Der IT Security Manager

Größe: px
Ab Seite anzeigen:

Download "Der IT Security Manager"

Transkript

1 Der IT Security Manager von Klaus Schmidt 1. Auflage Der IT Security Manager Schmidt schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG Hanser München 2006 Verlag C.H. Beck im Internet: ISBN Inhaltsverzeichnis: Der IT Security Manager Schmidt

2 Der IT Security Manager Klaus Schmidt ISBN Leseprobe Weitere Informationen oder Bestellungen unter sowie im Buchhandel

3 6 6 Sicherheit definieren und vorgeben Prinzipiell gibt es zwei Vorgehensweisen, um Sicherheit in der Informationstechnik zu erreichen: Entweder man definiert einen Zielzustand und arbeitet unabhängig vom IST-Zustand an der Umsetzung dieses Zielzustands (Top-down-Vorgehen), oder man geht vom IST-Zustand aus und verbessert unabhängig von einem Zielzustand kontinuierlich die Sicherheitssituation (Bottom-up-Vorgehen). In der Praxis findet sich oft eine Kombination von beiden Vorgehensweisen. Das vorliegende Kapitel widmet sich dem Top-down-Vorgehen. In seinem Vorhaben, die Informationssicherheit im Unternehmen zu definieren und vorzugeben, steht der Security Manager u.a. vor folgenden Aufgaben: Ziele für den Bereich Security setzen Umsetzung der Ziele planen Maßnahmen durchsetzen Fachliche Sicherheitsziele festlegen Sicherheitsstrategie entwickeln Zielzustand definieren Regeln aufstellen Für ein erfolgreiches Top-down-Vorgehen ist entscheidend, dass der Security Manager die Methodik der Ziel- und Umsetzungsplanung anwenden kann. Aus diesem Grund soll dieser Bereich nun näher betrachtet werden. 6.1 Von der Zielsetzung zur Umsetzung Wer das Ziel nicht kennt, kann den Weg nicht finden diese Weisheit von Hans Domizlaff gilt auch für den Sicherheitsmanager. Von ihm wird nämlich erwartet, dass er klare Vorstellungen in seinem Bereich entwickelt und auch in der Lage ist, diese zu verwirklichen. Basis dafür ist die Zielplanung, die nun näher betrachtet werden soll. 83

4 6 Sicherheit definieren und vorgeben Zielhierarchie Als Sicherheitsmanager sehen Sie sich mit verschiedenen Herausforderungen konfrontiert. Zum einen werden Erwartungen von außen an Sie herangetragen (z.b. vom IT-Bereich oder der Geschäftsführung), zum anderen sind innerhalb des Top-down-Vorgehens eigene Zielsetzungen zu definieren, die zu einer optimalen Informationssicherheit führen sollen. Wie in Kapitel 3 schon dargestellt wurde, bedeutet optimale Sicherheit aber nicht, das höchstmögliche Sicherheitsniveau zu erreichen, sondern eine dem Schutzbedarf angemessene und damit wirtschaftliche Sicherheit. Die Erwartungen und Ziele sind teilweise gleichgerichtet, teilweise konkurrieren sie miteinander. Aufgabe des Sicherheitsmanagers ist es, die Gemengelage von Zielen und die möglichen Zielkonflikte zu betrachten und daraus eine Sicherheitsstrategie zu entwickeln. Zunächst sollten Sie sich einen Gesamtüberblick über die Zielsituation verschaffen, auch wenn dies auf den ersten Blick bürokratisch erscheint. Dies geschieht in der Regel in mehreren Schritten: 1. Sammlung der Ziele Die Einzelziele werden formuliert und gesammelt. Es wird entschieden, welche Ziele betrachtet werden sollen und welche nicht (Abgrenzung). 2. Kategorisierung der Ziele Die Ziele werden zu sinnvollen Einheiten zusammengefasst. Hier sind verschiedene Strukturierungen denkbar. Eine Möglichkeit zeigt Abbildung Aufbau der Zielhierarchie Die Zielhierarchie führt die gruppierten Ziele in einer Baumstruktur zu einem Gesamtbild, der Zielsituation, zusammen. Dabei ergeben sich Ober- und Unterziele. Oben in der Zielhierarchie stehen recht unscharfe Ziele, während sich weiter unten die operativen Ziele finden. Schließlich werden existierende Zielkonflikte gekennzeichnet und die Ziele priorisiert. Die Zielhierarchie dient dem Sicherheitsmanager als Orientierung, um Schwerpunkte zu identifizieren und das Handeln auf die Zielsetzungen und ihre Erfüllung hin auszurichten. Als Sicherheitsmanager müssen Sie sich immer fragen: Bringt uns das, was wir gerade tun, unseren Zielen näher? Ziele des Bereichs IT-Sicherheit Sicherheitsziele (fachlich) technische Ziele organisatorische Ziele Prozessziele strategische Ziele Qualitätsziele (fachlich) Effektivitätsziele operative Ziele methodische Ziele Effizienzziele Vorgehensziele Unternehmensziele Abteilungsziele persönliche Ziele Imageziele Kostenziele Abbildung 6.1: Bildung von Zielkategorien Sicherheitsstrategie 84

5 6.1 Von der Zielsetzung zur Umsetzung Zielformulierung Ziele lassen sich in grundsätzliche und operative Ziele trennen. Die operativen Ziele stellen die Leitlinie für das konkrete Handeln dar. Im Gegensatz zu den grundsätzlichen Zielen müssen sie so formuliert werden, dass eine Zielüberprüfung möglich ist. Je operativer die Ziele sind, desto feiner, konkreter und kurzfristiger werden sie formuliert. Bewährt hat sich dafür der SMART-Ansatz. Hier beschreibt jeder Buchstabe im Wort SMART eine Eigenschaft, welche die Zielformulierung besitzen sollte: Specific Measureable Accountable Realistic Time based Das Ziel muss möglichst präzise formuliert werden. Dabei wird es so beschrieben, als ob es schon erreicht wäre (Zielzustand). Falsch: Wir wollen die Kontrolle der Umsetzung verbessern. (zu grundsätzlich) Richtig: Wir haben jeden Montag von 09:00-10:00 Uhr ein Statusmeeting. Das Ziel muss messbar formuliert werden, um die Zielerreichung feststellen zu können. Falsch: Wir steigern die Vertraulichkeit. Richtig: 80% aller Arbeitsplätze verfügen über Verschlüsselungssoftware. Es muss deutlich sein, wer für das Ziel verantwortlich ist bzw. für wen das Ziel gilt. Falsch: Wir bringen neue Ideen für die Netzwerksicherheit ein. Richtig: Frau Kress sammelt Verbesserungsvorschläge für die Netzwerksicherheit. Das Ziel muss realistisch und erreichbar sein, sonst demotiviert es nur. Falsch: Jeder Server ist gegen alle Computerviren geschützt. Richtig: Auf jedem Server wird ein aktueller Virenscanner betrieben. Jedes Ziel sollte einen Zeitraum besitzen, in dem es erreicht werden soll. Falsch: Alle Netzzugänge sind mit einer Firewall geschützt. Richtig: Bis zum sind alle Netzzugänge mit einer Firewall geschützt. In Ergänzung des SMART-Ansatzes sollten Ziele noch drei weitere Eigenschaften besitzen: Akzeptabel Herausfordernd Legal Das Ziel sollte erstrebenswert sein, man sollte sich mit dem Ziel identifizieren können. Falsch wäre z.b. ein Ziel, das gegen ethische, moralische oder religiöse Überzeugungen verstößt. Das Ziel sollte eine Anstrengung notwendig machen. Das Ziel Bis zum Jahresende sind 300 Rechner mit Verschlüsselungssoftware ausgestattet wäre falsch gewählt, wenn es März ist und 295 Rechner bereits darüber verfügen. Es sollte selbstverständlich sein, dass das Ziel nicht gegen Gesetze und Vorschriften verstoßen darf. Bsp.: Alle Telefongespräche werden unbemerkt aufgezeichnet. Die Zielformulierung sollte die Form eines schriftlichen Dokuments aufweisen. Die Zielsituation kann beschreibend als Vision dargestellt werden, was bei längerfristigen Zielen häufig der Fall ist. Es kann auch nützlich sein, die Zielsituation komprimiert in einem so genannten Mission Statement zusammenzufassen. Das Mission Statement drückt dabei in wenigen Sätzen die wichtigsten Leitlinien und Zielsetzungen aus. Man setzt Mission State- 85

