Der IT Security Manager

Größe: px
Ab Seite anzeigen:

Download "Der IT Security Manager"

Transkript

1 Der IT Security Manager von Klaus Schmidt 1. Auflage Der IT Security Manager Schmidt schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG Hanser München 2006 Verlag C.H. Beck im Internet: ISBN Inhaltsverzeichnis: Der IT Security Manager Schmidt

2 Der IT Security Manager Klaus Schmidt ISBN Leseprobe Weitere Informationen oder Bestellungen unter sowie im Buchhandel

3 6 6 Sicherheit definieren und vorgeben Prinzipiell gibt es zwei Vorgehensweisen, um Sicherheit in der Informationstechnik zu erreichen: Entweder man definiert einen Zielzustand und arbeitet unabhängig vom IST-Zustand an der Umsetzung dieses Zielzustands (Top-down-Vorgehen), oder man geht vom IST-Zustand aus und verbessert unabhängig von einem Zielzustand kontinuierlich die Sicherheitssituation (Bottom-up-Vorgehen). In der Praxis findet sich oft eine Kombination von beiden Vorgehensweisen. Das vorliegende Kapitel widmet sich dem Top-down-Vorgehen. In seinem Vorhaben, die Informationssicherheit im Unternehmen zu definieren und vorzugeben, steht der Security Manager u.a. vor folgenden Aufgaben: Ziele für den Bereich Security setzen Umsetzung der Ziele planen Maßnahmen durchsetzen Fachliche Sicherheitsziele festlegen Sicherheitsstrategie entwickeln Zielzustand definieren Regeln aufstellen Für ein erfolgreiches Top-down-Vorgehen ist entscheidend, dass der Security Manager die Methodik der Ziel- und Umsetzungsplanung anwenden kann. Aus diesem Grund soll dieser Bereich nun näher betrachtet werden. 6.1 Von der Zielsetzung zur Umsetzung Wer das Ziel nicht kennt, kann den Weg nicht finden diese Weisheit von Hans Domizlaff gilt auch für den Sicherheitsmanager. Von ihm wird nämlich erwartet, dass er klare Vorstellungen in seinem Bereich entwickelt und auch in der Lage ist, diese zu verwirklichen. Basis dafür ist die Zielplanung, die nun näher betrachtet werden soll. 83

4 6 Sicherheit definieren und vorgeben Zielhierarchie Als Sicherheitsmanager sehen Sie sich mit verschiedenen Herausforderungen konfrontiert. Zum einen werden Erwartungen von außen an Sie herangetragen (z.b. vom IT-Bereich oder der Geschäftsführung), zum anderen sind innerhalb des Top-down-Vorgehens eigene Zielsetzungen zu definieren, die zu einer optimalen Informationssicherheit führen sollen. Wie in Kapitel 3 schon dargestellt wurde, bedeutet optimale Sicherheit aber nicht, das höchstmögliche Sicherheitsniveau zu erreichen, sondern eine dem Schutzbedarf angemessene und damit wirtschaftliche Sicherheit. Die Erwartungen und Ziele sind teilweise gleichgerichtet, teilweise konkurrieren sie miteinander. Aufgabe des Sicherheitsmanagers ist es, die Gemengelage von Zielen und die möglichen Zielkonflikte zu betrachten und daraus eine Sicherheitsstrategie zu entwickeln. Zunächst sollten Sie sich einen Gesamtüberblick über die Zielsituation verschaffen, auch wenn dies auf den ersten Blick bürokratisch erscheint. Dies geschieht in der Regel in mehreren Schritten: 1. Sammlung der Ziele Die Einzelziele werden formuliert und gesammelt. Es wird entschieden, welche Ziele betrachtet werden sollen und welche nicht (Abgrenzung). 2. Kategorisierung der Ziele Die Ziele werden zu sinnvollen Einheiten zusammengefasst. Hier sind verschiedene Strukturierungen denkbar. Eine Möglichkeit zeigt Abbildung Aufbau der Zielhierarchie Die Zielhierarchie führt die gruppierten Ziele in einer Baumstruktur zu einem Gesamtbild, der Zielsituation, zusammen. Dabei ergeben sich Ober- und Unterziele. Oben in der Zielhierarchie stehen recht unscharfe Ziele, während sich weiter unten die operativen Ziele finden. Schließlich werden existierende Zielkonflikte gekennzeichnet und die Ziele priorisiert. Die Zielhierarchie dient dem Sicherheitsmanager als Orientierung, um Schwerpunkte zu identifizieren und das Handeln auf die Zielsetzungen und ihre Erfüllung hin auszurichten. Als Sicherheitsmanager müssen Sie sich immer fragen: Bringt uns das, was wir gerade tun, unseren Zielen näher? Ziele des Bereichs IT-Sicherheit Sicherheitsziele (fachlich) technische Ziele organisatorische Ziele Prozessziele strategische Ziele Qualitätsziele (fachlich) Effektivitätsziele operative Ziele methodische Ziele Effizienzziele Vorgehensziele Unternehmensziele Abteilungsziele persönliche Ziele Imageziele Kostenziele Abbildung 6.1: Bildung von Zielkategorien Sicherheitsstrategie 84

5 6.1 Von der Zielsetzung zur Umsetzung Zielformulierung Ziele lassen sich in grundsätzliche und operative Ziele trennen. Die operativen Ziele stellen die Leitlinie für das konkrete Handeln dar. Im Gegensatz zu den grundsätzlichen Zielen müssen sie so formuliert werden, dass eine Zielüberprüfung möglich ist. Je operativer die Ziele sind, desto feiner, konkreter und kurzfristiger werden sie formuliert. Bewährt hat sich dafür der SMART-Ansatz. Hier beschreibt jeder Buchstabe im Wort SMART eine Eigenschaft, welche die Zielformulierung besitzen sollte: Specific Measureable Accountable Realistic Time based Das Ziel muss möglichst präzise formuliert werden. Dabei wird es so beschrieben, als ob es schon erreicht wäre (Zielzustand). Falsch: Wir wollen die Kontrolle der Umsetzung verbessern. (zu grundsätzlich) Richtig: Wir haben jeden Montag von 09:00-10:00 Uhr ein Statusmeeting. Das Ziel muss messbar formuliert werden, um die Zielerreichung feststellen zu können. Falsch: Wir steigern die Vertraulichkeit. Richtig: 80% aller Arbeitsplätze verfügen über Verschlüsselungssoftware. Es muss deutlich sein, wer für das Ziel verantwortlich ist bzw. für wen das Ziel gilt. Falsch: Wir bringen neue Ideen für die Netzwerksicherheit ein. Richtig: Frau Kress sammelt Verbesserungsvorschläge für die Netzwerksicherheit. Das Ziel muss realistisch und erreichbar sein, sonst demotiviert es nur. Falsch: Jeder Server ist gegen alle Computerviren geschützt. Richtig: Auf jedem Server wird ein aktueller Virenscanner betrieben. Jedes Ziel sollte einen Zeitraum besitzen, in dem es erreicht werden soll. Falsch: Alle Netzzugänge sind mit einer Firewall geschützt. Richtig: Bis zum sind alle Netzzugänge mit einer Firewall geschützt. In Ergänzung des SMART-Ansatzes sollten Ziele noch drei weitere Eigenschaften besitzen: Akzeptabel Herausfordernd Legal Das Ziel sollte erstrebenswert sein, man sollte sich mit dem Ziel identifizieren können. Falsch wäre z.b. ein Ziel, das gegen ethische, moralische oder religiöse Überzeugungen verstößt. Das Ziel sollte eine Anstrengung notwendig machen. Das Ziel Bis zum Jahresende sind 300 Rechner mit Verschlüsselungssoftware ausgestattet wäre falsch gewählt, wenn es März ist und 295 Rechner bereits darüber verfügen. Es sollte selbstverständlich sein, dass das Ziel nicht gegen Gesetze und Vorschriften verstoßen darf. Bsp.: Alle Telefongespräche werden unbemerkt aufgezeichnet. Die Zielformulierung sollte die Form eines schriftlichen Dokuments aufweisen. Die Zielsituation kann beschreibend als Vision dargestellt werden, was bei längerfristigen Zielen häufig der Fall ist. Es kann auch nützlich sein, die Zielsituation komprimiert in einem so genannten Mission Statement zusammenzufassen. Das Mission Statement drückt dabei in wenigen Sätzen die wichtigsten Leitlinien und Zielsetzungen aus. Man setzt Mission State- 85

6 6 Sicherheit definieren und vorgeben ments oft dort ein, wo der Faktor Motivation eine große Rolle spielt. Bei Teamzielen wird das Mission Statement manchmal auch gemeinsam unterschrieben, um die Willenserklärung zu bekräftigen Umsetzungsplanung Mit der Zielplanung allein ist es nicht getan. Die Ziele müssen auch umgesetzt werden. Hierzu sind mehrere Schritte nötig: 1. Hinterfragen der Ziele Liegt die Zielformulierung schon länger zurück, oder wurden die Ziele nicht selbst formuliert, sondern vorgegeben, so sind sie zunächst zu hinterfragen: a) Ist das Ziel noch aktuell, oder ist es schon veraltet und überholt? b) Ist das Ziel noch immer erreichbar? 2. Vorstellen des Zielzustands Den Zielzustand (Idealzustand) sollte man sich so plastisch wie möglich vor Augen führen. Wie sieht die Situation dann aus? Welche positiven, aber auch negativen Aspekte hat die Zielerreichung? Erscheint bei einer Abwägung der Vor- und Nachteile das Ziel noch immer erstrebenswert? 3. Voraussetzungen und Mittel festlegen Was benötigt man, um das Ziel zu erreichen? Geld? Zeit? Hilfe? Material? Die Erfüllung eines anderen Ziels? Macht? Wie könnten diese Voraussetzungen geschaffen bzw. die Mittel besorgt werden? 4. Stärken und Schwächen analysieren Wo muss ich mir keine Gedanken machen? Wo könnte es schwierig werden? Habe ich eine Strategie und/oder einen Plan B für die schwierigen Punkte? 5. Roadmap erstellen Die Ziele sollten zunächst priorisiert werden, um die wichtigen Ziele vorrangig angehen zu können. Meilensteine, Phasen und Zwischenziele sind zu definieren, wenn die Strecke zwischen bestehendem und Zielzustand groß ist. Aufgaben und Einzelschritte müssen inhaltlich und zeitlich geplant werden, und auch die Fortschrittskontrolle darf nicht fehlen. Der letzte Schritt leitet schon über in umsetzungsbegleitende Verfahren wie z.b. das Projektmanagement. 6.2 Sicherheitsstrategien Viele Wege führen nach Rom. Dieses Sprichwort gilt modifiziert auch für die Informationssicherheit: Auf vielen verschiedenen Wegen lässt sich der festgelegte Sicherheitsgrad erreichen. In unserem Umfeld bezeichnet man diese Wege als Sicherheitsstrategien oder Sicherheitsphilosophien. 86

7 6.2 Sicherheitsstrategien Eine Sicherheitsstrategie legt fest, wie die erforderliche Sicherheit im Unternehmen so zu erzielen ist, dass sie zum Unternehmen passt und im Unternehmen lebbar und durchsetzbar ist. Damit sind Sicherheitsstrategien u.a. abhängig von: der Unternehmensgröße; den in der Zielplanung gefundenen Zielsetzungen; der Art, wie das Unternehmen denkt ; den gewachsenen, historischen Strukturen, Denkweisen und Traditionen; modernen Best-practice-Ansätzen. Es gibt eine Vielzahl von Sicherheitsstrategien, von denen hier exemplarisch vier Varianten vorgestellt werden sollen Strategie der chinesischen Mauer Diese Strategie, die oft auch unter dem entsprechenden englischen Begriff Chinese Wall zu finden ist, geht davon aus, dass die Bedrohung für die Sicherheit des Unternehmens von außen kommt. Innerhalb des Unternehmens besteht bei dieser Strategie eine Domain of trust, d.h. man vertraut einander intern und ergreift zwischen internen Instanzen wie Mitarbeitern, Abteilungen usw. keine großen Sicherheitsmaßnahmen. Wie der Name schon andeutet, wird um das Unternehmen herum eine große Mauer gebaut, die Sicherheitsmaßnahmen konzentrieren sich auf die Schnittstellen zwischen dem Unternehmen und der Außenwelt. Somit gewinnen Funktionsbereiche wie die Warenannahme oder der Pförtnerdienst an Bedeutung, sie sind für die Sicherheit entscheidend Strategie der Prozess-basierten Sicherheit Das Konzept der Prozess-basierten Sicherheit geht davon aus, dass es in einem Unternehmen eine Vielzahl von Prozess-Strängen gibt, die parallel zueinander durch das Unternehmen laufen. Im Gegensatz zur Chinese Wall -Strategie verkleinert sich die Domain of trust auf alle internen Instanzen (Abteilungen, Arbeitsgruppen) eines einzelnen Prozesses. Innerhalb eines Prozesses gibt es Informationen, die erhoben, ausgetauscht und gespeichert werden müssen. Diese Informationen dürfen nur denjenigen zugänglich sein, die am Prozess beteiligt sind ( Need to know-prinzip ), d.h. ein Mitarbeiter verfügt nur über die für seine Funktion in dem jeweiligen Prozess benötigten Informationen Sicherheit von innen nach außen Bei dieser Strategie gibt es keine Domain of trust mehr. Jede Information ist ein schützenswertes Gut, unabhängig davon, in welchem Prozess die Information genutzt wird. Jede interne Instanz ist potenziell für diesen Schutz zuständig, unabhängig davon, welche Informationen in dieser Instanz genutzt werden. Dies bedeutet, dass auch innerhalb einer Arbeitsgruppe jeder seine Informationen gegen jeden anderen Kollegen schützt. Es bedeutet aber auch, dass dadurch jeder Mitarbeiter jedem Kollegen indirekt misstraut. 87

8 6 Sicherheit definieren und vorgeben Der Schutz der Informationen wird bei dieser Strategie möglichst nahe an der Information selbst organisiert. Beispiel: Die Information befindet sich auf einer DVD im Aktenschrank. Sicherheit von außen nach innen würde nun zuerst das Gelände schützen, dann das Gebäude, den Raum und den Schrank. Sicherheit von innen nach außen schützt zuerst die Information auf der DVD (Verschlüsseln der Information) und erst dann den Schrank, den Raum usw Sicherheit durch Eigentümerschaft Es wird ein Eigentümer (Owner) für jede schützenswerte Information benannt. Der Eigentümer ist für den Schutz dieser Information verantwortlich. Er legt zusammen mit dem Informationssicherheits-Team fest, wie hoch der Schutz sein muss und welcher Personenkreis über die Information verfügen darf. Diese Strategie, die auch unter ihrem englischen Namen Security by Ownership bekannt ist, stellt also die Verantwortung für eine bestimmte Information in den Mittelpunkt ihrer Überlegungen Auswahl der Strategie Aufgabe des Sicherheitsmanagers ist es, eine geeignete Strategie auszuwählen bzw. zu formulieren. Er muss dabei die Belange des Unternehmens berücksichtigen und über die notwendige Sensibilität verfügen. Dazu ein reales Beispiel: Ein neu als Security Manager eingestellter Mitarbeiter identifizierte Wechseldatenträger (Diskette, CD, USB-Sticks) als Sicherheitsrisiko, weil mit deren Hilfe Daten auf einfache Weise unerlaubt in Systeme eingespielt werden konnten. Seine Strategie bestand nun darin, alle diese Wechselmedien zu eliminieren. Er begann damit, alle Disketten- und CD-ROM-Laufwerke ausbauen zu lassen, was einen Sturm der Entrüstung nach sich zog. Einige Wochen später wurde die Personalentscheidung zugunsten eines anderen Mitarbeiters revidiert. Das Beispiel zeigt, dass die Strategie nicht nur den Sicherheitsanforderungen genügen, sondern auch für das Unternehmen praktikabel und im Unternehmen durchsetzbar sein muss. Gerade für externe oder neue Mitarbeiter ist es oft schwer, die zu umschiffenden Klippen zu erkennen. Häufig ist es nicht offensichtlich, wo sich Widerstände formieren und welche Lobby sich gegen die Strategieinhalte bildet. Dies bestätigt, dass der Sicherheitsmanager nicht nur Sicherheitsfachmann, sondern bis zu einem gewissen Grad auch Politiker ist, der in der Lage sein muss, zu argumentieren und andere zu überzeugen. 6.3 Sicherheitspolitik Der Begriff Sicherheitspolitik wird leider mehrdeutig verwendet. Er bedeutet Folgendes: 1. Die taktische und politische Handlungsweise des Information Security Managers und des Sicherheitsteams zur Vorgabe und Durchsetzung des SOLL-Zustands für die Informationssicherheit. 88

9 6.3 Sicherheitspolitik 2. Das gesamte Regelwerk, das den SOLL-Zustand für die Informationssicherheit formuliert. 3. Das Dokument, das als Teil dieses Regelwerkes grundsätzliche Aussagen zur Informationssicherheit formuliert und so die Basis für das gesamte Regelwerk bildet Sicherheitspolitik als politische Handlungsweise Überall dort, wo Menschen zusammenleben und -arbeiten, muss es bestimmende und regulierende Kräfte geben, sonst herrscht das Chaos. Im Hinblick auf die Informationssicherheit im Unternehmen obliegt es dem Security Manager, diese bestimmende und regulierende Kraft zu sein. Er wird dabei mit den gleichen Rahmenbedingungen konfrontiert wie ein Gesellschaftspolitiker. Macht und Respekt verschaffen Der Security Manager benötigt in seinem Verantwortungsbereich die Kompetenzen und Autorität, um Dinge gestalten zu können. Besitzt er sie nicht, kann jedes Meeting, jede Budgetverhandlung zum Spießrutenlauf werden. Für ihn ist es daher sehr wichtig, sich die Rückendeckung der Geschäftsleitung (Top-Management, Vorstand, Geschäftsführer,...) zu sichern (siehe dazu auch Kapitel 11). Doch dies ist nur der formale Aspekt. Ein Sicherheitsmanager, der die Kompetenzen nur formal besitzt, aber im Unternehmen persönlich oder fachlich nicht respektiert wird (erkennbar an Aussagen wie Der ist unmöglich, Der hat doch keine Ahnung ), wird es schwer haben, seine Ziele zu verwirklichen. Dazu ein reales Beispiel: In einem großen Unternehmen war die Position des Security Managers der verlängerte Arm des Vorstands, d.h. er berichtete direkt dem Vorstand und war mit genügend Macht ausgestattet. Als der amtierende Security Manager ausschied, wurde als Nachfolger ein langjähriger Mitarbeiter und persönlicher Freund eines Vorstandsmitglieds berufen. Dieser kannte sich mit dem Thema Sicherheit nicht gut aus, diskutierte lange hin und her und setzte keine Akzente. Die Unternehmensbereiche begannen ihn zu umgehen. Zunächst versuchten sie, im Bereich Sicherheit so viel wie möglich in Eigenregie zu zu unternehmen. Statt den Security Manager über Lücken zu informieren, füllten sie diese mit eigenen Regeln und trafen eigene Entscheidungen. Später verbündeten sie sich punktuell mit anderen Autoritäten wie der IT-Revision und spielten den Security Manager gegen diese Instanzen aus. Schließlich ignorierten sie ihn einfach, er bekam vieles nicht mehr mit, die Position wurde zunehmend ausgehöhlt und verkam zu einer Dokumenten-Verwaltungstätigkeit. Argumentieren und überzeugen Die Meinung des Security Managers steht im Unternehmen oft gegen die Meinungen anderer Bereiche und Abteilungen. In der IT-Linie ist dies z.b. die IT-Administration, die IT- 89

10 6 Sicherheit definieren und vorgeben Architektur oder die IT-Leitung. Um die für die Sicherheit wichtigen Dinge zu realisieren, müssen Sie als Security Manager möglichst geschickt argumentieren und Personen überzeugen können. Folgende Aspekte sollten Sie dafür beachten: Mit wem habe ich es zu tun? Was ist meinem Gegenüber wichtig? Das ist eine der wichtigsten Fragen, die Sie als Security Manager prüfen müssen, wenn Sie den anderen für Ihren Standpunkt gewinnen wollen. Hierbei kommen im geschäftlichen Kontext drei Grundtypen von Personen vor: Der Erfolgstyp Wo er ist, soll vorne sein. Dafür ist er auch bereit, Risiken einzugehen und unkonventionelle Wege zu gehen. Dem Erfolgstyp sollten Sie alle Erfolgschancen vor Augen führen, die für ihn im jeweiligen Fall vorhanden sind (z.b. Kostensparpotenziale oder verbesserte Prozesse). Der Typ soziale Anerkennung Für ihn zählt vor allem das Urteil der anderen. Er möchte von anderen geschätzt und bewundert werden. Diesem Typ sollten Sie das erzielbare Prestige darstellen (z.b. Imageverbesserungen oder persönliche Reputation). Der Typ Sicherheit Er ist etwas ängstlich. Er möchte vor allem Fehler vermeiden und auf Nummer sicher gehen. Für ihn ist die Sicherheit wichtig (was ja genau unser Thema ist). Sie sollten ihm die Zuverlässigkeit einer Sache darstellen (z.b. höhere Ausfallsicherheit oder weniger Probleme). Diese drei Grundtypen sind natürlich Idealtypen, in der Praxis wird man meist eine Mischform antreffen. Hinzu kommen die Persönlichkeitsmerkmale, z.b. ob jemand eher introvertiert (nach innen gekehrt, zurückgezogen) oder extrovertiert (nach außen gewendet, kontaktfreudig) ist. Auch die Körpersprache, der Kleidungsstil, Mimik und Gestik sowie geäußerte Ansichten und Vorlieben helfen, das Gegenüber besser einzuschätzen. Je mehr persönliche Informationen Sie besitzen, desto besser wird Ihnen dies gelingen. Wie muss ich mein Gegenüber behandeln? Achten Sie im persönlichen Gespräch bzw. in der Diskussion auf folgende Punkte: Ein vertrauensvolles, freundliches Verhältnis schaffen Das gelingt nicht immer, besonders dann nicht, wenn die Chemie nicht stimmt. Als Security Manager müssen Sie aber so weit Profi sein, dass eine Zusammenarbeit möglich ist. Wo sind die Gemeinsamkeiten? Wie kommen Sie an ihn heran? Zuhören können, den anderen ernst nehmen und auf ihn eingehen Versuchen Sie zunächst, den anderen zu verstehen, sonst laufen Ihre Argumente unter Umständen ins Leere. Deshalb sollten Sie auch an seiner Meinung interessiert sein. Wie sieht die Welt aus seiner Sicht aus? Schlüpfen Sie mal in seine Schuhe! Takt und Fingerspitzengefühl Ein Sprichwort sagt: Im Haus des Gehängten sollte man vom Strick nicht reden. Ich 90

11 6.3 Sicherheitspolitik sollte als Security Manager möglichst in der Lage sein, Tabus, heilige Kühe, Fettnäpfchen o.ä. zu erkennen. Fallen Sie nicht mit der Tür ins Haus, und verschießen Sie Ihre argumentative Munition nicht vorschnell. Alles in allem: Halten Sie Augen und Ohren offen und beweisen Sie Fingerspitzengefühl. Den eigenen Standpunkt vertreten und die eigene Meinung fundiert belegen können Als Security Manager sollten Sie gut vorbereitet in Meetings gehen und dort nachweisen können, warum Sie Ihre Zielsetzungen, Absichten, Meinungen und Argumente als richtig und vorteilhaft ansehen. Vermeiden Sie absolute Formulierungen, wenn es sich um Einschätzungen und Meinungen handelt. Einwandbehandlung Nicht immer bekommen Sie Zustimmung zu Ihrem Standpunkt. Daher sollten Sie auf Einwände vorbereitet sein und Gegenargumente besitzen. Nehmen Sie die Einwände ernst. Auch hier gilt: Möglichst eine Win-Win-Situation herstellen und andere nicht das Gesicht verlieren lassen. Sicherheitsgrundsätze aufstellen Fachlich gesehen, besteht die Hauptaufgabe innerhalb des Top-down-Ansatzes darin, Grundsätze, Leitlinien und Anforderungen für die Informationssicherheit zu definieren und damit den SOLL-Zustand zu dokumentieren. Es muss klar definiert sein, welche grundsätzlichen Sicherheitsziele bestehen und welche Anforderungen daraus für einzelne Bereiche der Informationsverarbeitung resultieren. Dies ist die zweite Auslegung des Begriffs Sicherheitspolitik Sicherheitspolitik als Regelwerk der Sicherheit Um Verwirrung zu vermeiden, hat es sich als zweckmäßig erwiesen, den englischen Begriff Security Policy zu verwenden, wenn man darunter das für die Definition des SOLL- Zustandes erstellte Regelwerk versteht. Die Security Policy ist das tragende Element des Top-down-Sicherheitsmanagements. Sie dokumentiert die definierten Grundsätze und Leitlinien der Informationssicherheit und liefert Vorgaben für einzelne Bereiche wie Netzwerksicherheit oder Systemsicherheit. An diesem SOLL-Zustand richtet sich dann das Unternehmen im Hinblick auf die Informationssicherheit aus. Vor einigen Jahren gab es noch große Unklarheit über den Inhalt und die Struktur einer Security Policy, und auch heute existieren weiterhin unterschiedliche Vorstellungen. Einen einheitlichen Standard hierfür gibt es nicht, auch wenn sich zunehmend das Dreistufen- Modell durchsetzt. Mittlerweile besitzen die meisten Großunternehmen eine Art von Security Policy. Die Problematik besteht damit oft nicht mehr im Fehlen der Security Policy, sondern darin, dass die Security Policy ungeeignet ist oder nicht zum Unternehmen passt (in einigen Fällen haben Sicherheitsmanager die Security Policy eines fremden Unternehmens einfach kopiert und 91

12 6 Sicherheit definieren und vorgeben übernommen). Schwierigkeiten bereitet es auch, die Inhalte der Security Policy in das Unternehmen zu tragen, dort lebbar zu machen und die Einhaltung zu überwachen. Dreistufen-Modell für die Sicherheitspolitik In der Praxis hat sich ein Stufen-basiertes Modell für die Sicherheitspolitik bewährt. Ein solcher Ansatz wird unter anderem auch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützt. Eines der gebräuchlichsten Stufenmodelle für eine Sicherheitspolitik ist das Dreistufen-Modell. Es besteht, wie der Name schon sagt, aus drei Stufen, wobei jede Stufe eine andere Aufgabe übernimmt. Den grundsätzlichen Aufbau zeigt Abbildung 6.2. ISP GSS PSS ISP Information Security Policy Informationssicherheits-Politik GSS Generic Security Standard generischer Sicherheitsstandard PSS Product Specific Security Standard produktspezifischer Sicherheitsstandard Abbildung 6.2: Das dreistufige Security Policy-Modell Die Implementierung einer Security Policy nach diesem Modell erfolgt meist in der Form eines Satzes von Dokumenten, wobei pro Stufe ein oder mehrere Dokumente erstellt werden. Da jeder Stufe eine andere Aufgabe zugeordnet ist, variieren auch Umfang und Inhalt der Dokumente. Die Information Security Policy (ISP) Dies ist die dritte Auslegung des Begriffs Sicherheitspolitik, für die man die Bezeichnung Information Security Policy, kurz ISP verwendet. Die Information Security Policy wird vom Top-Management herausgegeben. Darin liegt auch die Hauptaufgabe der ISP: sie soll das Commitment der Geschäftsleitung zur Informationssicherheit dokumentieren. Die Geschäftsleitung und niemand anders ist gesamtverantwortlich für die Informationssicherheit, auch wenn sie fachlich nicht über das nötige Expertentum verfügt und die entsprechenden Aufgaben delegieren muss. Um dem Informations-Sicherheitsteam eine Arbeitsgrundlage zu geben, müssen das Verständnis des Unternehmens von Informationssicherheit und die strategische Ausrichtung des Sicherheitsmanagements schriftlich dokumentiert werden. Die ISP legt auf einem recht abstrakten Niveau den Managementrahmen für die unternehmensweite Informationssicherheit fest. Weil die ISP sehr oft vom Informations-Sicherheitsteam selbst erstellt und von der Geschäftsleitung nur noch unterschrieben wird, ist darauf zu achten, dass die ISP aus der gesamtunternehmerischen Sicht heraus formuliert wird. Die Interessen des eigenen Informations-Sicherheitsteams können mit eingewoben werden, jedoch nur so weit, wie sie durch die unternehmensweiten Auffassungen gedeckt sind. Andernfalls würde man die Sicher- 92

13 6.3 Sicherheitspolitik heitspolitik verbiegen, was zu Konflikten nicht nur mit anderen Bereichen bzw. Abteilungen, sondern auch mit der Geschäftsleitung führen kann. Die ISP sollte so formuliert werden, dass sie einen stabilen Charakter besitzt und nur selten geändert bzw. angepasst werden muss. Die Unternehmensentwicklung unterliegt aber aufgrund von Fusionen, Verkäufen, Umstrukturierungen, Wechseln in der Geschäftsleitung usw. sich ändernden Bedingungen. Davon bleibt auch die ISP nicht immer verschont. Auch wenn gelten sollte, die ISP möglichst nicht anzufassen, so kann sie doch nur bis auf Widerruf formuliert werden. Die geforderte Stabilität gebietet es auch, nur grundsätzliche Aussagen in die ISP aufzunehmen. Einzelheiten, die sich z.b. auf eine bestimmte Technologie beziehen, haben in der ISP nichts zu suchen. Der Inhalt einer ISP selbst ist nicht standardisiert, mit der Zeit haben sich aber Inhalte herauskristallisiert, die in jeder ISP zu finden sein sollten: Gültigkeitsbereich der Sicherheitspolitik Der Gültigkeitsbereich einer Sicherheitspolitik gibt an, für wen die Sicherheitspolitik bindend ist. Der Gültigkeitsbereich sollte nicht vorschnell zu groß gewählt werden. Beachten Sie, dass Aussagen und Anforderungen innerhalb der Sicherheitspolitik auch in der Praxis durchgesetzt und kontrolliert werden müssen. Oft ist ein solcher Durchgriff auf externe Instanzen wie Zulieferer, Outsourcing-Partner oder Dienstleister weder möglich noch durchsetzbar. Damit tut sich ein Dilemma auf: Liegen diese Instanzen im Gültigkeitsbereich, kann die Sicherheitspolitik schnell zur Farce werden, liegen sie außerhalb, hat dies unter Umständen negative Folgen für die Informationssicherheit im Unternehmen. Begriffe und Definitionen Es ist wichtig, dass im Unternehmen im Hinblick auf die Informationssicherheit eine einheitliche Sprache gesprochen wird und ein gemeinsames, eindeutiges Verständnis der Thematik besteht. Dafür ist es wichtig, den Interpretationsspielraum bei Begriffen zu minimieren. Daher sollten die für die Informationssicherheit wichtigen Begriffe innerhalb der ISP definiert und erklärt werden. Unternehmensverständnis und Bedeutung der Informationssicherheit Abhängig von der Branche, der Risikobereitschaft des Unternehmens, Vorschriften von Aufsichtsbehörden usw., variiert die Auffassung über die Wichtigkeit und Bedeutung der Informationssicherheit von Unternehmen zu Unternehmen. Daher muss in der ISP der Stellenwert der Informationssicherheit eindeutig dokumentiert werden. Durch die Unterschrift der Geschäftsleitung erhält das Informationssicherheits-Team die Rückendeckung, die es in Budgetverhandlungen und bei Zielkonflikten mit anderen Bereichen bzw. Abteilungen benötigt. Dieser Punkt in der ISP ist demnach für das Informationssicherheits-Team von enormer politischer Bedeutung und sollte sehr sorgfältig formuliert werden. Die Chance nachzubessern hat man in der Regel nicht. 93

14 6 Sicherheit definieren und vorgeben Schutzbedürftige Werte und grundsätzliche Sicherheitsziele Informationssicherheit ist kein Selbstzweck, sondern dient dem Schutz der Unternehmenswerte. In der ISP sollte deshalb beschrieben werden, welche Werte im Unternehmen als schutzbedürftig im Sinne der Informationssicherheit anzusehen sind und wie die grundsätzlichen Sicherheitsziele gestaltet sind, mit deren Hilfe man diesen Schutz erzielen möchte. An dieser Stelle können Sie auch Aussagen zur Sicherheitsstrategie einbeziehen. Grundsätzliches Verständnis und Aufbau des Sicherheitsmanagements Hier werden die Rollen und Verantwortlichkeiten im Zusammenhang mit dem Management der Informationssicherheit beschrieben. Dabei ist darauf zu achten, dass sich einzelne Kompetenzen personell nicht überschneiden (sonst entsteht Kompetenzgerangel). Es wird beschrieben, welche Rollen es überhaupt gibt und wie das Zusammenspiel der Rollen vorgesehen ist. Gibt es einen zentralen Sicherheitsmanager, der allein entscheidet, oder muss ein Sicherheitsgremium gebildet werden? Gibt es neben dem Sicherheitsmanager noch einen Risikomanager? Oder vereint der Sicherheitsmanager beide Funktionen in sich? Welche Aufgaben und Verantwortlichkeiten haben die vorgesehenen Rollen? Auch der grundsätzliche Aufbau der Sicherheitsorganisation gehört in diesen Abschnitt (Näheres dazu im Kap. 4). Einzelheiten haben hier nichts zu suchen. Aufbau des Regelwerks zur Informationssicherheit Es sollte in der ISP beschrieben werden, welche Komponenten die Sicherheitspolitik insgesamt umfasst und wie diese Komponenten zusammenspielen. Umgang mit Informationen und mit dem Sicherheitsbewusstsein der Mitarbeiter Der Schutz von Informationen kann zwar technisch unterstützt werden, es liegt aber letztlich in den Händen der Mitarbeiter, ob mit Informationen verantwortlich umgegangen wird. Diese besondere Verantwortung sollte bereits in der ISP verankert sein. Die Mitarbeiter müssen verstehen können, warum die Maßnahmen zur Informationssicherheit wichtig sind und wie sie mit ihrem Verhalten dazu beitragen können und müssen, um die Sicherheit der Informationen zu gewährleisten. Einzelne Verhaltensregeln gehören jedoch nicht in die ISP, sondern in die Benutzer-Sicherheitspolitik. Kontrolle der Einhaltung und Konsequenzen der Nichteinhaltung Vertrauen ist gut, Kontrolle ist besser. Dieser Satz gilt auch für die Sicherheitspolitik, denn sie ist nur so gut, wie die Regeln und Vorgaben auch gelebt werden. Was wiederum davon abhängt, wie gut es gelingt, die Einhaltung zu kontrollieren und Fehlverhalten zu sanktionieren. In der ISP sollte man daher beschreiben, wie die Einhaltung in der Praxis kontrolliert werden kann und soll und welche Konsequenzen bei Verstößen vorgesehen sind. Neben dem Inhalt spielt auch der Umfang der ISP eine wichtige Rolle. Weil die ISP von der Geschäftsleitung gelesen werden soll, muss sie im Umfang auf max Seiten (als Schriftstück) begrenzt werden. Wie so oft gilt auch hier: So viel wie nötig, so wenig wie möglich. In der Regel ist es möglich, die angesprochenen Punkte in diesem Umfang unterzubringen. 94

15 6.3 Sicherheitspolitik Der generische Sicherheitsstandard (GSS) Die ISP ist aufgrund ihrer Abstraktheit und der recht allgemein gehaltenen Aussagen nicht geeignet, in der Praxis als Regelwerk für die Informationssicherheit zu dienen. Daher gibt es aufbauend auf den Aussagen der ISP den generischen Sicherheitsstandard. Der GSS ist für die Realisierung des durch die Sicherheitspolitik dargestellten SOLL- Zustands der Dreh- und Angelpunkt. Hier werden die Anforderungen beschrieben, die aus der Sicht der Informationssicherheit an die informationsverarbeitenden Bereiche des Unternehmens zu stellen sind. Dabei ist wichtig, dass der GSS das Unternehmen im Hinblick auf die Informationssicherheit gesamtheitlich betrachtet, d.h. alle Sicherheitsaspekte berücksichtigt, die Einfluss auf die Informationssicherheit besitzen. Dies kann durch den Einsatz eines geeigneten Strukturierungsmodells erreicht werden. Ein solches Modell, das auch hier Verwendung finden soll, wird in Kapitel 8 vorgestellt. Für die Form des GSS gibt es grundsätzlich zwei Möglichkeiten. Er kann als Prosatext abgefasst sein oder als Anforderungskatalog. Beide Möglichkeiten haben ihre Vorteile, daher findet sich in der Praxis häufig eine Mischung aus beiden Stilarten. Die Vorteile der jeweiligen Stile können Sie der Tabelle 6.1 entnehmen. Tabelle 6.1: Vorteile der Formulierungsformen für den generischen Sicherheitsstandard Prosatext (+) Höhere Lesbarkeit (+) Vermittlung eines Gesamtzusammenhangs (+) Allgemeine Philosophie ist gut darstellbar Anforderungskatalog (+) Höhere Übersichtlichkeit (+) Maßnahmenpläne sind einfacher zu generieren (+) Einfachere Auswertung Das Abfassen des GSS als Prosatext bereitet oft wenig Schwierigkeiten, weil der Text frei formuliert werden kann. Ein Anforderungskatalog ist dagegen mit mehr Erstellungsaufwand verbunden, da systematisch gearbeitet werden muss. Folgende Schritte sind bei der Erstellung des Anforderungskatalogs sinnvoll: Definition von logischen Sicherheitsbereichen Mit Hilfe dieser Bereiche wird das Gesamtunternehmen in einzelne logische Themenblöcke geteilt und so die Komplexität verringert. Im Strukturierungsmodell in Kapitel 8 sind dies die sieben Schichten PHY bis ÜBER. Aufstellen einer Liste von Objektarten zu jedem logischen Sicherheitsbereich Eine GSS-Anforderung bezieht sich immer auf ein bestimmtes Objekt. Dies kann ein Raum, ein Server oder eine Person sein. Wurde das Strukturierungsmodell geschickt gewählt, lässt sich jede Objektart einem Sicherheitsbereich zuordnen. In unserem Falle ist dies eine der sieben Schichten. So gehört die Objektart Raum zur Schicht PHY, die Objektart Router zur Schicht NET und die Objektart Administrator zur Schicht PERS. Alle Objektarten, an die aus Sicht der Informationssicherheit Anforderungen zu stellen sind, werden so strukturiert gesammelt und aufgelistet. 95

16 6 Sicherheit definieren und vorgeben Aufstellen einer Liste von Themen zu jeder Objektart Zu jeder Objektart existieren mehrere Themen, die einzelne Aspekte der Informationssicherheit behandeln. Beispiel: In der Schicht PHY gibt es die Objektart Raum, für einen Raum kommen Themen wie Brandschutz, Einbruchsschutz, Zutrittschutz usw. zur Sprache. Diese Themen werden analog zu den Objektarten gesammelt und aufgelistet. Jedes Thema wird nur einmal erfasst, auch wenn es bei mehreren Objektarten auftritt. Definition von Sicherheitsstufen Das Wesen von Sicherheitsstufen haben wir bereits in Kapitel 2 beschrieben. Nun werden diese Sicherheitsstufen in der GSS verwendet, um die Anforderungen passend gestalten zu können. Es ist leicht nachvollziehbar, dass Anzahl und Strenge der Anforderungen parallel zum geforderten Sicherheitsniveau zunehmen. Um deutlich zu machen, bei welchem geforderten Sicherheitsniveau eine Anforderung in welcher Strenge gelten soll, müssen die Sicherheitsstufen vorher festgelegt werden. Auswahl von Sicherheitskriterien Das Wesen von Sicherheitskriterien wird in Kapitel 2 beschrieben. In der GSS werden sie dazu benutzt, um aufzuzeigen, in welcher Hinsicht die Informationssicherheit verbessert wird, wenn einzelne Anforderungen erfüllt sind. Dann ist leicht zu erkennen, ob die Sicherheit gleichmäßig, d.h. über alle Kriterien entwickelt wird, oder ob einzelne Kriterien sehr gut und andere wenig oder überhaupt nicht bedient wurden. Aus der Menge der möglichen Kriterien sind daher diejenigen auszuwählen und aufzulisten, die für die GSS betrachtet werden sollen. In jedem Fall sollten die drei Grundkriterien Verfügbarkeit, Vertraulichkeit und Integrität aufgenommen werden. Aufstellen der Anforderungen Nun geht es an die Arbeit: Für jeden Abschnitt müssen die Anforderungen erstellt werden. Ein Abschnitt wird dabei durch den Sicherheitsbereich (in unserem Fall die Schicht), die Objektart und das Thema bestimmt. Es ist darauf zu achten, dass die GSS-Anforderungen auch wirklich als Anforderungen formuliert werden und nicht als Maßnahmen. Beispiel für eine Anforderung: Sensible Räume sind vor unbefugtem Zutritt zu schützen. Dagegen wäre An den Türen müssen elektronische Codeschlösser installiert werden keine Anforderung, sondern eine Maßnahme. Die Formulierung von Maßnahmen birgt zwei Probleme: Zum einen sind sie in der Praxis oft nicht umsetzbar, und zum zweiten würde man sich als Sicherheitsmanager anmaßen, die Maßnahmenkompetenz für alle Sicherheitsbereiche zu besitzen, was erstens nicht plausibel erscheint und zweitens all jene vor den Kopf stößt, die sich vor Ort mit den Umsetzungsfragen beschäftigen. So könnten in unserem Beispiel bauliche oder Umgebungsbedingungen die Installationsmöglichkeit von elektronischen Codeschlössern verhindern (z.b. weil es ein explosionsge- 96

17 6.3 Sicherheitspolitik fährdeter Bereich ist). Anforderungen müssen aber erfüllbar sein, sonst ergeben sie in der GSS keinen Sinn. Daher: Machen Sie allenfalls Maßnahmenvorschläge, und überlassen Sie die Entscheidung über die zu ergreifenden Maßnahmen den zuständigen Personen vor Ort. Zuordnung der Sicherheitsstufen Für jede GSS-Anforderung wird vermerkt, bei welcher Sicherheitsstufe sie gelten soll. Dabei kommen drei Fälle vor: 1. Die Anforderung existiert in allen Sicherheitsstufen in gleicher Form. Beispiel: Änderungen an sensiblen Daten sind nachvollziehbar zu protokollieren. 2. Die Anforderung gibt es in allen Sicherheitsstufen, aber in unterschiedlicher Form. Dies ist der Fall, wenn mit steigendem Sicherheitsniveau die Anforderung in ihrer Ausprägung verschärft wird. Beispiel: Die Geländegrenze muss so beschaffen sein, dass jedermann signalisiert wird, dass er sich auf Privatgrund befindet, z.b. in Form von Betreten verboten -Schildern (Stufe 4). Die Geländegrenze ist so zu gestalten, dass ein einfaches Betreten des Geländes verhindert wird, z.b. durch einen Maschendrahtzaun (Stufe 3). Die Geländegrenze lässt ein Eindringen mit einfachen Hilfsmitteln (z.b. Bolzenschneider oder Leiter) nicht zu, z.b. dank eines hohen, stabilen und mit Stacheldraht versehenen Stahlgitterzauns (Stufe 2). Die Geländegrenze stellt ein überwachtes, blickdichtes und schwer zu überwindendes Hindernis im Zugang zum Gelände dar, z.b. mittels einer Kamera-überwachten hohen Mauer mit Stacheldraht und nächtlicher Beleuchtung (Stufe 1). 3. Die Anforderung tritt erst bei einem höheren Sicherheitsniveau in Erscheinung. Beispiel: Jedes technische Objekt in einem Serverraum verfügt über eine eigene, individuell eingestellte Brandmeldetechnik (nur Stufe 1). Zuordnung zu Sicherheitsdimensionen Eine Sicherheitsdimension gibt an, aus welcher Sicht die Informationssicherheit betrachtet wird. Jede GSS-Anforderung wird nun zu einer oder zu mehreren Dimension(en) zugeordnet. Gebräuchlich sind drei Dimensionen: 1. Technik Dies sind Anforderungen, die an technische Einrichtungen und Systeme gestellt werden. Beispiel: Passworte in IT-Systemen sind zugriffsgeschützt zu speichern. 2. Organisation Alle Anforderungen, die sich auf die Organisation der Informationssicherheit beziehen, werden dieser Dimension zugeordnet. Beispiel: Passworte müssen mindestens 6 Zeichen umfassen. 3. Recht Ergeben sich Anforderungen aus Gesetzen, Verordnungen, Vorschriften etc., dann wer- 97

18 6 Sicherheit definieren und vorgeben den sie in die Dimension Recht eingeordnet. Beispiel: Buchführungsdaten müssen vor unberechtigtem Zugriff geschützt werden. Zuordnung zu Sicherheitskriterien Für jede GSS-Anforderung wird vermerkt, auf welche Sicherheitskriterien sie sich bezieht. So kann festgestellt werden, welchen Sicherheitsaspekt die Anforderung unterstützt. Als Ergebnis der dargestellten Schritte liegt ein Anforderungskatalog vor, der das Herzstück des Top-down-Ansatzes bildet. Abbildung 6.3 zeigt, wie ein solcher Anforderungskatalog gestaltet werden kann. Abbildung 6.3: Ausschnitt aus einem GSS-Anforderungskatalog Man sieht in Abbildung 6.3 für jede Anforderung den Anforderungstext [3], die Zuordnungen zu Sicherheitskriterien [1], zum Thema [2] und zu den Sicherheitsstufen [4]. Die GSS umfasst, wie der Name schon sagt, nur generische Anforderungen. Generisch bedeutet in diesem Zusammenhang produkt- und technologieunabhängig. Beispiel für den Bereich Betriebssysteme: Eine Beeinträchtigung der Systemsicherheit durch nicht benötigte Systemdienste muss ausgeschlossen werden. Bei dieser Anforderung steht noch nicht fest, ob es sich um UNIX, Windows oder ein anderes Betriebssystem handelt. Die Anforderung könnte daher schon aufgestellt werden, wenn noch gar kein Betriebssystem im Einsatz ist oder noch nicht feststeht, welches Betriebssystem zum Einsatz kommen soll, oder wenn es sich um ein Betriebssystem handelt, das noch nicht auf dem Markt ist. 1 1 In diesem Fall müsste das künftige Betriebssystem natürlich technologisch vergleichbar sein, d.h. überhaupt über Systemdienste verfügen. 98

19 6.4 Vordefinierte Sicherheitsstandards Der Umfang eines GSS lässt sich nicht pauschal angeben, er liegt jedoch wesentlich höher als der Umfang der ISP. Ein Umfang von Seiten (als Schriftstück) mit einer Anforderungsanzahl größer als 1000 Anforderungen ist keine Seltenheit. Dies zeigt, dass mit der Erstellung der GSS einiger Aufwand verbunden ist. Der Produkt-spezifische Sicherheitsstandard (PSS) Die Ebene des PSS hat die Aufgabe, die generischen Anforderungen des GSS für ein bestimmtes Produkt zu konkretisieren. Dort, wo die generischen Anforderungen nicht weiter konkretisiert werden müssen oder können, wird im PSS auf den GSS verwiesen. Dies verhindert unnötige Redundanzen. Die PSS bildet somit die Schnittstelle zwischen dem GSS auf der einen und Administrationsleitfäden auf der anderen Seite was gleichzeitig der Übergang zwischen der IT-Sicherheit und dem IT-Betrieb ist. Im BSI-Modell der dreistufigen Sicherheitspolitik wird diese Ebene deshalb auch als Product based Operating Manuals (POM) bezeichnet. Im PSS wird beschrieben, wo und wie das jeweilige Produkt die GSS-Anforderungen erfüllen kann. Dies kann so weit gehen, dass man detailliert für einzelne Anforderungen beschreibt, wie die erforderlichen Systemeinstellungen in den Bildschirmmasken vorzunehmen sind. Weil hierbei auch der Kompetenzbereich des IT-Betriebs berührt wird, sollte der PSS nicht völlig ohne Beteiligung der Administration erstellt werden. Auch die Frage der Pflege ist zu klären, da infolge von z.b. Releasewechseln unter Umständen die Inhalte des PSS angepasst werden müssen. Auch der PSS muss die Sicherheit gesamtheitlich betrachten und kann sich nicht auf die Sicherheit der Anwendung beschränken. Für die Form des PSS gelten die gleichen Aussagen wie für die GSS. Grundlage ist ein Anforderungskatalog, der durch systemtechnische Beschreibungen ergänzt wird. Der Umfang eines PSS kann je nach Produkt recht hoch sein. Für komplexere Produkte kann er durchaus Seiten (als Schriftstück) umfassen. Aus diesem Grund wird man nicht für jedes eingesetzte Produkt einen PSS erstellen, sondern dies nur für sehr zentrale und für die Informationssicherheit wichtige Produkte tun. Ein Beispiel für ein solches System ist in vielen Unternehmen SAP, das oft über den Status mission critical verfügt, also unternehmenskritische Funktionen ausführt. Ein PSS hat für das jeweilige Produkt den Charakter eines Sicherheitskonzepts. Oft wird im Zuge eines Planungs- oder Realisierungsprojekts auch eine Sicherheitsbetrachtung gefordert. Diese Betrachtung kann dazu genutzt werden, um den PSS zu erstellen. 6.4 Vordefinierte Sicherheitsstandards Als Information Security Manager müssen Sie bei der Definition einer sicheren IT-Architektur und sicheren Prozessen nicht bei null starten. Es existieren bereits mehrere vordefinierte Sicherheitsstandards, die demonstrieren, wie IT-Sicherheit greifbar wird, was man in 99

20 6 Sicherheit definieren und vorgeben bestimmten Bereich unter Sicherheit versteht und welche Maßnahmen im Hinblick auf die IT-Sicherheit sinnvoll erscheinen. Aus diesem Grund bieten solche Sicherheitsstandards eine wertvolle Hilfestellung für die Umsetzung eines bewertbaren Sicherheitsniveaus im Unternehmen. Jeder Sicherheitsstandard kennt seine eigene Philosophie und deckt eine bestimmte Bandbreite der Unternehmensrealität ab (siehe Abbildung 6.4). Einen Universalstandard, der die ganze Realität abbildet, gibt es derzeit nicht. In der Praxis werden die Sicherheitsstandards selten hundertprozentig gemäß ihrer Philosophie gelebt. Stattdessen werden oft die Inhalte herausgelöst, mehrere Standards miteinander kombiniert und um unternehmensspezifische Anforderungen ergänzt. Management BS 7799 COBIT Geschäftsprozesse IT-Prozesse BSI Technik Abbildung 6.4: Abdeckungsgrad von Sicherheitsstandards In Abbildung 6.4 sind die wichtigsten drei Sicherheitsstandards hinsichtlich der Informationssicherheit aufgeführt. Im Folgenden soll die Grundphilosophie dieser drei Standards dargestellt werden BSI Grundschutzhandbuch Das Bundesamt für Sicherheit in der Informationstechnik (BSI) begann Mitte der 90er Jahre des letzten Jahrhunderts mit der Herausgabe des IT-Grundschutzhandbuchs. Die Idee des Grundschutzhandbuchs besteht darin, durch vordefinierte Maßnahmenkataloge auf einfache Weise, d.h. ohne Risikoanalyse, ein bestimmtes Sicherheitsniveau zu erreichen. Strukturanalyse Zunächst wird aufgenommen, wie die IT-Architektur beschaffen ist. Dies geschieht in der so genannten Strukturanalyse. Dabei wird der Begriff des IT-Verbunds verwendet, der ähnlich wie eine IT-Lösung alle IT-relevanten Ressourcen 2 sowie deren Zusammenspiel (Verschaltung, Kommunikation) für eine bestimmte Unternehmensaufgabe umfasst. 2 Darunter versteht man nicht nur die Technik, sondern auch alle anderen Ressourcen (Personen, Infrastruktur usw.). 100

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

Informationssicherheit (k)eine Frage für Ihr Unternehmen? Ziele Informationssicherheit (k)eine Frage für Ihr Unternehmen? SSV bei connect Schnelligkeit, Sicherheit, Verfügbarkeit Vortrag von Ingrid Dubois, dubois it-consulting gmbh Informationssicherheit: Ziele

Mehr

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern IT-Riskmanagement Strategie und Umsetzung Armin Furter TKH Informationmangement Bern Inhalte Einführung Allgemeines Risikomangement IT-Risikomanagement Mögliche Methoden Begriffe Bedrohung Schaden Schadensausmass

Mehr

Sicherheitsnachweise für elektronische Patientenakten

Sicherheitsnachweise für elektronische Patientenakten Copyright 2000-2011, AuthentiDate International AG Sicherheitsnachweise für elektronische Patientenakten Christian Schmitz Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 2 Systemziele

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz IT-Grundschutz modellieren modellieren Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz / Überblick IT- Grundschutzhandbuch (GSHB) betrachtet im Allgemeinen folgende Merkmale: Infrastruktur

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess, Projektmanager und Sales Consultant, EMPRISE Process Management GmbH Das Gesetz

Mehr

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT STEINBUCH CENTRE FOR COMPUTING - SCC KIT University of the State of Baden-Wuerttemberg and National Research

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz IT-Grundschutz-Tag 09.10.2013

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2014 20.03.2014

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

IT-Grundschutzhandbuch: Stand Juli 1999 1

IT-Grundschutzhandbuch: Stand Juli 1999 1 1. Information Security Policy 1.1. Einleitung Die Firma/Behörde ist von Informationen abhängig. Informationen entscheiden über unseren Erfolg und den unserer Kunden. Von größter Wichtigkeit ist neben

Mehr

Amtliches Mitteilungsblatt

Amtliches Mitteilungsblatt Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................

Mehr

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04.

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. November 2014 1 Index Sicherheitsstrategie Praxis Ganzheitliche Betrachtung (Informations-)

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

IT- Sicherheitsmanagement

IT- Sicherheitsmanagement IT- Sicherheitsmanagement Wie sicher ist IT- Sicherheitsmanagement? Dipl. Inf. (FH) Jürgen Bader, medien forum freiburg Zur Person Jürgen Bader ich bin in Freiburg zu Hause Informatikstudium an der FH

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

IT Sicherheitsleitlinie der DATAGROUP

IT Sicherheitsleitlinie der DATAGROUP IT Sicherheitsleitlinie der DATAGROUP Dezember 2011 Dr. Tobias Hüttner Version 2.0 Seite 1 von 5 Änderungshistorie IT Sicherheitsleitlinie der DATAGROUP In der nachfolgenden Tabelle werden alle Änderungen

Mehr

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutz Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutzhandbuch Agenda Ziel der IT-Sicherheit Das IT-Grundschutzhandbuch Umsetzung des IT-Grundschutzhandbuchs Ausbaustufen

Mehr

Aktualisierung der ISO/IEC 27001 (ISMS): Entstehung, Änderungsbedarf und Handlungsempfehlungen für Unternehmen

Aktualisierung der ISO/IEC 27001 (ISMS): Entstehung, Änderungsbedarf und Handlungsempfehlungen für Unternehmen Aktualisierung der ISO/IEC 27001 (ISMS): Entstehung, Änderungsbedarf und Handlungsempfehlungen für Unternehmen Bearbeitet von Stefan Beck 1. Auflage 2015. Taschenbuch. 148 S. Paperback ISBN 978 3 95934

Mehr

Informationssicherheit in handlichen Päckchen ISIS12

Informationssicherheit in handlichen Päckchen ISIS12 Informationssicherheit in handlichen Päckchen ISIS12 Der praxistaugliche Sicherheitsstandard für kleine und mittelgroße Unternehmen IT-Trends Sicherheit, 20. April 2016 Referentin Claudia Pock Sales Managerin

Mehr

Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse

Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse Verfasser: BSI Ref. 113 Version: 1.0 Stand: 26. Januar 2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Strukturierte Informationssicherheit

Strukturierte Informationssicherheit Strukturierte Informationssicherheit Was muss getan werden ein kurzer Überblick. Donnerstag, 16.Juli 2009 Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de

Mehr

IT-Grundschutz praktisch im Projekt Nationales Waffenregister

IT-Grundschutz praktisch im Projekt Nationales Waffenregister IT-Grundschutz praktisch im Projekt Nationales Waffenregister Günther Ennen Bundesamt für Sicherheit in der Informationstechnik 19. Berliner Anwenderforum E-Government am 19. und 20. Februar 2013 Fachforum

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1. Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz (SigG) datenschutz cert GmbH Version Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für Bestätigungen

Mehr

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen Marc Schober Bundesamt für Sicherheit in der Informationstechnik Referat 112 Kritische Infrastrukturen und IT-Sicherheitsrevision Bundesamt

Mehr

Vom Intranet zum Knowledge Management

Vom Intranet zum Knowledge Management Vom Intranet zum Knowledge Management Die Veränderung der Informationskultur in Organisationen von Martin Kuppinger, Michael Woywode 1. Auflage Hanser München 2000 Verlag C.H. Beck im Internet: www.beck.de

Mehr

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit Umsetzungsverfahren KMU-Zertifizierung Informationssicherheit Inhalt Umsetzungsverfahren... 1 Umsetzungsverfahren zur KMU-Zertifizierung nach OVVI Summary... 2 1. Information Security Policy / IT-Sicherheitsleitlinie...

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015 ITK Sicherheitsgesetz Umsetzung mit verinice.pro verinice.xp- Grundschutztag 15.09.2015 Überblick Kurze Vorstellung des IT-Sicherheitsgesetzes Konkretisierung des Gesetzes für Energieversorger Abbildung

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Informations- / IT-Sicherheit - Warum eigentlich?

Informations- / IT-Sicherheit - Warum eigentlich? Informations- / IT-Sicherheit - Warum eigentlich? Hagen, 20.10.2015 Uwe Franz Account Manager procilon IT-Solutions GmbH Niederlassung Nord-West Londoner Bogen 4 44269 Dortmund Mobil: +49 173 6893 297

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an

Mehr

Wie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner

Mehr

GPP Projekte gemeinsam zum Erfolg führen

GPP Projekte gemeinsam zum Erfolg führen GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

IT-Revision als Chance für das IT- Management

IT-Revision als Chance für das IT- Management IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

IS-Revision in der Verwaltung

IS-Revision in der Verwaltung IS-Revision in der Verwaltung Dr. Gerhard Weck INFODAS GmbH, Köln 27. November 2009 Inhalt Nationaler Plan zur Sicherung der Informationsinfrastrukturen (NPSI) Umsetzungsplan KRITIS Umsetzungsplan Bund

Mehr

Dr. Andreas Gabriel Ethon GmbH 24.09.2015

Dr. Andreas Gabriel Ethon GmbH 24.09.2015 Wie meistern Sie nachhaltig die Kann Ihnen eine Zertifizierung ISO 27001 helfen? Dr. Andreas Gabriel Ethon GmbH KURZE VORSTELLUNG 2 Profil der Ethon GmbH; Ulm Über die Ethon GmbH Informationssicherheit

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen

Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen Sicherheitsarchitektur Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen Ing. Johannes MARIEL, Stabsabteilung Sicherheit & Qualität Februar 2008 www.brz.gv.at Der IT-Dienstleister des Bundes

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager TÜV SÜD Management Service GmbH Sicherheit, Verfügbarkeit und Zuverlässigkeit von Informationen stehen

Mehr

Das NT Domänen-Konzept

Das NT Domänen-Konzept Das NT Domänen-Konzept Einführung Was ist eine Domäne? Was ist eine Gruppe? Was ist ein Trust? Domänen Das Single Domain Model Das Single Master Domain Model Das Multiple Master Domain Model Das Complete

Mehr

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013 Werte- und prozessorientierte Risikoanalyse mit OCTAVE Christian Aust.consecco Dr. Christian Paulsen DFN-CERT Was Sie erwartet Vorstellung von OCTAVE:

Mehr

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Informationsveranstaltung IT-Aufsicht bei Banken Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Axel Leckner - Informationsveranstaltung IT-Aufsicht bei 1 Banken

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

Praktischer Datenschutz

Praktischer Datenschutz Praktischer Datenschutz Heiko Behrendt Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel ULD72@datenschutzzentrum.de Praktischer Datenschutz 1 Themen 1. Behördlicher und betrieblicher

Mehr

Risikoanalyse mit der OCTAVE-Methode

Risikoanalyse mit der OCTAVE-Methode Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte

Mehr

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH TÜV Informationstechnik GmbH Langemarckstraße 20 45141 Essen, Germany Phone: +49-201-8999-401 Fax: +49-201-8999-888 Email: A.sommer@tuvit.de Web: www.tuvit.de Sicherheit als strategische Herausforderung

Mehr

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen.

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen. Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen. Anforderungen. Herausforderungen. Kooperationspartner Aufsichtsbehörden Outsourcing ISO 27001 Firmenkultur Angemessenheit Notfallfähigkeit

Mehr

Mit Druck richtig umgehen

Mit Druck richtig umgehen Haufe TaschenGuide 107 Mit Druck richtig umgehen von Friedel John, Gabriele Peters-Kühlinger 4. Auflage 2015 Haufe-Lexware Freiburg 2015 Verlag C.H. Beck im Internet: www.beck.de ISBN 978 3 648 06693 5

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN

INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN EINFÜHRUNG KURZE EINFÜHRUNG IN DIE ERSTELLUNG UND VERWALTUNG VON

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Verpflichtung zu Excellence (C2E) 2 Stern. Fragebogen zur Selbstbewertung auf Basis des Kriterienmodells

Verpflichtung zu Excellence (C2E) 2 Stern. Fragebogen zur Selbstbewertung auf Basis des Kriterienmodells Verpflichtung zu Excellence (C2E) 2 Stern Fragebogen zur Selbstbewertung auf Basis des Kriterienmodells EFQM Verpflichtung zur Excellence (C2E) 2 Stern Fragebogen zur Selbstbewertung auf der Basis des

Mehr

Der IT Security Manager

Der IT Security Manager Der IT Security Manager Klaus Schmidt ISBN 3-446-40490-2 Inhaltsverzeichnis Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-40490-2 sowie im Buchhandel Vorwort...XI Über den Autor...XII

Mehr

Dieter Börner Management-Service. Quelle : Bundesamt für Sicherheit in der Informationstechnik

Dieter Börner Management-Service. Quelle : Bundesamt für Sicherheit in der Informationstechnik Dieter Börner Management-Service Am Bahnhof 12 96328 Küps Tel. 09264 91323 Fax 09264 91324 Das Informationssicherheits- Managementsystem nach ISO/IEC 27001 Informationstechnik - IT-Sicherheitsverfahren

Mehr

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen Dirk Loomans, Micha-Klaus Müller Bedrohungs- und Schwachstellenanalysen Übersicht über die Arbeitshilfen risikoanalyse.doc Das Klammersymbol Checkliste zur Durchführung einer Risikoanalyse im Text verweist

Mehr

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG) Unternehmen: Branche: Ansprechpartner: Position: Straße: PLZ / Ort: Tel.: Mail: Website: Kontaktdaten Datenschutzbeauftragter: Fax: Sicherheitspolitik des Unternehmens JA NEIN 01. Besteht eine verbindliche

Mehr

1 Einführung betriebswirt- schaftlich vernünftiger Form wesentliche Risiken von der IT fernzuhal- ten reduzieren Auswirkungen begrenzen IT-Systeme

1 Einführung betriebswirt- schaftlich vernünftiger Form wesentliche Risiken von der IT fernzuhal- ten reduzieren Auswirkungen begrenzen IT-Systeme 1 Die Unternehmens-IT steht vor vielfältigen Herausforderungen: Kostenreduzierung, Standardisierung, Komplexitätsreduktion, Virtualisierung, Verfügbarkeit und Steuerung externer Dienstleister werden häufig

Mehr

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke Vorstellung - Ihr Referent Prof. Dr. Thomas Jäschke Professor für Wirtschaftsinformatik an der FOM Hochschule für Oekonomie & Management

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN 1 Bayerischer IT-Sicherheitscluster e.v. 09.10.2015 REFERENT Claudia Pock Sales Managerin IT Security Applied Security

Mehr

3 Firewall-Architekturen

3 Firewall-Architekturen Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr

1 Was ist Wissensmanagement?

1 Was ist Wissensmanagement? 9 1 Was ist Wissensmanagement? 1.1 Der Begriff und die Idee des Wissensmanagements Von Wissensmanagement existieren viele Definitionen. Eine eindeutige allgemeingültige Erläuterung zu finden, ist schwierig.

Mehr

Informationssicherheitsleitlinie

Informationssicherheitsleitlinie Stand: 08.12.2010 Informationssicherheit Historie Version Datum Bemerkungen 1.0 16.06.2009 Durch Geschäftsführung herausgegeben und in Kraft getreten. 1.0.1 08.12.2010 Adressänderung des 4Com-Haupsitzes.

Mehr

Vom Bewusstsein zur Lösung Angriffszenarien und Schutzmöglichkeiten

Vom Bewusstsein zur Lösung Angriffszenarien und Schutzmöglichkeiten Vom Bewusstsein zur Lösung Angriffszenarien und Schutzmöglichkeiten 25.11.2009 Hessen IT Kongress, Frankfurt/Main Hans Joachim Giegerich Giegerich & Partner GmbH Christian Schülke schuelke.net internet.security.consulting

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

BCM Schnellcheck. Referent Jürgen Vischer

BCM Schnellcheck. Referent Jürgen Vischer BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz

Mehr