Vorgaben von BSI und COBIT zur IT-Sicherheit

Größe: px
Ab Seite anzeigen:

Download "Vorgaben von BSI und COBIT zur IT-Sicherheit"

Transkript

1 Vorgaben von BSI und COBIT zur IT-Sicherheit PTI983 Management von Sicherheit Maik Schürer, Marek Kretzschmar Westsächsische Hochschule Zwickau (FH) 15. Juni 2010

2 Übersicht 1. Einleitung 2. Das COBIT-Framework 3. Vorgaben des BSI zur IT-Sicherheit 4. BSI und COBIT 2

3 Einleitung Das COBIT-Framework Vorgaben des BSI zur IT-Sicherheit BSI und COBIT 3

4 Einleitung: Warum IT-Sicherheit? Globale Vernetzung, zunehmende Verteilung von IT-Systemen, wachsende Mobilität sowie verstärkte Verwendung drahtloser Technologien erzeugen ständig neue Bedrohungsszenarien Entstehung von Wettbewerbsnachteilen für das Unternehmen durch Ausfall von IT-Systemen oder durch Datendiebstahl Handlungsverpflichtungen oder sogar Haftungsrisiken für Unternehmensführung aufgrund bestehender Rechtsvorschriften Ein Vorstand haftet persönlich, wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorbeugt. ( 91 Abs. 2 KonTraG) [Grün2009] 4

5 Einleitung: IT im Unternehmen IT wird zur Unterstützung von Geschäftsprozessen benötigt IT hilft bei der Erreichung der Unternehmensziele bzw. macht dies überhaut erst möglich Informationen und die unterstützenden Technologien repräsentieren meist einen wertvollen Vermögensgegenstand Daraus ergeben sich auch Anforderungen an Sicherheit der Informationen Die IT soll helfen, die Unternehmensziele zu erreichen, was durch eine Struktur für Beziehungen und Prozesse besser gesteuert werden kann Stichwort: IT-Governance 5

6 IT-Governance Definition IT-Governance ist die Verantwortung von Führungskräften und Aufsichtsräten und besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die Unternehmens-IT dazu beiträgt, die Organisationsstrategie und -ziele zu erreichen und zu erweitern. [COBIT4.0] S. 6 6

7 IT-Governance Was? Wozu? Wer? Wie? Eine Struktur für Beziehungen und Prozesse um eine Organisation dahingehend zu steuern, die Organisationsziele zu erreichen Stellt sicher, dass die Informationen und die damit verbundene Technologie des Unternehmens die Unternehmensziele unterstützt Verantwortung : Vorstand bzw. Geschäftsführung Einige Modelle und Initiativen: COSO, ITIL, COBIT MOF (Microsoft Operational Framework), SOF (Siemens Operational Framework) 7

8 Einleitung Das COBIT-Framework Vorgaben des BSI zur IT-Sicherheit BSI und COBIT 8

9 COBIT: Was ist COBIT? Control Objectives for Information and related Technology Weltweit verbreitetes und international standardisiertes Rahmenwerk und Best Practice Ansatz für die IT-Governance Integriert globale Standards wie z.b. ITIL, CMMI und ISO Wurde von gemeinnützigem, unabhängigen Institut ISACF, dem Forschungsinstitut der ISACA (Information Audit and Control Association) entwickelt 1996 erstmals veröffentlicht, 2005 wesentlich überarbeitet (v4.0) Aktuell: Version 4.1 (Stand 2010) Informationen: 9

10 COBIT: Produkte Gegliedert in Produkte für drei Unternehmensebenen zur Unterstützung der Bereiche: Strategische Ebene (Geschäftsführung, Aufsichtsrat) z.b. Board Briefing on IT-Governance Unternehmens- und IT-Management z.b. Management Guidelines Fachbereiche Governance, Assurance, Control und Security z.b. IT-Governance Implementation Guide COBIT Quickstart COBIT Security Baseline (kostenpflichtig) 10

11 COBIT: Begriffe und Struktur Kontrollen (Controls, eigentlich Steuerung ) Konzepte, Verfahren, Praktiken und Organisationsstrukturen, welche eine angemessene Gewissheit verschaffen, dass die Geschäftsziele erreicht und unerwünschte Ereignisse verhindert bzw. erkannt und korrigiert werden Kontrollziele (Control Objectives) Aussagen zu einem gewünschten Resultat das mit Kontrollen erreicht werden soll IT-Ressourcen Personal, Informationen, Infrastruktur und Anwendungssysteme 11

12 COBIT: Begriffe und Struktur Die sieben Information Criteria: Qualitätsanforderungen 1. Effectiveness (Wirksamkeit, Effektivität) 2. Efficiency (Wirtschaftlichkeit, Effizienz) Sicherheitsanforderungen 3. Confidentiality (Vertraulichkeit) 4. Integrity (Integrität) 5. Availability (Verfügbarkeit) Anforderung an die Ordnungsmäßigkeit 6. Compliance (Regelkonformität) 7. Reliability (Zuverlässigkeit) Verschlüsselung Hash-Funktion 12

13 COBIT: Begriffe und Struktur Hierarchische Gliederung in drei Ebenen für das Management der IT-Ressourcen: Domänen, Prozesse, Aktivitäten Erste Ebene repräsentiert vier Domänen PO (Planung und Organisation) AI (Beschaffung und Einführung) DS (Betrieb und Unterstützung) ME (Überwachung und Beurteilung) Prozessmodell mit 34 Prozessen, aufgeteilt auf die Domänen Jeder Prozess enthält eine Abfolge von Aktivitäten 13