6 6 Sicherheit definieren und vorgeben ments oft dort ein, wo der Faktor Motivation eine große Rolle spielt. Bei Teamzielen wird das Mission Statement manchmal auch gemeinsam unterschrieben, um die Willenserklärung zu bekräftigen Umsetzungsplanung Mit der Zielplanung allein ist es nicht getan. Die Ziele müssen auch umgesetzt werden. Hierzu sind mehrere Schritte nötig: 1. Hinterfragen der Ziele Liegt die Zielformulierung schon länger zurück, oder wurden die Ziele nicht selbst formuliert, sondern vorgegeben, so sind sie zunächst zu hinterfragen: a) Ist das Ziel noch aktuell, oder ist es schon veraltet und überholt? b) Ist das Ziel noch immer erreichbar? 2. Vorstellen des Zielzustands Den Zielzustand (Idealzustand) sollte man sich so plastisch wie möglich vor Augen führen. Wie sieht die Situation dann aus? Welche positiven, aber auch negativen Aspekte hat die Zielerreichung? Erscheint bei einer Abwägung der Vor- und Nachteile das Ziel noch immer erstrebenswert? 3. Voraussetzungen und Mittel festlegen Was benötigt man, um das Ziel zu erreichen? Geld? Zeit? Hilfe? Material? Die Erfüllung eines anderen Ziels? Macht? Wie könnten diese Voraussetzungen geschaffen bzw. die Mittel besorgt werden? 4. Stärken und Schwächen analysieren Wo muss ich mir keine Gedanken machen? Wo könnte es schwierig werden? Habe ich eine Strategie und/oder einen Plan B für die schwierigen Punkte? 5. Roadmap erstellen Die Ziele sollten zunächst priorisiert werden, um die wichtigen Ziele vorrangig angehen zu können. Meilensteine, Phasen und Zwischenziele sind zu definieren, wenn die Strecke zwischen bestehendem und Zielzustand groß ist. Aufgaben und Einzelschritte müssen inhaltlich und zeitlich geplant werden, und auch die Fortschrittskontrolle darf nicht fehlen. Der letzte Schritt leitet schon über in umsetzungsbegleitende Verfahren wie z.b. das Projektmanagement. 6.2 Sicherheitsstrategien Viele Wege führen nach Rom. Dieses Sprichwort gilt modifiziert auch für die Informationssicherheit: Auf vielen verschiedenen Wegen lässt sich der festgelegte Sicherheitsgrad erreichen. In unserem Umfeld bezeichnet man diese Wege als Sicherheitsstrategien oder Sicherheitsphilosophien. 86

7 6.2 Sicherheitsstrategien Eine Sicherheitsstrategie legt fest, wie die erforderliche Sicherheit im Unternehmen so zu erzielen ist, dass sie zum Unternehmen passt und im Unternehmen lebbar und durchsetzbar ist. Damit sind Sicherheitsstrategien u.a. abhängig von: der Unternehmensgröße; den in der Zielplanung gefundenen Zielsetzungen; der Art, wie das Unternehmen denkt ; den gewachsenen, historischen Strukturen, Denkweisen und Traditionen; modernen Best-practice-Ansätzen. Es gibt eine Vielzahl von Sicherheitsstrategien, von denen hier exemplarisch vier Varianten vorgestellt werden sollen Strategie der chinesischen Mauer Diese Strategie, die oft auch unter dem entsprechenden englischen Begriff Chinese Wall zu finden ist, geht davon aus, dass die Bedrohung für die Sicherheit des Unternehmens von außen kommt. Innerhalb des Unternehmens besteht bei dieser Strategie eine Domain of trust, d.h. man vertraut einander intern und ergreift zwischen internen Instanzen wie Mitarbeitern, Abteilungen usw. keine großen Sicherheitsmaßnahmen. Wie der Name schon andeutet, wird um das Unternehmen herum eine große Mauer gebaut, die Sicherheitsmaßnahmen konzentrieren sich auf die Schnittstellen zwischen dem Unternehmen und der Außenwelt. Somit gewinnen Funktionsbereiche wie die Warenannahme oder der Pförtnerdienst an Bedeutung, sie sind für die Sicherheit entscheidend Strategie der Prozess-basierten Sicherheit Das Konzept der Prozess-basierten Sicherheit geht davon aus, dass es in einem Unternehmen eine Vielzahl von Prozess-Strängen gibt, die parallel zueinander durch das Unternehmen laufen. Im Gegensatz zur Chinese Wall -Strategie verkleinert sich die Domain of trust auf alle internen Instanzen (Abteilungen, Arbeitsgruppen) eines einzelnen Prozesses. Innerhalb eines Prozesses gibt es Informationen, die erhoben, ausgetauscht und gespeichert werden müssen. Diese Informationen dürfen nur denjenigen zugänglich sein, die am Prozess beteiligt sind ( Need to know-prinzip ), d.h. ein Mitarbeiter verfügt nur über die für seine Funktion in dem jeweiligen Prozess benötigten Informationen Sicherheit von innen nach außen Bei dieser Strategie gibt es keine Domain of trust mehr. Jede Information ist ein schützenswertes Gut, unabhängig davon, in welchem Prozess die Information genutzt wird. Jede interne Instanz ist potenziell für diesen Schutz zuständig, unabhängig davon, welche Informationen in dieser Instanz genutzt werden. Dies bedeutet, dass auch innerhalb einer Arbeitsgruppe jeder seine Informationen gegen jeden anderen Kollegen schützt. Es bedeutet aber auch, dass dadurch jeder Mitarbeiter jedem Kollegen indirekt misstraut. 87

8 6 Sicherheit definieren und vorgeben Der Schutz der Informationen wird bei dieser Strategie möglichst nahe an der Information selbst organisiert. Beispiel: Die Information befindet sich auf einer DVD im Aktenschrank. Sicherheit von außen nach innen würde nun zuerst das Gelände schützen, dann das Gebäude, den Raum und den Schrank. Sicherheit von innen nach außen schützt zuerst die Information auf der DVD (Verschlüsseln der Information) und erst dann den Schrank, den Raum usw Sicherheit durch Eigentümerschaft Es wird ein Eigentümer (Owner) für jede schützenswerte Information benannt. Der Eigentümer ist für den Schutz dieser Information verantwortlich. Er legt zusammen mit dem Informationssicherheits-Team fest, wie hoch der Schutz sein muss und welcher Personenkreis über die Information verfügen darf. Diese Strategie, die auch unter ihrem englischen Namen Security by Ownership bekannt ist, stellt also die Verantwortung für eine bestimmte Information in den Mittelpunkt ihrer Überlegungen Auswahl der Strategie Aufgabe des Sicherheitsmanagers ist es, eine geeignete Strategie auszuwählen bzw. zu formulieren. Er muss dabei die Belange des Unternehmens berücksichtigen und über die notwendige Sensibilität verfügen. Dazu ein reales Beispiel: Ein neu als Security Manager eingestellter Mitarbeiter identifizierte Wechseldatenträger (Diskette, CD, USB-Sticks) als Sicherheitsrisiko, weil mit deren Hilfe Daten auf einfache Weise unerlaubt in Systeme eingespielt werden konnten. Seine Strategie bestand nun darin, alle diese Wechselmedien zu eliminieren. Er begann damit, alle Disketten- und CD-ROM-Laufwerke ausbauen zu lassen, was einen Sturm der Entrüstung nach sich zog. Einige Wochen später wurde die Personalentscheidung zugunsten eines anderen Mitarbeiters revidiert. Das Beispiel zeigt, dass die Strategie nicht nur den Sicherheitsanforderungen genügen, sondern auch für das Unternehmen praktikabel und im Unternehmen durchsetzbar sein muss. Gerade für externe oder neue Mitarbeiter ist es oft schwer, die zu umschiffenden Klippen zu erkennen. Häufig ist es nicht offensichtlich, wo sich Widerstände formieren und welche Lobby sich gegen die Strategieinhalte bildet. Dies bestätigt, dass der Sicherheitsmanager nicht nur Sicherheitsfachmann, sondern bis zu einem gewissen Grad auch Politiker ist, der in der Lage sein muss, zu argumentieren und andere zu überzeugen. 6.3 Sicherheitspolitik Der Begriff Sicherheitspolitik wird leider mehrdeutig verwendet. Er bedeutet Folgendes: 1. Die taktische und politische Handlungsweise des Information Security Managers und des Sicherheitsteams zur Vorgabe und Durchsetzung des SOLL-Zustands für die Informationssicherheit. 88

