Deutsche Cloud-Anbieter müssen die aktuelle Aufmerksamkeit
|
|
- Jobst Lenz
- vor 8 Jahren
- Abrufe
Transkript
1 Informationsdienst Liebe Leserin, lieber Leser, gerade weil die aktuellen Enthüllungen über neugierige Nachrichtendienste Cloud-Anwender nachdenklich machen werden, sind die neuen Bausteine zum Thema Cloud aus dem BSI eine willkommene Nachricht. Die Cloud hat im Ansatz nichts von ihrer Attraktivität für viele Firmen verloren, solange die Vertraulichkeit der Daten gewährleistet ist. Und diese Vertraulichkeit kann durch klare Vorgaben zu Prozessen und technischen Maßnahmen wie im IT-Grundschutz unterstützt werden. Interview: Deutsche Cloud-Anbieter müssen die aktuelle Aufmerksamkeit nutzen Seite 107 Kolumne: IT-Grundschutz nach BSI strategisch planen Seite 109 BSI treibt Cloud-Unterstützung voran Seite 111 Rechtekontrolle erleichtert Grundschutzkonformität Seite 113 Deutsche Cloud-Anbieter müssen die aktuelle Aufmerksamkeit nutzen Max Schulze, Analyst, techconsult Elmar Török, bits+bites Max Schulze ist in den Bereichen Anbieter- und professioneller Anwenderberatung für die techconsult GmbH tätig und deckt dabei die Kompetenzfelder Data Center Automation, Business Process Management sowie Cloud Computing ab. Er hat Wirtschaftswissenschaften mit den Schwerpunkten Wirtschaftsinformatik und Private Public Management studiert und war nach dem Studium als Diplom-Ökonom mehrere Jahre als IT Consultant bei einer Unternehmensberatung tätig. IT-Grundschutz: Herr Schulze, gerade wurde die Cloud als legitimes Element innerhalb der IT-Infrastruktur gesehen, da zeigen die Enthüllungen von Herrn Snowden, dass wenig sicher ist, was die eigenen Rechner verlässt und im Netz lagert oder unterwegs ist. Wird das der Ausbreitung von Cloud-Diensten nachhaltig schaden? Schulze: Generell zeigen die veröffentlichten Spionageskandale, dass die Bedenken und Sorgen gerade bei so genannten Cloud-Gegnern oder Unternehmen, die von der Einführung von Cloud Services noch nicht ganz überzeugt waren, wieder verstärkt zugenommen haben. Der wirklich große Schaden, bezogen auf PRISM und Cloud Computing, dürfte bei den amerikanischen Cloud-Anbietern liegen, deren Cloud-Geschäft auch in Deutschland beheimatet ist. Eine der wichtigsten Komponenten bei Cloud-Lösungen, nämlich das Vertrauen in den Anbieter und dessen Sicherheit zu gewährleisten, dürfte nachhaltig gestört sein. IT-Grundschutz: Daten sind laut Snowden vor allem gefährdet, wenn sie die Landesgrenzen überschreiten, weil die NSA und andere Dienste große Aggregator-Leitungen anzapfen. Sorgt das für mehr Interesse bei den Kunden, einen lokalen, also deutschen Cloud-Provider zu nutzen? Schulze: Die Cloud-Technologie hat viele Vorteile, besonders die des Flexibilitätszuwachses und der Kostenreduzierung. Diese verpuffen jedoch sehr schnell, wenn elementare Kriterien wie umfassender Schutz der Daten, hinreichende Detaillierung des Angebots und vor allem Standortfragen nicht klar definiert werden. PRISM hat Cloud- Anbietern, die auf Cloud-Services made in Germany setzen, neuen Aufschwung gebracht. Auf die seit Jahren bekannten Effektivitätsgewinne durch den Einsatz der Cloud- Technologie möchten wohl die wenigsten Unternehmen zukünftig verzichten, daher werden die Wege zwangsläufig zum Serverstandort Deutschland mit seinem strengen 107
2 Studien und Analysen 108 Datenschutzrecht führen. Es liegt jetzt an den Cloud-Anbietern selbst, die neu gewonnene Aufmerksamkeit für sich erfolgreich zu nutzen und an der Justiz, eine glaubwürdige Datenschutzverordnung für Europa durchzusetzen. IT-Grundschutz: Worauf sollten Anwender hinsichtlich Datenschutz und Verfügbarkeit achten, wenn sie Cloud-Technik und einen Cloud-Provider wählen? Schulze: Nach wie vor gilt es vor dem Einsatz von Cloud-Lösungen abzuwägen, welche Daten ein Höchstmaß an Sicherheit benötigen und welche Daten geringerem Sicherheitsstandard unterliegen können. Nach der detaillierten Analyse der Gefährdungspotenziale können die Unternehmen mit einem seriösen und zuverlässigen Cloud-Partner ein hybrides Cloud-Modell ent wickeln, um die Vorteile einer Private- und einer Public-Cloud zu nutzen. Höhere Priorität als bisher sollte auf End-to-End-Sicherheitsmaßnahmen gelegt werden, bei denen der Schutz der Informationen und nicht von Systemen oder Netzen im Fokus steht. Nach Umsetzungen dieser Anforderungen sollte ein gesundes Mittelmaß zwischen den bestehenden Risiken, den Umsetzungskosten und des zu erwartenden Mehrwerts durch die fokussierte Cloud-Leistung erkennbar sein. IT-Grundschutz: Haben Ihrer Ansicht nach kleine Unternehmen und Mittelständler bereits das notwendige Wissen, um eine optimale Auswahl zu treffen? Oder lohnt sich der Einsatz eines Beraters in jedem Fall? Schulze: Auf der Suche nach einem geeigneten Cloud Service stehen zumeist kleinere Unternehmen mit wenig IT-Fachpersonal vor einem undurchsichtigen und vielschichtigen Cloud-Dschungel. Um mehr Transparenz zu erhalten, kann die Inanspruchnahme von externen Beratern definitiv sinnvoll sein. Zwar ist der Einsatz von Unternehmensberatern kostspielig, jedoch werden diese Kosten bei der Einführung von umfassenden Cloud Services miteingerechnet und helfen den Anwenderunternehmen zu einer realistischen Einschätzung ihres Bedarfes bezogen auf die Cloud-Technologie. Dazu gehört eine IST-Analyse der unternehmenseigenen IT-Ressourcen im Vergleich zu den analysierten zukünftigen Cloud-Anschaffungen, die für den nachhaltigen Erfolg des Unternehmens notwendig werden. Die Bewertung der Ergebnisse setzt dabei spezifisches Cloud-Knowhow voraus, welches gerade in kleineren Unternehmen mit Fokus auf andere Geschäftsfelder in der Form nicht bereitgestellt werden kann. IT-Grundschutz: Bislang boten die klassischen IT-Zertifizierungen wie ISO oder BSI IT-Grundschutz wenig bis keine Hilfestellung bei Cloud-Angeboten. Glauben Sie, dass das der Verbreitung und Akzeptanz geschadet hat? Schulze: Zertifizierungen wie ISO können gerade bei mittelständischen Anwenderunternehmen Vertrauen hinsichtlich der zu erwartenden Sicherheitsstrategien und Verfahren eines Cloud-Anbieters schaffen und schaden daher nicht bei der Verbreitung oder Akzeptanz von Cloud Services. In Anbetracht der gestiegenen Sensibilität gegenüber Cloud-Angeboten wird sich die Cloud-Branche jedoch stärker denn je für einen transparenten und detaillierten Cloud-Markt stark machen müssen. Anwenderunternehmen erwarten von ihren Cloud-Anbietern die Vorhaltung einer ausreichenden Liquidität sowie detailliertes Fach-Know-how und vorzeigbare Referenzprojekte sowie Innovationsfähigkeit, um langfristig von der Cloud-Technologie profitieren zu können. IT-Grundschutz: Wenn die Daten in der Cloud liegen, fehlt letztendlich der physische Zugriff darauf. Wie kann man sicherstellen, dass die Daten, zum Beispiel nach der Kündigung des Vertrags, sicher gelöscht werden? Schulze: In der Vereinbarung zwischen Auftraggeber und Dienstleister für den entsprechenden Cloud Service muss auch die vollständige Löschung der Daten nach der Kündigung des Vertrages festgehalten sein. Wichtig ist dabei, dass Duplikate ebenfalls in den Löschvorgang einbezogen werden. IT-Grundschutz: Angenommen, der Kunde will von einem zum anderen Cloud-Anbieter wechseln. Gibt es Migrationsstrategien für die Daten und Anwendungen? Oder ist es in der Regel einfacher alles zu löschen und beim neuen Anbieter frisch aufzusetzen? Schulze: Seitdem Cloud Computing zunehmend als strategisches Werkzeug Einzug in die Unternehmen erhält, wachsen auch die Bestrebungen der Cloud-Anbieter, Standards bei den Schnittstellen zur Verfügung zu stellen. Interoperabilität und weitreichende Standards bei Cloud-Services lassen sich schon seit längerem miteinander verbinden. Einheitliche Interfaces mit dazugehörigen Adaptern ermöglichen die Migration eines Cloud Services zwischen verschiedenen öffentlichen und privaten Clouds. Zusätzlich sorgen autonome Abstraktionsebenen dafür, dass Applikationen und Hardware voneinander getrennt werden und Cloud Services leichter von der aufgebauten IT-Infrastruktur abgekoppelt werden können. Eine entsprechende Migrationsstrategie sollte demnach möglich sein, um den reibungslosen Wechsel zwischen verschiedenen Cloud-Anbietern zu ermöglichen. IT-Grundschutz: Was raten Sie Cloudinteressierten Anwendern hinsichtlich des Backups? Selbst In-House lösen oder über den Cloud-Provider abwickeln lassen? Schulze: Die Anwenderunterneh-
