Deutsche Cloud-Anbieter müssen die aktuelle Aufmerksamkeit

Größe: px
Ab Seite anzeigen:

Download "Deutsche Cloud-Anbieter müssen die aktuelle Aufmerksamkeit"

Transkript

1 Informationsdienst Liebe Leserin, lieber Leser, gerade weil die aktuellen Enthüllungen über neugierige Nachrichtendienste Cloud-Anwender nachdenklich machen werden, sind die neuen Bausteine zum Thema Cloud aus dem BSI eine willkommene Nachricht. Die Cloud hat im Ansatz nichts von ihrer Attraktivität für viele Firmen verloren, solange die Vertraulichkeit der Daten gewährleistet ist. Und diese Vertraulichkeit kann durch klare Vorgaben zu Prozessen und technischen Maßnahmen wie im IT-Grundschutz unterstützt werden. Interview: Deutsche Cloud-Anbieter müssen die aktuelle Aufmerksamkeit nutzen Seite 107 Kolumne: IT-Grundschutz nach BSI strategisch planen Seite 109 BSI treibt Cloud-Unterstützung voran Seite 111 Rechtekontrolle erleichtert Grundschutzkonformität Seite 113 Deutsche Cloud-Anbieter müssen die aktuelle Aufmerksamkeit nutzen Max Schulze, Analyst, techconsult Elmar Török, bits+bites Max Schulze ist in den Bereichen Anbieter- und professioneller Anwenderberatung für die techconsult GmbH tätig und deckt dabei die Kompetenzfelder Data Center Automation, Business Process Management sowie Cloud Computing ab. Er hat Wirtschaftswissenschaften mit den Schwerpunkten Wirtschaftsinformatik und Private Public Management studiert und war nach dem Studium als Diplom-Ökonom mehrere Jahre als IT Consultant bei einer Unternehmensberatung tätig. IT-Grundschutz: Herr Schulze, gerade wurde die Cloud als legitimes Element innerhalb der IT-Infrastruktur gesehen, da zeigen die Enthüllungen von Herrn Snowden, dass wenig sicher ist, was die eigenen Rechner verlässt und im Netz lagert oder unterwegs ist. Wird das der Ausbreitung von Cloud-Diensten nachhaltig schaden? Schulze: Generell zeigen die veröffentlichten Spionageskandale, dass die Bedenken und Sorgen gerade bei so genannten Cloud-Gegnern oder Unternehmen, die von der Einführung von Cloud Services noch nicht ganz überzeugt waren, wieder verstärkt zugenommen haben. Der wirklich große Schaden, bezogen auf PRISM und Cloud Computing, dürfte bei den amerikanischen Cloud-Anbietern liegen, deren Cloud-Geschäft auch in Deutschland beheimatet ist. Eine der wichtigsten Komponenten bei Cloud-Lösungen, nämlich das Vertrauen in den Anbieter und dessen Sicherheit zu gewährleisten, dürfte nachhaltig gestört sein. IT-Grundschutz: Daten sind laut Snowden vor allem gefährdet, wenn sie die Landesgrenzen überschreiten, weil die NSA und andere Dienste große Aggregator-Leitungen anzapfen. Sorgt das für mehr Interesse bei den Kunden, einen lokalen, also deutschen Cloud-Provider zu nutzen? Schulze: Die Cloud-Technologie hat viele Vorteile, besonders die des Flexibilitätszuwachses und der Kostenreduzierung. Diese verpuffen jedoch sehr schnell, wenn elementare Kriterien wie umfassender Schutz der Daten, hinreichende Detaillierung des Angebots und vor allem Standortfragen nicht klar definiert werden. PRISM hat Cloud- Anbietern, die auf Cloud-Services made in Germany setzen, neuen Aufschwung gebracht. Auf die seit Jahren bekannten Effektivitätsgewinne durch den Einsatz der Cloud- Technologie möchten wohl die wenigsten Unternehmen zukünftig verzichten, daher werden die Wege zwangsläufig zum Serverstandort Deutschland mit seinem strengen 107

2 Studien und Analysen 108 Datenschutzrecht führen. Es liegt jetzt an den Cloud-Anbietern selbst, die neu gewonnene Aufmerksamkeit für sich erfolgreich zu nutzen und an der Justiz, eine glaubwürdige Datenschutzverordnung für Europa durchzusetzen. IT-Grundschutz: Worauf sollten Anwender hinsichtlich Datenschutz und Verfügbarkeit achten, wenn sie Cloud-Technik und einen Cloud-Provider wählen? Schulze: Nach wie vor gilt es vor dem Einsatz von Cloud-Lösungen abzuwägen, welche Daten ein Höchstmaß an Sicherheit benötigen und welche Daten geringerem Sicherheitsstandard unterliegen können. Nach der detaillierten Analyse der Gefährdungspotenziale können die Unternehmen mit einem seriösen und zuverlässigen Cloud-Partner ein hybrides Cloud-Modell ent wickeln, um die Vorteile einer Private- und einer Public-Cloud zu nutzen. Höhere Priorität als bisher sollte auf End-to-End-Sicherheitsmaßnahmen gelegt werden, bei denen der Schutz der Informationen und nicht von Systemen oder Netzen im Fokus steht. Nach Umsetzungen dieser Anforderungen sollte ein gesundes Mittelmaß zwischen den bestehenden Risiken, den Umsetzungskosten und des zu erwartenden Mehrwerts durch die fokussierte Cloud-Leistung erkennbar sein. IT-Grundschutz: Haben Ihrer Ansicht nach kleine Unternehmen und Mittelständler bereits das notwendige Wissen, um eine optimale Auswahl zu treffen? Oder lohnt sich der Einsatz eines Beraters in jedem Fall? Schulze: Auf der Suche nach einem geeigneten Cloud Service stehen zumeist kleinere Unternehmen mit wenig IT-Fachpersonal vor einem undurchsichtigen und vielschichtigen Cloud-Dschungel. Um mehr Transparenz zu erhalten, kann die Inanspruchnahme von externen Beratern definitiv sinnvoll sein. Zwar ist der Einsatz von Unternehmensberatern kostspielig, jedoch werden diese Kosten bei der Einführung von umfassenden Cloud Services miteingerechnet und helfen den Anwenderunternehmen zu einer realistischen Einschätzung ihres Bedarfes bezogen auf die Cloud-Technologie. Dazu gehört eine IST-Analyse der unternehmenseigenen IT-Ressourcen im Vergleich zu den analysierten zukünftigen Cloud-Anschaffungen, die für den nachhaltigen Erfolg des Unternehmens notwendig werden. Die Bewertung der Ergebnisse setzt dabei spezifisches Cloud-Knowhow voraus, welches gerade in kleineren Unternehmen mit Fokus auf andere Geschäftsfelder in der Form nicht bereitgestellt werden kann. IT-Grundschutz: Bislang boten die klassischen IT-Zertifizierungen wie ISO oder BSI IT-Grundschutz wenig bis keine Hilfestellung bei Cloud-Angeboten. Glauben Sie, dass das der Verbreitung und Akzeptanz geschadet hat? Schulze: Zertifizierungen wie ISO können gerade bei mittelständischen Anwenderunternehmen Vertrauen hinsichtlich der zu erwartenden Sicherheitsstrategien und Verfahren eines Cloud-Anbieters schaffen und schaden daher nicht bei der Verbreitung oder Akzeptanz von Cloud Services. In Anbetracht der gestiegenen Sensibilität gegenüber Cloud-Angeboten wird sich die Cloud-Branche jedoch stärker denn je für einen transparenten und detaillierten Cloud-Markt stark machen müssen. Anwenderunternehmen erwarten von ihren Cloud-Anbietern die Vorhaltung einer ausreichenden Liquidität sowie detailliertes Fach-Know-how und vorzeigbare Referenzprojekte sowie Innovationsfähigkeit, um langfristig von der Cloud-Technologie profitieren zu können. IT-Grundschutz: Wenn die Daten in der Cloud liegen, fehlt letztendlich der physische Zugriff darauf. Wie kann man sicherstellen, dass die Daten, zum Beispiel nach der Kündigung des Vertrags, sicher gelöscht werden? Schulze: In der Vereinbarung zwischen Auftraggeber und Dienstleister für den entsprechenden Cloud Service muss auch die vollständige Löschung der Daten nach der Kündigung des Vertrages festgehalten sein. Wichtig ist dabei, dass Duplikate ebenfalls in den Löschvorgang einbezogen werden. IT-Grundschutz: Angenommen, der Kunde will von einem zum anderen Cloud-Anbieter wechseln. Gibt es Migrationsstrategien für die Daten und Anwendungen? Oder ist es in der Regel einfacher alles zu löschen und beim neuen Anbieter frisch aufzusetzen? Schulze: Seitdem Cloud Computing zunehmend als strategisches Werkzeug Einzug in die Unternehmen erhält, wachsen auch die Bestrebungen der Cloud-Anbieter, Standards bei den Schnittstellen zur Verfügung zu stellen. Interoperabilität und weitreichende Standards bei Cloud-Services lassen sich schon seit längerem miteinander verbinden. Einheitliche Interfaces mit dazugehörigen Adaptern ermöglichen die Migration eines Cloud Services zwischen verschiedenen öffentlichen und privaten Clouds. Zusätzlich sorgen autonome Abstraktionsebenen dafür, dass Applikationen und Hardware voneinander getrennt werden und Cloud Services leichter von der aufgebauten IT-Infrastruktur abgekoppelt werden können. Eine entsprechende Migrationsstrategie sollte demnach möglich sein, um den reibungslosen Wechsel zwischen verschiedenen Cloud-Anbietern zu ermöglichen. IT-Grundschutz: Was raten Sie Cloudinteressierten Anwendern hinsichtlich des Backups? Selbst In-House lösen oder über den Cloud-Provider abwickeln lassen? Schulze: Die Anwenderunterneh-

3 men sollten im Vorfeld objektiv klären (möglicherweise durch externe Beratung), welche Daten ein Höchstmaß an Sicherheit benötigen und inwiefern In-House diese Sicherheit gewährleistet werden kann. Sollte nach der detaillierten Analyse der Gefährdungspotenziale ein Ergebnis vorliegen, welches Backup-Möglichkeiten bei Cloud- Providern offeriert, die ein höheres Sicherheitniveau bieten als das eigene Unternehmen, ist auch eine Backup-on-demand-Strategie interessant. IT-Grundschutz: Zu guter Letzt: Es gibt wohl keinen Zweifel daran, dass Daten durch ausländische Nachrichtendienste in großem Maß abgegriffen (nicht unbedingt auch ausgewertet) werden. Können Sie einen Trend erkennen, dass deutsche Unternehmen ihre Geschäftsbeziehungen mit (vor allem) amerikanischen Cloud-Providern zurückfahren und nach inländischen Alternativen suchen? Schulze: Unsere Umfragen belegen, dass viele Mittelständler mit Sorge groß angelegte Kooperationen deutscher Cloud-Anbieter über die Landesgrenzen hinweg betrachten. Die Anwenderunternehmen befürchten dadurch den nachhaltigen Kontrollverlust über ihre IT-Systeme, wenn ausländische Cloud-Services hinter deutschen Anbietern stehen und damit auch Max Schulze ist Analyst bei techconsult und dort unter anderem spezialisiert auf das Thema Cloud verbundene rechtliche Unsicherheiten. Daher wird dieses Thema in naher Zukunft eine zentrale Rolle spielen. IT-Grundschutz nach BSI strategisch planen Teil 6: Dokumentation eine Schattenwelt (nicht nur) in der IT Felix Widmer, Inhaber, Tan Consulting Was nicht aufgeschrieben wurde, existiert nicht. Die goldene Regel jeder Dokumentation gilt natürlich ebenso beim Einsatz von IT-Sicherheitsstandards wie dem IT-Grundschutz. Dokumentation ist kein Hexenwerk, hat aber nachhaltigen Einfluss darauf, ob sich IT-Sicherheitsniveaus über längere Zeiträume halten und verbessern lassen. Ein Information Security Management System (ISMS) funktioniert nur in Kombination mit einer ordnungsmäßigen und jederzeit aktuellen Dokumentation. Das ist auch unabhängig von Standards oder Compliance-Vorgaben. ISO fordert beispielsweise ganz klar, dass Maßnahmen auf Managemententscheide und Strategien zurückgeführt werden können. Prozesse müssen messbare und reproduzierbare Ergebnisse liefern. Ohne Dokumentation ist ein ISMS eine Alibiübung und die Ressourcen nicht wert, die dadurch belegt werden. Schritt 1: Dokumentation planen In einem ersten Schritt muss das Dokumentationskonzept erstellt werden. Im Zentrum stehen dabei die für den konkreten Fall relevanten Gesetze, Frameworks, Normen und Standards. Konfuzius sagte: Wenn die Sprache nicht stimmt, dann ist das, was gesagt wird, nicht das, was gemeint ist. Ist das, was gesagt wird, nicht das, was gemeint ist, so kommen keine guten Werke zustande. Kommunikation ist die Basis für die Umsetzung des Dokumentationskonzepts. Mitarbeitende müssen aktiv in den Dokumentationsprozess einbezogen werden. Dokumentationen müssen auch zielgruppenorientiert sein. So ist zum Beispiel eine technische Detailbeschreibung für den Endbenutzer weder verständlich noch relevant. Dokumentationen müssen einfach und jederzeit verfügbar sein. Dazu gibt es heute mehr Möglichkeiten denn je. Online-Hilfen und Wikis, Content Management Systeme (CMS) und Wissensdatenbanken 109

4 Wurden fremde Bestandteile der Dokumentation identifiziert und gekennzeichnet? Ist sichergestellt, dass nur aktuelle Versionen verfügbar sind? Wird die Dokumentation Richtlinien-konform archiviert? Schritt 4: Dokumentation aktualisieren 110 Ob national oder international: Alle Standards verlangen eine korrekte Dokumentation können alle, richtig eingesetzt, den technischen Unterbau für die Dokumentation bilden. Darüber hinaus muss die Dokumentationserstellung standardisiert sein. Es müssen verschiedene Publikationsplattformen bedient werden können, dazu gehören auch mobile Endgeräte. Der Inhalt muss aus einer Quelle zielorientiert gepflegt und generiert werden. Und natürlich hilft die beste Dokumentation nichts, wenn sie nicht gelesen wird. Das Verständnis der Dokumentation muss mit interaktiven Wissensabfragen trainiert und überprüft werden. Schritt 2: Dokumentation erstellen Am Beispiel ISMS mit Konformität zu ISO bedeutet das unter anderem, die Erstellung folgender Dokumente: Sicherheitsleitbild und Zielsetzung Umfang des ISMS Verfahren und Kontrollen zur Unterstützung des ISMS Beschreibung der Methodik der Risikobewertung Risikobewertung Vorgehen zur Verhinderung, Beseitigung und Reduzierung von Risiken Verfahrensbeschreibungen, um die effektive Planung, Durchführung und Kontrolle der Sicherheitsprozesse zu gewährleisten Beschreibung wirksamer Kontrollen. Schritt 3: Dokumentation überprüfen Dokumentation ist keine Eintagsfliege, sie lebt mit den beschriebenen Prozessen und Ergebnissen. Bevor die Dokumente veröffentlicht und genutzt werden, muss klar sein, dass sie richtig und angemessen sind und korrekt aufbewahrt werden. Überprüft werden müssen unter anderem folgende Punkte: Ist die Dokumentation angemessen hinsichtlich Ziel, Zweck, Umfang und Zielgruppe? Ist die Dokumentation noch aktuell? Lassen sich Review, Aktualisierung und erneute Freigabe nach Änderungen nachvollziehen? Sind alle Dokumente eindeutig identifizierbar sein, auch im Kontext mit anderen Dokumenten? Wird unnötige Redundanz vermieden? Sind alle Bestandteile der Dokumentation korrekt klassifiziert und vor unbefugtem Zugriff geschützt? Prozesse und Strategien verändern sich ebenso wie Hard- und Software. Dokumentation ist kein statischer Block, sondern eine flexible Ansammlung dynamischer Informationen. Viele nützliche Erkenntnisse entstehen gerade dadurch, dass die Historie eines Vorgangs sichtbar und nachvollziehbar wird. Aktualisierung bedeutet vor allem: Dokumente an die aktuellen Gegebenheiten anzupassen. Dazu gehören alle Bereiche, Prozessbeschreibungen ebenso wie durchgeführte Kontrollen und Leistungskennzahlen. Alte Dokumente müssen nachvollziehbar aus dem Verkehr gezogen und konform archiviert werden. Die Aktualisierung muss im Rahmen eines Change Management Prozesses erfolgen. Nur so wird sichergestellt, dass auch das Dokumentationskonzept und die Planung kontinuierlich und nachvollziehbar verbessert werden. Zusammenfassung Dokumentation und Kommunikation sind zwingende Voraussetzungen für ein funktionierendes ISMS. Das Wissen der Mitarbeitenden muss aktiv genutzt werden und teilbar sowie personenunabhängig zugänglich sein. Eine mangelhafte, fehlerhafte oder fehlende Dokumentation ist eines der größten und meist unterschätzten Geschäftsrisiken und führt früher oder später zu hohen Kosten und Reputationsschäden. Es ist höchste Zeit, die Dokumentation aus ihrem Schattendasein zu befreien.

5 Wolke erhält Siegel BSI treibt Cloud-Unterstützung voran Elmar Török, bits+bites Cloud Computing ist für die Anwender mehr denn je ein heikles Thema. Sicherheit und Datenschutz haben nach den jüngsten Enthüllungen über mitlesende Nachrichtendienste höchste Priorität. Das BSI unterstützt die Bemühungen der Nutzer durch mehrere neue Bausteine und Initiativen. Quelle: Julien Christ / pixelio.de Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird bis Ende 2013 vier Bausteine zum Thema Cloud Computing für das Informationssicherheitsmanagementsystem (ISMS) IT-Grundschutz fertig stellen. Das kündigte BSI-Präsident Michael Hange anlässlich des Zukunftskongresses Staat und Verwaltung 2013 in Berlin an. Die Bausteine Cloud- Management, Cloud-Nutzung, Webservices und Cloud-Storage gehen dabei auf Gefährdungen von Cloud-Lösungen ebenso ein wie auf wirksame Schutzmaßnahmen gegen diese Gefährdungen. Aktuell, mit neuen Prioritäten Das BSI beschäftigt sich schon seit einiger Zeit mit der Frage nach der Sicherheit von Cloud-Angeboten und hatte bereits im Mai 2011 ein Eckpunktepapier veröffentlicht (1), das einen Überblick über die wesentlichen Felder von Cloud Computing gab, in denen Sicherheit umgesetzt werden sollte. Eine neue Version des Eckpunktepapiers ist zum derzeitigen Stand nicht geplant, es ist nach Ansicht des BSI noch aktuell. Lediglich die Prioritäten bei den Anwendern haben sich verschoben, so stehen Fragen des Datenschutzes heute stärker im Vordergrund als In erster Annäherung ist Cloud eine Spielart des Outsourcings und der Umgang damit ist in zahlreichen Grundschutz-Dokumenten, auch in den Grundschutz-Katalogen, eindeutig für die verschiedenen Sicherheitsansprüche festgelegt. Einige Aspekte beim Cloud Computing jedoch sind neu und gehen über Outsourcing hinaus. Diese Aspekte ergeben sich hauptsächlich aus der Nutzung der gleichen Infrastruktur durch verschiedene Mandanten. Die vier neuen Bausteine Cloud- Management, Web-Services, Cloud- Nutzung und Cloud-Storage sollen dazu dienen, das Thema Cloud umfassend im Rahmen eines ISMS abzubilden. Die Dokumente sind komplementär zu bestehenden Bausteinen. Beispielsweise ergänzt Hilfe für KMU Einfaches Notfallmanagement Wie auf dem Deutschen IT-Sicherheitskongress angekündigt, steht eine weitere Veröffentlichung bevor. Eine Studie zum Thema Notfallmanagement mit der Cloud wird voraussichtlich zur it-sa Anfang Oktober erscheinen. Dabei geht es darum, kleinen und mittelständischen Unternehmen (KMU) zu zeigen, wie sie die oft vorhandene Virtualisierungstechnik nutzen können, um schnell und kostengünstig die Verfügbarkeit der IT-gestützten Geschäftsprozesse zu erhöhen. Cloud-Storage den Baustein B Speichersysteme und Speichernetze um technische Erweiterungen wie Fibre-Channel. Web-Services fügt weitere technische Aspekte zum kürzlich vorgestellten Baustein Web- Anwendungen hinzu. Die Bausteine werden entwickelt, um typische Komponenten und damit auch typische Gefährdungen, Schwachstellen und Risiken in einer sehr heterogenen Umgebung wie einem Cloud-System zu identifizieren. Aus konkreten Schwachstellen ergeben sich auch konkrete Umsetzungshinweise für das Sicherheitsmanagement und Empfehlungen für passende Standard- Sicherheitsmaßnahmen. Als Ziel gibt das BSI an, Cloud-spezifische Anforderungen komplett in den IT-Grundschutz zu integrieren und Cloud-Angebote nach ISO auf Basis von IT-Grundschutz zertifizierbar zu machen. Mittelfristig muss dazu der BSI-Standard um Cloud-spezifische Aspekte ergänzt werden. Die Inhalte der Bausteine sind darüber hinaus auch für die Risikoanalyse und Sicherheitskonzeption für Anwender des nativen ISO Standards von großem Nutzen. Allerdings dürfte nicht viel Aufwand nötig sein, um den Standard anzupassen. Netzpläne virtueller Infrastrukturen sind bereits im Grundschutz enthalten und schon heute haben zwei Institutionen eine 111

6 IT-Grundschutz-Zertifizierung, deren Serviceangebote als Cloud bezeichnet werden könnte. Das reine ISMS passt problemlos ins Zertifizierungsschema, andere Bereiche, die bei Cloud-Angeboten besonders wichtig sind, wie SLAs und Datenschutz, kann und darf das BSI ohnehin nicht bewerten. Vorabversionen bis Jahresende Der Baustein Cloud-Nutzung soll bis Ende des Jahres in einer Vorabversion verfügbar sein. Er richtet sich an Sicherheitsverantwortliche, die vor der Herausforderung stehen, Cloud Services im Unternehmen einzuführen und alle relevanten Gefährdungen im Vorfeld erkennen müssen. Auch bestehende Maßnahmen und Bausteine der Grundschutz Kataloge werden überarbeitet, um sie für Cloud-Computing anzupassen. So Plattformen für das Cloud Computing überprüft und zertifiziert werden können. Als Nationale IT- und Cyber- Sicherheitsbehörde sieht das BSI hier dringenden Handlungsbedarf und arbeitet daher unter Einbeziehung der Wirtschaft an entsprechenden IT-Grundschutz-Bausteinen, die dies ermöglichen. Neben den eigenen IT-Standards bringt sich das BSI auch in zahlreichen Cloud-Initiativen ein. Innerhalb der EU sind das beispielsweise Cloud Standards Coordination und European Cloud Partnership. In Deutschland werden die Technologieprogramme des BMWi Trusted Cloud und des BMBF (Forschung für Sicheres Cloud Computing) unterstützt. Neue Cloud-Standards Hilfe für Cloud-willige, aber unsichere Anwender kommt auch von anderer Seite. ISO und IEC verab- Verschlüsselung ist im Cloud- Umfeld ohnehin die wichtigste Maßnahme für Datenschutz und den Kampf gegen ungewollte Mitleser. Inzwischen gehen die Empfehlungen dahin, alle Phasen der Cloud- Nutzung auf dem PC, während der Übertragung und in der Cloud selbst durch harte Kryptografie zu sichern. Viele der kommerziellen Cloud-Anbieter mit eigenen Clients wie Boxcryptor und Wuala haben diesen Trend erkannt und bieten Verschlüsselung innerhalb des Clients an. Für größere Unternehmen sind solche Lösungen eher uninteressant, hier kommen klassische Enterprise- Verschlüsselungslösungen wie fideas von AppliedSecurity zum Einsatz. Dass die Verbindung zum Cloud- Provider mindestens über SSL abgesichert werden muss, ist ohnehin selbstverständlich. Neben den Angeboten des Cloud-Providers, die Daten auch in der Cloud zu verschlüsseln, gibt es mittlerweile Hersteller wie die Chemnitzer Firma HiCrypt, die anbieten, innerhalb der Cloud aktiv zu werden und die dort abgelegten Inhalte zu verschlüsseln. Vermutlich werden im Rahmen der aktuellen Veröffentlichungen bald noch zahlreiche weitere Firmen auf den Zug aufspringen und Kryptografie für die Cloud auf den Markt bringen. 112 Hilfe in Sicht: Neue Bausteine des BSI unterstützen Cloud-Betreiber und Anwender. Quelle: Sebastian von Thadden / pixelio.de wird B 4.1 Heterogene Netze um das Thema virtuelle Netze erweitert und der Baustein B Router & Switche ebenso überarbeitet wie B 4.2 Netz- und Systemmanagement. BSI-Präsident Michael Hange betonte in diesem Zusammenhang: Um von den Vorteilen der Cloud profitieren zu können, müssen die Anwender Vertrauen haben, dass ihre Daten in Cloud-Diensten sicher sind. Dieses Vertrauen kann jedoch nur entstehen, wenn es unabhängige, transparente und international anerkannte Standards gibt, auf deren Grundlage schiedeten Ende 2012 den ersten Teil des ISO-Standard Er soll die Entwicklung von sicherer Software, auch im Sinne von gehosteten Anwendungen, durch klare Vorgaben erleichtern. Zahlreiche beratende Gremien wie SAFEcode, und die Cloud Security Alliance (CSA) unterstützen den neuen Standard, auch PCI/DSS (Payment Card Industry/ Data Security Standard) haben entsprechende Verweise in ihre Vorschriften aufgenommen. Ebenfalls einen Blick wert ist das Richtlinienwerk der Cloud Security Alliance zum Thema Verschlüsselung (2). Das ist noch aus einem anderen Grund wichtig. Das sichere Löschen von Daten, wie es im IT-Grundschutz vorgeschrieben und auf einer lokalen Festplatte über zahlreiche simple Methoden möglich ist, ist prinzipbedingt in der Cloud nicht möglich. Liegen die Inhalte allerdings nur verschlüsselt auf den Datenträgern des Providers, genügt es den Schlüssel zu vernichten und die Daten sind ebenfalls zerstört. (1) https://www.bsi.bund.de/de/themen/ CloudComputing/Eckpunktepapier/Eckpunktepapier_node.html (2) https://cloudsecurityalliance.org/download/ secaas-category-8-encryption-implementation-guidance/

7 So klappt der IT-Grundschutz Berechtigungsmanagement bewahrt den Überblick im Zugriffsdschungel Christian Zander, CTO, protected-networks.com GmbH Informationen und das sind heute vor allem elektronisch verfügbare Daten zählen zu den wertvollsten Gütern. Beinahe täglich berichten die Medien über Datendiebstähle in Unternehmen und Behörden. Der Täter sitzt oft genug direkt im Unternehmen. Doch Risiken im eigenen Unternehmen lassen sich durch die Umsetzung gesetzlicher Regularien wie auch durch ein gezieltes Berechtigungsmanagement stark reduzieren. Um die IT Sicherheit zu erhöhen, hilft eine individuelle Risikoanalyse. Diese bringt einen hohen Kosten- und Zeitaufwand mit sich. Eine Alternative bieten nationale wie internationale Normierungen, etwa die IT-Grundschutz-Kataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI). Sind diese eingeführt, kann die Umsetzung nach ISO/IEC 2700x- zertifiziert werden. Zahlreiche Anforderungen dieser Normierungen sowie internationaler Regularien wie SOX und PCI-DSS lassen sich mit einem softwaregestützten Berechtigungsmanagement umsetzen. Die BSI IT-Grundschutz-Kataloge etwa nennen folgende Anforderungen an IT- Systeme: Identifikation und Authentifizierung Rechteverwaltung und -kontrolle Rollentrennung zwischen Administrator, Revisor und Benutzer Protokollierung einer Rechteverletzung benutzerfreundliche Oberfläche Protokollierung der Administrationstätigkeiten Unterstützung der Protokollauswertung Warum sind fehlerhafte Zugriffsberechtigungen riskant? Es gibt zahlreiche Szenarien, in denen Zugriffsberechtigungen die Ursache für Sicherheitsvorfälle sind. Zum Beispiel, wenn einem Bankmitarbeiter gekündigt wird und er vor seinem Ausscheiden alle ihm zugänglichen Informationen kopiert und an die Steuerfahndungsbehörde verkauft. Oder in dem Fall eines externen IT- Administrators, der zwei Millionen Kundendaten eines Telekommunikationsunternehmens kopiert und weitergibt. Das Vertrauen der Kunden ist beschädigt, die Kosten für das Unternehmen enorm. Beliebt ist auch das Szenario Auszubildender. Ein Lehrling durchläuft im Rahmen seiner Ausbildung alle Abteilungen eines Unternehmens und sammelt dabei verschiedenste Zugriffsrechte ein, die ihm nie entzogen werden. Bis zum Abschluss der Lehre hat er fast unbegrenzten Zugang zu allen Bereichen der IT und kann Daten einsehen, die nur den Fachabteilungen vorbehalten sind. Der nächste Lehrling erbt, wenn mit generischem Accounts gearbeitet wird, diese Rechte, von denen niemand genau weiß, welche das eigentlich sind. Schritte zur Einführung Die grundsätzliche Frage bei der Definition einer Berechtigungsstrategie ist simpel: Wo sind die Daten und wer kann darauf zugreifen? Fast jeder Unternehmer glaubt zu wissen, wer auf welche Daten zugreifen kann. Nur kann er das auch nachweisen? Ist tatsächlich nachvollziehbar, welcher Nutzer Zugriff auf welche Daten und Ordner hat? Fast jede Organisation verfügt über geregelte Prozesse zur Berechtigungsvergabe. Gleichzeitig klagen viele Administratoren über ein undurchsichtiges Berechtigungskonzept und zahlreiche Ausnahmeregelungen. Aufgefordert durch einen Fachabteilungsleiter vergeben Administratoren als zentrale Anlaufstelle Rechte, etwa für das Active Directory, SharePoint oder Exchange. Verlässt der Mitarbeiter das Unternehmen oder wechselt er das Projekt oder in eine andere Abteilung, sollten seine Zugriffsrechte aktualisiert werden. Doch ab einer gewissen Unternehmensgröße verlieren Administratoren beinahe zwangsläufig die Übersicht über die Rechtesituation auf den zahlreichen Systemen. Die Herausforderung besteht darin, einen Überblick über all diese Veränderungen zu behalten und stets zu wissen, dass alle Mitarbeiter die für sie passenden Zugänge haben. Gewährleisten lässt sich das, wenn der eigentliche Dateneigentümer, also der Abteilungsleiter oder Projektverantwortliche, die Zugangsrechte vergibt. Er weiß, im Gegensatz zum Administrator, welcher Mitarbeiter welche Zugangsrechte benötigt und wer Mitglied seiner Abteilung ist. Damit die Vergabe von Zugriffsrechten an Nicht-IT- Profis delegiert werden kann, bedarf es einer einfachen, transparenten und schnell zu nutzenden technischen Lösung. Ideal wäre es, wenn eine Software die transparente 113

8 114 Aministration sämtlicher technischer Ressourcen, angefangen vom Fileserver über Active Directory, Exchange und SharePoint erlaubt. Grundsatzüberlegungen Beinahe jeder Mitarbeiter wird über den Umgang mit vertraulichen Daten belehrt oder unterzeichnet entsprechende Vereinbarungen. Die wenigsten missbrauchen vorsätzlich vertrauliche Daten. Aber angenommen, ein Diplomand arbeitet in der Personalabteilung und stellt fest, dass er Zugriff auf die Gehaltsdaten hat. Gelegenheit macht Diebe, heißt ein bekanntes Sprichwort. Mit einem sauberen Berechtigungsmanagement kommt ein Unternehmen der Pflicht nach, seine Mitarbeiter zu schützen, und zwar auch davor, in Versuchung zu geraten. Das reduziert die Wahrscheinlichkeit, dass Insider vertrauliche Daten weitergeben, auf die sie zufällig gestoßen sind. Schrumpfende Budgets, sowohl für Geld als auch Personalressourcen, sind in der IT weitverbreitet. Ein automatisiertes Bereitstellen und Administrieren von Zugriffsrechten, verbunden mit einer Dokumentation aller Vorgänge und automatisierten Reports, spart Zeit und Geld bei einer gleichzeitigen Steigerung von Bedienkomfort, Effizienz und Sicherheit. Ein erheblicher Unsicherheitsfaktor bei der Berechtigungsvergabe ist die Schnittstelle zwischen Administrator und Fachabteilung. Administratoren haben die Kompetenz, um Berechtigungen zu ändern. Abteilungsleiter wissen, wer tatsächlich in ihrer Abteilung welche Zugriffsrechte benötigt. Eine Softwarelösung sollte es den Dateieigentümern ermöglichen festzulegen, wer Zugriff auf ihre Daten hat. Als Bonus effekt steigt die Sensibilität für den Datenschutz enorm. Kann jeder Abteilungsleiter selbst bestimmen, wer auf diese Daten zugreifen kann, dann ist er auch in der Lage, diesen Zugriff sorgsam zu vergeben und übernimmt damit Verantwortung. Wenn die Verantwortlichen jederzeit überprüfen können, wer Zugriff auf ihre Daten hat, vermindern sie das Risiko einer Datenpanne signifikant. Damit sich so eine Lösung auch im Alltag durchsetzt, muss sie einfach zu verstehen sein. Der IT-Abteilung bleibt dann mehr Zeit, sich ihren eigentlichen Aufgaben zu widmen. Access-Rights-Management optimieren Für die Umsetzung ist es zunächst hilfreich, an einem konkreten Projekt die manuellen Prozesse zur Rechtevergabe zu standardisieren. Das beginnt beim Anlegen eines neuen Benutzers, indem Funktionsrollen erstellt werden. Rollenberechtigungen sind auf lange Sicht einfacher zu handhaben als Personenberechtigungen und erlauben es, neuen Mitarbeitern schnell die nötigen Rechte zuzuweisen. Zunächst ist mit dieser Vorgehensweise viel Aufwand verbunden, denn die Rollen müssen natürlich genau definiert und mit den passenden Rechten ausgestattet sein. Aber auf lange Sicht spart der Ansatz Zeit und erlaubt effizientere Prozesse. Auch im Hinblick auf anstehende Audits ist hier ein erster Grundstein gelegt. Softwaregestütztes Berechtigungsmanagement bietet zahlreiche Vorteile. Für das Management bedeutet es einen Schritt hin zur Haftungsbefreiung, weil geeignete Datenschutzmaßnahmen umgesetzt werden. Für den Administrator ist es eine Arbeitserleichterung und zugleich eine Absicherung. Er kann nachweisen, wer welche Änderungen vorgenommen hat und gerät bei Sicherheitsvorfällen nicht unnötig in die Schusslinie. Der Anwender selbst erlebt Datenschutz als etwas, das zu seinem Arbeitsalltag gehört. Er ist nicht mehr darauf angewiesen, wegen jeder Änderung den Support zu kontaktieren, und er weiß, dass auch seine persönlichen Daten gut geschützt werden. Und am Ende muss niemand fürchten, dass doch Unbefugte versehentlich Einblicke erhalten, die ihnen verborgen bleiben sollten. Und führe uns nicht in Versuchung, verliert seinen Schrecken, denn softwaregestütztes Berechtigungsmanagement verlässt sich nicht auf den guten Glauben, sondern setzt transparent durch, wer Zugriff auf welche Daten hat. Checkliste: Acht Punkte für IT-Grundschutz-konformes Berechtigungsmanagement Jeder bekommt nur, was er braucht Die Rechtevergabe erfolgt nach dem need-to-know- und dem least-privileges-prinzip Jeder ist einzigartig Es gibt eine Rollentrennung zwischen Administrator, Revisor und Benutzer, d.h. zwischen Diensteverwaltung und Datenverwaltung Vier schlägt zwei Benutzerrollen werden nach dem Vier-Augen-Prinzip vergeben, eventuell auch durch den Fachverantwortlichen mit Autorisierung durch den Administrator Zeit ist Geld Zugriffsrechte müssen schnell vergeben, geändert und entzogen werden können Maßgeschneidert Das Rollenkonzept soll sich an den organisatorischen und geschäftlichen Anforderungen orientieren Streitschlichter Rollenkonflikte werden schon bei der Definition aufgelöst Vertrauen ist gut, aber zu wenig Alle Rollenänderungen werden dokumentiert und im Idealfall automatisch als Report ausgegeben Alarmglocken für den Notfall Bei unerlaubten Zugriffen sollte das System den Administrator alarmieren

Cloud Computing mit IT-Grundschutz

Cloud Computing mit IT-Grundschutz Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Cloud Computing aus Sicht von Datensicherheit und Datenschutz Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen

Mehr

Cloud-Computing. Selina Oertli KBW 28.10.2014

Cloud-Computing. Selina Oertli KBW 28.10.2014 2014 Cloud-Computing Selina Oertli KBW 0 28.10.2014 Inhalt Cloud-Computing... 2 Was ist eine Cloud?... 2 Wozu kann eine Cloud gebraucht werden?... 2 Wie sicher sind die Daten in der Cloud?... 2 Wie sieht

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Datenschutz und Informationssicherheit 03.09.2015

Datenschutz und Informationssicherheit 03.09.2015 Datenschutz und Informationssicherheit 03.09.2015 Vertrauen in öffentliche Institutionen in Deutschland ist hoch Studie der GfK: Global Trust Report (2015) Staatliche Institutionen führen das Vertrauensranking

Mehr

IT-Grundschutz: Cloud-Bausteine

IT-Grundschutz: Cloud-Bausteine IT-Grundschutz: Cloud-Bausteine Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 12.09.2013 Was sind die Risiken? (Public

Mehr

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten Cloud Computing Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für 02.06.2015 1 Dozenten Katharina Wiatr Referentin für Beschäftigtendatenschutz (030) 13889 205; wiatr@datenschutz-berlin.de

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Informationssicherheit und Compliance-Erfüllung econet Der Weg zum sicheren Umgang mit Informationen und Zugriffsrechten Wohl nirgends in der IT sind gewachsene Strukturen riskanter, als in Dateisystemen

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 1. IT-Grundschutz-Tag 2013 27.02.2013 Inhalte

Mehr

Cloud? Vertrauen kann sich nur entwickeln. Genau wie Ihr Business.

Cloud? Vertrauen kann sich nur entwickeln. Genau wie Ihr Business. Cloud? Vertrauen kann sich nur entwickeln. Genau wie Ihr Business. Inhaltsverzeichnis Wie der moderne CIO den Übergang von IT-Infrastruktur- Optimierung zu Innovation meistert Wie kann ich Elemente meiner

Mehr

DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN

DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN THEGUARD! SMARTCHANGE CHANGE PROCESS DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN THEGUARD! SMARTCHANGE I CHANGE PROCESS

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Mehr als Cloud Computing. force : cloud

Mehr als Cloud Computing. force : cloud Mehr als Cloud Computing force : cloud Force Net Mehr als ein IT-Unternehmen Force Net ist ein Infrastruktur- und Cloud-Service-Provider, der die Lücke zwischen interner und externer IT schließt. Force

Mehr

Cloud Computing für die öffentliche Hand

Cloud Computing für die öffentliche Hand Hintergrundinformationen Cloud Computing für die öffentliche Hand Die IT-Verantwortlichen in allen Bereichen der öffentlichen Verwaltung Bund, Länder und Kommunen sehen sich den gleichen drei Herausforderungen

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Risikoanalyse mit der OCTAVE-Methode

Risikoanalyse mit der OCTAVE-Methode Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte

Mehr

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey Cloud Computing Datenschutzrechtliche Aspekte Diplom-Informatiker Hanns-Wilhelm Heibey Berliner Beauftragter für Datenschutz und Informationsfreiheit Was ist Cloud Computing? Nutzung von IT-Dienstleistungen,

Mehr

EIN INTEGRIERTER ANSATZ FÜR GOVERNANCE, RISIKOMANAGEMENT UND COMPLIANCE. von Maja Pavlek

EIN INTEGRIERTER ANSATZ FÜR GOVERNANCE, RISIKOMANAGEMENT UND COMPLIANCE. von Maja Pavlek EIN INTEGRIERTER ANSATZ FÜR GOVERNANCE, RISIKOMANAGEMENT UND COMPLIANCE von Maja Pavlek 1 GOVERNANCE, RISIKOMANAGEMENT UND COMPLIANCE EIN INTEGRIERTER ANSATZ Die TIBERIUM AG ist ein Beratungsunternehmen,

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

Claranet Managed Cloud. Deutschlands flexibles Leistungsplus für Unternehmen. VDC Virtual Data Centre

Claranet Managed Cloud. Deutschlands flexibles Leistungsplus für Unternehmen. VDC Virtual Data Centre Claranet Managed Cloud Deutschlands flexibles Leistungsplus für Unternehmen. VDC Virtual Data Centre Claranet Managed Cloud Einfach schneller mehr: Das Leistungsplus des Virtual Data Centre. Die Anforderungen

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Sicherheitsnachweise für elektronische Patientenakten

Sicherheitsnachweise für elektronische Patientenakten Copyright 2000-2011, AuthentiDate International AG Sicherheitsnachweise für elektronische Patientenakten Christian Schmitz Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 2 Systemziele

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz IT-Grundschutz-Tag 09.10.2013

Mehr

wikima4 mesaforte firefighter for SAP Applications

wikima4 mesaforte firefighter for SAP Applications 1 wikima4 mesaforte firefighter for SAP Applications Zusammenfassung: Effizienz, Sicherheit und Compliance auch bei temporären Berechtigungen Temporäre Berechtigungen in SAP Systemen optimieren die Verfügbarkeit,

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Cloud Computing Potenziale für die öffentliche Verwaltung führungskräfte forum im HHI, Berlin

Cloud Computing Potenziale für die öffentliche Verwaltung führungskräfte forum im HHI, Berlin Cloud Computing Potenziale für die öffentliche Verwaltung führungskräfte forum im HHI, Berlin Dr. Klaus-Peter Eckert, Dr. Peter Deussen Fraunhofer FOKUS - Berlin 18.10.2011 Agenda Technische Voraussetzungen

Mehr

Informationssicherheit als Outsourcing Kandidat

Informationssicherheit als Outsourcing Kandidat Informationssicherheit als Outsourcing Kandidat aus Kundenprojekten Frankfurt 16.06.2015 Thomas Freund Senior Security Consultant / ISO 27001 Lead Auditor Agenda Informationssicherheit Outsourcing Kandidat

Mehr

protecting companies from the inside out

protecting companies from the inside out protecting companies from the inside out 1 Integriertes Berechtigungsmanagement Futuredat IT Forum 15. Mai 2014 80% der Daten liegen unstrukturiert als ppt, doc und excel vor Quelle: Meryll Lynch 80% der

Mehr

CLOUD COMPUTING. Risikomanagementstrategien bei der Nutzung von Cloud Computing

CLOUD COMPUTING. Risikomanagementstrategien bei der Nutzung von Cloud Computing CLOUD COMPUTING Risikomanagementstrategien bei der Nutzung von Cloud Computing Michael Rautert Staatlich geprüfter Informatiker Geprüfter IT-Sicherheitsbeauftragter (SGS TÜV) Ausbildung zum geprüften Datenschutzbeauftragten

Mehr

Siemens IT Solutions and Services presents

Siemens IT Solutions and Services presents Siemens IT Solutions and Services presents Cloud Computing Kann Cloud Computing mein Geschäft positiv beeinflussen? Ist Cloud Computing nicht nur eine Marketing-Idee? Unsere Antwort: Mit Cloud Computing

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

MS SharePoint stellt Ihnen ein Intranet Portal zur Verfügung. Sie können Ihre Inhalte weltweit verfügbar machen auch für mobile Endgeräte.

MS SharePoint stellt Ihnen ein Intranet Portal zur Verfügung. Sie können Ihre Inhalte weltweit verfügbar machen auch für mobile Endgeräte. Microsoft SharePoint Microsoft SharePoint ist die Business Plattform für Zusammenarbeit im Unternehmen und im Web. Der MS SharePoint vereinfacht die Zusammenarbeit Ihrer Mitarbeiter. Durch die Verbindung

Mehr

Schatten-IT Wie Sie die Kontrolle über Ihr Netzwerk zurück erlangen. Dipl.-Ing. Lutz Zeutzius Senior IT-Consultant

Schatten-IT Wie Sie die Kontrolle über Ihr Netzwerk zurück erlangen. Dipl.-Ing. Lutz Zeutzius Senior IT-Consultant Schatten-IT Wie Sie die Kontrolle über Ihr Netzwerk zurück erlangen Dipl.-Ing. Lutz Zeutzius Senior IT-Consultant Fünfzehnjährige Erfahrung bei der IT-Beratung und Umsetzung von IT-Projekten bei mittelständischen

Mehr

Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen

Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen Sicherheitsarchitektur Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen Ing. Johannes MARIEL, Stabsabteilung Sicherheit & Qualität Februar 2008 www.brz.gv.at Der IT-Dienstleister des Bundes

Mehr

Ihre Informationen in guten. Bedarfsgerechte Lösungen für Ihr Informationsmanagement

Ihre Informationen in guten. Bedarfsgerechte Lösungen für Ihr Informationsmanagement Ihre Informationen in guten Händen. Mit Sicherheit. 4444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444 Bedarfsgerechte Lösungen für Ihr Informationsmanagement

Mehr

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit Umsetzungsverfahren KMU-Zertifizierung Informationssicherheit Inhalt Umsetzungsverfahren... 1 Umsetzungsverfahren zur KMU-Zertifizierung nach OVVI Summary... 2 1. Information Security Policy / IT-Sicherheitsleitlinie...

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2013 09.10.2013 Agenda

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Strukturierte Informationssicherheit

Strukturierte Informationssicherheit Strukturierte Informationssicherheit Was muss getan werden ein kurzer Überblick. Donnerstag, 16.Juli 2009 Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de

Mehr

Cloud Computing Security

Cloud Computing Security Cloud Computing Security Wie sicher ist die Wolke? Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen 24.6.2010 SPI Service Modell Prof. Dr. Christoph Karg: Cloud Computing Security 2/14

Mehr

Der neue Anstrich. istockphoto.com/kontrec

Der neue Anstrich. istockphoto.com/kontrec Der neue Anstrich für Ihr ERP! istockphoto.com/kontrec Reif für einen Unternehmen entwickeln und verändern sich, und damit auch ihre Geschäftsprozesse und die Anforderungen an die eingesetzte ERP-Software.

Mehr

GPP Projekte gemeinsam zum Erfolg führen

GPP Projekte gemeinsam zum Erfolg führen GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.

Mehr

CeSeC Certified Secure Cloud

CeSeC Certified Secure Cloud CeSeC Certified Secure Cloud - Der sichere Weg in die Cloud - 1 Bayerischer IT-Sicherheitscluster e.v. 05.10.2015 Was macht der Bayerische IT-Sicherheitscluster e.v.? Bündelung der IT-Sicherheits-Kompetenz

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

Der starke Partner für Ihre IT-Umgebung.

Der starke Partner für Ihre IT-Umgebung. Der starke Partner für Ihre IT-Umgebung. Leistungsfähig. Verlässlich. Mittelständisch. www.michael-wessel.de IT-Service für den Mittelstand Leidenschaft und Erfahrung für Ihren Erfolg. Von der Analyse

Mehr

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA & Datenschutz und IT-Sicherheit Smart Meter CA & Gateway Administration SmartMeterCA & Gateway Administration 4 Projekte 4 gute Ideen für den Smart Meter Gateway Administrator Unsere vier Projekte im Überblick

Mehr

IT-Grundschutz-Bausteine Cloud Computing

IT-Grundschutz-Bausteine Cloud Computing IT-Grundschutz-Bausteine Cloud Computing, BSI Referat B22 Analyse von Techniktrends in der Informationssicherheit 3. Cyber-Sicherheits-Tag für Teilnehmer der Allianz für Cyber-Sicherheit in der Spielbank

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) 32.Forum Kommunikation und Netze 25. und 26. März 2015 in Rotenburg a. d. Fulda Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) Stefan Wojciechowski IT-Sicherheitsbeauftragter

Mehr

Die neue ISO 9001:2015 Neue Struktur

Die neue ISO 9001:2015 Neue Struktur Integrierte Managementsysteme Die neue ISO 9001:2015 Neue Struktur Inhalt Neue Struktur... 1 Die neue ISO 9001:2015... 1 Aktuelle Status der ISO 9001... 3 Änderungen zu erwarten... 3 Ziele der neuen ISO

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 1. IT-Grundschutz-Tag 2013 27.02.2013 Inhalte

Mehr

Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze?

Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze? Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze? Vortrag im Rahmen des BSI-Grundschutztages zum Thema Datenschutz und Informationssicherheit für KMU in der Praxis am 25.10.2011 im Bayernhafen Regensburg

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2014 20.03.2014

Mehr

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04.

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. November 2014 1 Index Sicherheitsstrategie Praxis Ganzheitliche Betrachtung (Informations-)

Mehr

bei DATEV Unterwegs in der Cloud sicher? Torsten Wunderlich, Leiter DATEV-Informationsbüro Berlin

bei DATEV Unterwegs in der Cloud sicher? Torsten Wunderlich, Leiter DATEV-Informationsbüro Berlin Willkommen bei DATEV Unterwegs in der Cloud sicher? Torsten Wunderlich, Leiter DATEV-Informationsbüro Berlin Was nutzen Sie heute schon in der Cloud? Mobil Privat-PC Gmail Deutsche Bank Flickr Wikipedia

Mehr

Cloud Services - Innovationspotential für Unternehmen

Cloud Services - Innovationspotential für Unternehmen Cloud Services - Innovationspotential für Unternehmen Oliver Möcklin Geschäftsführer ORGATEAM GmbH Beratung auf Augenhöhe Was macht ORGATEAM BSI Compliance IT Strategie Rechenzentrumsplanung Chancen- und

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

Wozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM.

Wozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM. Wozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM. 4. IT-Grundschutz-Tag 2014, Nürnberg Bundesamt für Sicherheit in der Informationstechnik ism Secu-Sys AG Gerd Rossa, CEO ism Secu-Sys

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

ELECTRONIC GmbH. Ihr Partner für Zeitwirtschaft als Dienstleistung - AHB Zeitwirtschaft plus

ELECTRONIC GmbH. Ihr Partner für Zeitwirtschaft als Dienstleistung - AHB Zeitwirtschaft plus ELECTRONIC GmbH Ihr Partner für Zeitwirtschaft als Dienstleistung - AHB Zeitwirtschaft plus Zeitwirtschaft im Blitzeinstieg ohne Investition! Die moderne Arbeitswelt, insbesondere die des Finanzwirtschaftsmarktes,

Mehr

Regelung zur Dokumentation

Regelung zur Dokumentation Regelung zur Dokumentation Zweck Die Dokumentation ist Nachweis und Maßstab für die Leistungsfähigkeit Ihres Managementsystems. Sie legt Ursachen und Ergebnisse betrieblichen Handelns offen. Genauigkeit,

Mehr

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers Anlage zum Vertrag zur Auftragsdatenverarbeitung Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers im Rahmen der Auftragsdatenverarbeitung? Wir helfen: www.activemind.de

Mehr

Windows Azure Ihre Plattform für professionelles Cloud Computing

Windows Azure Ihre Plattform für professionelles Cloud Computing Windows Azure Ihre Plattform für professionelles Cloud Computing Eine Plattform für Hochverfügbarkeit und maximale Flexibilität und ein Partner, der diese Möglichkeiten für Sie ausschöpft! Microsoft bietet

Mehr

Wachsende Anzahl kommunaler Aufgaben Schwindende Finanzspielräume Demografischer Wandel Hohe IT-Ausstattung der Arbeitsplätze > Technische

Wachsende Anzahl kommunaler Aufgaben Schwindende Finanzspielräume Demografischer Wandel Hohe IT-Ausstattung der Arbeitsplätze > Technische Wachsende Anzahl kommunaler Aufgaben Schwindende Finanzspielräume Demografischer Wandel Hohe IT-Ausstattung der Arbeitsplätze > Technische Komplexität steigt > Wachsende Abhängigkeit von der IT Steigende

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement nach ISO 27001 und BSI Grundschutz Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und

Mehr

IDV Assessment- und Migration Factory für Banken und Versicherungen

IDV Assessment- und Migration Factory für Banken und Versicherungen IDV Assessment- und Migration Factory für Banken und Versicherungen Erfassung, Analyse und Migration von Excel- und AccessAnwendungen als User-Selfservice. Sind Ihre Excel- und Access- Anwendungen ein

Mehr

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de Security Excellence Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information

Mehr

Cloud Computing Realitätscheck und Optionen für KMUs

Cloud Computing Realitätscheck und Optionen für KMUs Cloud Computing Realitätscheck und Optionen für KMUs 6. Stuttgarter Sicherheitskongress Michael Wilfer, Fichtner IT Consulting AG Vorsitzender ITK Ausschuss, IHK Region Stuttgart Oktober 04 Cloud Computing

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen e-netz Südhessen GmbH & Co. KG Dornheimer Weg 24 64293 Darmstadt für das IT System Querverbundleitstelle Darmstadt

Mehr

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit

Mehr

Office 365-Plan für kleine, mittelständige und große Unternehmen

Office 365-Plan für kleine, mittelständige und große Unternehmen Office 365-Plan für kleine, mittelständige und große Unternehmen Office 365-Plan für kleine Unternehmen Gehostete E-Mail (Exchange Online Plan 1) Ihr Upgrade auf professionelle E-Mail, kostengünstig und

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

Microsoft Cloud Ihr Weg in die Cloud

Microsoft Cloud Ihr Weg in die Cloud Microsoft Cloud Ihr Weg in die Cloud Komfort Informationen flexibler Arbeitsort IT-Ressourcen IT-Ausstattung Kommunikation mobile Endgeräte Individualität Mobilität und Cloud sind erfolgsentscheidend für

Mehr

Rechtssichere E-Mail-Archivierung. Jetzt einfach und sicher als Managed Service nutzen

Rechtssichere E-Mail-Archivierung. Jetzt einfach und sicher als Managed Service nutzen Rechtssichere E-Mail-Archivierung Jetzt einfach und sicher als Managed Service nutzen Rechtliche Sicherheit für Ihr Unternehmen Absolute Sicherheit und Vertraulichkeit Geltende rechtliche Anforderungen

Mehr

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich ISO 27001 im Kundendialog Informationssicherheit intern und extern organisieren Juni 2014 Was steckt hinter der ISO/IEC 27001:2005? Die internationale Norm ISO/IEC 27001:2005 beschreibt ein Modell für

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Konsolidierung von Dateisystemund Berechtigungsstrukturen Der econet Dateisysteme zügig konsolidieren Unklare Berechtigungsverhältnisse beim Dateisystemzugriff sind eine Bedrohung für das Unternehmens-Know-how.

Mehr

Planung und Umsetzung von IT-Compliance in Unternehmen

Planung und Umsetzung von IT-Compliance in Unternehmen Planung und Umsetzung von IT-Compliance in Unternehmen Ein kurzer Überblick über die wichtigsten Regelungen. Zu meiner Person Dipl. Informatiker (IANAL) Seit mehr als 15 Jahren unterstütze ich Unternehmen

Mehr

TECHNOLOGY COMMUNICATION INFORMATION

TECHNOLOGY COMMUNICATION INFORMATION TECHNOLOGY COMMUNICATION INFORMATION Jürgen Hornberger Der Kopf von Hornberger ICT Jürgen Hornberger + Jahrgang 1967 + Diplom-Wirtschaftsingenieur + Studium Elektrotechnik und Nachrichtentechnik + Studium

Mehr

Maintenance & Re-Zertifizierung

Maintenance & Re-Zertifizierung Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0

Mehr

Cyber-Sicherheit bei Cloud und Virtualisierung Sicherer Aufbau und Betrieb von Cloud- und Virtualisierungsumgebungen

Cyber-Sicherheit bei Cloud und Virtualisierung Sicherer Aufbau und Betrieb von Cloud- und Virtualisierungsumgebungen Cyber-Sicherheit bei Cloud und Virtualisierung Sicherer Aufbau und Betrieb von Cloud- und Virtualisierungsumgebungen 17. 18. Juni 2014, Berlin 9. 10. Dezember 2014, Düsseldorf Cyber-Sicherheit bei Cloud

Mehr

EFFIZIENTES ENTERPRISE SERVICE MANAGEMENT: FLEXIBEL, ITIL-KONFORM UND OUT OF THE BOX

EFFIZIENTES ENTERPRISE SERVICE MANAGEMENT: FLEXIBEL, ITIL-KONFORM UND OUT OF THE BOX THEGUARD! SERVICEDESK EFFIZIENTES ENTERPRISE SERVICE : FLEXIBEL, ITIL-KONFORM UND OUT OF THE BOX EFFIZIENTES ENTERPRISE SERVICE : FLEXIBEL, ITIL-KONFORM UND OUT OF THE BOX THEGUARD! SERVICEDESK Im Fokus

Mehr

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014 Recht in der Cloud Die rechtlichen Aspekte von Cloud Computing Nicole Beranek Zanon Lic. iur., EMBA HSG 2 Agenda 1 2 3 4 5 Ausgangslage: Cloud oder eigener Betrieb?Cloud Ecosystem Die wichtigsten rechtlichen

Mehr

Ausblick und Diskussion

Ausblick und Diskussion Ausblick und Diskussion Isabel Münch Bundesamt für Sicherheit in der Informationstechnik Sicherheitsmanagement und IT-Grundschutz IT-Grundschutz-Tag 04.05.2011 Agenda Allgemeine Weiterentwicklung IT-Grundschutz

Mehr

GRC-Suite i RIS Eine intelligente Lösung

GRC-Suite i RIS Eine intelligente Lösung GRC-Suite i RIS GRC-Suite i RIS Eine intelligente Lösung Die Software GRC-Suite i RIS (intelligent Reports, Informations and Solutions) unterstützt Sie effektiv und effizient in Ihrem Governance-, Risk-

Mehr

ISO 20000: Die CMDB im Betrieb und ihr Beitrag zu einem funktionierenden ITSM-System

ISO 20000: Die CMDB im Betrieb und ihr Beitrag zu einem funktionierenden ITSM-System ISO 20000: Die CMDB im Betrieb und ihr Beitrag zu einem funktionierenden ITSM-System 7. INFORMATION-SECURITY-SYMPOSIUM, WIEN 2011 DI Markus Hefler, BSc, Florian Hausleitner 1 Agenda 1. Kurze Vorstellung

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Auf sichere Weise Geschäftsvorteile für das Online-Geschäft schaffen

Auf sichere Weise Geschäftsvorteile für das Online-Geschäft schaffen Auf sichere Weise Geschäftsvorteile für das Online-Geschäft schaffen Wichtige Technologietrends Schutz der Daten (vor Diebstahl und fahrlässiger Gefährdung) ist für die Einhaltung von Vorschriften und

Mehr

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014 Recht in der Cloud Die rechtlichen Aspekte von Cloud Computing Nicole Beranek Zanon Lic. iur., EMBA HSG 2 Agenda 1 2 3 4 5 6 Ausgangslage: Cloud oder eigener Betrieb?Cloud Ecosystem Verantwortlichkeit

Mehr

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015 ITK Sicherheitsgesetz Umsetzung mit verinice.pro verinice.xp- Grundschutztag 15.09.2015 Überblick Kurze Vorstellung des IT-Sicherheitsgesetzes Konkretisierung des Gesetzes für Energieversorger Abbildung

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

INS Engineering & Consulting AG

INS Engineering & Consulting AG INS Engineering & Consulting AG INS Präsentation «Auslagerung von Dienstleistungen im KMU-Umfeld» 11. Juni 2015 Seite 0 Agenda Begrüssung & Vorstellung Was macht KMUs einzigartig? Was sind Gründe für eine

Mehr