special IT-Grundschutz nach BSI IT-Security SecuMedia Grundschutz- Überarbeitung: Stand der Dinge

Größe: px
Ab Seite anzeigen:

Download "special IT-Grundschutz nach BSI IT-Security SecuMedia Grundschutz- Überarbeitung: Stand der Dinge"

Transkript

1 Verlagsbeilage, August 2015 Die Zeitschrift für Informations-Sicherheit special Grundschutz- Überarbeitung: Stand der Dinge S. 5 IT-Security Prozessorientierte Umsetzung: Vom Wasserfall zur Lebensader S. 10 IT-Grundschutz nach BSI SecuMedia

2 CYBER-ANGRIFFE: SIND IHRE DATEN SICHER? Nahezu jede Institution kann Ziel eines Cyber-Angriffs werden, dessen Absicht das Manipulieren oder Entwenden von Daten ist. Die verursachten Schäden können erheblich sein. Standards wie IT-Grundschutz oder die ISO/IEC liefern Richtwerte zur Etablierung von Informationssicherheitsmanagementsystemen (ISMS). Wir unterstützen Sie dabei, die Forderungen der Standards gemäß Ihrer Zielstellung zu adaptieren und so ein angemessenes Maß an Informationssicherheit für Ihre Institution sicherzustellen. Ob Mittelstand, international agierender Konzern oder Behörde Wir helfen Ihnen, Ihre Werte zu schützen. ADV-Audits IT-Grundschutz BCMS Optimierung Externer Datenschutzbeauftragter Coaching ISO/IEC Business Continuity Crisis Management ISMS Sicherheits-Architekturen Wirtschaftsschutz Cyber Exercise Forschung Risikobehandlung Informationssicherheit Technische Audits IT-Risk-Management IT-Forensik Industrial Security Zertifizierungsvorbereitung Wirtschaftsschutz Seit mehr als 20 Jahren bietet die HiSolutions ihren Kunden unterschiedlichster Branchen und aus der öffentlichen Verwaltung ein umfassendes Portfolio an Dienstleistungen rund um die Themen IT- und Informationssicherheit, Datenschutz, Business Continuity Management, Business Security Management, Krisen- und Risikomanagement. Dabei vereinen wir strategische Beratungskompetenz mit fundierten methodischen Vorgehensweisen und technischer Expertise. ISMS Audits Vorbereitung auf ADV-Prüfungen Grundschutznovellierung Cyber Response Risiko-Analysen Training IT-Risk-Management ISMS Implementierung Penetrations-Tests Technische Risikoanalysen Krisenmanagement System Security Cyber Security Information Security Prüfung von Dienstleistern HiSolutions AG Berlin Frankfurt Köln München

3 Editorial Mitherausgeber Management der Informationssicherheit aber welcher Standard ist der Richtige? Aktuell stehen viele Organisationen vor der Herausforderung, die immer weiter wachsende Menge an Daten und Informationen zu beherrschen und zu verwalten. Hierbei darf natürlich die Informationssicherheit nicht außer Acht gelassen werden. Cyber-Angriffe auf Unternehmen und Behörden haben in der Vergangenheit zugenommen und sind allgegenwärtig. Dieses musste kürzlich selbst der Deutsche Bundestag erfahren. Die Absicherung vor Angriffen ist ein komplexes Thema und stellt Organisationen jeglicher Größe vor eine anspruchsvolle Aufgabe. Gerade solche, die zu den Kritischen Infrastrukturen gehören, müssen nun handeln, da mit dem IT-Sicherheitsgesetz für diese Zielgruppe der Aufbau eines Mindestniveaus an Informationssicherheit zur gesetzlichen Pflicht wird. Dieser Anforderung wird man in der Praxis effektiv nur durch ein Informationssicherheits- Managementsystem (ISMS) gerecht, da hierdurch die Informationssicherheit als Prozess in der Organisation implementiert wird. Viele Unternehmen und öffentliche Institutionen sehen im Aufbau eines solchen ISMS zunächst vor allem enorme Kosten und Aufwände, jedoch gewinnen sie mit dem Management der Informationssicherheit erheblichen Schutz ihrer Prozesse und das Vertrauen von Marktpartnern beziehungsweise Bürgern. Viele Institutionen stellen sich berechtigterweise die Frage, welcher Standard nun die richtige Basis für ihr ISMS darstellt. Die ISO erscheint auf den ersten Blick schneller umsetzbar als der IT-Grundschutz. Hingegen bietet der IT-Grundschutz als Best Practice-Standard konkrete Handlungsempfehlungen und einen strukturierten Aufbau des Sicherheitskonzeptes. Die Menge an Sicherheitsmaßnahmen bietet dabei ausführliche Hinweise zur Erreichung eines guten Schutzniveaus. Dennoch ist die ISO nicht unbedingt einfacher umzusetzen als der IT-Grundschutz. In der Praxis kommt es daher sehr häufig vor, dass ein ISMS mit Hilfe der BSI-Standards und der Grundschutz-Kataloge aufgebaut aber nach ISO nativ zertifiziert wird. Dieses ist durch die Konformität des Grundschutzes zur ISO möglich und (durch nur einen geringen Mehraufwand) sehr gut realisierbar. Die Wahl des passenden Standards hängt von vielen Faktoren ab und ist letztendlich eine individuelle Entscheidung jeder einzelnen Organisation. Der IT-Grundschutz stellt dabei eine langjährig bewährte Methode dar. Es ist zu erwarten, dass der IT-Grundschutz nach seiner Reformierung diesen hohen Qualitätsstandard beibehält, individuell anpassbarer und als Best Practice-Standard weiterhin eine große Rolle spielen wird. logo+slogan_possitiv.pdf 2 4/2/2013 4:38:25 PM Security made simple. Ich wünsche Ihnen eine informative Lektüre mit vielen interessanten Impulsen für Ihren Arbeitsalltag Tobias Kippert Product Manager Enterprise Security bei der TÜV Informationstechnik GmbH (TÜV NORD GROUP)