14 COBIT: Dimensionen Erweiterung der ersten Dimension (COBIT-Struktur) um Geschäftsanforderungen die Dimensionen (Information Criteria) Geschäftsanforderungen (Information Criteria) IT-Ressourcen IT-Prozesse Domänen Prozesse Aktivitäten Personal Informationen Infrastruktur Anwendungssysteme COBIT-Würfel (nach [Gol2006] S. ) 14

15 Geschäfts- und Governanceziele Themen ME Regelmäßige Beurteilung aller IT-Prozesse Einhaltung und Qualität der Kontrollen IT-Governance organisieren Monitoring & Evaluierung Information Information Criteria Effizienz Effektivität Vertraulichkeit Integrität Verfügbarkeit Compliance Zuverlässigkeit Themen PO Strategie und Taktik für die IT-Unterstützung Erfüllung der Geschäftsanforderungen Ausreichende Planung, Kommunikation und Steuerung Korrekte organisatorische und technische Infrastruktur Planung & Organisation Themen DS Delivery & Support Effektive Ablieferung benötigter Dienstleistungen Wirklich sicherer Betrieb inkl. Training Aufstellung von Unternehmensprozessen Effektive Datenverarbeitung durch Anwendungen IT-Ressourcen Daten Anwendungen Technologien Anlagen Personal Akquisition & Implementierung Themen AI Realisierung der IT-Strategie Lösungen identifiziert, entwickelt oder beschafft und implementiert Lösungen in den Geschäftsprozess integriert Änderung und Unterhalt von Systemen Gesamtübersicht über das COBIT Framework [Gol2006] 15

16 COBIT: Prozesse Jeder der 34 COBIT Prozesse besitzt Control Objectives (Kontrollanforderungen) ein übergeordnetes High Level Control Objective, als Wasserfallmodell dargestellt mehrere detaillierte Control Objectives (z.b. Prozess DS5 enthält elf detaillierte Kontrollanforderungen DS5.1 bis DS5.11) 17

17 COBIT: Prozesse Ein Prozess wird in vier Abschnitten gegliedert: 1. Prozessbeschreibung, High Level Control, Verknüpfung mit den Information Criteria, IT-Ressourcen und IT- Governance Domänen 2. Detaillierte Control Objectives 3. Prozessinputs- und Outputs, RACI-Charts, Ziele und Metriken 4. Reifegradmodell für den Prozess Jeder Prozess enthält eine Abfolge von Tätigkeiten (im RACI- Chart definiert), welche aus gegebenen Eingangsgrößen (Input) ein Ergebnis (Output) erzeugen 18

18 COBIT: Aktivitäten Aktivitäten werden mittels RACI-Chart dargestellt R Responsible Rollen A Accountable C Consulted I Informed Aktivitäten CEO Aktivität 1 I C A Aktivität 2 Aktivität n CFO Rollen sind für alle Prozesse gleich definiert CIO Projektbüro R I C I A R 19

19 COBIT: Reifegradmodelle Sind ein Bild davon, wie die IT im Unternehmen gemanagt wird Reifegrade als Profile für alle 34 Prozesse vorgegeben Grafische Darstellung des Reifegradmodells nach [COBIT4.0] 20

20 COBIT: Zusammenfassung Prozessinputs sind Informationen, die ein Prozesseigner von anderen benötigt Die Prozessbeschreibungen der Kontrollanforderungen beschreiben, was der Prozesseigner tun muss Der Prozessoutput beschreibt, was der Prozessverantwortliche zu liefern hat Die Ziele und Metriken zeigen, wie der Prozess gemessen werden soll Das RACI-Chart definiert, was an wen delegiert werden muss Das Reifegradmodell zeigt, was zur Verbesserung gemacht werden muss 21

21 COBIT: Navigation Verbindung zu den Information Criteria High Level Control Objective, als Wasserfallmodell dargestellt Domänenzuordnung Verbindung zu IT- Gouvernance IT_Ressourcen [COBIT4.0] 22

22 COBIT: IT-Sicherheitsprozesse Prozesse, die mit sicherheitsrelevanten Information Criteria verbunden sind: PO (Planung und Organisation): PO2 Definiere die Informationsarchitektur (Integrität, Vertraulichkeit) PO9 Beurteile und Manage IT-Risiken (Vertraulichkeit, Integrität und Verfügbarkeit) AI (Beschaffung und Einführung): Nur sekundäre Verbindungen einiger Prozesse 23

23 COBIT: IT-Sicherheitsprozesse DS (Betrieb und Unterstützung): DS4 Stelle den kontinuierlichen Betrieb sicher (Verfügbarkeit) DS5 Stelle Security von Systemen sicher (Vertraulichkeit, Integrität) DS11 Manage Daten (Integrität) DS12 Manage die physische Umgebung (Integrität, Verfügbarkeit) DS13 Manage den Betrieb (Integrität,Verfügbarkeit) ME (Überwachung und Beurteilung): Nur sekundäre Verbindungen einiger Prozesse 24

24 Beispiel: Prozess DS5 High Level Control Objective DS5 Ensure Systems Security (Stelle Security von Systemen sicher) Die Notwendigkeit, die Integrität von Informationen zu erhalten sowie die ITbezogenen Vermögenswerte zu schützen, erfordert einen Security Management- Prozess. Dieser Prozess umfasst die Erstellung und Aufrechterhaltung von Rollen, Verantwortlichkeiten, Richtlinien, Standards und Verfahren für die IT-Sicherheit. Security Management umfasst ebenfalls die Überwachung und den periodischen Test sowie die Umsetzung korrektiver Maßnahmen für erkannte Schwachstellen oder Vorfälle. Wirksames Security Management schützt alle IT-bezogenen Vermögenswerte, um die Auswirkungen auf das Kerngeschäft durch Schwachstellen oder Vorfälle zu minimieren. 25

