Informationsveranstaltung DVGW-LG Saarland IT-Sicherheit

Größe: px
Ab Seite anzeigen:

Download "Informationsveranstaltung DVGW-LG Saarland 13.06.2013. IT-Sicherheit"

Transkript

1 Informationsveranstaltung DVGW-LG Saarland IT-Sicherheit Daniel Fricke & Thomas Schmidt

2 Agenda Gründe für IT-Sicherheit (z.b. rechtliche Vorgaben, KRITIS) Überblick über Gefährdungen (welche Gefahren drohen über welche Pfade; aktuelle Beispiele) BSI-Grundschutz (Methode zur Erzielung einer Grundsicherheit gemäß Leitlinie des Bundesamtes für Sicherheit in der Informationstechnik) SMIT (strukturiertes Beratungsprojekt zur Erzielung des BSI-Grundschutzes)

3 KRITIS Kritische Infrastrukturen (KRITIS) Definition: Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. (Quelle:

4 Wo gibt es KRITIS 9 Bereiche (gem. BMI): Energie: Elektrizität, Gas, Mineralöl Informationstechnik und Telekommunikation Transport und Verkehr: Luft-, Seeschiff-, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik Gesundheit: Medizinische Versorgung, Arzneimittel, Impfstoffe, Labore Wasser: Öffentliche Wasserversorgung, Öffentliche Abwasserbeseitigung Ernährung: Ernährungswirtschaft, Lebensmittelhandel Finanz- und Versicherungswesen: Banken, Börsen, Versicherungen, Finanzdienstleister Staat und Verwaltung: Regierung und Verwaltung, Parlament, Justizeinrichtungen, Notfall-/ Rettungswesen einschließlich Katastrophenschutz Medien und Kultur: Rundfunk (Fernsehen und Radio), gedruckte und elektronische Presse, Kulturgut, symbolträchtige Bauwerke Quelle: Definition Kritische Infrastrukturen nach Bundesministerium des Inneren (BMI)

5 KRITIS-Meilensteine BMI- Diskussionspapier IT-Schutz Kritischer Eröffnung des Cyber- Infrastrukturen in Deutschland Abwehrzentrum zur Sicherheit der IT- Infrastruktur (Juni 2011 ) Referentenentwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom Billigung des Umsetzungsplans KRITIS durch das Bundeskabinett (2007) nationaler Plan zum Schutz der Informationsinfrastrukturen (BMI, 2005) Zunehmende Cyberkriminalität

6 Meilenstein BMI Diskussionspapier Diskussionspapier IT-Schutz Kritischer Infrastrukturen in Deutschland vom 25. Januar 2012 Mehr Transparenz schaffen Robuste Grundlagen durch ein standardisiertes und überprüfbares Sicherheitsniveau Kritische Prozesse autonom gestalten Produkt- und Dienstleistungssicherheit gewährleisten Durch Lagefortschreibung und Frühwarnung Gefahren vorbeugen Mit Übungen auf den Ernstfall vorbereiten Durch Kooperation an Know-How und Stärke gewinnen

7 Meilenstein Gesetzentwurf Entwurf Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG) vom 05. März 2013 Festlegung Kritischer Infrastrukturen BSI ist die ausführende Behörde Einrichten einer zentralen Meldestelle beim BSI 2 Jahre verpflichtender Umsetzungszeitraum für Betreiber Berücksichtigung Stand der Technik Möglichkeit der Festlegung branchenspezifischer Standards Überprüfung der IT-Sicherheit durch Sicherheitsaudits alle zwei Jahre Meldepflicht bei erheblichen IT-Sicherheitsvorfällen

8 DVGW-Stellungnahme zum Gesetzesvorhaben DVGW-Stellungnahme zum Gesetzesentwurf vom 05. April 2013 Hinweis bestehender Technischer Regeln im DVGW zum Schutz kritischer Infrastrukturen Umsetzung dieser Regeln über das Technische Sicherheitsmanagement (TSM) Konkretisierung der Definition Kritische Infrastruktur im Sinne des Gesetzes erforderlich Verlängerung der zweijährigen Umsetzungsfrist Anerkennung bestehender Managementsysteme Erweiterung TSM um das Modul IT-Sicherheit Begrenzung der Meldepflicht auf Vorgänge, die die Aufrechterhaltung der Versorgung gefährden Definition erheblicher IT-Sicherheitsvorfall erforderlich Umsetzung der IT-Sicherheit durch branchenspezifische Standards

9 Weitere gesetzliche Vorgaben I Gesetzliche Anforderungen nach Handelsgesetzbuch (HGB) 238 und 243 müssen die Grundsätze ordnungsgemäßer Buchführung (GoB) erfüllt sein Ergänzt durch Schreiben vom Bundesministerium der Finanzen: Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) vom 7. November 1995

10 Weitere gesetzliche Vorgaben II Die GoBS Pkt.4 fordert ein Internes Kontrollsystem zur Sicherung und Schutz des vorhanden Vermögens und vorhandener Informationen vor Verlusten aller Art Pkt. 5.3: Diese Informationen sind gegen Verlust zu sichern und gegen unberechtigte Veränderung zu schützen. Über die Anforderungen der GoBS hinaus sind die sensiblen Informationen des Unternehmens auch gegen unberechtigte Kenntnisnahme zu schützen

11 Weitere gesetzliche Vorgaben III Weitere Gesetze Bundesdatenschutzgesetz (BDSG) Landesdatenschutzgesetze Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)

12 Was bedeutet Informationssicherheit im VU? Datensicherheit/-vertraulichkeit Geschäftsrelevante Daten Personenbezogene Daten Infrastruktursicherheit Ausfall (auch durch höhere Gewalt) Firewalls Diebstahl von Rechnern KRITIS Für Informationssicherheit ist eine ganzheitliche Betrachtungsweise notwendig!