4 Inhalt Einer für alle alle für einen Tradition ist gut und notwendig das gilt auch für IT-Sicherheitslösungen. Allerdings ist das alleinige Vertrauen auf Tradition eine Sackgasse. Es müssen neue Wege gefunden werden, Hackerangriffen einen Riegel vorzuschieben. Seite 28 Management und Wissen Zeit für Erneuerung Der IT-Grundschutz ist in die Jahre gekommen. Das BSI hat sich nun dazu entschieden, eine vollständige Überarbeitung nicht nur der IT-Grundschutz-Kataloge, sondern auch der zugehörigen Methode durchzuführen. Aber was ist eigentlich der aktuelle Stand der geplanten Neuerungen, und welche Auswirkungen haben diese auf den Arbeitsalltag? Seite 5 Vom Wasserfall zur Lebensader Der IT-Grundschutz setzt bei der ISMS-Einführung auf das Wasserfall -Modell. Langjährige Projekterfahrung zeigt allerdings, dass ein alternatives Vorgehen mit einer bewussten Parallelisierung geeigneter Aufgaben größeren Erfolg verspricht. Seite 10 Optimierte Sicherheitskonzepterstellung nach IT-Grundschutz Eine von secunet entwickelte Vorgehensweise ermöglicht eine schnelle Umsetzung eines IT-Sicherheitskonzepts auf Basis des IT-Grundschutzes nach BSI. Seite 14 Maßgefertigter Grundschutz?! Unser Autor beschreibt, warum die Individualisierung der BSI IT-Grundschutz-Vorgehensweise oft sinnvoll ist, Entscheidungen nicht für die Ewigkeit sind und wie man trotzdem das richtige Tool findet. Seite 16 Notfallplan minimiert Schäden und Spätfolgen Trotz aller Schutzmaßnahmen und Umsicht der Mitarbeiter gelangt immer wieder Malware auf Rechner und Mobilgeräte. IT-Verantwortliche sind gut beraten, einen Notfallplan fertig ausgearbeitet in der Tasche zu haben. Seite 18 Vulnerability-Management: Integraler Bestandteil der IT-Sicherheitsinfrastruktur Der überwiegende Teil aller erfolgreichen Angriffe auf die IT eines Unternehmens nutzt Schwachstellen aus, die schon länger als zwölf Monate bekannt waren. Das Ziel muss also sein, diese Angriffsfläche deutlich zu reduzieren. Seite 26 Bedrohung Schwachstelle Domain-Name-System Ein häufiger Angriffspunkt von Cyber-Attacken ist das Domain- Name-System (DNS), das als allgegenwärtiges Adressbuch des Internets überall vorhanden, jedoch nur selten durch entsprechende Sicherheitserweiterungen geschützt ist. Seite 22 Cybersicherheit in deutschen Unternehmen Wie steht es um die IT-Sicherheit? Welche Gefahren und Risiken gibt es und wo besteht Handlungsbedarf? Unser Beitrag fasst die wichtigsten Ergebnisse der KMU-Studie Cybersicherheit - Ein aktuelles Stimmungsbild deutscher Unternehmen zusammen. Seite 32 Anwenderbericht Moderne Brandbekämpfung schützt Hochsicherheits-Rechenzentrum Das Rechenzentrum der DARZ GmbH befindet sich im ehemaligen Tresorgebäude der Hessischen Landesbank. Brandgeschützt wird das RZ mit moderner Gaslöschtechnik und einer Sauerstoffreduzierungsanlage. Seite 30 Impressum SecuMedia Verlags-GmbH Postanschrift: Postfach 12 34, Ingelheim (DE) Hausanschrift: Lise-Meitner-Straße 4, Gau-Algesheim (DE) Telefon Fax Web: Beteiligungsverhältnisse (Angabe gem. 9, Abs. 4 Landesmedienges. RLP): Gesellschafter zu je 1/6 sind Gerlinde Hohl, Klaus-Peter Hohl, Peter Hohl (GF, 2/6), Nina Malchus (GF), Steffi Petersen Handelsregister AG Mainz HRB Herausgeber: Peter Hohl Anzeigenleitung: Birgit Eckert (verantwortlich für den Anzeigenteil), Tel , Satz: BlackArt Werbestudio, Stromberger Straße 47, Weiler bei Bingen Druck: Bonifatius GmbH, Karl-Schurz-Straße 26, Paderborn Titelbild: leminuit / istockphoto.com Alle Rechte vorbehalten, auch die des auszugsweisen Nachdrucks, der Reproduktion durch Fotokopie, Mikrofilm und andere Verfahren, der Speicherung und Auswertung für Datenbanken und ähnliche Einrichtungen. 4

5 Management und Wissen Überarbeitung des IT-Grundschutz nach BSI Zeit für Erneuerung Der IT-Grundschutz ist in die Jahre gekommen. Zu unflexibel, zu aufwändig und den Anforderungen der heutigen Zeit nicht mehr entsprechend, urteilen viele. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich nun dazu entschieden, eine vollständige Überarbeitung nicht nur der IT-Grundschutz-Kataloge, sondern auch der zugehörigen Methode durchzuführen. Aber was ist eigentlich der aktuelle Stand der geplanten Neuerungen, und welche Auswirkungen haben diese auf den Arbeitsalltag? Von Joern Maier, HiSolutions AG Als der IT-Grundschutz 1995 das Licht der Welt erblickte, sah es in den IT-Landschaften von Behörden und Unternehmen vollkommen anders aus als heute. Zwar gab es bereits Clients und Server, die Daten über ein internes Netz austauschten, das Internet und die Verbindung zu anderen Institutionen steckten jedoch noch in den Kinderschuhen. Datentransferraten von 56 Kbit galten als schnell, ein Internetanschluss von 2 Mbit war eine kleine Sensation. Wenn man von Sicherheit sprach, dann allenfalls von IT-Sicherheit und Virenschutz. Die Zeiten haben sich geändert. Die Vernetzung von Institutionen untereinander ist allgegenwärtig. Neue Techniken wie das Internet der Dinge oder Industrie 4.0 verstärken die Abhängigkeit von der IT genauso wie von der vernetzten Welt. Auch der IT-Grundschutz hat sich in dieser Zeit weiterentwickelt und wurde mehrfach umstrukturiert. Im Jahr 2005 wurde das damalige IT- Grundschutzhandbuch aufgeteilt. Es entstanden die BSI-Standards 100-1, und 100-3, die die Methodenbeschreibung enthalten, sowie die zugehörigen IT-Grundschutzkataloge, in denen die Bausteine und Maßnahmen mit den Umsetzungshinweisen beschrieben werden. Aus dem IT-Grundschutz-Zertifikat wurde ein ISO Zertifikat auf Basis von IT-Grundschutz, was die Kompatibilität zur international bekannten ISO/IEC verdeutlichte. Obwohl die IT-Grundschutzkataloge für viele Institutionen als unverzichtbarer Fundus für Sicherheitsmaßnahmen gelten, gab es immer wieder Kritik am angeblich starren Regelwerk der Methodik und den Zertifizierungsanforderungen. Darüber hinaus waren viele Anwender unzufrieden mit der Geschwindigkeit, mit der das BSI neue Technologien in die GS-Kataloge aufnahm. Windows 8 zum Beispiel ist bislang nicht in den IT-Grundschutzkatalogen enthalten (allerdings als Vorab-Baustein auf den BSI-Webseiten verfügbar), sondern wird erst mit der 15. Ergänzungslieferung dort aufgenommen, also drei Jahre nach Veröffentlichung durch Microsoft. Das BSI hat sich der Kritik nicht verschlossen, sondern begann bereits Ende 2013 mit den Planungen zur grundlegenden Überarbeitung des Standards. Startschuss für das Projekt bildete eine Bedarfsumfrage nach IT-Grundschutzleistungen. Darüber hinaus veranstaltete das BSI 2014 rund zwanzig Diskussionsrunden und Workshops, in denen Der alte und neue Aufbau der IT-Grundschutzkataloge im Vergleich. 5

6 Management und Wissen die Teilnehmer ihre Wünsche und Kritikpunkte am Standard äußern konnten. Bei der Auswertung der Ergebnisse zeigte sich relativ klar, was die Anwendergemeinde bislang vermisste. Auf dieser Grundlage wurden die Ziele für das anstehende Projekt definiert: Skalierbarkeit nach Unternehmensgröße und Schutzbedarf, Flexibilisierung der Vorgehensweise, stärkere Berücksichtigung anwenderspezifischer Anforderungen durch Profilbildung, bessere Strukturierung und Verschlankung der IT-Grundschutz- Kataloge, Beschleunigung der Maßnahmenumsetzung, Dynamisierung durch Adaption von Lageinformationen. Mit Festlegung der Projektziele wurde schnell klar, dass das Projekt einen Umfang haben würde, der über die Ressourcenkapazitäten des BSI deutlich hinausgeht. Aus diesem Grund wurde die HiSolutions AG damit beauftragt, das BSI zu unterstützen. Die zuvor angeführten Ziele machen deutlich, dass sowohl die Methodik als auch die Bausteine und Maßnahmen der IT-Grundschutzkataloge selbst einer Überarbeitung bedürfen. Einer der häufigsten Wünsche der Anwender war eine stärkere Berücksichtigung kleiner und mittelständischer Unternehmen. Der Ansatz einer einzigen Vorgehensweise für alle Institutionen wird dadurch infrage gestellt. Die Definition unterschiedlicher Vorgehensweisen, die sowohl den Reifegrad des Sicherheitsmanagements einer Institution als auch deren gewünschtes Sicherheitsniveau berücksichtigen, scheint der Wunsch vieler Anwender zu sein. Diese Aussage ist durchaus nachvollziehbar. Eine Institution, deren Management ein Sicherheitsniveau definiert, das gerade so die gesetzlichen Anforderungen erfüllen soll, dürfte das aktuelle Vorgehen nach als zu aufwändig erachten, wogegen ein Unternehmen mit besonders sensiblen Daten deutlich mehr Maßnahmen als die in den IT- Grundschutz-Katalogen geforderten umsetzen wird. Die aktuelle Methode nach lässt hier durchaus Spielraum. So kann sich eine Institution auf den Schutz ihrer Kronjuwelen konzentrieren, indem sie den zu betrachtenden Informationsverbund entsprechend definiert. Eine vereinfachte Erhebung (Strukturanalyse) und Bewertung (Schutzbedarfsfeststellung) von Informationswerten lässt das Vorgehen nach BSI-Standard jedoch nicht zu. Dreiteilung der Methodik Die aktuellen Bestrebungen im Projekt deuten auf eine Dreiteilung der Methodik hin. So soll ein Verfahren erarbeitet werden, das den Schwerpunkt auf die Implementierung der wichtigsten grundlegenden Sicherheitsmaßnahmen legt, ohne dabei einen zu großen organisatorischen Aufwand für die Erhebung und Bewertung von Informationswerten zu generieren. Ziel dieser Methode ist die möglichst kurzfristige Anhebung des Sicherheitsniveaus einer Institution, ohne dabei einzelne Bereiche auszuschließen. Ein weiteres Verfahren soll es Institutionen ermöglichen, sich in einem ersten Schritt ganz auf den Schutz besonders wichtiger Informationen zu konzentrieren und diese schnell und effizient abzusichern. Dabei sollen neben einer angepassten Vorgehensweise auch sogenannte Hochschutzmaßnahmen helfen, dem Endanwender einen beispielhaften Eindruck zu vermitteln, welche Sicherheitsmaßnahmen über ein normales Grundschutzniveau hinausgehen. Die bisherige Methode gemäß BSI-Standard wird ebenfalls überarbeitet, aber parallel weiter erhalten bleiben, da sie einen vollumfänglichen Ansatz bietet, Sicherheit innerhalb einer Institution zu managen und unterschiedlichen Sicherheitsanforderungen aus unterschiedlichen Bereichen gerecht zu werden. Aus Sicht der Anwender ist eine gewisse Durchlässigkeit der Methoden sicherlich wichtig. Das bedeutet, dass eine Institution nach der Entscheidung für eine Vorgehensweise nicht darin gefangen sein darf. Vielmehr muss ein einfacher Übergang zwischen den Methoden möglich sein, schon allein deswegen, weil sich der Reifegrad eines Unternehmens oder einer Behörde über die Jahre verändern wird, was sowohl ein Mehr als auch ein Weniger an Sicherheit bedeuten kann. Ziel dürfte es dennoch sein, alle Institutionen dazu zu bewegen, ein umfassendes Informationssicherheitsmanagementsystem (ISMS) zu etablieren, das sich stark an der Vorgehensweise des BSI-Standards orientiert. Die zuvor angeführte Dreiteilung der Methodik bedingt eine eindeutige Gewichtung der Maßnahmen hinsichtlich ihrer Bedeutung für die Informationssicherheit. So ist eine Einteilung in Basismaßnahmen, Standardmaßnahmen (Stand der Technik) und Anforderungen für erhöhten Schutzbedarf denkbar. Zwar gibt es im aktuellen IT-Grundschutz bereits eine ähnliche Aufteilung in A-, B-, C- und Z-Maßnahmen, die jedoch vielen Anwendern nicht geläufig ist und insbesondere bei der Erstellung neuer Bausteine stark verwässert wurde, da diese besonders viele A-Maßnahmen enthalten. Die Einteilung der Maßnahmen zeigt aber auch ein anderes Problem. Zwar kann das BSI eine grundsätzliche Einschätzung vornehmen, es wird jedoch immer Kontexte geben, für die diese Einteilung nicht passt oder nur bedingt sinnvoll erscheint. Je detaillierter die Maßnahmen definiert werden, umso häufiger kann es zu Problemen kommen. Die detaillierte Beschreibung von Maßnahmen bildet jedoch gerade den Mehrwert der IT-Grundschutzkataloge. Hier bedarf es somit nicht nur einer Anpassung durch das BSI, sondern auch eines Umdenkens bei den Anwendern. Ein stumpfes Abarbeiten von Maß- 6

7 nahmenkatalogen mag zwar einfach sein, hilft der jeweiligen Institution aber nicht immer im gewünschten Umfang. Kürzere Bausteine Ein weiterer Wunsch der Anwender betrifft die Verschlankung der Bausteine. Aus der Historie heraus wurden die Grundschutzbausteine für Personen geschrieben, die sich dem Thema Sicherheit zum ersten Mal nähern und somit detaillierte Erläuterungen benötigen. Dies führte zu Bausteinen mit vielen und umfangreichen erklärenden Passagen. Auch Informationssicherheitsexperten, denen eine simple Checkliste ausreichen würde, um die Anforderungen verstehen und einschätzen zu können, müssen diese Fließtexte lesen, was die Anwendung des IT-Grundschutzes für diese Klientel erschwert. Da seit Einführung des IT-Grundschutzes die Anzahl der Sicherheitsexperten in den Institutionen deutlich zugenommen hat, strebt das BSI eine radikale Verschlankung der Bausteine an. Deren Länge soll auf circa zehn Seiten inklusive Maßnahmeninhalte begrenzt werden. Dies soll zum einen die Lesbarkeit der Bausteine verbessern, zum anderen die Erstellzeit deutlich beschleunigen. Bei einer solch starken Kürzung reduziert sich selbstverständlich auch der Informationsgehalt der einzelnen Bausteine. Dabei bilden jedoch die Detailinformationen genau den Mehrwert, den viele Anwender am IT-Grundschutz so schätzen. Hier will sich das BSI nach aktuellem Stand mit einem Trick behelfen. Enthielten die bisherigen Bausteine sowohl die Anforderungen, was umgesetzt werden muss, als auch wie diese Anforderungen umzusetzen sind, soll es in Zukunft eine Trennung geben. Die Bausteine werden sich darauf konzentrieren, was umzusetzen ist. Wie etwas umzusetzen ist, soll in sogenannten Umsetzungshinweisen definiert werden. Dies hätte mehrere Vorteile: Experten können sich einen schnellen Überblick über die notwendigen Sicherheitsmaßnahmen verschaffen, Administratoren und anderes Fachpersonal sich auf die Abarbeitung der Umsetzungshinweise konzentrieren. Hier hat das BSI aus Problemen der Vergangenheit gelernt. Viele Anwender sahen die Texte der Maßnahmen oft als gesetzesgleiche Vorgaben an, deren Wortlaut 1:1 in die Praxis umzusetzen ist. Daran konnten auch offizielle Aussagen des BSI wie zum Beispiel in Kapitel 4.4 des Auditierungsschemas nichts ändern. Hier wurde bereits seit 2011 Folgendes definiert: Aufgrund der Vielfalt der unterschiedlichen Einsatzszenarien und Realisierungsmöglichkeiten ist es nicht immer sinnvoll, die Maßnahmen der IT-Grundschutz-Kata- 7

8 Management und Wissen loge wörtlich und ohne Anpassung an das Einsatzumfeld umzusetzen. Der Auditor berücksichtigt, ob die Maßnahmen ihrem Sinn und Zweck nach realisiert sind. Würde eine entsprechende Aufteilung der Kataloge wie zuvor beschrieben stattfinden, könnte das BSI in den Bausteinen definieren, was zwingend notwendig ist zur Erreichung eines entsprechenden Sicherheitsniveaus. Die Beschreibungen in den Umsetzungshinweisen könnten dann unverbindlicher sein und im besten Fall sogar unterschiedliche Einsatzszenarien wie Größe und Sicherheitsniveau einer Institution berücksichtigen. Mithilfe dieser Aufteilung wäre es zudem möglich, eine höhere Aktualität der IT-Grundschutz-Kataloge zu gewährleisten, indem sich das BSI auf die Erstellung der Bausteine fokussiert und damit auf die Definition dessen, was zu tun ist. Die Umsetzungshinweise könnten dann nachgelagert erstellt werden. Bei diesem Vorgehen wäre es nur wichtig, darauf zu achten, dass die Umsetzungshinweise weiterhin gepflegt werden, da sie einen sehr großen Mehrwert im Vergleich zu anderen Standards wie zum Beispiel ISO/IEC oder ISO/IEC darstellen. Dieses Vorgehen böte auch die Chance, andere Schriftstücke des BSI in den IT-Grundschutz integrieren zu können. So gibt es eine Reihe von Dokumenten wie die ISi-Schriftenreihe, Empfehlungen der Allianz für Cybersicherheit, Empfehlungen zu Themen wie Industrial Control Systems oder generelle Studien zu Sicherheitsthemen, die über diesen Weg relativ einfach in das Gesamtkonstrukt Grundschutz eingebettet und dem Endanwender zugänglich gemacht werden könnten. Neue Schichten- Einteilung Aber nicht nur die einzelnen Bausteine sollen neu gestaltet werden. Insbesondere wird über eine Optimierung und Verbesserung der bisherigen Aufteilung in die fünf Schichten Übergreifende Aspekte, Infrastruktur, IT-Systeme, Netze und Anwendungen nachgedacht. Auch hier ist das Ziel, Redundanzen in den Bausteinen zu vermeiden und die entsprechende Zielgruppe besser zu berücksichtigen. Bislang wurden die Maßnahmen innerhalb der Bausteine in die Themenblöcke Planung und Konzeption, Beschaffung, Umsetzung, Betrieb, Aussonderung und Notfallvorsorge aufgeteilt. Dies hatte zur Folge, dass bestimmte Maßnahmen, zum Beispiel Planung des XY oder Notfallvorsorge für XY, sowohl in den einzelnen Bausteinen der Schichten 2 bis 5 als auch in den Übergreifenden Aspekten, wie zum Beispiel Notfallmanagement beziehungsweise Hard- und Softwaremanagement, betrachtet wurden. Die neue Struktur wird weiterhin IT- und Infrastrukturobjekte vorsehen, diese aber deutlich detaillierter untergliedern. So wird es für Clients und Server vermutlich getrennte Kapitel geben. Die darin enthaltenen Bausteine können, sofern sinnvoll, unterschiedliche Sichtweisen auf bestimmte Zielobjekte berücksichtigen. Denkbar wären auch unterschiedliche Bausteine für den Betrieb und die Nutzung von WLAN. Darüber hinaus werden vermutlich vollkommen neue Techniken, wie zum Beispiel Industrial Control Systems, Einzug in die Grundschutzkataloge erhalten. Neben den technischen Zielobjekten werden die neuen IT- Grundschutz-Kataloge auch Prozessbausteine enthalten. Hierbei sollen nicht nur das Security Management, sondern auch sicherheitsrelevante Themen für den IT-Betrieb und die Themenfelder Detection und Response näher betrachtet und mit Bausteinen versehen werden. Ein weiterer wichtiger Aspekt des neuen IT-Grundschutzes werden Profile sein. Zwar existieren bereits Profile für kleine, mittlere und große Institutionen, deren Inhalt wird aber stark optimiert werden. Die neuen Profile sollen Maßnahmensammlungen enthalten, die für typische Einsatzszenarien und Branchen als notwendig und sinnvoll erachtet werden. Die Erstellung dieser Profile soll durch Branchenverbände vorangetrieben werden. Das BSI sieht sich hier als qualitätssichernde Stelle, die die Vorgaben für die Erstellung der Profile bereitstellt und die Inhalte mit Blick auf die Einhaltung eines Mindestsicherheitsniveaus qualitätssichert. Ob sich einzelne Unternehmen die Erfüllung der Anforderungen aus diesen Profilen bestätigen oder testieren lassen können, ist derzeit noch offen. Fazit Zusammengefasst kann man sagen, dass die angestrebten Änderungen sämtliche Aspekte des IT- Grundschutzes betreffen und weit mehr als nur kosmetischer Natur sind. Sowohl die Bereitstellung neuer Methoden als auch die radikale Veränderung der IT-Grundschutz-Kataloge zeigen, dass das BSI die Modernisierung wirklich ernst meint. Auch die Möglichkeit der Profilbildung für bestimmte Anwendungsbereiche, die eine branchenspezifische Anpassung der IT-Grundschutzkataloge ermöglichen soll und gegebenenfalls zu einer vereinfachten Anwendung in manchen Institutionen führen kann, zeigt dies. Der IT-Grundschutz befindet sich somit auf einem sehr guten Weg, auch die kommenden 20 Jahre seine Stellung als einer der wichtigsten Informationssicherheitsstandards in Deutschland zu behaupten. n 8

9 DIE NEUE EU-DATENSCHUTZVERORDNUNG KOMMT. BEREITEN SIE SICH VOR! Schützen Sie Daten ganz einfach: mit Verschlüsselungslösungen von Sophos Sophos SafeGuard Enterprise > Leistungsstarke Verschlüsselung > Transparent für die Benutzer > Gewaltentrennung: 4-Augen-Prinzip > Audit-sicheres Reporting + Sophos Security: Verschlüsselung per Mausklick. Ihr kostenloser 60-Sekunden Compliance Check: Security made simple.

10 Management und Wissen Datensicherheit mit IT-Grundschutz prozessorientiert umsetzen Vom Wasserfall zur Lebensader Der IT-Grundschutz setzt bei der ISMS-Einführung auf das Wasserfall -Modell ein auf den ersten Blick logisches und leicht zu beherrschendes Verfahren. Langjährige Projekterfahrung zeigt allerdings, dass ein alternatives Vorgehen mit einer bewussten Parallelisierung geeigneter Aufgaben größeren Erfolg verspricht und das angestrebte Informationssicherheits-Management-System (ISMS) besser mit der Sicherheitspraxis verzahnt. Von Knut Haufe, Marcel Schulz und Knud Brandis, PERSICON AG Für den IT-Grundschutz des BSI als potenziellen Orientierungsrahmen eines professionellen Umgangs mit dem Thema Informationssicherheit interessieren sich Organisationen heute aus mehreren Gründen. Erstens hat der nationale Standard für Informationssicherheits-Management inzwischen den Bogen zu internationalen Normen geschlagen und erlaubt eine Zertifizierung gemäß ISO auf der Basis von IT-Grundschutz, und zweitens lockt das IT-Grundschutz- Konzept Organisationen mit normalem Schutzbedarf nach wie vor durch die Besonderheit, keine detaillierte Risikoanalyse durchführen zu müssen. Die IT-Grundschutztypischen Kataloge vorgefertigter Basis-Maßnahmen versprechen Organisationen mit eher durchschnittlichen Infrastruktur- und Anwendungslandschaften eine deutliche Reduktion möglicher Sicherheitsrisiken. Auch die Tatsache, dass der IT-Grundschutz für die ISMS- Einführung auf das aus der Softwareentwicklung vertraute Wasserfall - Vorgehensmodell setzt, stützt auf den ersten Blick den Eindruck, eine ISMS-Implementierung nach diesem Standard sei durchweg logisch strukturiert, einfach zu überwachen und gerade deshalb erfolgversprechend. Die Phasen Strukturanalyse (Er- hebung der vorhandenen IT-Landschaft, Infrastruktur, Informationen und Anwendungen), Schutzbedarfsfeststellung, Modellierung und Basis-Sicherheitscheck (Auswahl der Sicherheitsmaßnahmen und Abgleich mit bereits umgesetzten Sicherheitsmaßnahmen), Maßnahmenplanung und Umsetzung sowie gegebenenfalls Ergänzende Sicherheitsanalyse und Maßnahmenumsetzung laufen Schritt für Schritt nacheinander ab jeder Schritt ist die Voraussetzung für den nächsten. Die Arbeitsschritte lassen sich leicht in Projektcharts pressen und mit Kalenderdaten versehen. Am Ende steht, so scheint es, fast zwangsläufig die Zertifizierung. Die Realität allerdings zeigt ein anderes Bild. Gerade das sympathisch-serielle Wasserfall-Modell harmoniert nur wenig mit der Wirklichkeit der Sicherheits-Praxis und den zentralen Anliegen einer IT-Grundschutz- Zertifizierung und führt deshalb durchaus nicht so häufig zum Ziel wie anfangs erwartet. Resultate von Anfang an erzielen Die wohl gravierendste Folge einer unreflektierten Anwendung des Wasserfall-Modells sind lange Analysephasen, in denen keinerlei konkrete Sicherheitsmaßnahmen umgesetzt werden. Zu einer spürbaren Erhöhung des Sicherheitsniveaus kommt es beim üblichen Vorgehen oft erst ein bis zwei Jahre nach dem Projektstart. Die ISMS- Einführung gerät damit leicht in die Position einer separaten, eventuell lästigen und mit dem Arbeitsalltag der Fachabteilungen kaum verknüpften Spezialmaßnahme, an der die Stakeholder in der Organisation das Interesse verlieren und die sie mangels vorzeigbarer Ergebnisse womöglich irgendwann stoppen. Die Autoren dieses Beitrags schlagen vor, der geschilderten Problematik durch eine stärkere Prozessorientierung der IT-Grundschutz-Vorgehensweise und durch eine Parallelisierung wichtiger Aufgaben abzuhelfen. Erfahrungsgemäß lässt sich so eine weitaus bessere Integration des IT-Grundschutzes in bestehende Abläufe und Managementsysteme erreichen. Für die Modifikation des Ablaufs sind folgende Aspekte zentral (siehe auch Bild 1): 1) Gleich zu Beginn der IT-Grundschutz-Einführung sind eine Schulung und Sensibilisierung aller Beteiligten in der Organisation und die Definition ihrer Rollen im ISMS-Prozess unumgänglich. Ein entscheidender Erfolgsfaktor ist es dabei, auch die Leitungsebene ein- 10