25 Bsp. DS5 Ensure Systems Security Verknüpfung des Prozesses DS5 mit den Information Criteria P Primäre Verbindung S Sekundäre Verbindung [COBIT4.0] S.131 Verknüpfung mit IT-Ressourcen 26

26 Bsp. DS5 Ensure Systems Security Kontrolle über den IT-Prozess Ensure Systems Security (Stelle Security von Systemen sicher) der die Anforderung des Unternehmens an die IT bezüglich der Aufrechterhaltung der Integrität von Informationen und der Infrastruktur der Informationsverarbeitung und der Minimierung der Auswirkungen von Sicherheitsschwachstellen und Incidents durch die Konzentration auf die Festlegung von IT-Sicherheitsrichtlinien, Verfahren und Standards sowie die Überwachung, Erkennung, Berichterstattung und Lösung von Sicherheitsschwachstellen und -Incidents, zufrieden stellt, wird erreicht durch - Verstehen der Sicherheitsanforderungen, -schwachstellen und -Incidents - Management von Benutzerkennungen und -berechtigungen in standardisierter Art - Regelmäßiges Testen der Sicherheit und gemessen durch - Anzahl der Vorfälle die dem Ruf des Unternehmens in der Öffentlichkeit schaden - Anzahl der Systeme, die den Sicherheitsanforderungen nicht entsprechen - Anzahl der Verstöße gegen die Funktionstrennung 27

27 Bsp. DS5 Ensure Systems Security Kontrollanforderungen, auf die sich die Kontrolle bezieht: DS5.1 Management der IT-Sicherheit Manage die IT-Sicherheit auf der höchstmöglichen organisatorischen Ebene, so dass das Management von sicherheitsrelevanten Aktivitäten in Einklang steht mit den Unternehmensanforderungen. DS5.2 DS5.3 DS5.4 DS5.5 DS5.6 DS5.7 IT-Sicherheitsplan Identitätsmanagement Management von Benutzerkonten Testen, Beobachtung und Überwachung der Sicherheit Definition von Security Incidents Schutz von Sicherheitseinrichtungen 28

28 Bsp. DS5 Ensure Systems Security DS5.8 Verwaltung kryptographischer Schlüssel DS5.9 Schutz vor sowie Erkennung und Beseitigung von bösartiger Software DS5.10 Netzwerk-Sicherheit DS5.11 Austausch sensitiver Daten Stelle sicher, dass sensitive Transaktionsdaten nur über einen vertrauenswürdigen Pfad oder ein Medium ausgetauscht werden mit (den notwendigen) Maßnahmen, um die Authentizität des Inhalts, den Beweis der Aufgabe und des Empfangs und Nichtabstreitbarkeit der Quelle zu bieten 29

29 Bsp. DS5 Ensure Systems Security Prozess-Inputs von DS5 Prozess-Outputs von DS5 30

30 Bsp. DS5 Ensure Systems Security RACI-Chart zu DS5 aus [COBIT4.0] 31

31 Bsp. DS5 Ensure Systems Security Ziele und Metriken zu DS5 aus [COBIT4.0] 32

32 COBIT: Authentizität Authentizität ist vor allem in zwei COBIT-Prozessen ein entscheidendes Thema: DS5 Ensure Systems Security (Stelle Security von Systemen sicher) DS11 Manage Data (Manage Daten) 33

33 COBIT: Weitere Publikationen COBIT online ISCA IT-Governance-Portal 34

34 Einleitung Das COBIT-Framework Vorgaben des BSI zur IT-Sicherheit BSI und COBIT 35

35 BSI Definition Bundesamt für Sicherheit in der Informationstechnik (BSI) ist zentraler IT- Sicherheitsdienstleister des Bundes Sensibilisiert für Unternehmenssicherheit bietet Informationen und Dienstleistungen für Privatanwender und Unternehmen zum Schutz von IT-Landschaften IT Governance COBIT BSI COBIT&BSI 36

36 Sicherheit - Wozu Gesetzliche Verpflichtung Vorstand verantwortlich: Ein Vorstand haftet persönlich, wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorbeugt ( 91/ 93 AktG) Datenschutzgesetze Verbraucherschutzgesetze IT Governance COBIT BSI COBIT&BSI 37

37 Sicherheit - Wozu Vorteile für das Unternehmen [Leitf09] Wettbewerbsvorteil Zuverlässigere Arbeiter Kostenersparnis Bekannte Vorfälle [Grün2009] Befragung des Kriminalamtes in Schleswig- Holstein: Von 2000 Unternehmen 39% Angriffsopfer Erheblicher Teil mit Datenverlusten IT Governance COBIT BSI COBIT&BSI 38

38 Sicherheit - Wozu Verbreitung von Angriffsmethoden in deutschen und schweizerischen Unternehmen (Quelle: BSI) IT Governance COBIT BSI COBIT&BSI 39

39 Sicherheit Herausforderungen steigende Komplexität [IT-Kat09, S14] Steigender Vernetzungsgrad IT-Verbreitung und Durchdringung Verschwinden von Netzgrenzen Angriffe kommen schneller Höhere Interaktion von Anwendungen Verantwortung der Nutzer IT Governance COBIT BSI COBIT&BSI 40

40 Sicherheit - Probleme geringes Sicherheitsbewusstsein Fehlende Ressourcen Knappe Budgets Vielzahl an Bedrohungen Vielzahl an Sicherheitslösungen Sicherheit ist Prozess IT Governance COBIT BSI COBIT&BSI 41

41 Sicherheit Lösung (1) Risikoanalyse Ziel: Erstellung eines Sicherheitskonzeptes Ermittlung schützenswerter Objekte Untersuchung der Bedrohungen / Schadensausmaß Erarbeitung Notwendiger Maßnahmen Teuer, da externe Sicherheitsfirma notwendig IT Governance COBIT BSI COBIT&BSI 42