13 Agenda Gründe für IT-Sicherheit (z.b. rechtliche Vorgaben, KRITIS) Überblick über Gefährdungen (welche Gefahren drohen über welche Pfade; aktuelle Beispiele) BSI-Grundschutz (Methode zur Erzielung einer Grundsicherheit gemäß Leitlinie des Bundesamtes für Sicherheit in der Informationstechnik) SMIT (strukturiertes Beratungsprojekt zur Erzielung des BSI-Grundschutzes)

14 Bedrohungsarten Viren Verändern Dateien und nisten sich dort ein Werden durch Benutzer verbreitet Würmer Verbreiten sich selbstständig Trojaner Fernsteuerungsfunktion (oft getarnt in nützlicher Software) Spyware Sendet Informationen über den infizierten Rechner an Dritte Backdoor Öffnet einen infizierten Rechner für weitere Schadprogramme Rootkits Verstecken andere Schadprogramme Exploit Schwachstelle bzw. deren Ausnutzung Zero-Day-Exploit Schwachstelle die sofort nach bekanntwerden ausgenutzt wird

15 Cyberkriminalität I 1. Bankenverband warnt: sparkasse.de zum Malwareversand missbraucht Cyber-Kriminelle haben die Homepage der Sparkasse angegriffen und konnten für kurze Zeit Malware auf einzelnen Seiten von sparkasse.de installieren und womöglich an Besucher dieser Websites verteilen. Nach Angabe des Deutschen Sparkassen- und Giroverbands (DSGV) [http://www.sparkasse.de/aktuell/sparkasse_de_hackerangriff.html], erfolgte der Angriff am 18. Februar. Kunden, die an diesem Tag ohne aktuellen und aktiven Virenscanner auf sparkasse.de waren, könnten sich die Schadsoftware auf den eigenen Rechner geladen haben, so der DSGV. Mit allen gängigen Virenschutzprogrammen soll sich die Malware beseitigen lassen. Die betroffenen Seiten wurden laut DSGV umgehend offline gestellt. Online-Banking-Angebote sowie Homebanking-Programme von Kunden seien von dem Angriff nicht betroffen. Die Sparkassen empfehlen allen Internetnutzern, stets eine aktive Firewall und einen aktuellen Virenscanner zu nutzen. Quelle: Buerger-cert.de (Infodienst des BSI) vom

16 Cyberkriminalität II Quelle:

17 Cyberkriminalität III Quelle:

18 Cyberkriminalität IV Quelle:

19 SCADA-Angriffe Angriffe auf SCADA-Systeme STUXNET Nov. 2011, Wasserwerk in Illinois zerstörte Pumpe Nov. 2011, Wasserwerk in Texas Screenshots Mai 2013, c t-artikel SCADA = Supervisory Control and Data Acquisition

20 STUXNET-Verlauf Datum Ereignis 20. Nov Der Trojaner Zlob nutzt zum ersten Mal die LNK-Lücke (MS10-046) aus, die später von Stuxnet verwendet werden wird. 25. Jan Der Stuxnet-Treiber wird mit einem Zertifikat von Realtek signiert. April 2010 Eine Stuxnet-Variante verwendet erstmals Remotecode-Ausführung durch die Windows-Shell (MS10-046). 13. Juli 2010 Symantec fügt eine Erkennung des Trojaners unter dem Namen W32.Temphid ein. 16. Juli 2010 Microsoft veröffentlicht das Security Advisory Vulnerability in Windows Shell Could Allow Remote Code Execution. VeriSign widerruft das Realtek-Zertifikat. 17. Juli 2010 ESET findet eine Stuxnet-Version mit einem Treiberzertifikat von JMicron. 19. Juli 2010 Siemens berichtet über Untersuchungen zur Infektion seiner SCADA-Anlagen. Symantec benennt die Erkennung in W32.Stuxnet um. 22. Juli 2010 VeriSign widerruft das Zertifikat von JMicron. 02. Aug Microsoft veröffentlicht Patch MS gegen den Shortcut-Exploit. 06. Aug Symantec beschreibt die Funktion von Stuxnet als SPS-Rootkit. 22. Aug Symantec kann keine neu infizierten IP-Adressen aus dem Iran mehr feststellen. 14. Sep Microsoft veröffentlicht den Print-Spooler-Patch MS Laut Siemens sollen weltweit 14 Anlagen betroffen sein. Schäden hätten jedoch nicht festgestellt werden können. 26. Sep Der Iran bestätigt Angriffe durch Stuxnet. Es sollen Computer befallen worden sein, dabei seien aber keine ernsthaften Schäden aufgetreten. Diese Aussage wird allerdings kurz darauf vom Außenministerium widerrufen. Dagegen wird dem Westen Cyber-Propaganda vorgeworfen. 30. Sep Das W32.Stuxnet Dossier wird auf der Virus Bulletin Conference 2010 vorgestellt. Die Nachrichtenagentur Xinhua berichtet von sechs Millionen befallenen Computern und fast tausend betroffenen Anlagensteuerungen in China. 02. Okt Siemens wurden bisher 15 befallene Anlagen gemeldet. Davon haben fünf ihren Standort in Deutschland, die übrigen in Westeuropa, den USA und Asien. Bei allen Anlagen sollen keine Schäden aufgetreten sein und das Virus konnte erfolgreich entfernt werden. 12. Okt Microsoft schließt mit Patch MS eine Lücke zur Privileg-Eskalation beim Laden von Tastaturbelegungen im Kernel. 14. Dez Microsoft schließt mit Patch MS eine Lücke zur Privileg-Eskalation durch Benutzung des Task-Schedulers. 11. Mär Bisher haben 24 Siemens-Kunden von einer Infektion berichtet. Es gab in keinem Fall Auswirkungen auf die Anlagen.

