-Inf. Günther Diederich Institut für Informatik und Automation In-Institut der Hochschule

Mehr

Praktischer Datenschutz

Praktischer Datenschutz Praktischer Datenschutz Heiko Behrendt Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel ULD72@datenschutzzentrum.de CAU - Praktischer Datenschutz 1 Überblick Behördlicher und betrieblicher

Mehr

IT-Sicherheitspolitik in der FhG

IT-Sicherheitspolitik in der FhG IT-Sicherheitspolitik in der FhG Dipl.-Math. Wilfried Gericke IT-Verantwortlicher IT-Sicherheitspolitik in der FhG Motivation IT-Sicherheitsziele Verantwortlichkeit Maßnahmen und Umsetzung Motivation(1)

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an

Mehr

IT-Grundschutzhandbuch: Stand Juli 1999 1

IT-Grundschutzhandbuch: Stand Juli 1999 1 1. Information Security Policy 1.1. Einleitung Die Firma/Behörde ist von Informationen abhängig. Informationen entscheiden über unseren Erfolg und den unserer Kunden. Von größter Wichtigkeit ist neben

Mehr

Datenschutz und IT-Sicherheit an der UniBi

Datenschutz und IT-Sicherheit an der UniBi Datenschutz und IT-Sicherheit an der UniBi 1. Dezember 2009 Ines Meyer Michael Sundermeyer Datenschutz Datenschutz hat Verfassungsrang Recht auf informationelle Selbstbestimmung Datenschutzgesetz Nordrhein-Westfalen

Mehr

Amtliches Mitteilungsblatt

Amtliches Mitteilungsblatt Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................

Mehr

IT-Grundschutz: Cloud-Bausteine

IT-Grundschutz: Cloud-Bausteine IT-Grundschutz: Cloud-Bausteine Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 12.09.2013 Was sind die Risiken? (Public

Mehr

Informationssicherheit in handlichen Päckchen ISIS12

Informationssicherheit in handlichen Päckchen ISIS12 Informationssicherheit in handlichen Päckchen ISIS12 Der praxistaugliche Sicherheitsstandard für kleine und mittelgroße Unternehmen IT-Trends Sicherheit, 20. April 2016 Referentin Claudia Pock Sales Managerin

Mehr

Richtlinien der HHU für die Verwendung von Sync & Share NRW

Richtlinien der HHU für die Verwendung von Sync & Share NRW Richtlinien der HHU für die Verwendung von Sync & Share NRW HHU 21. Januar 2015 Sync & Share NRW ist ein Cloud-Storage-Dienst zu Zwecken von Forschung, Lehre, Studium und Hochschulverwaltung. Die in Sync

Mehr

IT-Grundschutz praktisch im Projekt Nationales Waffenregister

IT-Grundschutz praktisch im Projekt Nationales Waffenregister IT-Grundschutz praktisch im Projekt Nationales Waffenregister Günther Ennen Bundesamt für Sicherheit in der Informationstechnik 19. Berliner Anwenderforum E-Government am 19. und 20. Februar 2013 Fachforum

Mehr

Technische und organisatorische Maßnahmen der

Technische und organisatorische Maßnahmen der Seite 1 von 8 der Inhaltsverzeichnis: 1. Einleitung 2. Gesetzliche Grundlage 3. zur Umsetzung 3.1 Zutrittskontrolle 3.2 Zugangskontrolle 3.3 Zugriffskontrolle 3.4 Weitergabekontrolle 3.5 Eingabekontrolle

Mehr

FORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager

FORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager FORUM Gesellschaft für Informationssicherheit mbh ForumBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? ForumBankSafe-IT einführen ForumBankSafe-IT bietet ein

Mehr

TÜV NORD Akademie Personenzertifizierung. Zertifizierungsprogramm: Merkblatt Datenschutzbeauftragter (TÜV )

TÜV NORD Akademie Personenzertifizierung. Zertifizierungsprogramm: Merkblatt Datenschutzbeauftragter (TÜV ) TÜV NORD Akademie Personenzertifizierung Zertifizierungsprogramm: Merkblatt Datenschutzbeauftragter (TÜV ) Merkblatt Datenschutzbeauftragter (TÜV ) Personenzertifizierung Große Bahnstraße 31 22525 Hamburg

Mehr

2.2 Schutzbedarfsfeststellung

2.2 Schutzbedarfsfeststellung IT-Grundschutzhandbuch 2.2 Bei der Erstellung eines IT-Sicherheitskonzepts ist die erste und wichtigste Aufgabe festzustellen, welcher Schutz für die IT-Systeme, IT- Anwendungen und Informationen ausreichend

Mehr

60 Dringender Regelungsbedarf bei der IT-Sicherheit der Bundeswehr Kat. B

60 Dringender Regelungsbedarf bei der IT-Sicherheit der Bundeswehr Kat. B 338 60 Dringender Regelungsbedarf bei der IT-Sicherheit der Bundeswehr Kat. B 60.0 Die IT-Sicherheitsvorschriften des Bundesverteidigungsministeriums sind nicht aktuell. Seine dem Parlament im Jahr 2006

Mehr

Ein Integriertes Berichtswesen als Führungshilfe

Ein Integriertes Berichtswesen als Führungshilfe Ein Integriertes Berichtswesen als Führungshilfe Begleitung eines kennzahlgestützten Berichtswesens zur Zielerreichung Tilia Umwelt GmbH Agenda 1. Was bedeutet Führung? 2. Was bedeutet Führung mit Hilfe

Mehr

Wie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz IT-Grundschutz-Tag 09.10.2013

Mehr

IS-Revision in der Verwaltung

IS-Revision in der Verwaltung IS-Revision in der Verwaltung Dr. Gerhard Weck INFODAS GmbH, Köln 27. November 2009 Inhalt Nationaler Plan zur Sicherung der Informationsinfrastrukturen (NPSI) Umsetzungsplan KRITIS Umsetzungsplan Bund

Mehr

Ausblick und Diskussion. Isabel Münch Referatsleiterin IT-Grundschutz und Allianz für Cyber-Sicherheit

Ausblick und Diskussion. Isabel Münch Referatsleiterin IT-Grundschutz und Allianz für Cyber-Sicherheit Ausblick und Diskussion Isabel Münch Referatsleiterin IT-Grundschutz und Allianz für Cyber-Sicherheit IT-Grundschutz-Tag, Köln, 12.05.2016 IT-Grundschutz-Tools IT-Grundschutz-Tools Übersicht lizenzierter

Mehr

Cloud : sicher. Dr. Clemens Doubrava, BSI. it-sa Nürnberg 7.10.2015

Cloud : sicher. Dr. Clemens Doubrava, BSI. it-sa Nürnberg 7.10.2015 Cloud : sicher Dr. Clemens Doubrava, BSI it-sa Nürnberg 7.10.2015 Strategische Aspekte des Cloud Computing 11,4 cm x 20,4 cm Dr. Clemens Doubrava Referent 07.10.2015 Seite 2 Cloud-Strategie des BSI Dr.

Mehr

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 53227 Bonn Copyright Scopevisio AG. All rights reserved. Seite 1 von 11 Copyright Scopevisio AG. All rights reserved. Seite 2 von 11 Inhalt

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

IT-Sicherheit Wie ist es um Ihre IT-Sicherheit bestellt? 04.06.2014 Daniel Onnebrink

IT-Sicherheit Wie ist es um Ihre IT-Sicherheit bestellt? 04.06.2014 Daniel Onnebrink IT-Sicherheit Wie ist es um Ihre IT-Sicherheit bestellt? 04.06.2014 Daniel Onnebrink Aktuelle Meldungen zum Thema IT-Sicherheit 2 IT-Sicherheitsniveau in kleinen und mittleren Unternehmen (September 2012)

Mehr

Praktizierter Grundschutz in einem mittelständigen Unternehmen

Praktizierter Grundschutz in einem mittelständigen Unternehmen Praktizierter Grundschutz in einem mittelständigen Unternehmen Adolf Brast, Leiter Informationsverarbeitung Bochum-Gelsenkirchener Straßenbahnen AG auf dem 4. Stuttgarter IT-Sicherheitstag, 16.02.06 Überblick

Mehr

Verhaltenskodex Kassenzahnärztliche Vereinigung Berlin, KdöR Stand 17. Dezember 2014

Verhaltenskodex Kassenzahnärztliche Vereinigung Berlin, KdöR Stand 17. Dezember 2014 Verhaltenskodex Kassenzahnärztliche Vereinigung Berlin, KdöR Stand 17. Dezember 2014 Verhaltenskodex 2 I. Inhalt Verhaltenskodex... 1 I. Inhalt... 2 II. Erklärung des Vorstandes... 3 III. Prinzipien...

Mehr

Dieter Börner Management-Service. Quelle : Bundesamt für Sicherheit in der Informationstechnik

Dieter Börner Management-Service. Quelle : Bundesamt für Sicherheit in der Informationstechnik Dieter Börner Management-Service Am Bahnhof 12 96328 Küps Tel. 09264 91323 Fax 09264 91324 Das Informationssicherheits- Managementsystem nach ISO/IEC 27001 Informationstechnik - IT-Sicherheitsverfahren

Mehr

Dr. Martin Meints, ULD 29. August 2005

Dr. Martin Meints, ULD 29. August 2005 Infobörse 2 Dr. Martin Meints Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Sommerakademie, 29. August 2005 Agenda Datensicherheit / Datenschutz wo liegen die Unterschiede? Welche Bedeutung

Mehr

Regelwerk der Informationssicherheit: Ebene 1

Regelwerk der Informationssicherheit: Ebene 1 Regelwerk der Informationssicherheit: Ebene 1 Definition Sicherheitsmanagement Durchsetzung, Sanktionen Definition des Regelwerks der Informationssicherheit gemäß der Empfehlungen des ISO-17799 mit Detaillierungen

Mehr

IT-Grundschutz umsetzen mit GSTOOL

IT-Grundschutz umsetzen mit GSTOOL IT-Grundschutz umsetzen mit GSTOOL Frederik Humpert Anleitungen und Praxistipps für den erfolgreichen Einsatz des BSI-Standards ISBN 3-446-22984-1 Inhaltsverzeichnis Weitere Informationen oder Bestellungen

Mehr

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009 Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen IT Profis Berlin, 24.06.2009 Leistungsspektrum Trigonum GmbH Geschäftsprozess- und Organisationsmanagement Erfolgreich Prozesse und

Mehr

1.80.00 Nr. 2 1. Verfassungs-, Verwaltungs- und Verfahrensrecht 80.00 Datenschutzrecht Datenschutz im öffentlichen Bereich

1.80.00 Nr. 2 1. Verfassungs-, Verwaltungs- und Verfahrensrecht 80.00 Datenschutzrecht Datenschutz im öffentlichen Bereich Justus-Liebig-Universität Gießen Der Präsident Mitteilungen HMdIuS 2002 Nr. 1 01.06.2002 1.80.00 Nr. 2 1. Verfassungs-, Verwaltungs- und Verfahrensrecht 80.00 Datenschutzrecht Hess. Ministerium des Inneren

Mehr

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit

Mehr

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess, Projektmanager und Sales Consultant, EMPRISE Process Management GmbH Das Gesetz

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

IT-Revision als Chance für das IT- Management

IT-Revision als Chance für das IT- Management IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT

Mehr

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team Gültigkeitsbereich Verantwortlich Team Zweck AWO RV Halle Merseburg und alle Tochtergesellschaften GF Datenschutzbeauftragter ist Prozessverantwortlich Alle MA sind durchführungsverantwortlich Zweck des

Mehr

Richtlinie für die Verwendung des Cloud-Speicherdienstes sciebo an der Fachhochschule Südwestfalen

Richtlinie für die Verwendung des Cloud-Speicherdienstes sciebo an der Fachhochschule Südwestfalen Richtlinie für die Verwendung des Cloud-Speicherdienstes sciebo an der Fachhochschule Südwestfalen Rektorat der FH SWF - 11.02.2015 Dieses Dokument soll darüber aufklären, welche Daten von Mitgliedern

Mehr

Die Umsetzung von IT-Sicherheit in KMU

Die Umsetzung von IT-Sicherheit in KMU Informatik Patrick Düngel / A. Berenberg / R. Nowak / J. Paetzoldt Die Umsetzung von IT-Sicherheit in KMU Gemäß dem IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik Wissenschaftliche

Mehr

Empfehlungen für die Verwendung des Cloudspeicherdienstes sciebo

Empfehlungen für die Verwendung des Cloudspeicherdienstes sciebo Empfehlungen für die Verwendung des Cloudspeicherdienstes sciebo IV-Sicherheitsteam der WWU November 2014 Dieses Dokument soll darüber aufklären, welche Daten von Mitgliedern und Angehörigen der WWU in

Mehr

Compliance und IT-Sicherheit

Compliance und IT-Sicherheit Compliance und IT-Sicherheit Isabel Münch Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Agenda Das BSI Compliance-Anforderungen und IT-Sicherheit Risikomanagement

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

Workshop zu Praxisfragen des IT-Sicherheitsrechts

Workshop zu Praxisfragen des IT-Sicherheitsrechts Workshop zu Praxisfragen des IT-Sicherheitsrechts unterstützt von Rechtliche Anforderungen an ein IT-Sicherheitskonzept Leiter des Projekts BayWiDI 11. Oktober 2016 IT-Sicherheit als Lebensader der Digitalen

Mehr

Mitteilung zur Kenntnisnahme

Mitteilung zur Kenntnisnahme 17. Wahlperiode Drucksache 17/1776 24.07.2014 Mitteilung zur Kenntnisnahme Stärkung der IT-Sicherheit bei den Behörden des Landes Berlin Drucksache 17/1526 und Schlussbericht Abgeordnetenhaus von Berlin

Mehr

Das IT-Verfahren TOOTSI

Das IT-Verfahren TOOTSI Das IT-Verfahren TOOTSI Toolunterstützung für IT- Sicherheit (TOOTSI) Motivation und Ziele der Nationale Plan (UP Bund) Herausforderungen Umsetzung in der Bundesfinanzverwaltung in der Bundesverwaltung

Mehr

Test GmbH Test 123 20555 Hamburg Hamburg

Test GmbH Test 123 20555 Hamburg Hamburg Test GmbH Test 123 20555 Hamburg Hamburg 29.07.2015 Angaben zum Unternehmen Unternehmensdaten Unternehmen Test GmbH Adresse Test 123 20555 Hamburg Hamburg Internetadresse http://www.was-acuh-immer.de Tätigkeitsangaben

Mehr

IT-Sicherheitspolitik in der FhG

IT-Sicherheitspolitik in der FhG IT-Sicherheitspolitik in der FhG Dipl.-Math. Wilfried Gericke IT-Verantwortlicher IT-Sicherheitspolitik in der FhG Motivation IT-Sicherheitsziele Verantwortlichkeit Maßnahmen und Umsetzung www.decus.de

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Sicherheitshinweise für Administratoren. - Beispiel -

Sicherheitshinweise für Administratoren. - Beispiel - Sicherheitshinweise für Administratoren - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 VERANTWORTUNGSBEREICH... 2 3 VERWALTUNG DER IT-DIENSTE... 3 3.1 KONFIGURATION DER IT-DIENSTE...

Mehr

Scannen Sie schon oder blättern Sie noch?

Scannen Sie schon oder blättern Sie noch? Scannen Sie schon oder blättern Sie noch? Martin Steger Geschäftsführer intersoft certification services GmbH intersoft mc sec certification 2014 services GmbH mentana-claimsoft.de Agenda Scannen Sie schon

Mehr

IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme. 2015 IPS GmbH

IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme. 2015 IPS GmbH IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme Inhalt Zur Relevanz von ISMS für EVUs Übersicht Kritische Infrastrukturen 11 EnWG BSI-Standards 100-x Was ist ein ISMS? Unterstützung

Mehr

Beispiel: Bundesamt für Organisation und Verwaltung (BOV)

Beispiel: Bundesamt für Organisation und Verwaltung (BOV) Beispiel: Bundesamt für Organisation und Verwaltung (BOV) Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Postfach 20 03 63 53133 Tel.: +49 228 99

Mehr

Welche häufig gemachten Datenschutz-Fehler Sie jetzt ganz einfach vermeiden können.

Welche häufig gemachten Datenschutz-Fehler Sie jetzt ganz einfach vermeiden können. Welche häufig gemachten Datenschutz-Fehler Sie jetzt ganz einfach vermeiden können. Wird gegen das BDSG verstoßen, indem unrechtmäßigerweise personenbezogene Daten erhoben, verarbeitet oder genutzt werden,

Mehr

Empfehlungen für die Verwendung von Sciebo (Sync & Share NRW)

Empfehlungen für die Verwendung von Sciebo (Sync & Share NRW) Stand 06. März 2015 Empfehlungen für die Verwendung von Sciebo (Sync & Share NRW) IV-Sicherheitsteam der WWU Juni 2014, angepasst für Mitglieder und Angehörige der FH Köln Dieses Dokument, das mit freundlicher

Mehr

Herausforderungen im Personalcontrolling

Herausforderungen im Personalcontrolling Herausforderungen im Personalcontrolling Datum: Präsentation: 13. Oktober 2015 Dr. Andreas Feichter www.contrast.at Aktueller Befund zur Unternehmensplanung Die Qualität des Personalcontrollings wird in

Mehr

IT Sicherheitsleitlinie der DATAGROUP

IT Sicherheitsleitlinie der DATAGROUP IT Sicherheitsleitlinie der DATAGROUP Dezember 2011 Dr. Tobias Hüttner Version 2.0 Seite 1 von 5 Änderungshistorie IT Sicherheitsleitlinie der DATAGROUP In der nachfolgenden Tabelle werden alle Änderungen

Mehr