42 Sicherheit Lösung (2) Selbstständiger Aufbau einer Sicherheitsorganisation mittels IT- Grundschutz des BSI BSI bietet verschiedene Hilfen Informationen Schulungen Zertifizierung IT Governance COBIT BSI COBIT&BSI 43

43 BSI IT-Grundschutz IT-Grundschutz bietet eine einfache Methode, dem Stand der Technik entsprechende Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Das BSI stellt zahlreiche Werkzeuge zur Verfügung, um ein angemessenes Sicherheitsniveau zu erreichen. [bsi.de] jährlich aktualisiert praxisorientiert technikorientiert (im Gegensatz zu COBIT/ITIL) IT Governance COBIT BSI COBIT&BSI 44

44 BSI IT-Grundschutz Leitfaden IT-Sicherheit 50 Seiten Broschüre für kleine und mittlere Institutionen mit beschränkten finanziellen und personellen Möglichkeiten leicht überschaubaren Einstieg in die Thematik Veranschaulichung von Gefahren durch Praxisbeispiele Überblick über die wichtigsten IT- Sicherheitsmaßnahmen IT Governance COBIT BSI COBIT&BSI 45

45 Szenario: Kein Backup Eine Anwaltskanzlei betreibt ein kleines Netz mit einem zentralen Server, auf dem alle Daten gespeichert werden. Der Server enthält ein Bandlaufwerk, auf das in regelmäßigen Abständen eine Sicherungskopie gespeichert wird. Der Administrator bewahrt die Sicherungsbänder in einem verschlossenen Schrank in seinem Büro auf. Als eines Tages der Server durch einen Festplattendefekt ausfällt, sollen die Daten vom Sicherungsband wieder eingespielt werden. 46

46 Szenario: Kein Backup Dabei stellt sich jedoch heraus, dass das Bandlaufwerk offenbar bereits längere Zeit defekt war und gar keine Daten auf die Sicherungsbänder geschrieben hatte. Das einzige noch funktionstüchtige Sicherungsband ist mehr als fünf Jahre alt. Alle Daten der letzten Jahre sind damit verloren. Der Administrator hat bei der Planung der Datensicherung eine weitere potentielle Gefahr übersehen: Selbst wenn das Bandlaufwerk funktioniert hätte, wären bei einem Feuer oder ähnlichen Katastrophen neben den Originaldaten auch die Sicherungsmedien in seinem Schrank mit vernichtet worden! 47

47 Szenario: Kein Backup Maßnahmen regelmäßige Überprüfung der Backup-Bänder Rücksicherung prüfen und üben Lagerung von Sicherungsbändern außerhalb der eigenen Büroräume, beispielsweise in einem Bankschließfach aus [Leitf09] 48

48 BSI IT-Grundschutz IT-Gundschutz-Standards (ca. 250 Seiten): Umsetzung der ISO 2700x Vorgaben Methoden, Prozesse, Vorgehensweisen und Maßnahmen mit Bezug zur Informationssicherheit 1. Anforderungen an ein Managementsystem für Informationssicherheit (MSIS) 2. Schritt für Schritt Anleitung, wie ein MSIS in der Praxis aufgebaut und betrieben werden kann 3. Standards zur Risikoanalyse 4. Aufbau eines Notfallmanagements IT Governance COBIT BSI COBIT&BSI 49

49 BSI IT-Grundschutz IT-Grundschutz-Katalog Umfangreiche Sammlung von konkreten Anleitungen, auf die sich die Grundschutz- Standards beziehen 4100 Seiten beinhalten Baustein-, Maßnahmenund Gefährdungskataloge Anpassbar an eigene IT-Umgebung einfach und arbeitsökonomisch IT Governance COBIT BSI COBIT&BSI 50

50 BSI IT-Grundschutz Katalog beschreibt detailliert Standard- Sicherheitsmaßnahmen, die für jedes IT-System zu beachten sind "normaler" Schutzbedarf z.b. Ärzte/Banken: gesonderte Anforderungen Baukastenprinzip Bausteine spiegeln typische Abläufe von Geschäftsprozessen und Bereiche des IT-Einsatzes jeder Baustein: zu erwartende Gefährdungslage beschrieben Grundlage für spezifisches Maßnahmenbündel IT Governance COBIT BSI COBIT&BSI 51

51 BSI IT-Grundschutz Katalog Bausteine B 1: Übergreifende Aspekte der Informationssicherheit B 2: Sicherheit der Infrastruktur B 3: Sicherheit der IT-Systeme B 4: Sicherheit in Netzen B 5: Sicherheit in Anwendungen Folgt Schichtenmodell je tiefer, desto detaillierter IT Governance COBIT BSI COBIT&BSI 52

52 BSI IT-Grundschutz Katalog Gefährdungskataloge G 1: Höhere Gewalt G 2: Organisatorische Mängel G 3: Menschliche Fehlhandlungen G 4: Technisches Versagen G 5: Vorsätzliche Handlungen IT Governance COBIT BSI COBIT&BSI 53

53 BSI IT-Grundschutz Katalog Maßnahmenkataloge M 1: Infrastruktur M 2: Organisation M 3: Personal M 4: Hard- und Software M 5: Kommunikation M 6: Notfallvorsorge IT Governance COBIT BSI COBIT&BSI 54

54 BSI IT-Grundschutz Katalog Weitere Einteilungen der Maßnahmen: Bearbeitungsphase (z.b. Beschaffung, Betrieb) Qualifizierungsstufe (essentiell, Zusätzlich, nur für Zertifizierung) Abschluss der Maßnahme Prüffragen (Checklisten) Basis für Revision und Zertifizierung IT Governance COBIT BSI COBIT&BSI 55