21 SCADA-Angriffe US-Wasserwerke Quelle:

22 Gefahr im Kraftwerk Artikel in c t 11/2013 ( ) Fazit der c t: [ ] In dieser Branche ticken die Uhren offensichtlich etwas anders, wodurch der Berührungspunkt mit dem schnelllebigen Internet zu einem ernsthaften Problem wird. [ ].

23 Werkzeuge: Metasploit Framework Metasploit ist ein freies Open Source Projekt Werkzeug zur Entwicklung und Ausführung von Angriffen auf Rechnersysteme Quelle:

24 Werkzeuge: Shodan Suchmaschine für anfällige Systeme

25 Innere Gefährdungen Gefährdung durch Verhalten der Mitarbeiter Arbeitsplatzschutz vernachlässigen Unsichere Passwörter verwenden Fremdsoftware installieren Verwendung mobiler Endgeräte BYOD Bring Your Own Device von unsicherer Umgebung einloggen Dienstleister / Arbeitnehmerüberlassung Mitarbeiter-Wechsel Gefährdung durch IT-Systeme Einspielung Sicherheitsupdates Unzureichend geschützte Systeme

26 Handy-Schutz? Quelle: Buerger-cert.de (Infodienst des BSI) vom

27 Zwischenbilanz Steigende Wahrnehmung der Öffentlichkeit zur Sicherheit in der IT durch z. B.: öffentlich gewordene Vorfälle z. B. Hackerangriffe Folgen aus fehlender oder fehlerhafter Datensicherung Innere Sicherheit im Unternehmen Systemausfall in Folge von Naturereignissen (Schnee/Eis, Regen, Sturm, Hochwasser, ) oder Brand (auch DVGW-Regelwerk G / W 1002 Risikomanagement im Krisenfall) steigende öffentliche Sensibilität steigendes inneres Bedürfnis der Unternehmen also: Gewissheit anstelle von Vermutung Gesetzentwurf: Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG)

28

29 Agenda Gründe für IT-Sicherheit (z.b. rechtliche Vorgaben, KRITIS) Überblick über Gefährdungen (welche Gefahren drohen über welche Pfade; aktuelle Beispiele) BSI-Grundschutz (Methode zur Erzielung einer Grundsicherheit gemäß Leitlinie des Bundesamtes für Sicherheit in der Informationstechnik) SMIT (strukturiertes Beratungsprojekt zur Erzielung des BSI-Grundschutzes)

30 BSI-Grundschutz Ziele des BSI-Grundschutz: Vertraulichkeit Integrität Verfügbarkeit Arbeitshilfen: BSI Standard Managementsysteme für Informationssicherheit BSI Standard Grundschutz Vorgehensweise BSI Standard Risikoanalyse auf der Basis von IT- Grundschutz BSI Standard Notfallmanagement IT-Grundschutz-Katalog (4068 Seiten)

31 PDCA-Zyklus Sicherheitsziele definieren Wirksamkeit prüfen Status prüfen Plan Maßnahmen ableiten und umsetzen Do Check Act

32 BSI Managementsysteme für Informationssicherheit (ISMS) Initiierung durch Geschäftsführung Definition von allgemeinen Verhaltensweisen im Unternehmen Top-Down-Struktur Zusammenwirken von Sicherheitsprozessen Mitarbeitern Managementprinzipien Ressourcen

33 BSI IT-Grundschutz-Vorgehensweise Strukturanalyse Schutzbedarfsfeststellung Auswahl und Anpassung von Maßnahmen unter Zuhilfenahme des IT Grundschutzkataloges Basis-Sicherheitscheck Ergänzende Sicherheitsanalyse Weitere Kernpunkte: Einbindung der Mitarbeiter in den Sicherheitsprozess Bereitstellung von Ressourcen Für Organisatorisches Für den IT-Regelbetrieb

34 BSI Risikoanalyse auf der Basis von IT-Grundschutz Weitergehende Betrachtung bei Schutzbedarf über den IT- Grundschutz hinaus Erstellung einer Gefährdungsübersicht Bewertung der Gefährdungen Behandlung von Risiken Reduktion durch weitere Sicherheitsmaßnahmen Vermeidung durch Umstrukturierung Akzeptanz (unter Berücksichtigung von Kosten/Risiken) Transfer (z.b. Versicherung / Outsourcing)

35 BSI Notfallmanagement Quelle:

36 Agenda Gründe für IT-Sicherheit (z.b. rechtliche Vorgaben, KRITIS) Überblick über Gefährdungen (welche Gefahren drohen über welche Pfade; aktuelle Beispiele) BSI-Grundschutz (Methode zur Erzielung einer Grundsicherheit gemäß Leitlinie des Bundesamtes für Sicherheit in der Informationstechnik) SMIT (strukturiertes Beratungsprojekt zur Erzielung des BSI-Grundschutzes)

37 Entwicklung SMIT Werkzeuge Checklistensystem (2 Ebenen) Selbstauskunft zu Projektbeginn Tool zur Statusermittlung im Rahmen Vor-Ort-Prüfung Inhalte: IT-Organisation IT-Infrastruktur Verwaltung IT-Infrastruktur Technik Wartung und Instandhaltung Worst-case-Szenarien

38 Vorbereitung I Entwicklung Selbstauskunftsfragebogen 64 Fragen: Abfrage des IT-Sicherheitsstatus (Eigeneinschätzung) Abfrage der IT-Infrastruktur Bewertung der Kritikalität Verfügbarkeitsziele Ziel Wie beurteilt der Kunde seine Informationssicherheit Welche Systeme werden eingesetzt

39 Vorbereitung II Entwicklung Leitfaden 344 Fragen zur Bewertung der Informationssicherheit Organisation (32 Fragen) Infrastruktur im Verwaltungsbereich (237 Fragen) Infrastruktur im technischen Bereich (5 Fragen) Wartung und Instandhaltung (30 Fragen) Worst-Case-Szenarien (14 Fragen) Mitarbeiterbefragung (26 Fragen) Ziel Umfassender Überblick über die IT-Struktur gelebte Informationssicherheit erheben

40 Vorbereitung III Entwicklung Auswertetool Excel-basiertes Auswerteverfahren Bewertungen der beiden Experten fließen ein Strukturiert Reproduzierbar und nachzuvollziehen Automatische zusammengefasste Ergebnisse Automatisch erstellte Ergebnis-Grafiken Erstellung von Prognosen Welches Ergebnis wird bei der Umsetzung von Maßnahme X erzielt?

41 Vorgehensweise Selbstauskunft Begehung Vor-Ort Befragung IT-Verantwortliche Mitarbeiter (Anwender) Auswertung Abschlussbericht mit Handlungsbedarfen Strukturanalyse und Schutzbedarfsfeststellung gem. BSI-Grundschutz

42 Erfassung und Befragungen - Strukturierter Fragenkatalog - Gliederung in folgende Bereiche: - Organisation - Infrastruktur Verwaltung - Wartung und Instandhaltung - Worst-Case-Szenarien - Mitarbeiterbefragung Beispiel Mitarbeiterbefragung: - Auswahl der befragten Mitarbeiter nach Kernprozessen - Teilweise offene Fragestellungen - Befragung durch 2 Experten

43 Auswertung I - Auswertung in Excel - Unterschiedliche Gewichtung der Fragen - Bewertung in 4 Stufen - 1 = kein Handlungsbedarf - 2 = Handlungsbedarf - 3 = dringender Handlungsbedarf - 4 = kritischer Handlungsbedarf

44 Auswertung II Darstellung der Auswertung in Form eines Netzdiagramms Prozentuale Werte stellen Abweichung vom Idealzustand dar: 75% 100% = sofortiger Handlungsbedarf (schwarz) 50 75% = dringender Handlungsbedarf (rot) 25 50% = Handlungsbedarf (gelb) 0 25 % = kein Handlungsbedarf (grün) Je größer die Abdeckung der Zielscheibe durch die erreichten Werte ist, desto besser ist das Ergebnis

45 Beispiel: Auswertung Überblick Organisation Handlungsbedarf Mitarbeiterbefragung Dringender Handlungsbedarf Infrastruktur Verwaltung Handlungsbedarf Worst-Case-Szenarien Dringender Handlungsbedarf Wartung und Instandhaltung Dringender Handlungsbedarf Gesamtsituation: Handlungsbedarf

46 Beispiel: Detail-Auswertung Verwaltung IT-Infrastruktur Absicherung Allgemein Netzwerk LAN Endgeräte Netzwerk WAN Software Netzwerk WLAN Virtualisierung Telefonanlage Speichersysteme Server allgemein Archivsystem Fileserver Terminalserver server Webserver Datenbankserver ERP-System

47 Beispiel für Auswertung Mitarbeiter I - z.b.: 8 Mitarbeiter aus unterschiedlichen Bereichen - Breite Streuung bei den Ergebnissen - Deutliche Handlungsbedarfe erkennbar, z.b. - Passworte am Arbeitsplatz hinterlegt - Versand vertraulicher Daten per - Kein vertraulicher Druck - Mitarbeiter sind der zentrale Punkt im Sicherheitsprozess MA 7 MA 8 MA 6 MA 1 MA 5 MA 2 MA 4 MA 3

48 Beispiel für Auswertung Mitarbeiter II - Durchführung von - regelmäßigen Unterweisungen - Schulungen - Änderungen an Systemen rechtzeitig bekanntmachen - Erhebliches Verbesserungspotential MA 7 MA 8 MA 1 MA 2 MA 3 Entwicklungsprognose MA 6 MA 4 MA 5

49 Beratungsergebnisse Handlungsempfehlungen Kurzfristig und mit geringem Aufwand zu realisierenden Maßnahmen Mittelfristige Unterstützung bei der Mitarbeitersensibilisierung Langfristige Maßnahmen mit Unterstützung bei der Investitionsplanung Regelmäßige (z.b. jährliche) Wiederholungsanalysen möglich PDCA-Verfahren

50 Zu guter Letzt Vielen Dank für Ihre Aufmerksamkeit! DVGW Service & Consult GmbH Josef-Wirmer-Str Bonn Kontaktdaten: Daniel Fricke Thomas Schmidt +49 (0) 228 / (0) 228 /

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

ESN expert-veranstaltung Krisenmanagement im EVU

ESN expert-veranstaltung Krisenmanagement im EVU ESN expert-veranstaltung Krisenmanagement im EVU Krisenmanagement und ISMS Erfurt, 17.06.2015 Schlagworte ISMS- Energiewirtschaftsgesetz IT-Sicherheit BSI-Grundschutzkataloge Krisenmanagement Informationssicherheitsmanagementsystem

Mehr

TeleTrusT Bundesverband IT-Sicherheit e.v.

TeleTrusT Bundesverband IT-Sicherheit e.v. TeleTrusT Bundesverband IT-Sicherheit e.v. TeleTrusT-Workshop "Industrial Security" 2015 München, 11.06.2015 ICS Security Kompendium und industriespezifische Konzepte und Technologien zur Separierung /

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

Eckpunkte IT-Sicherheitsgesetz (Leseprobe / Auszug) Rechtsberatung. Steuerberatung. Luther.

Eckpunkte IT-Sicherheitsgesetz (Leseprobe / Auszug) Rechtsberatung. Steuerberatung. Luther. Eckpunkte IT-Sicherheitsgesetz (Leseprobe / Auszug) Rechtsberatung. Steuerberatung. Luther. Timeline Entwurf IT-Sicherheitsgesetz (1/3) 5.3.2013 7.7.2013 18.3.2014 4.11.2014 Entwurf BMI KPMG-Studie im

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun?

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun? Dipl.-Wirtsch.-Ing. Frank Hallfell Dipl.-Ing.(FH) Günther Orth enbiz gmbh, Kaiserslautern Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun? IT-Tag Saarbrücken, 16.10.2015

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

Carsten Eilers www.ceilers-it.de. Der erste Cyberwar hat begonnen

Carsten Eilers www.ceilers-it.de. Der erste Cyberwar hat begonnen Carsten Eilers www.ceilers-it.de Der erste Cyberwar hat begonnen Stuxnet Juni 2010 USB-Wurm verbreitet sich über 0-Day- Schwachstelle in Windows: Stuxnet ("Shortcut-Lücke") Ziel der Angriffe: SCADA-Systeme

Mehr

AV-TEST. Sicherheitslage Android

AV-TEST. Sicherheitslage Android AV-TEST Sicherheitslage Android Sicherheitslage Android 1 SICHERHEITSLAGE ANDROID MEHR ALS 30 IT-SPEZIALISTEN MEHR ALS 15 JAHRE EXPERTISE IM BEREICH ANTIVIREN-FORSCHUNG UNTERNEHMENSGRÜNDUNG 2004 EINE DER

Mehr

Kritische Infrastrukturen in Deutschland

Kritische Infrastrukturen in Deutschland Kritische Infrastrukturen in Deutschland Vortrag Kathrin Stolzenburg anlässlich der 3. Göttinger Tagung zu aktuellen Fragen zur Entwicklung der Energieversorgungsnetze 12. 13. Mai 2011, Paulinerkirche

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht

Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht Jörg Kehrmann Datenschutz- und IT-Sicherheitsbeauftragter der Wuppertaler Stadtwerke

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

Das Krankenhaus als Kritische Infrastruktur

Das Krankenhaus als Kritische Infrastruktur Das Krankenhaus als Kritische Infrastruktur Beitrag zur Session Gesundheitsversorgung als Kritische Infrastruktur BBK. Gemeinsam handeln. Sicher leben. erysipel_pixelio Das BBK und der Schutz KRITIS -Gründung

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015 ITK Sicherheitsgesetz Umsetzung mit verinice.pro verinice.xp- Grundschutztag 15.09.2015 Überblick Kurze Vorstellung des IT-Sicherheitsgesetzes Konkretisierung des Gesetzes für Energieversorger Abbildung

Mehr

IT-Sicherheit und Trusted German Insurance Cloud in der deutschen Versicherungswirtschaft

IT-Sicherheit und Trusted German Insurance Cloud in der deutschen Versicherungswirtschaft Gesamtverband der Deutschen Versicherungswirtschaft e. V. IT-Sicherheit und Trusted German Insurance Cloud in der deutschen Versicherungswirtschaft Fred di Giuseppe Chiachiarella 1. Fachkonferenz Cyber-Sicherheit,

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 11. Kommunales IuK-Forum

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit Informationssicherheitsmanagement BSI- Grundschutz in der Praxis Informationssicherheit nach BSI-Grundschutz und ISO 27001 im Praxisvergleich Cyber Akademie

Mehr

Sicherheit in und für Deutschland

Sicherheit in und für Deutschland Sicherheit in und für Deutschland Isabel Münch Bundesamt für Sicherheit in der Informationstechnik Sicherheitsmanagement und IT-Grundschutz Agenda Überblick BSI BSI-Lagebericht 2011 Sicherheit ist mehr

Mehr

Sozioökonomische Dienstleistungsinfrastrukturen

Sozioökonomische Dienstleistungsinfrastrukturen Das IT-Sicherheitsgesetz Am 12. Juni 2015 hat der deutsche Bundestag in 2. und 3. Lesung das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) beschlossen. Die Zustimmung

Mehr

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen Marc Schober Bundesamt für Sicherheit in der Informationstechnik Referat 112 Kritische Infrastrukturen und IT-Sicherheitsrevision Bundesamt

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

IT Sicherheit in Kritischen Infrastrukturen

IT Sicherheit in Kritischen Infrastrukturen IT Sicherheit in Kritischen Infrastrukturen Forschungsansätze zur ganzheitlichen Risikobewertung Dipl. oec. Michael Sparenberg Institut für Internet-Sicherheit if(is) Westfälische Hochschule Gelsenkirchen

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

Was sieht das Gesetz vor?

