Onlinedokumentation und Informationen zum ISdioR-Security-Audit

Größe: px
Ab Seite anzeigen:

Download "Onlinedokumentation und Informationen zum ISdioR-Security-Audit"

Transkript

1 Page 1 of 16 Security-Audit - ISidoR PDF-Version der Online-Dokumentation Onlinedokumentation und Informationen zum ISdioR-Security-Audit Status der Dokumentation: DRAFT, letzte Änderung: Thomas Rensing :53:03

2 Page 2 of 16 Aufbau der Onlinedokumentation Auf den folgenden Seiten finden Sie Erläuterungen zu den einzelnen Seiten des Online-Verfahrens. Das Security-Audit an WWU und UKM Vorwort Ziele des Security-Audits Informationen zum Schutzbedarf und seinen Kategorien Verfahrensweise und Handhabung des Online-Verfahrens Die Übersichtsseite "Fragenkataloge und Ergebnisse" Detaillierte Informationen über das Berechnungsverfahren zur Evaluation Hinweise zum Schutzbedarf und zugehörigen Fragekatalogen Schutzbedarf und die Visualisierung der Ergebnisse Der Fragenkatalog zur Ermittlung des Schutzbedarfs Hinweise zu Sicherheitsvorkehrungen und zugehörigen Fragekatalogen Sicherheitsvorkehrungen und die Visualierung der Ergebnisse Erläuterung zu den Fragenkatalogen zur Ermittlung der Sicherheitsvorkehrungen Sonstige Hinweise Hinweise zu den Antwortmustern Hinweise zum Kopieren von Antworten Hinweise zu den NIC_Online Administrationsgruppen Hinweise zu der statistischen Auswertung FAQ - Häufig gestellte Fragen 1. Ich bearbeite schutzbedürftige Daten nur per Remote-Desktop, ist mein Rechner damit nicht generell niedriger einzustufen? 2. Ich bekomme für einige Rechner mehr/weniger Fragen bei der Ermittlung der vorhandenen Sicherheitsvorkehrungen angezeigt. Ist das ein Bug in ISIDOR? 3. Ich habe ein Antwortmuster übernommen aber die Eingaben werden nicht direkt übernommen! 4. Im Fragenkatalog xyz wird ein Sachverhalt hinterfragt, der sich nicht auf die hisiege Situation anwenden lässt. Was soll ich tun? 5. Ich habe einen Fragebogen komplett beantwortet. Dabei habe ich nur eine Frage mit 0% beantwortet. Hierdurch bekomme ich ein Sicherheitsdefizit! 6. Warum erfolgt die Datenerhebung systembasiert und nicht daten- und dienstebasiert? 7. Warum soll das Security-Audit überhaupt durchgeführt werden? Glossar Hier finden Sie ein Glossar mit Erläuterung zu Begriffen, die dem Auditor bei der Beantwortung der Fragebögen begegnen werden

3 Page 3 of 16 Das Security-Audit an WWU und UKM Vorwort Sicherheit in der IV ist Allerweltsthema. Es beginnt bei der individuellen Betroffenheit und reicht bis zu rechtlichen und wirtschaftlichen Weichenstellungen mit weit reichenden Konsequenzen, es beginnt bei den von Viren heimgesuchten Heim-PC-Nutzern, die einfach ihre Plagegeister los werden müssen, aber betrifft schließlich Wirtschaftsunternehmen, die durch gesetzliche Regelungen (Sarbanes-Oxley Act, Basel II oder KonTraG) verstärkt gezwungen sind, mit großem Aufwand die Sicherheit ihrer IT-Infrastrukturen (IT: Informationstechnologie) und IV-Prozesse im Rahmen eines Risiko-Managements nachzuweisen, um überhaupt noch im nationalen und globalen Markt agieren zu können. Auch für die Universität und das Universitätsklinikum ist die Fragestellung nach dem Stand der IV-Sicherheit natürlich von großer Bedeutung, in mancher Hinsicht auch existentiell. Nicht nur der Schutz von persönlichen Daten ist zu gewährleisten, um ein Beispiel zu nennen, wo unabweisbare rechtliche Rahmenbedingungen gesetzt sind. Sichere Informationsverarbeitung ist allein schon vor dem Hintergrund der Sicherung von Forschung und Lehre, der Krankenversorgung usw., allgemein für die Sicherung aller IT-gestützten Produktions- und Geschäftsprozesse notwendig und schließlich muss der Aufwand für die Beseitigung von direkten Schäden durch Sicherheitsvorfälle und den häufig noch viel größeren Folgeschäden auf ein tolerables Maß begrenzt werden. Unmittelbar Verantwortliche für die IV-Versorgung kennen die Problematik aus der täglichen praktischen Erfahrung eine Vielzahl von Ursachen, von der mangelnden Ausbildung manches Systembetreibers bis zur ungenügenden Infrastruktur, kann in der Summe zeitweise an die Grenzen des leistbaren Arbeitsaufwandes für die Beseitigung allein der unmittelbaren Schäden führen. Die Leitungen von Universität und Universitätsklinikum und der untergeordneten Einrichtungen müssen aber schließlich dafür Sorge tragen, dass eine angemessene IV unter Beachtung wirtschaftlicher Aspekte, also rationell durchgeführt wird. Ein effektives Risiko-Management ist auch hier zwingend; die demnächst feststehenden Ergebnisse der kürzlich durchgeführten Prüfung des Landesrechnungshofes werden auch in diesem Punkt mit Spannung erwartet. Die Universität Münster hat aber, so kann man aufgrund von Vergleichen feststellen, bereits viel in die Wege geleitet, um Sicherheit fest in der IV zu verankern. Sowohl das organisatorische Umfeld einer verteilten, aber wohl strukturierten IV-Landschaft als auch wichtige Bereiche der sonstigen Infrastrukturen bieten bereits heute gute Voraussetzungen. Verwiesen sei beispielsweise auf die Regelungen vom zur/zum»technisch Verantwortlichen (für vernetzte IV-Systeme)«, womit ein schon in der Praxis bewährtes Instrument Eingang in die Universitätsordnung gefunden hat, so dass die Umsetzung und Überwachung von Sicherheitsmaßnahmen vor Ort gesichert werden kann. Auch die Strukturierung in IV-Versorgungsbereiche mit ihren IV-Versorgungseinheiten trägt durch eine anwendernahe Einflussnahmemöglichkeit zur Sicherheit der IV am Arbeitsplatz bei. Verwiesen sei auch auf Regelung und Beschluss vom bzw , in denen IT-Nutzer unter Androhung von Sanktionen für den Fall der Missachtung verpflichtet werden, Standardvorkehrungen (Virusschutz, Personal Firewall, Betriebssystem-Updates) zur IV-Sicherheit zu treffen. Begleitet wird diese Maßgabe aber durch eine kostenlose Bereitstellung entsprechender Lizenzen für jeden Universitätsangehörigen, also auch für Studierende, so dass die Beachtung der Vorgaben meistens ohne Probleme möglich sein dürfte. Einige IV-Versorgungseinheiten können schon jetzt durch»policy-orchestrierung«, also durch eine servergesteuerte Konfiguration der IT-Arbeitsplätze entsprechend sichere Betriebsbedingungen vorgeben oder zumindest unterstützen. Nicht unerwähnt bleiben dürfen viele durch das Rektorat unterstützte Einzelmaßnahmen für die IT-Infrastruktur, z. B. zur Sicherung der Verfügbarkeit von IV-Diensten durch die Ausstattung von Server-Standorten mit Klimatisierungs- und Strom-Notversorgungseinrichtungen. Last not least, auch für das Datenübertragungsnetz wurden in der Vergangenheit und werden aktuell umfangreiche Maßnahmen getroffen, um das Risikopotential zu reduzieren. Beispiel sind die Redundanzen im Netz-Backbone, die dort in den meisten Bereichen Ersatzübertragungswege bei Leitungsausfällen automatisch zuschalten, so für die Verbindung zum Wissenschaftsnetz G-WiN und Internet oder für die Versorgung des Schloss- und Altstadtbereiches (durch einen Ersatzweg über die Scharnhorststraße und den Klinikenbereich). Aktuelle Maßnahmen zur Einbettung von»stateful Packet Screens«(»Firewalls«) und Intrusion-Prevention-Funktionen werden in einem eigenen Beitrag in diesem (2005-1) beschrieben. Sicherheit definiert sich dadurch, dass Risiken in dem Maße eingedämmt worden sind, dass die verbleibenden Restrisiken vertretbar sind und ein angemessenes Verhältnis von Aufwand für die Sicherheitsmaßnahmen zu deren Nutzen gewährleistet ist. Dementsprechend empfiehlt es sich, grundsätzlich zunächst eine Risikoanalyse durchzuführen, den Nutzen und Aufwand bei Schutzmaßnahmen zu ermitteln, um schließlich nach einer Prioritätendefinition die als notwendig erachteten Maßnahmen durchzuführen; es müssen also verschiedene Faktoren bewertet werden. Das Verfahren insgesamt ist dabei nicht als einmaliger Prozess zu verstehen, sondern als nachhaltige zyklische Vorgehensweise, beginnend bei Planung (mit einer Bestimmung der Sicherheitsziele) über die Umsetzung und Kontrolle bis zur Anpassung. Mit der Einrichtung eines durchgängigen Security-Audit- Verfahrens an der Universität Münster und seiner erstmaligen Durchführung werden zwei wichtige Bestandteile in dieser Prozesskette des Informationssicherheitsmanagements (ISM) etabliert, die Feststellung des Schutzbedarfs und die Feststellung getroffener Sicherheitsvorkehrungen. Daraus abgeleitet werden kann der erreichte Stand der IV-Sicherheit bzw. können noch bestehende Defizite sichtbar gemacht werden. Das Security-Audit kann damit als Steuerungsinstrument benutzt werden es ist Nachweis für getroffene Maßnahmen und Erreichtes, erlaubt die Überprüfung der Zielvorgabeneinhaltung (»Compliance«) und ist Planungsgrundlage für noch einzuleitende Maßnahmen. Dies gilt nicht nur für die obersten Gremien der Universität, sondern auch für alle Verästelungen unserer IV-Struktur. Das Security-Audit-Verfahren für die Universität Münster ist angelegt als Online-Verfahren, das unter Verwendung der Netzdatenbank im ZIV durch die für die IT-Endgeräte im Netz zuständigen Technisch Verantwortlichen bedient wird. Es wird also keine Befragung mit speziellem Personal mit Fragebögen durchgeführt, wie dies häufig sonst geschieht. Nachteil hier ist sicherlich, dass die Fragestellungen i. A. nicht persönlich erläutert werden können es gibt aber umfangreiche Online-Hilfen, und die Qualität der Ergebnisse ist möglicherweise etwas geringer, aber der Aufwand für zusätzliches Personal oder externe Dienstleister kann somit in Grenzen gehalten werden. Auch ist der entscheidende Vorteil in der gewünschten Nachhaltigkeit zu sehen: Die Durchführung kann nach Bedarf wiederholt werden, wobei soweit als möglich auf die Antworten früherer Ermittlungen zurückgegriffen werden kann. Jedenfalls steht erstmals ein Instrument zur Verfügung, mit dem systematisch und durchgängig eine Revision der IV-Sicherheit durchgeführt werden kann. Das erste Security-Audit nach dem geschilderten Verfahren beginnt in den nächsten Tagen mit einigen Pilotanwendern. Nach sich dann möglicherweise ergebenden Korrekturen, voraussichtlich Anfang Mai, steht das Verfahren allen Einrichtungen von Universität und Universitätsklinikum zur Verfügung; ein genauerer Stichtag für die Erhebung wird noch bekannt gegeben werden. Aufgefordert zur Teilnahme sind alle IV-Versorgungsbereiche, jedoch besteht zzt. keine verbindliche Verpflichtung dazu. Der IV-Lenkungsausschuss und die IV-Kommission unterstützen das mit diesem Verfahren verfolgte Ziel und den Weg aber ausdrücklich. In der jetzigen Form des Fragenkataloges liegt der Schwerpunkt des Security-Audits auf der IT-Endgeräteseite, Fragen zum Umfeld (Raumsicherheit u. Ä.) werden nur bei höherem Schutzbedarf gestellt. Der Fragenkatalog lehnt sich an die Vorgehensweise des Bundesamtes für Sicherheit in der Informationstechnik (BSI) an, jedoch wurde an einigen Stellen der Umfang deutlich reduziert und an die Verhältnisse in der Universität angepasst, um die Akzeptanz zu verbessern. Man darf aber trotz aller Verkürzungen, die natürlich auch zu Lasten der Genauigkeit und Vollständigkeit gehen mögen, nicht den verbleibenden Aufwand unterschätzen. In das Online-Verfahren sind jedoch etliche Mechanismen eingebaut, die zur Bedienungsvereinfachung dienen. So können immer wiederkehrende Antwortmuster individuell durch die Technisch Verantwortlichen definiert und zugeordnet werden, so dass Wiederholungen auf ein Mindestmaß verringert sein dürften. Im Folgenden soll dem Anwender eine Übersicht über das Verfahren und eine ausführliche Hilfestellung an die Hand gegeben werden.

4 Page 4 of 16 Ziele des Security-Audits Ziel des Security-Audits ist die Überprüfung und Dokumentation des Sicherheitszustandes von IT-Systemen innerhalb der Westfälischen Wilhelms- Universität Münster. Sicherheitslücken sollen aufgedeckt und nach Möglichkeit im Anschluss an das Auditverfahren geschlossen werden, um das bestehende Sicherheitsniveau anzuheben. Die Mitarbeiterinnen und Mitarbeiter werden für sicherheitsrelevante Aspekte sensibilisiert. Dieses Ziel soll in einem zweischrittigen Verfahren erreicht werden. 1. Schritt: Zunächst wird in einem ersten Schritt mittels eines zu beantwortenden Fragebogens der Schutzbedarf jedes einzelnen Datenendgerätes in Bezug auf Integrität und Vertraulichkeit und Verfügbarkeit der Daten und Dienste ermittelt. Typische Fragestellungen beziehen sich darauf, welche Konsequenzen z.b. ein Ausfall von Diensten oder der Verlust von Daten nachsich ziehen würde; ob dadurch gegen Gesetze verstoßen würde oder sogar, wie im medizinischen Bereich möglich, lebensbedrohliche Auswirkungen auftreten könnten. 2. Schritt: In einem zweiten Schritt werden die bereits getroffenen Sicherheitsvorkehrungen eines jeweiligen Datenendgerätes und seines Umfeldes (wie Räumlichkeiten o.ä.) festgestellt. Hierbei ist die Zahl und der Umfang der zu beantwortenden Fragebögen abhängig vom zuvor festgestellten Schutzbedarf. Das heißt, dass sich der Fragenkatalog in Abhängigkeit vom ermittelten Schutzbedarf zusammensetzt. Wurde für ein Datenendgerät kein bzw. ein geringer Schutzbedarf festgestellt, so sind nur (sehr) wenige Fragen zu den getroffenen Sicherheitsvorkehrungen des Datenendgeräts selbst zu beantworten. Wurde hingegen ein sehr hoher Schutzbedarf festgestellt, so werden umfangreiche Fragenkataloge zum Datenendgerät, netzseitigem Anschluss, geräteseitigem Netzanschluss, Netzzone und den Räumlichkeiten präsentiert. Eine Übersicht über die zu beantwortenden Fragenkataloge in Abhängigkeit vom ermittelten Schutzbedarf finden Sie hier. Basierend auf den gegebenen Antworten werden nun die getroffenen Sicherheitsvorkehrungen ausgewertet und kategorisiert. Resultierend aus einem Vergleich der jeweiligen ermittelten Werte zu Schutzbedarf und den getroffenen Sicherheitsvorkehrungen, können Aussagen zur DV-Sicherheit gemacht werden; Diskrepanzen zwischen Schutzbedarf und Sicherheitsvorkehrungen werden deutlich. Nach Erfassung des Ist-Zustandes ist eine Anhebung des Sicherheitsniveaus durch angemessene Sicherheitsvorkehrungen in den ermittelten Punkten umzusetzen. Bei der Bewertung der Ergebnisse ist zu beachten, dass die Art des eingesetzten Audit-Verfahrens, in Form von vom Nutzer selbstständig zu beantwortenden Fragebögen eine gewisse Subjektivität bei der Evaluation mit sich bringt. Durch diese Strategie ist es aber auf einfache, rasche und von Dritten unabhängige Art und Weise möglich, gewisse Indikatoren für vorherrschende Sicherheitsdefizite zu erlangen. Einzuleitende Schritte, um das Sicherheitsniveau anzuheben sind daraufhin im Einzelnen zu klären. Desweiteren ist zu beachten, dass es sinnvoll ist, die Evaluation immer an gewissen Stichtagen durchzuführen um das aktuelle Sicherheitsniveau zu bestimmen. Die bei der Befragung gegebenen Antworten und die Historie der jeweiligen ermittelten Kategorien werden in der NIC-Online-Datenbank vorgehalten, um langfristig Aussagen über die Entwicklung des Sicherheitsniveaus treffen zu können. Die beantworteten Fragenkataloge werden direkt ausgewertet und das Ergebnis auf einer Übersichtsseite aufgezeigt. Auf diese Weise können Sie die Resultate und weiterführenden Auswertungen direkt zur Kenntnis nehmen. Der Schutzbedarf eines Datenendgerätes ergibt sich aus den Schäden, die entstehen, wenn die Integrität und Vertraulichkeit der Daten verletzt wird oder Daten und Dienste nicht verfügbar sind. Bei der Einstufung des Schutzbedarfs von Datenendgeräten ist zu beurteilen, welcher Schutzbedarfskategorie die Daten oder IT-Anwendungen auf dem Rechner zuzuordnen sind und auch auf welche Daten über dieses Datenendgerät zugegriffen werden kann. Wenn die einzelnen Anforderungen unterschiedlich sind, ist im Ergebnis die höchste Schutzbedarfskategorie für die Einstufung ausschlaggebend. Graphisch veranschaulicht wird dieser Sachverhalt durch die folgende Abbildung.

5 Page 5 of 16 Die Einstufung eines Datenendgerätes in eine entsprechende Schutzbedarfskategorie erfolgt anhand der Folgeschäden, die ein Verlust der Integrität, der Vertraulichkeit oder der Verfügbarkeit benötigter Daten und Dienste nach sich ziehen würde sowie der Wahrscheinlichkeit, mit der ein Folgeschäden auslösende Ereignis zu erwarten ist. Es muss also eine Folgeschädenbewertung vorgenommen werden, die sowohl die mögliche Schadenshöhe als auch die Wahrscheinlichkeit für das Auftreten eines entsprechenden Folgeschadens berücksichtigt. Dies kann in der Regel nicht exakt quantitativ geschehen und exakt quantitativ ist dies auch nicht notwendig. Schließlich dient die Schutzbedarfsfeststellung nicht einer versicherungsmathematischen Betrachtung, sondern soll helfen Notwendigkeit und Priorität für Sicherheitsmaßnahmen überhaupt zu erkennen und festzulegen. Nichtsdestoweniger sollte aber eine gewisse Objektivität, d.h. Objektivität von Ergebnissen auch bei verschiedenen Audit-Durchführenden, erreicht werden. Entsprechend sollte eine konkrete Vorstellung darüber vorhanden sein, wie eine angenommene Schadenshöhe und eine angenommene Folgeschadenswahrscheinlichkeit bewertet werden müssen. Hierzu sollen die Abbildungen Folgeschädenbewertung 2007 und Schadenswahrscheinlichkeit dienen, die mit verbalen Wertigkeiten arbeiten. Schadenshöhen werden hier z.b. mit sehr gering oder katastrophal und Folgeschadenswahrscheinlichkeiten mit sehr unwahrscheinlich und höchst unwahrscheinlich bewertet. Die Kombination dieser beiden Einstufungen führt dann zur Bewertung und damit zu Einstufungen von ohne Bedeutung (0) bis hin zu kritisch (100), was im Folgenden gleichzusetzen ist mit einem Schutzbedarf von kein (0%), gering (25%), mittel (50%), hoch (75%) und sehr hoch (100%). Für die Schadensbewertung seien, soweit es sich um materielle Schäden (finanzielle Auswirkungen) folgende quantitative Werte als Orientierung genannt (vgl. auch Abb. Schadenshöhenbewertung): Sehr gering Gering Mittel

6 Page 6 of 16 Hoch Katastrophal Bei den Überlegungen zu den absoluten Schadenshöhen wird häufig der Aspekt Arbeit vernachlässigt, sei es in Form eines Arbeitszeitausfalls, derweil IT- Ressourcen nicht zur Verfügung stehen (d.h. ausgefallen sind) und viele Mitarbeiter(innen) in ihrer Arbeit behindert sind, sei es, weil z.b. ein IT-System korrumpiert wurde und verfälschte Daten in mühsamer Arbeit rekonstruiert werden müssen. Hier sollte man sich vergegenwärtigen, dass selbst im einfachen Fall (z.b. Arbeitsplatzrechner ohne kritischen Datenbestand) schon 100 als Mindestschaden anzusehen sind sollten als grobe Orientierungsgröße für 1 Stunde Arbeitsausfall oder aufwand angesehen werden. Die im Folgenden abgebildeten Tabellen erläutern die einzelnen Schutzbedarfskategorien. Schutzbedarfskategorie: "Niedrig" (25%, geringe Folgeschäden) Schäden haben nur eine unwesentliche Beeinträchtigung der Institution zur Folge. Vertraulichkeit und Integrität der Daten Verstoß gegen Gesetze und Verstöße gegen Vorschriften und Gesetze ohne Vorschriften/Verträge nennenswerte Konsequenzen Beeinträchtigung des Eine Beeinträchtigung des informationellen informationellen Selbstbestimmungsrechts ist nicht nennenswert. Selbstbestimmungsrechts Ein möglicher Missbrauch personenbezogener Daten hat keine nennenswerten Auswirkungen auf die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen. Beeinträchtigung der persönlichen Unversehrtheit Eine Beeinträchtigung ist nicht nennenswert. Negative Außenwirkung Es ist keine nennenswerte Ansehens- oder Vertrauensbeeinträchtigung zu erwarten. Finanzielle Auswirkungen Es ist kein nennenswerter finanzieller Schaden zu erwarten. Verfügbarkeit der Daten Beeinträchtigung der Aufgabenerfüllung Es ist keine oder nur eine äußerst geringe Beeinträchtigung zu erwarten. In Ausnahmefällen liegt die maximal tolerierbare Ausfallzeit bei bis zu zwei Tagen. Beispiel: Die Teilnehmer und Teilnehmerinnen einer Arbeitsgemeinschaft sollen schriftlich zu einem Treffen eingeladen werden. Aufgrund eines Ausfalls des Systems ist das Ausdrucken des Serienbriefes erst einen Tag später möglich. Die Schutzbedarfskategorie ist als "niedrig" einzustufen. Fällt ein Drucker in einem Netzwerk aus, in dem mehrere Drucker vorhanden sind, so ist es möglich auf einen anderen Drucker auszuweichen. Die Schutzbedarfskategorie ist als "niedrig" einzustufen. Schutzbedarfskategorie: "Mittel" (50%, mittlere Folgeschäden) Schäden haben Beeinträchtigungen der Institution zur Folge. Vertraulichkeit und Integrität der Daten Verstoß gegen Gesetze und Vorschriften/Verträge Beeinträchtigung des informationellen Selbstbestimmungsrechts Verstöße gegen Vorschriften und Gesetze mit geringfügigen Konsequenzen Geringfügige Vertragsverletzungen mit maximal geringen Konventionalstrafen Eine Beeinträchtigung des informationellen Selbstbestimmungsrechts würde durch den Einzelnen als tolerabel eingeschätzt werden. Ein möglicher Missbrauch personenbezogener Verfügbarkeit der Daten Beeinträchtigung der Aufgabenerfüllung Die Beeinträchtigung würde von den Betroffenen als tolerabel eingeschätzt werden. Die maximal tolerierbare Ausfallzeit liegt in Ausnahmefällen bei bis zu 8 Stunden.

7 Page 7 of 16 Daten hat nur geringfügige Auswirkungen auf die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen. Beeinträchtigung der persönlichen Unversehrtheit Eine Beeinträchtigung erscheint nicht möglich. Negative Außenwirkung Eine geringe bzw. nur interne Ansehens- oder Vertrauensbeeinträchtigung ist zu erwarten. Finanzielle Auswirkungen Der finanzielle Schaden bleibt für die Institution tolerabel. Schutzbedarfskategorie: "Hoch" (75%, hohe Folgeschäden) Im Schadensfall tritt Handlungsunfähigkeit wichtiger Bereiche der Institution ein; Schäden haben erhebliche Beeinträchtigungen der Institution selbst oder betroffener Dritter zur Folge. Vertraulichkeit und Integrität der Daten Verstoß gegen Gesetze und Vorschriften/Verträge Beeinträchtigung des informationellen Selbstbestimmungsrechts Beeinträchtigung der persönlichen Unversehrtheit Verstöße gegen Vorschriften und Gesetze mit erheblichen Konsequenzen Vertragsverletzungen mit hohen Konventionalstrafen Eine erhebliche Beeinträchtigung des informationellen Selbstbestimmungsrechts des Einzelnen erscheint möglich. Ein mögliche Missbrauch personenbezogener Daten hat erhebliche Auswirkungen auf die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen Eine Beeinträchtigung der persönlichen Unversehrtheit kann nicht absolut ausgeschlossen werden. Negative Außenwirkung Eine breite Ansehens- oder Vertrauensbeeinträchtigung ist zu erwarten. Finanzielle Auswirkungen Der Schaden bewirkt beachtliche finanzielle Verluste, ist jedoch nicht existenzbedrohend. Verfügbarkeit der Daten Beeinträchtigung der Aufgabenerfüllung Die Beeinträchtigung würde von einzelnen betroffenen als nicht tolerabel eingeschätzt. Die maximal tolerierbare Ausfallzeit liegt in Ausnahmefällen bei bis zu 4 Stunden. Beispiel: Greifen auf einen Datenbankserver die Mitarbeiter einer gesamten Verwaltung zu, so könnte die Arbeit während der Ausfallzeit nicht fortgeführt werden. Bei der Patientenaufnahme hätte dieser Ausfall beträchtliche Folgen, wäre aber nicht existenzbedrohend. Die Schutzbedarfskategorie ist als "hoch" einzustufen. Personenbezogene Daten, wie Beurteilungen, Einkommen oder Informationen über kleinere Straftaten sind vertraulich zu behandeln. Werden Informationen an die Öffentlichkeit gebracht, so sind für den Betroffenen ggf. erhebliche Beeinträchtigungen der gesellschaftlichen Stellung damit verbunden. Für die jeweilige Institution, bei der die personenbezogenen Daten verwaltet werden, hätte ein Bekanntwerden einen erheblichen Vertrauensverlusst zur Folge. Die Schutzbedarfskategorie ist als "hoch" einzustufen. Schutzbedarfskategorie: "Sehr hoch" (100%, sehr große Folgeschäden) Der Ausfall der IV führt zum totalen Zusammenbruch der Institution oder hat schwerwiegende Folgen für breite gesellschaftliche oder wirtschaftliche Bereiche. Es besteht Gefahr für Leib und Leben von Personen. Vertraulichkeit und Integrität der Daten Verstoß gegen Gesetze und Vorschriften/Verträge Beeinträchtigung des informationellen Selbstbestimmungsrechts Beeinträchtigung der persönlichen Unversehrtheit Fundamentaler Verstoß gegen Vorschriften und Gesetze Vertragsverletzungen, deren Haftungsschäden ruinös sind Eine erhebliche Beeinträchtigung des informationellen Selbstbestimmungsrechts des Einzelnen erscheint möglich. Ein möglicher Missbrauch personenbezogener Daten würde für den Betroffenen den gesellschaftlichen oder wirtschaftlichen Ruin bedeuten. Gravierende Beeinträchtigungen der persönlichen Unversehrtheit sind möglich. Gefahr für Leib und Leben. Negative Außenwirkung Eine landesweite Ansehens- oder Vertrauensbeeinträchtigung, evtl. sogar existenzgefährdender Art, ist denkbar. Finanzielle Auswirkungen Der finanzielle Schaden ist für die Institution existenzbedrohend. Verfügbarkeit der Daten Beeinträchtigung der Aufgabenerfüllung Die Beeinträchtigung würde von allen Betroffenen als nicht tolerabel eingeschätzt werden. Die maximal tolerierbare Ausfallzeit liegt in Ausnahmefällen unter einer Stunde. Beispiel: Werden Manipulationen an Datenendgeräten vorgenommen, die für die Steuerung von Röntgenapparaten im medizinischen Bereich eingesetzt sind, so kann dies lebensbedrohliche Konsequenzen haben. Die Schutzbedarfskategorie ist daher als "sehr hoch" einzustufen. Bei der Festlegung des Sicherheitsniveaus können die folgenden Fragen und Zusatzfragen hilfreich sein: Welche Bedeutung hat die Vertraulichkeit der Informationen aus der IV für Ihren Bereich? Was geschieht, wenn die Vertraulichkeit verletzt wird?

8 Page 8 of 16 Welche Bedeutung hat die Verfügbarkeit, Richtigkeit und Aktualität der Informationen für Ihren Bereich? Was ist, wenn die Informationen zeitweise nicht zur Verfügung stehen? Was geschieht, wenn sie dauerhaft verschwunden sind? Hängen wichtige Entscheidungen von den Informationen ab? Gibt es Aufgaben, die nur mit der Unterstützung der IV möglich sind? Gibt es Informationen, die einen großen Anreiz auf mögliche Täter ausüben könnten? Könnten die Informationen einem potentiellen Täter finanzielle oder andere Vorteile verschaffen?

9 Page 9 of 16 Verfahrensweise und Handhabung des Online-Verfahrens In diesem Abschnitt soll kurz auf die Möglichkeiten und Handhabung des Online-Benutzerobefläche und die Verfahrensweise bei der Aus- und Bewertung der Fragebögen eingegangen werden. Begonnen wird mit einigen Erläuterungen zur Übersichtsseite "Fragenkataloge und Ergebnisse" Die Übersichtsseite "Fragenkataloge und Ergebnisse" Die Seite "Fragenkataloge und Ergebnisse " ist die zentrale Webseite für die Durchführung des ISIDOR-Security Audits. Aus diesem Grund ist sie auch eine der ersten Seiten, mit welcher Sie - als Auditor - in Berührung kommen. Tabellarisch werden alle Datenendgeräte aufgelistet, die entsprechend der getroffenen Auswahl in der Netzdatenbank eingetragen sind, also entweder die Datenendgeräte, für die Sie technisch verantwortlich sind oder die zu der von Ihnen ausgewählten NIC-Online-Administrationsgruppe gehören. Zu jedem einzelnen Datenendgerät werden grundlegende Informationen, wie kanonischer Name, IP-Adresse, MAC-Adresse, Standort oder Verantwortliche aufgelistet. Zusätzlich werden im rechten Teil der Tabelle zu jedem Endgerät Informationen zum aktuellen Stand des Audit-Verfahrens angegeben. Insbesondere werden Links zu den Fragebögen, detailierten Auswertungen und Übersichtsseiten angeboten. Zusätzlich besteht die Möglichkeit der Anwendung eines Mustereintrags oder je nach Stand der Befragung, des Kopierens der gegebenen Antworten auf andere Datenendgeräte. Die Zahl der angebotenen Fragenkataloge zu Sicherheitsvorkehrungen ist abhängig vom ermittelten Schutzbedarf. Es existieren Fragenkataloge zu den folgenden Kategorien: Schutzbedarf: Dieser Fragenkatalog dient der Ermittlung des Schutzbedarfs von Datenendgeräten beliebiger Art. Der Schutzbedarf des Datenendgerätes ergibt sich zum einen aus den Risiken für das Eintreten eines sicherheitsrelevanten Primärereignisses (z.b. technischer Defekt, Virenbefall, Passwortkompromittierung) und zum anderen aus dem Ausmaß der möglichen Schäden, die entstehen, wenn Daten und Anwendungen nicht verfügbar sind, Daten verfälscht werden oder in die Hände Dritter gelangen. Der Schutzbedarf ist dabei unabhängig von den durchgeführten oder ansich notwendigen Sicherheitsvorkehrungen. Die weiteren Fragenkataloge befassen sich ausschließlich mit den durchgeführten Sicherheitsvorkehrungen. Sicherheitsvorkehrungen: Diese Fragenkataloge ermitteln den Stand der Maßnahmen, die getroffen wurden, um die Integrität und Vertraulichkeit der Daten und die Verfügbarkeit der Daten und Dienste sicherzustellen. Im Einzelnen beziehen sich die Fragen auf folgende Objekte: Datenendgerät: Fragen zu den Sicherheitsvorkehrungen auf dem Datenendgerät selbst und zum organisatorischen Umfeld (z.b. Viren- Scanner, Betreuung). Geräteseitiger Netzanschluss (Netzadapter): Ergänzend zu vorgenanntem Fragenkatalog werden hier die Maßnahmen zum Schutz des Datenendgerätes durch Kommunikations- und Sicherheitskomponenten untersucht, die sich innerhalb des Datenendgerätes selbst mit dem Anschluss an das Netz befassen (z.b. spezielle Personal Firewall, redundante Interfaces). Diese Angaben sind spezifisch auf den Netzkontroller (Ethernetkarte etc.) im Datenendgerät ausgerichtet. Netzseitiger Anschluss (Anschlussdose o.ä.): Der hier zu findende Fragenkatalog untersucht die Maßnahmen, die unmittelbar seitens des Netzes getroffen worden sind, um den unmittelbaren Zugang zum Netz abzusichern (z.b. redundanter Anschluss, Flusskontrolle, besondere Vereinbarungen). Angaben hierzu sind also meist spezifisch für die Anschlussdose. Netzzone: Fragenkatalog zum Netzumfeld; insbesondere sind hier netzseitige Vorkehrungen aufgeführt, die innerhalb der unmittelbaren und weiteren Netzinfrastruktur (z.b. Anschluss-Subnetz, umgebende Subnetze, Strukturierung der IV-Ressourcen im Netz, Anwendungsgateways, Zugangskontrollmechanismen, Organisatorisches) sicherheitswirksam sein können. Raum: Katalog zu sicherheitsrelevanten, den Raum des Datenendgerätes betreffenden Fragen (z.b. zu Brandschutz, Klima, Einbruchsicherheit). Durch die farbliche Darstellung der Links wird deutlich, welche Fragenkataloge beantwortet sind (grün) und welche noch nicht vollständig bearbeitet wurden (rot). Ergebnis-Visualisierung Die anhand der gegebenen Antworten ermittelten Kategorien für Schutzbedarf und Sicherheitsvorkehrungen werden in Form von eingefärbten Balken visualisiert. Es existieren folgende Abstufungen: Stufen des Schutzbedarfs des Datenendgerätes Kein Schutzbedarf Geringer Schutzbedarf Mittlerer Schutzbedarf Hoher Schutzbedarf Sehr hoher Schutzbedarf Besteht eine Diskrepanz zwischen ermitteltem Schutzbedarf und der innerhalb eines Fragenkatalogs festgestellten Kategorie der Sicherheitsvorkehrungen so wird die betreffende Tabellenzeile rot hinterlegt und der Fragebogen mit einem Warndreieck ( ) markiert. Beachten Sie, dass dieses nur eine sehr pauschale Information sein kann. Der weitergehende Maßnahmenkatalog muss individuell getroffen werden. Über das Informationssymbol ( ) können Sie sich im Einzelnen die gegebenen Antworten und Ergebnisse in einer Übersicht anzeigen lassen. Legende der weiteren vorkommenden Symbole und Hinweise zur vereinfachten Bearbeitung: Roter Link Grüner Link Sortierreihenfolge der ausgegebenen Datenendgeräte Stufen der Sicherheitsvorkehrungen Keine Sicherheitsvorkehrungen Geringe Sicherheitsvorkehrungen Wichtige Sicherheitsvorkehrungen Weit reichende Sicherheitsvorkehrungen Umfassende, durchgreifende Sicherheitsvorkehrungen Vertraulichkeit und Integrität der Daten Dieses Symbol weist darauf hin, dass sich der Schutzbedarf bzw. die Sicherheitsvorkehrungen auf die Vertraulichkeit und Integrität der Daten bezieht. Bei hohem oder sehr hohem Schutzbedarf bzgl. Vertraulichkeit und Integrität handelt es sich um Informationen, an die keine unbefugte dritte Partei gelangen soll, z. B. persönliche Daten oder Forschungsergebnisse. Verfügbarkeit der Daten und Dienste Dieses Symbol weist darauf hin, dass sich der Schutzbedarf bzw. die Sicherheitsvorkehrungen auf die Verfügbarkeit von Daten und Diensten bezieht. Bei hohem oder sehr hohem Schutzbedarf bzgl. der Verfügbarkeit handelt es sich um Daten oder Anwendungen, die für den Arbeitsablauf unverzichtbar sind, z.b. Server, auf die von vielen Arbeitsplätzen zugegriffen wird. Weist darauf hin, dass zu diesem Fragenkatalog noch Fragen offen sind. Weist darauf hin, dass alle Fragen zu diesem Fragenkatalog beantwortet sind. Die Sicherheitsvorkehrungen sind nicht ausreichend für den Schutzbedarf des Datenendgerätes Über diesen Link können Antworten, die für ein Objekt gegeben wurden, in die Fragenkataloge für andere Objekte kopiert werden. Ist eine Fragenkatalog noch nicht vollständig beantwortet, so ist diese Funktion gesperrt und der Link ausgegraut. Über diesen Link können Sie Musterantworten abrufen und in Fragenkataloge für Objekte übernehmen.

10 Page 10 of 16 Möchten Sie die Datenendgeräte in einer bestimmten Reihenfolge ausgegeben haben, so können Sie spaltenweise über die jeweiligen Pfeile sortieren. Eingabe von Filterkriterien Um die Ausgabe einzuschränken können Filterkriterien in die sich am oberen Seiteende befindende Filtermaske eingegeben werden. Sie können sich z.b. alle Datenendgeräte mit einem gewissen Schutzbedarf oder nur solche, die eine bestimmte Zeichenfolge als Namensbestandteil enthalten anzeigen lassen. Sollte ein Fragebogen mit einem Muster verknüpft sein und Sie versuchen, diesen Fragebogen individuell zu beantworten, so werden sie deutlich innerhalb des jeweiligen Fragebogens auf den Sachverhalt hingewiesen, dass ein individuelles Beantworten einen Verlust der Verknüpfungsinformationen nachsichziehen würde. Detaillierte Informationen über das Berechnungsverfahren zur Evaluation Das Berechnungsverfahren welches der Auswertung der Fragebögen zu Grunde liegt, basiert maßgeblich auf einer geometrischen Mittelung der sich anhand der Antworten eines Fragebogens ergebenen Werte. Durch die Aufteilung in Fragenkomplexe zu Integrität und Vertraulichkeit und Verfügbarkeit, sowie die Gruppierung in übergeordnete Pauschal- und untergeordnete Detailfragen ergibt sich für die Auswertung der Fragebögen zu Schutzbedarf und Sicherheitsvorkehrungen im Einzelnen folgendes Schema: Auswertung der Fragekataloge zu Schutzbedarf und getroffenen Sicherheitsvorkehrungen: Zu jeder Frage gibt es fünf Antwortmöglichkeiten, denen jeweils ein Wert von 0 bis 100 Prozent zugeordnet ist. Hierbei gibt 0 % das Minimum und 100 % das Maximum an, d.h. 0 % bedeutet keinen Schutzbedarf bzw. keine Sicherheitsvorkehrungen und 100 % bedeuten sehr hohen Schutzbedarf bzw. umfassende Sicherheitsvorkehrungen. Jede Frage ist nun mindestens einem der oben genannten Fragenkomplexe zugeordnet. Für einen Fragebogen wird nun zum einen der geometrische Mittelwert der Werte aller zu einem jeweiligen Fragenkomplex gehörenden Antworten der Pauschal-Fragen, als auch in äquivalenter Weise das Mittel der Detailfragen bestimmt. Ist eine Frage beiden Fragenkomplexen zugeordnet, so geht der Wert der Antwort in beide entsprechenden Mittelwerte ein. Das endgültige Ergebnis für den jeweiligen Fragenkomplex ergibt sich nun durch eine weitere geometrische Mittelung der beiden sich für den jeweiligen Fragenkomplex ergebenen Werte für Pauschal- und Detailfragen. Die während der Berechnung auftretenden Zahlenwerte werden jeweils auf das nächste ganzzahlige Vielfache von 25 gerundet, so das das Ergebnis der Berechnung eindeutig einer der fünf Kategorien für Schutzbedarf und Sicherheitsvorkehrungen zugeordnet werden kann. Dem Nutzer bieten die beiden Seiten Übersichtsinformationen zum Schutzbedarf / Übersichtsinformationen zu den Sicherheitsvorkehrungen die Möglichkeit zu einem ausgewählten Objekt die bei der Berechnung ermittelten Werte sich in tabellarischer Form detailliert anzuschauen. Um die größtmöglichen Außreißer der ermittelten Werte leichter identifizieren zu können, wird in der Gesamtergebnisspalte hierbei jeweils das Maximum bzw. Minimum der ermittelten Werte von Schutzbedarf bzw. Sicherheitsvorkehrungen angegeben.

11 Page 11 of 16 Hinweise zum Schutzbedarf und zugehörigen Fragebögen An dieser Stelle werden Ihnen einige Informationen zum Schutzbedarf, der Darstellung in der Übersichtsseite und zur Ermittlung des Schutzbedarfs gegeben. Schutzbedarf und die Visualisierung der Ergebnisse Der Schutzbedarf eines Datenendgerätes ergibt sich aus den Schäden, die entstehen, wenn die Integrität und Vertraulichkeit der Daten verletzt wird oder die Daten und Dienste nicht verfügbar sind. Das heißt, Schäden, die zu erwarten sind, wenn das Datenendgerät z.b. defekt ist, zerstört wird oder sich unbefugte Dritte Zugang zum Datenmaterial verschaffen. Zusätzlich spielt der materielle Wert des Datenendgerätes eine Rolle, also welche finanziellen Folgen ergeben sich aus dem Verlust oder der Reparatur des Datenendgerätes. Die Fragen aus dem Fragenkatalog zur Ermittlung des Schutzbedarfs der Datenendgeräte behandeln diese Thematik. Jede Antwort steht für einen Wert von 0 bis 100 in 25er Stufen. Dabei steht 0 für keinen Schutzbedarf, 25 für einen geringen Schutzbedarf, 50 für einen mittleren, 75 für einen hohen und 100 für einen sehr hohen Schutzbedarf. Aus diesen numerischen Werten wird das geometrische Mittel berechnet und auf das nächste ganzzahlige Vielfache von 25 gerundet und als Wert einer Schutzbedarfskategorie zugeordnet. Im Einzelnen ergeben sich daraus folgende Schutzbedarfskategorien, denen die Datenendgeräte zugeordnet werden können: Kein Schutzbedarf Geringer Schutzbedarf Mittlerer Schutzbedarf Hoher Schutzbedarf Sehr hoher Schutzbedarf Der Fragenkatalog zur Ermittlung des Schutzbedarfs Mit diesem Fragenkatalog soll der Schutzbedarf des von Ihnen betreuten IT-Endgerätes festgestellt werden. Der Schutzbedarf definiert sich hier ausschließlich aus den anzunehmenden Schäden, die entstehen, wenn die Daten und Dienste des betrachteten IT-Endsystems nach einem auslösenden Ereignis (durch spezifische Bedrohungen wie Vireninfektion, Passwortkompromittierung, Stromausfall, Brand etc.) beeinträchtigt werden und so mindestens einer der Grundwerte der IV-Sicherheit (Verfügbarkeit, Integrität, Vertraulichkeit) verletzt wird (vgl. Abb. Schutzbedarf). Dabei ergibt sich der Schutzbedarf aus den unmittelbaren Schäden (z.b. Verlust eines Rechners durch Brand) und durch die möglichen Folgeschäden (z.b. Schadensersatzforderungen, Produktionsausfallkosten). Sie werden gebeten, mit Ihren Antworten eine qualitative Bewertung der möglichen Schädigungen mit Werten zwischen 0% und 100% durchzuführen; als Hilfestellung zur Einordnung kann Ihnen die Erläuterung zum Schutzbedarf dienen. Eine quantitative Bewertung mit bezifferten Schadenshöhen wäre hier zu aufwendig und ist unter verschiedenen Aspekten auch kaum möglich (z.b. negative Außenwirkungen, "Ruf der Universität", Schädigung durch Ansehensverlust). Vielmehr soll Ihre persönliche Wertung helfen, eine relative Bewertung aufzustellen, die für die Notwendigkeit und Durchführung von Schutzmaßnahmen eine Dringlichkeitsreihenfolge ergibt. Bitte berücksichtigen Sie auch bei Ihrer Bewertung, mit welcher Wahrscheinlichkeit beim Auftreten von Folgeschäden zu rechnen ist - nicht jeder Vertraulichkeitsverlust muss gleich zwangsläufig zu größten Produktionsausfallschäden führen, auch wenn ein solches Ausmaß grundsätzlich denkbar wäre. Die Bewertung der Schadenshöhe zusammen mit dieser Folgeschädenwahrscheinlichkeit führen Sie bitte in Anlehnung an Abb. Folgeschädenbewertung durch. Ausser Betracht bleibt bei der Schutzbedarfsbetrachtung hier die Wahrscheinlichkeit für Schäden auslösende Ereignisse (z.b. Feuerausbruch, Denial-of-Service-Attacke, Versand einer Virus behafteten an das IT-System) und auch der Einfluss von Schutzmaßnahmen (z.b. Brandmeldeanlagen oder Feuerlöscheinrichtungen, Intrusion-Prevention-Systeme, Viren-Scanner). Betrachten Sie vielmehr allein die Schadenswahrscheinlichkeit und -höhe nach einem angenommenem Primärereignis (gefährdendes Ereignis). Gefragt ist beim Schutzbedarf also überhaupt nicht, ob oder wie oft Virenattacken stattfinden und ob oder wie effektiv diese durch Schutzmaßnahmen unschädlich gemacht werden, sondern z.b. ob eine einmal eingetretene Verletzung der Vertraulichkeit oder Integrität von Daten, z.b. durch Virenangriff, Datendiebstahl oder beliebige andere Bedrohungen, zu einem mehr oder minder großen Schaden (z.b. Verlust möglicher Patentrechte) führen kann und wie häufig dieser Folgeschaden in Bezug auf dieses einmal eingetretene Primärereignis erwartet werden muss. Bitte beachten Sie bei Ihren Antworten auch, dass ein Datenendgerät z.b. nicht unbedingt selbst zur Speicherung schutzbedürftiger Daten dient, dass jedoch dadurch, dass über dieses Gerät Daten zeitweise bearbeitet oder auch nur visualisiert werden oder z.b. administrativer Zugang zu den zentralen Anwendungssystemen gewährt wird, nach einem sicherheitsrelevanten Vorfall (Folge-)Schäden eintreten könnten, als ob das Daten speichernde Geräte oder das zentrale Anwendungssystem selbst unmittelbar betroffen wäre. Insgesamt handelt es sich um vier Themenbereiche, die aus sicherheitsrelevanten Gesichtspunkten beleuchtet werden. Dies sind: Verstöße gegen Gesetze, Beeinträchtigungen der Unversehrtheit, Beeinträchtigungen der Aufgabenerfüllung und finanzielle Auswirkungen. Diese Themenbereiche werden unter den Aspekten Integrität/Vertraulichkeit der Daten und Verfügbarkeit der Daten und Dienste betrachtet. Die Fragen sind in mehreren Gruppen angeordnet. Dabei ist die erste Frage einer Fragengruppe immer eine pauschale Frage, die Ihre persönliche zusammenfassende Wertung abruft. Bei den anschließenden Fragen handelt es sich um Detailfragen, die den gleichen Themenkomplex differenzierter behandeln. Um eine Aussage über den Schutzbedarf zu erhalten ist es ausreichend alle Pauschalfragen und nicht die Detailfragen oder alle Detailfragen und nicht die Pauschalfragen zu beantworten. Sollten Sie den Fragenkatalog zum ersten Mal bearbeiten, so wird empfohlen, die Detailfragen zu beantworten oder wenigstens zu lesen, um ein besseres Verständnis für die Hintergründe der Fragen und die Zusammenhänge zu bekommen. Darüber hinaus ist es auch stets erwünscht, die Detailfragen zu beantworten, da man hierdurch ein differenzierteres Bild erhält, das genauere Schlussfolgerungen für zukünftige Maßnahmen zulässt. Die Symbole vor den Pauschalfragen geben je eingegeben werden.weils an, ob sich der Fragenkomplex auf Integrität und Vertraulichkeit der Daten ( ), auf Verfügbarkeit der Daten und Dienste ( ) oder auf beides bezieht.

12 Page 12 of 16 Hinweise zu Sicherheitsvorkehrungen und zugehörigen Fragekatalogen Sicherheitsvorkehrungen und die Visualisierung der Ergebnisse Die Sicherheitsvorkehrungen beschreiben die Maßnahmen, die umgesetzt wurden, um ein Datenendgerät und dessen Umfeld zu schützen. Dabei wird unterschieden zwischen den Schutzmaßnahmen für Integrität und Vertraulichkeit der Daten und Schutzmaßnahmen zur Sicherstellung der Verfügbarkeit der Daten und Dienste. Die Fragenkataloge zur Ermittlung der Sicherheitsvorkehrungen beziehen sich auf das Datenendgerät selbst und auf dessen Umfeld, wozu der geräteseitige Netzanschluss, der netzseitige Anschluss, die Netzzone und der Standort des Datenendgerätes gehören, z.b. werden der Virenschutz für das Datenendgerät, die Beschaffenheit des Raumes oder die Maßnahmen zur Verhinderung eines Brandes behandelt. Der Status der Sicherheitsvorkehrungen des Datenendgerätes und dessen Umfeldes ergeben sich aus den Antworten, indem diese wie folgend beschrieben ausgewertet werden: Jede Antwort steht für einen Wert von 0 bis 100 in 25er Stufen. Dabei steht 0 für keine Sicherheitsvorkehrungen, 25 für geringe Sicherheitsvorkehrungen, 50 für wichtige, 75 für weit reichende und 100 für umfassende, durchgreifende Sicherheitsvorkehrungen. Aus diesen Werten wird das geometrische Mittel berechnet und auf die nächste 25er Stufe gerundet, die dann den Status der Sicherheitsvorkehrungen des Datenendgerätes und dessen Umfeldes ergibt. Im Einzelnen ergeben sich daraus folgende Status der Sicherheitsvorkehrungen, denen die Datenendgeräte, die geräteseitigen Netzanschlüsse, die netzseitigen Anschlüsse, die Netzzonen und die Räume zugeordnet werden: Keine Sicherheitsvorkehrungen Geringe Sicherheitsvorkehrungen Wichtige Sicherheitsvorkehrungen Weit reichende Sicherheitsvorkehrungen Umfassende, durchgreifende Sicherheitsvorkehrungen Erläuterungen zu den Fragenkatalogen zur Ermittlung der Sicherheitsvorkehrungen Mit diesem Fragenkatalog sollen die Sicherheitsvorkehrungen des von Ihnen betreuten IT-Endgerätes festgestellt werden. Sofern es sich um Räume handelt, können mehrere Personen als technisch verantwortlich aufgelistet sein. In diesem Fall entscheiden Sie bitte, wer von den genannten Personen den Raum bzgl. der Sicherheitsvorkehrungen beurteilt. Gehen mehrere beantwortete Fragebögen ein, so wird ausschließlich der zuletzt eingegangene berücksichtigt. Bitte wählen Sie bei den jeweiligen Fragen die Antwort, die Ihrer Meinung nach am ehesten die Sicherheitsvorkehrungen beschreibt. Als Hilfestellung zur Einordnung kann Ihnen die Erläuterung zum Schutzbedarf dienen. Die Prozentangaben vor den Antworten dienen der Einordnung der Sicherheitsvorkehrungen, die Antworten sind als Richtlinien gedacht. Ist nur die Prozentangabe und keine Antwort angegeben, so ist die Sicherheitsvorkehrung zwischen der höheren und der niedrigeren Antwort einzuordnen. Die erste Frage einer Fragengruppe ist eine pauschale Frage, die sich auf Ihre persönliche Einschätzung bezieht. Bei den anschließenden Fragen handelt es sich um Detailfragen, die den gleichen Themenkomplex behandeln. Um eine Aussage über den Status der Sicherheitsvorkehrungen zu erhalten ist es ausreichend alle Pauschalfragen und nicht die Detailfragen oder alle Detailfragen und nicht die Pauschalfragen zu beantworten. Sollten Sie den Fragenkatalog zum ersten Mal bearbeiten, so wird empfohlen, die Detailfragen zu beantworten oder wenigstens zu lesen, um ein besseres Verständnis für die Hintergründe der Fragen und die Zusammenhänge zu bekommen. Darüber hinaus ist es auch stets erwünscht die Detailfragen zu beantworten, da hierdurch ein differenzierteres Bild entsteht, das genauere Schlussfolgerungen für zukünftige Maßnahmen zulässt. Wenn Sie der Meinung sind, dass eine Fragestellung nicht auf die Situation Ihres IT-Endgerätes anwendbar ist, dann geben Sie bitte an "Trifft ni zu". Wenn Sie eine Frage als nicht zutreffend bewerten, wird diese Frage aus der Bewertung genommen; verwenden Sie diese Option deshalb b nur nach strengen Maßstäben. Grundsätzlich besteht auch die Möglichkeit eine Frage mit "Keine Angabe" zu beantworten. Hierbei kann oder soll keine Antwort gegeben werden - aus welchen Gründen auch immer - wobei aber die Fragestellung grundsätzlich als zutreffend angesehen wird. Die Frage wird markiert und sollte falls möglich zu einem späteren Zeitpunkt beantwortet werden. In der Übersicht "Fragenkataloge und Ergebnisse" werden mit "keine Angabe" gekennzeichnete Fragen extra ausgewiesen. Sind zuviele Fragen "keine Angabe" gekennzeichet, wird der Fragebogen mit "Antworten für Berechnung unzureichend" markiert. Die Symbole vor den Pauschalfragen geben jeweils an, ob sich der Fragenkomplex auf Integrität und Vertraulichkeit der Daten ( Verfügbarkeit der Daten und Dienste ( ) oder auf beides bezieht. ), auf

13 Page 13 of 16 Sonstige Hinweise Antwortmuster Antwortmuster dienen der vereinfachten und schnelleren Bearbeitung der jeweiligen Fragenkataloge des Security-Audits. Sind Antwortmuster definiert, so können diese durch Kopieren in die Fragenkataloge der entsprechenden Objekte (Datenendgeräte, geräteseitge Netzanschlüsse, netzseitige Anschlüsse, Räume) übernommen werden. Die Fragenkatalogart legt fest, welcher Fragenkatalog mit dem Antwortmuster bearbeitet werden kann. Zur Auswahl stehen Antwortmuster für den Schutzbedarf der Datenendgeräte die Sicherheitsvorkehrungen bei den Datenendgeräten die Sicherheitsvorkehrungen bei den geräteseitigen Netzanschlüssen (Netzadapter) die Sicherheitsvorkehrungen bei den netzseitigen Anschlüssen (Anschlussdose o.ä.) die Sicherheitsvorkehrungen bei den Räumen Auf der Übersichtsseite zu den Antwortmustern sind alle Antwortmuster, die für die Ihnen zugeordneten NIC_online Administrationsgruppen zur Verfügung stehen, tabellarisch aufgelistet. Im unteren Bereich der Tabelle sind Antwortmuster aufgelistet, die vom ZIV vordefiniert sind und als Orientierung dienen. Sie können nicht von Ih editiert oder gelöscht werden, können aber kopiert und dann dem Bedarf entsprechend angepasst werden. Über eine Zuordnung einzelner Antwortmuster zu bestimmten Gruppen können Sie festlegen, welche Antwortmuster den Mitgliedern einer NIC_online Administrationsgruppe zur Beantwortung der Fragenkataloge zur Verfügung gestellt werden soll. Den jeweiligen NIC_online Administrationsgruppen werden nur die ihnen zugeordneten Antwortmuster zur Auswahl angeboten. Antwortmuster können neu erstellt werden. Die Eingabemaske zur Definition neuer Antwortmuster erreichen Sie über den Link "Neues Muster anlegen" in der Tabelle unterhalb der für Ihren Bereich bereits bestehenden Antwortmuster. Es besteht aber auch die Möglichkeit, beantwortete Fragenkataloge als Muster zu übernehmen. Diese Funktion finden Sie, sofern Sie zum Definieren von Mustern berechtigt sind, auf der Seite zum Ausfüllen der Fragenkataloge. Über den mit gekennzeichneten Link können Sie Musterantworten abrufen und in Fragenkataloge für Objekte übernehmen. Seit Mitte Januar '07 verfügt das ISIDOR-Security-Audit über ein Backtracking bei der Anwendung von Antwortmustern. D.h. es wird in der Datenbank protokolliert, wann und auf welchen Fragebogen Sie ein Antwortmuster angewendet haben. Dies hat zur Folge, dass wann immer Sie den Fragenkatalog eines Antwortmusters abändern, Sie die Möglichkeit haben, dieses geänderte Muster auf sämtliche Fragebögen erneut anzuwenden, die auf dem original Muster basieren. Da der Fall denkbar wäre, dass Sie nicht dazu berechtigt wären, das geänderte Muster auf sämtliche Fragebögen anzuwenden, werden sämtliche Nutzer, die Mitglied einer NIC-Online-Administrationsgruppe sind, die dem geänderten Muster zugewiesen ist und die von der Änderung betroffen sind, benachrichtigt. Diese Benachrichtigung erfolgt in Form einer Warnung bezüglich des/der geänderten Antwortmuster auf der ISIDOR- Einstiegsseite. Über einen Link innerhalb der Warnmeldung haben die Nutzer dann die Möglichkeit, sich die betroffenen Fragebögen und Musterantworten im Detail anzuschauen. Zusätzlich haben besteht hier die Möglichkeit die Änderungen für die betroffenen Fragebögen zu bestätigen ( ) oder zurückzuweisen ( ). Ein zurückweisen der Änderungen, hat ein Löschen der Information, dass die Antworten des entsprechenden Fragebogens auf der ursprünglichen Version des jeweiligen Musters basiert. Für den Fall, dass die Änderungen bestätigt werden, wird der Musterantwortbogen auf den entsprechenden Fragebogen erneut angewendet. Änderungen an Antwortmustern, die Sie vornehmen, werden zusammen mit ihrer Nutzerkennung protokolliert, so dass ein Ansprechpartner für eventuelle Rückfragen leichter ausfindig gemacht werden kann. Kopieren von Antworten Es gibt die Möglichkeit über den mit gekennzeichneten Link die innerhalb eines Fragebogens gegebenen Antworten eines Objektes auf andere Objekte zu übertragen. Hierbei wird der entsprechende Fragebogen des zweiten Objektes mit den Antworten des ersten Objektes versehen. Ist ein Fragebogen noch nicht hinreichend beantwortet (roter Link), so ist diese Funktion gesperrt und der Link ausgegraut. Basieren die Antworten eines Fragenkatalogs auf einem Antwortmuster, so haben Sie die Möglichkeit beim Kopieren von Antworten dieses Fragenkatalogs mittels das Antwortmuster auf eine ganze Klasse von Datenendgeräten anzuwenden. Diese Option wird Ihnen beim Kopieren Antworten zur Verfügung gestellt! NIC_Online Administrationsgruppen Sie haben Möglichkeit Informationen über Datenendgeräte zu bearbeiten oder einzusehen, für die entweder Sie direkt als technisch/leitend Verantwortlicher eingetragen sind oder die sich in einer NIC_Online Administrationsgruppe befinden, der Sie angehören. Aus diesem Grund haben Sie auf der Eingangsseite für das Security-Audit die Möglichkeit sich "Fragenkataloge und Ergebnisse" oder "statistische Auswertungen" nach diesem Rechteschema anzuschauen. Wenn Sie sich die Auswahl "entsprechend NIC_Online Administrationsgruppen" anzeigen lassen, erscheint jeweils eine weitere Auswahlseite, in der Sie die entsprechende Gruppe auswählen müssen. Statistische Auswertungen Sofern bereits Antworten zum Security-Audit gegeben wurden, können statistische Auswertungen abgerufen werden. In einer ersten Tabelle sehen Sie eine Auflistung, wie viele Datenendgeräte unter Berücksichtigung der Auswahlkriterien den einzelnen Schutzbedarfskategorien zugeordnet sind. Auf der linken Seite des Tabellenrandes ist die Bezeichnung des Gliederungskriteriums angegeben. In der nächsten Spalte ist die Gesamtzahl der zugehörigen Datenendgeräte genannt, in eckigen Klammern dahinter steht, bei wie vielen Datenendgeräten der Schutzbedarf noch nicht ermittelt wurde. Ist noch nicht für jedes Datenendgerät der Schutzbedarf festgestellt, so sind die Zahlen rot dargestellt. In den weiteren Spalten ist ausgegeben, wie viele Datenendgeräte den einzelnen Schutzbedarfskategorien angehören. In einer zweiten tabellarischen Auflistung ist angegeben, wie viele Datenendgeräte und deren Umfelder keine ausreichenden

14 Page 14 of 16 Sicherheitsvorkehrungen aufweisen. Die Sicherheitsdefizite werden ermittelt, indem die Status der Sicherheitsvorkehrungen der einzelnen Datenendgeräte, der geräteseitigen Netzanschlüsse, der netzseitigen Anschlüsse, der Netzzonen und der Standorte mit dem Schutzbedarf der zugehörigen Datenendgeräte verglichen werden. Die Zahlen in der Tabelle geben an, bei wie vielen Datenendgeräten die Status der Sicherheitsvorkehrungen niedriger sind, als der für das Datenendgerät ermittelte Schutzbedarf, wo also Handlungsbedarf besteht. Die jeweiligen Zahlenangaben in den Übersichtstabellen sind als Link realisiert, über welche Sie direkt zur Übersichtsseite "Fragenkataloge und Ergebnisse" mit entsprechend gesetzten Filtern gelangen. Bei NIC_online Administrationsgruppen mit hinter dem Namen in der ersten Tabelle handelt es sich um Gruppen, die vom ZIV angelegt wurden. Über einen Klick auf das Symbol werden alle Einrichtungen, die zu dieser Gruppe gehören, aufgelistet.

15 Page 15 of 16 FAQ - Häufig gestellte Fragen Fragen: 1. Ich bearbeite schutzbedürftige Daten nur per Remote-Desktop, ist mein Rechner damit nicht generell niedriger einzustufen? 2. Ich bekomme für einige Rechner mehr/weniger Fragen bei der Ermittlung der vorhandenen Sicherheitsvorkehrungen angezeigt. Ist das ein Bug in ISIDOR? 3. Ich habe ein Antwortmuster übernommen aber die Eingaben werden nicht direkt übernommen! 4. Im Fragenkatalog xyz wird ein Sachverhalt hinterfragt, der sich nicht auf die hisige Situation anwenden lässt. Was soll ich tun? 5. Ich habe einen Fragebogen komplett beantwortet und habe nur eine Frage mit 0% beantwortet. Trotzdem bekomme ich ein Sicherheitsdefizit! 6. Warum erfolgt die Datenerhebung systembasiert und nicht daten- und dienstebasiert? 7. Warum soll das Security-Audit überhaupt durchgeführt werden? Antworten: 1. DRAFT! -->Kurz und knapp: Nein! Der Schutzbedarf eines Rechners richtet sich nach dem "größten Unheil", das von diesem Rechner aus angerichtet werden kann. Am Beispiel des Remote-Desktops erklärt bedeutet das, dass über einen auf dem lokalen PC installierten Keylogger Benutzerkennung und Passwort für den Remote-Desktop ausgespäht werden können. Der lokale Rechner ist also so einzustufen, wie ein Rechner, von dem aus die Daten direkt bearbeitet werden könnten. Lediglich für die Verfügbarkeit dürften in der Regel andere Bedingungen gelten.<-- DRAFT! 2. Keineswegs. ISIDOR ermittelt anhand des Schutzbedarfs die sinnvollen Fragen für jeden Rechner. So wird die aufzuwendende Zeit für das Security-Audit möglichst gering gehalten. 3. Hier hilft es, wenn man sich die Antworten noch einmal anschaut und ganz unten mit "Antworten übernehmen" quittiert. 4. Für den Fall, dass ein abgefragter Sachverhalt nicht auf die vorliegende Situation anwendbar ist, sollte diese Frage mit "Trifft nicht zu" beantwortet werden. In diesem Fall wird die Frage aus der Bewertung herausgenommen. 5. Die Berechnung der jeweiligen Kategorien für den Schutzbedarf oder Sicherheitsvorkehrungen erfolgt auf Basis einer geometrischen Mittelung der angegebenen Werte. Da hierbei im Wesentlichen sämtliche Werte auf multipliziert werden, ergibt sich bei einer einzigen "Null" zwangsläufig ein gemittelter Wert von 0 - Also u.u. ein Sicherheitsdefizit. Sie sollten unter Umständen überlegen, ob die Fragestellung auf den aktuellen Fall anwendbar ist. Ansonsten sollten Sie wie hier verfahren. 6. Den Fragebögen des SA liegt eine systembasierte Datenerhebungsstrategie zugrunde. Diese wurde aus folgenden Gründen einer datenund dienstebasierten Strategie vorgezogen: In der Praxis sind häufig verschiedene Personen(kreise) für die verschiedenen angebotenen Dienste und Daten verantwortlich. Im schlimmsten Fall könnten sich für jedes System mehrere unterschiedliche Einzelpersonen als zuständig erweisen. Ein rasch anwachsender, für die Befragung zuständiger Personenkreis wäre die Folge. Zusätzlich stellt sich bei dieser Problematik die Frage der Identifizierung der jeweiligen zuständigen Personen(kreise), die zur Durchführung der Befragung im Stande wären. Eine eindeutige Zuordnung, wie es sie auf der Systemseite durch leitend bzw. technisch Verantwortliche gibt, existiert nicht. Außerdem sind im Allgemeinen angebotene Daten und Dienste über mehrere Systeme (evtl. aus Redundanzgründen) verteilt. Bevor eine hierauf basierende Befragung durchzuführen wäre, gilt es also zunächst festzustellen auf welchen Systemen die jeweiligen Daten und Dienste angeboten werden. Beim systembasierten Ansatz stellen sich die genannten Probleme nicht, da hier auf der einen Seite die personellen Verantwortungen eindeutig festgelegt sind. Auf der anderen Seite wird eine weite Streuung - über Systemgrenzen hinweg - durch den systembasierten Ansatz ausgeschlossen. Ein weiterer Vorteil des systembasierten Ansatzes ist die Tatsache, dass die Systeme datenbankseitig bereits erfasst sind und somit bereits die zu evaluierende Datenbasis feststeht. Wie sich auch in den o.g. Gründen widerspiegelt, existieren diese Informationen für den daten- und dienstebasierten Ansatz noch nicht, so dass der Durchführung eines hierauf basierenden SA eine Erfassung einer zugehörigen Datenbasis vorangehen müsste. Aus diesen Gründen wurde und wird von uns ein vereinfachter, systembasierter Ansatz für die Erfassung als sinnvoll erachtet. 7. Hierfür gibt es viele verschiedene Gründe. Vielen technisch Verantwortlichen ist nicht bewusst, welches Gefährdungspotential von den von ihnen betreuten Rechnern ausgeht. ISIDOR soll zum einen dabei helfen das Sicherheitsbewusstsein der Verantwortlichen zu schärfen und zum anderen kann über die Auswerung der Daten ein sinnvolles - und vor allem bezahlbares - IT-Schutzkonzept für WWU und UKM entwickelt werden. Z.B. reichen manchmal schon so einfache Dinge aus, wie die Zugriffsmöglichkeiten auf einen Server per Firewall-Konfiguration auf wenige Rechner zu beschränken.

16 Page 16 of 16 Glossar Administrationsgruppe (NIC-Online) Aufstellung des Datenendgerätes Bildschirmschoner Bildschirmsperre Brandlasten Computer-Virus, Meldung eines Datenendgerät Datensicherungskonzept Datenverschlüsselung Domain Firewallfunktionalitäten FTP / File-Transfer-Protocol Hard- und Softwaremanagement Kryptokonzept Log-Datei Minimaldatensicherungskonzept Netzknoten Netzknoten, Absicherung eines Organisation Personalausfall RAID Schaden, ideller Schaden, materieller Schulungsmaßnahmen Sicherheitsvorfälle Sicherheitsvorfälle, Nachbearbeitung von Sicherheitsvorfällen, Verhaltensregeln bei Sicherungsdatenträger Stromversorgung, Ausfall der Telnet (Terminal Network) Überwachungssysteme Verantwortlichkeit Verkabelung, Gefährdungen bei der Virenschutzkonzept Virenschutzstrategie Virensuchprogramm, Einsatz eines Wartungs- / Reparaturarbeiten, allgemein Wartungs- / Reparaturarbeiten, ausführlich WWW-Dienst Zugriffsberechtigungen Zentrum für Informationsverarbeitung (Universitätsrechenzentrum) / :53:03 / Netz-Informations-Center (NIC)

Empfehlungen für die Verwendung des Cloudspeicherdienstes sciebo

Empfehlungen für die Verwendung des Cloudspeicherdienstes sciebo Empfehlungen für die Verwendung des Cloudspeicherdienstes sciebo IV-Sicherheitsteam der WWU November 2014 Dieses Dokument soll darüber aufklären, welche Daten von Mitgliedern und Angehörigen der WWU in

Mehr

Richtlinie für die Verwendung des Cloud-Speicherdienstes sciebo an der Fachhochschule Südwestfalen

Richtlinie für die Verwendung des Cloud-Speicherdienstes sciebo an der Fachhochschule Südwestfalen Richtlinie für die Verwendung des Cloud-Speicherdienstes sciebo an der Fachhochschule Südwestfalen Rektorat der FH SWF - 11.02.2015 Dieses Dokument soll darüber aufklären, welche Daten von Mitgliedern

Mehr

Richtlinien der HHU für die Verwendung von Sync & Share NRW

Richtlinien der HHU für die Verwendung von Sync & Share NRW Richtlinien der HHU für die Verwendung von Sync & Share NRW HHU 21. Januar 2015 Sync & Share NRW ist ein Cloud-Storage-Dienst zu Zwecken von Forschung, Lehre, Studium und Hochschulverwaltung. Die in Sync

Mehr

Empfehlungen für die Verwendung von Sciebo (Sync & Share NRW)

Empfehlungen für die Verwendung von Sciebo (Sync & Share NRW) Stand 06. März 2015 Empfehlungen für die Verwendung von Sciebo (Sync & Share NRW) IV-Sicherheitsteam der WWU Juni 2014, angepasst für Mitglieder und Angehörige der FH Köln Dieses Dokument, das mit freundlicher

Mehr

Universität Bielefeld

Universität Bielefeld Universität Bielefeld IT-Sicherheitsrichtlinie zur Handhabung von IT-Sicherheitsvorfällen Referenznummer Titel Zielgruppe IT-SEC RL010 IT-Sicherheitsrichtlinie zur Handhabung von IT- Sicherheitsvorfällen

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

Informationen zur Risikoanalyse für die Verwendung von Sitzgurten mit verschiedenen Liftertypen. 25. November 2010

Informationen zur Risikoanalyse für die Verwendung von Sitzgurten mit verschiedenen Liftertypen. 25. November 2010 Informationen zur Risikoanalyse für die Verwendung von Sitzgurten mit verschiedenen Liftertypen. 25. November 2010 In den grundlegenden Anforderungen im Anhang 1 der Richtlinie über Medizinprodukte, EG-Richtlinie

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Methodische, softwaregestützte Risikobeurteilung

Methodische, softwaregestützte Risikobeurteilung Methodische, softwaregestützte Risikobeurteilung Ziel der Risikobeurteilung ist es, die von einem Produkt ausgehenden Gefährdungspotenziale möglichst vollständig zu erfassen und Schutzmaßnahmen gegen sie

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

Mitarbeitereinsatzplanung. easysolution GmbH 1

Mitarbeitereinsatzplanung. easysolution GmbH 1 Mitarbeitereinsatzplanung easysolution GmbH 1 Mitarbeitereinsatzplanung Vorwort Eines der wichtigsten, aber auch teuersten Ressourcen eines Unternehmens sind die Mitarbeiter. Daher sollten die Mitarbeiterarbeitszeiten

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

Gauß-IT-Zentrum. DHCP für Institute. Zielgruppe: DV Koordinatoren. Version 1.0

Gauß-IT-Zentrum. DHCP für Institute. Zielgruppe: DV Koordinatoren. Version 1.0 Gauß-IT-Zentrum DHCP für Institute Zielgruppe: DV Koordinatoren Version 1.0 1 DHCP für Institute Inhalt Dynamic Host Configuration Protocol (DHCP) für Institute 2 DHCP-Interface im KDD 2 DHCP beantragen

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen, IDEAS Übersicht # 1 Einleitung # 2 IT-Sicherheit wozu denn? # 3 IT-Sicherheit die Grundpfeiler # 4 IT-Sicherheit ein

Mehr

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang IT Security Audit Beschreibung Die Informatik ist immer stärker verantwortlich für das Erstellen und die Abwicklung von geschäftskritischen Abläufen und wird dadurch zum unmittelbaren Erfolgsfaktor eines

Mehr

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN 1 Bayerischer IT-Sicherheitscluster e.v. 09.10.2015 REFERENT Claudia Pock Sales Managerin IT Security Applied Security

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen

2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen Stellungnahme des Gesamtverbandes der Deutschen Versicherungswirtschaft ID-Nummer 6437280268-55 sowie des Verbandes der Privaten Krankenversicherung zum Referentenentwurf des Bundesministeriums des Innern

Mehr

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz 3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz Institut für Informatik und Automation Dipl.-Inf. Günther Diederich Institut für Informatik und Automation In-Institut der Hochschule

Mehr

Makeln21: Akquise-Reporting

Makeln21: Akquise-Reporting Makeln21: Akquise-Reporting für Flowfact CRM Bearbeitungshistorie Vers. Datum Art der Bearbeitung Bearbeiter 1.0 13.04.2012 Erstversion Lars Loppe, MW 1 1.0.1 26.4.2012 kleine Überarbeitung der Installationsanleitung

Mehr

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster Informationssicherheit im mittelstand... > Bavarian IT Security & Safety Cluster > ein PROdUKt des BayeRisCHen it-sicherheits- ClUsteRs e.v. der Bayerische it-sicherheitscluster e.v. Der Bayerische It-sicherheitscluster

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

IT-Sicherheitsmaßnahmen in der Praxis an einer Hochschule

IT-Sicherheitsmaßnahmen in der Praxis an einer Hochschule IT-Sicherheitsmaßnahmen in der Praxis an einer Hochschule Do Markus Speer / speer@wwu.de 2 Agenda Ausgangsituation an der Universität Münster Tatsächliche Bedrohungen, Herausforderungen und technische

Mehr

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik.

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik. Forderungen zur Unternehmenspolitik aus diversen Normen und Regelwerken Feststellung und Dokumentation der Forderungen zur Unternehmenspolitik verschiedener Normen und Regelwerke. Schritt 1: Hier auszugsweise

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement und der IT-Sicherheit Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement 7.1 Risikoportfolio Vertraulichkeit Aufgabe: Gegeben seien folgende Werte einer Sicherheitsanalyse eines IT-Systems hinsichtlich

Mehr

Guideline. Integration von Google Adwords. in advertzoom Version 3.2

Guideline. Integration von Google Adwords. in advertzoom Version 3.2 Guideline Integration von Google Adwords in advertzoom Version 3.2 advertzoom GmbH advertzoom GmbH Stand Juni 2014 Seite [1] Inhalt 1 Google Adwords Schnittstelle... 3 1.1 Funktionsüberblick... 4 2 Externe

Mehr

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht zur Angemessenheit des Compliance-Management- Systems der IDEAL Lebensversicherung a.g. zur Umsetzung geeigneter Grundsätze und Maßnahmen

Mehr

(IT-SICHERHEITSRICHTLINIE)

(IT-SICHERHEITSRICHTLINIE) Senatsverwaltung für Inneres 1 1 RICHTLINIE ZUR GEWÄHRLEISTUNG DER NOTWENDIGEN SICHERHEIT BEIM IT-EINSATZ IN DER BERLINER VERWALTUNG (IT-SICHERHEITSRICHTLINIE) Senatsverwaltung für Inneres Ressortübergreifendes

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Mobilgeräte an der WWU

Mobilgeräte an der WWU Mobilgeräte an der WWU Denkanstöße & Probleme Brauchen wir eine Richtlinie? Z I V T. Küfer IV - Sicherheitsteam Mobilgeräte Was ist daran neu? Laptops gibt es schon lange Smartphones/Tablets Geräte werden

Mehr

Qualitätsmanagement-Handbuch

Qualitätsmanagement-Handbuch Prozessdatenblatt Prozessziel: Der Prozess Fehlermanagement im dient uns der eigenen kontinuierlichen Verbesserung, indem Fehler erfasst, bewertet und korrigiert werden - um deren erneutes Auftreten zu

Mehr

Hinweise zur Risikoanalyse und Vorabkontrolle nach dem Hamburgischen Datenschutzgesetz

Hinweise zur Risikoanalyse und Vorabkontrolle nach dem Hamburgischen Datenschutzgesetz Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Hinweise zur Risikoanalyse und Vorabkontrolle nach dem Hamburgischen Datenschutzgesetz Dr. Sebastian Wirth (Stand: 31. Januar 2008)

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

A-Plan 12.0. Zeiterfassung 2.0. Ausgabe 1.1. Copyright. Warenzeichenhinweise

A-Plan 12.0. Zeiterfassung 2.0. Ausgabe 1.1. Copyright. Warenzeichenhinweise A-Plan 12.0 Zeiterfassung 2.0 Ausgabe 1.1 Copyright Copyright 1996-2014 braintool software gmbh Kein Teil dieses Handbuches darf ohne ausdrückliche Genehmigung von braintool software gmbh auf mechanischem

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Sie können uns auch über unsere Postadresse kontaktieren: Engelbrecht Medizin- und Labortechnik GmbH, Postfach 10, 34293 Edermünde.

Sie können uns auch über unsere Postadresse kontaktieren: Engelbrecht Medizin- und Labortechnik GmbH, Postfach 10, 34293 Edermünde. Datenschutzerklärung Engelbrecht Medizin- und Labortechnik GmbH respektiert das Recht auf Privatsphäre Ihrer Online-Besucher und ist verpflichtet, die von Ihnen erhobenen Daten zu schützen. In dieser Datenschutzerklärung

Mehr

Amtliche Mitteilungen

Amtliche Mitteilungen Amtliche Mitteilungen Datum 26. Juli 2011 Nr. 25/2011 I n h a l t : Leitlinien zur Informationssicherheit der Universität Siegen Vom 26. Juli 2011 Herausgeber: Rektorat der Universität Siegen Redaktion:

Mehr

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013 Werte- und prozessorientierte Risikoanalyse mit OCTAVE Christian Aust.consecco Dr. Christian Paulsen DFN-CERT Was Sie erwartet Vorstellung von OCTAVE:

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Geschäftsprozessmanagement

Geschäftsprozessmanagement Geschäftsprozessmanagement Der INTARGIA-Ansatz Whitepaper Dr. Thomas Jurisch, Steffen Weber INTARGIA Managementberatung GmbH Max-Planck-Straße 20 63303 Dreieich Telefon: +49 (0)6103 / 5086-0 Telefax: +49

Mehr

Dipl.-Ing. Detlef Steffenhagen. Gliederung. Dipl.-Ing. Detlef Steffenhagen

Dipl.-Ing. Detlef Steffenhagen. Gliederung. Dipl.-Ing. Detlef Steffenhagen Gliederung 1. Eingangsverpflichtung 2. Parameter des Systems 3. Funktionsanalyse 4. Gefährdungsanalyse 5. 6. Risikobewertung Eingangsverpflichtung 1. Verpflichtung zur 1.1 Arbeitsschutzgesetz: Nach 1 (Anwendungsbereich)

Mehr

Administrative Tätigkeiten

Administrative Tätigkeiten Administrative Tätigkeiten Benutzer verwalten Mit der Benutzerverwaltung sind Sie in der Lage, Zuständigkeiten innerhalb eines Unternehmens gezielt abzubilden und den Zugang zu sensiblen Daten auf wenige

Mehr

für den Helpdesk TOPIX Informationssysteme AG

für den Helpdesk TOPIX Informationssysteme AG Ticket-System für den Helpdesk TOPIX Informationssysteme AG Inhalt Tickets...2 Eigenschaften...2 Einstellungen...3 Das erste Ticket...4 Verknüpfungen mit den Tickets...5 Kategorienamen...6 Funktionen in

Mehr

Test GmbH Test 123 20555 Hamburg Hamburg

Test GmbH Test 123 20555 Hamburg Hamburg Test GmbH Test 123 20555 Hamburg Hamburg 29.07.2015 Angaben zum Unternehmen Unternehmensdaten Unternehmen Test GmbH Adresse Test 123 20555 Hamburg Hamburg Internetadresse http://www.was-acuh-immer.de Tätigkeitsangaben

Mehr

VORGEHENSMODELL RISIKOANALYSE

VORGEHENSMODELL RISIKOANALYSE VORGEHENSMODELL RISIKOANALYSE OKTIRON-CONSULT www.oktiron-consult.de Autor: Rolf-Dieter Wand Stand 08.2004 1 RISIKOANALYSE 3 1.1 Risikoanalysestrategien 3 1.1.1 Detaillierte Risikoanalyse 3 1.1.2 Grundschutzansatz

Mehr

Handreichung zum datenschutzgerechten Umgang mit besonders schützenswerten Daten beim Versand mittels De-Mail

Handreichung zum datenschutzgerechten Umgang mit besonders schützenswerten Daten beim Versand mittels De-Mail . E Bonn, 1. März 2013 Handreichung zum datenschutzgerechten Umgang mit besonders schützenswerten Daten beim Versand mittels De-Mail Die Handreichung soll die Nutzer von De-Mail für die datenschutzrechtlichen

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Enterprise Risk Management Due Diligence

Enterprise Risk Management Due Diligence Enterprise Risk Management Due Diligence.proquest Die richtigen Antworten auf die entscheidenden Fragen! A-4661 Roitham/Gmunden OÖ, Pfarrhofstraße 1 Tel. +43.7613.44866.0, Fax - DW 4 e-mail. office@proquest.at

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Grundlagen des Datenschutzes. Musterlösung zur 6. Übung im SoSe 2012: Risikomanagement

Grundlagen des Datenschutzes. Musterlösung zur 6. Übung im SoSe 2012: Risikomanagement und der IT-Sicherheit Musterlösung zur 6. Übung im SoSe 2012: Risikomanagement 6.1 Fehlerbaum Aufgabe: Erstellen Sie eine Fehlerbaum (Fault Tree Analysis) zu dem Fehlerereignis "mangelnde Verfügbarkeit

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Empfehlungen für die Vergabe von Passwörtern

Empfehlungen für die Vergabe von Passwörtern Berliner Beauftragter für Datenschutz und Informationsfreiheit Ratgeber zum Datenschutz Nr. 3 Empfehlungen für die Vergabe von Passwörtern Voraussetzung dafür, dass die Vertraulichkeit, Integrität und

Mehr

DGNB System Software: Unterschiede zwischen Version 1 und Version 2

DGNB System Software: Unterschiede zwischen Version 1 und Version 2 DGNB System Software: Unterschiede zwischen Version 1 und Version 2 1 DGNB GmbH 2015 Inhaltsverzeichnis (1) 1. Aufteilung in Web-Oberfläche und Client 2. Anmeldung in der Web-Oberfläche 3. Installieren

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Stichtagsinventur Lagerkennzahlen ABC-Analyse Lieferantenbewertung

Stichtagsinventur Lagerkennzahlen ABC-Analyse Lieferantenbewertung Stichtagsinventur Lagerkennzahlen ABC-Analyse Lieferantenbewertung Die in diesen Unterlagen enthaltenen Informationen können ohne gesonderte Mitteilung geändert werden. 42 Software GmbH geht mit diesem

Mehr

Qualitätsmanagementsystem nach DIN EN ISO 9001:2015

Qualitätsmanagementsystem nach DIN EN ISO 9001:2015 Qualitätsmanagementsystem nach DIN EN ISO 9001:2015 Quick Tour (Foliensatz für das Management) Karlsruhe, im Juni 2015 Qualitätsmanagement ist einfach. Sehr einfach. Wir zeigen Ihnen wie. ipro Consulting

Mehr

Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform. durch die Prüfstelle. greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg

Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform. durch die Prüfstelle. greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform durch die Prüfstelle greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg Dokumententitel: Erteilung des Datenschutz-Siegels Datenschutzkonform

Mehr

KompetenzManager http://www.kompetenzmanager.ch/mah Manual für die Benutzung der Website

KompetenzManager http://www.kompetenzmanager.ch/mah Manual für die Benutzung der Website KompetenzManager http://www.kompetenzmanager.ch/mah Manual für die Benutzung der Website Inhalt Inhalt... 1 1. Anmelden beim Kompetenzmanager... 3 2. Erstellen eines neuen Kompetenzprofils... 4 2.1. Wizard

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

Datenschutz-Leitlinie

Datenschutz-Leitlinie Datenschutz- Regelungsverantwortlich: Reinhard Schmid; SV 3 Version: 1.7.0 vom: 08.01.2015 Status: Gültig Dokumenttyp: Aktenzeichen: Schutzstufe: Zielgruppe: ggf. eingeben keine Schutzstufe Kunden, Dataport

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster)

Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Anlage 5: Mitarbeiter-Merkblatt zum Datenschutz Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Bei Ihrer Tätigkeit in unserem Unternehmen werden Sie zwangsläufig mit personenbezogenen Daten

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

FAQ zur Lehrveranstaltungsevaluation

FAQ zur Lehrveranstaltungsevaluation FAQ zur Lehrveranstaltungsevaluation 1. Online Befragung 1.1 Zugangsmöglichkeiten zu Online-Befragungen: Es gibt im Grunde 4 Möglichkeiten bzgl. der Online-LV-Evaluation, alle mit Vor- und Nachteilen:

Mehr

Daimler Nachhaltigkeitsbericht 2014 Compliance 47. Compliance

Daimler Nachhaltigkeitsbericht 2014 Compliance 47. Compliance Daimler Nachhaltigkeitsbericht 2014 Compliance 47 Compliance Compliance ist ein unverzichtbarer Teil der Integritätskultur bei Daimler. Für uns ist es selbstverständlich, dass wir uns an alle relevanten

Mehr

Interne Datensicherheit

Interne Datensicherheit Roadmap Interne Datensicherheit Inhalt: Analyse der Ist-Situation Anforderungsdefinition Auswahl der Lösungen Implementierung und Betrieb Nachhaltigkeit 1 2 3 4 5 Analyse der Ist-Situation 1. Bewertung

Mehr

Notfallmanagement & Business Continuity Management. SILA Consulting GmbH

Notfallmanagement & Business Continuity Management. SILA Consulting GmbH Notfallmanagement & Business Continuity Management SILA Consulting GmbH Notfallvorsorge Alle Menschen sind klug, die einen vorher, die anderen nachher. Eine alltägliche Situation Sie befinden sich auf

Mehr

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Anwenderdokumentation

Anwenderdokumentation Anwenderdokumentation SAP Supplier Lifecycle Management SAP SLC 1.0 SP02 Alle Rechte vorbehalten Inhaltsverzeichnis 1 SAP Supplier Lifecycle Management (SAP SLC)... Fehler! Textmarke nicht definiert. 1

Mehr

1. Makrozulassung in Excel - Version 2010 -

1. Makrozulassung in Excel - Version 2010 - Damit die Excel-Maske richtig funktioniert, achten Sie bitte unbedingt auf die Reihenfolge der folgenden Schritte! 1. Makrozulassung in Excel - Version 2010 - Da die Excel-Maske Makros enthält, sollten

Mehr

Virenschutz für SAP E-Recruiting

Virenschutz für SAP E-Recruiting Virenschutz für SAP E-Recruiting ein White-Paper E-Recruiting der Trend im Personalmarkt Viele Unternehmen realisieren mit dem Einsatz moderner E-Recruiting Technologie signifikante Einsparungen im Bereich

Mehr

Risikoanalyse mit der OCTAVE-Methode

Risikoanalyse mit der OCTAVE-Methode Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX)

Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX) Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX) Sommerakademie 2008 Internet 2008 - Alles möglich, nichts privat? Die Situation Multifunktionsgeräte (Drucker,

Mehr

Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet

Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet Arbeitskreis Gesundheit und Soziales der Konferenz der Datenschutzbeauftragten

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

- 1 - LOGION CMS. MedienService Ladewig

- 1 - LOGION CMS. MedienService Ladewig - 1 - LOGION CMS MedienService Ladewig - 2 - Administration Einführung: Warum Online Redaktion einfach sein kann... Wer Informationen aufbereitet und verteilt, steht mit den Mitteln moderner Informationstechnologie

Mehr

Leitfaden zur Inbetriebnahme von BitByters.Backup

Leitfaden zur Inbetriebnahme von BitByters.Backup Leitfaden zur Inbetriebnahme von BitByters.Backup Der BitByters.Backup - DASIService ist ein Tool mit dem Sie Ihre Datensicherung organisieren können. Es ist nicht nur ein reines Online- Sicherungstool,

Mehr

Zusatzbetriebsanleitung. Freude am Fahren MY BMW REMOTE ANDROID. ZUSATZBETRIEBSANLEITUNG.

Zusatzbetriebsanleitung. Freude am Fahren MY BMW REMOTE ANDROID. ZUSATZBETRIEBSANLEITUNG. Zusatzbetriebsanleitung Freude am Fahren MY BMW REMOTE ANDROID. ZUSATZBETRIEBSANLEITUNG. My BMW Remote Android Zu dieser Betriebsanleitung In dieser Betriebsanleitung sind alle My BMW Remote App Funktionen

Mehr

(IT-SICHERHEITSGRUNDSÄTZE)

(IT-SICHERHEITSGRUNDSÄTZE) Senatsverwaltung für Inneres und Sport 1 GRUNDSÄTZE ZUR GEWÄHRLEISTUNG DER NOTWENDIGEN SICHERHEIT BEIM IT-EINSATZ IN DER BERLINER VERWALTUNG (IT-SICHERHEITSGRUNDSÄTZE) (beschlossen vom Senat am 11.12.07)

Mehr

Suche schlecht beschriftete Bilder mit Eigenen Abfragen

Suche schlecht beschriftete Bilder mit Eigenen Abfragen Suche schlecht beschriftete Bilder mit Eigenen Abfragen Ist die Bilderdatenbank über einen längeren Zeitraum in Benutzung, so steigt die Wahrscheinlichkeit für schlecht beschriftete Bilder 1. Insbesondere

Mehr

DIE UNSTERBLICHE PARTIE 16.04.2010 2

DIE UNSTERBLICHE PARTIE 16.04.2010 2 Manfred Bublies Dynamisches Risikomanagement am Beispiel des BOS Digitalfunkprojekts in Rheinland-Pfalz Wo 16.04.2010 1 DIE UNSTERBLICHE PARTIE 16.04.2010 2 DEFINITION RISIKOMANAGEMENT Risikomanagement

Mehr

Allgemeine Nutzungsbedingungen (ANB) der Enterprise Technologies Systemhaus GmbH

Allgemeine Nutzungsbedingungen (ANB) der Enterprise Technologies Systemhaus GmbH Allgemeine Nutzungsbedingungen (ANB) der Enterprise Technologies Systemhaus GmbH 1 Allgemeines Diese allgemeinen Nutzungsbedingungen ( ANB ) gelten für die Nutzung aller Webseiten von Enterprise Technologies

Mehr

Datenschutz in deutschen Unternehmen Einstellung zum Datenschutz, Stand der Umsetzung und Rolle des Datenschutzbeauftragten

Datenschutz in deutschen Unternehmen Einstellung zum Datenschutz, Stand der Umsetzung und Rolle des Datenschutzbeauftragten Datenschutz in deutschen Unternehmen Einstellung zum Datenschutz, Stand der Umsetzung olle des Datenschutzbeauftragten 1 Einführung - Datenschutz in deutschen Unternehmen Die UIMCert führte in den vergangenen

Mehr