55 BSI Beispiel - Gefahren B Internet-PC Höhere Gewalt: G 1.2 Ausfall von IT-Systemen Organisatorische Mängel: G 2.21 Mangelhafte Organisation des Wechsels zwischen den Benutzern Menschliche Fehlhandlungen: G 3.38 Konfigurations- und Bedienungsfehler Vorsätzliche Handlungen: G 5.1 Manipulation oder Zerstörung von Geräten/Zubehör G 5.21 Trojanische Pferde IT Governance COBIT BSI COBIT&BSI 56

56 BSI Beispiel - Maßnahmen B Internet-PC Planung und Konzeption M Richtlinien für die Nutzung von Internet-PCs M 5.66 Verwendung von TLS/SSL Umsetzung M 5.91 Einsatz von Personal Firewalls für Internet-PCs M 5.98 Schutz vor Missbrauch kostenpfl. Einwahlnummern Notfallvorsorge M 6.79 (A) Datensicherung beim Einsatz von Internet-PCs IT Governance COBIT BSI COBIT&BSI 57

57 BSI Beispiel - M 5.59 Schutz vor DNS- Spoofing Verantwortlich für Initiierung: Leiter IT, IT- Sicherheitsmanagement Verantwortlich für Umsetzung: Administrator Gefahr durch DNS-Spoofing besteht dann, wenn eine Authentisierung anhand eines Rechnernamens durchgeführt wird. Eine hostbasierte Authentisierung, d. h. Rechte werden anhand eines Rechnernamens oder IP- Adresse gewährt, sollte durch eine der folgenden Konfigurationen (auch in Kombination) erschwert werden: 1. Es sollten IP-Adressen, keine Hostnamen verwendet werden. 2. Wenn Hostnamen verwendet werden, sollten alle Namen lokal aufgelöst werden (Einträge in der Datei /etc/hosts) [ ] IT Governance COBIT BSI COBIT&BSI 58

58 BSI Beispiel - M 5.59 Schutz vor DNS- Spoofing Ergänzende Kontrollfragen: Wird eine Zugriffssteuerung anhand von Rechnernamen durchgeführt? Falls ja: Welche Methode zum Schutz vor DNS- Spoofing wird eingesetzt? IT Governance COBIT BSI COBIT&BSI 59

59 BSI IT-Grundschutz Möglichkeit der Zertifizierung: Nachweis der Organisation über Sicherheitsstandards BSI bietet ISO Zertifizierung auf Basis von IT-Grundschutz Cobit richtet sich nach ISO 27002, somit erfüllt IT-Grundschutz Cobit-Kriterien Keine Zertifizierung, sondern Richtlinie IT Governance COBIT BSI COBIT&BSI 60

60 Einleitung Das COBIT-Framework Vorgaben des BSI zur IT-Sicherheit BSI und COBIT 61

61 BSI und COBIT Themenblöcke, zu dem ein Sicherheitsframework vorgaben machen muss: Schutz von Daten Sicherheitsmanagement IT-Betrieb IT-Systeme Verankerung der IT-Sicherheit im Unternehmen Service Management IT Continuity 62

62 IT-Sicherheitsrichtline Drei-Ebenen-Modell Grundlegende Policy Hauptdokument IT Sicherheitsmanagement Organisationshandbuch Richtlinie zum Datenschutz Datensicherungskonzept Ergänzende themenbezogene Richtlinien - Arbeitsanweisungen - Prozessbeschreibungen - System- und Anwendungsdokumentationen operative Dokumente 63

63 IT-Sicherheitsrichtline Inhalt einer Datenschutzrichtlinie: Absicht der Richtlinie Rollen und Verantwortliche Prozesse und Ausnahmebehandlungen Ansatz zur Compliance Referenzen zu Maßnahmen und Verfahren Standards Anleitungen 64

64 Beispiel: Schutz von Daten Primäres Thema: Schutz von Unternehmens-, Mitarbeiter- und Kundendaten vor Verlust oder Veränderung Zielvorgaben durch COBIT in den Domains Planung & Organisation (PO) Delivery & Support (DS) Monitoring & Evaluation (ME) PO ME DS AI 66

65 Beispiel: Schutz von Daten PO - Planung und Organisation Klassifikationsschema als Basis für Controls einrichten (z.b. öffentlich, vertraulich, geheim) Richtlinien Unterstützung der IT-Strategie entwickeln und unterhalten Inhalt Absicht der Richtlinie Rollen und Verantwortliche Prozesse zur Ausnahmebehandlung Referenzen zu Verfahren, Standards u. Anleitungen ME PO DS AI 67

66 Beispiel: Schutz von Daten Domäne DS - Delivery und Support Regelung der Zugriffsberechtigung Festlegung von Benutzerberechtigungen Benutzerkennungen Benutzerkontenverwaltung PO ME AI DS Techn. Sicherheitsmaßnahmen Vollständige Verfügbarkeit von relevante Daten Verfahren für Datenspeicherung und -archivierung 68

67 Fazit Die Kombination aus strategischer Prozesssteuerung nach COBIT und taktischer Maßnahmenvorgabe durch BSI Grundschutz bildet eine umfangreiche Basis für die Erstellung einer maßgeschneiderten Unternehmens-Policy zur IT- Sicherheit. Ein Beispiel eines solchen Regelwerkes ist in Das IT-Gesetz: Compliance in der IT-Sicherheit [Grün2009] zu finden 69

68 Quellen [Gol2006] Goltsche, Wolfgang: COBIT kompakt und verständlich, Vieweg Verlag, Wiesbaden, 2006, ISBN [Grün2009] Ralf-T. Grünendahl, Andreas F. Steinbacher, Peter H.L.Will: Das IT-Gesetz: Compliance in der IT-Sicherheit, Vieweg+Teubner, Wiesbaden, 2009, ISBN

69 Quellen [COBIT4.0] IT Governance Institute / KPMG: COBIT 4.0 Deutsche Ausgabe (COBIT 4.0 Deutsch.pdf) 2005 IT Governance Institute [COBIT4.1] IT Governance Institute: COBIT 4.1 Framework, Control Objectives, Management Guidelines, Maturing Models (COBIT_4.1_English.pdf, 71

70 Quellen [Leitf09] Bundesamt für Sicherheit in der Informationstechnik: Leitfaden Informationssicherheit, Bundesanzeiger-Verlag, 2009 [IT-Kat09] Bundesamt für Sicherheit in der Informationstechnik: IT-Grundschutz-Kataloge 11. Ergänzungslieferung, Bundesanzeiger-Verlag, 2009, ISBN

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

Informationssicherheit (k)eine Frage für Ihr Unternehmen? Ziele Informationssicherheit (k)eine Frage für Ihr Unternehmen? SSV bei connect Schnelligkeit, Sicherheit, Verfügbarkeit Vortrag von Ingrid Dubois, dubois it-consulting gmbh Informationssicherheit: Ziele

Mehr

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach COBIT Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach Gliederung Motivation Komponenten des Frameworks Control Objectives Goals Prozesse Messen in CobiT Maturity Models Outcome

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014 Strategisches IT-Management mit dem COBIT Framework Markus Gronerad, Scheer Management 1.8.2014 Was ist strategisches IT-Management? IT-Management Das (operative) IT-Management dient der Planung, Beschaffung,

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2014 20.03.2014

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz IT-Grundschutz-Tag 09.10.2013

Mehr

Praxiswissen COBIT. dpunkt.verlag. Grundlagen und praktische Anwendung. in der Unternehmens-IT. Markus Gaulke

Praxiswissen COBIT. dpunkt.verlag. Grundlagen und praktische Anwendung. in der Unternehmens-IT. Markus Gaulke Markus Gaulke Praxiswissen COBIT Grundlagen und praktische Anwendung in der Unternehmens-IT 2., aktualisierte und überarbeitete Auflage dpunkt.verlag 1 Einleitung 1 Teill COBIT verstehen 5 2 Entwicklung

Mehr

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7 vii 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 2.1 ISACA und das IT Governance Institute....................... 7 2.2 Entstehung von COBIT, Val IT und Risk IT....................

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Sicherheitsnachweise für elektronische Patientenakten

Sicherheitsnachweise für elektronische Patientenakten Copyright 2000-2011, AuthentiDate International AG Sicherheitsnachweise für elektronische Patientenakten Christian Schmitz Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 2 Systemziele

Mehr

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen -

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - Vortrag zum Thema - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - auf der Veranstaltung: - Wertorientierte IT-Steuerung durch gelebte IT-Governance Vorbereitet für: IIR Deutschland GmbH Vorbereitet

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7 xv 1 Einleitung 1 2 Einführung und Grundlagen 7 2.1 Die neue Rolle der IT...................................... 7 2.2 Trends und Treiber........................................ 8 2.2.1 Wertbeitrag von

Mehr

IT-Governance und COBIT. DI Eberhard Binder

IT-Governance und COBIT. DI Eberhard Binder IT-Governance und COBIT DI Eberhard Binder wir alle wollen, dass Die IT in unserem Unternehmen anerkannt und gut positioniert ist Die IT Abteilung als bestens geführt gilt Was will der CEO von seiner IT?

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen Marc Schober Bundesamt für Sicherheit in der Informationstechnik Referat 112 Kritische Infrastrukturen und IT-Sicherheitsrevision Bundesamt

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

Referenzmodelle für IT-Governance

Referenzmodelle für IT-Governance Wolfgang Johannsen Matthias Goeken Referenzmodelle für IT-Governance Methodische Unterstützung der Unternehmens-IT mitcobitjtil&co Mit einem Praxisbericht von Markus Böhm 2., aktualisierte und erweiterte

Mehr

Sind Sicherheit und Internet Banking vereinbar? Forum ecommerce und Vertrauen 25. September 2002. Manfred Scholz, CISA Manfred.Scholz@sec4you.

Sind Sicherheit und Internet Banking vereinbar? Forum ecommerce und Vertrauen 25. September 2002. Manfred Scholz, CISA Manfred.Scholz@sec4you. Sind Sicherheit und Internet Banking vereinbar? Forum ecommerce und Vertrauen 25. September 2002 Manfred Scholz, CISA Manfred.Scholz@sec4you.com Internet Banking aus der Sicht eines Prüfers Anforderungen

Mehr

Dieter Börner Management-Service. Quelle : Bundesamt für Sicherheit in der Informationstechnik

Dieter Börner Management-Service. Quelle : Bundesamt für Sicherheit in der Informationstechnik Dieter Börner Management-Service Am Bahnhof 12 96328 Küps Tel. 09264 91323 Fax 09264 91324 Das Informationssicherheits- Managementsystem nach ISO/IEC 27001 Informationstechnik - IT-Sicherheitsverfahren

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT STEINBUCH CENTRE FOR COMPUTING - SCC KIT University of the State of Baden-Wuerttemberg and National Research

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE Alternative Ansätze im Sicherheitsmanagement Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration

Mehr

BSI-Standard 100-4. der neue deutsche Standard zum Notfallmanagement. Dr. Marie-Luise Moschgath

BSI-Standard 100-4. der neue deutsche Standard zum Notfallmanagement. Dr. Marie-Luise Moschgath BSI-Standard 100-4 der neue deutsche Standard zum Notfallmanagement Dr. Marie-Luise Moschgath Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Das BSI Das