Was sieht das Gesetz vor? Die Bundesregierung plant ein IT Sicherheitsgesetz. Dieses liegt aktuell als Referenten- entwurf des Innenministeriums vor und wird zwischen den einzelnen Ministerien abgestimmt. Im Internet wird viel

Mehr

Cybercrime, Cyberspionage, Cybersabotage - Wie schützen wir unseren Cyberraum?

Cybercrime, Cyberspionage, Cybersabotage - Wie schützen wir unseren Cyberraum? Cybercrime, Cyberspionage, Cybersabotage - Wie schützen wir unseren Cyberraum? Dirk Häger, Fachbereichsleiter Operative Netzabwehr Bundesamt für Sicherheit in der Informationstechnik Jahrestagung CODE,

Mehr

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit smartoptimo GmbH & Co. KG Luisenstraße 20 49074 Osnabrück Telefon 0541.600680-0 Telefax 0541.60680-12 info@smartoptimo.de

Mehr

IT-Sicherheitsgesetz und IT- Sicherheitskatalog Anforderungen an Betreiber kritischer Infrastrukturen

IT-Sicherheitsgesetz und IT- Sicherheitskatalog Anforderungen an Betreiber kritischer Infrastrukturen IT-Sicherheitsgesetz und IT- Sicherheitskatalog Anforderungen an Betreiber kritischer Infrastrukturen 5. Fachtagung Infrastruktursicherheit des KKI e. V. IT-SICHERHEIT UND KRITISCHE I NFRASTRUKTUREN 10.

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

Worum es geht. zertifiziert und grundlegend

Worum es geht. zertifiziert und grundlegend Sicherer Systembetrieb in der Energiewirtschaft. Von der Analyse bis zur Zertifizierung. Worum es geht zertifiziert und grundlegend In Industrie staaten ist das gesamte Leben von einer sicheren Energie

Mehr

Datensicherheit und IT-Grundschutz. Prof. Dr. Reinhardt Nindel

Datensicherheit und IT-Grundschutz. Prof. Dr. Reinhardt Nindel Datensicherheit und IT-Grundschutz Prof. Dr. Reinhardt Nindel Datensicherheit Datenschutz Bund Der Bundesbeauftragte für Datenschutz Schutz demokratischer Grundwerte, der Privatsphäre und des informellen

Mehr

IT-Beauftragter der Bayerischen Staatsregierung IT-Sicherheitsstrukturen in Bayern

IT-Beauftragter der Bayerischen Staatsregierung IT-Sicherheitsstrukturen in Bayern IT-Sicherheitsstrukturen in Bayern Dr. Andreas Mück Agenda 1. Technische Rahmenbedingungen 2. Sicherheitsorganisation 3. Leitlinie zur IT-Sicherheit 4. Aktuelle Projekte Bayerisches Staatsministerium der

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2013 09.10.2013 Agenda

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

IT Security / Mobile Security

IT Security / Mobile Security lcs ] Security computersyteme Lösungen für Unternehmen IT Security / Mobile Security Im Zuge der globalisierten Vernetzung und der steigenden Zahl mobiler Nutzer wird der Schutz der eigenen IT-Infrastruktur,

Mehr

Frau Silke Sielaff Ministerium des Innern des Landes Brandenburg, Deutschland

Frau Silke Sielaff Ministerium des Innern des Landes Brandenburg, Deutschland Blatt 1 Projekt Schutz Kritischer Infrastrukturen Teilprojekt EUKRITIS Wandlungsfähige Schutzstrukturen und Folgenabschätzung zur Prävention, Abwehr und Folgenbewältigung bei Katastrophen Blatt 2 Blatt

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

BSI ICS-SECURITY-KOMPENDIUM

BSI ICS-SECURITY-KOMPENDIUM BSI ICS-SECURITY-KOMPENDIUM SICHERHEIT VON INDUSTRIELLEN STEUERANLAGEN Andreas Floß, Dipl.-Inform., Senior Consultant Information Security Management, HiSolutions AG 1 HiSolutions 2013 ICS-Kompendium Vorstellung

Mehr

IT-Sicherheit Herausforderung für Staat und Gesellschaft

IT-Sicherheit Herausforderung für Staat und Gesellschaft IT-Sicherheit Herausforderung für Staat und Gesellschaft Michael Hange Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn Bonn, 28. September 2010 www.bsi.bund.de 1 Agenda Das BSI Bedrohungslage

Mehr

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen, IDEAS Übersicht # 1 Einleitung # 2 IT-Sicherheit wozu denn? # 3 IT-Sicherheit die Grundpfeiler # 4 IT-Sicherheit ein

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

Modernisierung des IT-Grundschutzes

Modernisierung des IT-Grundschutzes Modernisierung des IT-Grundschutzes Isabel Münch Referatsleiterin Allianz für Cyber-Sicherheit, Penetrationszentrum und IS-Revision Bundesamt für Sicherheit in der Informationstechnik netzdialog 2014 06.11.2014

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

[IT-RESULTING IM FOKUS]

[IT-RESULTING IM FOKUS] [IT-RESULTING IM FOKUS] Hans-Peter Fries Business Security Manager Datenschutzauditor Industrie 4.0 und IT-Sicherheit Ein Widerspruch in sich? GmbH Schloß Eicherhof D-42799 Leichlingen +49 (0) 2175 1655

Mehr

Aktuelles zur Lage und Sicherheitsmaßnahmen im Cyber-Raum. Thomas Haeberlen

Aktuelles zur Lage und Sicherheitsmaßnahmen im Cyber-Raum. Thomas Haeberlen Aktuelles zur Lage und Sicherheitsmaßnahmen im Cyber-Raum Thomas Haeberlen Gelsenkirchen, 11.Juni 2015 Agenda» Kernaussagen» Zahlen und Fakten zu Angriffen im Cyber-Raum» Cyber-Angriffsformen» Snowden-Enthüllungen»

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Die Cybersicherheitslage in Deutschland

Die Cybersicherheitslage in Deutschland Die Cybersicherheitslage in Deutschland Andreas Könen, Vizepräsident BSI IT-Sicherheitstag NRW / 04.12.2013, Köln Cyber-Sicherheitslage Deutschland Ist massives Ziel für Cyber-Crime Wird breit cyber-ausspioniert

Mehr

Incident Response und Forensik

Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Der Einbruch eines Hackers in die Web-Applikation des Unternehmens, ein Mitarbeiter, der vertrauliche Daten

Mehr

Informationstechnik in der Prozessüberwachung und -steuerung. Grundsätzliche Anmerkungen

Informationstechnik in der Prozessüberwachung und -steuerung. Grundsätzliche Anmerkungen Informationstechnik in der Prozessüberwachung und -steuerung Grundsätzliche Anmerkungen Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 95820 E-Mail: ics-sec@bsi.bund.de

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

IT-Sicherheitsmanagement bei der Landeshauptstadt München

IT-Sicherheitsmanagement bei der Landeshauptstadt München IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung

Mehr

Risikomanagement für IT-Netzwerke mit Medizinprodukten. FH-Prof. Dipl.-Ing. Alexander Mense, CISSP Ing. Franz Hoheiser-Pförtner, MSc, CISSP

Risikomanagement für IT-Netzwerke mit Medizinprodukten. FH-Prof. Dipl.-Ing. Alexander Mense, CISSP Ing. Franz Hoheiser-Pförtner, MSc, CISSP Risikomanagement für IT-Netzwerke mit Medizinprodukten FH-Prof. Dipl.-Ing. Alexander Mense, CISSP Ing. Franz Hoheiser-Pförtner, MSc, CISSP Agenda Ausgangssituation Herausforderungen Der erste Schritt als

Mehr

SICHERHEIT VON INDUSTRIELLEN STEUERUNGSSYSTEMEN

SICHERHEIT VON INDUSTRIELLEN STEUERUNGSSYSTEMEN 14. DEUTSCHER IT-SICHERHEITSKONGRESS 2015, BONN, 19.05.2015 SICHERHEIT VON INDUSTRIELLEN STEUERUNGSSYSTEMEN SICHERHEITSMANAGEMENT MIT DER BSI IT-GRUNDSCHUTZ-VORGEHENSWEISE Andreas Floß, Dipl.-Inform.,

Mehr

Modellierung von Informationsverbünden mit Consumer-Endgeräten und BYOD

Modellierung von Informationsverbünden mit Consumer-Endgeräten und BYOD Modellierung von Informationsverbünden mit Consumer-Endgeräten und BYOD Erfahrungen und Empfehlungen für Zertifizierungen nach ISO 27001 auf der Basis von IT-Grundschutz Jonas Paulzen Bundesamt für Sicherheit

Mehr

Entwurf zum IT-Sicherheitsgesetz

Entwurf zum IT-Sicherheitsgesetz Entwurf zum IT-Sicherheitsgesetz Sebastian Hinzen, LL.M. Bird & Bird LLP 6. IT LawCamp 2015 Agenda Einleitung Wesentliche neue Regelungen im BSI-Gesetz TMG TKG Fazit & Ausblick Page 2 Einleitung (1) Ziel

Mehr

Neues vom IT-Grundschutz: Ausblick und Diskussion

Neues vom IT-Grundschutz: Ausblick und Diskussion Neues vom IT-Grundschutz: Ausblick und Diskussion Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2014

Mehr

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de Security Excellence Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information

Mehr

Schulungsunterlagen IT-Grundschutz nach BSI. Robert M. Albrecht Creative Commons by-nc-sa

Schulungsunterlagen IT-Grundschutz nach BSI. Robert M. Albrecht Creative Commons by-nc-sa Schulungsunterlagen IT-Grundschutz nach BSI Robert M. Albrecht Creative Commons by-nc-sa The audience is listening. IT-Grundschutz nach BSI Robert M. Albrecht Agenda Was ist das BSI? Warum IT-Grundschutz?

Mehr

Überblick über existierende Vorschriften, Gesetze und Normen

Überblick über existierende Vorschriften, Gesetze und Normen 5 Überblick über existierende Vorschriften, Gesetze und Normen Als Reaktion auf die ansteigende Anzahl der bekannt werdenden Fälle skandalöser Betriebsführungen, hat der Gesetzgeber eine Fülle von neuen

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

IT-Grundschutz und Mindeststandards Der pragmatische Weg zur Informationssicherheit

IT-Grundschutz und Mindeststandards Der pragmatische Weg zur Informationssicherheit IT-Grundschutz und Mindeststandards Der pragmatische Weg zur Informationssicherheit Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz

Mehr

Transport & Logistik Kompass

Transport & Logistik Kompass www.pwc.de/logistik Transport & Logistik Kompass März 2015 IT-Sicherheitsgesetz nimmt Transporteure und Logistiker in die Pflicht Das neue IT-Sicherheitsgesetz fordert von den Betreibern kritischer Infrastrukturen

Mehr

MALWARE AM BEISPIEL VON STUXNET

MALWARE AM BEISPIEL VON STUXNET MALWARE AM BEISPIEL VON STUXNET IAV10/12 24.05.2011 Jan Heimbrodt Inhalt 1. Definition Was ist Malware? 2. Kategorisierung von Malware Viren, Würmer, Trojaner, 3. Was macht Systeme unsicher? Angriffsziele,

Mehr

Biotech-Forum: IT-Sicherheit für Biotechs

Biotech-Forum: IT-Sicherheit für Biotechs Biotech-Forum: IT-Sicherheit für Biotechs IT-Sicherheit systematisch und handhabbar Holger Kurrek Fraunhofer ISST Abteilung Sichere Business IT-Infrastrukturen Arbeitsgruppe IT-Sicherheit Berlin, 25. Oktober

Mehr

Die Senatorin für Finanzen. Vortrag

Die Senatorin für Finanzen. Vortrag Vortrag Nationaler Plan zum Schutz der Informationsinfrastrukturen Ressortübergreifend abgestimmte IT- Sicherheitsstrategie für Deutschland Drei strategische Ziele Prävention: Informationsinfrastrukturen

Mehr

2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen

2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen Stellungnahme des Gesamtverbandes der Deutschen Versicherungswirtschaft ID-Nummer 6437280268-55 sowie des Verbandes der Privaten Krankenversicherung zum Referentenentwurf des Bundesministeriums des Innern

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

3 Juristische Grundlagen

3 Juristische Grundlagen beauftragter - Grundlagen Ziele: Einführung in das recht Kennen lernen der grundlegenden Aufgaben des beauftragten (DSB) Praxishinweise für die Umsetzung Inhalte: Ziele des es Zusammenarbeit mit Datensicherheit/IT-Sicherheit

Mehr

Compliance mit dem IEM Endpoint Manager durchsetzen

Compliance mit dem IEM Endpoint Manager durchsetzen Compliance mit dem IEM Endpoint Manager durchsetzen PPPvorlage_sxUKMvo-05.00.potx santix AG Mies-van-der-Rohe-Straße 4 80807 München www.santix.de santix AG 2 Sicherheit in der IT Was bedeutet Sicherheit

Mehr

Cyber SECURITY@Deutsche Telekom Thomas Tschersich, SVP Group Cyber- and Datasecurity

Cyber SECURITY@Deutsche Telekom Thomas Tschersich, SVP Group Cyber- and Datasecurity Cyber SECURITY@Deutsche Telekom Thomas Tschersich, SVP Group Cyber- and Datasecurity BEISPIELE WELTWEIT ERFOLGREICHER CYBER- ANGRIFFE JEDES UNTERNEHMEN IST EIN MÖGLICHES OPFER Diverse Rechner von internen

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Cyber-Sicherheit von Industrial Control Systems

Cyber-Sicherheit von Industrial Control Systems Cyber-Sicherheit von Industrial Control Systems Holger Junker Bundesamt für Sicherheit in der Informationstechnik Industrial IT Forum 2012-04-25 Agenda Das BSI Cyber-Sicherheit im ICS-Kontext Sicherheitsmaßnahmen

Mehr

Neue Technologien sicher nutzen: IT-Sicherheit in der öffentlichen Verwaltung

Neue Technologien sicher nutzen: IT-Sicherheit in der öffentlichen Verwaltung Neue Technologien sicher nutzen: IT-Sicherheit in der öffentlichen Verwaltung Andreas Könen Bundesamt für Sicherheit in der Informationstechnik Memo Tagung 2. und 3. Juni 2014-1- Das BSI... ist eine unabhängige

Mehr

Cloud Computing mit IT-Grundschutz

Cloud Computing mit IT-Grundschutz Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung

Mehr

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement datenschutz nord GmbH Mai 2007 Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement 1. Rechtliche Vorgaben zur IT-Sicherheit und zum Risikomanagement Das Thema IT-Sicherheit hat

Mehr

Sicherheit entsprechend den BSI-Standards

Sicherheit entsprechend den BSI-Standards Sicherheit entsprechend den s Planungsunterstützung durch Open Source 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze Agenda 54. GMDS-Jahrestagung Essen, 2009-09-09 1. 2. Material / Methode

Mehr

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010 IT-Sicherheit Abteilung IT/2 Informationstechnologie Dr. Robert Kristöfl 1 3. Dezember 2010 Begriffsdefinitionen Safety / Funktionssicherheit: stellt sicher, dass sich ein IT-System konform zur erwarteten

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

......... http://www.r-tec.net

......... http://www.r-tec.net Digital unterschrieben von Marek Stiefenhofer Date: 2014.09.09 09:18:41 MESZ Reason: (c) 2014, r-tec IT Systeme GmbH.......... r-tec IT Systeme GmbH 09.09.2014 Bedrohungslage 2014 SEITE 3 2010: Stuxnet

Mehr

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann Zur Person Frank Broekman IT-Security Auditor (TÜV) Geschäftsführer der dvs.net IT-Service

Mehr

IT Sicherheit - Gibt es die überhaupt noch?

IT Sicherheit - Gibt es die überhaupt noch? IT Sicherheit - Gibt es die überhaupt noch? ( oder wie schützt man kritische Infrastrukturen) Christian Cichowski CIO Wupperverband CIO Wupperverband Christian Cichowski 12.03.2015 1 Der Wupperverband

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz 3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz Institut für Informatik und Automation Dipl.-Inf. Günther Diederich Institut für Informatik und Automation In-Institut der Hochschule

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr