Informationsveranstaltung DVGW-LG Saarland IT-Sicherheit

Größe: px
Ab Seite anzeigen:

Download "Informationsveranstaltung DVGW-LG Saarland 13.06.2013. IT-Sicherheit"

Transkript

1 Informationsveranstaltung DVGW-LG Saarland IT-Sicherheit Daniel Fricke & Thomas Schmidt

2 Agenda Gründe für IT-Sicherheit (z.b. rechtliche Vorgaben, KRITIS) Überblick über Gefährdungen (welche Gefahren drohen über welche Pfade; aktuelle Beispiele) BSI-Grundschutz (Methode zur Erzielung einer Grundsicherheit gemäß Leitlinie des Bundesamtes für Sicherheit in der Informationstechnik) SMIT (strukturiertes Beratungsprojekt zur Erzielung des BSI-Grundschutzes)

3 KRITIS Kritische Infrastrukturen (KRITIS) Definition: Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. (Quelle:

4 Wo gibt es KRITIS 9 Bereiche (gem. BMI): Energie: Elektrizität, Gas, Mineralöl Informationstechnik und Telekommunikation Transport und Verkehr: Luft-, Seeschiff-, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik Gesundheit: Medizinische Versorgung, Arzneimittel, Impfstoffe, Labore Wasser: Öffentliche Wasserversorgung, Öffentliche Abwasserbeseitigung Ernährung: Ernährungswirtschaft, Lebensmittelhandel Finanz- und Versicherungswesen: Banken, Börsen, Versicherungen, Finanzdienstleister Staat und Verwaltung: Regierung und Verwaltung, Parlament, Justizeinrichtungen, Notfall-/ Rettungswesen einschließlich Katastrophenschutz Medien und Kultur: Rundfunk (Fernsehen und Radio), gedruckte und elektronische Presse, Kulturgut, symbolträchtige Bauwerke Quelle: Definition Kritische Infrastrukturen nach Bundesministerium des Inneren (BMI)

5 KRITIS-Meilensteine BMI- Diskussionspapier IT-Schutz Kritischer Eröffnung des Cyber- Infrastrukturen in Deutschland Abwehrzentrum zur Sicherheit der IT- Infrastruktur (Juni 2011 ) Referentenentwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom Billigung des Umsetzungsplans KRITIS durch das Bundeskabinett (2007) nationaler Plan zum Schutz der Informationsinfrastrukturen (BMI, 2005) Zunehmende Cyberkriminalität

6 Meilenstein BMI Diskussionspapier Diskussionspapier IT-Schutz Kritischer Infrastrukturen in Deutschland vom 25. Januar 2012 Mehr Transparenz schaffen Robuste Grundlagen durch ein standardisiertes und überprüfbares Sicherheitsniveau Kritische Prozesse autonom gestalten Produkt- und Dienstleistungssicherheit gewährleisten Durch Lagefortschreibung und Frühwarnung Gefahren vorbeugen Mit Übungen auf den Ernstfall vorbereiten Durch Kooperation an Know-How und Stärke gewinnen

7 Meilenstein Gesetzentwurf Entwurf Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG) vom 05. März 2013 Festlegung Kritischer Infrastrukturen BSI ist die ausführende Behörde Einrichten einer zentralen Meldestelle beim BSI 2 Jahre verpflichtender Umsetzungszeitraum für Betreiber Berücksichtigung Stand der Technik Möglichkeit der Festlegung branchenspezifischer Standards Überprüfung der IT-Sicherheit durch Sicherheitsaudits alle zwei Jahre Meldepflicht bei erheblichen IT-Sicherheitsvorfällen

8 DVGW-Stellungnahme zum Gesetzesvorhaben DVGW-Stellungnahme zum Gesetzesentwurf vom 05. April 2013 Hinweis bestehender Technischer Regeln im DVGW zum Schutz kritischer Infrastrukturen Umsetzung dieser Regeln über das Technische Sicherheitsmanagement (TSM) Konkretisierung der Definition Kritische Infrastruktur im Sinne des Gesetzes erforderlich Verlängerung der zweijährigen Umsetzungsfrist Anerkennung bestehender Managementsysteme Erweiterung TSM um das Modul IT-Sicherheit Begrenzung der Meldepflicht auf Vorgänge, die die Aufrechterhaltung der Versorgung gefährden Definition erheblicher IT-Sicherheitsvorfall erforderlich Umsetzung der IT-Sicherheit durch branchenspezifische Standards

9 Weitere gesetzliche Vorgaben I Gesetzliche Anforderungen nach Handelsgesetzbuch (HGB) 238 und 243 müssen die Grundsätze ordnungsgemäßer Buchführung (GoB) erfüllt sein Ergänzt durch Schreiben vom Bundesministerium der Finanzen: Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) vom 7. November 1995

10 Weitere gesetzliche Vorgaben II Die GoBS Pkt.4 fordert ein Internes Kontrollsystem zur Sicherung und Schutz des vorhanden Vermögens und vorhandener Informationen vor Verlusten aller Art Pkt. 5.3: Diese Informationen sind gegen Verlust zu sichern und gegen unberechtigte Veränderung zu schützen. Über die Anforderungen der GoBS hinaus sind die sensiblen Informationen des Unternehmens auch gegen unberechtigte Kenntnisnahme zu schützen

11 Weitere gesetzliche Vorgaben III Weitere Gesetze Bundesdatenschutzgesetz (BDSG) Landesdatenschutzgesetze Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)

12 Was bedeutet Informationssicherheit im VU? Datensicherheit/-vertraulichkeit Geschäftsrelevante Daten Personenbezogene Daten Infrastruktursicherheit Ausfall (auch durch höhere Gewalt) Firewalls Diebstahl von Rechnern KRITIS Für Informationssicherheit ist eine ganzheitliche Betrachtungsweise notwendig!

13 Agenda Gründe für IT-Sicherheit (z.b. rechtliche Vorgaben, KRITIS) Überblick über Gefährdungen (welche Gefahren drohen über welche Pfade; aktuelle Beispiele) BSI-Grundschutz (Methode zur Erzielung einer Grundsicherheit gemäß Leitlinie des Bundesamtes für Sicherheit in der Informationstechnik) SMIT (strukturiertes Beratungsprojekt zur Erzielung des BSI-Grundschutzes)

14 Bedrohungsarten Viren Verändern Dateien und nisten sich dort ein Werden durch Benutzer verbreitet Würmer Verbreiten sich selbstständig Trojaner Fernsteuerungsfunktion (oft getarnt in nützlicher Software) Spyware Sendet Informationen über den infizierten Rechner an Dritte Backdoor Öffnet einen infizierten Rechner für weitere Schadprogramme Rootkits Verstecken andere Schadprogramme Exploit Schwachstelle bzw. deren Ausnutzung Zero-Day-Exploit Schwachstelle die sofort nach bekanntwerden ausgenutzt wird

15 Cyberkriminalität I 1. Bankenverband warnt: sparkasse.de zum Malwareversand missbraucht Cyber-Kriminelle haben die Homepage der Sparkasse angegriffen und konnten für kurze Zeit Malware auf einzelnen Seiten von sparkasse.de installieren und womöglich an Besucher dieser Websites verteilen. Nach Angabe des Deutschen Sparkassen- und Giroverbands (DSGV) [http://www.sparkasse.de/aktuell/sparkasse_de_hackerangriff.html], erfolgte der Angriff am 18. Februar. Kunden, die an diesem Tag ohne aktuellen und aktiven Virenscanner auf sparkasse.de waren, könnten sich die Schadsoftware auf den eigenen Rechner geladen haben, so der DSGV. Mit allen gängigen Virenschutzprogrammen soll sich die Malware beseitigen lassen. Die betroffenen Seiten wurden laut DSGV umgehend offline gestellt. Online-Banking-Angebote sowie Homebanking-Programme von Kunden seien von dem Angriff nicht betroffen. Die Sparkassen empfehlen allen Internetnutzern, stets eine aktive Firewall und einen aktuellen Virenscanner zu nutzen. Quelle: Buerger-cert.de (Infodienst des BSI) vom

16 Cyberkriminalität II Quelle:

17 Cyberkriminalität III Quelle:

18 Cyberkriminalität IV Quelle:

19 SCADA-Angriffe Angriffe auf SCADA-Systeme STUXNET Nov. 2011, Wasserwerk in Illinois zerstörte Pumpe Nov. 2011, Wasserwerk in Texas Screenshots Mai 2013, c t-artikel SCADA = Supervisory Control and Data Acquisition

20 STUXNET-Verlauf Datum Ereignis 20. Nov Der Trojaner Zlob nutzt zum ersten Mal die LNK-Lücke (MS10-046) aus, die später von Stuxnet verwendet werden wird. 25. Jan Der Stuxnet-Treiber wird mit einem Zertifikat von Realtek signiert. April 2010 Eine Stuxnet-Variante verwendet erstmals Remotecode-Ausführung durch die Windows-Shell (MS10-046). 13. Juli 2010 Symantec fügt eine Erkennung des Trojaners unter dem Namen W32.Temphid ein. 16. Juli 2010 Microsoft veröffentlicht das Security Advisory Vulnerability in Windows Shell Could Allow Remote Code Execution. VeriSign widerruft das Realtek-Zertifikat. 17. Juli 2010 ESET findet eine Stuxnet-Version mit einem Treiberzertifikat von JMicron. 19. Juli 2010 Siemens berichtet über Untersuchungen zur Infektion seiner SCADA-Anlagen. Symantec benennt die Erkennung in W32.Stuxnet um. 22. Juli 2010 VeriSign widerruft das Zertifikat von JMicron. 02. Aug Microsoft veröffentlicht Patch MS gegen den Shortcut-Exploit. 06. Aug Symantec beschreibt die Funktion von Stuxnet als SPS-Rootkit. 22. Aug Symantec kann keine neu infizierten IP-Adressen aus dem Iran mehr feststellen. 14. Sep Microsoft veröffentlicht den Print-Spooler-Patch MS Laut Siemens sollen weltweit 14 Anlagen betroffen sein. Schäden hätten jedoch nicht festgestellt werden können. 26. Sep Der Iran bestätigt Angriffe durch Stuxnet. Es sollen Computer befallen worden sein, dabei seien aber keine ernsthaften Schäden aufgetreten. Diese Aussage wird allerdings kurz darauf vom Außenministerium widerrufen. Dagegen wird dem Westen Cyber-Propaganda vorgeworfen. 30. Sep Das W32.Stuxnet Dossier wird auf der Virus Bulletin Conference 2010 vorgestellt. Die Nachrichtenagentur Xinhua berichtet von sechs Millionen befallenen Computern und fast tausend betroffenen Anlagensteuerungen in China. 02. Okt Siemens wurden bisher 15 befallene Anlagen gemeldet. Davon haben fünf ihren Standort in Deutschland, die übrigen in Westeuropa, den USA und Asien. Bei allen Anlagen sollen keine Schäden aufgetreten sein und das Virus konnte erfolgreich entfernt werden. 12. Okt Microsoft schließt mit Patch MS eine Lücke zur Privileg-Eskalation beim Laden von Tastaturbelegungen im Kernel. 14. Dez Microsoft schließt mit Patch MS eine Lücke zur Privileg-Eskalation durch Benutzung des Task-Schedulers. 11. Mär Bisher haben 24 Siemens-Kunden von einer Infektion berichtet. Es gab in keinem Fall Auswirkungen auf die Anlagen.

21 SCADA-Angriffe US-Wasserwerke Quelle:

22 Gefahr im Kraftwerk Artikel in c t 11/2013 ( ) Fazit der c t: [ ] In dieser Branche ticken die Uhren offensichtlich etwas anders, wodurch der Berührungspunkt mit dem schnelllebigen Internet zu einem ernsthaften Problem wird. [ ].

23 Werkzeuge: Metasploit Framework Metasploit ist ein freies Open Source Projekt Werkzeug zur Entwicklung und Ausführung von Angriffen auf Rechnersysteme Quelle:

24 Werkzeuge: Shodan Suchmaschine für anfällige Systeme

25 Innere Gefährdungen Gefährdung durch Verhalten der Mitarbeiter Arbeitsplatzschutz vernachlässigen Unsichere Passwörter verwenden Fremdsoftware installieren Verwendung mobiler Endgeräte BYOD Bring Your Own Device von unsicherer Umgebung einloggen Dienstleister / Arbeitnehmerüberlassung Mitarbeiter-Wechsel Gefährdung durch IT-Systeme Einspielung Sicherheitsupdates Unzureichend geschützte Systeme

26 Handy-Schutz? Quelle: Buerger-cert.de (Infodienst des BSI) vom

27 Zwischenbilanz Steigende Wahrnehmung der Öffentlichkeit zur Sicherheit in der IT durch z. B.: öffentlich gewordene Vorfälle z. B. Hackerangriffe Folgen aus fehlender oder fehlerhafter Datensicherung Innere Sicherheit im Unternehmen Systemausfall in Folge von Naturereignissen (Schnee/Eis, Regen, Sturm, Hochwasser, ) oder Brand (auch DVGW-Regelwerk G / W 1002 Risikomanagement im Krisenfall) steigende öffentliche Sensibilität steigendes inneres Bedürfnis der Unternehmen also: Gewissheit anstelle von Vermutung Gesetzentwurf: Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG)

28

29 Agenda Gründe für IT-Sicherheit (z.b. rechtliche Vorgaben, KRITIS) Überblick über Gefährdungen (welche Gefahren drohen über welche Pfade; aktuelle Beispiele) BSI-Grundschutz (Methode zur Erzielung einer Grundsicherheit gemäß Leitlinie des Bundesamtes für Sicherheit in der Informationstechnik) SMIT (strukturiertes Beratungsprojekt zur Erzielung des BSI-Grundschutzes)

30 BSI-Grundschutz Ziele des BSI-Grundschutz: Vertraulichkeit Integrität Verfügbarkeit Arbeitshilfen: BSI Standard Managementsysteme für Informationssicherheit BSI Standard Grundschutz Vorgehensweise BSI Standard Risikoanalyse auf der Basis von IT- Grundschutz BSI Standard Notfallmanagement IT-Grundschutz-Katalog (4068 Seiten)

31 PDCA-Zyklus Sicherheitsziele definieren Wirksamkeit prüfen Status prüfen Plan Maßnahmen ableiten und umsetzen Do Check Act

32 BSI Managementsysteme für Informationssicherheit (ISMS) Initiierung durch Geschäftsführung Definition von allgemeinen Verhaltensweisen im Unternehmen Top-Down-Struktur Zusammenwirken von Sicherheitsprozessen Mitarbeitern Managementprinzipien Ressourcen

33 BSI IT-Grundschutz-Vorgehensweise Strukturanalyse Schutzbedarfsfeststellung Auswahl und Anpassung von Maßnahmen unter Zuhilfenahme des IT Grundschutzkataloges Basis-Sicherheitscheck Ergänzende Sicherheitsanalyse Weitere Kernpunkte: Einbindung der Mitarbeiter in den Sicherheitsprozess Bereitstellung von Ressourcen Für Organisatorisches Für den IT-Regelbetrieb

34 BSI Risikoanalyse auf der Basis von IT-Grundschutz Weitergehende Betrachtung bei Schutzbedarf über den IT- Grundschutz hinaus Erstellung einer Gefährdungsübersicht Bewertung der Gefährdungen Behandlung von Risiken Reduktion durch weitere Sicherheitsmaßnahmen Vermeidung durch Umstrukturierung Akzeptanz (unter Berücksichtigung von Kosten/Risiken) Transfer (z.b. Versicherung / Outsourcing)

35 BSI Notfallmanagement Quelle:

36 Agenda Gründe für IT-Sicherheit (z.b. rechtliche Vorgaben, KRITIS) Überblick über Gefährdungen (welche Gefahren drohen über welche Pfade; aktuelle Beispiele) BSI-Grundschutz (Methode zur Erzielung einer Grundsicherheit gemäß Leitlinie des Bundesamtes für Sicherheit in der Informationstechnik) SMIT (strukturiertes Beratungsprojekt zur Erzielung des BSI-Grundschutzes)

37 Entwicklung SMIT Werkzeuge Checklistensystem (2 Ebenen) Selbstauskunft zu Projektbeginn Tool zur Statusermittlung im Rahmen Vor-Ort-Prüfung Inhalte: IT-Organisation IT-Infrastruktur Verwaltung IT-Infrastruktur Technik Wartung und Instandhaltung Worst-case-Szenarien

38 Vorbereitung I Entwicklung Selbstauskunftsfragebogen 64 Fragen: Abfrage des IT-Sicherheitsstatus (Eigeneinschätzung) Abfrage der IT-Infrastruktur Bewertung der Kritikalität Verfügbarkeitsziele Ziel Wie beurteilt der Kunde seine Informationssicherheit Welche Systeme werden eingesetzt

39 Vorbereitung II Entwicklung Leitfaden 344 Fragen zur Bewertung der Informationssicherheit Organisation (32 Fragen) Infrastruktur im Verwaltungsbereich (237 Fragen) Infrastruktur im technischen Bereich (5 Fragen) Wartung und Instandhaltung (30 Fragen) Worst-Case-Szenarien (14 Fragen) Mitarbeiterbefragung (26 Fragen) Ziel Umfassender Überblick über die IT-Struktur gelebte Informationssicherheit erheben

40 Vorbereitung III Entwicklung Auswertetool Excel-basiertes Auswerteverfahren Bewertungen der beiden Experten fließen ein Strukturiert Reproduzierbar und nachzuvollziehen Automatische zusammengefasste Ergebnisse Automatisch erstellte Ergebnis-Grafiken Erstellung von Prognosen Welches Ergebnis wird bei der Umsetzung von Maßnahme X erzielt?

41 Vorgehensweise Selbstauskunft Begehung Vor-Ort Befragung IT-Verantwortliche Mitarbeiter (Anwender) Auswertung Abschlussbericht mit Handlungsbedarfen Strukturanalyse und Schutzbedarfsfeststellung gem. BSI-Grundschutz

42 Erfassung und Befragungen - Strukturierter Fragenkatalog - Gliederung in folgende Bereiche: - Organisation - Infrastruktur Verwaltung - Wartung und Instandhaltung - Worst-Case-Szenarien - Mitarbeiterbefragung Beispiel Mitarbeiterbefragung: - Auswahl der befragten Mitarbeiter nach Kernprozessen - Teilweise offene Fragestellungen - Befragung durch 2 Experten

43 Auswertung I - Auswertung in Excel - Unterschiedliche Gewichtung der Fragen - Bewertung in 4 Stufen - 1 = kein Handlungsbedarf - 2 = Handlungsbedarf - 3 = dringender Handlungsbedarf - 4 = kritischer Handlungsbedarf

44 Auswertung II Darstellung der Auswertung in Form eines Netzdiagramms Prozentuale Werte stellen Abweichung vom Idealzustand dar: 75% 100% = sofortiger Handlungsbedarf (schwarz) 50 75% = dringender Handlungsbedarf (rot) 25 50% = Handlungsbedarf (gelb) 0 25 % = kein Handlungsbedarf (grün) Je größer die Abdeckung der Zielscheibe durch die erreichten Werte ist, desto besser ist das Ergebnis

45 Beispiel: Auswertung Überblick Organisation Handlungsbedarf Mitarbeiterbefragung Dringender Handlungsbedarf Infrastruktur Verwaltung Handlungsbedarf Worst-Case-Szenarien Dringender Handlungsbedarf Wartung und Instandhaltung Dringender Handlungsbedarf Gesamtsituation: Handlungsbedarf

46 Beispiel: Detail-Auswertung Verwaltung IT-Infrastruktur Absicherung Allgemein Netzwerk LAN Endgeräte Netzwerk WAN Software Netzwerk WLAN Virtualisierung Telefonanlage Speichersysteme Server allgemein Archivsystem Fileserver Terminalserver server Webserver Datenbankserver ERP-System

47 Beispiel für Auswertung Mitarbeiter I - z.b.: 8 Mitarbeiter aus unterschiedlichen Bereichen - Breite Streuung bei den Ergebnissen - Deutliche Handlungsbedarfe erkennbar, z.b. - Passworte am Arbeitsplatz hinterlegt - Versand vertraulicher Daten per - Kein vertraulicher Druck - Mitarbeiter sind der zentrale Punkt im Sicherheitsprozess MA 7 MA 8 MA 6 MA 1 MA 5 MA 2 MA 4 MA 3

48 Beispiel für Auswertung Mitarbeiter II - Durchführung von - regelmäßigen Unterweisungen - Schulungen - Änderungen an Systemen rechtzeitig bekanntmachen - Erhebliches Verbesserungspotential MA 7 MA 8 MA 1 MA 2 MA 3 Entwicklungsprognose MA 6 MA 4 MA 5

49 Beratungsergebnisse Handlungsempfehlungen Kurzfristig und mit geringem Aufwand zu realisierenden Maßnahmen Mittelfristige Unterstützung bei der Mitarbeitersensibilisierung Langfristige Maßnahmen mit Unterstützung bei der Investitionsplanung Regelmäßige (z.b. jährliche) Wiederholungsanalysen möglich PDCA-Verfahren

50 Zu guter Letzt Vielen Dank für Ihre Aufmerksamkeit! DVGW Service & Consult GmbH Josef-Wirmer-Str Bonn Kontaktdaten: Daniel Fricke Thomas Schmidt +49 (0) 228 / (0) 228 /

Aktuelles zu Kritischen Infrastrukturen

Aktuelles zu Kritischen Infrastrukturen Aktuelles zu Kritischen Infrastrukturen Marc Schober Bundesamt für Sicherheit in der Informationstechnik Referat 112 Kritische Infrastrukturen und IT-Sicherheitsrevision GI SECMGT Workshop, 2011-06-10

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz IT-Grundschutz-Tag 09.10.2013

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2014 20.03.2014

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun?

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun? Dipl.-Wirtsch.-Ing. Frank Hallfell Dipl.-Ing.(FH) Günther Orth enbiz gmbh, Kaiserslautern Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun? IT-Tag Saarbrücken, 16.10.2015

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

IS-Revision in der Verwaltung

IS-Revision in der Verwaltung IS-Revision in der Verwaltung Dr. Gerhard Weck INFODAS GmbH, Köln 27. November 2009 Inhalt Nationaler Plan zur Sicherung der Informationsinfrastrukturen (NPSI) Umsetzungsplan KRITIS Umsetzungsplan Bund

Mehr

ESN expert-veranstaltung Krisenmanagement im EVU

ESN expert-veranstaltung Krisenmanagement im EVU ESN expert-veranstaltung Krisenmanagement im EVU Krisenmanagement und ISMS Erfurt, 17.06.2015 Schlagworte ISMS- Energiewirtschaftsgesetz IT-Sicherheit BSI-Grundschutzkataloge Krisenmanagement Informationssicherheitsmanagementsystem

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke Vorstellung - Ihr Referent Prof. Dr. Thomas Jäschke Professor für Wirtschaftsinformatik an der FOM Hochschule für Oekonomie & Management

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

AV-TEST. Sicherheitslage Android

AV-TEST. Sicherheitslage Android AV-TEST Sicherheitslage Android Sicherheitslage Android 1 SICHERHEITSLAGE ANDROID MEHR ALS 30 IT-SPEZIALISTEN MEHR ALS 15 JAHRE EXPERTISE IM BEREICH ANTIVIREN-FORSCHUNG UNTERNEHMENSGRÜNDUNG 2004 EINE DER

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 1. IT-Grundschutz-Tag 2013 27.02.2013 Inhalte

Mehr

TeleTrusT Bundesverband IT-Sicherheit e.v.

TeleTrusT Bundesverband IT-Sicherheit e.v. TeleTrusT Bundesverband IT-Sicherheit e.v. TeleTrusT-Workshop "Industrial Security" 2015 München, 11.06.2015 ICS Security Kompendium und industriespezifische Konzepte und Technologien zur Separierung /

Mehr

Eckpunkte IT-Sicherheitsgesetz (Leseprobe / Auszug) Rechtsberatung. Steuerberatung. Luther.

Eckpunkte IT-Sicherheitsgesetz (Leseprobe / Auszug) Rechtsberatung. Steuerberatung. Luther. Eckpunkte IT-Sicherheitsgesetz (Leseprobe / Auszug) Rechtsberatung. Steuerberatung. Luther. Timeline Entwurf IT-Sicherheitsgesetz (1/3) 5.3.2013 7.7.2013 18.3.2014 4.11.2014 Entwurf BMI KPMG-Studie im

Mehr

IT-Sicherheit betrifft alle

IT-Sicherheit betrifft alle IT-Sicherheit betrifft alle Vorgehensweise nach IT-Grundschutz Angelika Jaschob Bundesamt für Sicherheit in der Informationstechnik Das BSI... ist eine unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015 ITK Sicherheitsgesetz Umsetzung mit verinice.pro verinice.xp- Grundschutztag 15.09.2015 Überblick Kurze Vorstellung des IT-Sicherheitsgesetzes Konkretisierung des Gesetzes für Energieversorger Abbildung

Mehr

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

Informationssicherheit (k)eine Frage für Ihr Unternehmen? Ziele Informationssicherheit (k)eine Frage für Ihr Unternehmen? SSV bei connect Schnelligkeit, Sicherheit, Verfügbarkeit Vortrag von Ingrid Dubois, dubois it-consulting gmbh Informationssicherheit: Ziele

Mehr

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen Marc Schober Bundesamt für Sicherheit in der Informationstechnik Referat 112 Kritische Infrastrukturen und IT-Sicherheitsrevision Bundesamt

Mehr

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE Alternative Ansätze im Sicherheitsmanagement Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz IT-Grundschutz modellieren modellieren Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz / Überblick IT- Grundschutzhandbuch (GSHB) betrachtet im Allgemeinen folgende Merkmale: Infrastruktur

Mehr

Carsten Eilers www.ceilers-it.de. Der erste Cyberwar hat begonnen

Carsten Eilers www.ceilers-it.de. Der erste Cyberwar hat begonnen Carsten Eilers www.ceilers-it.de Der erste Cyberwar hat begonnen Stuxnet Juni 2010 USB-Wurm verbreitet sich über 0-Day- Schwachstelle in Windows: Stuxnet ("Shortcut-Lücke") Ziel der Angriffe: SCADA-Systeme

Mehr

Amtliches Mitteilungsblatt

Amtliches Mitteilungsblatt Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen. Marco Puschmann

Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen. Marco Puschmann Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen Marco Puschmann Agenda Kurzportrait HannIT (AöR) Das Personenstandswesen Daten Gesetzliche Rahmenbedingungen (PStV) technische

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2013 09.10.2013 Agenda

Mehr

IT-Sicherheitsgesetz:

IT-Sicherheitsgesetz: IT-Sicherheitsgesetz: Neue Herausforderungen für Unternehmen und Behörden Rechtsanwalt Thomas Feil Fachanwalt für IT-Recht und Arbeitsrecht Datenschutzbeauftragter TÜV Thomas Feil 09/2015 1 Thomas Feil

Mehr

Kritische Infrastrukturen in Deutschland

Kritische Infrastrukturen in Deutschland Kritische Infrastrukturen in Deutschland Vortrag Kathrin Stolzenburg anlässlich der 3. Göttinger Tagung zu aktuellen Fragen zur Entwicklung der Energieversorgungsnetze 12. 13. Mai 2011, Paulinerkirche

Mehr

Cyber-Sicherheit als Herausforderung für Staat und Gesellschaft

Cyber-Sicherheit als Herausforderung für Staat und Gesellschaft Cyber-Sicherheit als Herausforderung für Staat und Gesellschaft 95. AFCEA-Fachveranstaltung: Herausforderung Cyber-Sicherheit / 19.11.2012 Gliederung des Vortrags Cyber-Sicherheit: Aktuelle Die aktuelle

Mehr

6. Petersberg-Regulierungs-Konferenz Cybersicherheit und globale Bedrohung Was kann Regulierung leisten?

6. Petersberg-Regulierungs-Konferenz Cybersicherheit und globale Bedrohung Was kann Regulierung leisten? 6. Petersberg-Regulierungs-Konferenz Cybersicherheit und globale Bedrohung Was kann Regulierung leisten? Europa: Entwurf einer Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit

Mehr

Cyberraum und Cybersicherheit: eine neue politische Dimension

Cyberraum und Cybersicherheit: eine neue politische Dimension Cyberraum und Cybersicherheit: eine neue politische Dimension Michael Hange Präsident des Bundesamtes für Sicherheit in der Informationstechnik Internationaler Club La Redoute, 26. Mai 2014 IT = Alltag

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Brauchen wir wirklich soviel Datenschutz und IT-Sicherheit? 23.09.2015 Sicherheitskooperation Cybercrime

Brauchen wir wirklich soviel Datenschutz und IT-Sicherheit? 23.09.2015 Sicherheitskooperation Cybercrime Brauchen wir wirklich soviel Datenschutz und IT-Sicherheit? 23.09.2015 Sicherheitskooperation Cybercrime www.s-con.de 1 Referent Michael J. Schöpf michael.schoepf@s-con.de +49 171 3241977 +49 511 27074450

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2013 13.06.2013 Agenda

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme. 2015 IPS GmbH

IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme. 2015 IPS GmbH IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme Inhalt Zur Relevanz von ISMS für EVUs Übersicht Kritische Infrastrukturen 11 EnWG BSI-Standards 100-x Was ist ein ISMS? Unterstützung

Mehr

BSI-Standard 100-4. der neue deutsche Standard zum Notfallmanagement. Dr. Marie-Luise Moschgath

BSI-Standard 100-4. der neue deutsche Standard zum Notfallmanagement. Dr. Marie-Luise Moschgath BSI-Standard 100-4 der neue deutsche Standard zum Notfallmanagement Dr. Marie-Luise Moschgath Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Das BSI Das

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

Dieter Börner Management-Service. Quelle : Bundesamt für Sicherheit in der Informationstechnik

Dieter Börner Management-Service. Quelle : Bundesamt für Sicherheit in der Informationstechnik Dieter Börner Management-Service Am Bahnhof 12 96328 Küps Tel. 09264 91323 Fax 09264 91324 Das Informationssicherheits- Managementsystem nach ISO/IEC 27001 Informationstechnik - IT-Sicherheitsverfahren

Mehr

Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht

Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht Jörg Kehrmann Datenschutz- und IT-Sicherheitsbeauftragter der Wuppertaler Stadtwerke

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

IT-Beauftragter der Bayerischen Staatsregierung IT-Sicherheitsstrukturen in Bayern

IT-Beauftragter der Bayerischen Staatsregierung IT-Sicherheitsstrukturen in Bayern IT-Sicherheitsstrukturen in Bayern Dr. Andreas Mück Agenda 1. Technische Rahmenbedingungen 2. Sicherheitsorganisation 3. Leitlinie zur IT-Sicherheit 4. Aktuelle Projekte Bayerisches Staatsministerium der

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Digitalisierungsprozesse sicher gestalten - Die Perspektive des BSI

Digitalisierungsprozesse sicher gestalten - Die Perspektive des BSI Digitalisierungsprozesse sicher gestalten - Die Perspektive des BSI Oliver Klein Referat Informationssicherheit und Digitalisierung Bundesamt für Sicherheit in der Informationstechnik (BSI) Rüsselsheim,

Mehr

Ausblick und Diskussion

Ausblick und Diskussion Ausblick und Diskussion Isabel Münch Bundesamt für Sicherheit in der Informationstechnik Sicherheitsmanagement und IT-Grundschutz IT-Grundschutz-Tag 04.05.2011 Agenda Allgemeine Weiterentwicklung IT-Grundschutz

Mehr

Neu erstellen!!! Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter

Neu erstellen!!! Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter und Nutzung der Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter Neu erstellen!!! I3 - Gruppe IT-Sicherheit und Cyber Defence IT-Sicherheit in der Folie 1 und Nutzung in der Bundesamt

Mehr

IT Sicherheit in Kritischen Infrastrukturen

IT Sicherheit in Kritischen Infrastrukturen IT Sicherheit in Kritischen Infrastrukturen Forschungsansätze zur ganzheitlichen Risikobewertung Dipl. oec. Michael Sparenberg Institut für Internet-Sicherheit if(is) Westfälische Hochschule Gelsenkirchen

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

BSI-Standard 100-4 Notfallmanagement

BSI-Standard 100-4 Notfallmanagement BSI-Standard 100-4 Notfallmanagement Isabel Münch Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Dr. Marie-Luise Moschgath PricewaterhouseCoopers AG Folie

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Das Krankenhaus als Kritische Infrastruktur

Das Krankenhaus als Kritische Infrastruktur Das Krankenhaus als Kritische Infrastruktur Beitrag zur Session Gesundheitsversorgung als Kritische Infrastruktur BBK. Gemeinsam handeln. Sicher leben. erysipel_pixelio Das BBK und der Schutz KRITIS -Gründung

Mehr

ein Service von Initiative S - der Webseiten-Check für kleine und mittelständische Unternehmen

ein Service von Initiative S - der Webseiten-Check für kleine und mittelständische Unternehmen Initiative S - der Webseiten-Check für kleine und mittelständische Unternehmen Die Initiative S ist ein Projekt von eco Verband der deutschen Internetwirtschaft, das vom Bundesministerium für Wirtschaft

Mehr

Die Senatorin für Finanzen. Vortrag

Die Senatorin für Finanzen. Vortrag Vortrag Nationaler Plan zum Schutz der Informationsinfrastrukturen Ressortübergreifend abgestimmte IT- Sicherheitsstrategie für Deutschland Drei strategische Ziele Prävention: Informationsinfrastrukturen

Mehr

Das IT-Sicherheitsgesetz

Das IT-Sicherheitsgesetz Das IT-Sicherheitsgesetz RA Dr. Jan K. Köcher Syndikus DFN-CERT Services GmbH koecher@dfn-cert.de Hintergrund/Ziele IT-Sicherheitsgesetz vom 17.7.2015 Änderungen: BSIG, TKG, TMG, AtomG... Ziele: Erhöhung

Mehr

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutz Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutzhandbuch Agenda Ziel der IT-Sicherheit Das IT-Grundschutzhandbuch Umsetzung des IT-Grundschutzhandbuchs Ausbaustufen

Mehr

3 Juristische Grundlagen

3 Juristische Grundlagen beauftragter - Grundlagen Ziele: Einführung in das recht Kennen lernen der grundlegenden Aufgaben des beauftragten (DSB) Praxishinweise für die Umsetzung Inhalte: Ziele des es Zusammenarbeit mit Datensicherheit/IT-Sicherheit

Mehr

Cyber SECURITY@Deutsche Telekom Thomas Tschersich, SVP Group Cyber- and Datasecurity

Cyber SECURITY@Deutsche Telekom Thomas Tschersich, SVP Group Cyber- and Datasecurity Cyber SECURITY@Deutsche Telekom Thomas Tschersich, SVP Group Cyber- and Datasecurity BEISPIELE WELTWEIT ERFOLGREICHER CYBER- ANGRIFFE JEDES UNTERNEHMEN IST EIN MÖGLICHES OPFER Diverse Rechner von internen

Mehr

(IT-) Notfallmanagement. gemäß BSI-Standard 100-4. Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH

(IT-) Notfallmanagement. gemäß BSI-Standard 100-4. Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH Kammer-Workshop 2014 (IT-) Notfallmanagement gemäß BSI-Standard 100-4 Vorschlag: Screenshot-Folie (auch unter den Masterfolien angelegt) Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH Agenda

Mehr

IT-Sicherheitsmanagement als Unterstützung des DSB

IT-Sicherheitsmanagement als Unterstützung des DSB IT-Sicherheitsmanagement als Unterstützung des DSB Frank Reiländer, Berater IT-Sicherheit/Datenschutz - Lizenzierter IT-Grundschutz-Auditor des BSI - INFODAS GmbH, Rhonestr. 2, 50765 Köln (0221) 70912-85

Mehr

Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse

Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse Verfasser: BSI Ref. 113 Version: 1.0 Stand: 26. Januar 2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20

Mehr

IT-Grundschutz praktisch im Projekt Nationales Waffenregister

IT-Grundschutz praktisch im Projekt Nationales Waffenregister IT-Grundschutz praktisch im Projekt Nationales Waffenregister Günther Ennen Bundesamt für Sicherheit in der Informationstechnik 19. Berliner Anwenderforum E-Government am 19. und 20. Februar 2013 Fachforum

Mehr

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen, IDEAS Übersicht # 1 Einleitung # 2 IT-Sicherheit wozu denn? # 3 IT-Sicherheit die Grundpfeiler # 4 IT-Sicherheit ein

Mehr

Sicherheitsnachweise für elektronische Patientenakten

Sicherheitsnachweise für elektronische Patientenakten Copyright 2000-2011, AuthentiDate International AG Sicherheitsnachweise für elektronische Patientenakten Christian Schmitz Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 2 Systemziele

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

Sozioökonomische Dienstleistungsinfrastrukturen

Sozioökonomische Dienstleistungsinfrastrukturen Das IT-Sicherheitsgesetz Am 12. Juni 2015 hat der deutsche Bundestag in 2. und 3. Lesung das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) beschlossen. Die Zustimmung

Mehr

IT-Sicherheitsmanagement bei der Landeshauptstadt München

IT-Sicherheitsmanagement bei der Landeshauptstadt München IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung

Mehr

Risikoanalyse mit der OCTAVE-Methode

Risikoanalyse mit der OCTAVE-Methode Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte

Mehr

Sicherheit in und für Deutschland

Sicherheit in und für Deutschland Sicherheit in und für Deutschland Isabel Münch Bundesamt für Sicherheit in der Informationstechnik Sicherheitsmanagement und IT-Grundschutz Agenda Überblick BSI BSI-Lagebericht 2011 Sicherheit ist mehr

Mehr

IT-Sicherheit Wie ist es um Ihre IT-Sicherheit bestellt? 04.06.2014 Daniel Onnebrink

IT-Sicherheit Wie ist es um Ihre IT-Sicherheit bestellt? 04.06.2014 Daniel Onnebrink IT-Sicherheit Wie ist es um Ihre IT-Sicherheit bestellt? 04.06.2014 Daniel Onnebrink Aktuelle Meldungen zum Thema IT-Sicherheit 2 IT-Sicherheitsniveau in kleinen und mittleren Unternehmen (September 2012)

Mehr

CYBER SECURITY@DEUTSCHE TELEKOM DR. MARKUS SCHMALL

CYBER SECURITY@DEUTSCHE TELEKOM DR. MARKUS SCHMALL CYBER SECURITY@DEUTSCHE TELEKOM DR. MARKUS SCHMALL BEISPIELE WELTWEIT ERFOLGREICHER CYBER-ANGRIFFER JEDES UNTERNEHMEN IST EIN MÖGLICHES OPFER Diverse Rechner von internen Softwareentwicklern wurden infiziert

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 1. IT-Grundschutz-Tag 2013 27.02.2013 Inhalte

Mehr

Musterprozesse für das Datenschutzmanagement

Musterprozesse für das Datenschutzmanagement Musterprozesse für das Datenschutzmanagement Dr. Martin Meints Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein ULD61@datenschutzzentrum.de Was kann modernes Datenschutzmanagement von Qualitätsmanagement,

Mehr

Cybersicherheit als Wettbewerbsvorteil und Voraussetzung wirtschaftlichen Erfolgs

Cybersicherheit als Wettbewerbsvorteil und Voraussetzung wirtschaftlichen Erfolgs Cybersicherheit als Wettbewerbsvorteil und Voraussetzung 9. Dezember 2014 1 Gliederung I. Digitale Risiken Reale Verluste II. Cybersicherheit als Business Enabler III. Konsequenzen für die deutsche Software

Mehr

Michael Grünschloß - Geschäftsführer der Teraport GmbH -

Michael Grünschloß - Geschäftsführer der Teraport GmbH - IT-Betriebsverantwortung durch externe Spezialisten Wie Managed Services dem Mittelstand helfen, die eigenen Strategien umzusetzen Michael Grünschloß - Geschäftsführer der Teraport GmbH - Regulatorische

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

Test GmbH Test 123 20555 Hamburg Hamburg

Test GmbH Test 123 20555 Hamburg Hamburg Test GmbH Test 123 20555 Hamburg Hamburg 29.07.2015 Angaben zum Unternehmen Unternehmensdaten Unternehmen Test GmbH Adresse Test 123 20555 Hamburg Hamburg Internetadresse http://www.was-acuh-immer.de Tätigkeitsangaben

Mehr

IT-Sicherheitsgesetz und IT- Sicherheitskatalog Anforderungen an Betreiber kritischer Infrastrukturen

IT-Sicherheitsgesetz und IT- Sicherheitskatalog Anforderungen an Betreiber kritischer Infrastrukturen IT-Sicherheitsgesetz und IT- Sicherheitskatalog Anforderungen an Betreiber kritischer Infrastrukturen 5. Fachtagung Infrastruktursicherheit des KKI e. V. IT-SICHERHEIT UND KRITISCHE I NFRASTRUKTUREN 10.

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 11. Kommunales IuK-Forum

Mehr

Stuxnet eine Einführung. Thomas Reinhold reit@hrz.tu-chemnitz.de

Stuxnet eine Einführung. Thomas Reinhold reit@hrz.tu-chemnitz.de Stuxnet eine Einführung Thomas Reinhold reit@hrz.tu-chemnitz.de Gliederung des Vortrags Zum Begriff Cyberspace Typen und Klassifikationen von Schadsoftware Das Konzept SCADA Stuxnet Die wichtigsten Ereignisse

Mehr

Informationstechnik in der Prozessüberwachung und -steuerung. Grundsätzliche Anmerkungen

Informationstechnik in der Prozessüberwachung und -steuerung. Grundsätzliche Anmerkungen Informationstechnik in der Prozessüberwachung und -steuerung Grundsätzliche Anmerkungen Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 95820 E-Mail: ics-sec@bsi.bund.de

Mehr

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de Security Excellence Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information

Mehr

ISMS bei DENIC. Boban Krsic (Information Security Officer) Berlin, den 14. Februar 2014

ISMS bei DENIC. Boban Krsic (Information Security Officer) Berlin, den 14. Februar 2014 ISMS bei DENIC Boban Krsic (Information Security Officer) Berlin, den 14. Februar 2014 Agenda Kurzvorstellung DENIC eg ISMS bei DENIC Entwicklung des ISMS bei DENIC Risikomanagement im Bereich Information

Mehr

2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen

2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen Stellungnahme des Gesamtverbandes der Deutschen Versicherungswirtschaft ID-Nummer 6437280268-55 sowie des Verbandes der Privaten Krankenversicherung zum Referentenentwurf des Bundesministeriums des Innern

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit Informationssicherheitsmanagement BSI- Grundschutz in der Praxis Informationssicherheit nach BSI-Grundschutz und ISO 27001 im Praxisvergleich Cyber Akademie

Mehr

Datenschutz und IT-Grundschutz für Museen

Datenschutz und IT-Grundschutz für Museen Datenschutz und IT-Grundschutz für Museen MusIS-Nutzertreffen Staatsgalerie Stuttgart 21.04.2009 2009 Volker Conradt, BSZ Definition: Datenschutz und IT-Grundschutz Datenschutz ( 1 Bundesdatenschutzgesetz

Mehr

Compliance mit dem IEM Endpoint Manager durchsetzen

Compliance mit dem IEM Endpoint Manager durchsetzen Compliance mit dem IEM Endpoint Manager durchsetzen PPPvorlage_sxUKMvo-05.00.potx santix AG Mies-van-der-Rohe-Straße 4 80807 München www.santix.de santix AG 2 Sicherheit in der IT Was bedeutet Sicherheit

Mehr

Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie -Einrichten eines IT-Sicherheitsmanagements

Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie -Einrichten eines IT-Sicherheitsmanagements Cloud Security (Minimal-)vorgaben des BSI Kai Wittenburg, Geschäftsführer & ISO27001-Auditor (BSI) neam IT-Services GmbH Vorgehensweise Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie

Mehr

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT STEINBUCH CENTRE FOR COMPUTING - SCC KIT University of the State of Baden-Wuerttemberg and National Research

Mehr