9 6.3 Sicherheitspolitik 2. Das gesamte Regelwerk, das den SOLL-Zustand für die Informationssicherheit formuliert. 3. Das Dokument, das als Teil dieses Regelwerkes grundsätzliche Aussagen zur Informationssicherheit formuliert und so die Basis für das gesamte Regelwerk bildet Sicherheitspolitik als politische Handlungsweise Überall dort, wo Menschen zusammenleben und -arbeiten, muss es bestimmende und regulierende Kräfte geben, sonst herrscht das Chaos. Im Hinblick auf die Informationssicherheit im Unternehmen obliegt es dem Security Manager, diese bestimmende und regulierende Kraft zu sein. Er wird dabei mit den gleichen Rahmenbedingungen konfrontiert wie ein Gesellschaftspolitiker. Macht und Respekt verschaffen Der Security Manager benötigt in seinem Verantwortungsbereich die Kompetenzen und Autorität, um Dinge gestalten zu können. Besitzt er sie nicht, kann jedes Meeting, jede Budgetverhandlung zum Spießrutenlauf werden. Für ihn ist es daher sehr wichtig, sich die Rückendeckung der Geschäftsleitung (Top-Management, Vorstand, Geschäftsführer,...) zu sichern (siehe dazu auch Kapitel 11). Doch dies ist nur der formale Aspekt. Ein Sicherheitsmanager, der die Kompetenzen nur formal besitzt, aber im Unternehmen persönlich oder fachlich nicht respektiert wird (erkennbar an Aussagen wie Der ist unmöglich, Der hat doch keine Ahnung ), wird es schwer haben, seine Ziele zu verwirklichen. Dazu ein reales Beispiel: In einem großen Unternehmen war die Position des Security Managers der verlängerte Arm des Vorstands, d.h. er berichtete direkt dem Vorstand und war mit genügend Macht ausgestattet. Als der amtierende Security Manager ausschied, wurde als Nachfolger ein langjähriger Mitarbeiter und persönlicher Freund eines Vorstandsmitglieds berufen. Dieser kannte sich mit dem Thema Sicherheit nicht gut aus, diskutierte lange hin und her und setzte keine Akzente. Die Unternehmensbereiche begannen ihn zu umgehen. Zunächst versuchten sie, im Bereich Sicherheit so viel wie möglich in Eigenregie zu zu unternehmen. Statt den Security Manager über Lücken zu informieren, füllten sie diese mit eigenen Regeln und trafen eigene Entscheidungen. Später verbündeten sie sich punktuell mit anderen Autoritäten wie der IT-Revision und spielten den Security Manager gegen diese Instanzen aus. Schließlich ignorierten sie ihn einfach, er bekam vieles nicht mehr mit, die Position wurde zunehmend ausgehöhlt und verkam zu einer Dokumenten-Verwaltungstätigkeit. Argumentieren und überzeugen Die Meinung des Security Managers steht im Unternehmen oft gegen die Meinungen anderer Bereiche und Abteilungen. In der IT-Linie ist dies z.b. die IT-Administration, die IT- 89

10 6 Sicherheit definieren und vorgeben Architektur oder die IT-Leitung. Um die für die Sicherheit wichtigen Dinge zu realisieren, müssen Sie als Security Manager möglichst geschickt argumentieren und Personen überzeugen können. Folgende Aspekte sollten Sie dafür beachten: Mit wem habe ich es zu tun? Was ist meinem Gegenüber wichtig? Das ist eine der wichtigsten Fragen, die Sie als Security Manager prüfen müssen, wenn Sie den anderen für Ihren Standpunkt gewinnen wollen. Hierbei kommen im geschäftlichen Kontext drei Grundtypen von Personen vor: Der Erfolgstyp Wo er ist, soll vorne sein. Dafür ist er auch bereit, Risiken einzugehen und unkonventionelle Wege zu gehen. Dem Erfolgstyp sollten Sie alle Erfolgschancen vor Augen führen, die für ihn im jeweiligen Fall vorhanden sind (z.b. Kostensparpotenziale oder verbesserte Prozesse). Der Typ soziale Anerkennung Für ihn zählt vor allem das Urteil der anderen. Er möchte von anderen geschätzt und bewundert werden. Diesem Typ sollten Sie das erzielbare Prestige darstellen (z.b. Imageverbesserungen oder persönliche Reputation). Der Typ Sicherheit Er ist etwas ängstlich. Er möchte vor allem Fehler vermeiden und auf Nummer sicher gehen. Für ihn ist die Sicherheit wichtig (was ja genau unser Thema ist). Sie sollten ihm die Zuverlässigkeit einer Sache darstellen (z.b. höhere Ausfallsicherheit oder weniger Probleme). Diese drei Grundtypen sind natürlich Idealtypen, in der Praxis wird man meist eine Mischform antreffen. Hinzu kommen die Persönlichkeitsmerkmale, z.b. ob jemand eher introvertiert (nach innen gekehrt, zurückgezogen) oder extrovertiert (nach außen gewendet, kontaktfreudig) ist. Auch die Körpersprache, der Kleidungsstil, Mimik und Gestik sowie geäußerte Ansichten und Vorlieben helfen, das Gegenüber besser einzuschätzen. Je mehr persönliche Informationen Sie besitzen, desto besser wird Ihnen dies gelingen. Wie muss ich mein Gegenüber behandeln? Achten Sie im persönlichen Gespräch bzw. in der Diskussion auf folgende Punkte: Ein vertrauensvolles, freundliches Verhältnis schaffen Das gelingt nicht immer, besonders dann nicht, wenn die Chemie nicht stimmt. Als Security Manager müssen Sie aber so weit Profi sein, dass eine Zusammenarbeit möglich ist. Wo sind die Gemeinsamkeiten? Wie kommen Sie an ihn heran? Zuhören können, den anderen ernst nehmen und auf ihn eingehen Versuchen Sie zunächst, den anderen zu verstehen, sonst laufen Ihre Argumente unter Umständen ins Leere. Deshalb sollten Sie auch an seiner Meinung interessiert sein. Wie sieht die Welt aus seiner Sicht aus? Schlüpfen Sie mal in seine Schuhe! Takt und Fingerspitzengefühl Ein Sprichwort sagt: Im Haus des Gehängten sollte man vom Strick nicht reden. Ich 90

11 6.3 Sicherheitspolitik sollte als Security Manager möglichst in der Lage sein, Tabus, heilige Kühe, Fettnäpfchen o.ä. zu erkennen. Fallen Sie nicht mit der Tür ins Haus, und verschießen Sie Ihre argumentative Munition nicht vorschnell. Alles in allem: Halten Sie Augen und Ohren offen und beweisen Sie Fingerspitzengefühl. Den eigenen Standpunkt vertreten und die eigene Meinung fundiert belegen können Als Security Manager sollten Sie gut vorbereitet in Meetings gehen und dort nachweisen können, warum Sie Ihre Zielsetzungen, Absichten, Meinungen und Argumente als richtig und vorteilhaft ansehen. Vermeiden Sie absolute Formulierungen, wenn es sich um Einschätzungen und Meinungen handelt. Einwandbehandlung Nicht immer bekommen Sie Zustimmung zu Ihrem Standpunkt. Daher sollten Sie auf Einwände vorbereitet sein und Gegenargumente besitzen. Nehmen Sie die Einwände ernst. Auch hier gilt: Möglichst eine Win-Win-Situation herstellen und andere nicht das Gesicht verlieren lassen. Sicherheitsgrundsätze aufstellen Fachlich gesehen, besteht die Hauptaufgabe innerhalb des Top-down-Ansatzes darin, Grundsätze, Leitlinien und Anforderungen für die Informationssicherheit zu definieren und damit den SOLL-Zustand zu dokumentieren. Es muss klar definiert sein, welche grundsätzlichen Sicherheitsziele bestehen und welche Anforderungen daraus für einzelne Bereiche der Informationsverarbeitung resultieren. Dies ist die zweite Auslegung des Begriffs Sicherheitspolitik Sicherheitspolitik als Regelwerk der Sicherheit Um Verwirrung zu vermeiden, hat es sich als zweckmäßig erwiesen, den englischen Begriff Security Policy zu verwenden, wenn man darunter das für die Definition des SOLL- Zustandes erstellte Regelwerk versteht. Die Security Policy ist das tragende Element des Top-down-Sicherheitsmanagements. Sie dokumentiert die definierten Grundsätze und Leitlinien der Informationssicherheit und liefert Vorgaben für einzelne Bereiche wie Netzwerksicherheit oder Systemsicherheit. An diesem SOLL-Zustand richtet sich dann das Unternehmen im Hinblick auf die Informationssicherheit aus. Vor einigen Jahren gab es noch große Unklarheit über den Inhalt und die Struktur einer Security Policy, und auch heute existieren weiterhin unterschiedliche Vorstellungen. Einen einheitlichen Standard hierfür gibt es nicht, auch wenn sich zunehmend das Dreistufen- Modell durchsetzt. Mittlerweile besitzen die meisten Großunternehmen eine Art von Security Policy. Die Problematik besteht damit oft nicht mehr im Fehlen der Security Policy, sondern darin, dass die Security Policy ungeeignet ist oder nicht zum Unternehmen passt (in einigen Fällen haben Sicherheitsmanager die Security Policy eines fremden Unternehmens einfach kopiert und 91