11 zubeziehen. Sie muss für das ISMS die Ziele vorgeben und es regelmäßig bewerten sowie dem Sicherheitsteam die für die nachgelagerte Linienorganisation sichtbare Autorität geben, in seinem Namen die Sicherheitsziele umzusetzen. Ohne eine solche Rückendeckung scheitern die meisten Einführungsprojekte an den internen Widerständen oder verlaufen im Sande. 2) A0-Dokumente, Basis-Prozesse und Basis-Sicherheitscheck der IT-Grundschutz-Bausteine in der Schicht 1 ( Übergreifende Aspekte ) können und sollten auch ohne bereits vollständig vorliegende Strukturanalyse erstellt werden. Sie sind zumindest teilweise eine wichtige Voraussetzung für das erfolgreiche Durchführen und Aufrechterhalten der Strukturanalyse. 3) Die Strukturanalyse selbst sollte möglichst auf eine vorhandene Basis aus Konfigurationsmanagement-Datenbank (CMDB) und Änderungsmanagement-Prozessen zugreifen. Gibt es diese Ressourcen nicht, sollte das ISMS-Team die zuständigen Fachabteilungen dazu bewegen, eine solche Basis zu schaffen vorzugsweise als Maßnahme außerhalb des eigentlichen ISMS-Projekts. Die Modellierung und der Basis-Sicherheitscheck in den Schichten 2-5 sind an das Vorhandensein der Strukturanalyse gekoppelt. 4) Die Schutzbedarfsfeststellung hat von einigen wenigen Bausteinen wie Kryptokonzept, Behandlung von Sicherheitsvorfällen oder Notfallmanagement abgesehen keinen direkten Einfluss auf die Modellierung und den Basis- Sicherheitscheck. Deshalb ist es ungünstig, wenn sie zeitlich nach der Strukturanalyse erfolgt, wie es die Standard-Vorgehensweise vorsieht. Sinnvoller ist es, diese Phase nach dem Basis-Sicherheitscheck oder parallel dazu durchzuführen. Bei den Schutzbedarfsstufen ist es sinnvoll, sich auf Normal und Hoch zu beschränken, da eine Differenzierung zwischen den Bewertungen Sehr hoch und Hoch keine Auswirkungen auf die weitere Vorgehensweise nach sich zieht, jedoch höhere Aufwände für diese Differenzierung verursacht. Die Schutzbedarfsfeststellung ist, wenn sie auf diese Weise durchgeführt wird, besser an die praxisrelevanten Erhebungen der Ist-Zustände angebunden, erfordert geringeren Aufwand und führt zu einer frühzeitigeren Umsetzung von Maßnahmen. Für die Parallelisierung ist der Ansatzpunkt mit der höchsten Wirksamkeit die in Punkt 3 angedeutete Verzahnung mit einer zentralen Inventarisierungslösung. Die Basis für diese Einschätzung ist, dass sich hinter dem Arbeitsschritt der Strukturanalyse nichts anderes verbirgt als eine Ist-Aufnahme des produktiv genutzten Informationsverbunds: Datenbestände, Anwendungen und die zugrundeliegende Infrastruktur werden erfasst, um anschließend den Schutzbedarf für die verwalteten Informationen beurteilen zu können. In Projekten stoßen die ISMS-Verantwortlichen hier oft auf fundamentale Probleme: Wenn weder die IT-Abteilung zur eingesetzten Hard- und Software noch die Organisationsabteilung zu Geschäftsprozessen und Fach- Eine parallelisierte und prozessorientierte Vorgehensweise beim IT-Grundschutz reduziert die Projektrisiken (Quelle: PERSICON) 11

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

Neues vom IT-Grundschutz: Ausblick und Diskussion

Neues vom IT-Grundschutz: Ausblick und Diskussion Neues vom IT-Grundschutz: Ausblick und Diskussion Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2014

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit Informationssicherheitsmanagement BSI- Grundschutz in der Praxis Informationssicherheit nach BSI-Grundschutz und ISO 27001 im Praxisvergleich Cyber Akademie

Mehr

Modernisierung des IT-Grundschutzes

Modernisierung des IT-Grundschutzes Modernisierung des IT-Grundschutzes Isabel Münch Referatsleiterin Allianz für Cyber-Sicherheit, Penetrationszentrum und IS-Revision Bundesamt für Sicherheit in der Informationstechnik netzdialog 2014 06.11.2014

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit mit TÜV Rheinland geprüfter Qualifikation 16. 20. November 2015, Berlin Cyber Akademie (CAk) ist eine eingetragene Marke www.cyber-akademie.de IT-Sicherheitsbeauftragte

Mehr

ISO 27001 Zertifizierung

ISO 27001 Zertifizierung ISO 27001 Zertifizierung - Zertifizierte IT-Sicherheit nach internationalen Standards Trigonum GmbH Trigonum Wir machen Unternehmen sicherer und IT effizienter! - 2 - Kombinierte Sicherheit Datenschutz

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009 Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen IT Profis Berlin, 24.06.2009 Leistungsspektrum Trigonum GmbH Geschäftsprozess- und Organisationsmanagement Erfolgreich Prozesse und

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Praktizierter Grundschutz in einem mittelständigen Unternehmen

Praktizierter Grundschutz in einem mittelständigen Unternehmen Praktizierter Grundschutz in einem mittelständigen Unternehmen Adolf Brast, Leiter Informationsverarbeitung Bochum-Gelsenkirchener Straßenbahnen AG auf dem 4. Stuttgarter IT-Sicherheitstag, 16.02.06 Überblick

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2013 09.10.2013 Agenda

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Q_PERIOR AG 2014 www.q-perior.com Einführung Die Herausforderungen an die Compliance in der Informationssicherheit steigen Neue Technologien Fraud und Industriespionage

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 11. Kommunales IuK-Forum

Mehr

SerNet. Vom Prozess zum Workflow - IS-Management mit Tools unterstützen. Alexander Koderman SerNet GmbH. Seite 1 / 2010 SerNet GmbH

SerNet. Vom Prozess zum Workflow - IS-Management mit Tools unterstützen. Alexander Koderman SerNet GmbH. Seite 1 / 2010 SerNet GmbH Vom Prozess zum Workflow - IS-Management mit Tools unterstützen Alexander Koderman SerNet GmbH Seite 1 / 2010 SerNet GmbH Informationssicherheit...Informationen sind wertvoll für eine Organisation und

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie Seite 1 von 13 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: De-Mail Sicherheit Modulübergreifend Anwendungsbereich: Kürzel: BSI De-Mail TR 01201

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Consulting Services Effiziente Sicherheitsprozesse nach Mass.

Consulting Services Effiziente Sicherheitsprozesse nach Mass. Consulting Services Effiziente Sicherheitsprozesse nach Mass. Angemessene, professionelle Beratung nach internationalen Sicherheitsstandards. Effektive Schwachstellenerkennung und gezielte Risikominimierung.

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

TÜV TRUST IT GmbH Agenda Übersicht TÜV TRUST IT GmbH ISMS Bestandsaufnahme und GAP Analyse ISMS Bebauungsplan ISMS Framework Diskussion und Fazit

TÜV TRUST IT GmbH Agenda Übersicht TÜV TRUST IT GmbH ISMS Bestandsaufnahme und GAP Analyse ISMS Bebauungsplan ISMS Framework Diskussion und Fazit ISMS Portfolio Sicher. Besser. TÜV TRUST IT GmbH Agenda Übersicht TÜV TRUST IT GmbH ISMS Bestandsaufnahme und GAP Analyse ISMS Bebauungsplan ISMS Framework Diskussion und Fazit TÜV TRUST IT GmbH Daten

Mehr

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) 32.Forum Kommunikation und Netze 25. und 26. März 2015 in Rotenburg a. d. Fulda Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) Stefan Wojciechowski IT-Sicherheitsbeauftragter

Mehr

pco ISO/IEC 27001:2013 Praxisworkshop vom 08. bis 10. Juni 2015

pco ISO/IEC 27001:2013 Praxisworkshop vom 08. bis 10. Juni 2015 pco ISO/IEC 27001:2013 Praxisworkshop Einleitung Der Praxisworkshop Information-Security-Management-System (ISMS) nach ISO/IEC 27001:2013 vermittelt den Teilnehmern einen fundierten Überblick, wie durch

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012 ISi Ihr Berater in Sachen Datenschutz und IT-Sicherheit 01 Berlin, August 2012 Vorstellung ISiCO 02 Die ISiCO Datenschutz GmbH ist ein spezialisiertes Beratungsunternehmen in den Bereichen IT-Sicherheit,

Mehr

DS DATA SYSTEMS GmbH

DS DATA SYSTEMS GmbH DS DATA SYSTEMS GmbH Consulting is our business! Consulting is our business! Unternehmenspräsentation DS DATA SYSTEMS GmbH Drei Standorte: Schwülper (Hauptverwaltung) München Wolfsburg 25 Mitarbeiter in

Mehr

Erfahrungsbericht eines zertifizierten IT-Sicherheitsdienstleisters

Erfahrungsbericht eines zertifizierten IT-Sicherheitsdienstleisters Erfahrungsbericht eines zertifizierten IT-Sicherheitsdienstleisters IS-Revisorentreffen 2012 Ronny Frankenstein 1 Agenda 1 Kurze Vorstellung 2 Motivation 3 Vorgeschichte 4 Umsetzung 5 Ergebnisse 2 Vorstellung

Mehr

IT-Sicherheitsmanagement bei der Landeshauptstadt München

IT-Sicherheitsmanagement bei der Landeshauptstadt München IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung

Mehr

IT-Sicherheit für die Energie- und Wasserwirtschaft

IT-Sicherheit für die Energie- und Wasserwirtschaft IT-Sicherheit für die Energie- und Wasserwirtschaft Als Prozess für Ihr ganzes Unternehmen. Zu Ihrer Sicherheit. www.schleupen.de Schleupen AG 2 Deshalb sollte sich Ihr Unternehmen mit IT-Sicherheit beschäftigen

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

......... http://www.r-tec.net

......... http://www.r-tec.net Digital unterschrieben von Marek Stiefenhofer Date: 2014.09.09 09:18:41 MESZ Reason: (c) 2014, r-tec IT Systeme GmbH.......... r-tec IT Systeme GmbH 09.09.2014 Bedrohungslage 2014 SEITE 3 2010: Stuxnet

Mehr

Informationssicherheit als Outsourcing Kandidat

Informationssicherheit als Outsourcing Kandidat Informationssicherheit als Outsourcing Kandidat aus Kundenprojekten Frankfurt 16.06.2015 Thomas Freund Senior Security Consultant / ISO 27001 Lead Auditor Agenda Informationssicherheit Outsourcing Kandidat

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Die Vorgaben des IT-Planungsrates Leitlinie für Informationssicherheit der öffentlichen Verwaltung

Die Vorgaben des IT-Planungsrates Leitlinie für Informationssicherheit der öffentlichen Verwaltung Die Vorgaben des IT-Planungsrates Leitlinie für Informationssicherheit der öffentlichen Verwaltung Dr. Stefan Grosse Bundesministerium des Innern, Leiter Referat IT5 (IT5@bmi.bund.de) IT-Infrastrukturen

Mehr

TÜV NORD Akademie Personenzertifizierung. Zertifizierungsprogramm - Merkblatt Chief Information Security Officer (TÜV )

TÜV NORD Akademie Personenzertifizierung. Zertifizierungsprogramm - Merkblatt Chief Information Security Officer (TÜV ) TÜV NORD Akademie Personenzertifizierung Zertifizierungsprogramm - Merkblatt Chief Information Security Officer (TÜV ) Merkblatt Chief Information Security Officer (TÜV ) Personenzertifizierung Große

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

3 Juristische Grundlagen

3 Juristische Grundlagen beauftragter - Grundlagen Ziele: Einführung in das recht Kennen lernen der grundlegenden Aufgaben des beauftragten (DSB) Praxishinweise für die Umsetzung Inhalte: Ziele des es Zusammenarbeit mit Datensicherheit/IT-Sicherheit

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin Software EMEA Performance Tour 2013 17.-19 Juni, Berlin In 12 Schritten zur ISo27001 Tipps & Tricks zur ISO/IEC 27001:27005 Gudula Küsters Juni 2013 Das ISO Rennen und wie Sie den Halt nicht verlieren

Mehr

Zertifikatsstudiengang Certified Security Manager (CSM)

Zertifikatsstudiengang Certified Security Manager (CSM) Zertifikatsstudiengang Certified Security Manager (CSM) Mit Security Management sind Sie gut vorbereitet Das Thema Sicherheit im Unternehmen wird meist in verschiedene Bereiche, Unternehmenssicherheit,

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

SAM-Projekte in 3 Phasen und 5 Ebenen

SAM-Projekte in 3 Phasen und 5 Ebenen SAM-Projekte in 3 Phasen und 5 Ebenen S&L SAR SAM AND RESCUE powered by: Agenda (60 Minuten) Microsoft Lizenzen Warum Asset Management? Das Microsoft SAM Programm Die S&L Vorgehensweise / Tools F-A-Q 2

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

Umsetzung BSI Grundschutz

Umsetzung BSI Grundschutz Umsetzung BSI Grundschutz ISO 27001 auf der Basis von IT-Grundschutz - ein Erfahrungsbericht An den Steinen, die einem in den Weg gelegt werden, erkennt man erst, wo es langgeht IT-Grundschutztag 9.2.2012

Mehr

GPP Projekte gemeinsam zum Erfolg führen

GPP Projekte gemeinsam zum Erfolg führen GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.

Mehr

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte UNTERNEHMENSVORSTELLUNG Wir schützen Ihre Unternehmenswerte Wir schützen Ihre Unternehmenswerte Wer sind wir? Die wurde 1996 als klassisches IT-Systemhaus gegründet. 15 qualifizierte Mitarbeiter, Informatiker,

Mehr

Worum es geht. zertifiziert und grundlegend

Worum es geht. zertifiziert und grundlegend Sicherer Systembetrieb in der Energiewirtschaft. Von der Analyse bis zur Zertifizierung. Worum es geht zertifiziert und grundlegend In Industrie staaten ist das gesamte Leben von einer sicheren Energie

Mehr

Informationssicherheits-, Risiko- und Compliance-Management

Informationssicherheits-, Risiko- und Compliance-Management Informationssicherheits-, Risiko- und Compliance-Management Professionelles Informationssicherheits-, Risiko- und Compliance-Management ISO 27001, Risiko- und Compliance-Management, Prozesse, Policies,

Mehr

Cloud-Services in Rheinland-Pfalz

Cloud-Services in Rheinland-Pfalz Cloud-Services in Rheinland-Pfalz Nutzung von private Cloud-Technologien in hochkritischen Anwendungsbereichen und von public Clouds für geschäftsunkritische Anwendungen 10.06.2013 Der LDI DER zentrale

Mehr

Compliance und IT-Sicherheit

Compliance und IT-Sicherheit Compliance und IT-Sicherheit Isabel Münch Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Agenda Das BSI Compliance-Anforderungen und IT-Sicherheit Risikomanagement

Mehr

Corporate Security Reporting System

Corporate Security Reporting System Corporate Security Reporting System Softwarelösungen für die unternehmensweite Berichterstattung des Sicherheitsmanagements Corporate Security Reporting der Konzernsicherheit hat viele organisatorische

Mehr

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA & Datenschutz und IT-Sicherheit Smart Meter CA & Gateway Administration SmartMeterCA & Gateway Administration 4 Projekte 4 gute Ideen für den Smart Meter Gateway Administrator Unsere vier Projekte im Überblick

Mehr

Cloud Computing mit IT-Grundschutz

Cloud Computing mit IT-Grundschutz Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung

Mehr

BCM Schnellcheck. Referent Jürgen Vischer

BCM Schnellcheck. Referent Jürgen Vischer BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz

Mehr

SICHERHEIT VON INDUSTRIELLEN STEUERUNGSSYSTEMEN

SICHERHEIT VON INDUSTRIELLEN STEUERUNGSSYSTEMEN 14. DEUTSCHER IT-SICHERHEITSKONGRESS 2015, BONN, 19.05.2015 SICHERHEIT VON INDUSTRIELLEN STEUERUNGSSYSTEMEN SICHERHEITSMANAGEMENT MIT DER BSI IT-GRUNDSCHUTZ-VORGEHENSWEISE Andreas Floß, Dipl.-Inform.,

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht

Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht Jörg Kehrmann Datenschutz- und IT-Sicherheitsbeauftragter der Wuppertaler Stadtwerke

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

Informationssicherheit ein Best-Practice Überblick (Einblick)

Informationssicherheit ein Best-Practice Überblick (Einblick) Informationssicherheit ein Best-Practice Überblick (Einblick) Geschäftsführer der tgt it- und informationssicherheit gmbh Geschäftsführer am TZI, Universität Bremen Lehrbeauftragter an der Hochschule Bremen

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

Über den Sinn von Beziehungen

Über den Sinn von Beziehungen Über den Sinn von Beziehungen IT-Dokumentation und IT-Sicherheit passen und gehören zusammen! Uwe Franz Vorstellung procilon 1 Fakten, Historie & Vision 2 Übersicht Kernkompetenzen Fakten, Historie & Vision

Mehr

White Paper. 1. GRC und ISMS - Warum Einsatz von Software-Lösungen?

White Paper. 1. GRC und ISMS - Warum Einsatz von Software-Lösungen? e:digital media GmbH software distribution White Paper Information Security Management System Inhalt: 1. GRC und ISMS - Warum Einsatz von Software-Lösungen? 2. Was sind die QSEC-Suiten? 3. Warum ein Information

Mehr

Sicherheit entsprechend den BSI-Standards

Sicherheit entsprechend den BSI-Standards Sicherheit entsprechend den s Planungsunterstützung durch Open Source 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze Agenda 54. GMDS-Jahrestagung Essen, 2009-09-09 1. 2. Material / Methode

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG. Torsten Hemmer Berlin, 15.

Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG. Torsten Hemmer Berlin, 15. Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG Torsten Hemmer Berlin, 15. September 2015 Agenda Vorstellung der GDV Dienstleistungs-GmbH (GDV-DL) Die Informationssicherheit

Mehr

Über den Sinn von Beziehungen. IT-Dokumentation und IT-Sicherheit passen und gehören zusammen!

Über den Sinn von Beziehungen. IT-Dokumentation und IT-Sicherheit passen und gehören zusammen! Über den Sinn von Beziehungen IT-Dokumentation und IT-Sicherheit passen und gehören zusammen! Vorstellung procilon Fakten, Historie & Vision Übersicht Kernkompetenzen Fakten, Historie & Vision Vorstellung

Mehr

(IT-SICHERHEITSGRUNDSÄTZE)

(IT-SICHERHEITSGRUNDSÄTZE) Senatsverwaltung für Inneres und Sport 1 GRUNDSÄTZE ZUR GEWÄHRLEISTUNG DER NOTWENDIGEN SICHERHEIT BEIM IT-EINSATZ IN DER BERLINER VERWALTUNG (IT-SICHERHEITSGRUNDSÄTZE) (beschlossen vom Senat am 11.12.07)

Mehr

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster Informationssicherheit im mittelstand... > Bavarian IT Security & Safety Cluster > ein PROdUKt des BayeRisCHen it-sicherheits- ClUsteRs e.v. der Bayerische it-sicherheitscluster e.v. Der Bayerische It-sicherheitscluster

Mehr

CLOUD COMPUTING. Risikomanagementstrategien bei der Nutzung von Cloud Computing

CLOUD COMPUTING. Risikomanagementstrategien bei der Nutzung von Cloud Computing CLOUD COMPUTING Risikomanagementstrategien bei der Nutzung von Cloud Computing Michael Rautert Staatlich geprüfter Informatiker Geprüfter IT-Sicherheitsbeauftragter (SGS TÜV) Ausbildung zum geprüften Datenschutzbeauftragten

Mehr

BearingPoint RCS Capability Statement

BearingPoint RCS Capability Statement BearingPoint RCS Capability Statement - Cyber-Sicherheitscheck - Juli 2015 Inhalt 1 2 3 Einleitung und Herausforderungen Unsere Methodik Ihr Nutzen IT-Advisory 2 Cyber-Sicherheit eine Definition Cyber-Sicherheit

Mehr

IT-Risikomanagement Identifikation, Bewertung und Bewältigung von Risiken

IT-Risikomanagement Identifikation, Bewertung und Bewältigung von Risiken IT-Risikomanagement Identifikation, Bewertung und Bewältigung von Risiken Welchen IT-Risiken ist meine Institution ausgesetzt? Praktische Anleitung zur Erstellung von IT-Risikostrategien 24. 25. März 2014,

Mehr

IT-Grundschutz und Mindeststandards Der pragmatische Weg zur Informationssicherheit

IT-Grundschutz und Mindeststandards Der pragmatische Weg zur Informationssicherheit IT-Grundschutz und Mindeststandards Der pragmatische Weg zur Informationssicherheit Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz

Mehr

Vorwort. Dr. Udo Helmbrecht, Präsident des BSI

Vorwort. Dr. Udo Helmbrecht, Präsident des BSI Vorwort Sarbanes-Oxley-Act, Basel II oder KonTraG immer mehr gesetzliche Rahmenbedingungen haben einen deutlichen Bezug zur IT-Sicherheit. Sie erhöhen den Druck auf die Verantwortlichen, die Sicherheit

Mehr

IT-Dienstleistungszentrum Berlin

IT-Dienstleistungszentrum Berlin IT-Dienstleistungszentrum Berlin»Private Cloud für das Land Berlin«25.11.2010, Kai Osterhage IT-Sicherheitsbeauftragter des ITDZ Berlin Moderne n für die Verwaltung. Private Cloud Computing Private Cloud

Mehr

Security by Design. Praktische, individuelle und wirtschaftliche Lösung für den Mittelstand

Security by Design. Praktische, individuelle und wirtschaftliche Lösung für den Mittelstand Polizeipräsidium Mittelfranken Security by Design Praktische, individuelle und wirtschaftliche Lösung für den Mittelstand Referent: Matthias Wörner (MW IT-Businesspartner) gepr. IT Sachverständiger Matthias

Mehr