Mehr

Risikomanagement. Ein Vortrag von Katharina Schroer. Juristisches IT-Projektmanagement WS 2013/2014

Risikomanagement. Ein Vortrag von Katharina Schroer. Juristisches IT-Projektmanagement WS 2013/2014 Risikomanagement Ein Vortrag von Katharina Schroer Juristisches IT-Projektmanagement WS 2013/2014 Inhalt 1. Einleitung 2. Risikomanagementprozess 3. Juristische Hintergründe 4. Fazit Inhalt - Risikomanagement

Mehr

CISA/CISM/CGEIT und die COBIT-Zertifikate

CISA/CISM/CGEIT und die COBIT-Zertifikate INFORMATION RISK MANAGEMENT CISA/CISM/CGEIT und die COBIT-Zertifikate von Markus Gaulke Stand: Oktober 2008 ADVISORY 2004 KPMG Deutsche Treuhand-Gesellschaft Aktiengesellschaft Wirtschaftsprüfungsgesellschaft,

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern IT-Riskmanagement Strategie und Umsetzung Armin Furter TKH Informationmangement Bern Inhalte Einführung Allgemeines Risikomangement IT-Risikomanagement Mögliche Methoden Begriffe Bedrohung Schaden Schadensausmass

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen.

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen. Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen. Anforderungen. Herausforderungen. Kooperationspartner Aufsichtsbehörden Outsourcing ISO 27001 Firmenkultur Angemessenheit Notfallfähigkeit

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

IT-Sicherheitsmanagement

IT-Sicherheitsmanagement Hagenberg Univ.-Doz.DI ingrid.schaumueller@liwest.at 1 Kennen Sie diese Situation? 2 Heute finden wir meist...... gute technische Einzellösungen... spontane Aktionen bei Bekanntwerden neuer Bedrohungen...

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. NetworkedAssets GmbH Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. Dezember 2006 Rechtliche Aspekte Administration Gliederung Praktische

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

Informations- / IT-Sicherheit - Warum eigentlich?

Informations- / IT-Sicherheit - Warum eigentlich? Informations- / IT-Sicherheit - Warum eigentlich? Hagen, 20.10.2015 Uwe Franz Account Manager procilon IT-Solutions GmbH Niederlassung Nord-West Londoner Bogen 4 44269 Dortmund Mobil: +49 173 6893 297

Mehr

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.

Mehr

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke Vorstellung - Ihr Referent Prof. Dr. Thomas Jäschke Professor für Wirtschaftsinformatik an der FOM Hochschule für Oekonomie & Management

Mehr

Amtliches Mitteilungsblatt

Amtliches Mitteilungsblatt Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................

Mehr

ISO 27001 Zertifizierung

ISO 27001 Zertifizierung ISO 27001 Zertifizierung - Zertifizierte IT-Sicherheit nach internationalen Standards Trigonum GmbH Trigonum Wir machen Unternehmen sicherer und IT effizienter! - 2 - Kombinierte Sicherheit Datenschutz

Mehr

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz IT-Grundschutz modellieren modellieren Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz / Überblick IT- Grundschutzhandbuch (GSHB) betrachtet im Allgemeinen folgende Merkmale: Infrastruktur

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

Zusammenfassung IT SEC + MAN

Zusammenfassung IT SEC + MAN Zusammenfassung IT SEC + MAN Zusammenfassung aus den Vorlesungen Sicherheitswahrnehmung Sicherheitsrelease Ausbreitung Funktionalität-Sicherheit Post-Incident-Verhalten (Das Verhalten nach dem Vorfall)

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

IT- Sicherheitsmanagement

IT- Sicherheitsmanagement IT- Sicherheitsmanagement Wie sicher ist IT- Sicherheitsmanagement? Dipl. Inf. (FH) Jürgen Bader, medien forum freiburg Zur Person Jürgen Bader ich bin in Freiburg zu Hause Informatikstudium an der FH

Mehr

Praktizierter Grundschutz in einem mittelständigen Unternehmen

Praktizierter Grundschutz in einem mittelständigen Unternehmen Praktizierter Grundschutz in einem mittelständigen Unternehmen Adolf Brast, Leiter Informationsverarbeitung Bochum-Gelsenkirchener Straßenbahnen AG auf dem 4. Stuttgarter IT-Sicherheitstag, 16.02.06 Überblick

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

IT-Sicherheit der Netzleitstelle - Ausweitung auf Smart Meter

IT-Sicherheit der Netzleitstelle - Ausweitung auf Smart Meter IT-Sicherheit der Netzleitstelle - Ausweitung auf Smart Meter Agenda 1) Warum IT-Sicherheit? 2) IT-Sicherheit der Netzleitstelle 3) Ausweitung auf Smart Meter 2 Definition IT-Sicherheit IT-Sicherheit betrifft

Mehr

Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1

Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1 Ulrich Heun, CARMAO GmbH CARMAO GmbH 2013 1 Roter Faden Mit wem haben Sie es heute zu tun? Was ist Informationssicherheit? ISMS nach ISO 27001 ISMS und ITIL CARMAO GmbH 2013 2 CARMAO Das Unternehmen Gegründet

Mehr

Referenzmodelle für IT-Governance

Referenzmodelle für IT-Governance Wolfgang Johannsen Matthias Goeken Referenzmodelle für IT-Governance Strategische Effektivität und Effizienz mitcobitjtil&co Mit einem Praxisbericht von Daniel Just und Farsin Tami dpunkt.verlag Inhaltsverzeichnis

Mehr

Aufbau und Nutzen einer ganzheitlichen IT- Dokumentation

Aufbau und Nutzen einer ganzheitlichen IT- Dokumentation Aufbau und Nutzen einer ganzheitlichen IT- Dokumentation tekom RG Baden am 23.05.2012 dokuit Manuela Reiss Mai 2012 1 Manuela Reiss Studium der Geographie Seit fast 20 Jahren Erfahrungen als Beraterin

