Deutsche Cloud-Anbieter müssen die aktuelle Aufmerksamkeit

Größe: px
Ab Seite anzeigen:

Download "Deutsche Cloud-Anbieter müssen die aktuelle Aufmerksamkeit"

Transkript

1 Informationsdienst Liebe Leserin, lieber Leser, gerade weil die aktuellen Enthüllungen über neugierige Nachrichtendienste Cloud-Anwender nachdenklich machen werden, sind die neuen Bausteine zum Thema Cloud aus dem BSI eine willkommene Nachricht. Die Cloud hat im Ansatz nichts von ihrer Attraktivität für viele Firmen verloren, solange die Vertraulichkeit der Daten gewährleistet ist. Und diese Vertraulichkeit kann durch klare Vorgaben zu Prozessen und technischen Maßnahmen wie im IT-Grundschutz unterstützt werden. Interview: Deutsche Cloud-Anbieter müssen die aktuelle Aufmerksamkeit nutzen Seite 107 Kolumne: IT-Grundschutz nach BSI strategisch planen Seite 109 BSI treibt Cloud-Unterstützung voran Seite 111 Rechtekontrolle erleichtert Grundschutzkonformität Seite 113 Deutsche Cloud-Anbieter müssen die aktuelle Aufmerksamkeit nutzen Max Schulze, Analyst, techconsult Elmar Török, bits+bites Max Schulze ist in den Bereichen Anbieter- und professioneller Anwenderberatung für die techconsult GmbH tätig und deckt dabei die Kompetenzfelder Data Center Automation, Business Process Management sowie Cloud Computing ab. Er hat Wirtschaftswissenschaften mit den Schwerpunkten Wirtschaftsinformatik und Private Public Management studiert und war nach dem Studium als Diplom-Ökonom mehrere Jahre als IT Consultant bei einer Unternehmensberatung tätig. IT-Grundschutz: Herr Schulze, gerade wurde die Cloud als legitimes Element innerhalb der IT-Infrastruktur gesehen, da zeigen die Enthüllungen von Herrn Snowden, dass wenig sicher ist, was die eigenen Rechner verlässt und im Netz lagert oder unterwegs ist. Wird das der Ausbreitung von Cloud-Diensten nachhaltig schaden? Schulze: Generell zeigen die veröffentlichten Spionageskandale, dass die Bedenken und Sorgen gerade bei so genannten Cloud-Gegnern oder Unternehmen, die von der Einführung von Cloud Services noch nicht ganz überzeugt waren, wieder verstärkt zugenommen haben. Der wirklich große Schaden, bezogen auf PRISM und Cloud Computing, dürfte bei den amerikanischen Cloud-Anbietern liegen, deren Cloud-Geschäft auch in Deutschland beheimatet ist. Eine der wichtigsten Komponenten bei Cloud-Lösungen, nämlich das Vertrauen in den Anbieter und dessen Sicherheit zu gewährleisten, dürfte nachhaltig gestört sein. IT-Grundschutz: Daten sind laut Snowden vor allem gefährdet, wenn sie die Landesgrenzen überschreiten, weil die NSA und andere Dienste große Aggregator-Leitungen anzapfen. Sorgt das für mehr Interesse bei den Kunden, einen lokalen, also deutschen Cloud-Provider zu nutzen? Schulze: Die Cloud-Technologie hat viele Vorteile, besonders die des Flexibilitätszuwachses und der Kostenreduzierung. Diese verpuffen jedoch sehr schnell, wenn elementare Kriterien wie umfassender Schutz der Daten, hinreichende Detaillierung des Angebots und vor allem Standortfragen nicht klar definiert werden. PRISM hat Cloud- Anbietern, die auf Cloud-Services made in Germany setzen, neuen Aufschwung gebracht. Auf die seit Jahren bekannten Effektivitätsgewinne durch den Einsatz der Cloud- Technologie möchten wohl die wenigsten Unternehmen zukünftig verzichten, daher werden die Wege zwangsläufig zum Serverstandort Deutschland mit seinem strengen 107

2 Studien und Analysen 108 Datenschutzrecht führen. Es liegt jetzt an den Cloud-Anbietern selbst, die neu gewonnene Aufmerksamkeit für sich erfolgreich zu nutzen und an der Justiz, eine glaubwürdige Datenschutzverordnung für Europa durchzusetzen. IT-Grundschutz: Worauf sollten Anwender hinsichtlich Datenschutz und Verfügbarkeit achten, wenn sie Cloud-Technik und einen Cloud-Provider wählen? Schulze: Nach wie vor gilt es vor dem Einsatz von Cloud-Lösungen abzuwägen, welche Daten ein Höchstmaß an Sicherheit benötigen und welche Daten geringerem Sicherheitsstandard unterliegen können. Nach der detaillierten Analyse der Gefährdungspotenziale können die Unternehmen mit einem seriösen und zuverlässigen Cloud-Partner ein hybrides Cloud-Modell ent wickeln, um die Vorteile einer Private- und einer Public-Cloud zu nutzen. Höhere Priorität als bisher sollte auf End-to-End-Sicherheitsmaßnahmen gelegt werden, bei denen der Schutz der Informationen und nicht von Systemen oder Netzen im Fokus steht. Nach Umsetzungen dieser Anforderungen sollte ein gesundes Mittelmaß zwischen den bestehenden Risiken, den Umsetzungskosten und des zu erwartenden Mehrwerts durch die fokussierte Cloud-Leistung erkennbar sein. IT-Grundschutz: Haben Ihrer Ansicht nach kleine Unternehmen und Mittelständler bereits das notwendige Wissen, um eine optimale Auswahl zu treffen? Oder lohnt sich der Einsatz eines Beraters in jedem Fall? Schulze: Auf der Suche nach einem geeigneten Cloud Service stehen zumeist kleinere Unternehmen mit wenig IT-Fachpersonal vor einem undurchsichtigen und vielschichtigen Cloud-Dschungel. Um mehr Transparenz zu erhalten, kann die Inanspruchnahme von externen Beratern definitiv sinnvoll sein. Zwar ist der Einsatz von Unternehmensberatern kostspielig, jedoch werden diese Kosten bei der Einführung von umfassenden Cloud Services miteingerechnet und helfen den Anwenderunternehmen zu einer realistischen Einschätzung ihres Bedarfes bezogen auf die Cloud-Technologie. Dazu gehört eine IST-Analyse der unternehmenseigenen IT-Ressourcen im Vergleich zu den analysierten zukünftigen Cloud-Anschaffungen, die für den nachhaltigen Erfolg des Unternehmens notwendig werden. Die Bewertung der Ergebnisse setzt dabei spezifisches Cloud-Knowhow voraus, welches gerade in kleineren Unternehmen mit Fokus auf andere Geschäftsfelder in der Form nicht bereitgestellt werden kann. IT-Grundschutz: Bislang boten die klassischen IT-Zertifizierungen wie ISO oder BSI IT-Grundschutz wenig bis keine Hilfestellung bei Cloud-Angeboten. Glauben Sie, dass das der Verbreitung und Akzeptanz geschadet hat? Schulze: Zertifizierungen wie ISO können gerade bei mittelständischen Anwenderunternehmen Vertrauen hinsichtlich der zu erwartenden Sicherheitsstrategien und Verfahren eines Cloud-Anbieters schaffen und schaden daher nicht bei der Verbreitung oder Akzeptanz von Cloud Services. In Anbetracht der gestiegenen Sensibilität gegenüber Cloud-Angeboten wird sich die Cloud-Branche jedoch stärker denn je für einen transparenten und detaillierten Cloud-Markt stark machen müssen. Anwenderunternehmen erwarten von ihren Cloud-Anbietern die Vorhaltung einer ausreichenden Liquidität sowie detailliertes Fach-Know-how und vorzeigbare Referenzprojekte sowie Innovationsfähigkeit, um langfristig von der Cloud-Technologie profitieren zu können. IT-Grundschutz: Wenn die Daten in der Cloud liegen, fehlt letztendlich der physische Zugriff darauf. Wie kann man sicherstellen, dass die Daten, zum Beispiel nach der Kündigung des Vertrags, sicher gelöscht werden? Schulze: In der Vereinbarung zwischen Auftraggeber und Dienstleister für den entsprechenden Cloud Service muss auch die vollständige Löschung der Daten nach der Kündigung des Vertrages festgehalten sein. Wichtig ist dabei, dass Duplikate ebenfalls in den Löschvorgang einbezogen werden. IT-Grundschutz: Angenommen, der Kunde will von einem zum anderen Cloud-Anbieter wechseln. Gibt es Migrationsstrategien für die Daten und Anwendungen? Oder ist es in der Regel einfacher alles zu löschen und beim neuen Anbieter frisch aufzusetzen? Schulze: Seitdem Cloud Computing zunehmend als strategisches Werkzeug Einzug in die Unternehmen erhält, wachsen auch die Bestrebungen der Cloud-Anbieter, Standards bei den Schnittstellen zur Verfügung zu stellen. Interoperabilität und weitreichende Standards bei Cloud-Services lassen sich schon seit längerem miteinander verbinden. Einheitliche Interfaces mit dazugehörigen Adaptern ermöglichen die Migration eines Cloud Services zwischen verschiedenen öffentlichen und privaten Clouds. Zusätzlich sorgen autonome Abstraktionsebenen dafür, dass Applikationen und Hardware voneinander getrennt werden und Cloud Services leichter von der aufgebauten IT-Infrastruktur abgekoppelt werden können. Eine entsprechende Migrationsstrategie sollte demnach möglich sein, um den reibungslosen Wechsel zwischen verschiedenen Cloud-Anbietern zu ermöglichen. IT-Grundschutz: Was raten Sie Cloudinteressierten Anwendern hinsichtlich des Backups? Selbst In-House lösen oder über den Cloud-Provider abwickeln lassen? Schulze: Die Anwenderunterneh-

3 men sollten im Vorfeld objektiv klären (möglicherweise durch externe Beratung), welche Daten ein Höchstmaß an Sicherheit benötigen und inwiefern In-House diese Sicherheit gewährleistet werden kann. Sollte nach der detaillierten Analyse der Gefährdungspotenziale ein Ergebnis vorliegen, welches Backup-Möglichkeiten bei Cloud- Providern offeriert, die ein höheres Sicherheitniveau bieten als das eigene Unternehmen, ist auch eine Backup-on-demand-Strategie interessant. IT-Grundschutz: Zu guter Letzt: Es gibt wohl keinen Zweifel daran, dass Daten durch ausländische Nachrichtendienste in großem Maß abgegriffen (nicht unbedingt auch ausgewertet) werden. Können Sie einen Trend erkennen, dass deutsche Unternehmen ihre Geschäftsbeziehungen mit (vor allem) amerikanischen Cloud-Providern zurückfahren und nach inländischen Alternativen suchen? Schulze: Unsere Umfragen belegen, dass viele Mittelständler mit Sorge groß angelegte Kooperationen deutscher Cloud-Anbieter über die Landesgrenzen hinweg betrachten. Die Anwenderunternehmen befürchten dadurch den nachhaltigen Kontrollverlust über ihre IT-Systeme, wenn ausländische Cloud-Services hinter deutschen Anbietern stehen und damit auch Max Schulze ist Analyst bei techconsult und dort unter anderem spezialisiert auf das Thema Cloud verbundene rechtliche Unsicherheiten. Daher wird dieses Thema in naher Zukunft eine zentrale Rolle spielen. IT-Grundschutz nach BSI strategisch planen Teil 6: Dokumentation eine Schattenwelt (nicht nur) in der IT Felix Widmer, Inhaber, Tan Consulting Was nicht aufgeschrieben wurde, existiert nicht. Die goldene Regel jeder Dokumentation gilt natürlich ebenso beim Einsatz von IT-Sicherheitsstandards wie dem IT-Grundschutz. Dokumentation ist kein Hexenwerk, hat aber nachhaltigen Einfluss darauf, ob sich IT-Sicherheitsniveaus über längere Zeiträume halten und verbessern lassen. Ein Information Security Management System (ISMS) funktioniert nur in Kombination mit einer ordnungsmäßigen und jederzeit aktuellen Dokumentation. Das ist auch unabhängig von Standards oder Compliance-Vorgaben. ISO fordert beispielsweise ganz klar, dass Maßnahmen auf Managemententscheide und Strategien zurückgeführt werden können. Prozesse müssen messbare und reproduzierbare Ergebnisse liefern. Ohne Dokumentation ist ein ISMS eine Alibiübung und die Ressourcen nicht wert, die dadurch belegt werden. Schritt 1: Dokumentation planen In einem ersten Schritt muss das Dokumentationskonzept erstellt werden. Im Zentrum stehen dabei die für den konkreten Fall relevanten Gesetze, Frameworks, Normen und Standards. Konfuzius sagte: Wenn die Sprache nicht stimmt, dann ist das, was gesagt wird, nicht das, was gemeint ist. Ist das, was gesagt wird, nicht das, was gemeint ist, so kommen keine guten Werke zustande. Kommunikation ist die Basis für die Umsetzung des Dokumentationskonzepts. Mitarbeitende müssen aktiv in den Dokumentationsprozess einbezogen werden. Dokumentationen müssen auch zielgruppenorientiert sein. So ist zum Beispiel eine technische Detailbeschreibung für den Endbenutzer weder verständlich noch relevant. Dokumentationen müssen einfach und jederzeit verfügbar sein. Dazu gibt es heute mehr Möglichkeiten denn je. Online-Hilfen und Wikis, Content Management Systeme (CMS) und Wissensdatenbanken 109

4 Wurden fremde Bestandteile der Dokumentation identifiziert und gekennzeichnet? Ist sichergestellt, dass nur aktuelle Versionen verfügbar sind? Wird die Dokumentation Richtlinien-konform archiviert? Schritt 4: Dokumentation aktualisieren 110 Ob national oder international: Alle Standards verlangen eine korrekte Dokumentation können alle, richtig eingesetzt, den technischen Unterbau für die Dokumentation bilden. Darüber hinaus muss die Dokumentationserstellung standardisiert sein. Es müssen verschiedene Publikationsplattformen bedient werden können, dazu gehören auch mobile Endgeräte. Der Inhalt muss aus einer Quelle zielorientiert gepflegt und generiert werden. Und natürlich hilft die beste Dokumentation nichts, wenn sie nicht gelesen wird. Das Verständnis der Dokumentation muss mit interaktiven Wissensabfragen trainiert und überprüft werden. Schritt 2: Dokumentation erstellen Am Beispiel ISMS mit Konformität zu ISO bedeutet das unter anderem, die Erstellung folgender Dokumente: Sicherheitsleitbild und Zielsetzung Umfang des ISMS Verfahren und Kontrollen zur Unterstützung des ISMS Beschreibung der Methodik der Risikobewertung Risikobewertung Vorgehen zur Verhinderung, Beseitigung und Reduzierung von Risiken Verfahrensbeschreibungen, um die effektive Planung, Durchführung und Kontrolle der Sicherheitsprozesse zu gewährleisten Beschreibung wirksamer Kontrollen. Schritt 3: Dokumentation überprüfen Dokumentation ist keine Eintagsfliege, sie lebt mit den beschriebenen Prozessen und Ergebnissen. Bevor die Dokumente veröffentlicht und genutzt werden, muss klar sein, dass sie richtig und angemessen sind und korrekt aufbewahrt werden. Überprüft werden müssen unter anderem folgende Punkte: Ist die Dokumentation angemessen hinsichtlich Ziel, Zweck, Umfang und Zielgruppe? Ist die Dokumentation noch aktuell? Lassen sich Review, Aktualisierung und erneute Freigabe nach Änderungen nachvollziehen? Sind alle Dokumente eindeutig identifizierbar sein, auch im Kontext mit anderen Dokumenten? Wird unnötige Redundanz vermieden? Sind alle Bestandteile der Dokumentation korrekt klassifiziert und vor unbefugtem Zugriff geschützt? Prozesse und Strategien verändern sich ebenso wie Hard- und Software. Dokumentation ist kein statischer Block, sondern eine flexible Ansammlung dynamischer Informationen. Viele nützliche Erkenntnisse entstehen gerade dadurch, dass die Historie eines Vorgangs sichtbar und nachvollziehbar wird. Aktualisierung bedeutet vor allem: Dokumente an die aktuellen Gegebenheiten anzupassen. Dazu gehören alle Bereiche, Prozessbeschreibungen ebenso wie durchgeführte Kontrollen und Leistungskennzahlen. Alte Dokumente müssen nachvollziehbar aus dem Verkehr gezogen und konform archiviert werden. Die Aktualisierung muss im Rahmen eines Change Management Prozesses erfolgen. Nur so wird sichergestellt, dass auch das Dokumentationskonzept und die Planung kontinuierlich und nachvollziehbar verbessert werden. Zusammenfassung Dokumentation und Kommunikation sind zwingende Voraussetzungen für ein funktionierendes ISMS. Das Wissen der Mitarbeitenden muss aktiv genutzt werden und teilbar sowie personenunabhängig zugänglich sein. Eine mangelhafte, fehlerhafte oder fehlende Dokumentation ist eines der größten und meist unterschätzten Geschäftsrisiken und führt früher oder später zu hohen Kosten und Reputationsschäden. Es ist höchste Zeit, die Dokumentation aus ihrem Schattendasein zu befreien.

5 Wolke erhält Siegel BSI treibt Cloud-Unterstützung voran Elmar Török, bits+bites Cloud Computing ist für die Anwender mehr denn je ein heikles Thema. Sicherheit und Datenschutz haben nach den jüngsten Enthüllungen über mitlesende Nachrichtendienste höchste Priorität. Das BSI unterstützt die Bemühungen der Nutzer durch mehrere neue Bausteine und Initiativen. Quelle: Julien Christ / pixelio.de Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird bis Ende 2013 vier Bausteine zum Thema Cloud Computing für das Informationssicherheitsmanagementsystem (ISMS) IT-Grundschutz fertig stellen. Das kündigte BSI-Präsident Michael Hange anlässlich des Zukunftskongresses Staat und Verwaltung 2013 in Berlin an. Die Bausteine Cloud- Management, Cloud-Nutzung, Webservices und Cloud-Storage gehen dabei auf Gefährdungen von Cloud-Lösungen ebenso ein wie auf wirksame Schutzmaßnahmen gegen diese Gefährdungen. Aktuell, mit neuen Prioritäten Das BSI beschäftigt sich schon seit einiger Zeit mit der Frage nach der Sicherheit von Cloud-Angeboten und hatte bereits im Mai 2011 ein Eckpunktepapier veröffentlicht (1), das einen Überblick über die wesentlichen Felder von Cloud Computing gab, in denen Sicherheit umgesetzt werden sollte. Eine neue Version des Eckpunktepapiers ist zum derzeitigen Stand nicht geplant, es ist nach Ansicht des BSI noch aktuell. Lediglich die Prioritäten bei den Anwendern haben sich verschoben, so stehen Fragen des Datenschutzes heute stärker im Vordergrund als In erster Annäherung ist Cloud eine Spielart des Outsourcings und der Umgang damit ist in zahlreichen Grundschutz-Dokumenten, auch in den Grundschutz-Katalogen, eindeutig für die verschiedenen Sicherheitsansprüche festgelegt. Einige Aspekte beim Cloud Computing jedoch sind neu und gehen über Outsourcing hinaus. Diese Aspekte ergeben sich hauptsächlich aus der Nutzung der gleichen Infrastruktur durch verschiedene Mandanten. Die vier neuen Bausteine Cloud- Management, Web-Services, Cloud- Nutzung und Cloud-Storage sollen dazu dienen, das Thema Cloud umfassend im Rahmen eines ISMS abzubilden. Die Dokumente sind komplementär zu bestehenden Bausteinen. Beispielsweise ergänzt Hilfe für KMU Einfaches Notfallmanagement Wie auf dem Deutschen IT-Sicherheitskongress angekündigt, steht eine weitere Veröffentlichung bevor. Eine Studie zum Thema Notfallmanagement mit der Cloud wird voraussichtlich zur it-sa Anfang Oktober erscheinen. Dabei geht es darum, kleinen und mittelständischen Unternehmen (KMU) zu zeigen, wie sie die oft vorhandene Virtualisierungstechnik nutzen können, um schnell und kostengünstig die Verfügbarkeit der IT-gestützten Geschäftsprozesse zu erhöhen. Cloud-Storage den Baustein B Speichersysteme und Speichernetze um technische Erweiterungen wie Fibre-Channel. Web-Services fügt weitere technische Aspekte zum kürzlich vorgestellten Baustein Web- Anwendungen hinzu. Die Bausteine werden entwickelt, um typische Komponenten und damit auch typische Gefährdungen, Schwachstellen und Risiken in einer sehr heterogenen Umgebung wie einem Cloud-System zu identifizieren. Aus konkreten Schwachstellen ergeben sich auch konkrete Umsetzungshinweise für das Sicherheitsmanagement und Empfehlungen für passende Standard- Sicherheitsmaßnahmen. Als Ziel gibt das BSI an, Cloud-spezifische Anforderungen komplett in den IT-Grundschutz zu integrieren und Cloud-Angebote nach ISO auf Basis von IT-Grundschutz zertifizierbar zu machen. Mittelfristig muss dazu der BSI-Standard um Cloud-spezifische Aspekte ergänzt werden. Die Inhalte der Bausteine sind darüber hinaus auch für die Risikoanalyse und Sicherheitskonzeption für Anwender des nativen ISO Standards von großem Nutzen. Allerdings dürfte nicht viel Aufwand nötig sein, um den Standard anzupassen. Netzpläne virtueller Infrastrukturen sind bereits im Grundschutz enthalten und schon heute haben zwei Institutionen eine 111

6 IT-Grundschutz-Zertifizierung, deren Serviceangebote als Cloud bezeichnet werden könnte. Das reine ISMS passt problemlos ins Zertifizierungsschema, andere Bereiche, die bei Cloud-Angeboten besonders wichtig sind, wie SLAs und Datenschutz, kann und darf das BSI ohnehin nicht bewerten. Vorabversionen bis Jahresende Der Baustein Cloud-Nutzung soll bis Ende des Jahres in einer Vorabversion verfügbar sein. Er richtet sich an Sicherheitsverantwortliche, die vor der Herausforderung stehen, Cloud Services im Unternehmen einzuführen und alle relevanten Gefährdungen im Vorfeld erkennen müssen. Auch bestehende Maßnahmen und Bausteine der Grundschutz Kataloge werden überarbeitet, um sie für Cloud-Computing anzupassen. So Plattformen für das Cloud Computing überprüft und zertifiziert werden können. Als Nationale IT- und Cyber- Sicherheitsbehörde sieht das BSI hier dringenden Handlungsbedarf und arbeitet daher unter Einbeziehung der Wirtschaft an entsprechenden IT-Grundschutz-Bausteinen, die dies ermöglichen. Neben den eigenen IT-Standards bringt sich das BSI auch in zahlreichen Cloud-Initiativen ein. Innerhalb der EU sind das beispielsweise Cloud Standards Coordination und European Cloud Partnership. In Deutschland werden die Technologieprogramme des BMWi Trusted Cloud und des BMBF (Forschung für Sicheres Cloud Computing) unterstützt. Neue Cloud-Standards Hilfe für Cloud-willige, aber unsichere Anwender kommt auch von anderer Seite. ISO und IEC verab- Verschlüsselung ist im Cloud- Umfeld ohnehin die wichtigste Maßnahme für Datenschutz und den Kampf gegen ungewollte Mitleser. Inzwischen gehen die Empfehlungen dahin, alle Phasen der Cloud- Nutzung auf dem PC, während der Übertragung und in der Cloud selbst durch harte Kryptografie zu sichern. Viele der kommerziellen Cloud-Anbieter mit eigenen Clients wie Boxcryptor und Wuala haben diesen Trend erkannt und bieten Verschlüsselung innerhalb des Clients an. Für größere Unternehmen sind solche Lösungen eher uninteressant, hier kommen klassische Enterprise- Verschlüsselungslösungen wie fideas von AppliedSecurity zum Einsatz. Dass die Verbindung zum Cloud- Provider mindestens über SSL abgesichert werden muss, ist ohnehin selbstverständlich. Neben den Angeboten des Cloud-Providers, die Daten auch in der Cloud zu verschlüsseln, gibt es mittlerweile Hersteller wie die Chemnitzer Firma HiCrypt, die anbieten, innerhalb der Cloud aktiv zu werden und die dort abgelegten Inhalte zu verschlüsseln. Vermutlich werden im Rahmen der aktuellen Veröffentlichungen bald noch zahlreiche weitere Firmen auf den Zug aufspringen und Kryptografie für die Cloud auf den Markt bringen. 112 Hilfe in Sicht: Neue Bausteine des BSI unterstützen Cloud-Betreiber und Anwender. Quelle: Sebastian von Thadden / pixelio.de wird B 4.1 Heterogene Netze um das Thema virtuelle Netze erweitert und der Baustein B Router & Switche ebenso überarbeitet wie B 4.2 Netz- und Systemmanagement. BSI-Präsident Michael Hange betonte in diesem Zusammenhang: Um von den Vorteilen der Cloud profitieren zu können, müssen die Anwender Vertrauen haben, dass ihre Daten in Cloud-Diensten sicher sind. Dieses Vertrauen kann jedoch nur entstehen, wenn es unabhängige, transparente und international anerkannte Standards gibt, auf deren Grundlage schiedeten Ende 2012 den ersten Teil des ISO-Standard Er soll die Entwicklung von sicherer Software, auch im Sinne von gehosteten Anwendungen, durch klare Vorgaben erleichtern. Zahlreiche beratende Gremien wie SAFEcode, und die Cloud Security Alliance (CSA) unterstützen den neuen Standard, auch PCI/DSS (Payment Card Industry/ Data Security Standard) haben entsprechende Verweise in ihre Vorschriften aufgenommen. Ebenfalls einen Blick wert ist das Richtlinienwerk der Cloud Security Alliance zum Thema Verschlüsselung (2). Das ist noch aus einem anderen Grund wichtig. Das sichere Löschen von Daten, wie es im IT-Grundschutz vorgeschrieben und auf einer lokalen Festplatte über zahlreiche simple Methoden möglich ist, ist prinzipbedingt in der Cloud nicht möglich. Liegen die Inhalte allerdings nur verschlüsselt auf den Datenträgern des Providers, genügt es den Schlüssel zu vernichten und die Daten sind ebenfalls zerstört. (1) https://www.bsi.bund.de/de/themen/ CloudComputing/Eckpunktepapier/Eckpunktepapier_node.html (2) https://cloudsecurityalliance.org/download/ secaas-category-8-encryption-implementation-guidance/

7 So klappt der IT-Grundschutz Berechtigungsmanagement bewahrt den Überblick im Zugriffsdschungel Christian Zander, CTO, protected-networks.com GmbH Informationen und das sind heute vor allem elektronisch verfügbare Daten zählen zu den wertvollsten Gütern. Beinahe täglich berichten die Medien über Datendiebstähle in Unternehmen und Behörden. Der Täter sitzt oft genug direkt im Unternehmen. Doch Risiken im eigenen Unternehmen lassen sich durch die Umsetzung gesetzlicher Regularien wie auch durch ein gezieltes Berechtigungsmanagement stark reduzieren. Um die IT Sicherheit zu erhöhen, hilft eine individuelle Risikoanalyse. Diese bringt einen hohen Kosten- und Zeitaufwand mit sich. Eine Alternative bieten nationale wie internationale Normierungen, etwa die IT-Grundschutz-Kataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI). Sind diese eingeführt, kann die Umsetzung nach ISO/IEC 2700x- zertifiziert werden. Zahlreiche Anforderungen dieser Normierungen sowie internationaler Regularien wie SOX und PCI-DSS lassen sich mit einem softwaregestützten Berechtigungsmanagement umsetzen. Die BSI IT-Grundschutz-Kataloge etwa nennen folgende Anforderungen an IT- Systeme: Identifikation und Authentifizierung Rechteverwaltung und -kontrolle Rollentrennung zwischen Administrator, Revisor und Benutzer Protokollierung einer Rechteverletzung benutzerfreundliche Oberfläche Protokollierung der Administrationstätigkeiten Unterstützung der Protokollauswertung Warum sind fehlerhafte Zugriffsberechtigungen riskant? Es gibt zahlreiche Szenarien, in denen Zugriffsberechtigungen die Ursache für Sicherheitsvorfälle sind. Zum Beispiel, wenn einem Bankmitarbeiter gekündigt wird und er vor seinem Ausscheiden alle ihm zugänglichen Informationen kopiert und an die Steuerfahndungsbehörde verkauft. Oder in dem Fall eines externen IT- Administrators, der zwei Millionen Kundendaten eines Telekommunikationsunternehmens kopiert und weitergibt. Das Vertrauen der Kunden ist beschädigt, die Kosten für das Unternehmen enorm. Beliebt ist auch das Szenario Auszubildender. Ein Lehrling durchläuft im Rahmen seiner Ausbildung alle Abteilungen eines Unternehmens und sammelt dabei verschiedenste Zugriffsrechte ein, die ihm nie entzogen werden. Bis zum Abschluss der Lehre hat er fast unbegrenzten Zugang zu allen Bereichen der IT und kann Daten einsehen, die nur den Fachabteilungen vorbehalten sind. Der nächste Lehrling erbt, wenn mit generischem Accounts gearbeitet wird, diese Rechte, von denen niemand genau weiß, welche das eigentlich sind. Schritte zur Einführung Die grundsätzliche Frage bei der Definition einer Berechtigungsstrategie ist simpel: Wo sind die Daten und wer kann darauf zugreifen? Fast jeder Unternehmer glaubt zu wissen, wer auf welche Daten zugreifen kann. Nur kann er das auch nachweisen? Ist tatsächlich nachvollziehbar, welcher Nutzer Zugriff auf welche Daten und Ordner hat? Fast jede Organisation verfügt über geregelte Prozesse zur Berechtigungsvergabe. Gleichzeitig klagen viele Administratoren über ein undurchsichtiges Berechtigungskonzept und zahlreiche Ausnahmeregelungen. Aufgefordert durch einen Fachabteilungsleiter vergeben Administratoren als zentrale Anlaufstelle Rechte, etwa für das Active Directory, SharePoint oder Exchange. Verlässt der Mitarbeiter das Unternehmen oder wechselt er das Projekt oder in eine andere Abteilung, sollten seine Zugriffsrechte aktualisiert werden. Doch ab einer gewissen Unternehmensgröße verlieren Administratoren beinahe zwangsläufig die Übersicht über die Rechtesituation auf den zahlreichen Systemen. Die Herausforderung besteht darin, einen Überblick über all diese Veränderungen zu behalten und stets zu wissen, dass alle Mitarbeiter die für sie passenden Zugänge haben. Gewährleisten lässt sich das, wenn der eigentliche Dateneigentümer, also der Abteilungsleiter oder Projektverantwortliche, die Zugangsrechte vergibt. Er weiß, im Gegensatz zum Administrator, welcher Mitarbeiter welche Zugangsrechte benötigt und wer Mitglied seiner Abteilung ist. Damit die Vergabe von Zugriffsrechten an Nicht-IT- Profis delegiert werden kann, bedarf es einer einfachen, transparenten und schnell zu nutzenden technischen Lösung. Ideal wäre es, wenn eine Software die transparente 113

8 114 Aministration sämtlicher technischer Ressourcen, angefangen vom Fileserver über Active Directory, Exchange und SharePoint erlaubt. Grundsatzüberlegungen Beinahe jeder Mitarbeiter wird über den Umgang mit vertraulichen Daten belehrt oder unterzeichnet entsprechende Vereinbarungen. Die wenigsten missbrauchen vorsätzlich vertrauliche Daten. Aber angenommen, ein Diplomand arbeitet in der Personalabteilung und stellt fest, dass er Zugriff auf die Gehaltsdaten hat. Gelegenheit macht Diebe, heißt ein bekanntes Sprichwort. Mit einem sauberen Berechtigungsmanagement kommt ein Unternehmen der Pflicht nach, seine Mitarbeiter zu schützen, und zwar auch davor, in Versuchung zu geraten. Das reduziert die Wahrscheinlichkeit, dass Insider vertrauliche Daten weitergeben, auf die sie zufällig gestoßen sind. Schrumpfende Budgets, sowohl für Geld als auch Personalressourcen, sind in der IT weitverbreitet. Ein automatisiertes Bereitstellen und Administrieren von Zugriffsrechten, verbunden mit einer Dokumentation aller Vorgänge und automatisierten Reports, spart Zeit und Geld bei einer gleichzeitigen Steigerung von Bedienkomfort, Effizienz und Sicherheit. Ein erheblicher Unsicherheitsfaktor bei der Berechtigungsvergabe ist die Schnittstelle zwischen Administrator und Fachabteilung. Administratoren haben die Kompetenz, um Berechtigungen zu ändern. Abteilungsleiter wissen, wer tatsächlich in ihrer Abteilung welche Zugriffsrechte benötigt. Eine Softwarelösung sollte es den Dateieigentümern ermöglichen festzulegen, wer Zugriff auf ihre Daten hat. Als Bonus effekt steigt die Sensibilität für den Datenschutz enorm. Kann jeder Abteilungsleiter selbst bestimmen, wer auf diese Daten zugreifen kann, dann ist er auch in der Lage, diesen Zugriff sorgsam zu vergeben und übernimmt damit Verantwortung. Wenn die Verantwortlichen jederzeit überprüfen können, wer Zugriff auf ihre Daten hat, vermindern sie das Risiko einer Datenpanne signifikant. Damit sich so eine Lösung auch im Alltag durchsetzt, muss sie einfach zu verstehen sein. Der IT-Abteilung bleibt dann mehr Zeit, sich ihren eigentlichen Aufgaben zu widmen. Access-Rights-Management optimieren Für die Umsetzung ist es zunächst hilfreich, an einem konkreten Projekt die manuellen Prozesse zur Rechtevergabe zu standardisieren. Das beginnt beim Anlegen eines neuen Benutzers, indem Funktionsrollen erstellt werden. Rollenberechtigungen sind auf lange Sicht einfacher zu handhaben als Personenberechtigungen und erlauben es, neuen Mitarbeitern schnell die nötigen Rechte zuzuweisen. Zunächst ist mit dieser Vorgehensweise viel Aufwand verbunden, denn die Rollen müssen natürlich genau definiert und mit den passenden Rechten ausgestattet sein. Aber auf lange Sicht spart der Ansatz Zeit und erlaubt effizientere Prozesse. Auch im Hinblick auf anstehende Audits ist hier ein erster Grundstein gelegt. Softwaregestütztes Berechtigungsmanagement bietet zahlreiche Vorteile. Für das Management bedeutet es einen Schritt hin zur Haftungsbefreiung, weil geeignete Datenschutzmaßnahmen umgesetzt werden. Für den Administrator ist es eine Arbeitserleichterung und zugleich eine Absicherung. Er kann nachweisen, wer welche Änderungen vorgenommen hat und gerät bei Sicherheitsvorfällen nicht unnötig in die Schusslinie. Der Anwender selbst erlebt Datenschutz als etwas, das zu seinem Arbeitsalltag gehört. Er ist nicht mehr darauf angewiesen, wegen jeder Änderung den Support zu kontaktieren, und er weiß, dass auch seine persönlichen Daten gut geschützt werden. Und am Ende muss niemand fürchten, dass doch Unbefugte versehentlich Einblicke erhalten, die ihnen verborgen bleiben sollten. Und führe uns nicht in Versuchung, verliert seinen Schrecken, denn softwaregestütztes Berechtigungsmanagement verlässt sich nicht auf den guten Glauben, sondern setzt transparent durch, wer Zugriff auf welche Daten hat. Checkliste: Acht Punkte für IT-Grundschutz-konformes Berechtigungsmanagement Jeder bekommt nur, was er braucht Die Rechtevergabe erfolgt nach dem need-to-know- und dem least-privileges-prinzip Jeder ist einzigartig Es gibt eine Rollentrennung zwischen Administrator, Revisor und Benutzer, d.h. zwischen Diensteverwaltung und Datenverwaltung Vier schlägt zwei Benutzerrollen werden nach dem Vier-Augen-Prinzip vergeben, eventuell auch durch den Fachverantwortlichen mit Autorisierung durch den Administrator Zeit ist Geld Zugriffsrechte müssen schnell vergeben, geändert und entzogen werden können Maßgeschneidert Das Rollenkonzept soll sich an den organisatorischen und geschäftlichen Anforderungen orientieren Streitschlichter Rollenkonflikte werden schon bei der Definition aufgelöst Vertrauen ist gut, aber zu wenig Alle Rollenänderungen werden dokumentiert und im Idealfall automatisch als Report ausgegeben Alarmglocken für den Notfall Bei unerlaubten Zugriffen sollte das System den Administrator alarmieren

Cloud Computing mit IT-Grundschutz

Cloud Computing mit IT-Grundschutz Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung

Mehr

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Cloud Computing aus Sicht von Datensicherheit und Datenschutz Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen

Mehr

Informationssicherheit und Compliance-Erfüllung econet Der Weg zum sicheren Umgang mit Informationen und Zugriffsrechten Wohl nirgends in der IT sind gewachsene Strukturen riskanter, als in Dateisystemen

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Cloud-Computing. Selina Oertli KBW 28.10.2014

Cloud-Computing. Selina Oertli KBW 28.10.2014 2014 Cloud-Computing Selina Oertli KBW 0 28.10.2014 Inhalt Cloud-Computing... 2 Was ist eine Cloud?... 2 Wozu kann eine Cloud gebraucht werden?... 2 Wie sicher sind die Daten in der Cloud?... 2 Wie sieht

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

IT-Grundschutz: Cloud-Bausteine

IT-Grundschutz: Cloud-Bausteine IT-Grundschutz: Cloud-Bausteine Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 12.09.2013 Was sind die Risiken? (Public

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Cloud Computing für die öffentliche Hand

Cloud Computing für die öffentliche Hand Hintergrundinformationen Cloud Computing für die öffentliche Hand Die IT-Verantwortlichen in allen Bereichen der öffentlichen Verwaltung Bund, Länder und Kommunen sehen sich den gleichen drei Herausforderungen

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 1. IT-Grundschutz-Tag 2013 27.02.2013 Inhalte

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Sicherheitsnachweise für elektronische Patientenakten

Sicherheitsnachweise für elektronische Patientenakten Copyright 2000-2011, AuthentiDate International AG Sicherheitsnachweise für elektronische Patientenakten Christian Schmitz Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 2 Systemziele

Mehr

IT-Grundschutz-Bausteine Cloud Computing

IT-Grundschutz-Bausteine Cloud Computing IT-Grundschutz-Bausteine Cloud Computing, BSI Referat B22 Analyse von Techniktrends in der Informationssicherheit 3. Cyber-Sicherheits-Tag für Teilnehmer der Allianz für Cyber-Sicherheit in der Spielbank

Mehr

Datenschutz und Informationssicherheit 03.09.2015

Datenschutz und Informationssicherheit 03.09.2015 Datenschutz und Informationssicherheit 03.09.2015 Vertrauen in öffentliche Institutionen in Deutschland ist hoch Studie der GfK: Global Trust Report (2015) Staatliche Institutionen führen das Vertrauensranking

Mehr

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten Cloud Computing Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für 02.06.2015 1 Dozenten Katharina Wiatr Referentin für Beschäftigtendatenschutz (030) 13889 205; wiatr@datenschutz-berlin.de

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz IT-Grundschutz-Tag 09.10.2013

Mehr

Der starke Partner für Ihre IT-Umgebung.

Der starke Partner für Ihre IT-Umgebung. Der starke Partner für Ihre IT-Umgebung. Leistungsfähig. Verlässlich. Mittelständisch. www.michael-wessel.de IT-Service für den Mittelstand Leidenschaft und Erfahrung für Ihren Erfolg. Von der Analyse

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Claranet Managed Cloud. Deutschlands flexibles Leistungsplus für Unternehmen. VDC Virtual Data Centre

Claranet Managed Cloud. Deutschlands flexibles Leistungsplus für Unternehmen. VDC Virtual Data Centre Claranet Managed Cloud Deutschlands flexibles Leistungsplus für Unternehmen. VDC Virtual Data Centre Claranet Managed Cloud Einfach schneller mehr: Das Leistungsplus des Virtual Data Centre. Die Anforderungen

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2013 09.10.2013 Agenda

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2014 20.03.2014

Mehr

Fileserver Berechtigungen und Active Directory im Griff. protecting companies from the inside out

Fileserver Berechtigungen und Active Directory im Griff. protecting companies from the inside out Fileserver Berechtigungen und Active Directory im Griff 8MAN - Berechtigungen auf einen Blick Ihre Situation Große Datenmengen mit den unterschiedlichsten Inhalten und Formaten türmen sich auf Unternehmensservern

Mehr

protecting companies from the inside out

protecting companies from the inside out protecting companies from the inside out 1 Integriertes Berechtigungsmanagement Futuredat IT Forum 15. Mai 2014 80% der Daten liegen unstrukturiert als ppt, doc und excel vor Quelle: Meryll Lynch 80% der

Mehr

Neues vom IT-Grundschutz: Ausblick und Diskussion

Neues vom IT-Grundschutz: Ausblick und Diskussion Neues vom IT-Grundschutz: Ausblick und Diskussion Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2014

Mehr

MS SharePoint stellt Ihnen ein Intranet Portal zur Verfügung. Sie können Ihre Inhalte weltweit verfügbar machen auch für mobile Endgeräte.

MS SharePoint stellt Ihnen ein Intranet Portal zur Verfügung. Sie können Ihre Inhalte weltweit verfügbar machen auch für mobile Endgeräte. Microsoft SharePoint Microsoft SharePoint ist die Business Plattform für Zusammenarbeit im Unternehmen und im Web. Der MS SharePoint vereinfacht die Zusammenarbeit Ihrer Mitarbeiter. Durch die Verbindung

Mehr

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey Cloud Computing Datenschutzrechtliche Aspekte Diplom-Informatiker Hanns-Wilhelm Heibey Berliner Beauftragter für Datenschutz und Informationsfreiheit Was ist Cloud Computing? Nutzung von IT-Dienstleistungen,

Mehr

CA Business Service Insight

CA Business Service Insight PRODUKTBLATT: CA Business Service Insight CA Business Service Insight agility made possible Mit CA Business Service Insight wissen Sie, welche Services in Ihrem Unternehmen verwendet werden. Sie können

Mehr

Cloud Governance in deutschen Unternehmen eine Standortbestimmung

Cloud Governance in deutschen Unternehmen eine Standortbestimmung Cloud Governance in deutschen Unternehmen eine Standortbestimmung ISACA Fokus Event Meet & Explore IT Sicherheit & Cloud Aleksei Resetko, CISA, CISSP PricewaterhouseCoopers AG WPG 2015 ISACA Germany Chapter

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

Cloud? Vertrauen kann sich nur entwickeln. Genau wie Ihr Business.

Cloud? Vertrauen kann sich nur entwickeln. Genau wie Ihr Business. Cloud? Vertrauen kann sich nur entwickeln. Genau wie Ihr Business. Inhaltsverzeichnis Wie der moderne CIO den Übergang von IT-Infrastruktur- Optimierung zu Innovation meistert Wie kann ich Elemente meiner

Mehr

Cloud Computing Potenziale für die öffentliche Verwaltung führungskräfte forum im HHI, Berlin

Cloud Computing Potenziale für die öffentliche Verwaltung führungskräfte forum im HHI, Berlin Cloud Computing Potenziale für die öffentliche Verwaltung führungskräfte forum im HHI, Berlin Dr. Klaus-Peter Eckert, Dr. Peter Deussen Fraunhofer FOKUS - Berlin 18.10.2011 Agenda Technische Voraussetzungen

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 1. IT-Grundschutz-Tag 2013 27.02.2013 Inhalte

Mehr

Cloud Services - Innovationspotential für Unternehmen

Cloud Services - Innovationspotential für Unternehmen Cloud Services - Innovationspotential für Unternehmen Oliver Möcklin Geschäftsführer ORGATEAM GmbH Beratung auf Augenhöhe Was macht ORGATEAM BSI Compliance IT Strategie Rechenzentrumsplanung Chancen- und

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Mehr als Cloud Computing. force : cloud

Mehr als Cloud Computing. force : cloud Mehr als Cloud Computing force : cloud Force Net Mehr als ein IT-Unternehmen Force Net ist ein Infrastruktur- und Cloud-Service-Provider, der die Lücke zwischen interner und externer IT schließt. Force

Mehr

Identity und Access Management im Kontext der Cloud. Horst Bratfisch Raiffeisen Informatik GmbH

Identity und Access Management im Kontext der Cloud. Horst Bratfisch Raiffeisen Informatik GmbH Identity und Access Management im Kontext der Cloud Horst Bratfisch Raiffeisen Informatik GmbH Raiffeisen Informatik Konzern Länder: 29 Standorte: 100 Mitarbeiter: 2.800 Umsatz 2011: 1,4 Mrd. Raiffeisen

Mehr

Schatten-IT Wie Sie die Kontrolle über Ihr Netzwerk zurück erlangen. Dipl.-Ing. Lutz Zeutzius Senior IT-Consultant

Schatten-IT Wie Sie die Kontrolle über Ihr Netzwerk zurück erlangen. Dipl.-Ing. Lutz Zeutzius Senior IT-Consultant Schatten-IT Wie Sie die Kontrolle über Ihr Netzwerk zurück erlangen Dipl.-Ing. Lutz Zeutzius Senior IT-Consultant Fünfzehnjährige Erfahrung bei der IT-Beratung und Umsetzung von IT-Projekten bei mittelständischen

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

Wachsende Anzahl kommunaler Aufgaben Schwindende Finanzspielräume Demografischer Wandel Hohe IT-Ausstattung der Arbeitsplätze > Technische

Wachsende Anzahl kommunaler Aufgaben Schwindende Finanzspielräume Demografischer Wandel Hohe IT-Ausstattung der Arbeitsplätze > Technische Wachsende Anzahl kommunaler Aufgaben Schwindende Finanzspielräume Demografischer Wandel Hohe IT-Ausstattung der Arbeitsplätze > Technische Komplexität steigt > Wachsende Abhängigkeit von der IT Steigende

Mehr

Risikoanalyse mit der OCTAVE-Methode

Risikoanalyse mit der OCTAVE-Methode Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte

Mehr

wikima4 mesaforte firefighter for SAP Applications

wikima4 mesaforte firefighter for SAP Applications 1 wikima4 mesaforte firefighter for SAP Applications Zusammenfassung: Effizienz, Sicherheit und Compliance auch bei temporären Berechtigungen Temporäre Berechtigungen in SAP Systemen optimieren die Verfügbarkeit,

Mehr

Business und Enterprise Cloud Sync, Backup- und Sharing-Lösungen

Business und Enterprise Cloud Sync, Backup- und Sharing-Lösungen Business und Enterprise Cloud Sync, Backup- und Sharing-Lösungen Private Cloud Synchronisation Online-Zusammenarbeit Backup / Versionierung Web Zugriff Mobiler Zugriff LDAP / Active Directory Federated

Mehr

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit

Mehr

CeSeC Certified Secure Cloud

CeSeC Certified Secure Cloud CeSeC Certified Secure Cloud - Der sichere Weg in die Cloud - 1 Bayerischer IT-Sicherheitscluster e.v. 05.10.2015 Was macht der Bayerische IT-Sicherheitscluster e.v.? Bündelung der IT-Sicherheits-Kompetenz

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) 32.Forum Kommunikation und Netze 25. und 26. März 2015 in Rotenburg a. d. Fulda Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) Stefan Wojciechowski IT-Sicherheitsbeauftragter

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

Cloud Computing Security

Cloud Computing Security Cloud Computing Security Wie sicher ist die Wolke? Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen 24.6.2010 SPI Service Modell Prof. Dr. Christoph Karg: Cloud Computing Security 2/14

Mehr

Cloud Computing Wohin geht die Reise?

Cloud Computing Wohin geht die Reise? Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen 17.10.2011 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten

Mehr

DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN

DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN THEGUARD! SMARTCHANGE CHANGE PROCESS DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN THEGUARD! SMARTCHANGE I CHANGE PROCESS

Mehr

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit Umsetzungsverfahren KMU-Zertifizierung Informationssicherheit Inhalt Umsetzungsverfahren... 1 Umsetzungsverfahren zur KMU-Zertifizierung nach OVVI Summary... 2 1. Information Security Policy / IT-Sicherheitsleitlinie...

Mehr

VARONIS DATA GOVERNANCE SUITE

VARONIS DATA GOVERNANCE SUITE VARONIS DATA GOVERNANCE SUITE VARONIS DATA GOVERNANCE SUITE Funktionen und Vorteile VOLLSTÄNDIG INTEGRIERTE LÖSUNGEN Varonis DatAdvantage für Windows Varonis DatAdvantage für SharePoint Varonis DatAdvantage

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

BERECHTIGUNGS- UND USERMANAGEMENT

BERECHTIGUNGS- UND USERMANAGEMENT 1 BERECHTIGUNGS- UND USERMANAGEMENT Die Firma: protected-networks.com Die 2009 in Berlin gegründete protectednetworks.com GmbH entwickelt integrierte Lösungen für das Berechtigungsund Usermanagement in

Mehr

Wozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM.

Wozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM. Wozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM. 4. IT-Grundschutz-Tag 2014, Nürnberg Bundesamt für Sicherheit in der Informationstechnik ism Secu-Sys AG Gerd Rossa, CEO ism Secu-Sys

Mehr

eg e s c h ä f t s p r o z e s s MEHR ZEIT FÜR IHR GESCHÄFT SHD managed Ihre IT-Services

eg e s c h ä f t s p r o z e s s MEHR ZEIT FÜR IHR GESCHÄFT SHD managed Ihre IT-Services eg e s c h ä f t s p r o z e s s erfahrung service kompetenz it-gestützte MEHR ZEIT FÜR IHR GESCHÄFT SHD managed Ihre IT-Services erfolgssicherung durch laufende optimierung Als langjährig erfahrenes IT-Unternehmen

Mehr

Praktizierter Grundschutz in einem mittelständigen Unternehmen

Praktizierter Grundschutz in einem mittelständigen Unternehmen Praktizierter Grundschutz in einem mittelständigen Unternehmen Adolf Brast, Leiter Informationsverarbeitung Bochum-Gelsenkirchener Straßenbahnen AG auf dem 4. Stuttgarter IT-Sicherheitstag, 16.02.06 Überblick

Mehr

Fileserver Berechtigungen und Active Directory im Griff

Fileserver Berechtigungen und Active Directory im Griff Fileserver Berechtigungen und Active Directory im Griff Ihre Situation Steigende Datenflut Das explosionsartige Anwachsen der Datenmengen stellt die IT- Abteilungen der Unternehmen heute vor völlig neue

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme

Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme DSQM Datenschutzmanagement Qualitätsmanagement Datenschutzmanagement Der Basis-Schritt zum

Mehr

Rechtssichere E-Mail-Archivierung

Rechtssichere E-Mail-Archivierung Rechtssichere E-Mail-Archivierung Rechtliche Sicherheit für Ihr Unternehmen Geltende rechtliche Anforderungen zwingen Unternehmen in Deutschland, Österreich und der Schweiz, E-Mails über viele Jahre hinweg

Mehr

Ausblick und Diskussion

Ausblick und Diskussion Ausblick und Diskussion Isabel Münch Bundesamt für Sicherheit in der Informationstechnik Sicherheitsmanagement und IT-Grundschutz IT-Grundschutz-Tag 04.05.2011 Agenda Allgemeine Weiterentwicklung IT-Grundschutz

Mehr

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de Security Excellence Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2013 13.06.2013 Agenda

Mehr

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement Eine Einführung Risikomanagement ist nach der Norm ISO 31000 eine identifiziert, analysiert

Mehr

Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis

Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis Präsentationen Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis Erfahrungsbericht Wireless 802.1x am USZ Anforderungen des USZ und

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

Besser aufgestellt: Wettbewerbsvorsprung durch verstärkte Cloud-Nutzung Ergebnisse für Deutschland

Besser aufgestellt: Wettbewerbsvorsprung durch verstärkte Cloud-Nutzung Ergebnisse für Deutschland Besser aufgestellt: Ergebnisse für Deutschland Landesspezifischer August 2015 Zusammenfassung Die Cloud ist im Aufwind, doch nur wenige Unternehmen verfügen über fortschrittliche Cloud-Strategien Eine

Mehr

Dieter Börner Management-Service. Quelle : Bundesamt für Sicherheit in der Informationstechnik

Dieter Börner Management-Service. Quelle : Bundesamt für Sicherheit in der Informationstechnik Dieter Börner Management-Service Am Bahnhof 12 96328 Küps Tel. 09264 91323 Fax 09264 91324 Das Informationssicherheits- Managementsystem nach ISO/IEC 27001 Informationstechnik - IT-Sicherheitsverfahren

Mehr

Übergabe DE-CIX Internet Exchange (BSI-IGZ-0059-2010)

Übergabe DE-CIX Internet Exchange (BSI-IGZ-0059-2010) Übergabe DE-CIX Internet Exchange (BSI-IGZ-0059-2010) BSI Überblick Zertifizierung Vorteile Zertifizierung nach ISO 27001 und IT-Grundschutz Prüfstandards des BSI Beispiele neuerer Zertifikate Akkreditierte

Mehr

Informationssicherheit als Outsourcing Kandidat

Informationssicherheit als Outsourcing Kandidat Informationssicherheit als Outsourcing Kandidat aus Kundenprojekten Frankfurt 16.06.2015 Thomas Freund Senior Security Consultant / ISO 27001 Lead Auditor Agenda Informationssicherheit Outsourcing Kandidat

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

EIN INTEGRIERTER ANSATZ FÜR GOVERNANCE, RISIKOMANAGEMENT UND COMPLIANCE. von Maja Pavlek

EIN INTEGRIERTER ANSATZ FÜR GOVERNANCE, RISIKOMANAGEMENT UND COMPLIANCE. von Maja Pavlek EIN INTEGRIERTER ANSATZ FÜR GOVERNANCE, RISIKOMANAGEMENT UND COMPLIANCE von Maja Pavlek 1 GOVERNANCE, RISIKOMANAGEMENT UND COMPLIANCE EIN INTEGRIERTER ANSATZ Die TIBERIUM AG ist ein Beratungsunternehmen,

Mehr

Maintenance & Re-Zertifizierung

Maintenance & Re-Zertifizierung Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0

Mehr

CLOUD COMPUTING. Risikomanagementstrategien bei der Nutzung von Cloud Computing

CLOUD COMPUTING. Risikomanagementstrategien bei der Nutzung von Cloud Computing CLOUD COMPUTING Risikomanagementstrategien bei der Nutzung von Cloud Computing Michael Rautert Staatlich geprüfter Informatiker Geprüfter IT-Sicherheitsbeauftragter (SGS TÜV) Ausbildung zum geprüften Datenschutzbeauftragten

Mehr

INTEGRIERTES BERECHTIGUNGSMANAGEMENT

INTEGRIERTES BERECHTIGUNGSMANAGEMENT Access Governance in Windows Umgebungen INTEGRIERTES BERECHTIGUNGSMANAGEMENT DIE AUGUREN SAGEN 65% aller Mitarbeiter kommen leicht an sensible Daten 75% der Zeit von Administratoren wird in der Verwaltung

Mehr

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE Alternative Ansätze im Sicherheitsmanagement Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration

Mehr

Planung und Umsetzung von IT-Compliance in Unternehmen

Planung und Umsetzung von IT-Compliance in Unternehmen Planung und Umsetzung von IT-Compliance in Unternehmen Ein kurzer Überblick über die wichtigsten Regelungen. Zu meiner Person Dipl. Informatiker (IANAL) Seit mehr als 15 Jahren unterstütze ich Unternehmen

Mehr

IT-Grundschutz-Baustein Cloud Management. Erwan Smits & Dominic Mylo

IT-Grundschutz-Baustein Cloud Management. Erwan Smits & Dominic Mylo IT-Grundschutz-Baustein Cloud Management Erwan Smits & Dominic Mylo Projekt-Beteiligte Kooperation BSI und Atos Erwan Smits Atos Dominic Mylo Atos Dr. Clemens Doubrava BSI Alex Didier Essoh BSI Dr. Patrick

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

ISO 5500x-Normenfamilie

ISO 5500x-Normenfamilie ISO 5500x-Normenfamilie 5 Fakten zur ISO 5500x-Normenfamilie ISO 55000 - Overview, principles and terminology ISO 55001 - Requirements ISO 55002 - Guidelines on the application of ISO 55001 Generelles

Mehr

Aufbau und Nutzen einer ganzheitlichen IT- Dokumentation

Aufbau und Nutzen einer ganzheitlichen IT- Dokumentation Aufbau und Nutzen einer ganzheitlichen IT- Dokumentation tekom RG Baden am 23.05.2012 dokuit Manuela Reiss Mai 2012 1 Manuela Reiss Studium der Geographie Seit fast 20 Jahren Erfahrungen als Beraterin

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Anforderungen an Cloud Computing-Modelle

Anforderungen an Cloud Computing-Modelle Anforderungen an Cloud Computing-Modelle Rechtsanwalt Martin Kuhr, LL.M. 26.11.2010 6. Darmstädter Informationsrechtstag oder: zwischen Wolkenhimmel und Haftungshölle F.A.Z. Wer steht vor Ihnen? - Rechtsanwalt

Mehr

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04.

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. November 2014 1 Index Sicherheitsstrategie Praxis Ganzheitliche Betrachtung (Informations-)

Mehr

Tipps zur Einführung von CRM-Software

Tipps zur Einführung von CRM-Software Whitepaper: Tipps zur Einführung von CRM-Software GEDYS IntraWare GmbH Pia Erdmann Langestr. 61 38100 Braunschweig +49 (0)531 123 868-432 E-Mail: info@gedys-intraware.de www.crm2host.de Inhalt 1. Warum

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Sicherheit und Compliance in der Cloud

Sicherheit und Compliance in der Cloud Sicherheit und Compliance in der Cloud Prof. Dr. Jan Jürjens TU Dortmund Das Forschungsprojekt ClouDAT (Förderkennzeichen 300267102) wird/wurde durch das Land NRW und Europäischen Fonds für regionale Entwicklung

Mehr

Windows Azure Ihre Plattform für professionelles Cloud Computing

Windows Azure Ihre Plattform für professionelles Cloud Computing Windows Azure Ihre Plattform für professionelles Cloud Computing Eine Plattform für Hochverfügbarkeit und maximale Flexibilität und ein Partner, der diese Möglichkeiten für Sie ausschöpft! Microsoft bietet

Mehr

Interview zum Thema Datenschutz & Datensicherheit in der Cloud

Interview zum Thema Datenschutz & Datensicherheit in der Cloud Interview zum Thema Datenschutz & Datensicherheit in der Cloud Matthias Bongarth Götz Piwinger Zehn Fragen an Matthias Bongarth, Geschäftsführer des Landesbetriebs Daten und Information, Rheinland Pfalz

Mehr