12 6 Sicherheit definieren und vorgeben übernommen). Schwierigkeiten bereitet es auch, die Inhalte der Security Policy in das Unternehmen zu tragen, dort lebbar zu machen und die Einhaltung zu überwachen. Dreistufen-Modell für die Sicherheitspolitik In der Praxis hat sich ein Stufen-basiertes Modell für die Sicherheitspolitik bewährt. Ein solcher Ansatz wird unter anderem auch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützt. Eines der gebräuchlichsten Stufenmodelle für eine Sicherheitspolitik ist das Dreistufen-Modell. Es besteht, wie der Name schon sagt, aus drei Stufen, wobei jede Stufe eine andere Aufgabe übernimmt. Den grundsätzlichen Aufbau zeigt Abbildung 6.2. ISP GSS PSS ISP Information Security Policy Informationssicherheits-Politik GSS Generic Security Standard generischer Sicherheitsstandard PSS Product Specific Security Standard produktspezifischer Sicherheitsstandard Abbildung 6.2: Das dreistufige Security Policy-Modell Die Implementierung einer Security Policy nach diesem Modell erfolgt meist in der Form eines Satzes von Dokumenten, wobei pro Stufe ein oder mehrere Dokumente erstellt werden. Da jeder Stufe eine andere Aufgabe zugeordnet ist, variieren auch Umfang und Inhalt der Dokumente. Die Information Security Policy (ISP) Dies ist die dritte Auslegung des Begriffs Sicherheitspolitik, für die man die Bezeichnung Information Security Policy, kurz ISP verwendet. Die Information Security Policy wird vom Top-Management herausgegeben. Darin liegt auch die Hauptaufgabe der ISP: sie soll das Commitment der Geschäftsleitung zur Informationssicherheit dokumentieren. Die Geschäftsleitung und niemand anders ist gesamtverantwortlich für die Informationssicherheit, auch wenn sie fachlich nicht über das nötige Expertentum verfügt und die entsprechenden Aufgaben delegieren muss. Um dem Informations-Sicherheitsteam eine Arbeitsgrundlage zu geben, müssen das Verständnis des Unternehmens von Informationssicherheit und die strategische Ausrichtung des Sicherheitsmanagements schriftlich dokumentiert werden. Die ISP legt auf einem recht abstrakten Niveau den Managementrahmen für die unternehmensweite Informationssicherheit fest. Weil die ISP sehr oft vom Informations-Sicherheitsteam selbst erstellt und von der Geschäftsleitung nur noch unterschrieben wird, ist darauf zu achten, dass die ISP aus der gesamtunternehmerischen Sicht heraus formuliert wird. Die Interessen des eigenen Informations-Sicherheitsteams können mit eingewoben werden, jedoch nur so weit, wie sie durch die unternehmensweiten Auffassungen gedeckt sind. Andernfalls würde man die Sicher- 92

13 6.3 Sicherheitspolitik heitspolitik verbiegen, was zu Konflikten nicht nur mit anderen Bereichen bzw. Abteilungen, sondern auch mit der Geschäftsleitung führen kann. Die ISP sollte so formuliert werden, dass sie einen stabilen Charakter besitzt und nur selten geändert bzw. angepasst werden muss. Die Unternehmensentwicklung unterliegt aber aufgrund von Fusionen, Verkäufen, Umstrukturierungen, Wechseln in der Geschäftsleitung usw. sich ändernden Bedingungen. Davon bleibt auch die ISP nicht immer verschont. Auch wenn gelten sollte, die ISP möglichst nicht anzufassen, so kann sie doch nur bis auf Widerruf formuliert werden. Die geforderte Stabilität gebietet es auch, nur grundsätzliche Aussagen in die ISP aufzunehmen. Einzelheiten, die sich z.b. auf eine bestimmte Technologie beziehen, haben in der ISP nichts zu suchen. Der Inhalt einer ISP selbst ist nicht standardisiert, mit der Zeit haben sich aber Inhalte herauskristallisiert, die in jeder ISP zu finden sein sollten: Gültigkeitsbereich der Sicherheitspolitik Der Gültigkeitsbereich einer Sicherheitspolitik gibt an, für wen die Sicherheitspolitik bindend ist. Der Gültigkeitsbereich sollte nicht vorschnell zu groß gewählt werden. Beachten Sie, dass Aussagen und Anforderungen innerhalb der Sicherheitspolitik auch in der Praxis durchgesetzt und kontrolliert werden müssen. Oft ist ein solcher Durchgriff auf externe Instanzen wie Zulieferer, Outsourcing-Partner oder Dienstleister weder möglich noch durchsetzbar. Damit tut sich ein Dilemma auf: Liegen diese Instanzen im Gültigkeitsbereich, kann die Sicherheitspolitik schnell zur Farce werden, liegen sie außerhalb, hat dies unter Umständen negative Folgen für die Informationssicherheit im Unternehmen. Begriffe und Definitionen Es ist wichtig, dass im Unternehmen im Hinblick auf die Informationssicherheit eine einheitliche Sprache gesprochen wird und ein gemeinsames, eindeutiges Verständnis der Thematik besteht. Dafür ist es wichtig, den Interpretationsspielraum bei Begriffen zu minimieren. Daher sollten die für die Informationssicherheit wichtigen Begriffe innerhalb der ISP definiert und erklärt werden. Unternehmensverständnis und Bedeutung der Informationssicherheit Abhängig von der Branche, der Risikobereitschaft des Unternehmens, Vorschriften von Aufsichtsbehörden usw., variiert die Auffassung über die Wichtigkeit und Bedeutung der Informationssicherheit von Unternehmen zu Unternehmen. Daher muss in der ISP der Stellenwert der Informationssicherheit eindeutig dokumentiert werden. Durch die Unterschrift der Geschäftsleitung erhält das Informationssicherheits-Team die Rückendeckung, die es in Budgetverhandlungen und bei Zielkonflikten mit anderen Bereichen bzw. Abteilungen benötigt. Dieser Punkt in der ISP ist demnach für das Informationssicherheits-Team von enormer politischer Bedeutung und sollte sehr sorgfältig formuliert werden. Die Chance nachzubessern hat man in der Regel nicht. 93

14 6 Sicherheit definieren und vorgeben Schutzbedürftige Werte und grundsätzliche Sicherheitsziele Informationssicherheit ist kein Selbstzweck, sondern dient dem Schutz der Unternehmenswerte. In der ISP sollte deshalb beschrieben werden, welche Werte im Unternehmen als schutzbedürftig im Sinne der Informationssicherheit anzusehen sind und wie die grundsätzlichen Sicherheitsziele gestaltet sind, mit deren Hilfe man diesen Schutz erzielen möchte. An dieser Stelle können Sie auch Aussagen zur Sicherheitsstrategie einbeziehen. Grundsätzliches Verständnis und Aufbau des Sicherheitsmanagements Hier werden die Rollen und Verantwortlichkeiten im Zusammenhang mit dem Management der Informationssicherheit beschrieben. Dabei ist darauf zu achten, dass sich einzelne Kompetenzen personell nicht überschneiden (sonst entsteht Kompetenzgerangel). Es wird beschrieben, welche Rollen es überhaupt gibt und wie das Zusammenspiel der Rollen vorgesehen ist. Gibt es einen zentralen Sicherheitsmanager, der allein entscheidet, oder muss ein Sicherheitsgremium gebildet werden? Gibt es neben dem Sicherheitsmanager noch einen Risikomanager? Oder vereint der Sicherheitsmanager beide Funktionen in sich? Welche Aufgaben und Verantwortlichkeiten haben die vorgesehenen Rollen? Auch der grundsätzliche Aufbau der Sicherheitsorganisation gehört in diesen Abschnitt (Näheres dazu im Kap. 4). Einzelheiten haben hier nichts zu suchen. Aufbau des Regelwerks zur Informationssicherheit Es sollte in der ISP beschrieben werden, welche Komponenten die Sicherheitspolitik insgesamt umfasst und wie diese Komponenten zusammenspielen. Umgang mit Informationen und mit dem Sicherheitsbewusstsein der Mitarbeiter Der Schutz von Informationen kann zwar technisch unterstützt werden, es liegt aber letztlich in den Händen der Mitarbeiter, ob mit Informationen verantwortlich umgegangen wird. Diese besondere Verantwortung sollte bereits in der ISP verankert sein. Die Mitarbeiter müssen verstehen können, warum die Maßnahmen zur Informationssicherheit wichtig sind und wie sie mit ihrem Verhalten dazu beitragen können und müssen, um die Sicherheit der Informationen zu gewährleisten. Einzelne Verhaltensregeln gehören jedoch nicht in die ISP, sondern in die Benutzer-Sicherheitspolitik. Kontrolle der Einhaltung und Konsequenzen der Nichteinhaltung Vertrauen ist gut, Kontrolle ist besser. Dieser Satz gilt auch für die Sicherheitspolitik, denn sie ist nur so gut, wie die Regeln und Vorgaben auch gelebt werden. Was wiederum davon abhängt, wie gut es gelingt, die Einhaltung zu kontrollieren und Fehlverhalten zu sanktionieren. In der ISP sollte man daher beschreiben, wie die Einhaltung in der Praxis kontrolliert werden kann und soll und welche Konsequenzen bei Verstößen vorgesehen sind. Neben dem Inhalt spielt auch der Umfang der ISP eine wichtige Rolle. Weil die ISP von der Geschäftsleitung gelesen werden soll, muss sie im Umfang auf max Seiten (als Schriftstück) begrenzt werden. Wie so oft gilt auch hier: So viel wie nötig, so wenig wie möglich. In der Regel ist es möglich, die angesprochenen Punkte in diesem Umfang unterzubringen. 94

15 6.3 Sicherheitspolitik Der generische Sicherheitsstandard (GSS) Die ISP ist aufgrund ihrer Abstraktheit und der recht allgemein gehaltenen Aussagen nicht geeignet, in der Praxis als Regelwerk für die Informationssicherheit zu dienen. Daher gibt es aufbauend auf den Aussagen der ISP den generischen Sicherheitsstandard. Der GSS ist für die Realisierung des durch die Sicherheitspolitik dargestellten SOLL- Zustands der Dreh- und Angelpunkt. Hier werden die Anforderungen beschrieben, die aus der Sicht der Informationssicherheit an die informationsverarbeitenden Bereiche des Unternehmens zu stellen sind. Dabei ist wichtig, dass der GSS das Unternehmen im Hinblick auf die Informationssicherheit gesamtheitlich betrachtet, d.h. alle Sicherheitsaspekte berücksichtigt, die Einfluss auf die Informationssicherheit besitzen. Dies kann durch den Einsatz eines geeigneten Strukturierungsmodells erreicht werden. Ein solches Modell, das auch hier Verwendung finden soll, wird in Kapitel 8 vorgestellt. Für die Form des GSS gibt es grundsätzlich zwei Möglichkeiten. Er kann als Prosatext abgefasst sein oder als Anforderungskatalog. Beide Möglichkeiten haben ihre Vorteile, daher findet sich in der Praxis häufig eine Mischung aus beiden Stilarten. Die Vorteile der jeweiligen Stile können Sie der Tabelle 6.1 entnehmen. Tabelle 6.1: Vorteile der Formulierungsformen für den generischen Sicherheitsstandard Prosatext (+) Höhere Lesbarkeit (+) Vermittlung eines Gesamtzusammenhangs (+) Allgemeine Philosophie ist gut darstellbar Anforderungskatalog (+) Höhere Übersichtlichkeit (+) Maßnahmenpläne sind einfacher zu generieren (+) Einfachere Auswertung Das Abfassen des GSS als Prosatext bereitet oft wenig Schwierigkeiten, weil der Text frei formuliert werden kann. Ein Anforderungskatalog ist dagegen mit mehr Erstellungsaufwand verbunden, da systematisch gearbeitet werden muss. Folgende Schritte sind bei der Erstellung des Anforderungskatalogs sinnvoll: Definition von logischen Sicherheitsbereichen Mit Hilfe dieser Bereiche wird das Gesamtunternehmen in einzelne logische Themenblöcke geteilt und so die Komplexität verringert. Im Strukturierungsmodell in Kapitel 8 sind dies die sieben Schichten PHY bis ÜBER. Aufstellen einer Liste von Objektarten zu jedem logischen Sicherheitsbereich Eine GSS-Anforderung bezieht sich immer auf ein bestimmtes Objekt. Dies kann ein Raum, ein Server oder eine Person sein. Wurde das Strukturierungsmodell geschickt gewählt, lässt sich jede Objektart einem Sicherheitsbereich zuordnen. In unserem Falle ist dies eine der sieben Schichten. So gehört die Objektart Raum zur Schicht PHY, die Objektart Router zur Schicht NET und die Objektart Administrator zur Schicht PERS. Alle Objektarten, an die aus Sicht der Informationssicherheit Anforderungen zu stellen sind, werden so strukturiert gesammelt und aufgelistet. 95

16 6 Sicherheit definieren und vorgeben Aufstellen einer Liste von Themen zu jeder Objektart Zu jeder Objektart existieren mehrere Themen, die einzelne Aspekte der Informationssicherheit behandeln. Beispiel: In der Schicht PHY gibt es die Objektart Raum, für einen Raum kommen Themen wie Brandschutz, Einbruchsschutz, Zutrittschutz usw. zur Sprache. Diese Themen werden analog zu den Objektarten gesammelt und aufgelistet. Jedes Thema wird nur einmal erfasst, auch wenn es bei mehreren Objektarten auftritt. Definition von Sicherheitsstufen Das Wesen von Sicherheitsstufen haben wir bereits in Kapitel 2 beschrieben. Nun werden diese Sicherheitsstufen in der GSS verwendet, um die Anforderungen passend gestalten zu können. Es ist leicht nachvollziehbar, dass Anzahl und Strenge der Anforderungen parallel zum geforderten Sicherheitsniveau zunehmen. Um deutlich zu machen, bei welchem geforderten Sicherheitsniveau eine Anforderung in welcher Strenge gelten soll, müssen die Sicherheitsstufen vorher festgelegt werden. Auswahl von Sicherheitskriterien Das Wesen von Sicherheitskriterien wird in Kapitel 2 beschrieben. In der GSS werden sie dazu benutzt, um aufzuzeigen, in welcher Hinsicht die Informationssicherheit verbessert wird, wenn einzelne Anforderungen erfüllt sind. Dann ist leicht zu erkennen, ob die Sicherheit gleichmäßig, d.h. über alle Kriterien entwickelt wird, oder ob einzelne Kriterien sehr gut und andere wenig oder überhaupt nicht bedient wurden. Aus der Menge der möglichen Kriterien sind daher diejenigen auszuwählen und aufzulisten, die für die GSS betrachtet werden sollen. In jedem Fall sollten die drei Grundkriterien Verfügbarkeit, Vertraulichkeit und Integrität aufgenommen werden. Aufstellen der Anforderungen Nun geht es an die Arbeit: Für jeden Abschnitt müssen die Anforderungen erstellt werden. Ein Abschnitt wird dabei durch den Sicherheitsbereich (in unserem Fall die Schicht), die Objektart und das Thema bestimmt. Es ist darauf zu achten, dass die GSS-Anforderungen auch wirklich als Anforderungen formuliert werden und nicht als Maßnahmen. Beispiel für eine Anforderung: Sensible Räume sind vor unbefugtem Zutritt zu schützen. Dagegen wäre An den Türen müssen elektronische Codeschlösser installiert werden keine Anforderung, sondern eine Maßnahme. Die Formulierung von Maßnahmen birgt zwei Probleme: Zum einen sind sie in der Praxis oft nicht umsetzbar, und zum zweiten würde man sich als Sicherheitsmanager anmaßen, die Maßnahmenkompetenz für alle Sicherheitsbereiche zu besitzen, was erstens nicht plausibel erscheint und zweitens all jene vor den Kopf stößt, die sich vor Ort mit den Umsetzungsfragen beschäftigen. So könnten in unserem Beispiel bauliche oder Umgebungsbedingungen die Installationsmöglichkeit von elektronischen Codeschlössern verhindern (z.b. weil es ein explosionsge- 96

17 6.3 Sicherheitspolitik fährdeter Bereich ist). Anforderungen müssen aber erfüllbar sein, sonst ergeben sie in der GSS keinen Sinn. Daher: Machen Sie allenfalls Maßnahmenvorschläge, und überlassen Sie die Entscheidung über die zu ergreifenden Maßnahmen den zuständigen Personen vor Ort. Zuordnung der Sicherheitsstufen Für jede GSS-Anforderung wird vermerkt, bei welcher Sicherheitsstufe sie gelten soll. Dabei kommen drei Fälle vor: 1. Die Anforderung existiert in allen Sicherheitsstufen in gleicher Form. Beispiel: Änderungen an sensiblen Daten sind nachvollziehbar zu protokollieren. 2. Die Anforderung gibt es in allen Sicherheitsstufen, aber in unterschiedlicher Form. Dies ist der Fall, wenn mit steigendem Sicherheitsniveau die Anforderung in ihrer Ausprägung verschärft wird. Beispiel: Die Geländegrenze muss so beschaffen sein, dass jedermann signalisiert wird, dass er sich auf Privatgrund befindet, z.b. in Form von Betreten verboten -Schildern (Stufe 4). Die Geländegrenze ist so zu gestalten, dass ein einfaches Betreten des Geländes verhindert wird, z.b. durch einen Maschendrahtzaun (Stufe 3). Die Geländegrenze lässt ein Eindringen mit einfachen Hilfsmitteln (z.b. Bolzenschneider oder Leiter) nicht zu, z.b. dank eines hohen, stabilen und mit Stacheldraht versehenen Stahlgitterzauns (Stufe 2). Die Geländegrenze stellt ein überwachtes, blickdichtes und schwer zu überwindendes Hindernis im Zugang zum Gelände dar, z.b. mittels einer Kamera-überwachten hohen Mauer mit Stacheldraht und nächtlicher Beleuchtung (Stufe 1). 3. Die Anforderung tritt erst bei einem höheren Sicherheitsniveau in Erscheinung. Beispiel: Jedes technische Objekt in einem Serverraum verfügt über eine eigene, individuell eingestellte Brandmeldetechnik (nur Stufe 1). Zuordnung zu Sicherheitsdimensionen Eine Sicherheitsdimension gibt an, aus welcher Sicht die Informationssicherheit betrachtet wird. Jede GSS-Anforderung wird nun zu einer oder zu mehreren Dimension(en) zugeordnet. Gebräuchlich sind drei Dimensionen: 1. Technik Dies sind Anforderungen, die an technische Einrichtungen und Systeme gestellt werden. Beispiel: Passworte in IT-Systemen sind zugriffsgeschützt zu speichern. 2. Organisation Alle Anforderungen, die sich auf die Organisation der Informationssicherheit beziehen, werden dieser Dimension zugeordnet. Beispiel: Passworte müssen mindestens 6 Zeichen umfassen. 3. Recht Ergeben sich Anforderungen aus Gesetzen, Verordnungen, Vorschriften etc., dann wer- 97

18 6 Sicherheit definieren und vorgeben den sie in die Dimension Recht eingeordnet. Beispiel: Buchführungsdaten müssen vor unberechtigtem Zugriff geschützt werden. Zuordnung zu Sicherheitskriterien Für jede GSS-Anforderung wird vermerkt, auf welche Sicherheitskriterien sie sich bezieht. So kann festgestellt werden, welchen Sicherheitsaspekt die Anforderung unterstützt. Als Ergebnis der dargestellten Schritte liegt ein Anforderungskatalog vor, der das Herzstück des Top-down-Ansatzes bildet. Abbildung 6.3 zeigt, wie ein solcher Anforderungskatalog gestaltet werden kann. Abbildung 6.3: Ausschnitt aus einem GSS-Anforderungskatalog Man sieht in Abbildung 6.3 für jede Anforderung den Anforderungstext [3], die Zuordnungen zu Sicherheitskriterien [1], zum Thema [2] und zu den Sicherheitsstufen [4]. Die GSS umfasst, wie der Name schon sagt, nur generische Anforderungen. Generisch bedeutet in diesem Zusammenhang produkt- und technologieunabhängig. Beispiel für den Bereich Betriebssysteme: Eine Beeinträchtigung der Systemsicherheit durch nicht benötigte Systemdienste muss ausgeschlossen werden. Bei dieser Anforderung steht noch nicht fest, ob es sich um UNIX, Windows oder ein anderes Betriebssystem handelt. Die Anforderung könnte daher schon aufgestellt werden, wenn noch gar kein Betriebssystem im Einsatz ist oder noch nicht feststeht, welches Betriebssystem zum Einsatz kommen soll, oder wenn es sich um ein Betriebssystem handelt, das noch nicht auf dem Markt ist. 1 1 In diesem Fall müsste das künftige Betriebssystem natürlich technologisch vergleichbar sein, d.h. überhaupt über Systemdienste verfügen. 98

19 6.4 Vordefinierte Sicherheitsstandards Der Umfang eines GSS lässt sich nicht pauschal angeben, er liegt jedoch wesentlich höher als der Umfang der ISP. Ein Umfang von Seiten (als Schriftstück) mit einer Anforderungsanzahl größer als 1000 Anforderungen ist keine Seltenheit. Dies zeigt, dass mit der Erstellung der GSS einiger Aufwand verbunden ist. Der Produkt-spezifische Sicherheitsstandard (PSS) Die Ebene des PSS hat die Aufgabe, die generischen Anforderungen des GSS für ein bestimmtes Produkt zu konkretisieren. Dort, wo die generischen Anforderungen nicht weiter konkretisiert werden müssen oder können, wird im PSS auf den GSS verwiesen. Dies verhindert unnötige Redundanzen. Die PSS bildet somit die Schnittstelle zwischen dem GSS auf der einen und Administrationsleitfäden auf der anderen Seite was gleichzeitig der Übergang zwischen der IT-Sicherheit und dem IT-Betrieb ist. Im BSI-Modell der dreistufigen Sicherheitspolitik wird diese Ebene deshalb auch als Product based Operating Manuals (POM) bezeichnet. Im PSS wird beschrieben, wo und wie das jeweilige Produkt die GSS-Anforderungen erfüllen kann. Dies kann so weit gehen, dass man detailliert für einzelne Anforderungen beschreibt, wie die erforderlichen Systemeinstellungen in den Bildschirmmasken vorzunehmen sind. Weil hierbei auch der Kompetenzbereich des IT-Betriebs berührt wird, sollte der PSS nicht völlig ohne Beteiligung der Administration erstellt werden. Auch die Frage der Pflege ist zu klären, da infolge von z.b. Releasewechseln unter Umständen die Inhalte des PSS angepasst werden müssen. Auch der PSS muss die Sicherheit gesamtheitlich betrachten und kann sich nicht auf die Sicherheit der Anwendung beschränken. Für die Form des PSS gelten die gleichen Aussagen wie für die GSS. Grundlage ist ein Anforderungskatalog, der durch systemtechnische Beschreibungen ergänzt wird. Der Umfang eines PSS kann je nach Produkt recht hoch sein. Für komplexere Produkte kann er durchaus Seiten (als Schriftstück) umfassen. Aus diesem Grund wird man nicht für jedes eingesetzte Produkt einen PSS erstellen, sondern dies nur für sehr zentrale und für die Informationssicherheit wichtige Produkte tun. Ein Beispiel für ein solches System ist in vielen Unternehmen SAP, das oft über den Status mission critical verfügt, also unternehmenskritische Funktionen ausführt. Ein PSS hat für das jeweilige Produkt den Charakter eines Sicherheitskonzepts. Oft wird im Zuge eines Planungs- oder Realisierungsprojekts auch eine Sicherheitsbetrachtung gefordert. Diese Betrachtung kann dazu genutzt werden, um den PSS zu erstellen. 6.4 Vordefinierte Sicherheitsstandards Als Information Security Manager müssen Sie bei der Definition einer sicheren IT-Architektur und sicheren Prozessen nicht bei null starten. Es existieren bereits mehrere vordefinierte Sicherheitsstandards, die demonstrieren, wie IT-Sicherheit greifbar wird, was man in 99

20 6 Sicherheit definieren und vorgeben bestimmten Bereich unter Sicherheit versteht und welche Maßnahmen im Hinblick auf die IT-Sicherheit sinnvoll erscheinen. Aus diesem Grund bieten solche Sicherheitsstandards eine wertvolle Hilfestellung für die Umsetzung eines bewertbaren Sicherheitsniveaus im Unternehmen. Jeder Sicherheitsstandard kennt seine eigene Philosophie und deckt eine bestimmte Bandbreite der Unternehmensrealität ab (siehe Abbildung 6.4). Einen Universalstandard, der die ganze Realität abbildet, gibt es derzeit nicht. In der Praxis werden die Sicherheitsstandards selten hundertprozentig gemäß ihrer Philosophie gelebt. Stattdessen werden oft die Inhalte herausgelöst, mehrere Standards miteinander kombiniert und um unternehmensspezifische Anforderungen ergänzt. Management BS 7799 COBIT Geschäftsprozesse IT-Prozesse BSI Technik Abbildung 6.4: Abdeckungsgrad von Sicherheitsstandards In Abbildung 6.4 sind die wichtigsten drei Sicherheitsstandards hinsichtlich der Informationssicherheit aufgeführt. Im Folgenden soll die Grundphilosophie dieser drei Standards dargestellt werden BSI Grundschutzhandbuch Das Bundesamt für Sicherheit in der Informationstechnik (BSI) begann Mitte der 90er Jahre des letzten Jahrhunderts mit der Herausgabe des IT-Grundschutzhandbuchs. Die Idee des Grundschutzhandbuchs besteht darin, durch vordefinierte Maßnahmenkataloge auf einfache Weise, d.h. ohne Risikoanalyse, ein bestimmtes Sicherheitsniveau zu erreichen. Strukturanalyse Zunächst wird aufgenommen, wie die IT-Architektur beschaffen ist. Dies geschieht in der so genannten Strukturanalyse. Dabei wird der Begriff des IT-Verbunds verwendet, der ähnlich wie eine IT-Lösung alle IT-relevanten Ressourcen 2 sowie deren Zusammenspiel (Verschaltung, Kommunikation) für eine bestimmte Unternehmensaufgabe umfasst. 2 Darunter versteht man nicht nur die Technik, sondern auch alle anderen Ressourcen (Personen, Infrastruktur usw.). 100

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Der IT Security Manager

Der IT Security Manager Der IT Security Manager Klaus Schmidt ISBN 3-446-40490-2 Inhaltsverzeichnis Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-40490-2 sowie im Buchhandel Vorwort...XI Über den Autor...XII

Mehr

Vom Intranet zum Knowledge Management

Vom Intranet zum Knowledge Management Vom Intranet zum Knowledge Management Die Veränderung der Informationskultur in Organisationen von Martin Kuppinger, Michael Woywode 1. Auflage Hanser München 2000 Verlag C.H. Beck im Internet: www.beck.de

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Dr. Andreas Gabriel Ethon GmbH 24.09.2015

Dr. Andreas Gabriel Ethon GmbH 24.09.2015 Wie meistern Sie nachhaltig die Kann Ihnen eine Zertifizierung ISO 27001 helfen? Dr. Andreas Gabriel Ethon GmbH KURZE VORSTELLUNG 2 Profil der Ethon GmbH; Ulm Über die Ethon GmbH Informationssicherheit

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN 1 Bayerischer IT-Sicherheitscluster e.v. 09.10.2015 REFERENT Claudia Pock Sales Managerin IT Security Applied Security

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

Peter Meier. Die Umsetzung von Risikomanagement nach ISO 31000. - Leseprobe -

Peter Meier. Die Umsetzung von Risikomanagement nach ISO 31000. - Leseprobe - Peter Meier Die Umsetzung von Risikomanagement nach ISO 31000 Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Eine ISO-Norm für Wissensmanagement?

Eine ISO-Norm für Wissensmanagement? Eine ISO-Norm für Wissensmanagement? 09.12.2014 von Christian Katz Die aktuelle Revision der ISO 9001 (Qualitätsmanagementsysteme) lädt ein, über die Harmonisierung aller Managementsystem-Normen nachzudenken:

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen Marc Schober Bundesamt für Sicherheit in der Informationstechnik Referat 112 Kritische Infrastrukturen und IT-Sicherheitsrevision Bundesamt

Mehr

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006 Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF Mai 2009 > Vorstellung des BMF / IT-Sektion Gründe für die Einführung des Standards Projektumfang

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

IT Sicherheitsleitlinie der DATAGROUP

IT Sicherheitsleitlinie der DATAGROUP IT Sicherheitsleitlinie der DATAGROUP Dezember 2011 Dr. Tobias Hüttner Version 2.0 Seite 1 von 5 Änderungshistorie IT Sicherheitsleitlinie der DATAGROUP In der nachfolgenden Tabelle werden alle Änderungen

Mehr

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin Software EMEA Performance Tour 2013 17.-19 Juni, Berlin In 12 Schritten zur ISo27001 Tipps & Tricks zur ISO/IEC 27001:27005 Gudula Küsters Juni 2013 Das ISO Rennen und wie Sie den Halt nicht verlieren

Mehr

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster Informationssicherheit im mittelstand... > Bavarian IT Security & Safety Cluster > ein PROdUKt des BayeRisCHen it-sicherheits- ClUsteRs e.v. der Bayerische it-sicherheitscluster e.v. Der Bayerische It-sicherheitscluster

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

Zusammenfassung IT SEC + MAN

Zusammenfassung IT SEC + MAN Zusammenfassung IT SEC + MAN Zusammenfassung aus den Vorlesungen Sicherheitswahrnehmung Sicherheitsrelease Ausbreitung Funktionalität-Sicherheit Post-Incident-Verhalten (Das Verhalten nach dem Vorfall)

Mehr

Einsatz und Umsetzung von Security Policies

Einsatz und Umsetzung von Security Policies Einsatz und Umsetzung von Security Policies Detlev Henze Geschäftsführer TÜV Secure it IT Security Day 2004 27. Mai 2004, München Inhalt TÜV Secure it Gemanagte IT-Security als Erfolgsfaktor für Unternehmen

Mehr

Consulting Services Effiziente Sicherheitsprozesse nach Mass.

Consulting Services Effiziente Sicherheitsprozesse nach Mass. Consulting Services Effiziente Sicherheitsprozesse nach Mass. Angemessene, professionelle Beratung nach internationalen Sicherheitsstandards. Effektive Schwachstellenerkennung und gezielte Risikominimierung.

Mehr

Vom Bewusstsein zur Lösung Angriffszenarien und Schutzmöglichkeiten

Vom Bewusstsein zur Lösung Angriffszenarien und Schutzmöglichkeiten Vom Bewusstsein zur Lösung Angriffszenarien und Schutzmöglichkeiten 25.11.2009 Hessen IT Kongress, Frankfurt/Main Hans Joachim Giegerich Giegerich & Partner GmbH Christian Schülke schuelke.net internet.security.consulting

Mehr

IT-Grundschutz und Zertifizierung

IT-Grundschutz und Zertifizierung IT-Grundschutz und Zertifizierung Gliederung Was macht das BSI? Standardsicherheit nach IT-Grundschutz Qualifizierung nach IT-Grundschutz Zertifizierungsschema Verhältnis zu ISO 17799 in der Informationstechnik

Mehr

Wie Sie Klarheit über Ihr berufliches Ziel gewinnen und Ihre Karriereschritte langfristig planen

Wie Sie Klarheit über Ihr berufliches Ziel gewinnen und Ihre Karriereschritte langfristig planen Wie Sie Klarheit über Ihr berufliches Ziel gewinnen und Ihre Karriereschritte langfristig planen Für Studenten wird es immer wichtiger, schon in jungen Jahren Klarheit über die Karriereziele zu haben und

Mehr

Optimieren von Requirements Management & Engineering

Optimieren von Requirements Management & Engineering Xpert.press Optimieren von Requirements Management & Engineering Mit dem HOOD Capability Model Bearbeitet von Colin Hood, Rupert Wiebel 1. Auflage 2005. Buch. xii, 245 S. Hardcover ISBN 978 3 540 21178

Mehr

Projekte präsentieren

Projekte präsentieren Projekte präsentieren von Hedwig Kellner 1. Auflage Hanser München 2003 Verlag C.H. Beck im Internet: www.beck.de ISBN 978 3 446 22093 5 Zu Inhaltsverzeichnis schnell und portofrei erhältlich bei beck-shop.de

Mehr

diesem Thema von Herrn Dr. Peter Münch, dem ich hiermit für seine Unterstützung bei der Gestaltung des vorliegenden Tools herzlich danke.

diesem Thema von Herrn Dr. Peter Münch, dem ich hiermit für seine Unterstützung bei der Gestaltung des vorliegenden Tools herzlich danke. Vorbemerkungen 1 Mit dem Tool»Datenschutzaudit nach BSI Grundschutz«wurde ein Management-Tool vorgestellt, das es ermöglicht, einen Überblick über den Gesamtzustand einer Datenschutzorganisation unter

Mehr

IT-Sicherheit Police der Swiss Remarketing

IT-Sicherheit Police der Swiss Remarketing IT-Sicherheit Police der Swiss Remarketing Inhaltsübersicht 1 Information 1.1 Einleitung 1.2 Sicherheitsbewusstsein 2 Grundsatzaussage 2.1 Informationsklassifizierung und -kontrolle 2.1.1 Backup-Sicherung

Mehr

GPP Projekte gemeinsam zum Erfolg führen

GPP Projekte gemeinsam zum Erfolg führen GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit Informationssicherheitsmanagement BSI- Grundschutz in der Praxis Informationssicherheit nach BSI-Grundschutz und ISO 27001 im Praxisvergleich Cyber Akademie

Mehr

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz 3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz Institut für Informatik und Automation Dipl.-Inf. Günther Diederich Institut für Informatik und Automation In-Institut der Hochschule

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Sicherheitsaspekte an der Schnittstelle Business IT 9.12.2009. Kurt Schädler. KSS Partners Establishment Schaan, Liechtenstein

Sicherheitsaspekte an der Schnittstelle Business IT 9.12.2009. Kurt Schädler. KSS Partners Establishment Schaan, Liechtenstein Sicherheitsaspekte an der Schnittstelle Business IT 9.12.2009 Kurt Schädler KSS Partners Establishment Schaan, Liechtenstein Agenda Vorstellung Sicherheitsaspekte Unterschiedliche Sichtweisen aus der Sicht

Mehr

Unternehmenspolitik zu Sicherheit, Security, Gesundheits- und Umweltschutz im Roche-Konzern

Unternehmenspolitik zu Sicherheit, Security, Gesundheits- und Umweltschutz im Roche-Konzern Deutsche Übersetzung. Im Zweifelsfall gilt das englische Original Unternehmenspolitik zu Sicherheit, Security, Gesundheits- und Umweltschutz im Roche-Konzern Ausgabe 2012 Verpflichtung gegenüber der Gesellschaft

Mehr

Persönlich wirksam sein

Persönlich wirksam sein Persönlich wirksam sein Wolfgang Reiber Martinskirchstraße 74 60529 Frankfurt am Main Telefon 069 / 9 39 96 77-0 Telefax 069 / 9 39 96 77-9 www.metrionconsulting.de E-mail info@metrionconsulting.de Der

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Supply Chain Controlling mit der Balanced Scorecard

Supply Chain Controlling mit der Balanced Scorecard Supply Chain Controlling mit der Balanced Scorecard Untersuchung bestehender Ansätze von Mike Ackermann 1. Auflage Diplomica Verlag 2014 Verlag C.H. Beck im Internet: www.beck.de ISBN 978 3 95485 083 9

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

1. Normen für Unternehmen

1. Normen für Unternehmen 1. Normen für Unternehmen Normen sind gut für ein Missverständnis und schlecht für ein Verständnis. Um diesem Wortspiel einen konkreten Inhalt zu geben, seien zwei Thesen angeführt: Das Missverständnis

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement datenschutz nord GmbH Mai 2007 Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement 1. Rechtliche Vorgaben zur IT-Sicherheit und zum Risikomanagement Das Thema IT-Sicherheit hat

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015 ITK Sicherheitsgesetz Umsetzung mit verinice.pro verinice.xp- Grundschutztag 15.09.2015 Überblick Kurze Vorstellung des IT-Sicherheitsgesetzes Konkretisierung des Gesetzes für Energieversorger Abbildung

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

IT-Strategie der zentralen Leistungserbringer der UZH 2014-2016

IT-Strategie der zentralen Leistungserbringer der UZH 2014-2016 Universität Zürich Prorektorat Rechts- und Künstlergasse 15 CH-8001 Zürich Telefon +41 44 634 57 44 www.rww.uzh.ch IT-Strategie der zentralen Leistungserbringer der UZH 2014-2016 Version vom 6. Juni 2014

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

Normen und Standards für die IT-Sicherheit

Normen und Standards für die IT-Sicherheit Normen und Standards für die IT-Sicherheit 1. Zur Ausgangslage Die Anzahl der Normen und Standards auf dem IT-Sicherheitssektor hat im Verlauf der vergangenen Jahre ständig zugenommen. Ihre Vielzahl ist

Mehr

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI.

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. ISO/IEC 27001 von BSI Ihre erste Wahl für Informationssicherheit BSI ist die Gesellschaft für Unternehmensstandards,

Mehr

Städtisches Klinikum Braunschweig GmbH. Zertifizierung InterSystems Ensemble nach ISO 27001 auf Basis von IT-Grundschutz

Städtisches Klinikum Braunschweig GmbH. Zertifizierung InterSystems Ensemble nach ISO 27001 auf Basis von IT-Grundschutz Städtisches Klinikum Braunschweig GmbH Zertifizierung InterSystems Ensemble nach ISO 27001 auf Basis von IT-Grundschutz InterSystems Symposium 2015 Ensemble/Healthshare Enduser Meeting Vortsellung des

Mehr

Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen

Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen Sicherheitsarchitektur Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen Ing. Johannes MARIEL, Stabsabteilung Sicherheit & Qualität Februar 2008 www.brz.gv.at Der IT-Dienstleister des Bundes

Mehr

Aus Liebe zu Sicherheit und Qualität.

Aus Liebe zu Sicherheit und Qualität. Aus Liebe zu Sicherheit und Qualität. ECO Verband Frankfurt 30.01.2015 1 2013 - Auf allen Kontinenten zuhause. Überblick TÜV Rheinland Ca. 600 Standorte in 65 Ländern ca. 1,6 Mrd. Umsatz ca. 18.000 Mitarbeiter

Mehr

Risikoanalyse mit der OCTAVE-Methode

Risikoanalyse mit der OCTAVE-Methode Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte

Mehr

LEISTUNGSBESCHREIBUNG

LEISTUNGSBESCHREIBUNG Auditierung eines IT-Sicherheitsmanagement Systems Human Internet CONSULT AG Kirchschlager Weg 8 71711 Murr Version: 1.0 Datum: 2006 Seiten: 8 INHALTSVERZEICHNIS 1 AUSGANGSSITUATION...3 2 AUDITIERUNG EINES

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

Praktizierter Grundschutz in einem mittelständigen Unternehmen

Praktizierter Grundschutz in einem mittelständigen Unternehmen Praktizierter Grundschutz in einem mittelständigen Unternehmen Adolf Brast, Leiter Informationsverarbeitung Bochum-Gelsenkirchener Straßenbahnen AG auf dem 4. Stuttgarter IT-Sicherheitstag, 16.02.06 Überblick

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

IT-Sicherheitsmanagement

IT-Sicherheitsmanagement Hagenberg Univ.-Doz.DI ingrid.schaumueller@liwest.at 1 Kennen Sie diese Situation? 2 Heute finden wir meist...... gute technische Einzellösungen... spontane Aktionen bei Bekanntwerden neuer Bedrohungen...

Mehr

Aktualisierung und Ausblick. DI. Gerald Trost

Aktualisierung und Ausblick. DI. Gerald Trost Das österr.. IT-Sicherheitshandbuch Aktualisierung und Ausblick DI. Gerald Trost Inhaltsübersicht - SIHB Ziel und Historie Struktur und Konzept Schwerpunkte der Aktualisierung 2006 Ausblick und Perspektiven

Mehr

ATEGRA Domino Security Audits. ATEGRA AG www.ategra.ch ategra.info@ategra.ch

ATEGRA Domino Security Audits. ATEGRA AG www.ategra.ch ategra.info@ategra.ch ATEGRA Domino Security Audits Ausgangslage Ihre Organisation hat Sicherheitsbedürfnisse Sie führen evtl. bereits periodische Security Audits durch Oft wird der Teil Lotus Domino technisch ausgelassen ATEGRA

Mehr

(IT-SICHERHEITSGRUNDSÄTZE)

(IT-SICHERHEITSGRUNDSÄTZE) Senatsverwaltung für Inneres und Sport 1 GRUNDSÄTZE ZUR GEWÄHRLEISTUNG DER NOTWENDIGEN SICHERHEIT BEIM IT-EINSATZ IN DER BERLINER VERWALTUNG (IT-SICHERHEITSGRUNDSÄTZE) (beschlossen vom Senat am 11.12.07)

Mehr

Strategieentwicklung und deren Umsetzung

Strategieentwicklung und deren Umsetzung entwicklung und deren Umsetzung MUK IT 29.04.2004 in München 1 Agenda! Was ist?! baum! entwicklungsprozess! Beispiel! Erfolgsfaktoren (Ergebnisse der Gruppenarbeiten vom 29.04.2004) " -Entwicklung " -Umsetzung

Mehr

3 Firewall-Architekturen

3 Firewall-Architekturen Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr