Informationssicherheit. Ein Vergleich von Standards und Rahmenwerken

Größe: px
Ab Seite anzeigen:

Download "Informationssicherheit. Ein Vergleich von Standards und Rahmenwerken"

Transkript

1 Informationssicherheit Ein Vergleich von Standards und Rahmenwerken

2 Bundesamt für Sicherheit in der Informationstechnik Postfach Bonn Tel.: Internet: Bundesamt für Sicherheit in der Informationstechnik 2009

3 Vorwort Danksagung Wir danken Herrn Friedrich Hueber, Herrn Robert Manuel Beck, Herrn Ronny Frankenstein und Herrn Timo Kob von der HiSolutions AG für die Erstellung dieser Studie. Für die Überarbeitung und die engagierte Unterstützung sei an dieser Stelle außerdem folgenden BSI-Mitarbeitern gedankt: Herrn Holger Schildt für die organisatorische Leitung, Herrn Dr. Clemens Doubrava, Frau Isabel Münch und Frau Dr. Marie-Luise Moschgath für Ergänzungen und Qualitätssicherung. Die Abbildungen dieser Studie wurden von Frau Jessika Welticke aufbereitet. Bundesamt für Sicherheit in der Informationstechnik 3

4 Inhaltsverzeichnis Inhaltsverzeichnis 1 Einleitung Standards und Rahmenwerke ISO/IEC IT-Grundschutz PCI DSS Version CobiT IDW Standards SAS ISO/IEC Vergleich von Standards und Rahmenwerken IT-Grundschutz und CobiT IT-Grundschutz und IDW PS IT-Grundschutz und ISO/IEC Zusammenfassung Mapping von Standards und Rahmenwerke Ergebnisse: IT-Grundschutz und CobiT Ergebnisse: IT-Grundschutz und IDW PS Ergebnisse: IT-Grundschutz und ISO/IEC Mapping Tabellen Zusammenfassung Fazit Abkürzungsverzeichnis Literaturverzeichnis...51 Abbildungsverzeichnis Abbildung 1: CobiT-Kontrollmodell (Quelle: [CobiT 2007], Seite 14)...18 Abbildung 2: CobiT Würfel (Quelle: [CobiT 2007], Seite 25)...19 Abbildung 3: Ansatz der Systemprüfung nach IDW (Quelle: [IDW PS ], Tz. 8)...22 Abbildung 4: ISO/IEC Prozesse (Quelle: [ISO/IEC ], Seite 1)...27 Abbildung 5: Plan-Do-Check-Act Methodik für Service Management Prozesse (Quelle: [ISO/IEC ], Seite 5)...28 Abbildung 6: Abbildung von IT-Grundschutz durch CobiT...39 Abbildung 7: Abbildung von CobiT durch IT-Grundschutz...40 Abbildung 8: Abbildung von IT-Grundschutz durch IDW PS Bundesamt für Sicherheit in der Informationstechnik

5 Inhaltsverzeichnis Abbildung 9: Abbildung von PS 330 durch IT-Grundschutz...42 Abbildung 10: Abbildung von IT-Grundschutz durch ISO/IEC Abbildung 11: Abbildung von ISO/IEC durch IT-Grundschutz...44 Abbildung 12: Auszug einer Mapping Tabelle...45 Abbildung 13: Auszug einer Kreuzreferenztabelle...46 Tabellenverzeichnis Tabelle 1: Vergleich von SAS 70-Berichten des Typs I und Typ II (Quelle: In Anlehnung an [SAS ])...25 Tabelle 2: Zuordnung der Phasen des PDCA-Zyklus zu den CobiT-Domänen (Quelle: [SecMgr11/2007])...30 Bundesamt für Sicherheit in der Informationstechnik 5

6 Einleitung 1 1 Einleitung Standards und Rahmenwerke stellen für Institutionen eine wichtige Grundlage für die Erschließung neuer und die Erweiterung bereits bekannter Themengebiete dar. In diesem Zusammenhang kann die Anwendung von Standards und Rahmenwerken sowohl eine Innen- als auch eine Außenwirkung haben. Nach innen dienen sie oftmals als Leitfaden und erleichtern der jeweiligen Institution so die Erschließung oder Erweiterung des jeweiligen Themengebietes. Darüber hinaus helfen Standards und Rahmenwerke dabei, die Anforderungen des jeweiligen Themengebietes institutionsweit einheitlich umzusetzen. Nach außen kann die Erfüllung von Standards und Rahmenwerken als Nachweis einer einheitlichen und mit anderen Institutionen vergleichbaren Umsetzung dienen. Dies gilt insbesondere, wenn die Standards und Rahmenwerke zertifizierungsfähig sind. Speziell im Zusammenhang mit dem Qualitätsmanagement werden beispielsweise fehlende Zertifizierungen oftmals als Ausschlusskriterium in Ausschreibungen verwendet. Um die Umsetzung von Informationssicherheit zu unterstützen, wurden in der Vergangenheit unterschiedliche Standards und Rahmenwerke entwickelt (z. B. ISO/IEC 2700x, IT-Grundschutz). Durch die Anwendung dieser Sicherheitsstandards wird sichergestellt, dass allgemein anerkannte, einheitliche Methoden und Best Practices in die Realisierung von Informationssicherheit einfließen. Die standardkonforme Umsetzung ist in der Regel auditierbar und je nach Standard auch zertifizierbar. Eine Zertifizierung kann als Nachweis der Standardkonformität für Kunden, Lieferanten oder Partnerinstitutionen dienen. Es existieren darüber hinaus Standards, in denen Informationssicherheit als Teilaspekt oder aus einer bestimmten fachlichen Perspektive betrachtet wird. Dadurch bestehen inhaltliche Überschneidungen zu den Standards und Rahmenwerken, die Informationssicherheit als Hauptaspekt betrachten. Aufgrund ihrer unterschiedlichen Themengebiete kommt es oft vor, dass mehrere Standards und Rahmenwerke für eine Institution relevant sind. Durch die oben genannten Überschneidungen entsteht hier ein entsprechender Koordinierungsbedarf. Beispielsweise könnten die Anforderungen eines bereits umgesetzten Standards oder Rahmenwerks durch die Umsetzung neuer Anforderungen revidiert werden. Andererseits könnte unbemerkt Mehraufwand entstehen, da die Umsetzung einer gleichartigen Anforderung des neuen Standards schon in ähnlicher Weise durch den bereits umgesetzten Standard implementiert wurde. Institutionen müssen daher bei der Einführung neuer Standards oder Rahmenwerke die relevanten Maßnahmen parallel existierender Standards und Rahmenwerke berücksichtigen. Die Überschneidungen müssen identifiziert und Synergieeffekte effizient genutzt werden. Das Ziel der vorliegenden Studie ist es daher eine Grundlage zu schaffen, um unterschiedliche Standards und Rahmenwerke im Bezug auf die Informationssicherheit kombinieren zu können. Hierfür wird ein Überblick über eine Auswahl von Standards und Rahmenwerke gegeben. Des Weiteren sollen die Überschneidungen zwischen ausgewählten Standards und Rahmenwerken mit Informationssicherheit als Teilaspekt und den Vorgaben aus dem IT-Grundschutz des BSI identifiziert werden. Im ersten Teil der Studie werden daher die relevanten Standards und Rahmenwerke mit Sicherheitsbezug vorgestellt. Dabei handelt es sich zunächst um die Standards mit direktem Bezug zur Informationssicherheit ISO/IEC 27001, IT-Grundschutz des BSI und den auf Kreditkarten bezogenen Bundesamt für Sicherheit in der Informationstechnik 7

7 1 Einleitung Standard PCI-DSS. Im Folgenden werden Standards und Rahmenwerke vorgestellt, in denen Informationssicherheit lediglich einen Teilaspekt darstellt. Dies sind CobiT 4.1, die ITW Standards IDW RS FAIT 1, IDW PS 330 und IDW PS 951, der SAS 70 sowie die ISO/IEC Darauf folgend werden die Standards CobiT 4.1, IDW PS 330 sowie ISO/IEC dem IT- Grundschutz vom BSI gegenübergestellt. In einem direkten Vergleich werden die Gemeinsamkeiten und Unterschiede identifiziert und dadurch eine qualitative Abgrenzung der Inhalte vorgenommen. Zum Vergleich wird anschließend ein Mapping der genannten Standards mit dem IT-Grundschutz vorgenommen. Dabei wurden die Maßnahmen der IT-Grundschutz-Kataloge und die Anforderungen der genannten Standards aus beiden Richtungen aufeinander abgebildet. Im Ergebnis wird demnach zum einen betrachtet, welche Maßnahmen der genannten Standards durch IT-Grundschutz abgebildet werden. Zum anderen wird aufgezeigt, welche Anforderungen der genannten Standards durch IT-Grundschutz-Maßnahmen realisiert werden können. Für die praktische Anwendung wird darüber hinaus eine Zuordnung der Anforderungen von CobiT 4.1, IDW PS 330 und ISO/IEC zu den IT-Grundschutz-Bausteinen statt und in Form einer Kreuzreferenztabelle dargestellt. In Zusammenhang mit dem Mapping findet auch eine konkrete Zuordnung der Anforderungen von CobiT 4.1, IDW PS 330 und ISO/IEC zu den IT-Grundschutz-Bausteinen statt. Diese Zuordnung wird mittels einer Kreuzreferenztabelle durchgeführt, die für die Praxis verdeutlicht, wo Überschneidungen der Standards und Rahmenwerke zu finden sind. 8 Bundesamt für Sicherheit in der Informationstechnik

8 Standards und Rahmenwerke 2 2 Standards und Rahmenwerke 2.1 ISO/IEC Der Standard ISO/IEC definiert auf knapp 30 Seiten Anforderungen für ein Informationssicherheitsmanagementsystem (ISMS). Diese beschreiben einen prozessorientierten Ansatz, der die Planung, Umsetzung und Durchführung, die Überwachung und Überprüfung sowie die Wartung und Verbesserung des ISMS beinhaltet. Entstanden ist die ISO/IEC aus dem British Standard (BS) Für die Verträglichkeit mit anderen Managementsystemen wurde die Norm ISO/IEC mit anderen Normen abgestimmt. Dies ermöglicht die konsistente und integrierte Umsetzung und Durchführung mit anderen Managementsystemen. Dazu zählen die beiden internationalen Normen ISO 9001 (Quality management systems - Requirements) und ISO (Environmental management systems - Requirements with guidance for use). Nach der Norm ISO/IEC können Institutionen ihr ISMS zertifizieren lassen. Die Anforderungen richten sich dabei nicht an eine spezielle Organisationsform, sondern lediglich an ein Informationssicherheitsmanagementsystem (vergleiche [ISO/IEC ], Seite v). Institutionen können z. B. kommerzielle Unternehmen oder Behörden sein. Die Reihenfolge der an ein ISMS gestellten Anforderungen verdeutlicht bereits den in der ISO/IEC verwendeten prozessorientierten Ansatz. Der gesamte Prozess des ISMS ist den vier Phasen des PDCA-Modells zugeordnet, so dass es auf die sich stetig ändernden Einflüsse angepasst werden und schrittweise verbessert werden kann. In der Planungsphase ("Plan") werden die Ziele, Strategien und relevanten Prozesse in Bezug auf die entsprechenden Bedürfnisse einer Institution geplant. In der Phase Umsetzung und Durchführung ("Do") wird das ISMS entsprechend der Planung umgesetzt. Diese beinhaltet unter anderem die Erstellung eines Plans zur Risikobehandlung, die Umsetzung von risikomindernden Maßnahmen (Controls) sowie das Management von Operationen und Ressourcen für das ISMS. Die dritte Phase, Überwachung und Überprüfung ("Check") des ISMS, dient der Messung und Prüfung des ISMS im Hinblick auf die Erreichung der in der Planungsphase festgelegten Ziele und Strategien. Aus den gewonnenen Informationen werden Berichte für das Management erstellt. Mit der Wartung und Verbesserung wird die letzte Phase ( Act ) des Zyklus abgeschlossen. Hier werden korrektive und vorbeugende Maßnahmen vorgenommen, um eine kontinuierliche Verbesserung des ISMS sicherzustellen. Die Maßnahmen werden aus den Ergebnissen der Vorphase definiert (vergleiche [ISO/IEC ], Seite vi). Der Aufbau und die Erstellung des ISMS einer Institution wird durch ihre Bedürfnisse und Ziele, ihre Sicherheitsanforderungen, die Prozesse sowie ihrer Größe und Struktur geprägt (vergleiche [ISO/IEC ], Seite v). Die ISO/IEC verweist in Anlage A auf die Norm ISO/IEC Information technology -- Security techniques -- Code of practice for information security management, die im Jahr 2005 von ISO/IEC in ISO/IEC umnummeriert wurde. Sie definiert Best Practices bezüglich der Ziele und Kontrollen zur Behandlung von Risiken als generische Implementierungshilfe. Für die Zertifizierung müssen diese definierten Ziele und Kontrollen in der Planungsphase des ISMS berücksichtigt werden, es müssen jedoch nicht alle Ziele und Kontrollen der ISO/IEC notwen Bundesamt für Sicherheit in der Informationstechnik 9

9 2 Standards und Rahmenwerke digerweise umgesetzt werden. Bei entsprechender Begründung können Ziele und Kontrollen auch weggelassen werden. Darüber hinaus kann eine Institution zusätzlich zu den vorhandenen Zielen und Kontrollen, eigene, individuelle Ziele und Kontrollen definieren. Innerhalb der Normenreihe ISO 2700x gibt es derzeit weitere Normen und Normentwürfe, die die Inhalte der ISO/IEC ergänzen bzw. konkretisieren. Als Beispiele sind insbesondere ISO/IEC Overview and vocabulary, ISO/IEC Information Security Management Measurement, ISO/IEC Information security risk management sowie ISO/IEC Requirements for bodies providing audit and certification of information security management systems zu nennen. Die rein binären Aussagen zur Erfüllung einer Maßnahme der ISO/IEC sollen um konkretere Bewertungsmassstäbe z. B. für Effizienz und Effektivität mit der Norm ISO/IEC Information Security Management Measurement erweitert werden. Diese Norm liegt bisher nur als Entwurf vor und soll nach Fertigstellung die Forderung einer weitergehenden Qualitätsbewertung erfüllen. Die Norm ISO/IEC 27005:2008 enthält Spezifikationen für das Risikomanagement, die bei der Umsetzung des in der ISO/IEC enthaltenen Risikomanagementansatzes helfen. Weiterhin existiert die Norm ISO/IEC mit Anforderungen an Stellen, die Institutionen nach ISO/IEC zertifizieren oder auditieren. ISO/IEC ist aus dem Leitfaden EA-7/03 der European Accreditation Foundation hervorgegangen. Der Standard basiert auf der DIN EN ISO/IEC und ergänzt diesen um die ISMS-spezifischen Anforderungen. Grundsätzlich ist dieser Standard dort anzuwenden, wo die Anforderungen an Zertifizierungs- und Auditierungsstellen für ISMS gemäß DIN ISO/IEC definiert werden. In erster Linie dient er somit der Akkreditierung von Zertifizierungsstellen, kann aber auch im Rahmen von "Peer Assessments" oder zur Etablierung von Auditprozessen herangezogen werden. Ziel des Dokuments ist es, die Arbeit von Zertifizierungsstellen zu harmonisieren und diesen einen Leitfaden zur Umsetzung bereitzustellen. 2.2 IT-Grundschutz IT-Grundschutz ist ein Standard für Informationssicherheit, der vom Bundesamt für Sicherheit für Informationstechnik (BSI) Mitte der neunziger Jahre entwickelt wurde. Er stellt Methoden und Hilfestellungen zur Verfügung, mit denen Institutionen ein oder mehrere individuelle Informationsverbünde abgrenzen und für dessen bzw. deren Bestandteile angemessene Sicherheitsmaßnahmen auswählen können (vergleiche [BSI ], Seite 36ff). Dabei ist der Informationsverbund eine individuelle Abgrenzung von Objekten aus den Bereichen Organisation, Personal, Technik und Infrastruktur. Bei der IT-Grundschutz-Vorgehensweise wird auf bekannte und bereits bewährte Sicherheitsmaßnahmen für einen normalen Schutzbedarf zurückgegriffen und für den Fall das diese nicht ausreichen ggf. weitere individuelle Maßnahmen anhand einer Risikoanalyse definiert. Dadurch ermöglicht die IT-Grundschutz-Vorgehensweise das Erreichen eines angemessenes Sicherheitsniveaus (vergleiche [BSI ]). Das Lebenszyklusmodell nach Deming stellt in diesem Zusammenhang die Grundlage für den Sicherheitsprozess dar und dient schließlich der kontinuierlichen Anpassung und Verbesserung des Sicherheitsmanagements (vergleiche [BSI ] und [ISO/IEC ]). Angewendet werden kann IT-Grundschutz wie die ISO/IEC in Institutionen jeder Art und Größe (vergleiche [BSI ]). Den Informationsverbund können Institutionen vom BSI nach ISO auf der Basis von IT- Grundschutz zertifizieren lassen. Eine solche Zertifizierung beinhaltet immer eine offizielle ISO- 10 Bundesamt für Sicherheit in der Informationstechnik

10 Standards und Rahmenwerke 2 Zertifizierung nach ISO/IEC und bietet darüber hinaus aufgrund der zusätzlich geprüften technischen Aspekte eine erweiterte Aussagekraft (vergleiche [BSI ]). IT-Grundschutz vom BSI umfasst die BSI-Standards zum Sicherheitsmanagement und die IT- Grundschutz-Kataloge. Die BSI-Standards geben Empfehlungen für die Methoden, Prozesse und Verfahren sowie Vorgehensweisen und Maßnahmen hinsichtlich der Informationssicherheit. Die IT-Grundschutz-Kataloge enthalten Bausteine, Gefährdungen und Maßnahmen. Daneben gibt es zahlreiche weitere Veröffentlichungen rund um IT-Grundschutz (siehe Zunächst werden die vier BSI-Standards zum Sicherheitsmanagement vorgestellt. BSI-Standard 100-1: Managementsysteme für Informationssicherheit Dieser Standard definiert die generellen Anforderungen an ein Managementsystem für Informationssicherheit. Der Standard ist mit der ISO/IEC vollständig kompatibel. Darüber hinaus werden Empfehlungen der ISO/IEC und ISO/IEC berücksichtigt. BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise Die Ausführungen dieses Standards geben eine detaillierte Anleitung, wie ein Managementsystem für Informationssicherheit in der Praxis umgesetzt werden kann. Dabei werden unter anderem die Aufgaben des Informationssicherheitsmanagement sowie der Aufbau einer Organisationsstruktur für Informationssicherheit berücksichtigt (vergleiche [BSI ], Seite 10ff). Wichtige Elemente dieser Vorgehensweise werden im Anschluss der Darstellung der IT-Grundschutz- Kataloge ausführlicher erläutert. BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz Wird im Rahmen der IT-Grundschutz-Vorgehensweise die Entscheidung für eine Risikoanalyse getroffen, bietet dieser Standard eine detailliert beschriebene Methode ([BSI ]), die mit der IT-Grundschutz-Vorgehensweise abgestimmt wurde und sich nahtlos in diese einbetten ([BSI ], S. 11) lässt. BSI-Standard 100-4: Notfall-Management Dieser Standard beschreibt eine Methodik zur Etablierung eines institutionsweiten Notfallmanagements (vergleiche [BSI ]), basiert auf der IT-Grundschutz-Vorgehensweise nach BSI- Standard und ergänzt diese sinnvoll (vergleiche [BSI ]). IT-Grundschutz-Kataloge Die IT-Grundschutz-Kataloge (vergleiche [BSI GSK]) gliedern sich in Bausteine, Maßnahmen- und Gefährdungs-Kataloge. Sie enthalten konkrete Implementierungshilfen für den Sicherheitsprozess (vergleiche [BSI ], Seite 11). Dank der Modularität der Bausteine kann jede Institution ihren individuellen Informationsverbund entsprechend ihrer Sicherheitsanforderungen modellieren (vergleiche [BSI ], Seite 7f). Die IT-Grundschutz-Kataloge werden ständig aktualisiert und unter anderem im Internet veröffentlicht (vergleiche [BSI GSK]). Bundesamt für Sicherheit in der Informationstechnik 11

11 2 Standards und Rahmenwerke Bausteine Die Bausteine bilden typische Prozesse, Anwendungen und IT-Komponenten ab. Sie bestehen aus einer Beschreibung, Verweisen zu Gefährdungen und entsprechenden Maßnahmen. Die Gefährdungen und Maßnahmen sind jeweils in eigenen Katalogen beschrieben (vergleiche [BSI ], Seite 11f). Zur besseren Strukturierung sind die Bausteine in folgende fünf Schichten eingeteilt: - Übergreifende Aspekte - Infrastruktur - IT-Systeme - Netz - Anwendungen Gefährdungs-Kataloge In diesem Katalog sind die in den Bausteinen enthaltenen Gefährdungen ausführlich beschrieben (vergleiche [BSI ], Seite 61). Die Gefährdungs-Kataloge gliedern sich in die fünf Bereiche: - Höhere Gewalt - Organisatorische Mängel - Menschliche Fehlhandlungen - Technisches Versagen - Vorsätzliche Handlungen Maßnahmen-Kataloge Die Maßnahmen enthalten praxiserprobte Standard-Sicherheitsmaßnahmen als Implementierungshilfe für den Sicherheitsprozess (vergleiche [BSI ], Seite 11). IT-Grundschutz definiert in diesem Zusammenhang einen Lebenszyklus mit den Phasen Planung und Konzeption, Beschaffung, Umsetzung, Betrieb, Aussonderung und Notfallvorsorge. Jede Maßnahme ist einer dieser Phasen zugeordnet (vergleiche [BSI ], Seite 77f). Die Maßnahmen sind darüber hinaus anhand der Siegelstufen Einstieg (A), Aufbau (B), Zertifikat (C), Zusätzlich (Z) und auch Wissenstransfer (W) kategorisiert, welche die Bedeutung der Maßnahmen für die Qualifizierung angeben. Um ein Auditoren-Zertifikat der "Einstiegsstufe" zu erlangen, reicht beispielsweise die Umsetzung der A-Maßnahmen aus. Ein Auditor-Testat der "Aufbaustufe" kann durch die Erfüllung aller A- und B-Maßnahmen erreicht werden. Für eine ISO Zertifizierung auf der Basis von IT-Grundschutz müssen sowohl A-, B- als auch die C-Maßnahmen umgesetzt sein. Die zusätzlichen Maßnahmen sind insbesondere für erhöhte Sicherheitsanforderungen vorgesehen. Mit "W" werden schließlich Maßnahmen gekennzeichnet, die der Vermittlung von Wissen dienen (vergleiche [BSI ], Seite 15). Die Maßnahmen-Kataloge sind wie folgt strukturiert (vergleiche [BSI ], Seite 61): - Infrastruktur - Organisation 12 Bundesamt für Sicherheit in der Informationstechnik

12 - Personal - Hard- und Software - Kommunikation - Notfallvorsorge Standards und Rahmenwerke 2 Nachdem notwendige Elemente erläutert wurden, wird nachfolgend die IT-Grundschutz- Vorgehensweise dargestellt. Sie basiert auf einem Sicherheitsprozess mit vier Hauptphasen: Initiierung des Sicherheitsprozesses Bei der Initiierung werden die grundlegenden organisatorischen Aspekte für das Informationssicherheitsmanagement realisiert. Dies beinhaltet die Verantwortung der Leitungsebene, die Konzeption und Planung, die Erstellung einer Leitlinie zur Informationssicherheit, den Aufbau einer Informationssicherheitsorganisation, die Bereitstellung von Ressourcen sowie die Einbindung aller Mitarbeiter. Erstellung einer Sicherheitskonzeption Nach der Initiierung des Sicherheitsprozesses wird die Sicherheitskonzeption erstellt. Die wichtigsten Schritte zur Erstellung sind ([BSI ], Seite 14): - Strukturanalyse - Schutzbedarfsfeststellung - Auswahl und Anpassung von Maßnahmen - Basis-Sicherheitscheck - Ergänzende Sicherheitsanalyse Als Grundlage für die Erstellung der Sicherheitskonzeption muss zunächst der Geltungsbereich abgegrenzt werden, der im IT-Grundschutz als Informationsverbund bezeichnet wird (vergleiche [BSI ], Seite 38). In der Strukturanalyse werden die für die Bestandteile (Informationen, Anwendungen, IT-Systene, Räume, Gebäude, Kommunikationsnetze) des Informationsverbundes erfasst. Klassischerweise wird hier mit den Anwendungen begonnen und darauf aufbauend die weiteren relevanten Objekte identifiziert (vergleiche [BSI ], Seite 37ff). Für die in der Strukturanalyse erfassten Bestandteile des Informationsverbunds wird eine Schutzbedarfsfeststellung durchgeführt. Dabei wird für jedes Objekt der Schutzbedarf bezüglich Vertraulichkeit, Verfügbarkeit und Integrität definiert. Dieser wird anhand der möglichen Schäden durch die Beeinträchtigung der betroffenen Anwendung bestimmt. Der IT-Grundschutz gibt die drei Schutzbedarfsklassen normal, hoch und sehr hoch vor. Die Grenzen dieser Klassen müssen von jeder Institution individuell festgelegt werden. In diesem Zusammenhang können bei Bedarf auch mehr Schutzbedarfsklassen definiert werden. (vergleiche [BSI ], Seite 37ff). Bei der Auswahl und Anpassung von Maßnahmen werden den Objekten des Informationsverbundes die entsprechenden Bausteine und die darin enthaltenen Gefährdungen und Maßnahmen zugeordnet (vergleiche [BSI ], Seite 60ff). Dieser Vorgang wird auch als Modellierung bezeichnet. Anschließend wird ein Basis-Sicherheitscheck durchgeführt, in dem der Soll-Zustand mit dem Ist- Zustand verglichen wird (vergleiche [BSI ], Seite 65ff). Dadurch wird aufgezeigt, wo noch Defizite in der Umsetzung bestehen. Bundesamt für Sicherheit in der Informationstechnik 13

13 2 Standards und Rahmenwerke Bei hohem oder sehr hohem Schutzbedarf, bei Zielobjekten, die nicht hinreichend durch die Grundschutzbausteine abgebildet werden können, sowie in Einsatzszenarien, für die IT- Grundschutz nicht vorgesehen ist, wird eine ergänzende Sicherheitsanalyse durchgeführt. Hier wird entschieden, ob die umgesetzten IT-Grundschutz-Maßnahmen ausreichend sind oder zusätzliche Maßnahmen durch eine Risikoanalyse ermittelt werden müssen. Umsetzung der Sicherheitskonzeption Bei der Umsetzung findet zunächst eine Sichtung der Untersuchungsergebnisse statt. Hierbei werden die noch nicht umgesetzten IT-Grundschutz-Maßnahmen sowie ggf. die Maßnahmen aus der Risikoanalyse zusammengestellt. Im nächsten Schritt findet eine Konsolidierung der Maßnahmen statt. Dabei wird zum einen geprüft, ob die ausgewählten Maßnahmen aus den Katalogen durch die zusätzlichen Maßnahmen aus der ggf. durchgeführten Risikoanalyse ergänzt oder ersetzt werden können. Zum anderen wird festgestellt, ob die umzusetzenden Maßnahmen hinsichtlich der technischen und organisatorischen Gegebenheiten der Institution konkretisiert oder angepasst werden müssen (vergleiche [BSI ], 76ff). Die weiteren Schritte bestehen aus der Kosten- und Aufwandsschätzung, der Festlegung der Umsetzungsreihenfolge der Maßnahmen, der Festlegung der Aufgaben und der Verantwortung sowie der Berücksichtigung realisierungsbegleitender Maßnahmen (z. B. Sensibilisierung der betroffenen Mitarbeiter). (vergleiche [BSI ], 77ff) Aufrechterhaltung und Verbesserung Die letzte Phase beinhaltet die Prüfung des Informationssicherheitsprozesses auf seine Wirksamkeit und Effizienz. Hier sollte insbesondere eine regelmäßige Erfolgskontrolle durch die Leitungsebene stattfinden. Für die Aufrechterhaltung und Verbesserung müssen zwei Aspekte berücksichtigt werden. Zum einen sollte die Überprüfung des Informationssicherheitsprozess in allen Ebenen stattfinden. Dies bedeutet, dass geeignete Methoden zur Überprüfung des Informationssicherheitsprozesses ausgewählt, eine Überprüfung der Umsetzung der Sicherheitsmaßnahmen durchgeführt, die Eignung der Informationssicherheitsstrategie (Aktualität, Wirtschaftlichkeit etc.) geprüft sowie die Übernahme der Ergebnisse in den Informationssicherheitsprozess organisiert werden. Zum anderen muss der Informationsfluss im Informationssicherheitsprozess betrachtet werden. Hierbei geht es sowohl um die zielgruppengerechte Aufbereitung als auch um die zeitnahe Verteilung von Informationen des Informationssicherheitsprozesses. Der kontinuierliche Verbesserungszyklus schließt sich mit der Phase "Erstellung der Sicherheitskonzeption" in die die Verbesserungsmaßnahmen einfließen. 2.3 PCI DSS Version 1.2 Der Payment Card Industry Data Security Standard (PCI DSS) wird von einem Konsortium führender Kreditkarten-Organisationen herausgegeben. Er wurde vom PCI Security Standards Council erstellt und formuliert Sicherheitsanforderungen an die Abwicklung von Kreditkartentransaktionen. 14 Bundesamt für Sicherheit in der Informationstechnik

14 Standards und Rahmenwerke 2 Die Anforderungen von PCI DSS müssen von allen Unternehmen umgesetzt werden, die Karteninhaberdaten von Kreditkarten speichern, verarbeiten oder übertragen, also z. B. von Händlern, die Kreditkartenzahlungen akzeptieren, oder von Dienstleistern, die diese im Auftrag weiterverarbeiten. In Version 1.1 des Standards war ausformuliert, dass PCI DSS Anforderungen "immer dann gelten, wenn eine Primary Account Number (PAN) gespeichert, verarbeitet oder übermittelt wird." Dabei wird mit PAN die Zahlungskartennummer einer Kredit- oder Debitkarte bezeichnet, die den Kartenaussteller und das jeweilige Karteninhaberkonto identifiziert. Im Volksmund wird PAN auch kurz als Kontonummer bezeichnet. Diesem Standard unterliegen nur Karteninhaberdaten, die in Verbindung mit der PAN gespeichert werden. Datenelemente, die in Verbindung mit der PAN gespeichert werden, sind laut PCI DSS der Name des Karteninhabers, der Servicecode und das Ablaufdatum der Karte. Der Standard weist darüber hinaus darauf hin, dass sich aus vertraglichen oder gesetzlichen Anforderungen (z. B. Datenschutzgesetze) zusätzliche Sicherheitsanforderungen an die sorgfältige Verarbeitung, Speicherung und Weitergabe erfasster Kundendaten im Rahmen der geschäftlichen Tätigkeit ergeben können (vergleiche [PCI-DSS 2008], Seite 4). Vertrauliche Authentisierungsdaten haben einen sehr hohen Schutzbedarf und unterliegen daher einer besonderen Anforderung. Zu den vertraulichen Authentisierungsdaten zählen die Daten des Magnetstreifens einer Debit- oder Kreditkarte, PINs und Kartenprüfwerte wie z. B. den CVC2 (Card Validation Code Version 2). Diese dürfen nach der Authentisierung nicht in den Händlersystemen gespeichert werden (vergleiche [PCI-DSS 2008], Seite 4). Deshalb enthält dieser Standard keine weitergehenden Sicherheitsanforderungen an diese Art Informationen. Die im PCI DSS formulierten Sicherheitsanforderungen gelten für alle Systemkomponenten, die Karteninhaberdaten oder vertrauliche Authentisierungsdaten (z. B. die Magnetstreifendaten, PIN der PIN-Block) verarbeiten oder mit dieser in Verbindung stehen. Diese Systemkomponenten sind beispielsweise Netzkomponenten (z. B. Firewall, Switches und Router), Server oder Anwendungen (vergleiche [PCI-DSS 2008], Seite 5ff). Der zu sichernde Bereich kann durch eine sinnvolle Netzsegmentierung reduziert werden. Insgesamt sind 12 übergreifende Sicherheitsanforderungen in den folgenden sechs Bereichen definiert (vergleiche [PCI-DSS 2008], Seite 13ff): - Erstellung und Wartung eines sicheren Netzwerks - Installation und Wartung einer Firewall-Konfiguration zum Schutz von Karteninhaberdaten - Ändern der vom Anbieter festgelegten Standardeinstellung für Systemkennwörter und andere Sicherheitsparameter - Schutz von Karteninhaberdaten - Schutz gespeicherter Karteninhaberdaten - Verschlüsselung bei der Übertragung von Karteninhaberdaten über offene, öffentliche Netze - Wartung eines Anfälligkeits-Managementprogramms - Verwendung und regelmäßige Aktualisierung von Antivirensoftware - Entwicklung und Wartung sicherer Systeme und Anwendungen - Implementierung starker Zugriffskontrollmaßnahmen Bundesamt für Sicherheit in der Informationstechnik 15

15 2 Standards und Rahmenwerke - Beschränkung des Zugriffs auf Karteninhaberdaten je nach geschäftlichem Informationsbedarf - Zuweisung einer eindeutigen ID für jede Person mit Computerzugriff - Beschränkung des physischen Zugriffs auf Karteninhaberdaten - Regelmäßige Überwachung und regelmäßiges Testen von Netzwerken - Verfolgung und Überwachung des gesamten Zugriffs auf Netzwerkressourcen und Karteninhaberdaten - Regelmäßiges Testen der Sicherheitssysteme und -prozesse - Befolgung einer Informationssicherheitsrichtlinie - Befolgung einer Informationssicherheits-Richtline für Mitarbeiter und Subunternehmer Alle Dienstanbieter, die auf Karteninhaberdaten zugreifen können, müssen ebenfalls PCI DSS komplett umsetzen. Hosting-Anbieter, die von mehreren Kreditkarten-verarbeitenden Unternehmen genutzt werden, müssen außerdem weitere Anforderungen erfüllen. Beispielsweise müssen sie die Zugriffsrechte ihrer jeweiligen Vertragspartner auf deren eigene Umgebung beschränken. Bei einem Sicherheitsvorfall bei einem Dienstleister muss es möglich sein, den Vorfall rechtzeitig zu untersuchen, falls erforderlich auch gerichtlich. Die jeweiligen Sicherheitsanforderungen in diesen sechs Bereichen sind im PCI DSS kurz inhaltlich umrissen, aber nicht detailliert ausformuliert. Sie entsprechen im Detaillierungsgrad in etwa den Kontrollzielen aus ISO Zu jeder Anforderung werden zusätzlich Prüfhinweise gegeben. Insgesamt umfassen alle 12 Sicherheitsanforderungen und Prüfverfahren circa 50 Seiten. Wenn die definierten Anforderungen in dem Unternehmen aufgrund technischer oder organisatorischer Besonderheiten nicht umgesetzt werden können, besteht die Möglichkeit, Kompensationskontrollen durchzuführen, die jedes Jahr dokumentiert und geprüft werden müssen. Hierdurch dürfen jedoch keine Risiken entstehen, die bei strikter Umsetzung der Anforderungen von PCI DSS behandelt worden wären. Die umgesetzten Kompensationskontrollen müssen folgende Kriterien erfüllen (vergleiche [PCI-DSS 2008], Seite 66): 1. "Sie müssen in Absicht und Anspruch den ursprünglichen PCI DSS-Anforderungen entsprechen. 2. Sie müssen ein vergleichbares Schutzniveau wie die ursprüngliche PCI DSS-Anforderung bieten. (...) 3. Sie müssen mindestens so weitreichend wie andere PCI DSS-Anforderungen sein. (...) 4. Sie müssen dem zusätzlichen Risiko, das durch die Nichteinhaltung der PCI DSS-Anforderung entsteht, angemessen sein." Führende Kreditkartenunternehmen haben sich darauf geeinigt, dass PCI DSS für alle Institutionen, die Kreditkartendaten verarbeiten, speichern oder weiterleiten, seit Januar 2008 verpflichtend ist (vergleiche hierzu unter anderem [Saferpay 2007]). Dazu gehören nicht nur alle Dienstleister, die Kreditkarten- oder Transaktionsdaten verarbeiten, sondern auch Händler, die Kreditkarten akzeptieren, ebenso wie Händlerbanken und Acquirer. Institutionen, die Kreditkartendaten verarbeiten, speichern oder weiterleiten, müssen nicht nur die Anforderungen nach PCI DSS umsetzen, sondern die erfolgreiche Umsetzung muss anschließend überprüft und das Ergebnis registriert werden. Je nach Art und Größe der Institution, der Anzahl der Transaktionen und der Führung der Karteninhaberdaten, gibt es hierzu verschiedene Möglichkeiten 16 Bundesamt für Sicherheit in der Informationstechnik

16 Standards und Rahmenwerke 2 von Zertifizierungen oder Selbstzertifizierungen. Wenn eine Zertifizierung nicht zwingend notwendig ist, kann durch jährlich auszufüllende Selbstbeurteilungs-Fragebögen die Komformität zum PCI-Regelwerk mitgeteilt werden. Hierfür sieht das PCI Security Standards Council fünf verschiedene Validierungstypen vor. Zusätzlich sollten noch vierteljährliche Sicherheitschecks durchgeführt werden. Die Zertifizierungen nach PCI DSS dürfen nur akkreditierte Prüfer, sogenannte Qualified Security Assessors, durchführen. Nähere Informationen zu PCI DSS finden sich unter https://www.pcisecuritystandards.org. 2.4 CobiT 4.1 Das Rahmenwerk Control Objectives for Information and related Technology (CobiT) ermöglicht die Steuerung und Kontrolle des IT-Betriebs durch das Management (vergleiche [CobiT 2007], Seite 5). CobiT wurde von der ISACA (Information Systems Audit and Control Association) entwickelt. Entstanden ist CobiT aus einer Sammlung von mehreren IT-Standards, Rahmenwerken, Richtlinien und Best Practices. Zu diesen zählen unter anderem die IT Infrastructure Library (ITIL), die ISO/IEC (vormals ISO/IEC 17799) und das Capability Maturity Model (CMM). Für die Version 4.1 wurde der Schwerpunkt auf sechs IT-Standards, Rahmenwerke, Richtlinien und Best Practices gelegt (vergleiche [CobiT 2007], Seite 177). CobiT bietet dabei nicht die Möglichkeit einer Zertifizierung. Der Fokus liegt auf der Erreichung der Anforderungen für das IT Governance. "IT Governance ist die Verantwortung von Führungskräften und Aufsichtsräten und besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die Unternehmens-IT dazu beiträgt, die Unternehmensstrategie und -ziele zu erreichen und zu erweitern." (CobiT , Seite 5) Als prozessorientierte Methode ist CobiT dabei unabhängig von der internen Struktur oder der Rechtsform einer Institution einsetzbar. Die Anforderungen für das IT Governance teilt CobiT in fünf Kernbereiche ein, die auf die drei grundlegenden Bestandteile Wertbeitrag, Risiko und Steuerung zurückzuführen sind. Die fünf Kernbereiche sind strategische Ausrichtung, Schaffen von Werten und Nutzen, Ressourcenmanagement, Risikomanagement und das Messen der Performance (vergleiche [CobiT 2007], Seite 5f). Die Sicherstellung der Kernbereiche des IT Governance und die dafür notwendige Identifikationen der IT-Ressourcen, IT-Prozesse, IT-Kontrollen sowie mögliche Lücken wird folgendermaßen erreicht (vergleiche [CobiT 2007], Seite 5f): Die IT-Ziele werden aus den Unternehmenszielen und der Unternehmensstrategie für die IT abgeleitet. Dabei gliedert CobiT die Unternehmensziele in die Kategorien Effektivität, Effizienz, Vertraulichkeit, Verfügbarkeit, Integrität, Compliance und Verlässlichkeit. Die Bedeutung der Sicherheit wird aus den drei Kriterien Vertraulichkeit, Verfügbarkeit und Integrität deutlich. Aus den IT-Zielen wird die Unternehmensarchitektur für die IT bestimmt. Die Architektur besteht aus IT-Ressourcen und -Prozessen. Die IT-Ressourcen gliedern sich in Anwendungen, Informationen, Infrastruktur und Personal (vergleiche [CobiT 2007], Seite 10ff) und werden von IT-Prozessen gesteuert (vergleiche [CobiT 2007], Seite 25). Die IT-Prozesse sind in vier Domänen gegliedert (vergleiche [CobiT 2007], Seite 12): - Plan and Organise (PO) - Aquire and Implement (AI) Bundesamt für Sicherheit in der Informationstechnik 17

17 2 Standards und Rahmenwerke - Deliver and Support (DS) - Monitor and Evaluate (ME) Den IT-Prozessen sind sieben generelle Kontrollziele (der Kategorien der Unternehmensziele siehe oben) zugeordnet, jeweils ein übergeordnetes Kontrollziel und mehrere detaillierte Kontrollziele. Über die IT-Prozesse hinaus existieren Anwendungskontrollziele, die sicherstellen, dass der Umgang mit den im Unternehmen verwendeten Anwendungssystemen richtig und korrekt erfolgt (vergleiche [CobiT 2007], Seite 14). Die Kontrolle der Zielerreichung erfolgt durch die Bereitstellung geeigneter Messgrößen und durch ein Reifegradmodell (vergleiche [CobiT 2007], Seite 5, 14 und 17f). Die Messgrößen werden in zwei Kategorien unterteilt: die Outcome Measures, die angeben, wie gut die Unternehmenserfordernisse umgesetzt worden sind, und die Perfomance Indicators, welche die aktuelle und zukünftige Zielerreichung der IT-Prozesse messen (vergleiche [CobiT 2007], Seite 22f). Die Reife eines Prozesses wird mit dem Reifegradmodell bestimmt, welches eine Bewertung der IT-Prozesse von "nicht existent" bis "optimiert" in fünf Stufen ermöglicht (vergleiche [CobiT 2007], Seite 18f). Den IT-Fachbereichen werden für eine wirksame Ausführung und Umsetzung entsprechende Verantwortlichkeiten zugeordnet (vergleiche [CobiT 2007], Seite 6 und 15). Abbildung 1: CobiT-Kontrollmodell (Quelle: [CobiT 2007], Seite 14) Die beschriebenen Punkte fließen in das Kontrollmodell von CobiT ein. Dieses ist in Abbildung 1 dargestellt. Als Eingabe dienen die Standards, Rahmenwerke, Guidelines, Best Practices und die IT- Ziele. Die aus den Prozessen entstandenen Kontrollinformationen werden mit den Eingaben verglichen und aus den Ergebnissen entsprechende Maßnahmen abgeleitet (vergleiche [CobiT 2007], Seite 14). Die gesamte Umsetzung wird durch eine Strukturierung der Prozesse unterstützt, dem CobiT- Prozessmodell (vergleiche [CobiT 2007], Seite 5). Hier bestehen die oben beschriebenen vier Domänen der IT-Prozesse aus insgesamt 34 Prozessen, die sich wiederum aus Aktivitäten zusammensetzen (vergleiche [CobiT 2007], Seite 6 und 26). 18 Bundesamt für Sicherheit in der Informationstechnik

18 Standards und Rahmenwerke 2 Abbildung 2: CobiT Würfel (Quelle: [CobiT 2007], Seite 25) Dieses Prozessmodell, ergänzt um die oben beschriebenen Unternehmensanforderungen und IT- Ressourcen, bildet den in Abbildung 2 dargestellten CobiT-Würfel (vergleiche [CobiT 2007], Seite 26). Dieser stellt die Zusammenhänge der drei Bestandteile dar. IT-Aktivitäten und -Ressourcen werden von den vorgegeben Unternehmensanforderungen über die Domänen und Prozesse gesteuert. Die Messgrößen ermöglichen sodann eine Überwachung und bei Bedarf eine Neuausrichtung der IT ([CobiT 2007], Seite 24). Das CobiT-Rahmenwerk gibt für jeden Prozess eine komplette Übersicht. Diese enthält eine Prozessbeschreibung, detaillierte Kontrollziele, Prozesseingaben und ausgaben, RACI-Informationen (RACI: Zuständig (Responsible), verantwortlich (Accountable), beraten (Consulted), informiert (Informed); vergleiche [CobiT 2007], Seite 24), Ziele und Metriken sowie eine Beschreibung für die Reifegradbestimmung (vergleiche [CobiT 2007], Seite 27f). Die Eingaben, Ausgaben, Aktivitäten, Rollen, Verantwortlichkeiten und Metriken sind illustrativ aufgeführt und nicht vollständig beschrieben. Die Eingaben enthalten neben einer kurzen Eingabenbeschreibung Informationen über die Herkunft der Eingaben. Diese können von anderen CobiT-Prozessen oder Prozessausgaben stammen, oder aber von außerhalb kommen. Die Ausgaben enthalten neben einer kurzen Beschreibung Informationen darüber, in welche Prozesse die Ausgaben als Eingaben einfließen (vergleiche [CobiT 2007], Seite 31ff). Jeder Prozess wird durch die Prozessbeschreibung übersichtlich dargestellt. Diese enthält Informationen darüber, welche Unternehmensanforderungen der sieben Kategorien und aus den fünf Kernbereichen der IT Governance primär (p) oder sekundär (s) angesprochen werden. Weiterhin enthält diese Übersicht die Kontrolle des IT-Prozesses, die Unternehmensziele bezüglich der IT, die wichtigsten IT-Ziele des IT-Prozesses, wie diese Ziele erreicht und kontrolliert werden sowie Bundesamt für Sicherheit in der Informationstechnik 19

19 2 Standards und Rahmenwerke welche IT-Ressourcen für den jeweiligen IT-Prozess benötigt werden (vergleiche [CobiT 2007], Seite 27f). Zu CobiT existiert kein eigenes Zertifizierungsschema. Andererseits dient CobiT aber als Rahmenwerk für interne und externe Audits (z. B. von Wirtschaftsprüfern). 2.5 IDW Standards Das Institut der Wirtschaftsprüfer in Deutschland e.v. (IDW) ist ein Zusammenschluss von Wirtschaftsprüfern und Wirtschaftsprüfungsgesellschaften Deutschlands. Eines der Ziele des IDW ist es, die Facharbeit von Wirtschaftsprüfern zu unterstützen (vergleiche [IDW 2008]). Das IDW gibt verschiedene Arten von Publikationen heraus: - Prüfungsstandards (IDW PS) - Stellungnahmen zur Rechnungslegung (IDW RS) - IDW Standards (IDW S) - Prüfungs- und Rechnungslegungshinweise (IDW PH und IDW RH) Die Prüfungsstandards legen Anforderungen der Rechnungslegung und Prüfungsfragen fest. Alle Verlautbarungen des IDW werden, unter der Einbeziehung der Öffentlichkeit, von Fachgremien entwickelt und regelmäßig aktualisiert. Einige dieser Verlautbarungen beinhalten auch Aspekte der Informationssicherheit. Hierzu gehören beispielsweise: - Abschlussprüfung bei Einsatz von Informationstechnologien (IDW PS 330) - Checkliste zur Abschlussprüfung bei Einsatz von Informationstechnologie (IDW PH ) - Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1) - Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Electronic Commerce (IDW RS FAIT 2) - Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren (IDW RS FAIT 3) - Erteilung und Verwendung von Softwarebescheinigungen (IDW PS 880) - Prüfung des internen Kontrollsystems beim Dienstleistungsunternehmen für auf das Dienstleistungsunternehmen ausgelagerte Funktionen (IDW PS 951) Im Folgenden werden die Stellungnahme zur Rechnungslegung IDW RS FAIT 1 sowie die Prüfungsstandards IDW PS 330 und IDW PS 951 erläutert. Die Stellungnahme beschreibt die Grundsätze und die beiden Prüfungsstandards, die beim Einsatz von Informationstechnologie relevant sind und beschreiben Sicherheitsanforderungen an die IT. Der Prüfungsstandard 330 richtet seine Anforderungen direkt an die IT. Hingegen macht der Prüfungsstandard 951 Vorgaben an das interne Kontrollsystem eines Dienstleistungsunternehmens. Da die IT Teil des internen Kontrollsystem ist, sind auch die Vorgaben dieses Standards für die IT zu beachten. 20 Bundesamt für Sicherheit in der Informationstechnik

20 Standards und Rahmenwerke IDW RS FAIT 1 In seiner Stellungnahme zur Rechnungslegung IDW RS FAIT 1 definiert der Fachausschuss für Informationstechnologie des IDW die "Grundsätze ordnungsgemäßer Buchführung bei Einsatz von Informationstechnologie". Die Stellungnahme stellt die grundlegenden Definitionen für die ITspezifischen Prüfungsstandards des IDW (z. B. PS 330, PS 880) zusammen. Insbesondere wird hier der Geltungsbereich des Begriffs "IT-System" definiert. Im Gegensatz zu anderen Standards ist "IT-System" hier nicht als Hardware inklusive Betriebssystem, sondern als übergeordneter Begriff zu verstehen. Ein IT-System nach RS FAIT 1 beinhaltet die rechnungslegungsrelevanten IT-gestützten Geschäftsprozesse, IT-Anwendungen, IT-Infrastruktur wie bauliche Einrichtungen, Hardware und den IT-Betrieb. Das Zusammenwirken der Elemente des IT- Systems wird durch das IT-Kontrollsystem definiert. In diesem werden die Risiken des IT-Einsatzes behandelt (vergleiche [IDW RS FAIT ], Tz. 7ff). Da Sicherheit eine Voraussetzung für die Ordnungsmäßigkeit der IT-gestützten Rechnungslegung darstellt, wurden in der RS FAIT 1 auch die "Sicherheitsanforderungen an rechnungslegungsrelevante Daten" festgelegt. Als Sicherheitsanforderungen an die IT-Systeme definiert die RS FAIT 1 Vertraulichkeit, Integrität, Verfügbarkeit, Autorisierung, Authentizität und Verbindlichkeit. Darüber hinaus verlangt die Stellungnahme, dass ein Sicherheitskonzept erstellt wird, in dem die Sicherheitsrisiken des IT-Einsatzes bewertet und entsprechende organisatorische oder technische Maßnahmen abgeleitet werden. Neben den Sicherheitsanforderungen werden in der RS FAIT 1 die gesetzlichen Anforderungen ordnungsgemäßer Buchführung auf die IT abgebildet. Der Standard legt hier die im HGB verlangten Werte Vollständigkeit, Richtigkeit, Zeitgerechtheit, Ordnung, Nachvollziehbarkeit und Unveränderlichkeit für die IT aus IDW PS 330 Der IDW Prüfungsstandard "Abschlussprüfung bei Einsatz von Informationstechnologie" (IDW PS 330) ist ein Prüfungsstandard, der von Wirtschaftsprüfern bei Abschlussprüfungen eingesetzt wird, wenn die Rechnungslegung des jeweiligen Unternehmens unter dem Einsatz von Informationstechnologie (IT) erfolgt (vergleiche [IDW PS ], Tz. 8). Da dies heutzutage bei nahezu allen Unternehmen der Fall ist, ist der PS 330 ein viel beachteter Standard. Der Prüfungsumfang ist dabei auf IT-Systeme konzentriert, die "rechnungslegungsrelevante" Daten verarbeiten, also beispielsweise für Buchführung, Jahresabschlüsse, Lageberichte oder ähnliches. Prinzipiell richtet sich der Standard aber an alle IT-Systeme, bei denen durch dort auftretende Sicherheitsrisiken dem Unternehmen ein wesentlicher wirtschaftlicher Schaden entstehen könnte. PS 330 beschreibt die Ziele, den Umfang, die Durchführung, die IT-gestützten Prüfungstechniken sowie die Dokumentation der Prüfung von rechnungslegungsrelevanten IT-Systemen entsprechend der in RS FAIT 1 gegebenen Definition. Auch die weiteren grundlegenden Begriffe zur Informationstechnologie, zum Einsatz der IT im Unternehmen sowie zur Einrichtung des IT-Systems werden in der IDW RS FAIT 1 geregelt. Insbesondere die darin enthaltenen Anforderungen an die Ordnungsmäßigkeit und Sicherheit sowie weitere gesetzliche Anforderungen stellen die Basis für die IT-Systemprüfung dar (vergleiche [IDW PS ], Tz. 7). Bundesamt für Sicherheit in der Informationstechnik 21

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

IT-Outsourcing aus Sicht der Wirtschaftsprüfer

IT-Outsourcing aus Sicht der Wirtschaftsprüfer IT-Outsourcing aus Sicht der Wirtschaftsprüfer Roundtable der matrix technology AG München, 6. November 2008 Lothar Schulz Wirtschaftsprüfer - Steuerberater Prüfer für Qualitätskontrolle AGENDA 1. IT-Prüfung

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach COBIT Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach Gliederung Motivation Komponenten des Frameworks Control Objectives Goals Prozesse Messen in CobiT Maturity Models Outcome

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7 vii 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 2.1 ISACA und das IT Governance Institute....................... 7 2.2 Entstehung von COBIT, Val IT und Risk IT....................

Mehr

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz 3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz Institut für Informatik und Automation Dipl.-Inf. Günther Diederich Institut für Informatik und Automation In-Institut der Hochschule

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit Informationssicherheitsmanagement BSI- Grundschutz in der Praxis Informationssicherheit nach BSI-Grundschutz und ISO 27001 im Praxisvergleich Cyber Akademie

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement datenschutz nord GmbH Mai 2007 Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement 1. Rechtliche Vorgaben zur IT-Sicherheit und zum Risikomanagement Das Thema IT-Sicherheit hat

Mehr

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH zum Phoenix Videokonferenzsystem der Phoenix Software GmbH BSI - Bundesamt für Sicherheit in der Informationstechnik, Postfach 20 03 63, D-53133 Bonn Telefon +49 (0)228 9582-0, Fax +49 (0)228 9582-5477,

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 11. Kommunales IuK-Forum

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

SerNet. Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013. Alexander Koderman. SerNet GmbH, Berlin

SerNet. Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013. Alexander Koderman. SerNet GmbH, Berlin Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013 Alexander Koderman GmbH, Berlin Übersicht Wieso werde ich auditiert? IS-Audits, Grundlagen, Standards Was erwartet mich? Inhalte,

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen -

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - Vortrag zum Thema - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - auf der Veranstaltung: - Wertorientierte IT-Steuerung durch gelebte IT-Governance Vorbereitet für: IIR Deutschland GmbH Vorbereitet

Mehr

IT-Sicherheitsmanagement

IT-Sicherheitsmanagement Hagenberg Univ.-Doz.DI ingrid.schaumueller@liwest.at 1 Kennen Sie diese Situation? 2 Heute finden wir meist...... gute technische Einzellösungen... spontane Aktionen bei Bekanntwerden neuer Bedrohungen...

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

Neues vom IT-Grundschutz: Ausblick und Diskussion

Neues vom IT-Grundschutz: Ausblick und Diskussion Neues vom IT-Grundschutz: Ausblick und Diskussion Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2014

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie Seite 1 von 13 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: De-Mail Sicherheit Modulübergreifend Anwendungsbereich: Kürzel: BSI De-Mail TR 01201

Mehr

Payment Card Industry (PCI) Datensicherheitsstandard

Payment Card Industry (PCI) Datensicherheitsstandard Payment Card Industry (PCI) Datensicherheitsstandard Konformitätsbescheinigung für Vor-Ort-Beurteilungen - Händler Version 3.0 Februar 2014 1. Abschnitt: Informationen zur Beurteilung Anleitung zum Einreichen

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

Account Information Security Programme - Allgemeine Informationen -

Account Information Security Programme - Allgemeine Informationen - Account Information Security Programme - Allgemeine Informationen - Neue Sicherheitsstandards für die Aufbewahrung und Weiterverarbeitung sensibler Karteninhaberdaten Kreditkartenzahlungen erfreuen sich

Mehr

IT-Sicherheitszertifikat

IT-Sicherheitszertifikat Bundesamt Deutsches erteilt vom IT-Sicherheitszertifikat Bundesamt ISO 27001-Zertifikat auf der Basis von IT-Grundschutz Technisches Facility Management für hochverfügbare Datacenter der e-shelter facility

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform. durch die Prüfstelle. greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg

Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform. durch die Prüfstelle. greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform durch die Prüfstelle greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg Dokumententitel: Erteilung des Datenschutz-Siegels Datenschutzkonform

Mehr

Vorwort. Dr. Udo Helmbrecht, Präsident des BSI

Vorwort. Dr. Udo Helmbrecht, Präsident des BSI Vorwort Sarbanes-Oxley-Act, Basel II oder KonTraG immer mehr gesetzliche Rahmenbedingungen haben einen deutlichen Bezug zur IT-Sicherheit. Sie erhöhen den Druck auf die Verantwortlichen, die Sicherheit

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2013 09.10.2013 Agenda

Mehr

Compliance im Rechnungswesen Anforderungen an die IT

Compliance im Rechnungswesen Anforderungen an die IT Information Risk Management Compliance im Rechnungswesen Anforderungen an die IT Dietmar Hoffmann Köln, 3. Mai 2007 ADVISORY Inhalt 1 Überblick 2 Rechtliche Rahmenbedingungen 3 Auswirkungen 4 Prüfungen

Mehr

2008 by Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee 185-189, 53175 Bonn

2008 by Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee 185-189, 53175 Bonn 2008 by Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee 185-189, 53175 Bonn Inhaltsverzeichnis Inhaltsverzeichnis 1 Einleitung 5 1.1 Versionshistorie 5 1.2 Zielsetzung 5 1.3

Mehr

Payment Card Industry (PCI) Datensicherheitsstandard

Payment Card Industry (PCI) Datensicherheitsstandard Payment Card Industry (PCI) Datensicherheitsstandard Konformitätsbescheinigung für Selbstbeurteilungs-Fragebogen D - Dienstanbieter Version 3.0 Februar 2014 1. Abschnitt: Informationen zur Beurteilung

Mehr

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster Informationssicherheit im mittelstand... > Bavarian IT Security & Safety Cluster > ein PROdUKt des BayeRisCHen it-sicherheits- ClUsteRs e.v. der Bayerische it-sicherheitscluster e.v. Der Bayerische It-sicherheitscluster

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006 Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF Mai 2009 > Vorstellung des BMF / IT-Sektion Gründe für die Einführung des Standards Projektumfang

Mehr

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014 Strategisches IT-Management mit dem COBIT Framework Markus Gronerad, Scheer Management 1.8.2014 Was ist strategisches IT-Management? IT-Management Das (operative) IT-Management dient der Planung, Beschaffung,

Mehr

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7 xv 1 Einleitung 1 2 Einführung und Grundlagen 7 2.1 Die neue Rolle der IT...................................... 7 2.2 Trends und Treiber........................................ 8 2.2.1 Wertbeitrag von

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Q_PERIOR AG 2014 www.q-perior.com Einführung Die Herausforderungen an die Compliance in der Informationssicherheit steigen Neue Technologien Fraud und Industriespionage

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

Consulting Services Effiziente Sicherheitsprozesse nach Mass.

Consulting Services Effiziente Sicherheitsprozesse nach Mass. Consulting Services Effiziente Sicherheitsprozesse nach Mass. Angemessene, professionelle Beratung nach internationalen Sicherheitsstandards. Effektive Schwachstellenerkennung und gezielte Risikominimierung.

Mehr

Praktizierter Grundschutz in einem mittelständigen Unternehmen

Praktizierter Grundschutz in einem mittelständigen Unternehmen Praktizierter Grundschutz in einem mittelständigen Unternehmen Adolf Brast, Leiter Informationsverarbeitung Bochum-Gelsenkirchener Straßenbahnen AG auf dem 4. Stuttgarter IT-Sicherheitstag, 16.02.06 Überblick

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010

Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010 Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010 Agenda Zielsetzung Information zum IKS Unser Ansatz Ihr Nutzen Kontakt 2 1. Zielsetzung Zielsetzung Der

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

Gesellschaftsrechtlich stellen die 91 Abs. 2 AktG bzw. 107 Abs. 3 AktG die zentralen Normen dar.

Gesellschaftsrechtlich stellen die 91 Abs. 2 AktG bzw. 107 Abs. 3 AktG die zentralen Normen dar. 3. Externe Rahmenbedingungen 3.1 Grundlagen Der Rahmen für die Tätigkeit der Internen Revision wird maßgeblich auch durch externe Normen gesetzt. Diese beinhalten insbesondere gesellschaftsrechtliche,

Mehr

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Grundlagen des Change Managements Anforderungen und Möglichkeiten für einen sauberen Änderungsprozess Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Hauptrisikofaktoren für IT-Sicherheit Patches

Mehr

ISO 27001 Zertifizierung

ISO 27001 Zertifizierung ISO 27001 Zertifizierung - Zertifizierte IT-Sicherheit nach internationalen Standards Trigonum GmbH Trigonum Wir machen Unternehmen sicherer und IT effizienter! - 2 - Kombinierte Sicherheit Datenschutz

Mehr

Cloud Computing mit IT-Grundschutz

Cloud Computing mit IT-Grundschutz Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung

Mehr

IT-Grundschutz und Mindeststandards Der pragmatische Weg zur Informationssicherheit

IT-Grundschutz und Mindeststandards Der pragmatische Weg zur Informationssicherheit IT-Grundschutz und Mindeststandards Der pragmatische Weg zur Informationssicherheit Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz

Mehr

WBH Wirtschaftsberatung GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Hannover K U R Z T E S T A T

WBH Wirtschaftsberatung GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Hannover K U R Z T E S T A T Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Hannover K U R Z T E S T A T über die Softwarezertifizierung des Programms tacoss.etrade Tacoss Software GmbH Tarp Inhaltsverzeichnis Seite 1.

Mehr

Sind Sicherheit und Internet Banking vereinbar? Forum ecommerce und Vertrauen 25. September 2002. Manfred Scholz, CISA Manfred.Scholz@sec4you.

Sind Sicherheit und Internet Banking vereinbar? Forum ecommerce und Vertrauen 25. September 2002. Manfred Scholz, CISA Manfred.Scholz@sec4you. Sind Sicherheit und Internet Banking vereinbar? Forum ecommerce und Vertrauen 25. September 2002 Manfred Scholz, CISA Manfred.Scholz@sec4you.com Internet Banking aus der Sicht eines Prüfers Anforderungen

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Missbrauchsbekämpfungsmaßnahmen

Missbrauchsbekämpfungsmaßnahmen Anlage für Servicevereinbarung zur Kartenakzeptanz Sicherheitsstandards für die Aufbewahrung und Weiterverarbeitung sensibler Karteninhaberdaten Kreditkartenzahlungen erfreuen sich einer immer größer werdenden

Mehr

Entwurf einer Neufassung des IDW Standards: Die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen (IDW EPS 951 n.f.

Entwurf einer Neufassung des IDW Standards: Die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen (IDW EPS 951 n.f. Arbeitskreis Rechnungslegung des Deutschen Steuerberaterverbands e.v. Littenstraße 10 10179 Berlin Tel: 030/278 76-2 Fax: 030/278 76-799 Mail: rechnungslegung@dstv.de B 01/13 vom 31.05.2013 Entwurf einer

Mehr

Überblick zur ISO/IEC 20000 Norm

Überblick zur ISO/IEC 20000 Norm Überblick zur ISO/IEC 20000 Norm Der internationale IT Service Management Standard Gegenwärtig ist nicht nur in Deutschland eine Tendenz zu erkennen, dass große IT- Unternehmen und auch Kunden von ihren

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI.

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. ISO/IEC 27001 von BSI Ihre erste Wahl für Informationssicherheit BSI ist die Gesellschaft für Unternehmensstandards,

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

ISO 27001 Zertifizierung auf der Basis IT-Grundschutz

ISO 27001 Zertifizierung auf der Basis IT-Grundschutz T.I.S.P. Community Meeting 2011 ISO 27001 Zertifizierung auf der Basis IT-Grundschutz Uwe Holle Ziel des Vortrages Ziel des Vortrages ist es, Erfahrungen darzustellen, auf dem Weg zu einer ISO 27001 Zertifizierung

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit mit TÜV Rheinland geprüfter Qualifikation 16. 20. November 2015, Berlin Cyber Akademie (CAk) ist eine eingetragene Marke www.cyber-akademie.de IT-Sicherheitsbeauftragte

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

GRC Governance Risk & Compliance

GRC Governance Risk & Compliance GRC Governance Risk & Compliance Ansätze zur Unternehmenssteuerung aus Sicht der Wirtschaftsprüfung 27. März 2012 WP StB Heinz-Georg Kämpchen RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen Inhalt.

Mehr

BPMN 2.0, SCOR und ISO 27001. oder anders gesagt. BPMN is sexy?

BPMN 2.0, SCOR und ISO 27001. oder anders gesagt. BPMN is sexy? BPMN 2.0, SCOR und ISO 27001 oder anders gesagt. BPMN is sexy? Seite 1 SCOR (Supply-Chain Operations Reference-model) Das SCOR-Modell ist ein Prozess- Referenzmodell für die Unternehmens- und Branchenübergreifende

Mehr

Prüfung und Beratung nach Maß: kompetent, engagiert und mit Weitblick

Prüfung und Beratung nach Maß: kompetent, engagiert und mit Weitblick Prüfung und Beratung nach Maß: kompetent, engagiert und mit Weitblick IT-Sicherheit im Kontext der Wirtschaftsprüfung IHK Darmstadt IT FOR WORK Darmstadt, 29. August 2013 Zur Person Betriebswirtschaftliches

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Ablauf der Zertifizierung / Zertifizierung von Organisationen Prof. Kathrin Winkler / Prof. Jürgen Müller Agenda 1. Fortbildungsweg 2. Projektarbeit und dpüf Prüfung

Mehr

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht zur Angemessenheit des Compliance-Management- Systems der IDEAL Lebensversicherung a.g. zur Umsetzung geeigneter Grundsätze und Maßnahmen

Mehr

Compliance und IT-Sicherheit

Compliance und IT-Sicherheit Compliance und IT-Sicherheit Isabel Münch Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Agenda Das BSI Compliance-Anforderungen und IT-Sicherheit Risikomanagement

Mehr

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin Software EMEA Performance Tour 2013 17.-19 Juni, Berlin In 12 Schritten zur ISo27001 Tipps & Tricks zur ISO/IEC 27001:27005 Gudula Küsters Juni 2013 Das ISO Rennen und wie Sie den Halt nicht verlieren

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

IT-Compliance und Governance-Anforderungen an Unternehmen. Mag Stefan Werle, WP/StB

IT-Compliance und Governance-Anforderungen an Unternehmen. Mag Stefan Werle, WP/StB IT-Compliance und Governance-Anforderungen an Unternehmen Mag Stefan Werle, WP/StB IT-Compliance - Definition IT-Compliance beschreibt in der Unternehmensführung die Einhaltung der gesetzlichen, unternehmensinternen

Mehr

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009 Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen IT Profis Berlin, 24.06.2009 Leistungsspektrum Trigonum GmbH Geschäftsprozess- und Organisationsmanagement Erfolgreich Prozesse und

Mehr