3 men sollten im Vorfeld objektiv klären (möglicherweise durch externe Beratung), welche Daten ein Höchstmaß an Sicherheit benötigen und inwiefern In-House diese Sicherheit gewährleistet werden kann. Sollte nach der detaillierten Analyse der Gefährdungspotenziale ein Ergebnis vorliegen, welches Backup-Möglichkeiten bei Cloud- Providern offeriert, die ein höheres Sicherheitniveau bieten als das eigene Unternehmen, ist auch eine Backup-on-demand-Strategie interessant. IT-Grundschutz: Zu guter Letzt: Es gibt wohl keinen Zweifel daran, dass Daten durch ausländische Nachrichtendienste in großem Maß abgegriffen (nicht unbedingt auch ausgewertet) werden. Können Sie einen Trend erkennen, dass deutsche Unternehmen ihre Geschäftsbeziehungen mit (vor allem) amerikanischen Cloud-Providern zurückfahren und nach inländischen Alternativen suchen? Schulze: Unsere Umfragen belegen, dass viele Mittelständler mit Sorge groß angelegte Kooperationen deutscher Cloud-Anbieter über die Landesgrenzen hinweg betrachten. Die Anwenderunternehmen befürchten dadurch den nachhaltigen Kontrollverlust über ihre IT-Systeme, wenn ausländische Cloud-Services hinter deutschen Anbietern stehen und damit auch Max Schulze ist Analyst bei techconsult und dort unter anderem spezialisiert auf das Thema Cloud verbundene rechtliche Unsicherheiten. Daher wird dieses Thema in naher Zukunft eine zentrale Rolle spielen. IT-Grundschutz nach BSI strategisch planen Teil 6: Dokumentation eine Schattenwelt (nicht nur) in der IT Felix Widmer, Inhaber, Tan Consulting Was nicht aufgeschrieben wurde, existiert nicht. Die goldene Regel jeder Dokumentation gilt natürlich ebenso beim Einsatz von IT-Sicherheitsstandards wie dem IT-Grundschutz. Dokumentation ist kein Hexenwerk, hat aber nachhaltigen Einfluss darauf, ob sich IT-Sicherheitsniveaus über längere Zeiträume halten und verbessern lassen. Ein Information Security Management System (ISMS) funktioniert nur in Kombination mit einer ordnungsmäßigen und jederzeit aktuellen Dokumentation. Das ist auch unabhängig von Standards oder Compliance-Vorgaben. ISO fordert beispielsweise ganz klar, dass Maßnahmen auf Managemententscheide und Strategien zurückgeführt werden können. Prozesse müssen messbare und reproduzierbare Ergebnisse liefern. Ohne Dokumentation ist ein ISMS eine Alibiübung und die Ressourcen nicht wert, die dadurch belegt werden. Schritt 1: Dokumentation planen In einem ersten Schritt muss das Dokumentationskonzept erstellt werden. Im Zentrum stehen dabei die für den konkreten Fall relevanten Gesetze, Frameworks, Normen und Standards. Konfuzius sagte: Wenn die Sprache nicht stimmt, dann ist das, was gesagt wird, nicht das, was gemeint ist. Ist das, was gesagt wird, nicht das, was gemeint ist, so kommen keine guten Werke zustande. Kommunikation ist die Basis für die Umsetzung des Dokumentationskonzepts. Mitarbeitende müssen aktiv in den Dokumentationsprozess einbezogen werden. Dokumentationen müssen auch zielgruppenorientiert sein. So ist zum Beispiel eine technische Detailbeschreibung für den Endbenutzer weder verständlich noch relevant. Dokumentationen müssen einfach und jederzeit verfügbar sein. Dazu gibt es heute mehr Möglichkeiten denn je. Online-Hilfen und Wikis, Content Management Systeme (CMS) und Wissensdatenbanken 109
4 Wurden fremde Bestandteile der Dokumentation identifiziert und gekennzeichnet? Ist sichergestellt, dass nur aktuelle Versionen verfügbar sind? Wird die Dokumentation Richtlinien-konform archiviert? Schritt 4: Dokumentation aktualisieren 110 Ob national oder international: Alle Standards verlangen eine korrekte Dokumentation können alle, richtig eingesetzt, den technischen Unterbau für die Dokumentation bilden. Darüber hinaus muss die Dokumentationserstellung standardisiert sein. Es müssen verschiedene Publikationsplattformen bedient werden können, dazu gehören auch mobile Endgeräte. Der Inhalt muss aus einer Quelle zielorientiert gepflegt und generiert werden. Und natürlich hilft die beste Dokumentation nichts, wenn sie nicht gelesen wird. Das Verständnis der Dokumentation muss mit interaktiven Wissensabfragen trainiert und überprüft werden. Schritt 2: Dokumentation erstellen Am Beispiel ISMS mit Konformität zu ISO bedeutet das unter anderem, die Erstellung folgender Dokumente: Sicherheitsleitbild und Zielsetzung Umfang des ISMS Verfahren und Kontrollen zur Unterstützung des ISMS Beschreibung der Methodik der Risikobewertung Risikobewertung Vorgehen zur Verhinderung, Beseitigung und Reduzierung von Risiken Verfahrensbeschreibungen, um die effektive Planung, Durchführung und Kontrolle der Sicherheitsprozesse zu gewährleisten Beschreibung wirksamer Kontrollen. Schritt 3: Dokumentation überprüfen Dokumentation ist keine Eintagsfliege, sie lebt mit den beschriebenen Prozessen und Ergebnissen. Bevor die Dokumente veröffentlicht und genutzt werden, muss klar sein, dass sie richtig und angemessen sind und korrekt aufbewahrt werden. Überprüft werden müssen unter anderem folgende Punkte: Ist die Dokumentation angemessen hinsichtlich Ziel, Zweck, Umfang und Zielgruppe? Ist die Dokumentation noch aktuell? Lassen sich Review, Aktualisierung und erneute Freigabe nach Änderungen nachvollziehen? Sind alle Dokumente eindeutig identifizierbar sein, auch im Kontext mit anderen Dokumenten? Wird unnötige Redundanz vermieden? Sind alle Bestandteile der Dokumentation korrekt klassifiziert und vor unbefugtem Zugriff geschützt? Prozesse und Strategien verändern sich ebenso wie Hard- und Software. Dokumentation ist kein statischer Block, sondern eine flexible Ansammlung dynamischer Informationen. Viele nützliche Erkenntnisse entstehen gerade dadurch, dass die Historie eines Vorgangs sichtbar und nachvollziehbar wird. Aktualisierung bedeutet vor allem: Dokumente an die aktuellen Gegebenheiten anzupassen. Dazu gehören alle Bereiche, Prozessbeschreibungen ebenso wie durchgeführte Kontrollen und Leistungskennzahlen. Alte Dokumente müssen nachvollziehbar aus dem Verkehr gezogen und konform archiviert werden. Die Aktualisierung muss im Rahmen eines Change Management Prozesses erfolgen. Nur so wird sichergestellt, dass auch das Dokumentationskonzept und die Planung kontinuierlich und nachvollziehbar verbessert werden. Zusammenfassung Dokumentation und Kommunikation sind zwingende Voraussetzungen für ein funktionierendes ISMS. Das Wissen der Mitarbeitenden muss aktiv genutzt werden und teilbar sowie personenunabhängig zugänglich sein. Eine mangelhafte, fehlerhafte oder fehlende Dokumentation ist eines der größten und meist unterschätzten Geschäftsrisiken und führt früher oder später zu hohen Kosten und Reputationsschäden. Es ist höchste Zeit, die Dokumentation aus ihrem Schattendasein zu befreien.
5 Wolke erhält Siegel BSI treibt Cloud-Unterstützung voran Elmar Török, bits+bites Cloud Computing ist für die Anwender mehr denn je ein heikles Thema. Sicherheit und Datenschutz haben nach den jüngsten Enthüllungen über mitlesende Nachrichtendienste höchste Priorität. Das BSI unterstützt die Bemühungen der Nutzer durch mehrere neue Bausteine und Initiativen. Quelle: Julien Christ / pixelio.de Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird bis Ende 2013 vier Bausteine zum Thema Cloud Computing für das Informationssicherheitsmanagementsystem (ISMS) IT-Grundschutz fertig stellen. Das kündigte BSI-Präsident Michael Hange anlässlich des Zukunftskongresses Staat und Verwaltung 2013 in Berlin an. Die Bausteine Cloud- Management, Cloud-Nutzung, Webservices und Cloud-Storage gehen dabei auf Gefährdungen von Cloud-Lösungen ebenso ein wie auf wirksame Schutzmaßnahmen gegen diese Gefährdungen. Aktuell, mit neuen Prioritäten Das BSI beschäftigt sich schon seit einiger Zeit mit der Frage nach der Sicherheit von Cloud-Angeboten und hatte bereits im Mai 2011 ein Eckpunktepapier veröffentlicht (1), das einen Überblick über die wesentlichen Felder von Cloud Computing gab, in denen Sicherheit umgesetzt werden sollte. Eine neue Version des Eckpunktepapiers ist zum derzeitigen Stand nicht geplant, es ist nach Ansicht des BSI noch aktuell. Lediglich die Prioritäten bei den Anwendern haben sich verschoben, so stehen Fragen des Datenschutzes heute stärker im Vordergrund als In erster Annäherung ist Cloud eine Spielart des Outsourcings und der Umgang damit ist in zahlreichen Grundschutz-Dokumenten, auch in den Grundschutz-Katalogen, eindeutig für die verschiedenen Sicherheitsansprüche festgelegt. Einige Aspekte beim Cloud Computing jedoch sind neu und gehen über Outsourcing hinaus. Diese Aspekte ergeben sich hauptsächlich aus der Nutzung der gleichen Infrastruktur durch verschiedene Mandanten. Die vier neuen Bausteine Cloud- Management, Web-Services, Cloud- Nutzung und Cloud-Storage sollen dazu dienen, das Thema Cloud umfassend im Rahmen eines ISMS abzubilden. Die Dokumente sind komplementär zu bestehenden Bausteinen. Beispielsweise ergänzt Hilfe für KMU Einfaches Notfallmanagement Wie auf dem Deutschen IT-Sicherheitskongress angekündigt, steht eine weitere Veröffentlichung bevor. Eine Studie zum Thema Notfallmanagement mit der Cloud wird voraussichtlich zur it-sa Anfang Oktober erscheinen. Dabei geht es darum, kleinen und mittelständischen Unternehmen (KMU) zu zeigen, wie sie die oft vorhandene Virtualisierungstechnik nutzen können, um schnell und kostengünstig die Verfügbarkeit der IT-gestützten Geschäftsprozesse zu erhöhen. Cloud-Storage den Baustein B Speichersysteme und Speichernetze um technische Erweiterungen wie Fibre-Channel. Web-Services fügt weitere technische Aspekte zum kürzlich vorgestellten Baustein Web- Anwendungen hinzu. Die Bausteine werden entwickelt, um typische Komponenten und damit auch typische Gefährdungen, Schwachstellen und Risiken in einer sehr heterogenen Umgebung wie einem Cloud-System zu identifizieren. Aus konkreten Schwachstellen ergeben sich auch konkrete Umsetzungshinweise für das Sicherheitsmanagement und Empfehlungen für passende Standard- Sicherheitsmaßnahmen. Als Ziel gibt das BSI an, Cloud-spezifische Anforderungen komplett in den IT-Grundschutz zu integrieren und Cloud-Angebote nach ISO auf Basis von IT-Grundschutz zertifizierbar zu machen. Mittelfristig muss dazu der BSI-Standard um Cloud-spezifische Aspekte ergänzt werden. Die Inhalte der Bausteine sind darüber hinaus auch für die Risikoanalyse und Sicherheitskonzeption für Anwender des nativen ISO Standards von großem Nutzen. Allerdings dürfte nicht viel Aufwand nötig sein, um den Standard anzupassen. Netzpläne virtueller Infrastrukturen sind bereits im Grundschutz enthalten und schon heute haben zwei Institutionen eine 111
6 IT-Grundschutz-Zertifizierung, deren Serviceangebote als Cloud bezeichnet werden könnte. Das reine ISMS passt problemlos ins Zertifizierungsschema, andere Bereiche, die bei Cloud-Angeboten besonders wichtig sind, wie SLAs und Datenschutz, kann und darf das BSI ohnehin nicht bewerten. Vorabversionen bis Jahresende Der Baustein Cloud-Nutzung soll bis Ende des Jahres in einer Vorabversion verfügbar sein. Er richtet sich an Sicherheitsverantwortliche, die vor der Herausforderung stehen, Cloud Services im Unternehmen einzuführen und alle relevanten Gefährdungen im Vorfeld erkennen müssen. Auch bestehende Maßnahmen und Bausteine der Grundschutz Kataloge werden überarbeitet, um sie für Cloud-Computing anzupassen. So Plattformen für das Cloud Computing überprüft und zertifiziert werden können. Als Nationale IT- und Cyber- Sicherheitsbehörde sieht das BSI hier dringenden Handlungsbedarf und arbeitet daher unter Einbeziehung der Wirtschaft an entsprechenden IT-Grundschutz-Bausteinen, die dies ermöglichen. Neben den eigenen IT-Standards bringt sich das BSI auch in zahlreichen Cloud-Initiativen ein. Innerhalb der EU sind das beispielsweise Cloud Standards Coordination und European Cloud Partnership. In Deutschland werden die Technologieprogramme des BMWi Trusted Cloud und des BMBF (Forschung für Sicheres Cloud Computing) unterstützt. Neue Cloud-Standards Hilfe für Cloud-willige, aber unsichere Anwender kommt auch von anderer Seite. ISO und IEC verab- Verschlüsselung ist im Cloud- Umfeld ohnehin die wichtigste Maßnahme für Datenschutz und den Kampf gegen ungewollte Mitleser. Inzwischen gehen die Empfehlungen dahin, alle Phasen der Cloud- Nutzung auf dem PC, während der Übertragung und in der Cloud selbst durch harte Kryptografie zu sichern. Viele der kommerziellen Cloud-Anbieter mit eigenen Clients wie Boxcryptor und Wuala haben diesen Trend erkannt und bieten Verschlüsselung innerhalb des Clients an. Für größere Unternehmen sind solche Lösungen eher uninteressant, hier kommen klassische Enterprise- Verschlüsselungslösungen wie fideas von AppliedSecurity zum Einsatz. Dass die Verbindung zum Cloud- Provider mindestens über SSL abgesichert werden muss, ist ohnehin selbstverständlich. Neben den Angeboten des Cloud-Providers, die Daten auch in der Cloud zu verschlüsseln, gibt es mittlerweile Hersteller wie die Chemnitzer Firma HiCrypt, die anbieten, innerhalb der Cloud aktiv zu werden und die dort abgelegten Inhalte zu verschlüsseln. Vermutlich werden im Rahmen der aktuellen Veröffentlichungen bald noch zahlreiche weitere Firmen auf den Zug aufspringen und Kryptografie für die Cloud auf den Markt bringen. 112 Hilfe in Sicht: Neue Bausteine des BSI unterstützen Cloud-Betreiber und Anwender. Quelle: Sebastian von Thadden / pixelio.de wird B 4.1 Heterogene Netze um das Thema virtuelle Netze erweitert und der Baustein B Router & Switche ebenso überarbeitet wie B 4.2 Netz- und Systemmanagement. BSI-Präsident Michael Hange betonte in diesem Zusammenhang: Um von den Vorteilen der Cloud profitieren zu können, müssen die Anwender Vertrauen haben, dass ihre Daten in Cloud-Diensten sicher sind. Dieses Vertrauen kann jedoch nur entstehen, wenn es unabhängige, transparente und international anerkannte Standards gibt, auf deren Grundlage schiedeten Ende 2012 den ersten Teil des ISO-Standard Er soll die Entwicklung von sicherer Software, auch im Sinne von gehosteten Anwendungen, durch klare Vorgaben erleichtern. Zahlreiche beratende Gremien wie SAFEcode, und die Cloud Security Alliance (CSA) unterstützen den neuen Standard, auch PCI/DSS (Payment Card Industry/ Data Security Standard) haben entsprechende Verweise in ihre Vorschriften aufgenommen. Ebenfalls einen Blick wert ist das Richtlinienwerk der Cloud Security Alliance zum Thema Verschlüsselung (2). Das ist noch aus einem anderen Grund wichtig. Das sichere Löschen von Daten, wie es im IT-Grundschutz vorgeschrieben und auf einer lokalen Festplatte über zahlreiche simple Methoden möglich ist, ist prinzipbedingt in der Cloud nicht möglich. Liegen die Inhalte allerdings nur verschlüsselt auf den Datenträgern des Providers, genügt es den Schlüssel zu vernichten und die Daten sind ebenfalls zerstört. (1) CloudComputing/Eckpunktepapier/Eckpunktepapier_node.html (2) secaas-category-8-encryption-implementation-guidance/
7 So klappt der IT-Grundschutz Berechtigungsmanagement bewahrt den Überblick im Zugriffsdschungel Christian Zander, CTO, protected-networks.com GmbH Informationen und das sind heute vor allem elektronisch verfügbare Daten zählen zu den wertvollsten Gütern. Beinahe täglich berichten die Medien über Datendiebstähle in Unternehmen und Behörden. Der Täter sitzt oft genug direkt im Unternehmen. Doch Risiken im eigenen Unternehmen lassen sich durch die Umsetzung gesetzlicher Regularien wie auch durch ein gezieltes Berechtigungsmanagement stark reduzieren. Um die IT Sicherheit zu erhöhen, hilft eine individuelle Risikoanalyse. Diese bringt einen hohen Kosten- und Zeitaufwand mit sich. Eine Alternative bieten nationale wie internationale Normierungen, etwa die IT-Grundschutz-Kataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI). Sind diese eingeführt, kann die Umsetzung nach ISO/IEC 2700x- zertifiziert werden. Zahlreiche Anforderungen dieser Normierungen sowie internationaler Regularien wie SOX und PCI-DSS lassen sich mit einem softwaregestützten Berechtigungsmanagement umsetzen. Die BSI IT-Grundschutz-Kataloge etwa nennen folgende Anforderungen an IT- Systeme: Identifikation und Authentifizierung Rechteverwaltung und -kontrolle Rollentrennung zwischen Administrator, Revisor und Benutzer Protokollierung einer Rechteverletzung benutzerfreundliche Oberfläche Protokollierung der Administrationstätigkeiten Unterstützung der Protokollauswertung Warum sind fehlerhafte Zugriffsberechtigungen riskant? Es gibt zahlreiche Szenarien, in denen Zugriffsberechtigungen die Ursache für Sicherheitsvorfälle sind. Zum Beispiel, wenn einem Bankmitarbeiter gekündigt wird und er vor seinem Ausscheiden alle ihm zugänglichen Informationen kopiert und an die Steuerfahndungsbehörde verkauft. Oder in dem Fall eines externen IT- Administrators, der zwei Millionen Kundendaten eines Telekommunikationsunternehmens kopiert und weitergibt. Das Vertrauen der Kunden ist beschädigt, die Kosten für das Unternehmen enorm. Beliebt ist auch das Szenario Auszubildender. Ein Lehrling durchläuft im Rahmen seiner Ausbildung alle Abteilungen eines Unternehmens und sammelt dabei verschiedenste Zugriffsrechte ein, die ihm nie entzogen werden. Bis zum Abschluss der Lehre hat er fast unbegrenzten Zugang zu allen Bereichen der IT und kann Daten einsehen, die nur den Fachabteilungen vorbehalten sind. Der nächste Lehrling erbt, wenn mit generischem Accounts gearbeitet wird, diese Rechte, von denen niemand genau weiß, welche das eigentlich sind. Schritte zur Einführung Die grundsätzliche Frage bei der Definition einer Berechtigungsstrategie ist simpel: Wo sind die Daten und wer kann darauf zugreifen? Fast jeder Unternehmer glaubt zu wissen, wer auf welche Daten zugreifen kann. Nur kann er das auch nachweisen? Ist tatsächlich nachvollziehbar, welcher Nutzer Zugriff auf welche Daten und Ordner hat? Fast jede Organisation verfügt über geregelte Prozesse zur Berechtigungsvergabe. Gleichzeitig klagen viele Administratoren über ein undurchsichtiges Berechtigungskonzept und zahlreiche Ausnahmeregelungen. Aufgefordert durch einen Fachabteilungsleiter vergeben Administratoren als zentrale Anlaufstelle Rechte, etwa für das Active Directory, SharePoint oder Exchange. Verlässt der Mitarbeiter das Unternehmen oder wechselt er das Projekt oder in eine andere Abteilung, sollten seine Zugriffsrechte aktualisiert werden. Doch ab einer gewissen Unternehmensgröße verlieren Administratoren beinahe zwangsläufig die Übersicht über die Rechtesituation auf den zahlreichen Systemen. Die Herausforderung besteht darin, einen Überblick über all diese Veränderungen zu behalten und stets zu wissen, dass alle Mitarbeiter die für sie passenden Zugänge haben. Gewährleisten lässt sich das, wenn der eigentliche Dateneigentümer, also der Abteilungsleiter oder Projektverantwortliche, die Zugangsrechte vergibt. Er weiß, im Gegensatz zum Administrator, welcher Mitarbeiter welche Zugangsrechte benötigt und wer Mitglied seiner Abteilung ist. Damit die Vergabe von Zugriffsrechten an Nicht-IT- Profis delegiert werden kann, bedarf es einer einfachen, transparenten und schnell zu nutzenden technischen Lösung. Ideal wäre es, wenn eine Software die transparente 113
8 114 Aministration sämtlicher technischer Ressourcen, angefangen vom Fileserver über Active Directory, Exchange und SharePoint erlaubt. Grundsatzüberlegungen Beinahe jeder Mitarbeiter wird über den Umgang mit vertraulichen Daten belehrt oder unterzeichnet entsprechende Vereinbarungen. Die wenigsten missbrauchen vorsätzlich vertrauliche Daten. Aber angenommen, ein Diplomand arbeitet in der Personalabteilung und stellt fest, dass er Zugriff auf die Gehaltsdaten hat. Gelegenheit macht Diebe, heißt ein bekanntes Sprichwort. Mit einem sauberen Berechtigungsmanagement kommt ein Unternehmen der Pflicht nach, seine Mitarbeiter zu schützen, und zwar auch davor, in Versuchung zu geraten. Das reduziert die Wahrscheinlichkeit, dass Insider vertrauliche Daten weitergeben, auf die sie zufällig gestoßen sind. Schrumpfende Budgets, sowohl für Geld als auch Personalressourcen, sind in der IT weitverbreitet. Ein automatisiertes Bereitstellen und Administrieren von Zugriffsrechten, verbunden mit einer Dokumentation aller Vorgänge und automatisierten Reports, spart Zeit und Geld bei einer gleichzeitigen Steigerung von Bedienkomfort, Effizienz und Sicherheit. Ein erheblicher Unsicherheitsfaktor bei der Berechtigungsvergabe ist die Schnittstelle zwischen Administrator und Fachabteilung. Administratoren haben die Kompetenz, um Berechtigungen zu ändern. Abteilungsleiter wissen, wer tatsächlich in ihrer Abteilung welche Zugriffsrechte benötigt. Eine Softwarelösung sollte es den Dateieigentümern ermöglichen festzulegen, wer Zugriff auf ihre Daten hat. Als Bonus effekt steigt die Sensibilität für den Datenschutz enorm. Kann jeder Abteilungsleiter selbst bestimmen, wer auf diese Daten zugreifen kann, dann ist er auch in der Lage, diesen Zugriff sorgsam zu vergeben und übernimmt damit Verantwortung. Wenn die Verantwortlichen jederzeit überprüfen können, wer Zugriff auf ihre Daten hat, vermindern sie das Risiko einer Datenpanne signifikant. Damit sich so eine Lösung auch im Alltag durchsetzt, muss sie einfach zu verstehen sein. Der IT-Abteilung bleibt dann mehr Zeit, sich ihren eigentlichen Aufgaben zu widmen. Access-Rights-Management optimieren Für die Umsetzung ist es zunächst hilfreich, an einem konkreten Projekt die manuellen Prozesse zur Rechtevergabe zu standardisieren. Das beginnt beim Anlegen eines neuen Benutzers, indem Funktionsrollen erstellt werden. Rollenberechtigungen sind auf lange Sicht einfacher zu handhaben als Personenberechtigungen und erlauben es, neuen Mitarbeitern schnell die nötigen Rechte zuzuweisen. Zunächst ist mit dieser Vorgehensweise viel Aufwand verbunden, denn die Rollen müssen natürlich genau definiert und mit den passenden Rechten ausgestattet sein. Aber auf lange Sicht spart der Ansatz Zeit und erlaubt effizientere Prozesse. Auch im Hinblick auf anstehende Audits ist hier ein erster Grundstein gelegt. Softwaregestütztes Berechtigungsmanagement bietet zahlreiche Vorteile. Für das Management bedeutet es einen Schritt hin zur Haftungsbefreiung, weil geeignete Datenschutzmaßnahmen umgesetzt werden. Für den Administrator ist es eine Arbeitserleichterung und zugleich eine Absicherung. Er kann nachweisen, wer welche Änderungen vorgenommen hat und gerät bei Sicherheitsvorfällen nicht unnötig in die Schusslinie. Der Anwender selbst erlebt Datenschutz als etwas, das zu seinem Arbeitsalltag gehört. Er ist nicht mehr darauf angewiesen, wegen jeder Änderung den Support zu kontaktieren, und er weiß, dass auch seine persönlichen Daten gut geschützt werden. Und am Ende muss niemand fürchten, dass doch Unbefugte versehentlich Einblicke erhalten, die ihnen verborgen bleiben sollten. Und führe uns nicht in Versuchung, verliert seinen Schrecken, denn softwaregestütztes Berechtigungsmanagement verlässt sich nicht auf den guten Glauben, sondern setzt transparent durch, wer Zugriff auf welche Daten hat. Checkliste: Acht Punkte für IT-Grundschutz-konformes Berechtigungsmanagement Jeder bekommt nur, was er braucht Die Rechtevergabe erfolgt nach dem need-to-know- und dem least-privileges-prinzip Jeder ist einzigartig Es gibt eine Rollentrennung zwischen Administrator, Revisor und Benutzer, d.h. zwischen Diensteverwaltung und Datenverwaltung Vier schlägt zwei Benutzerrollen werden nach dem Vier-Augen-Prinzip vergeben, eventuell auch durch den Fachverantwortlichen mit Autorisierung durch den Administrator Zeit ist Geld Zugriffsrechte müssen schnell vergeben, geändert und entzogen werden können Maßgeschneidert Das Rollenkonzept soll sich an den organisatorischen und geschäftlichen Anforderungen orientieren Streitschlichter Rollenkonflikte werden schon bei der Definition aufgelöst Vertrauen ist gut, aber zu wenig Alle Rollenänderungen werden dokumentiert und im Idealfall automatisch als Report ausgegeben Alarmglocken für den Notfall Bei unerlaubten Zugriffen sollte das System den Administrator alarmieren
Cloud Computing mit IT-Grundschutz
Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung
MehrCloud-Computing. Selina Oertli KBW 28.10.2014
2014 Cloud-Computing Selina Oertli KBW 0 28.10.2014 Inhalt Cloud-Computing... 2 Was ist eine Cloud?... 2 Wozu kann eine Cloud gebraucht werden?... 2 Wie sicher sind die Daten in der Cloud?... 2 Wie sieht
MehrGPP Projekte gemeinsam zum Erfolg führen
GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.
MehrInformationssicherheit als Outsourcing Kandidat
Informationssicherheit als Outsourcing Kandidat aus Kundenprojekten Frankfurt 16.06.2015 Thomas Freund Senior Security Consultant / ISO 27001 Lead Auditor Agenda Informationssicherheit Outsourcing Kandidat
MehrCloud Computing aus Sicht von Datensicherheit und Datenschutz
Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen
MehrRisikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014
Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement Eine Einführung Risikomanagement ist nach der Norm ISO 31000 eine identifiziert, analysiert
MehrStammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing
Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing Finanzbuchhaltung Wenn Sie Fragen haben, dann rufen Sie uns an, wir helfen Ihnen gerne weiter - mit Ihrem Wartungsvertrag
Mehr.. für Ihre Business-Lösung
.. für Ihre Business-Lösung Ist Ihre Informatik fit für die Zukunft? Flexibilität Das wirtschaftliche Umfeld ist stärker den je im Umbruch (z.b. Stichwort: Globalisierung). Daraus resultierenden Anforderungen,
MehrFachbericht zum Thema: Anforderungen an ein Datenbanksystem
Fachbericht zum Thema: Anforderungen an ein Datenbanksystem von André Franken 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis 1 2 Einführung 2 2.1 Gründe für den Einsatz von DB-Systemen 2 2.2 Definition: Datenbank
MehrOLXTeamOutlook 1.5 für Outlook 2003, 2002/XP, 2000 und 97/98
OLXTeamOutlook 1.5 für Outlook 2003, 2002/XP, 2000 und 97/98 Neue Version: Outlook-Termine, Kontakte, Mails usw. ohne Exchange-Server auf mehreren Rechnern nutzen! Mit der neuesten Generation intelligenter
MehrDas Leitbild vom Verein WIR
Das Leitbild vom Verein WIR Dieses Zeichen ist ein Gütesiegel. Texte mit diesem Gütesiegel sind leicht verständlich. Leicht Lesen gibt es in drei Stufen. B1: leicht verständlich A2: noch leichter verständlich
MehrTabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz
Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07
MehrDatenschutz und Informationssicherheit 03.09.2015
Datenschutz und Informationssicherheit 03.09.2015 Vertrauen in öffentliche Institutionen in Deutschland ist hoch Studie der GfK: Global Trust Report (2015) Staatliche Institutionen führen das Vertrauensranking
MehrIDV Assessment- und Migration Factory für Banken und Versicherungen
IDV Assessment- und Migration Factory für Banken und Versicherungen Erfassung, Analyse und Migration von Excel- und AccessAnwendungen als User-Selfservice. Sind Ihre Excel- und Access- Anwendungen ein
MehrInside. IT-Informatik. Die besseren IT-Lösungen.
Inside IT-Informatik Die Informationstechnologie unterstützt die kompletten Geschäftsprozesse. Geht in Ihrem Unternehmen beides Hand in Hand? Nutzen Sie Ihre Chancen! Entdecken Sie Ihre Potenziale! Mit
MehrDieter Brunner ISO 27001 in der betrieblichen Praxis
Seite 1 von 6 IT-Sicherheit: die traditionellen Sichtweise Traditionell wird Computer-Sicherheit als technisches Problem gesehen Technik kann Sicherheitsprobleme lösen Datenverschlüsselung, Firewalls,
MehrWIR MACHEN SIE ZUM BEKANNTEN VERSENDER
02040203 WIR MACHEN SIE ZUM BEKANNTEN VERSENDER Ein Mehrwert für Ihr Unternehmen 1 SCHAFFEN SIE EINEN MEHRWERT DURCH SICHERHEIT IN DER LIEFERKETTE Die Sicherheit der Lieferkette wird damit zu einem wichtigen
MehrIT-Grundschutz: Cloud-Bausteine
IT-Grundschutz: Cloud-Bausteine Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 12.09.2013 Was sind die Risiken? (Public
MehrKonzentration auf das. Wesentliche.
Konzentration auf das Wesentliche. Machen Sie Ihre Kanzleiarbeit effizienter. 2 Sehr geehrte Leserin, sehr geehrter Leser, die Grundlagen Ihres Erfolges als Rechtsanwalt sind Ihre Expertise und Ihre Mandantenorientierung.
MehrSkills-Management Investieren in Kompetenz
-Management Investieren in Kompetenz data assessment solutions Potenziale nutzen, Zukunftsfähigkeit sichern Seite 3 -Management erfolgreich einführen Seite 4 Fähigkeiten definieren und messen Seite 5 -Management
MehrAlbert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen
Open Source professionell einsetzen 1 Mein Background Ich bin überzeugt von Open Source. Ich verwende fast nur Open Source privat und beruflich. Ich arbeite seit mehr als 10 Jahren mit Linux und Open Source.
MehrMobile Intranet in Unternehmen
Mobile Intranet in Unternehmen Ergebnisse einer Umfrage unter Intranet Verantwortlichen aexea GmbH - communication. content. consulting Augustenstraße 15 70178 Stuttgart Tel: 0711 87035490 Mobile Intranet
MehrWozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM.
Wozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM. 4. IT-Grundschutz-Tag 2014, Nürnberg Bundesamt für Sicherheit in der Informationstechnik ism Secu-Sys AG Gerd Rossa, CEO ism Secu-Sys
MehrMehr Transparenz für optimalen Durchblick. Mit dem TÜV Rheinland Prüfzeichen.
Mehr Transparenz für optimalen Durchblick. Mit dem TÜV Rheinland Prüfzeichen. Immer schon ein gutes Zeichen. Das TÜV Rheinland Prüfzeichen. Es steht für Sicherheit und Qualität. Bei Herstellern, Handel
MehrEIN C.A.F.E. FÜR DEN DATENSCHUTZ
EIN C.A.F.E. FÜR DEN DATENSCHUTZ Organisatorische Datenschutzbeauftragter Martin Esken Datenschutzbeauftragter (TÜV) Organisatorische Technische gemäß 9 Satz 1 Punkte 1-8 BUNDESDATENSCHUTZGESETZ Organisatorische
MehrProfessionelle Seminare im Bereich MS-Office
Der Name BEREICH.VERSCHIEBEN() ist etwas unglücklich gewählt. Man kann mit der Funktion Bereiche zwar verschieben, man kann Bereiche aber auch verkleinern oder vergrößern. Besser wäre es, die Funktion
MehrGeprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz
www.tekit.de Geprüfter TÜV Zertifikat für Geprüften TÜV-zertifizierter Der Schutz von personenbezogenen Daten ist in der EU durch eine richtlinie geregelt. In Deutschland ist dies im Bundesdatenschutzgesetz
MehrVirtual Roundtable: Business Intelligence - Trends
Virtueller Roundtable Aktuelle Trends im Business Intelligence in Kooperation mit BARC und dem Institut für Business Intelligence (IBI) Teilnehmer: Prof. Dr. Rainer Bischoff Organisation: Fachbereich Wirtschaftsinformatik,
MehrInformationssicherheitsmanagement
Informationssicherheitsmanagement nach ISO 27001 und BSI Grundschutz Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und
MehrAgile Enterprise Development. Sind Sie bereit für den nächsten Schritt?
Agile Enterprise Development Sind Sie bereit für den nächsten Schritt? Steigern Sie noch immer die Wirtschaftlichkeit Ihres Unternehmens alleine durch Kostensenkung? Im Projektportfolio steckt das Potenzial
MehrTest zur Bereitschaft für die Cloud
Bericht zum EMC Test zur Bereitschaft für die Cloud Test zur Bereitschaft für die Cloud EMC VERTRAULICH NUR ZUR INTERNEN VERWENDUNG Testen Sie, ob Sie bereit sind für die Cloud Vielen Dank, dass Sie sich
MehrAutorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente
Autorisierung Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente Dokumentation zum Referat von Matthias Warnicke und Joachim Schröder Modul: Komponenten basierte Softwareentwickelung
MehrI n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000
Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an
MehrWir bringen Ihre USB Geräte ins Netz Ohne Wenn und Aber!
Wir bringen Ihre USB Geräte ins Netz Ohne Wenn und Aber! USB Device Server myutn-50 myutn-52 myutn-54 myutn-120 myutn-130 myutn-150 Dongleserver auch für virtualisierte Umgebungen 2 3 Für jeden Anspruch
MehrContent Management System mit INTREXX 2002.
Content Management System mit INTREXX 2002. Welche Vorteile hat ein CM-System mit INTREXX? Sie haben bereits INTREXX im Einsatz? Dann liegt es auf der Hand, dass Sie ein CM-System zur Pflege Ihrer Webseite,
MehrPersönliche Zukunftsplanung mit Menschen, denen nicht zugetraut wird, dass sie für sich selbst sprechen können Von Susanne Göbel und Josef Ströbl
Persönliche Zukunftsplanung mit Menschen, denen nicht zugetraut Von Susanne Göbel und Josef Ströbl Die Ideen der Persönlichen Zukunftsplanung stammen aus Nordamerika. Dort werden Zukunftsplanungen schon
MehrTEUTODATA. Managed IT-Services. Beratung Lösungen Technologien Dienstleistungen. Ein IT- Systemhaus. stellt sich vor!
TEUTODATA Managed IT-Services Beratung Lösungen Technologien Dienstleistungen Ein IT- Systemhaus stellt sich vor! 2 Willkommen Mit dieser kleinen Broschüre möchten wir uns bei Ihnen vorstellen und Ihnen
Mehricloud nicht neu, aber doch irgendwie anders
Kapitel 6 In diesem Kapitel zeigen wir Ihnen, welche Dienste die icloud beim Abgleich von Dateien und Informationen anbietet. Sie lernen icloud Drive kennen, den Fotostream, den icloud-schlüsselbund und
MehrSpotlight 5 Gründe für die Sicherung auf NAS-Geräten
Spotlight 5 Gründe für die Sicherung auf NAS-Geräten NovaStor Inhaltsverzeichnis Skalierbar. Von klein bis komplex.... 3 Kein jonglieren mehr mit Wechselmedien... 3 Zentralisiertes Backup... 4 Datensicherheit,
MehrBenutzerverwaltung Business- & Company-Paket
Benutzerverwaltung Business- & Company-Paket Gemeinsames Arbeiten mit der easyfeedback Umfragesoftware. Inhaltsübersicht Freischaltung des Business- oder Company-Paketes... 3 Benutzerverwaltung Business-Paket...
MehrD i e n s t e D r i t t e r a u f We b s i t e s
M erkblatt D i e n s t e D r i t t e r a u f We b s i t e s 1 Einleitung Öffentliche Organe integrieren oftmals im Internet angebotene Dienste und Anwendungen in ihre eigenen Websites. Beispiele: Eine
Mehr27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich
ISO 27001 im Kundendialog Informationssicherheit intern und extern organisieren Juni 2014 Was steckt hinter der ISO/IEC 27001:2005? Die internationale Norm ISO/IEC 27001:2005 beschreibt ein Modell für
MehrIT- Wir machen das! Leistungskatalog. M3B Service GmbH Alter Sportplatz Lake 1 57392 Schmallenberg
IT- Wir machen das! Leistungskatalog M3B Service GmbH Alter Sportplatz Lake 1 57392 Schmallenberg Tel.: 02972 9725-0 Fax: 02972 9725-92 Email: info@m3b.de www.m3b.de www.systemhaus-sauerland.de Inhaltsverzeichnis
MehrSpeicher in der Cloud
Speicher in der Cloud Kostenbremse, Sicherheitsrisiko oder Basis für die unternehmensweite Kollaboration? von Cornelius Höchel-Winter 2013 ComConsult Research GmbH, Aachen 3 SYNCHRONISATION TEUFELSZEUG
MehrANTES International Assessment. Erfolg ist kein Zufall
ANTES International Assessment Erfolg ist kein Zufall 2 E.M. Forster hat es einmal auf den Punkt gebracht: Eine Person mit Begeisterung ist besser als 40 Personen die lediglich nur interessiert sind. Potenziale
MehrDatensicherung. Beschreibung der Datensicherung
Datensicherung Mit dem Datensicherungsprogramm können Sie Ihre persönlichen Daten problemlos Sichern. Es ist möglich eine komplette Datensicherung durchzuführen, aber auch nur die neuen und geänderten
Mehr1.3 MDM-Systeme KAPITEL 1 ZAHLEN UND FAKTEN
KAPITEL ZAHLEN UND FAKTEN.3 MDM-Systeme MDM-Systeme sind in Unternehmen und Organisationen noch nicht flächendeckend verbreitet, ihr Einsatz hängt unmittelbar mit dem Aufbau von mobilen Infrastrukturen
MehrAGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom 21.10.2013b
AGROPLUS Buchhaltung Daten-Server und Sicherheitskopie Version vom 21.10.2013b 3a) Der Daten-Server Modus und der Tresor Der Daten-Server ist eine Betriebsart welche dem Nutzer eine grosse Flexibilität
MehrProjektmanagement in der Spieleentwicklung
Projektmanagement in der Spieleentwicklung Inhalt 1. Warum brauche ich ein Projekt-Management? 2. Die Charaktere des Projektmanagement - Mastermind - Producer - Projektleiter 3. Schnittstellen definieren
MehrMarketing Intelligence Schwierigkeiten bei der Umsetzung. Josef Kolbitsch Manuela Reinisch
Marketing Intelligence Schwierigkeiten bei der Umsetzung Josef Kolbitsch Manuela Reinisch Übersicht Schwierigkeiten bei der Umsetzung eines BI-Systems Schwierigkeiten der Umsetzung 1/13 Strategische Ziele
Mehrprotecting companies from the inside out
protecting companies from the inside out 1 Integriertes Berechtigungsmanagement Futuredat IT Forum 15. Mai 2014 80% der Daten liegen unstrukturiert als ppt, doc und excel vor Quelle: Meryll Lynch 80% der
MehrDer beste Plan für Office 365 Archivierung.
Der beste Plan für Office 365 Archivierung. Der Einsatz einer externen Archivierungslösung wie Retain bietet Office 365 Kunden unabhängig vom Lizenzierungsplan viele Vorteile. Einsatzszenarien von Retain:
MehrNEWSLETTER // AUGUST 2015
NEWSLETTER // AUGUST 2015 Kürzlich ist eine neue Version von SoftwareCentral erschienen, die neue Version enthält eine Reihe von Verbesserungen und neuen Funktionen die das Arbeiten mit SCCM noch einfacher
MehrDer Support für Windows Server 2003 endet endgültig alles was Ihnen dann noch bleibt ist diese Broschüre.
Der Support für Windows Server 2003 endet endgültig alles was Ihnen dann noch bleibt ist diese Broschüre. 14. Juli 2015. Der Tag, an dem in Ihrem Unternehmen das Licht ausgehen könnte. An diesem Tag stellt
MehrDie integrierte Zeiterfassung. Das innovative Softwarekonzept
Die integrierte Zeiterfassung Das innovative Softwarekonzept projekt - ein komplexes Programm mit Zusatzmodulen, die einzeln oder in ihrer individuellen Zusammenstellung, die gesamte Abwicklung in Ihrem
MehrStuPro-Seminar Dokumentation in der Software-Wartung. StuPro-Seminar Probleme und Schwierigkeiten in der Software-Wartung.
StuPro-Seminar Dokumentation in der Software-Wartung StuPro-Seminar Probleme und Schwierigkeiten in der Software-Wartung Folie 1/xx Software-Wartung: theoretisch Ausgangslage eigentlich simpel: fertige
MehrDER SELBST-CHECK FÜR IHR PROJEKT
DER SELBST-CHECK FÜR IHR PROJEKT In 30 Fragen und 5 Tipps zum erfolgreichen Projekt! Beantworten Sie die wichtigsten Fragen rund um Ihr Projekt für Ihren Erfolg und für Ihre Unterstützer. IHR LEITFADEN
MehrDialogik Cloud. Die Arbeitsumgebung in der Cloud
Dialogik Cloud Die Arbeitsumgebung in der Cloud Seite 2 Diagramm Dialogik Cloud Cloud Box unterwegs im Büro Dialogik Cloud Anwendungen, welche über das Internet zur Verfügung stehen. unterwegs Zugriff
MehrLizenzierung von SharePoint Server 2013
Lizenzierung von SharePoint Server 2013 Das Lizenzmodell von SharePoint Server 2013 besteht aus zwei Komponenten: Serverlizenzen zur Lizenzierung der Serversoftware und CALs zur Lizenzierung der Zugriffe
MehrFehler und Probleme bei Auswahl und Installation eines Dokumentenmanagement Systems
Fehler und Probleme bei Auswahl und Installation eines Dokumentenmanagement Systems Name: Bruno Handler Funktion: Marketing/Vertrieb Organisation: AXAVIA Software GmbH Liebe Leserinnen und liebe Leser,
MehrTreuhand Cloud. Die Arbeitsumgebung in der Cloud
Treuhand Cloud Die Arbeitsumgebung in der Cloud Seite 2 Diagramm Treuhand Cloud Server Server Treuhand-Büro Home-Office Treuhand-Kunde Treuhand-Büro Interne IT-Infrastruktur des Treuhänders. Zugriff auf
MehrVerpasst der Mittelstand den Zug?
Industrie 4.0: Verpasst der Mittelstand den Zug? SCHÜTTGUT Dortmund 2015 5.11.2015 Ergebnisse einer aktuellen Studie der Technischen Hochschule Mittelhessen 1 Industrie 4.0 im Mittelstand Ergebnisse einer
MehrMehr Effizienz und Wertschöpfung durch Ihre IT. Mit unseren Dienstleistungen werden Ihre Geschäftsprozesse erfolgreicher.
Mehr Effizienz und Wertschöpfung durch Ihre IT Mit unseren Dienstleistungen werden Ihre Geschäftsprozesse erfolgreicher. Nutzen Sie Ihren Wettbewerbsvorteil Die Geschäftsprozesse von heute sind zu wichtig,
MehrSicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller
MehrMICROSERVE Informations-Management GmbH Wickrather Hof Gertrudisstraße 18 50859 Köln Fon +49 2234 94609-0 Fax +49 2234 94609-22 info@msim.
MICROSERVE Informations-Management GmbH Wickrather Hof Gertrudisstraße 18 50859 Köln Fon +49 2234 94609-0 Fax +49 2234 94609-22 info@msim.de www.msim.de 0700-MICROSERVE Inhalt INFORMATIONS- Einladung zum
MehrProzessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am 14.08.08
Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements von Stephanie Wilke am 14.08.08 Überblick Einleitung Was ist ITIL? Gegenüberstellung der Prozesse Neuer
Mehr«PERFEKTION IST NICHT DANN ERREICHT, WENN ES NICHTS MEHR HINZUZUFÜGEN GIBT, SONDERN DANN, WENN MAN NICHTS MEHR WEGLASSEN KANN.»
«PERFEKTION IST NICHT DANN ERREICHT, WENN ES NICHTS MEHR HINZUZUFÜGEN GIBT, SONDERN DANN, WENN MAN NICHTS MEHR WEGLASSEN KANN.» www.pse-solutions.ch ANTOINE DE SAINT-EXUPÉRY 1 PROJECT SYSTEM ENGINEERING
MehrDatenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &
Datenschutz und IT-Sicherheit Smart Meter CA & Gateway Administration SmartMeterCA & Gateway Administration 4 Projekte 4 gute Ideen für den Smart Meter Gateway Administrator Unsere vier Projekte im Überblick
Mehra) Bis zu welchem Datum müssen sie spätestens ihre jetzigen Wohnungen gekündigt haben, wenn sie selber keine Nachmieter suchen wollen?
Thema Wohnen 1. Ben und Jennifer sind seit einiger Zeit ein Paar und beschliessen deshalb, eine gemeinsame Wohnung zu mieten. Sie haben Glück und finden eine geeignete Dreizimmer-Wohnung auf den 1.Oktober
MehrDas RSA-Verschlüsselungsverfahren 1 Christian Vollmer
Das RSA-Verschlüsselungsverfahren 1 Christian Vollmer Allgemein: Das RSA-Verschlüsselungsverfahren ist ein häufig benutztes Verschlüsselungsverfahren, weil es sehr sicher ist. Es gehört zu der Klasse der
MehrEinstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)
32.Forum Kommunikation und Netze 25. und 26. März 2015 in Rotenburg a. d. Fulda Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) Stefan Wojciechowski IT-Sicherheitsbeauftragter
MehrDatenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA
Datenschutz und IT-Sicherheit in Smart Meter Systemen Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA Smart, sicher und zertifiziert Das Energiekonzept der Bundesregierung sieht
MehrFreigabemitteilung Nr. 39. Neue Funktionen Emailadresse zurücksetzen / ändern Kennung ändern Anlegen von OCS (elektr. Postfach) Mailbenutzern
Freigabemitteilung Nr. 39 Neue Funktionen Emailadresse zurücksetzen / ändern Kennung ändern Anlegen von OCS (elektr. Postfach) Mailbenutzern DFBnet Benutzerverwaltung Erstellt: Letzte Änderung: Geprüft:
MehrGesetzliche Aufbewahrungspflicht für E-Mails
Gesetzliche Aufbewahrungspflicht für E-Mails sind Sie vorbereitet? Vortragsveranstaltung TOP AKTUELL Meins und Vogel GmbH, Plochingen Dipl.-Inf. Klaus Meins Dipl.-Inf. Oliver Vogel Meins & Vogel GmbH,
MehrMaintenance & Re-Zertifizierung
Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0
MehrDie Dateiablage Der Weg zur Dateiablage
Die Dateiablage In Ihrem Privatbereich haben Sie die Möglichkeit, Dateien verschiedener Formate abzulegen, zu sortieren, zu archivieren und in andere Dateiablagen der Plattform zu kopieren. In den Gruppen
MehrWas macht Layer2 eigentlich? Erfahren Sie hier ein wenig mehr über uns.
Was macht Layer2 eigentlich? Erfahren Sie hier ein wenig mehr über uns. Seit über 24 Jahren... unterstützen und beraten wir unsere Kunden und Partner erfolgreich bei ihren IT-Projekten. Unsere Kernkompetenz
MehrRISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de
RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de RISIKEN MINIMIEREN. SICHERHEIT MAXIMIEREN. CHANCEN OPTIMIEREN. ERHÖHEN SIE DIE SICHERHEIT
MehrInfrastruktur: Vertrauen herstellen, Zertifikate finden
TeleTrusT Bundesverband IT-Sicherheit e.v. Infrastruktur: Vertrauen herstellen, Zertifikate finden Allgemeines zur TeleTrusT EBCA Seit 2001 Zusammenschluss einzelner, gleichberechtigter n zu -Verbund einfacher,
MehrL10N-Manager 3. Netzwerktreffen der Hochschulübersetzer/i nnen Mannheim 10. Mai 2016
L10N-Manager 3. Netzwerktreffen der Hochschulübersetzer/i nnen Mannheim 10. Mai 2016 Referentin: Dr. Kelly Neudorfer Universität Hohenheim Was wir jetzt besprechen werden ist eine Frage, mit denen viele
MehrLizenzierung von SharePoint Server 2013
Lizenzierung von SharePoint Server 2013 Das Lizenzmodell von SharePoint Server 2013 besteht aus zwei Komponenten: Serverlizenzen zur Lizenzierung der Serversoftware und CALs zur Lizenzierung der Zugriffe
MehrSicherheitsanalyse von Private Clouds
Sicherheitsanalyse von Private Clouds Alex Didier Essoh und Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik 12. Deutscher IT-Sicherheitskongress 2011 Bonn, 10.05.2011 Agenda Einleitung
MehrSchnittstelle DIGI-Zeiterfassung
P.A.P.A. die kaufmännische Softwarelösung Schnittstelle DIGI-Zeiterfassung Inhalt Einleitung... 2 Eingeben der Daten... 2 Datenabgleich... 3 Zusammenfassung... 5 Es gelten ausschließlich unsere Allgemeinen
MehrStudie über Umfassendes Qualitätsmanagement ( TQM ) und Verbindung zum EFQM Excellence Modell
Studie über Umfassendes Qualitätsmanagement ( TQM ) und Verbindung zum EFQM Excellence Modell (Auszug) Im Rahmen des EU-Projekts AnaFact wurde diese Umfrage von Frauenhofer IAO im Frühjahr 1999 ausgewählten
MehrIhr Weg in die Suchmaschinen
Ihr Weg in die Suchmaschinen Suchmaschinenoptimierung Durch Suchmaschinenoptimierung kann man eine höhere Platzierung von Homepages in den Ergebnislisten von Suchmaschinen erreichen und somit mehr Besucher
MehrSicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden
MehrIntegration mit. Wie AristaFlow Sie in Ihrem Unternehmen unterstützen kann, zeigen wir Ihnen am nachfolgenden Beispiel einer Support-Anfrage.
Integration mit Die Integration der AristaFlow Business Process Management Suite (BPM) mit dem Enterprise Information Management System FILERO (EIMS) bildet die optimale Basis für flexible Optimierung
MehrCad-OasEs Int. GmbH. 20 Jahre UG/NX Erfahrung prägen Methodik und Leistungen. Nutzen Sie dieses Wissen!
Cad-OasEs Int. GmbH 20 Jahre UG/NX Erfahrung prägen Methodik und Leistungen Nutzen Sie dieses Wissen! Roland Hofmann Geschäftsführer der Cad-OasEs Int. GmbH Die Cad-OasEs bietet seit mehr als 20 Jahren
MehrHardware, Software, Services
BRAINTOWER manufacturing & retail Hardware, Software, Services Haben Sie die passende IT-Infrastruktur? Hard- und Software mit dem entsprechenden Service Passt die Hardware zu Ihren Anforderungen? Sind
MehrDie Zeit ist reif. Für eine intelligente Agentursoftware.
Die Zeit ist reif. Für eine intelligente Agentursoftware. QuoJob. More Time. For real Business. Einfach. Effektiv. Modular. QuoJob ist die browserbasierte Lösung für alle, die mehr von einer Agentursoftware
MehrEinrichten einer Festplatte mit FDISK unter Windows 95/98/98SE/Me
Einrichten einer Festplatte mit FDISK unter Windows 95/98/98SE/Me Bevor Sie die Platte zum ersten Mal benutzen können, muss sie noch partitioniert und formatiert werden! Vorher zeigt sich die Festplatte
MehrPapa - was ist American Dream?
Papa - was ist American Dream? Das heißt Amerikanischer Traum. Ja, das weiß ich, aber was heißt das? Der [wpseo]amerikanische Traum[/wpseo] heißt, dass jeder Mensch allein durch harte Arbeit und Willenskraft
MehrTech-Clarity Perspective: Best Practices für die Konstruktionsdatenverwaltung
Tech-Clarity Perspective: Best Practices für die Konstruktionsdatenverwaltung Wie effektive Datenmanagement- Grundlagen die Entwicklung erstklassiger Produkte ermöglichen Tech-Clarity, Inc. 2012 Inhalt
MehrEr musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt
Inhaltsverzeichnis Aufgabe... 1 Allgemein... 1 Active Directory... 1 Konfiguration... 2 Benutzer erstellen... 3 Eigenes Verzeichnis erstellen... 3 Benutzerkonto erstellen... 3 Profil einrichten... 5 Berechtigungen
MehrMehrwerte aus SAM-Projekte generieren AVISPADOR
Mehrwerte aus SAM-Projekte generieren AVISPADOR SAMVANTAGE ist ein integriertes und modulares Beratungsmodel, das Entscheidern in Anwenderunternehmen die Möglichkeit bietet, vom Hersteller avisierte SAM-Projekte
MehrWas ist Sozial-Raum-Orientierung?
Was ist Sozial-Raum-Orientierung? Dr. Wolfgang Hinte Universität Duisburg-Essen Institut für Stadt-Entwicklung und Sozial-Raum-Orientierte Arbeit Das ist eine Zusammen-Fassung des Vortrages: Sozialräume
MehrChancen und Potenziale von Cloud Computing Herausforderungen für Politik und Gesellschaft. Rede Hans-Joachim Otto Parlamentarischer Staatssekretär
Chancen und Potenziale von Cloud Computing Herausforderungen für Politik und Gesellschaft Rede Hans-Joachim Otto Parlamentarischer Staatssekretär Veranstaltung der Microsoft Deutschland GmbH in Berlin
MehrANYWHERE Zugriff von externen Arbeitsplätzen
ANYWHERE Zugriff von externen Arbeitsplätzen Inhaltsverzeichnis 1 Leistungsbeschreibung... 3 2 Integration Agenda ANYWHERE... 4 3 Highlights... 5 3.1 Sofort einsatzbereit ohne Installationsaufwand... 5
Mehr