Onlinedokumentation und Informationen zum ISdioR-Security-Audit

Größe: px
Ab Seite anzeigen:

Download "Onlinedokumentation und Informationen zum ISdioR-Security-Audit"

Transkript

1 Page 1 of 16 Security-Audit - ISidoR PDF-Version der Online-Dokumentation Onlinedokumentation und Informationen zum ISdioR-Security-Audit Status der Dokumentation: DRAFT, letzte Änderung: Thomas Rensing :53:03

2 Page 2 of 16 Aufbau der Onlinedokumentation Auf den folgenden Seiten finden Sie Erläuterungen zu den einzelnen Seiten des Online-Verfahrens. Das Security-Audit an WWU und UKM Vorwort Ziele des Security-Audits Informationen zum Schutzbedarf und seinen Kategorien Verfahrensweise und Handhabung des Online-Verfahrens Die Übersichtsseite "Fragenkataloge und Ergebnisse" Detaillierte Informationen über das Berechnungsverfahren zur Evaluation Hinweise zum Schutzbedarf und zugehörigen Fragekatalogen Schutzbedarf und die Visualisierung der Ergebnisse Der Fragenkatalog zur Ermittlung des Schutzbedarfs Hinweise zu Sicherheitsvorkehrungen und zugehörigen Fragekatalogen Sicherheitsvorkehrungen und die Visualierung der Ergebnisse Erläuterung zu den Fragenkatalogen zur Ermittlung der Sicherheitsvorkehrungen Sonstige Hinweise Hinweise zu den Antwortmustern Hinweise zum Kopieren von Antworten Hinweise zu den NIC_Online Administrationsgruppen Hinweise zu der statistischen Auswertung FAQ - Häufig gestellte Fragen 1. Ich bearbeite schutzbedürftige Daten nur per Remote-Desktop, ist mein Rechner damit nicht generell niedriger einzustufen? 2. Ich bekomme für einige Rechner mehr/weniger Fragen bei der Ermittlung der vorhandenen Sicherheitsvorkehrungen angezeigt. Ist das ein Bug in ISIDOR? 3. Ich habe ein Antwortmuster übernommen aber die Eingaben werden nicht direkt übernommen! 4. Im Fragenkatalog xyz wird ein Sachverhalt hinterfragt, der sich nicht auf die hisiege Situation anwenden lässt. Was soll ich tun? 5. Ich habe einen Fragebogen komplett beantwortet. Dabei habe ich nur eine Frage mit 0% beantwortet. Hierdurch bekomme ich ein Sicherheitsdefizit! 6. Warum erfolgt die Datenerhebung systembasiert und nicht daten- und dienstebasiert? 7. Warum soll das Security-Audit überhaupt durchgeführt werden? Glossar Hier finden Sie ein Glossar mit Erläuterung zu Begriffen, die dem Auditor bei der Beantwortung der Fragebögen begegnen werden

3 Page 3 of 16 Das Security-Audit an WWU und UKM Vorwort Sicherheit in der IV ist Allerweltsthema. Es beginnt bei der individuellen Betroffenheit und reicht bis zu rechtlichen und wirtschaftlichen Weichenstellungen mit weit reichenden Konsequenzen, es beginnt bei den von Viren heimgesuchten Heim-PC-Nutzern, die einfach ihre Plagegeister los werden müssen, aber betrifft schließlich Wirtschaftsunternehmen, die durch gesetzliche Regelungen (Sarbanes-Oxley Act, Basel II oder KonTraG) verstärkt gezwungen sind, mit großem Aufwand die Sicherheit ihrer IT-Infrastrukturen (IT: Informationstechnologie) und IV-Prozesse im Rahmen eines Risiko-Managements nachzuweisen, um überhaupt noch im nationalen und globalen Markt agieren zu können. Auch für die Universität und das Universitätsklinikum ist die Fragestellung nach dem Stand der IV-Sicherheit natürlich von großer Bedeutung, in mancher Hinsicht auch existentiell. Nicht nur der Schutz von persönlichen Daten ist zu gewährleisten, um ein Beispiel zu nennen, wo unabweisbare rechtliche Rahmenbedingungen gesetzt sind. Sichere Informationsverarbeitung ist allein schon vor dem Hintergrund der Sicherung von Forschung und Lehre, der Krankenversorgung usw., allgemein für die Sicherung aller IT-gestützten Produktions- und Geschäftsprozesse notwendig und schließlich muss der Aufwand für die Beseitigung von direkten Schäden durch Sicherheitsvorfälle und den häufig noch viel größeren Folgeschäden auf ein tolerables Maß begrenzt werden. Unmittelbar Verantwortliche für die IV-Versorgung kennen die Problematik aus der täglichen praktischen Erfahrung eine Vielzahl von Ursachen, von der mangelnden Ausbildung manches Systembetreibers bis zur ungenügenden Infrastruktur, kann in der Summe zeitweise an die Grenzen des leistbaren Arbeitsaufwandes für die Beseitigung allein der unmittelbaren Schäden führen. Die Leitungen von Universität und Universitätsklinikum und der untergeordneten Einrichtungen müssen aber schließlich dafür Sorge tragen, dass eine angemessene IV unter Beachtung wirtschaftlicher Aspekte, also rationell durchgeführt wird. Ein effektives Risiko-Management ist auch hier zwingend; die demnächst feststehenden Ergebnisse der kürzlich durchgeführten Prüfung des Landesrechnungshofes werden auch in diesem Punkt mit Spannung erwartet. Die Universität Münster hat aber, so kann man aufgrund von Vergleichen feststellen, bereits viel in die Wege geleitet, um Sicherheit fest in der IV zu verankern. Sowohl das organisatorische Umfeld einer verteilten, aber wohl strukturierten IV-Landschaft als auch wichtige Bereiche der sonstigen Infrastrukturen bieten bereits heute gute Voraussetzungen. Verwiesen sei beispielsweise auf die Regelungen vom zur/zum»technisch Verantwortlichen (für vernetzte IV-Systeme)«, womit ein schon in der Praxis bewährtes Instrument Eingang in die Universitätsordnung gefunden hat, so dass die Umsetzung und Überwachung von Sicherheitsmaßnahmen vor Ort gesichert werden kann. Auch die Strukturierung in IV-Versorgungsbereiche mit ihren IV-Versorgungseinheiten trägt durch eine anwendernahe Einflussnahmemöglichkeit zur Sicherheit der IV am Arbeitsplatz bei. Verwiesen sei auch auf Regelung und Beschluss vom bzw , in denen IT-Nutzer unter Androhung von Sanktionen für den Fall der Missachtung verpflichtet werden, Standardvorkehrungen (Virusschutz, Personal Firewall, Betriebssystem-Updates) zur IV-Sicherheit zu treffen. Begleitet wird diese Maßgabe aber durch eine kostenlose Bereitstellung entsprechender Lizenzen für jeden Universitätsangehörigen, also auch für Studierende, so dass die Beachtung der Vorgaben meistens ohne Probleme möglich sein dürfte. Einige IV-Versorgungseinheiten können schon jetzt durch»policy-orchestrierung«, also durch eine servergesteuerte Konfiguration der IT-Arbeitsplätze entsprechend sichere Betriebsbedingungen vorgeben oder zumindest unterstützen. Nicht unerwähnt bleiben dürfen viele durch das Rektorat unterstützte Einzelmaßnahmen für die IT-Infrastruktur, z. B. zur Sicherung der Verfügbarkeit von IV-Diensten durch die Ausstattung von Server-Standorten mit Klimatisierungs- und Strom-Notversorgungseinrichtungen. Last not least, auch für das Datenübertragungsnetz wurden in der Vergangenheit und werden aktuell umfangreiche Maßnahmen getroffen, um das Risikopotential zu reduzieren. Beispiel sind die Redundanzen im Netz-Backbone, die dort in den meisten Bereichen Ersatzübertragungswege bei Leitungsausfällen automatisch zuschalten, so für die Verbindung zum Wissenschaftsnetz G-WiN und Internet oder für die Versorgung des Schloss- und Altstadtbereiches (durch einen Ersatzweg über die Scharnhorststraße und den Klinikenbereich). Aktuelle Maßnahmen zur Einbettung von»stateful Packet Screens«(»Firewalls«) und Intrusion-Prevention-Funktionen werden in einem eigenen Beitrag in diesem (2005-1) beschrieben. Sicherheit definiert sich dadurch, dass Risiken in dem Maße eingedämmt worden sind, dass die verbleibenden Restrisiken vertretbar sind und ein angemessenes Verhältnis von Aufwand für die Sicherheitsmaßnahmen zu deren Nutzen gewährleistet ist. Dementsprechend empfiehlt es sich, grundsätzlich zunächst eine Risikoanalyse durchzuführen, den Nutzen und Aufwand bei Schutzmaßnahmen zu ermitteln, um schließlich nach einer Prioritätendefinition die als notwendig erachteten Maßnahmen durchzuführen; es müssen also verschiedene Faktoren bewertet werden. Das Verfahren insgesamt ist dabei nicht als einmaliger Prozess zu verstehen, sondern als nachhaltige zyklische Vorgehensweise, beginnend bei Planung (mit einer Bestimmung der Sicherheitsziele) über die Umsetzung und Kontrolle bis zur Anpassung. Mit der Einrichtung eines durchgängigen Security-Audit- Verfahrens an der Universität Münster und seiner erstmaligen Durchführung werden zwei wichtige Bestandteile in dieser Prozesskette des Informationssicherheitsmanagements (ISM) etabliert, die Feststellung des Schutzbedarfs und die Feststellung getroffener Sicherheitsvorkehrungen. Daraus abgeleitet werden kann der erreichte Stand der IV-Sicherheit bzw. können noch bestehende Defizite sichtbar gemacht werden. Das Security-Audit kann damit als Steuerungsinstrument benutzt werden es ist Nachweis für getroffene Maßnahmen und Erreichtes, erlaubt die Überprüfung der Zielvorgabeneinhaltung (»Compliance«) und ist Planungsgrundlage für noch einzuleitende Maßnahmen. Dies gilt nicht nur für die obersten Gremien der Universität, sondern auch für alle Verästelungen unserer IV-Struktur. Das Security-Audit-Verfahren für die Universität Münster ist angelegt als Online-Verfahren, das unter Verwendung der Netzdatenbank im ZIV durch die für die IT-Endgeräte im Netz zuständigen Technisch Verantwortlichen bedient wird. Es wird also keine Befragung mit speziellem Personal mit Fragebögen durchgeführt, wie dies häufig sonst geschieht. Nachteil hier ist sicherlich, dass die Fragestellungen i. A. nicht persönlich erläutert werden können es gibt aber umfangreiche Online-Hilfen, und die Qualität der Ergebnisse ist möglicherweise etwas geringer, aber der Aufwand für zusätzliches Personal oder externe Dienstleister kann somit in Grenzen gehalten werden. Auch ist der entscheidende Vorteil in der gewünschten Nachhaltigkeit zu sehen: Die Durchführung kann nach Bedarf wiederholt werden, wobei soweit als möglich auf die Antworten früherer Ermittlungen zurückgegriffen werden kann. Jedenfalls steht erstmals ein Instrument zur Verfügung, mit dem systematisch und durchgängig eine Revision der IV-Sicherheit durchgeführt werden kann. Das erste Security-Audit nach dem geschilderten Verfahren beginnt in den nächsten Tagen mit einigen Pilotanwendern. Nach sich dann möglicherweise ergebenden Korrekturen, voraussichtlich Anfang Mai, steht das Verfahren allen Einrichtungen von Universität und Universitätsklinikum zur Verfügung; ein genauerer Stichtag für die Erhebung wird noch bekannt gegeben werden. Aufgefordert zur Teilnahme sind alle IV-Versorgungsbereiche, jedoch besteht zzt. keine verbindliche Verpflichtung dazu. Der IV-Lenkungsausschuss und die IV-Kommission unterstützen das mit diesem Verfahren verfolgte Ziel und den Weg aber ausdrücklich. In der jetzigen Form des Fragenkataloges liegt der Schwerpunkt des Security-Audits auf der IT-Endgeräteseite, Fragen zum Umfeld (Raumsicherheit u. Ä.) werden nur bei höherem Schutzbedarf gestellt. Der Fragenkatalog lehnt sich an die Vorgehensweise des Bundesamtes für Sicherheit in der Informationstechnik (BSI) an, jedoch wurde an einigen Stellen der Umfang deutlich reduziert und an die Verhältnisse in der Universität angepasst, um die Akzeptanz zu verbessern. Man darf aber trotz aller Verkürzungen, die natürlich auch zu Lasten der Genauigkeit und Vollständigkeit gehen mögen, nicht den verbleibenden Aufwand unterschätzen. In das Online-Verfahren sind jedoch etliche Mechanismen eingebaut, die zur Bedienungsvereinfachung dienen. So können immer wiederkehrende Antwortmuster individuell durch die Technisch Verantwortlichen definiert und zugeordnet werden, so dass Wiederholungen auf ein Mindestmaß verringert sein dürften. Im Folgenden soll dem Anwender eine Übersicht über das Verfahren und eine ausführliche Hilfestellung an die Hand gegeben werden.

4 Page 4 of 16 Ziele des Security-Audits Ziel des Security-Audits ist die Überprüfung und Dokumentation des Sicherheitszustandes von IT-Systemen innerhalb der Westfälischen Wilhelms- Universität Münster. Sicherheitslücken sollen aufgedeckt und nach Möglichkeit im Anschluss an das Auditverfahren geschlossen werden, um das bestehende Sicherheitsniveau anzuheben. Die Mitarbeiterinnen und Mitarbeiter werden für sicherheitsrelevante Aspekte sensibilisiert. Dieses Ziel soll in einem zweischrittigen Verfahren erreicht werden. 1. Schritt: Zunächst wird in einem ersten Schritt mittels eines zu beantwortenden Fragebogens der Schutzbedarf jedes einzelnen Datenendgerätes in Bezug auf Integrität und Vertraulichkeit und Verfügbarkeit der Daten und Dienste ermittelt. Typische Fragestellungen beziehen sich darauf, welche Konsequenzen z.b. ein Ausfall von Diensten oder der Verlust von Daten nachsich ziehen würde; ob dadurch gegen Gesetze verstoßen würde oder sogar, wie im medizinischen Bereich möglich, lebensbedrohliche Auswirkungen auftreten könnten. 2. Schritt: In einem zweiten Schritt werden die bereits getroffenen Sicherheitsvorkehrungen eines jeweiligen Datenendgerätes und seines Umfeldes (wie Räumlichkeiten o.ä.) festgestellt. Hierbei ist die Zahl und der Umfang der zu beantwortenden Fragebögen abhängig vom zuvor festgestellten Schutzbedarf. Das heißt, dass sich der Fragenkatalog in Abhängigkeit vom ermittelten Schutzbedarf zusammensetzt. Wurde für ein Datenendgerät kein bzw. ein geringer Schutzbedarf festgestellt, so sind nur (sehr) wenige Fragen zu den getroffenen Sicherheitsvorkehrungen des Datenendgeräts selbst zu beantworten. Wurde hingegen ein sehr hoher Schutzbedarf festgestellt, so werden umfangreiche Fragenkataloge zum Datenendgerät, netzseitigem Anschluss, geräteseitigem Netzanschluss, Netzzone und den Räumlichkeiten präsentiert. Eine Übersicht über die zu beantwortenden Fragenkataloge in Abhängigkeit vom ermittelten Schutzbedarf finden Sie hier. Basierend auf den gegebenen Antworten werden nun die getroffenen Sicherheitsvorkehrungen ausgewertet und kategorisiert. Resultierend aus einem Vergleich der jeweiligen ermittelten Werte zu Schutzbedarf und den getroffenen Sicherheitsvorkehrungen, können Aussagen zur DV-Sicherheit gemacht werden; Diskrepanzen zwischen Schutzbedarf und Sicherheitsvorkehrungen werden deutlich. Nach Erfassung des Ist-Zustandes ist eine Anhebung des Sicherheitsniveaus durch angemessene Sicherheitsvorkehrungen in den ermittelten Punkten umzusetzen. Bei der Bewertung der Ergebnisse ist zu beachten, dass die Art des eingesetzten Audit-Verfahrens, in Form von vom Nutzer selbstständig zu beantwortenden Fragebögen eine gewisse Subjektivität bei der Evaluation mit sich bringt. Durch diese Strategie ist es aber auf einfache, rasche und von Dritten unabhängige Art und Weise möglich, gewisse Indikatoren für vorherrschende Sicherheitsdefizite zu erlangen. Einzuleitende Schritte, um das Sicherheitsniveau anzuheben sind daraufhin im Einzelnen zu klären. Desweiteren ist zu beachten, dass es sinnvoll ist, die Evaluation immer an gewissen Stichtagen durchzuführen um das aktuelle Sicherheitsniveau zu bestimmen. Die bei der Befragung gegebenen Antworten und die Historie der jeweiligen ermittelten Kategorien werden in der NIC-Online-Datenbank vorgehalten, um langfristig Aussagen über die Entwicklung des Sicherheitsniveaus treffen zu können. Die beantworteten Fragenkataloge werden direkt ausgewertet und das Ergebnis auf einer Übersichtsseite aufgezeigt. Auf diese Weise können Sie die Resultate und weiterführenden Auswertungen direkt zur Kenntnis nehmen. Der Schutzbedarf eines Datenendgerätes ergibt sich aus den Schäden, die entstehen, wenn die Integrität und Vertraulichkeit der Daten verletzt wird oder Daten und Dienste nicht verfügbar sind. Bei der Einstufung des Schutzbedarfs von Datenendgeräten ist zu beurteilen, welcher Schutzbedarfskategorie die Daten oder IT-Anwendungen auf dem Rechner zuzuordnen sind und auch auf welche Daten über dieses Datenendgerät zugegriffen werden kann. Wenn die einzelnen Anforderungen unterschiedlich sind, ist im Ergebnis die höchste Schutzbedarfskategorie für die Einstufung ausschlaggebend. Graphisch veranschaulicht wird dieser Sachverhalt durch die folgende Abbildung.

5 Page 5 of 16 Die Einstufung eines Datenendgerätes in eine entsprechende Schutzbedarfskategorie erfolgt anhand der Folgeschäden, die ein Verlust der Integrität, der Vertraulichkeit oder der Verfügbarkeit benötigter Daten und Dienste nach sich ziehen würde sowie der Wahrscheinlichkeit, mit der ein Folgeschäden auslösende Ereignis zu erwarten ist. Es muss also eine Folgeschädenbewertung vorgenommen werden, die sowohl die mögliche Schadenshöhe als auch die Wahrscheinlichkeit für das Auftreten eines entsprechenden Folgeschadens berücksichtigt. Dies kann in der Regel nicht exakt quantitativ geschehen und exakt quantitativ ist dies auch nicht notwendig. Schließlich dient die Schutzbedarfsfeststellung nicht einer versicherungsmathematischen Betrachtung, sondern soll helfen Notwendigkeit und Priorität für Sicherheitsmaßnahmen überhaupt zu erkennen und festzulegen. Nichtsdestoweniger sollte aber eine gewisse Objektivität, d.h. Objektivität von Ergebnissen auch bei verschiedenen Audit-Durchführenden, erreicht werden. Entsprechend sollte eine konkrete Vorstellung darüber vorhanden sein, wie eine angenommene Schadenshöhe und eine angenommene Folgeschadenswahrscheinlichkeit bewertet werden müssen. Hierzu sollen die Abbildungen Folgeschädenbewertung 2007 und Schadenswahrscheinlichkeit dienen, die mit verbalen Wertigkeiten arbeiten. Schadenshöhen werden hier z.b. mit sehr gering oder katastrophal und Folgeschadenswahrscheinlichkeiten mit sehr unwahrscheinlich und höchst unwahrscheinlich bewertet. Die Kombination dieser beiden Einstufungen führt dann zur Bewertung und damit zu Einstufungen von ohne Bedeutung (0) bis hin zu kritisch (100), was im Folgenden gleichzusetzen ist mit einem Schutzbedarf von kein (0%), gering (25%), mittel (50%), hoch (75%) und sehr hoch (100%). Für die Schadensbewertung seien, soweit es sich um materielle Schäden (finanzielle Auswirkungen) folgende quantitative Werte als Orientierung genannt (vgl. auch Abb. Schadenshöhenbewertung): Sehr gering Gering Mittel

6 Page 6 of 16 Hoch Katastrophal Bei den Überlegungen zu den absoluten Schadenshöhen wird häufig der Aspekt Arbeit vernachlässigt, sei es in Form eines Arbeitszeitausfalls, derweil IT- Ressourcen nicht zur Verfügung stehen (d.h. ausgefallen sind) und viele Mitarbeiter(innen) in ihrer Arbeit behindert sind, sei es, weil z.b. ein IT-System korrumpiert wurde und verfälschte Daten in mühsamer Arbeit rekonstruiert werden müssen. Hier sollte man sich vergegenwärtigen, dass selbst im einfachen Fall (z.b. Arbeitsplatzrechner ohne kritischen Datenbestand) schon 100 als Mindestschaden anzusehen sind sollten als grobe Orientierungsgröße für 1 Stunde Arbeitsausfall oder aufwand angesehen werden. Die im Folgenden abgebildeten Tabellen erläutern die einzelnen Schutzbedarfskategorien. Schutzbedarfskategorie: "Niedrig" (25%, geringe Folgeschäden) Schäden haben nur eine unwesentliche Beeinträchtigung der Institution zur Folge. Vertraulichkeit und Integrität der Daten Verstoß gegen Gesetze und Verstöße gegen Vorschriften und Gesetze ohne Vorschriften/Verträge nennenswerte Konsequenzen Beeinträchtigung des Eine Beeinträchtigung des informationellen informationellen Selbstbestimmungsrechts ist nicht nennenswert. Selbstbestimmungsrechts Ein möglicher Missbrauch personenbezogener Daten hat keine nennenswerten Auswirkungen auf die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen. Beeinträchtigung der persönlichen Unversehrtheit Eine Beeinträchtigung ist nicht nennenswert. Negative Außenwirkung Es ist keine nennenswerte Ansehens- oder Vertrauensbeeinträchtigung zu erwarten. Finanzielle Auswirkungen Es ist kein nennenswerter finanzieller Schaden zu erwarten. Verfügbarkeit der Daten Beeinträchtigung der Aufgabenerfüllung Es ist keine oder nur eine äußerst geringe Beeinträchtigung zu erwarten. In Ausnahmefällen liegt die maximal tolerierbare Ausfallzeit bei bis zu zwei Tagen. Beispiel: Die Teilnehmer und Teilnehmerinnen einer Arbeitsgemeinschaft sollen schriftlich zu einem Treffen eingeladen werden. Aufgrund eines Ausfalls des Systems ist das Ausdrucken des Serienbriefes erst einen Tag später möglich. Die Schutzbedarfskategorie ist als "niedrig" einzustufen. Fällt ein Drucker in einem Netzwerk aus, in dem mehrere Drucker vorhanden sind, so ist es möglich auf einen anderen Drucker auszuweichen. Die Schutzbedarfskategorie ist als "niedrig" einzustufen. Schutzbedarfskategorie: "Mittel" (50%, mittlere Folgeschäden) Schäden haben Beeinträchtigungen der Institution zur Folge. Vertraulichkeit und Integrität der Daten Verstoß gegen Gesetze und Vorschriften/Verträge Beeinträchtigung des informationellen Selbstbestimmungsrechts Verstöße gegen Vorschriften und Gesetze mit geringfügigen Konsequenzen Geringfügige Vertragsverletzungen mit maximal geringen Konventionalstrafen Eine Beeinträchtigung des informationellen Selbstbestimmungsrechts würde durch den Einzelnen als tolerabel eingeschätzt werden. Ein möglicher Missbrauch personenbezogener Verfügbarkeit der Daten Beeinträchtigung der Aufgabenerfüllung Die Beeinträchtigung würde von den Betroffenen als tolerabel eingeschätzt werden. Die maximal tolerierbare Ausfallzeit liegt in Ausnahmefällen bei bis zu 8 Stunden.

7 Page 7 of 16 Daten hat nur geringfügige Auswirkungen auf die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen. Beeinträchtigung der persönlichen Unversehrtheit Eine Beeinträchtigung erscheint nicht möglich. Negative Außenwirkung Eine geringe bzw. nur interne Ansehens- oder Vertrauensbeeinträchtigung ist zu erwarten. Finanzielle Auswirkungen Der finanzielle Schaden bleibt für die Institution tolerabel. Schutzbedarfskategorie: "Hoch" (75%, hohe Folgeschäden) Im Schadensfall tritt Handlungsunfähigkeit wichtiger Bereiche der Institution ein; Schäden haben erhebliche Beeinträchtigungen der Institution selbst oder betroffener Dritter zur Folge. Vertraulichkeit und Integrität der Daten Verstoß gegen Gesetze und Vorschriften/Verträge Beeinträchtigung des informationellen Selbstbestimmungsrechts Beeinträchtigung der persönlichen Unversehrtheit Verstöße gegen Vorschriften und Gesetze mit erheblichen Konsequenzen Vertragsverletzungen mit hohen Konventionalstrafen Eine erhebliche Beeinträchtigung des informationellen Selbstbestimmungsrechts des Einzelnen erscheint möglich. Ein mögliche Missbrauch personenbezogener Daten hat erhebliche Auswirkungen auf die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen Eine Beeinträchtigung der persönlichen Unversehrtheit kann nicht absolut ausgeschlossen werden. Negative Außenwirkung Eine breite Ansehens- oder Vertrauensbeeinträchtigung ist zu erwarten. Finanzielle Auswirkungen Der Schaden bewirkt beachtliche finanzielle Verluste, ist jedoch nicht existenzbedrohend. Verfügbarkeit der Daten Beeinträchtigung der Aufgabenerfüllung Die Beeinträchtigung würde von einzelnen betroffenen als nicht tolerabel eingeschätzt. Die maximal tolerierbare Ausfallzeit liegt in Ausnahmefällen bei bis zu 4 Stunden. Beispiel: Greifen auf einen Datenbankserver die Mitarbeiter einer gesamten Verwaltung zu, so könnte die Arbeit während der Ausfallzeit nicht fortgeführt werden. Bei der Patientenaufnahme hätte dieser Ausfall beträchtliche Folgen, wäre aber nicht existenzbedrohend. Die Schutzbedarfskategorie ist als "hoch" einzustufen. Personenbezogene Daten, wie Beurteilungen, Einkommen oder Informationen über kleinere Straftaten sind vertraulich zu behandeln. Werden Informationen an die Öffentlichkeit gebracht, so sind für den Betroffenen ggf. erhebliche Beeinträchtigungen der gesellschaftlichen Stellung damit verbunden. Für die jeweilige Institution, bei der die personenbezogenen Daten verwaltet werden, hätte ein Bekanntwerden einen erheblichen Vertrauensverlusst zur Folge. Die Schutzbedarfskategorie ist als "hoch" einzustufen. Schutzbedarfskategorie: "Sehr hoch" (100%, sehr große Folgeschäden) Der Ausfall der IV führt zum totalen Zusammenbruch der Institution oder hat schwerwiegende Folgen für breite gesellschaftliche oder wirtschaftliche Bereiche. Es besteht Gefahr für Leib und Leben von Personen. Vertraulichkeit und Integrität der Daten Verstoß gegen Gesetze und Vorschriften/Verträge Beeinträchtigung des informationellen Selbstbestimmungsrechts Beeinträchtigung der persönlichen Unversehrtheit Fundamentaler Verstoß gegen Vorschriften und Gesetze Vertragsverletzungen, deren Haftungsschäden ruinös sind Eine erhebliche Beeinträchtigung des informationellen Selbstbestimmungsrechts des Einzelnen erscheint möglich. Ein möglicher Missbrauch personenbezogener Daten würde für den Betroffenen den gesellschaftlichen oder wirtschaftlichen Ruin bedeuten. Gravierende Beeinträchtigungen der persönlichen Unversehrtheit sind möglich. Gefahr für Leib und Leben. Negative Außenwirkung Eine landesweite Ansehens- oder Vertrauensbeeinträchtigung, evtl. sogar existenzgefährdender Art, ist denkbar. Finanzielle Auswirkungen Der finanzielle Schaden ist für die Institution existenzbedrohend. Verfügbarkeit der Daten Beeinträchtigung der Aufgabenerfüllung Die Beeinträchtigung würde von allen Betroffenen als nicht tolerabel eingeschätzt werden. Die maximal tolerierbare Ausfallzeit liegt in Ausnahmefällen unter einer Stunde. Beispiel: Werden Manipulationen an Datenendgeräten vorgenommen, die für die Steuerung von Röntgenapparaten im medizinischen Bereich eingesetzt sind, so kann dies lebensbedrohliche Konsequenzen haben. Die Schutzbedarfskategorie ist daher als "sehr hoch" einzustufen. Bei der Festlegung des Sicherheitsniveaus können die folgenden Fragen und Zusatzfragen hilfreich sein: Welche Bedeutung hat die Vertraulichkeit der Informationen aus der IV für Ihren Bereich? Was geschieht, wenn die Vertraulichkeit verletzt wird?

8 Page 8 of 16 Welche Bedeutung hat die Verfügbarkeit, Richtigkeit und Aktualität der Informationen für Ihren Bereich? Was ist, wenn die Informationen zeitweise nicht zur Verfügung stehen? Was geschieht, wenn sie dauerhaft verschwunden sind? Hängen wichtige Entscheidungen von den Informationen ab? Gibt es Aufgaben, die nur mit der Unterstützung der IV möglich sind? Gibt es Informationen, die einen großen Anreiz auf mögliche Täter ausüben könnten? Könnten die Informationen einem potentiellen Täter finanzielle oder andere Vorteile verschaffen?

9 Page 9 of 16 Verfahrensweise und Handhabung des Online-Verfahrens In diesem Abschnitt soll kurz auf die Möglichkeiten und Handhabung des Online-Benutzerobefläche und die Verfahrensweise bei der Aus- und Bewertung der Fragebögen eingegangen werden. Begonnen wird mit einigen Erläuterungen zur Übersichtsseite "Fragenkataloge und Ergebnisse" Die Übersichtsseite "Fragenkataloge und Ergebnisse" Die Seite "Fragenkataloge und Ergebnisse " ist die zentrale Webseite für die Durchführung des ISIDOR-Security Audits. Aus diesem Grund ist sie auch eine der ersten Seiten, mit welcher Sie - als Auditor - in Berührung kommen. Tabellarisch werden alle Datenendgeräte aufgelistet, die entsprechend der getroffenen Auswahl in der Netzdatenbank eingetragen sind, also entweder die Datenendgeräte, für die Sie technisch verantwortlich sind oder die zu der von Ihnen ausgewählten NIC-Online-Administrationsgruppe gehören. Zu jedem einzelnen Datenendgerät werden grundlegende Informationen, wie kanonischer Name, IP-Adresse, MAC-Adresse, Standort oder Verantwortliche aufgelistet. Zusätzlich werden im rechten Teil der Tabelle zu jedem Endgerät Informationen zum aktuellen Stand des Audit-Verfahrens angegeben. Insbesondere werden Links zu den Fragebögen, detailierten Auswertungen und Übersichtsseiten angeboten. Zusätzlich besteht die Möglichkeit der Anwendung eines Mustereintrags oder je nach Stand der Befragung, des Kopierens der gegebenen Antworten auf andere Datenendgeräte. Die Zahl der angebotenen Fragenkataloge zu Sicherheitsvorkehrungen ist abhängig vom ermittelten Schutzbedarf. Es existieren Fragenkataloge zu den folgenden Kategorien: Schutzbedarf: Dieser Fragenkatalog dient der Ermittlung des Schutzbedarfs von Datenendgeräten beliebiger Art. Der Schutzbedarf des Datenendgerätes ergibt sich zum einen aus den Risiken für das Eintreten eines sicherheitsrelevanten Primärereignisses (z.b. technischer Defekt, Virenbefall, Passwortkompromittierung) und zum anderen aus dem Ausmaß der möglichen Schäden, die entstehen, wenn Daten und Anwendungen nicht verfügbar sind, Daten verfälscht werden oder in die Hände Dritter gelangen. Der Schutzbedarf ist dabei unabhängig von den durchgeführten oder ansich notwendigen Sicherheitsvorkehrungen. Die weiteren Fragenkataloge befassen sich ausschließlich mit den durchgeführten Sicherheitsvorkehrungen. Sicherheitsvorkehrungen: Diese Fragenkataloge ermitteln den Stand der Maßnahmen, die getroffen wurden, um die Integrität und Vertraulichkeit der Daten und die Verfügbarkeit der Daten und Dienste sicherzustellen. Im Einzelnen beziehen sich die Fragen auf folgende Objekte: Datenendgerät: Fragen zu den Sicherheitsvorkehrungen auf dem Datenendgerät selbst und zum organisatorischen Umfeld (z.b. Viren- Scanner, Betreuung). Geräteseitiger Netzanschluss (Netzadapter): Ergänzend zu vorgenanntem Fragenkatalog werden hier die Maßnahmen zum Schutz des Datenendgerätes durch Kommunikations- und Sicherheitskomponenten untersucht, die sich innerhalb des Datenendgerätes selbst mit dem Anschluss an das Netz befassen (z.b. spezielle Personal Firewall, redundante Interfaces). Diese Angaben sind spezifisch auf den Netzkontroller (Ethernetkarte etc.) im Datenendgerät ausgerichtet. Netzseitiger Anschluss (Anschlussdose o.ä.): Der hier zu findende Fragenkatalog untersucht die Maßnahmen, die unmittelbar seitens des Netzes getroffen worden sind, um den unmittelbaren Zugang zum Netz abzusichern (z.b. redundanter Anschluss, Flusskontrolle, besondere Vereinbarungen). Angaben hierzu sind also meist spezifisch für die Anschlussdose. Netzzone: Fragenkatalog zum Netzumfeld; insbesondere sind hier netzseitige Vorkehrungen aufgeführt, die innerhalb der unmittelbaren und weiteren Netzinfrastruktur (z.b. Anschluss-Subnetz, umgebende Subnetze, Strukturierung der IV-Ressourcen im Netz, Anwendungsgateways, Zugangskontrollmechanismen, Organisatorisches) sicherheitswirksam sein können. Raum: Katalog zu sicherheitsrelevanten, den Raum des Datenendgerätes betreffenden Fragen (z.b. zu Brandschutz, Klima, Einbruchsicherheit). Durch die farbliche Darstellung der Links wird deutlich, welche Fragenkataloge beantwortet sind (grün) und welche noch nicht vollständig bearbeitet wurden (rot). Ergebnis-Visualisierung Die anhand der gegebenen Antworten ermittelten Kategorien für Schutzbedarf und Sicherheitsvorkehrungen werden in Form von eingefärbten Balken visualisiert. Es existieren folgende Abstufungen: Stufen des Schutzbedarfs des Datenendgerätes Kein Schutzbedarf Geringer Schutzbedarf Mittlerer Schutzbedarf Hoher Schutzbedarf Sehr hoher Schutzbedarf Besteht eine Diskrepanz zwischen ermitteltem Schutzbedarf und der innerhalb eines Fragenkatalogs festgestellten Kategorie der Sicherheitsvorkehrungen so wird die betreffende Tabellenzeile rot hinterlegt und der Fragebogen mit einem Warndreieck ( ) markiert. Beachten Sie, dass dieses nur eine sehr pauschale Information sein kann. Der weitergehende Maßnahmenkatalog muss individuell getroffen werden. Über das Informationssymbol ( ) können Sie sich im Einzelnen die gegebenen Antworten und Ergebnisse in einer Übersicht anzeigen lassen. Legende der weiteren vorkommenden Symbole und Hinweise zur vereinfachten Bearbeitung: Roter Link Grüner Link Sortierreihenfolge der ausgegebenen Datenendgeräte Stufen der Sicherheitsvorkehrungen Keine Sicherheitsvorkehrungen Geringe Sicherheitsvorkehrungen Wichtige Sicherheitsvorkehrungen Weit reichende Sicherheitsvorkehrungen Umfassende, durchgreifende Sicherheitsvorkehrungen Vertraulichkeit und Integrität der Daten Dieses Symbol weist darauf hin, dass sich der Schutzbedarf bzw. die Sicherheitsvorkehrungen auf die Vertraulichkeit und Integrität der Daten bezieht. Bei hohem oder sehr hohem Schutzbedarf bzgl. Vertraulichkeit und Integrität handelt es sich um Informationen, an die keine unbefugte dritte Partei gelangen soll, z. B. persönliche Daten oder Forschungsergebnisse. Verfügbarkeit der Daten und Dienste Dieses Symbol weist darauf hin, dass sich der Schutzbedarf bzw. die Sicherheitsvorkehrungen auf die Verfügbarkeit von Daten und Diensten bezieht. Bei hohem oder sehr hohem Schutzbedarf bzgl. der Verfügbarkeit handelt es sich um Daten oder Anwendungen, die für den Arbeitsablauf unverzichtbar sind, z.b. Server, auf die von vielen Arbeitsplätzen zugegriffen wird. Weist darauf hin, dass zu diesem Fragenkatalog noch Fragen offen sind. Weist darauf hin, dass alle Fragen zu diesem Fragenkatalog beantwortet sind. Die Sicherheitsvorkehrungen sind nicht ausreichend für den Schutzbedarf des Datenendgerätes Über diesen Link können Antworten, die für ein Objekt gegeben wurden, in die Fragenkataloge für andere Objekte kopiert werden. Ist eine Fragenkatalog noch nicht vollständig beantwortet, so ist diese Funktion gesperrt und der Link ausgegraut. Über diesen Link können Sie Musterantworten abrufen und in Fragenkataloge für Objekte übernehmen.

10 Page 10 of 16 Möchten Sie die Datenendgeräte in einer bestimmten Reihenfolge ausgegeben haben, so können Sie spaltenweise über die jeweiligen Pfeile sortieren. Eingabe von Filterkriterien Um die Ausgabe einzuschränken können Filterkriterien in die sich am oberen Seiteende befindende Filtermaske eingegeben werden. Sie können sich z.b. alle Datenendgeräte mit einem gewissen Schutzbedarf oder nur solche, die eine bestimmte Zeichenfolge als Namensbestandteil enthalten anzeigen lassen. Sollte ein Fragebogen mit einem Muster verknüpft sein und Sie versuchen, diesen Fragebogen individuell zu beantworten, so werden sie deutlich innerhalb des jeweiligen Fragebogens auf den Sachverhalt hingewiesen, dass ein individuelles Beantworten einen Verlust der Verknüpfungsinformationen nachsichziehen würde. Detaillierte Informationen über das Berechnungsverfahren zur Evaluation Das Berechnungsverfahren welches der Auswertung der Fragebögen zu Grunde liegt, basiert maßgeblich auf einer geometrischen Mittelung der sich anhand der Antworten eines Fragebogens ergebenen Werte. Durch die Aufteilung in Fragenkomplexe zu Integrität und Vertraulichkeit und Verfügbarkeit, sowie die Gruppierung in übergeordnete Pauschal- und untergeordnete Detailfragen ergibt sich für die Auswertung der Fragebögen zu Schutzbedarf und Sicherheitsvorkehrungen im Einzelnen folgendes Schema: Auswertung der Fragekataloge zu Schutzbedarf und getroffenen Sicherheitsvorkehrungen: Zu jeder Frage gibt es fünf Antwortmöglichkeiten, denen jeweils ein Wert von 0 bis 100 Prozent zugeordnet ist. Hierbei gibt 0 % das Minimum und 100 % das Maximum an, d.h. 0 % bedeutet keinen Schutzbedarf bzw. keine Sicherheitsvorkehrungen und 100 % bedeuten sehr hohen Schutzbedarf bzw. umfassende Sicherheitsvorkehrungen. Jede Frage ist nun mindestens einem der oben genannten Fragenkomplexe zugeordnet. Für einen Fragebogen wird nun zum einen der geometrische Mittelwert der Werte aller zu einem jeweiligen Fragenkomplex gehörenden Antworten der Pauschal-Fragen, als auch in äquivalenter Weise das Mittel der Detailfragen bestimmt. Ist eine Frage beiden Fragenkomplexen zugeordnet, so geht der Wert der Antwort in beide entsprechenden Mittelwerte ein. Das endgültige Ergebnis für den jeweiligen Fragenkomplex ergibt sich nun durch eine weitere geometrische Mittelung der beiden sich für den jeweiligen Fragenkomplex ergebenen Werte für Pauschal- und Detailfragen. Die während der Berechnung auftretenden Zahlenwerte werden jeweils auf das nächste ganzzahlige Vielfache von 25 gerundet, so das das Ergebnis der Berechnung eindeutig einer der fünf Kategorien für Schutzbedarf und Sicherheitsvorkehrungen zugeordnet werden kann. Dem Nutzer bieten die beiden Seiten Übersichtsinformationen zum Schutzbedarf / Übersichtsinformationen zu den Sicherheitsvorkehrungen die Möglichkeit zu einem ausgewählten Objekt die bei der Berechnung ermittelten Werte sich in tabellarischer Form detailliert anzuschauen. Um die größtmöglichen Außreißer der ermittelten Werte leichter identifizieren zu können, wird in der Gesamtergebnisspalte hierbei jeweils das Maximum bzw. Minimum der ermittelten Werte von Schutzbedarf bzw. Sicherheitsvorkehrungen angegeben.

11 Page 11 of 16 Hinweise zum Schutzbedarf und zugehörigen Fragebögen An dieser Stelle werden Ihnen einige Informationen zum Schutzbedarf, der Darstellung in der Übersichtsseite und zur Ermittlung des Schutzbedarfs gegeben. Schutzbedarf und die Visualisierung der Ergebnisse Der Schutzbedarf eines Datenendgerätes ergibt sich aus den Schäden, die entstehen, wenn die Integrität und Vertraulichkeit der Daten verletzt wird oder die Daten und Dienste nicht verfügbar sind. Das heißt, Schäden, die zu erwarten sind, wenn das Datenendgerät z.b. defekt ist, zerstört wird oder sich unbefugte Dritte Zugang zum Datenmaterial verschaffen. Zusätzlich spielt der materielle Wert des Datenendgerätes eine Rolle, also welche finanziellen Folgen ergeben sich aus dem Verlust oder der Reparatur des Datenendgerätes. Die Fragen aus dem Fragenkatalog zur Ermittlung des Schutzbedarfs der Datenendgeräte behandeln diese Thematik. Jede Antwort steht für einen Wert von 0 bis 100 in 25er Stufen. Dabei steht 0 für keinen Schutzbedarf, 25 für einen geringen Schutzbedarf, 50 für einen mittleren, 75 für einen hohen und 100 für einen sehr hohen Schutzbedarf. Aus diesen numerischen Werten wird das geometrische Mittel berechnet und auf das nächste ganzzahlige Vielfache von 25 gerundet und als Wert einer Schutzbedarfskategorie zugeordnet. Im Einzelnen ergeben sich daraus folgende Schutzbedarfskategorien, denen die Datenendgeräte zugeordnet werden können: Kein Schutzbedarf Geringer Schutzbedarf Mittlerer Schutzbedarf Hoher Schutzbedarf Sehr hoher Schutzbedarf Der Fragenkatalog zur Ermittlung des Schutzbedarfs Mit diesem Fragenkatalog soll der Schutzbedarf des von Ihnen betreuten IT-Endgerätes festgestellt werden. Der Schutzbedarf definiert sich hier ausschließlich aus den anzunehmenden Schäden, die entstehen, wenn die Daten und Dienste des betrachteten IT-Endsystems nach einem auslösenden Ereignis (durch spezifische Bedrohungen wie Vireninfektion, Passwortkompromittierung, Stromausfall, Brand etc.) beeinträchtigt werden und so mindestens einer der Grundwerte der IV-Sicherheit (Verfügbarkeit, Integrität, Vertraulichkeit) verletzt wird (vgl. Abb. Schutzbedarf). Dabei ergibt sich der Schutzbedarf aus den unmittelbaren Schäden (z.b. Verlust eines Rechners durch Brand) und durch die möglichen Folgeschäden (z.b. Schadensersatzforderungen, Produktionsausfallkosten). Sie werden gebeten, mit Ihren Antworten eine qualitative Bewertung der möglichen Schädigungen mit Werten zwischen 0% und 100% durchzuführen; als Hilfestellung zur Einordnung kann Ihnen die Erläuterung zum Schutzbedarf dienen. Eine quantitative Bewertung mit bezifferten Schadenshöhen wäre hier zu aufwendig und ist unter verschiedenen Aspekten auch kaum möglich (z.b. negative Außenwirkungen, "Ruf der Universität", Schädigung durch Ansehensverlust). Vielmehr soll Ihre persönliche Wertung helfen, eine relative Bewertung aufzustellen, die für die Notwendigkeit und Durchführung von Schutzmaßnahmen eine Dringlichkeitsreihenfolge ergibt. Bitte berücksichtigen Sie auch bei Ihrer Bewertung, mit welcher Wahrscheinlichkeit beim Auftreten von Folgeschäden zu rechnen ist - nicht jeder Vertraulichkeitsverlust muss gleich zwangsläufig zu größten Produktionsausfallschäden führen, auch wenn ein solches Ausmaß grundsätzlich denkbar wäre. Die Bewertung der Schadenshöhe zusammen mit dieser Folgeschädenwahrscheinlichkeit führen Sie bitte in Anlehnung an Abb. Folgeschädenbewertung durch. Ausser Betracht bleibt bei der Schutzbedarfsbetrachtung hier die Wahrscheinlichkeit für Schäden auslösende Ereignisse (z.b. Feuerausbruch, Denial-of-Service-Attacke, Versand einer Virus behafteten an das IT-System) und auch der Einfluss von Schutzmaßnahmen (z.b. Brandmeldeanlagen oder Feuerlöscheinrichtungen, Intrusion-Prevention-Systeme, Viren-Scanner). Betrachten Sie vielmehr allein die Schadenswahrscheinlichkeit und -höhe nach einem angenommenem Primärereignis (gefährdendes Ereignis). Gefragt ist beim Schutzbedarf also überhaupt nicht, ob oder wie oft Virenattacken stattfinden und ob oder wie effektiv diese durch Schutzmaßnahmen unschädlich gemacht werden, sondern z.b. ob eine einmal eingetretene Verletzung der Vertraulichkeit oder Integrität von Daten, z.b. durch Virenangriff, Datendiebstahl oder beliebige andere Bedrohungen, zu einem mehr oder minder großen Schaden (z.b. Verlust möglicher Patentrechte) führen kann und wie häufig dieser Folgeschaden in Bezug auf dieses einmal eingetretene Primärereignis erwartet werden muss. Bitte beachten Sie bei Ihren Antworten auch, dass ein Datenendgerät z.b. nicht unbedingt selbst zur Speicherung schutzbedürftiger Daten dient, dass jedoch dadurch, dass über dieses Gerät Daten zeitweise bearbeitet oder auch nur visualisiert werden oder z.b. administrativer Zugang zu den zentralen Anwendungssystemen gewährt wird, nach einem sicherheitsrelevanten Vorfall (Folge-)Schäden eintreten könnten, als ob das Daten speichernde Geräte oder das zentrale Anwendungssystem selbst unmittelbar betroffen wäre. Insgesamt handelt es sich um vier Themenbereiche, die aus sicherheitsrelevanten Gesichtspunkten beleuchtet werden. Dies sind: Verstöße gegen Gesetze, Beeinträchtigungen der Unversehrtheit, Beeinträchtigungen der Aufgabenerfüllung und finanzielle Auswirkungen. Diese Themenbereiche werden unter den Aspekten Integrität/Vertraulichkeit der Daten und Verfügbarkeit der Daten und Dienste betrachtet. Die Fragen sind in mehreren Gruppen angeordnet. Dabei ist die erste Frage einer Fragengruppe immer eine pauschale Frage, die Ihre persönliche zusammenfassende Wertung abruft. Bei den anschließenden Fragen handelt es sich um Detailfragen, die den gleichen Themenkomplex differenzierter behandeln. Um eine Aussage über den Schutzbedarf zu erhalten ist es ausreichend alle Pauschalfragen und nicht die Detailfragen oder alle Detailfragen und nicht die Pauschalfragen zu beantworten. Sollten Sie den Fragenkatalog zum ersten Mal bearbeiten, so wird empfohlen, die Detailfragen zu beantworten oder wenigstens zu lesen, um ein besseres Verständnis für die Hintergründe der Fragen und die Zusammenhänge zu bekommen. Darüber hinaus ist es auch stets erwünscht, die Detailfragen zu beantworten, da man hierdurch ein differenzierteres Bild erhält, das genauere Schlussfolgerungen für zukünftige Maßnahmen zulässt. Die Symbole vor den Pauschalfragen geben je eingegeben werden.weils an, ob sich der Fragenkomplex auf Integrität und Vertraulichkeit der Daten ( ), auf Verfügbarkeit der Daten und Dienste ( ) oder auf beides bezieht.

12 Page 12 of 16 Hinweise zu Sicherheitsvorkehrungen und zugehörigen Fragekatalogen Sicherheitsvorkehrungen und die Visualisierung der Ergebnisse Die Sicherheitsvorkehrungen beschreiben die Maßnahmen, die umgesetzt wurden, um ein Datenendgerät und dessen Umfeld zu schützen. Dabei wird unterschieden zwischen den Schutzmaßnahmen für Integrität und Vertraulichkeit der Daten und Schutzmaßnahmen zur Sicherstellung der Verfügbarkeit der Daten und Dienste. Die Fragenkataloge zur Ermittlung der Sicherheitsvorkehrungen beziehen sich auf das Datenendgerät selbst und auf dessen Umfeld, wozu der geräteseitige Netzanschluss, der netzseitige Anschluss, die Netzzone und der Standort des Datenendgerätes gehören, z.b. werden der Virenschutz für das Datenendgerät, die Beschaffenheit des Raumes oder die Maßnahmen zur Verhinderung eines Brandes behandelt. Der Status der Sicherheitsvorkehrungen des Datenendgerätes und dessen Umfeldes ergeben sich aus den Antworten, indem diese wie folgend beschrieben ausgewertet werden: Jede Antwort steht für einen Wert von 0 bis 100 in 25er Stufen. Dabei steht 0 für keine Sicherheitsvorkehrungen, 25 für geringe Sicherheitsvorkehrungen, 50 für wichtige, 75 für weit reichende und 100 für umfassende, durchgreifende Sicherheitsvorkehrungen. Aus diesen Werten wird das geometrische Mittel berechnet und auf die nächste 25er Stufe gerundet, die dann den Status der Sicherheitsvorkehrungen des Datenendgerätes und dessen Umfeldes ergibt. Im Einzelnen ergeben sich daraus folgende Status der Sicherheitsvorkehrungen, denen die Datenendgeräte, die geräteseitigen Netzanschlüsse, die netzseitigen Anschlüsse, die Netzzonen und die Räume zugeordnet werden: Keine Sicherheitsvorkehrungen Geringe Sicherheitsvorkehrungen Wichtige Sicherheitsvorkehrungen Weit reichende Sicherheitsvorkehrungen Umfassende, durchgreifende Sicherheitsvorkehrungen Erläuterungen zu den Fragenkatalogen zur Ermittlung der Sicherheitsvorkehrungen Mit diesem Fragenkatalog sollen die Sicherheitsvorkehrungen des von Ihnen betreuten IT-Endgerätes festgestellt werden. Sofern es sich um Räume handelt, können mehrere Personen als technisch verantwortlich aufgelistet sein. In diesem Fall entscheiden Sie bitte, wer von den genannten Personen den Raum bzgl. der Sicherheitsvorkehrungen beurteilt. Gehen mehrere beantwortete Fragebögen ein, so wird ausschließlich der zuletzt eingegangene berücksichtigt. Bitte wählen Sie bei den jeweiligen Fragen die Antwort, die Ihrer Meinung nach am ehesten die Sicherheitsvorkehrungen beschreibt. Als Hilfestellung zur Einordnung kann Ihnen die Erläuterung zum Schutzbedarf dienen. Die Prozentangaben vor den Antworten dienen der Einordnung der Sicherheitsvorkehrungen, die Antworten sind als Richtlinien gedacht. Ist nur die Prozentangabe und keine Antwort angegeben, so ist die Sicherheitsvorkehrung zwischen der höheren und der niedrigeren Antwort einzuordnen. Die erste Frage einer Fragengruppe ist eine pauschale Frage, die sich auf Ihre persönliche Einschätzung bezieht. Bei den anschließenden Fragen handelt es sich um Detailfragen, die den gleichen Themenkomplex behandeln. Um eine Aussage über den Status der Sicherheitsvorkehrungen zu erhalten ist es ausreichend alle Pauschalfragen und nicht die Detailfragen oder alle Detailfragen und nicht die Pauschalfragen zu beantworten. Sollten Sie den Fragenkatalog zum ersten Mal bearbeiten, so wird empfohlen, die Detailfragen zu beantworten oder wenigstens zu lesen, um ein besseres Verständnis für die Hintergründe der Fragen und die Zusammenhänge zu bekommen. Darüber hinaus ist es auch stets erwünscht die Detailfragen zu beantworten, da hierdurch ein differenzierteres Bild entsteht, das genauere Schlussfolgerungen für zukünftige Maßnahmen zulässt. Wenn Sie der Meinung sind, dass eine Fragestellung nicht auf die Situation Ihres IT-Endgerätes anwendbar ist, dann geben Sie bitte an "Trifft ni zu". Wenn Sie eine Frage als nicht zutreffend bewerten, wird diese Frage aus der Bewertung genommen; verwenden Sie diese Option deshalb b nur nach strengen Maßstäben. Grundsätzlich besteht auch die Möglichkeit eine Frage mit "Keine Angabe" zu beantworten. Hierbei kann oder soll keine Antwort gegeben werden - aus welchen Gründen auch immer - wobei aber die Fragestellung grundsätzlich als zutreffend angesehen wird. Die Frage wird markiert und sollte falls möglich zu einem späteren Zeitpunkt beantwortet werden. In der Übersicht "Fragenkataloge und Ergebnisse" werden mit "keine Angabe" gekennzeichnete Fragen extra ausgewiesen. Sind zuviele Fragen "keine Angabe" gekennzeichet, wird der Fragebogen mit "Antworten für Berechnung unzureichend" markiert. Die Symbole vor den Pauschalfragen geben jeweils an, ob sich der Fragenkomplex auf Integrität und Vertraulichkeit der Daten ( Verfügbarkeit der Daten und Dienste ( ) oder auf beides bezieht. ), auf

13 Page 13 of 16 Sonstige Hinweise Antwortmuster Antwortmuster dienen der vereinfachten und schnelleren Bearbeitung der jeweiligen Fragenkataloge des Security-Audits. Sind Antwortmuster definiert, so können diese durch Kopieren in die Fragenkataloge der entsprechenden Objekte (Datenendgeräte, geräteseitge Netzanschlüsse, netzseitige Anschlüsse, Räume) übernommen werden. Die Fragenkatalogart legt fest, welcher Fragenkatalog mit dem Antwortmuster bearbeitet werden kann. Zur Auswahl stehen Antwortmuster für den Schutzbedarf der Datenendgeräte die Sicherheitsvorkehrungen bei den Datenendgeräten die Sicherheitsvorkehrungen bei den geräteseitigen Netzanschlüssen (Netzadapter) die Sicherheitsvorkehrungen bei den netzseitigen Anschlüssen (Anschlussdose o.ä.) die Sicherheitsvorkehrungen bei den Räumen Auf der Übersichtsseite zu den Antwortmustern sind alle Antwortmuster, die für die Ihnen zugeordneten NIC_online Administrationsgruppen zur Verfügung stehen, tabellarisch aufgelistet. Im unteren Bereich der Tabelle sind Antwortmuster aufgelistet, die vom ZIV vordefiniert sind und als Orientierung dienen. Sie können nicht von Ih editiert oder gelöscht werden, können aber kopiert und dann dem Bedarf entsprechend angepasst werden. Über eine Zuordnung einzelner Antwortmuster zu bestimmten Gruppen können Sie festlegen, welche Antwortmuster den Mitgliedern einer NIC_online Administrationsgruppe zur Beantwortung der Fragenkataloge zur Verfügung gestellt werden soll. Den jeweiligen NIC_online Administrationsgruppen werden nur die ihnen zugeordneten Antwortmuster zur Auswahl angeboten. Antwortmuster können neu erstellt werden. Die Eingabemaske zur Definition neuer Antwortmuster erreichen Sie über den Link "Neues Muster anlegen" in der Tabelle unterhalb der für Ihren Bereich bereits bestehenden Antwortmuster. Es besteht aber auch die Möglichkeit, beantwortete Fragenkataloge als Muster zu übernehmen. Diese Funktion finden Sie, sofern Sie zum Definieren von Mustern berechtigt sind, auf der Seite zum Ausfüllen der Fragenkataloge. Über den mit gekennzeichneten Link können Sie Musterantworten abrufen und in Fragenkataloge für Objekte übernehmen. Seit Mitte Januar '07 verfügt das ISIDOR-Security-Audit über ein Backtracking bei der Anwendung von Antwortmustern. D.h. es wird in der Datenbank protokolliert, wann und auf welchen Fragebogen Sie ein Antwortmuster angewendet haben. Dies hat zur Folge, dass wann immer Sie den Fragenkatalog eines Antwortmusters abändern, Sie die Möglichkeit haben, dieses geänderte Muster auf sämtliche Fragebögen erneut anzuwenden, die auf dem original Muster basieren. Da der Fall denkbar wäre, dass Sie nicht dazu berechtigt wären, das geänderte Muster auf sämtliche Fragebögen anzuwenden, werden sämtliche Nutzer, die Mitglied einer NIC-Online-Administrationsgruppe sind, die dem geänderten Muster zugewiesen ist und die von der Änderung betroffen sind, benachrichtigt. Diese Benachrichtigung erfolgt in Form einer Warnung bezüglich des/der geänderten Antwortmuster auf der ISIDOR- Einstiegsseite. Über einen Link innerhalb der Warnmeldung haben die Nutzer dann die Möglichkeit, sich die betroffenen Fragebögen und Musterantworten im Detail anzuschauen. Zusätzlich haben besteht hier die Möglichkeit die Änderungen für die betroffenen Fragebögen zu bestätigen ( ) oder zurückzuweisen ( ). Ein zurückweisen der Änderungen, hat ein Löschen der Information, dass die Antworten des entsprechenden Fragebogens auf der ursprünglichen Version des jeweiligen Musters basiert. Für den Fall, dass die Änderungen bestätigt werden, wird der Musterantwortbogen auf den entsprechenden Fragebogen erneut angewendet. Änderungen an Antwortmustern, die Sie vornehmen, werden zusammen mit ihrer Nutzerkennung protokolliert, so dass ein Ansprechpartner für eventuelle Rückfragen leichter ausfindig gemacht werden kann. Kopieren von Antworten Es gibt die Möglichkeit über den mit gekennzeichneten Link die innerhalb eines Fragebogens gegebenen Antworten eines Objektes auf andere Objekte zu übertragen. Hierbei wird der entsprechende Fragebogen des zweiten Objektes mit den Antworten des ersten Objektes versehen. Ist ein Fragebogen noch nicht hinreichend beantwortet (roter Link), so ist diese Funktion gesperrt und der Link ausgegraut. Basieren die Antworten eines Fragenkatalogs auf einem Antwortmuster, so haben Sie die Möglichkeit beim Kopieren von Antworten dieses Fragenkatalogs mittels das Antwortmuster auf eine ganze Klasse von Datenendgeräten anzuwenden. Diese Option wird Ihnen beim Kopieren Antworten zur Verfügung gestellt! NIC_Online Administrationsgruppen Sie haben Möglichkeit Informationen über Datenendgeräte zu bearbeiten oder einzusehen, für die entweder Sie direkt als technisch/leitend Verantwortlicher eingetragen sind oder die sich in einer NIC_Online Administrationsgruppe befinden, der Sie angehören. Aus diesem Grund haben Sie auf der Eingangsseite für das Security-Audit die Möglichkeit sich "Fragenkataloge und Ergebnisse" oder "statistische Auswertungen" nach diesem Rechteschema anzuschauen. Wenn Sie sich die Auswahl "entsprechend NIC_Online Administrationsgruppen" anzeigen lassen, erscheint jeweils eine weitere Auswahlseite, in der Sie die entsprechende Gruppe auswählen müssen. Statistische Auswertungen Sofern bereits Antworten zum Security-Audit gegeben wurden, können statistische Auswertungen abgerufen werden. In einer ersten Tabelle sehen Sie eine Auflistung, wie viele Datenendgeräte unter Berücksichtigung der Auswahlkriterien den einzelnen Schutzbedarfskategorien zugeordnet sind. Auf der linken Seite des Tabellenrandes ist die Bezeichnung des Gliederungskriteriums angegeben. In der nächsten Spalte ist die Gesamtzahl der zugehörigen Datenendgeräte genannt, in eckigen Klammern dahinter steht, bei wie vielen Datenendgeräten der Schutzbedarf noch nicht ermittelt wurde. Ist noch nicht für jedes Datenendgerät der Schutzbedarf festgestellt, so sind die Zahlen rot dargestellt. In den weiteren Spalten ist ausgegeben, wie viele Datenendgeräte den einzelnen Schutzbedarfskategorien angehören. In einer zweiten tabellarischen Auflistung ist angegeben, wie viele Datenendgeräte und deren Umfelder keine ausreichenden

14 Page 14 of 16 Sicherheitsvorkehrungen aufweisen. Die Sicherheitsdefizite werden ermittelt, indem die Status der Sicherheitsvorkehrungen der einzelnen Datenendgeräte, der geräteseitigen Netzanschlüsse, der netzseitigen Anschlüsse, der Netzzonen und der Standorte mit dem Schutzbedarf der zugehörigen Datenendgeräte verglichen werden. Die Zahlen in der Tabelle geben an, bei wie vielen Datenendgeräten die Status der Sicherheitsvorkehrungen niedriger sind, als der für das Datenendgerät ermittelte Schutzbedarf, wo also Handlungsbedarf besteht. Die jeweiligen Zahlenangaben in den Übersichtstabellen sind als Link realisiert, über welche Sie direkt zur Übersichtsseite "Fragenkataloge und Ergebnisse" mit entsprechend gesetzten Filtern gelangen. Bei NIC_online Administrationsgruppen mit hinter dem Namen in der ersten Tabelle handelt es sich um Gruppen, die vom ZIV angelegt wurden. Über einen Klick auf das Symbol werden alle Einrichtungen, die zu dieser Gruppe gehören, aufgelistet.

15 Page 15 of 16 FAQ - Häufig gestellte Fragen Fragen: 1. Ich bearbeite schutzbedürftige Daten nur per Remote-Desktop, ist mein Rechner damit nicht generell niedriger einzustufen? 2. Ich bekomme für einige Rechner mehr/weniger Fragen bei der Ermittlung der vorhandenen Sicherheitsvorkehrungen angezeigt. Ist das ein Bug in ISIDOR? 3. Ich habe ein Antwortmuster übernommen aber die Eingaben werden nicht direkt übernommen! 4. Im Fragenkatalog xyz wird ein Sachverhalt hinterfragt, der sich nicht auf die hisige Situation anwenden lässt. Was soll ich tun? 5. Ich habe einen Fragebogen komplett beantwortet und habe nur eine Frage mit 0% beantwortet. Trotzdem bekomme ich ein Sicherheitsdefizit! 6. Warum erfolgt die Datenerhebung systembasiert und nicht daten- und dienstebasiert? 7. Warum soll das Security-Audit überhaupt durchgeführt werden? Antworten: 1. DRAFT! -->Kurz und knapp: Nein! Der Schutzbedarf eines Rechners richtet sich nach dem "größten Unheil", das von diesem Rechner aus angerichtet werden kann. Am Beispiel des Remote-Desktops erklärt bedeutet das, dass über einen auf dem lokalen PC installierten Keylogger Benutzerkennung und Passwort für den Remote-Desktop ausgespäht werden können. Der lokale Rechner ist also so einzustufen, wie ein Rechner, von dem aus die Daten direkt bearbeitet werden könnten. Lediglich für die Verfügbarkeit dürften in der Regel andere Bedingungen gelten.<-- DRAFT! 2. Keineswegs. ISIDOR ermittelt anhand des Schutzbedarfs die sinnvollen Fragen für jeden Rechner. So wird die aufzuwendende Zeit für das Security-Audit möglichst gering gehalten. 3. Hier hilft es, wenn man sich die Antworten noch einmal anschaut und ganz unten mit "Antworten übernehmen" quittiert. 4. Für den Fall, dass ein abgefragter Sachverhalt nicht auf die vorliegende Situation anwendbar ist, sollte diese Frage mit "Trifft nicht zu" beantwortet werden. In diesem Fall wird die Frage aus der Bewertung herausgenommen. 5. Die Berechnung der jeweiligen Kategorien für den Schutzbedarf oder Sicherheitsvorkehrungen erfolgt auf Basis einer geometrischen Mittelung der angegebenen Werte. Da hierbei im Wesentlichen sämtliche Werte auf multipliziert werden, ergibt sich bei einer einzigen "Null" zwangsläufig ein gemittelter Wert von 0 - Also u.u. ein Sicherheitsdefizit. Sie sollten unter Umständen überlegen, ob die Fragestellung auf den aktuellen Fall anwendbar ist. Ansonsten sollten Sie wie hier verfahren. 6. Den Fragebögen des SA liegt eine systembasierte Datenerhebungsstrategie zugrunde. Diese wurde aus folgenden Gründen einer datenund dienstebasierten Strategie vorgezogen: In der Praxis sind häufig verschiedene Personen(kreise) für die verschiedenen angebotenen Dienste und Daten verantwortlich. Im schlimmsten Fall könnten sich für jedes System mehrere unterschiedliche Einzelpersonen als zuständig erweisen. Ein rasch anwachsender, für die Befragung zuständiger Personenkreis wäre die Folge. Zusätzlich stellt sich bei dieser Problematik die Frage der Identifizierung der jeweiligen zuständigen Personen(kreise), die zur Durchführung der Befragung im Stande wären. Eine eindeutige Zuordnung, wie es sie auf der Systemseite durch leitend bzw. technisch Verantwortliche gibt, existiert nicht. Außerdem sind im Allgemeinen angebotene Daten und Dienste über mehrere Systeme (evtl. aus Redundanzgründen) verteilt. Bevor eine hierauf basierende Befragung durchzuführen wäre, gilt es also zunächst festzustellen auf welchen Systemen die jeweiligen Daten und Dienste angeboten werden. Beim systembasierten Ansatz stellen sich die genannten Probleme nicht, da hier auf der einen Seite die personellen Verantwortungen eindeutig festgelegt sind. Auf der anderen Seite wird eine weite Streuung - über Systemgrenzen hinweg - durch den systembasierten Ansatz ausgeschlossen. Ein weiterer Vorteil des systembasierten Ansatzes ist die Tatsache, dass die Systeme datenbankseitig bereits erfasst sind und somit bereits die zu evaluierende Datenbasis feststeht. Wie sich auch in den o.g. Gründen widerspiegelt, existieren diese Informationen für den daten- und dienstebasierten Ansatz noch nicht, so dass der Durchführung eines hierauf basierenden SA eine Erfassung einer zugehörigen Datenbasis vorangehen müsste. Aus diesen Gründen wurde und wird von uns ein vereinfachter, systembasierter Ansatz für die Erfassung als sinnvoll erachtet. 7. Hierfür gibt es viele verschiedene Gründe. Vielen technisch Verantwortlichen ist nicht bewusst, welches Gefährdungspotential von den von ihnen betreuten Rechnern ausgeht. ISIDOR soll zum einen dabei helfen das Sicherheitsbewusstsein der Verantwortlichen zu schärfen und zum anderen kann über die Auswerung der Daten ein sinnvolles - und vor allem bezahlbares - IT-Schutzkonzept für WWU und UKM entwickelt werden. Z.B. reichen manchmal schon so einfache Dinge aus, wie die Zugriffsmöglichkeiten auf einen Server per Firewall-Konfiguration auf wenige Rechner zu beschränken.

16 Page 16 of 16 Glossar Administrationsgruppe (NIC-Online) Aufstellung des Datenendgerätes Bildschirmschoner Bildschirmsperre Brandlasten Computer-Virus, Meldung eines Datenendgerät Datensicherungskonzept Datenverschlüsselung Domain Firewallfunktionalitäten FTP / File-Transfer-Protocol Hard- und Softwaremanagement Kryptokonzept Log-Datei Minimaldatensicherungskonzept Netzknoten Netzknoten, Absicherung eines Organisation Personalausfall RAID Schaden, ideller Schaden, materieller Schulungsmaßnahmen Sicherheitsvorfälle Sicherheitsvorfälle, Nachbearbeitung von Sicherheitsvorfällen, Verhaltensregeln bei Sicherungsdatenträger Stromversorgung, Ausfall der Telnet (Terminal Network) Überwachungssysteme Verantwortlichkeit Verkabelung, Gefährdungen bei der Virenschutzkonzept Virenschutzstrategie Virensuchprogramm, Einsatz eines Wartungs- / Reparaturarbeiten, allgemein Wartungs- / Reparaturarbeiten, ausführlich WWW-Dienst Zugriffsberechtigungen Zentrum für Informationsverarbeitung (Universitätsrechenzentrum) / :53:03 / Netz-Informations-Center (NIC)

Empfehlungen für die Verwendung des Cloudspeicherdienstes sciebo

Empfehlungen für die Verwendung des Cloudspeicherdienstes sciebo Empfehlungen für die Verwendung des Cloudspeicherdienstes sciebo IV-Sicherheitsteam der WWU November 2014 Dieses Dokument soll darüber aufklären, welche Daten von Mitgliedern und Angehörigen der WWU in

Mehr

Richtlinien der HHU für die Verwendung von Sync & Share NRW

Richtlinien der HHU für die Verwendung von Sync & Share NRW Richtlinien der HHU für die Verwendung von Sync & Share NRW HHU 21. Januar 2015 Sync & Share NRW ist ein Cloud-Storage-Dienst zu Zwecken von Forschung, Lehre, Studium und Hochschulverwaltung. Die in Sync

Mehr

Richtlinie für die Verwendung des Cloud-Speicherdienstes sciebo an der Fachhochschule Südwestfalen

Richtlinie für die Verwendung des Cloud-Speicherdienstes sciebo an der Fachhochschule Südwestfalen Richtlinie für die Verwendung des Cloud-Speicherdienstes sciebo an der Fachhochschule Südwestfalen Rektorat der FH SWF - 11.02.2015 Dieses Dokument soll darüber aufklären, welche Daten von Mitgliedern

Mehr

Empfehlungen für die Verwendung von Sciebo (Sync & Share NRW)

Empfehlungen für die Verwendung von Sciebo (Sync & Share NRW) Stand 06. März 2015 Empfehlungen für die Verwendung von Sciebo (Sync & Share NRW) IV-Sicherheitsteam der WWU Juni 2014, angepasst für Mitglieder und Angehörige der FH Köln Dieses Dokument, das mit freundlicher

Mehr

SCHUTZBEDARFSFESTSTELLUNG

SCHUTZBEDARFSFESTSTELLUNG SCHUTZBEDARFSFESTSTELLUNG Version 1.0 EVANGELISCHE KIRCHE IN DEUTSCHLAND MUSTER ZUR SCHUTZBEDARFSFESTSTELLUNG Die folgenden sfeststellungen wurden von der Arbeitsgruppe Muster IT- Sicherheitskonzepte der

Mehr

SCHUTZBEDARFSKATEGORIEN

SCHUTZBEDARFSKATEGORIEN SCHUTZBEDARFSKATEGORIEN Version 1.0 EVANGELISCHE KIRCHE IN DEUTSCHLAND Seite 2 von 5 SCHUTZBEDARFSKATEGORIEN Diese Schutzbedarfskategorien wurden von der Arbeitsgruppe zur Bereitstellung der Muster-IT-

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

Universität Bielefeld

Universität Bielefeld Universität Bielefeld IT-Sicherheitsrichtlinie zur Handhabung von IT-Sicherheitsvorfällen Referenznummer Titel Zielgruppe IT-SEC RL010 IT-Sicherheitsrichtlinie zur Handhabung von IT- Sicherheitsvorfällen

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

KREDITVERZEICHNIS Konfiguration Ausgabe: 20.02.13 1/13. Dokumentation KREDITVERZEICHNIS. Teil 2. Konfiguration

KREDITVERZEICHNIS Konfiguration Ausgabe: 20.02.13 1/13. Dokumentation KREDITVERZEICHNIS. Teil 2. Konfiguration KREDITVERZEICHNIS Konfiguration Ausgabe: 20.02.13 1/13 Dokumentation KREDITVERZEICHNIS Teil 2 Konfiguration Stand 20.02.2013 KREDITVERZEICHNIS Konfiguration Ausgabe: 20.02.13 2/13 Inhalt 1. KONFIGURATION...

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

Amtliches Mitteilungsblatt

Amtliches Mitteilungsblatt Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................

Mehr

Gauß-IT-Zentrum. DHCP für Institute. Zielgruppe: DV Koordinatoren. Version 1.0

Gauß-IT-Zentrum. DHCP für Institute. Zielgruppe: DV Koordinatoren. Version 1.0 Gauß-IT-Zentrum DHCP für Institute Zielgruppe: DV Koordinatoren Version 1.0 1 DHCP für Institute Inhalt Dynamic Host Configuration Protocol (DHCP) für Institute 2 DHCP-Interface im KDD 2 DHCP beantragen

Mehr

Methodische, softwaregestützte Risikobeurteilung

Methodische, softwaregestützte Risikobeurteilung Methodische, softwaregestützte Risikobeurteilung Ziel der Risikobeurteilung ist es, die von einem Produkt ausgehenden Gefährdungspotenziale möglichst vollständig zu erfassen und Schutzmaßnahmen gegen sie

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

Maintenance & Re-Zertifizierung

Maintenance & Re-Zertifizierung Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0

Mehr

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013 Werte- und prozessorientierte Risikoanalyse mit OCTAVE Christian Aust.consecco Dr. Christian Paulsen DFN-CERT Was Sie erwartet Vorstellung von OCTAVE:

Mehr

IT-Grundschutz praktisch im Projekt Nationales Waffenregister

IT-Grundschutz praktisch im Projekt Nationales Waffenregister IT-Grundschutz praktisch im Projekt Nationales Waffenregister Günther Ennen Bundesamt für Sicherheit in der Informationstechnik 19. Berliner Anwenderforum E-Government am 19. und 20. Februar 2013 Fachforum

Mehr

Verfahrensanweisung Umgang mit Beschwerden.doc INHALT

Verfahrensanweisung Umgang mit Beschwerden.doc INHALT INHALT 1 Zweck und Anwendungsbereich 2 2 Begriffe / Definitionen 2 2.1 Definitionen 2 3 Zuständigkeiten 2 4 Verfahrensbeschreibung 3 4.1 Schematische Darstellung Fehler! Textmarke nicht definiert. 4.2

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie Seite 1 von 8 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: Kürzel: De-Mail Dokumentenablage IT-Sicherheit BSI TR 01201 Anwendungsbereich: Version:

Mehr

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz IT-Grundschutz modellieren modellieren Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz / Überblick IT- Grundschutzhandbuch (GSHB) betrachtet im Allgemeinen folgende Merkmale: Infrastruktur

Mehr

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen, IDEAS Übersicht # 1 Einleitung # 2 IT-Sicherheit wozu denn? # 3 IT-Sicherheit die Grundpfeiler # 4 IT-Sicherheit ein

Mehr

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit

Mehr

ZA-ARC / Arbeitszeit - Archivierung Kapitel: V Sonderprogramme Bereich: X Strukturverwaltung Abschnitt: 40

ZA-ARC / Arbeitszeit - Archivierung Kapitel: V Sonderprogramme Bereich: X Strukturverwaltung Abschnitt: 40 50.1.2 Programmstart und Menüaufbau 50.1.2.1 Programmstart Nach der Installation von ZAıARC finden Sie die ZAARC_SV.exe im gewählten Programmverzeichnis. Das Programm kann direkt hier oder optional über

Mehr

Mitarbeitereinsatzplanung. easysolution GmbH 1

Mitarbeitereinsatzplanung. easysolution GmbH 1 Mitarbeitereinsatzplanung easysolution GmbH 1 Mitarbeitereinsatzplanung Vorwort Eines der wichtigsten, aber auch teuersten Ressourcen eines Unternehmens sind die Mitarbeiter. Daher sollten die Mitarbeiterarbeitszeiten

Mehr

Lieferantendatenbank im Schornsteinfegerhandwerk

Lieferantendatenbank im Schornsteinfegerhandwerk Lieferantendatenbank im Schornsteinfegerhandwerk Lieferantendatenbank - Funktionen Möglichkeiten der Lieferantendatenbank Die Lieferantendatenbank bietet Ihnen folgende Möglichkeiten: Informationen über

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement und der IT-Sicherheit Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement 7.1 Risikoportfolio Vertraulichkeit Aufgabe: Gegeben seien folgende Werte einer Sicherheitsanalyse eines IT-Systems hinsichtlich

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht zur Angemessenheit des Compliance-Management- Systems der IDEAL Lebensversicherung a.g. zur Umsetzung geeigneter Grundsätze und Maßnahmen

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an

Mehr

ELWIS 3.0. Dokumentation E-Mail-Verteilerlisten

ELWIS 3.0. Dokumentation E-Mail-Verteilerlisten ELWIS 3.0 Dokumentation E-Mail-Verteilerlisten Dienstleistungszentrum Informationstechnik im Geschäftsbereich des BMVBS (DLZ-IT BMVBS) Bundesanstalt für Wasserbau Am Ehrenberg 8, 98693 Ilmenau Stand, 10.02.2011

Mehr

Aktive Schnittstellenkontrolle

Aktive Schnittstellenkontrolle Aktive Schnittstellenkontrolle Version 1.0 Ausgabedatum 05.03.2013 Status in Bearbeitung in Abstimmung Freigegeben Ansprechpartner Angelika Martin 0431/988-1280 uld34@datenschutzzentrum.de Inhalt 1 Problematik...2

Mehr

Handbuch für die Termindatenbank

Handbuch für die Termindatenbank Handbuch für die Termindatenbank der NetzWerkstatt Kostenlos Termine im Internet veröffentlichen wie wird s gemacht? Eine Orientierungshilfe von der NetzWerkstatt Veranstalter Inhalt Usergruppen 3 Veranstalter

Mehr

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang IT Security Audit Beschreibung Die Informatik ist immer stärker verantwortlich für das Erstellen und die Abwicklung von geschäftskritischen Abläufen und wird dadurch zum unmittelbaren Erfolgsfaktor eines

Mehr

Die Beurteilung normativer Managementsysteme

Die Beurteilung normativer Managementsysteme Die Beurteilung normativer Managementsysteme Hanspeter Ischi, Leiter SAS 1. Ziel und Zweck Um die Vertrauenswürdigkeit von Zertifikaten, welche durch akkreditierte Zertifizierungsstellen ausgestellt werden,

Mehr

Qualitätsmanagement-Handbuch

Qualitätsmanagement-Handbuch Prozessdatenblatt Prozessziel: Der Prozess Fehlermanagement im dient uns der eigenen kontinuierlichen Verbesserung, indem Fehler erfasst, bewertet und korrigiert werden - um deren erneutes Auftreten zu

Mehr

Registrierung am Elterninformationssysytem: ClaXss Infoline

Registrierung am Elterninformationssysytem: ClaXss Infoline elektronisches ElternInformationsSystem (EIS) Klicken Sie auf das Logo oder geben Sie in Ihrem Browser folgende Adresse ein: https://kommunalersprien.schule-eltern.info/infoline/claxss Diese Anleitung

Mehr

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT STEINBUCH CENTRE FOR COMPUTING - SCC KIT University of the State of Baden-Wuerttemberg and National Research

Mehr

Test GmbH Test 123 20555 Hamburg Hamburg

Test GmbH Test 123 20555 Hamburg Hamburg Test GmbH Test 123 20555 Hamburg Hamburg 29.07.2015 Angaben zum Unternehmen Unternehmensdaten Unternehmen Test GmbH Adresse Test 123 20555 Hamburg Hamburg Internetadresse http://www.was-acuh-immer.de Tätigkeitsangaben

Mehr

KompetenzManager http://www.kompetenzmanager.ch/mah Manual für die Benutzung der Website

KompetenzManager http://www.kompetenzmanager.ch/mah Manual für die Benutzung der Website KompetenzManager http://www.kompetenzmanager.ch/mah Manual für die Benutzung der Website Inhalt Inhalt... 1 1. Anmelden beim Kompetenzmanager... 3 2. Erstellen eines neuen Kompetenzprofils... 4 2.1. Wizard

Mehr

Kurzbeschreibung der Intranet Software für das Christophorus Projekt (CP)

Kurzbeschreibung der Intranet Software für das Christophorus Projekt (CP) Kurzbeschreibung der Intranet Software für das Christophorus Projekt (CP) 1 Inhaltsverzeichnis Einleitung 3 Benutzerrechte 4 Schwarzes Brett 5 Umfragen 6 Veranstaltungen 7 Protokolle 9 Mitgliederverzeichnis

Mehr

Muster Nachweisdokumentation und Sicherheitsbewertungsbericht

Muster Nachweisdokumentation und Sicherheitsbewertungsbericht Muster Nachweisdokumentation und Sicherheitsbewertungsbericht auf Basis der "Verordnung (EG) Nr. 352/2009 der Kommission vom 24. April 2009 über die Festlegung einer gemeinsamen Sicherheitsmethode für

Mehr

Informationen zur Risikoanalyse für die Verwendung von Sitzgurten mit verschiedenen Liftertypen. 25. November 2010

Informationen zur Risikoanalyse für die Verwendung von Sitzgurten mit verschiedenen Liftertypen. 25. November 2010 Informationen zur Risikoanalyse für die Verwendung von Sitzgurten mit verschiedenen Liftertypen. 25. November 2010 In den grundlegenden Anforderungen im Anhang 1 der Richtlinie über Medizinprodukte, EG-Richtlinie

Mehr

FORUM Gesellschaft für Informationssicherheit mbh. GenoBankSafe-IT Der IT-Sicherheitsmanager

FORUM Gesellschaft für Informationssicherheit mbh. GenoBankSafe-IT Der IT-Sicherheitsmanager FORUM Gesellschaft für Informationssicherheit mbh GenoBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? GenoBankSafe-IT bietet ein vollständiges IT-Sicherheitskonzept

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Startansicht... 1 Menüleiste... 2 Persönliche Einstellungen... 2 Queueansicht... 3 Suche... 5 Shortcuts... 5

Startansicht... 1 Menüleiste... 2 Persönliche Einstellungen... 2 Queueansicht... 3 Suche... 5 Shortcuts... 5 Inhalt Startansicht... 1 Menüleiste... 2 Persönliche Einstellungen... 2 Queueansicht... 3 Suche... 5 Shortcuts... 5 Ab dem Wintersemester 20112/2013 wird OTRS Version 2 durch Version 3 abgelöst und für

Mehr

Aspekte der Informationssicherheit bei der Einführung von SAP an der TU Dresden. Vorgehen, Werkzeuge, Erfahrungen-

Aspekte der Informationssicherheit bei der Einführung von SAP an der TU Dresden. Vorgehen, Werkzeuge, Erfahrungen- Aspekte der Informationssicherheit bei der Einführung von SAP an der TU Dresden Vorgehen, Werkzeuge, Erfahrungen- BSI IT-Grundschutz-Tag Berlin 13. Februar 2014 Jens Syckor IT-Sicherheitsbeauftragter Matthias

Mehr

OP 2005: Änderungen Mailimport

OP 2005: Änderungen Mailimport OP 2005: Änderungen Mailimport 02.01.2008 Dokumentation Original auf SharePoint Doku zu OP 2005 JT-Benutzerkonfiguration - EMail In dieser Registerkarte können Sie die E-Mail-Konfiguration, des Benutzers

Mehr

Informations- / IT-Sicherheit - Warum eigentlich?

Informations- / IT-Sicherheit - Warum eigentlich? Informations- / IT-Sicherheit - Warum eigentlich? Hagen, 20.10.2015 Uwe Franz Account Manager procilon IT-Solutions GmbH Niederlassung Nord-West Londoner Bogen 4 44269 Dortmund Mobil: +49 173 6893 297

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

Anwenderdokumentation

Anwenderdokumentation Anwenderdokumentation SAP Supplier Lifecycle Management SAP SLC 1.0 SP02 Alle Rechte vorbehalten Inhaltsverzeichnis 1 SAP Supplier Lifecycle Management (SAP SLC)... Fehler! Textmarke nicht definiert. 1

Mehr

Die Dateiablage Der Weg zur Dateiablage

Die Dateiablage Der Weg zur Dateiablage Die Dateiablage In Ihrem Privatbereich haben Sie die Möglichkeit, Dateien verschiedener Formate abzulegen, zu sortieren, zu archivieren und in andere Dateiablagen der Plattform zu kopieren. In den Gruppen

Mehr

Leitfaden zur Inbetriebnahme von BitByters.Backup

Leitfaden zur Inbetriebnahme von BitByters.Backup Leitfaden zur Inbetriebnahme von BitByters.Backup Der BitByters.Backup - DASIService ist ein Tool mit dem Sie Ihre Datensicherung organisieren können. Es ist nicht nur ein reines Online- Sicherungstool,

Mehr

FORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager

FORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager FORUM Gesellschaft für Informationssicherheit mbh ForumBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? ForumBankSafe-IT einführen ForumBankSafe-IT bietet ein

Mehr

IT-Revision als Chance für das IT- Management

IT-Revision als Chance für das IT- Management IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT

Mehr

KREDITVERZEICHNIS Bibliothek Ausgabe: 08.04.14 1/7. Dokumentation KREDITVERZEICHNIS. Teil 1. Bibliothek

KREDITVERZEICHNIS Bibliothek Ausgabe: 08.04.14 1/7. Dokumentation KREDITVERZEICHNIS. Teil 1. Bibliothek KREDITVERZEICHNIS Bibliothek Ausgabe: 08.04.14 1/7 Dokumentation KREDITVERZEICHNIS Teil 1 Bibliothek Stand 08.04.2014 KREDITVERZEICHNIS Bibliothek Ausgabe: 08.04.14 2/7 Inhalt 1. BIBLIOTHEK... 3 1.1. Bericht_Konstanten...3

Mehr

Risikomanagement: Aufgabensammlung I

Risikomanagement: Aufgabensammlung I Thema Dokumentart Risikomanagement: Aufgabensammlung I Lösungen Theorie im Buch "Integrale Betriebswirtschaftslehre" Teil: E2 Risikomanagement Risikomanagement: Aufgabensammlung I Aufgabe 1 1.1 Definieren

Mehr

IT-Risikomanagement beim Outsourcing. Bernd Ewert it-sa Oktober 2010 Forum Auditorium

IT-Risikomanagement beim Outsourcing. Bernd Ewert it-sa Oktober 2010 Forum Auditorium IT-Risikomanagement beim Outsourcing Bernd Ewert it-sa Oktober 00 Forum Auditorium IT-Risiken beim Outsourcing Verantwortung: für Einsatz der Dienstleistung beim Auftraggeber für Erbringung der Dienstleistung

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Dok.-Nr.: Seite 1 von 6

Dok.-Nr.: Seite 1 von 6 Logo Apotheke Planung, Durchführung und Dokumentation von QM-Audits Standardarbeitsanweisung (SOP) Standort des Originals: Dok.-Nr.: Seite 1 von 6 Nummer der vorliegenden Verfaßt durch Freigabe durch Apothekenleitung

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

IT- Sicherheitsmanagement

IT- Sicherheitsmanagement IT- Sicherheitsmanagement Wie sicher ist IT- Sicherheitsmanagement? Dipl. Inf. (FH) Jürgen Bader, medien forum freiburg Zur Person Jürgen Bader ich bin in Freiburg zu Hause Informatikstudium an der FH

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse

Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse Verfasser: BSI Ref. 113 Version: 1.0 Stand: 26. Januar 2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20

Mehr

Sicherheitsaspekte der kommunalen Arbeit

Sicherheitsaspekte der kommunalen Arbeit Sicherheitsaspekte der kommunalen Arbeit Was ist machbar, finanzierbar, umzusetzen und unbedingt notwendig? Sicherheit in der Gemeinde Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen,

Mehr

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN 1 Bayerischer IT-Sicherheitscluster e.v. 09.10.2015 REFERENT Claudia Pock Sales Managerin IT Security Applied Security

Mehr

(IT-) Notfallmanagement. gemäß BSI-Standard 100-4. Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH

(IT-) Notfallmanagement. gemäß BSI-Standard 100-4. Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH Kammer-Workshop 2014 (IT-) Notfallmanagement gemäß BSI-Standard 100-4 Vorschlag: Screenshot-Folie (auch unter den Masterfolien angelegt) Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH Agenda

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

GPP Projekte gemeinsam zum Erfolg führen

GPP Projekte gemeinsam zum Erfolg führen GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

Kochbuch für eine Business Impact Analyse. von bcm-news.de

Kochbuch für eine Business Impact Analyse. von bcm-news.de Kochbuch für eine Business Impact Analyse von bcm-news.de Phasen zur Durchführung einer Business Impact Analyse Scope und Konzeption Erhebung Analyse und Entscheidung Festlegung des Umfangs der BIA Konzeption

Mehr

CRM-Klassifizierung Arbeiten mit Klassifizierungsmerkmalen und Selektionen

CRM-Klassifizierung Arbeiten mit Klassifizierungsmerkmalen und Selektionen CRM-Klassifizierung Arbeiten mit Klassifizierungsmerkmalen und Selektionen Über die Klassifizierung bietet BüroWARE die Möglichkeit Adressen eine beliebige Anzahl an Merkalen zuzuweisen. Die Merkmale bieten

Mehr

Cyber-Sicherheits-Exposition

Cyber-Sicherheits-Exposition BSI-Veröffentlichungen zur Cyber-Sicherheit EMPFEHLUNG: MANAGEMENT Cyber-Sicherheits-Exposition Voraussetzung für eine wirksame Absicherung von Netzen und IT-Systemen in Unternehmen, Behörden und anderen

Mehr

Orientierungshilfe. Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb

Orientierungshilfe. Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb Orientierungshilfe Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb Herausgegeben vom Arbeitskreis Technische und organisatorische Datenschutzfragen der Konferenz der Datenschutzbeauftragten

Mehr

Regelung zum Verbesserungsmanagement: Lenkung von Fehlern, Korrektur- und Vorbeugungsmaßnahmen im Arbeitsschutz

Regelung zum Verbesserungsmanagement: Lenkung von Fehlern, Korrektur- und Vorbeugungsmaßnahmen im Arbeitsschutz Regelung zum Verbesserungsmanagement: Lenkung von Fehlern, Korrektur- und Vorbeugungsmaßnahmen im Arbeitsschutz Zweck Die MAAS-BGW sehen neben den erläuterten Methoden besondere Instrumente zur Verbesserung

Mehr

Die neue ISO 9001:2015 Neue Struktur

Die neue ISO 9001:2015 Neue Struktur Integrierte Managementsysteme Die neue ISO 9001:2015 Neue Struktur Inhalt Neue Struktur... 1 Die neue ISO 9001:2015... 1 Aktuelle Status der ISO 9001... 3 Änderungen zu erwarten... 3 Ziele der neuen ISO

Mehr

Strukturierte Informationssicherheit

Strukturierte Informationssicherheit Strukturierte Informationssicherheit Was muss getan werden ein kurzer Überblick. Donnerstag, 16.Juli 2009 Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de

Mehr

CRM mit Adress PLUS und der SelectLine Warenwirtschaft

CRM mit Adress PLUS und der SelectLine Warenwirtschaft CRM mit Adress PLUS und der SelectLine Warenwirtschaft Überblick Die Schnittstelle zwischen Adress PLUS und der SelectLine Warenwirtschaft tauscht Kunden- und Interessentendaten zwischen diesen beiden

Mehr

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen Organisatorische Einbindung eines Risikomanagementsystems März 2002 Andreas Henking www.risk-sim.de 1 Einleitung Wichtiger Erfolgsfaktor bei der Einführung von Risikomanagementsystemen ist die richtige

Mehr

Orientierungshilfe Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb

Orientierungshilfe Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb Orientierungshilfe Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb Herausgegeben vom Arbeitskreis Technische und organisatorische Datenschutzfragen der Konferenz der Datenschutzbeauftragten

Mehr

Version 8.0 Brainloop Secure Dataroom Artikel Serie - Folge 3

Version 8.0 Brainloop Secure Dataroom Artikel Serie - Folge 3 Version 8.0 kommt in Kürze! Was ändert sich? Lesen Sie Folge 3 unserer Serie: Zusammenarbeit im Datenraum Lesen Sie in der dritten Folge unserer Artikel-Serie, wie Sie effizient über den Datenraum mit

Mehr

Handbuch zum Umgang mit dem. Open Ticket Request System OTRS

Handbuch zum Umgang mit dem. Open Ticket Request System OTRS Handbuch zum Umgang mit dem Open Ticket Request System OTRS Inhaltsverzeichnis 1 Allgemeine Funktionen... 1 1.1 Anmeldung... 1 1.2 Beschreibung der Oberfläche... 1 1.2.1 Einstellungen... 2 1.2.2 Verantwortlicher...

Mehr

Vorwort Organisationsrichtlinie IT-Sicherheit

Vorwort Organisationsrichtlinie IT-Sicherheit Vorwort Organisationsrichtlinie IT-Sicherheit Diese Richtlinie regelt die besonderen Sicherheitsbedürfnisse und -anforderungen des Unternehmens sowie die Umsetzung beim Betrieb von IT-gestützten Verfahren

Mehr

Eigene Bilder in die Symbol-/Bildbibliothek des Programmes Boardmaker für Windows (Version5) einbinden

Eigene Bilder in die Symbol-/Bildbibliothek des Programmes Boardmaker für Windows (Version5) einbinden Eigene Bilder in die Symbol-/Bildbibliothek des Programmes Boardmaker für Windows (Version5) einbinden In dieser Anleitung wurden keine PCS-Symbole verwendet. Die in den Screenshots dargestellten Bildsymbole

Mehr

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen Dirk Loomans, Micha-Klaus Müller Bedrohungs- und Schwachstellenanalysen Übersicht über die Arbeitshilfen risikoanalyse.doc Das Klammersymbol Checkliste zur Durchführung einer Risikoanalyse im Text verweist

Mehr

Inhalt Einleitung 2 Anmeldung 3 Oberfläche und Bedienung Bearbeitungsablauf 12

Inhalt Einleitung 2 Anmeldung 3 Oberfläche und Bedienung Bearbeitungsablauf 12 Inhalt Einleitung 2 Anmeldung 3 Neues Konto anmelden 3 Passwort vergessen? 4 Oberfläche und Bedienung 5 Projektbereiche 5 Startseite 6 Übersicht 6 Probleme anzeigen 7 Probleme eingeben 10 Änderungsprotokoll

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Basis. Schritt 1 Anmelden am Projess Testserver

Basis. Schritt 1 Anmelden am Projess Testserver Basis 2 Schritt 1 Anmelden am Projess Testserver 2 Schritt 2 Arbeitsstunden auf die bereits erfassten Projekte buchen 3 Schritt 3 Kostenaufwand auf die bereits erfassten Projekte buchen 4 Schritt 4 Gebuchte

Mehr

In dieser Anleitung möchten wir ausführlich auf die folgenden Nutzungsmöglichkeiten von DoIT! eingehen:

In dieser Anleitung möchten wir ausführlich auf die folgenden Nutzungsmöglichkeiten von DoIT! eingehen: DoIT! für Dozierende Inhalt Wenn Sie an der aktuellen Lernsituation Ihrer Studierenden besonders interessiert sind und gerne Gruppenarbeiten nutzen, bietet DoIT! vielfältige Möglichkeiten für Sie. Mit

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

IT-Sicherheit am KIT Leitlinie des Karlsruher Instituts für Technologie

IT-Sicherheit am KIT Leitlinie des Karlsruher Instituts für Technologie IT-Sicherheit am KIT Leitlinie des Karlsruher Instituts für Technologie PRÄSIDIUM Präambel Die Leistungsfähigkeit des Karlsruher Instituts für Technologie (KIT) hängt maßgeblich von der Verfügbarkeit und

Mehr

Hinweise, Checkliste und Ablauf zur Vorabkontrolle nach 7 Abs. 6 Hessisches Datenschutzgesetz

Hinweise, Checkliste und Ablauf zur Vorabkontrolle nach 7 Abs. 6 Hessisches Datenschutzgesetz Derr Hessische Datenschutzbeauftragte Hinweise, Checkliste und Ablauf zur Vorabkontrolle nach 7 Abs. 6 Hessisches Datenschutzgesetz Grundsätzliches zur Vorabkontrolle Vor dem Einsatz oder der wesentlichen

Mehr