Mehr

xiü Inhaltsverzeichnis 1 Einleitung 1 2 Einführung und Grundlagen 5

xiü Inhaltsverzeichnis 1 Einleitung 1 2 Einführung und Grundlagen 5 xiü Inhaltsverzeichnis 1 Einleitung 1 2 Einführung und Grundlagen 5 2.1 Die neue Rolle der IT 5 2.2 Trends und Treiber 7 2.2.1 Wertbeitrag von IT 7 2.2.2 IT-Business-Alignment 12 2.2.3 CompÜance 14 2.2.4

Mehr

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009 Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen IT Profis Berlin, 24.06.2009 Leistungsspektrum Trigonum GmbH Geschäftsprozess- und Organisationsmanagement Erfolgreich Prozesse und

Mehr

Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann

Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann Bundesamt für Sicherheit in der Informationstechnik (BSI) Connected Living 2013 Agenda Studie: Integrierte

Mehr

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung 5. November 2012 2012 ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2 Agenda Einführung Konzepte und Prinzipien

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

Sicherheitsaspekte der kommunalen Arbeit

Sicherheitsaspekte der kommunalen Arbeit Sicherheitsaspekte der kommunalen Arbeit Was ist machbar, finanzierbar, umzusetzen und unbedingt notwendig? Sicherheit in der Gemeinde Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen,

Mehr

Musterprozesse für das Datenschutzmanagement

Musterprozesse für das Datenschutzmanagement Musterprozesse für das Datenschutzmanagement Dr. Martin Meints Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein ULD61@datenschutzzentrum.de Was kann modernes Datenschutzmanagement von Qualitätsmanagement,

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM AGENDA Vorbemerkungen A. Grundlagen I. Was ist ein Risikomanagementsystem (RMS)? II. Was

Mehr

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen, IDEAS Übersicht # 1 Einleitung # 2 IT-Sicherheit wozu denn? # 3 IT-Sicherheit die Grundpfeiler # 4 IT-Sicherheit ein

Mehr

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04.

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. November 2014 1 Index Sicherheitsstrategie Praxis Ganzheitliche Betrachtung (Informations-)

Mehr

Erfahrungsbericht eines zertifizierten IT-Sicherheitsdienstleisters

Erfahrungsbericht eines zertifizierten IT-Sicherheitsdienstleisters Erfahrungsbericht eines zertifizierten IT-Sicherheitsdienstleisters IS-Revisorentreffen 2012 Ronny Frankenstein 1 Agenda 1 Kurze Vorstellung 2 Motivation 3 Vorgeschichte 4 Umsetzung 5 Ergebnisse 2 Vorstellung

Mehr

GRC Governance Risk & Compliance

GRC Governance Risk & Compliance GRC Governance Risk & Compliance Ansätze zur Unternehmenssteuerung aus Sicht der Wirtschaftsprüfung 27. März 2012 WP StB Heinz-Georg Kämpchen RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen Inhalt.

Mehr

2 Einführung und Grundlagen 5

2 Einführung und Grundlagen 5 xi Inhaltsübersicht 1 Einleitung 1 2 Einführung und Grundlagen 5 2.1 Die neue Rolle der IT.............................. 5 2.2 Trends und Treiber................................ 7 2.3 Geschäftsarchitektur

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess, Projektmanager und Sales Consultant, EMPRISE Process Management GmbH Das Gesetz

Mehr

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutz Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutzhandbuch Agenda Ziel der IT-Sicherheit Das IT-Grundschutzhandbuch Umsetzung des IT-Grundschutzhandbuchs Ausbaustufen

Mehr

Modul 1 Modul 2 Modul 3

Modul 1 Modul 2 Modul 3 Schaffen Sie Transparenz, Struktur und Zukunftssicherheit für Ihre IT durch modulare IT-Audits Die Unternehmens- und IT-Leitung benötigt ein verständliches Tool für die aktive Steuerung und Entwicklung

Mehr

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Informationsveranstaltung IT-Aufsicht bei Banken Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Axel Leckner - Informationsveranstaltung IT-Aufsicht bei 1 Banken

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

IT-Sicherheitsmanagement bei der Landeshauptstadt München

IT-Sicherheitsmanagement bei der Landeshauptstadt München IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung

Mehr

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit

Mehr

Test GmbH Test 123 20555 Hamburg Hamburg

Test GmbH Test 123 20555 Hamburg Hamburg Test GmbH Test 123 20555 Hamburg Hamburg 29.07.2015 Angaben zum Unternehmen Unternehmensdaten Unternehmen Test GmbH Adresse Test 123 20555 Hamburg Hamburg Internetadresse http://www.was-acuh-immer.de Tätigkeitsangaben

Mehr

MNP: Model zur Implementierung der IT-Prozesse

MNP: Model zur Implementierung der IT-Prozesse Lionel Pilorget MNP: Model zur Implementierung der IT-Prozesse Mit 60 Abbildungen PRAXIS VIEWEG+ TEUBNER 1 Einleitung 1 2 Präsentation der IT-Prozesslandkarte 7 2.1 MIIP IT-Prozesslandkarte 8 2.2 Definition

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism INSTITUT FÜR SYSTEM- MANAGEMENT Compliance Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism ism GmbH 2010 Definition: Compliance Compliance die Bedeutung allgemein:

Mehr

IT-Revision als Chance für das IT- Management

IT-Revision als Chance für das IT- Management IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT

Mehr

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Wozu IT-Notfallvorsorge? S k Schaden, der zum Konkurs des Unternehmens führt PENG! S limit vom Unternehmen

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr