IT-Sicherheit bei klein- und mittelständischen Unternehmen: Das S.A.T. Projekt. Inhalt INHALT...1

Größe: px
Ab Seite anzeigen:

Download "IT-Sicherheit bei klein- und mittelständischen Unternehmen: Das S.A.T. Projekt. Inhalt INHALT...1"

Transkript

1 Inhalt INHALT...1 IT-SICHERHEIT BEI KLEIN- UND MITTELSTÄNDISCHEN UNTERNEHMEN: DAS S.A.T. PROJEKT Einleitung Ziel der Arbeit Ausgangssituation Die Zunahme der Computerkriminalität Polizeiliche Kriminalstatistik 2001 der Bundesrepublik Deutschland Computer Crime and Security Survey 2002 (CSI/FBI) Information Security Breaches Survey Fazit Die Ausbildung der Mitarbeiter Die Wissensanforderungen an Administratoren von KMU Täglicher Zeitaufwand für Sicherheitsupdates Vorgehensweise Basisanalyse und Dokumentation Informationssammlung Bewertung Methoden zur Risikobewertung Bedrohungsmatrizen Bedrohungsbäume Annual Loss Expectancy Andere qualitative Verfahren Fazit IT-Sicherheitskriterien und -verfahren BSI IT-Grundschutzhandbuch CERT Guide to System and Network Security Practices Andere IT-Sicherheitsverfahren Maßnahmenkatalog und Implementation Werkzeuge Vorbemerkung NetworkView LANGuard Network Scanner Network Inventory Navigator Scribble Papers Port Scanner Active Ports Ethereal Informationsquellen IT-Fachliteratur...39 Seite 1

2 6.2 IT-Sicherheitskriterien Advisories Anforderungen an eine Sicherheits-administrationssoftware für KMU Der ganzheitliche Ansatz Strukturelle Grundanforderungen Modularität Skalierbarkeit Plattformunabhängigkeit Datenbankunabhängigkeit Sicherheit Mehrere Betriebsmodi Berücksichtigung von (entstehenden) Standards XML XML Topic Maps Content Syndication mittels ICE Das S.A.T. Projekt Vorbemerkung Mehr-Phasen Realisierung Phase 1: Phase 2: Phase 3: Die Basisarchitektur Dateneingangsverarbeitung Benutzeroberfläche Die Datenstruktur des privaten Kerns Informationsstruktur des privaten Kerns Komponenten des privaten Kerns Graphische Komponente Detailinformationskomponente Suchfunktionen Die Einbindung von Agents Übergabe von statistischen Daten an den öffentlichen Kern Die Datenstruktur des öffentlichen Kerns Nachrichtenverwaltung Aufteilung und Priorisierung des Nachrichteneinganges Integration der Nachrichten Darstellung der Nachrichten Verlinkung mit Daten des privaten Kerns Informationsverwaltung Weitere Überlegungen Klientenfähigkeit Aufgabenmanagement Zusammenfassung und Ausblick Literaturliste...60 Seite 2

3 IT-Sicherheit bei klein- und mittelständischen Unternehmen: Das S.A.T. Projekt 1. Einleitung Das Verlangen nach Sicherheit ist ein menschliches Grundbedürfnis, und ein Mindestmaß an Sicherheit eine unverzichtbare Voraussetzung für soziales Zusammenleben. Unsicherheit bildet aber ebenfalls ein Wesensmerkmal der modernen Gesellschaft, und diese Tatsache zwingt ihre Mitglieder, immer wieder neu nach Wegen für einen rationalen Umgang mit Risiken und Gefahren zu suchen, die insbesondere aus großtechnischen Entwicklungen erwachsen. Das wird mit dem Übergang von der modernen Gesellschaft in das Stadium der digitalisierten Informationsgesellschaft deutlich, indem immer mehr wirtschaftliche Kooperationsbeziehungen auf der Basis interaktiver Netzwerkkommunikation abgewickelt werden, während gleichzeitig die Gefahren, denen digitalisierte Informationsbestände und Kommunikationsbeziehungen ausgesetzt sind, stetig zunehmen. aus: Die Förderung von IT-Sicherheit bei KMU, Einführung [EURU2000] In den letzten Jahren hat die Informationstechnologie in unsere Gesellschaft Einzug gehalten: Sowohl im privaten Bereich als auch im beruflichen Umfeld ist ein Wegdenken moderner vernetzter Computeranlagen kaum noch möglich. Längst ist die Verfügbarkeit von Servern auch für kleinere Betriebe eine Frage des Überlebens geworden, der Zugang zu Internetdiensten für Mitarbeiter ist immer häufiger keine bloße Annehmlichkeit, sondern Grundvoraussetzung für vernünftiges Arbeiten. Privatpersonen wie auch Klein- und Mittelbetriebe erkennen die Potenziale der neuen Technologien und beginnen vermehrt, diese konzeptionell in ihren Arbeitsalltag zu integrieren, und zwar in einer Form, in der eine Extraktion kaum mehr möglich scheint. Dieser Trend wird sich ohne Zweifel in den kommenden Seite 3

4 Jahren fortsetzen. Neue Dienste und neue Technologien werden völlig neuartige Arbeitsmethoden ermöglichen und den Umgang mit Informationen verändern 1. Bei all der Begeisterung ob der zahlreichen Möglichkeiten der neuen Technologien tritt die Diskussion um Sicherheit häufig in den Hintergrund und wird meist nur bei schweren und akuten Ereignissen kurz an die Oberfläche gedrückt, um dann ebenso rasch wieder in die mediale Bedeutungslosigkeit zu verfallen. Größere Firmen also Firmen ab ca. 250 Mitarbeiter verfügen im Regelfall über eine ausreichend dimensionierte EDV-Abteilung mit einer kritischen Masse an IT- Know-How, um zumindest theoretisch Sicherheit als elementaren Aspekt einer computergestützten Informationsinfrastruktur zu integrieren. Für solche Institutionen existiert bereits eine Reihe geeigneter Publikationen z.b. [Holthaus2000], [Pipkin2000], [Anderson2001], [Eckert2001] die einem fachlich versierten Personenkreis die Grundwerkzeuge für eine systematische, ganzheitliche Betrachtung ihrer IT-Sicherheit geben soll. IT-Fachliteratur hilft dann spezifisch, die konkreten technischen Maßnahmen umzusetzen. Kleine und mittelständische Unternehmen (KMU) kommen im Gegensatz dazu zusehends in die Situation, eine Technologie nutzen zu müssen oder zu wollen, deren destruktives Potenzial oft nicht einmal im Ansatz erkannt, geschweige denn beherrscht wird. Sie drohen als leichtes und trotzdem interessantes Angriffsziel zwischen gut geschützten Konzernen und uninteressanten Kleinstbetrieben und Privatanwendern zerrieben zu werden und sehen sich angesichts fehlender wirtschaftlicher Potenz häufig außerstande, sinnvolle Gegenmaßnahmen einzuleiten. Die Einstellung Wir sind zu klein, um angegriffen zu werden, stellt eine gefährliche Grundannahme dar [vgl. Schneier2000, S. 272]. Im Zuge einer Diplomarbeit [Klemen2001] wurde diese Thematik ausführlich beschrieben, und es wurden Möglichkeiten und Wege aufgezeigt, um die dargestellte Problematik in einem vernünftigen Rahmen zu halten und durch eine in der Praxis einfach umsetzbaren Methodik zu entschärfen. Diese für klein- und mittelständische Unternehmen optimierte Methodik konzentriert sich auf vier wesentliche Punkte: Die Formulierung einer IT-Sicherheitspolitik 2 als strategische Leitlinie, eine Basisanalyse der IT-Umgebung als Erstmaßnahme, daraus folgend eine umfassende Dokumentation, 1 So gaben in einer Meinungsumfrage im Mai 2001 bereits 36% der befragten österreichischen Manager an, dass out-of-office work in ihrem Unternehmen zunehmend vorkommt. Quelle: Die Presse, Sonnenschein statt Neonlicht, Top Karriere, 2. Juni 2001, Seite 9 2 Die Begriffe (IT)-Sicherheitspolitik und Informationssicherheitspolitik werden in diesem Paper synonym verwendet. Seite 4

5 die Implementation der konkreten Maßnahmen (siehe Abbildung 1). Die Schritte 3 und 4 sollten im weiteren zyklisch wiederholt werden. Formulierung Strategische IT-Sicherheitspolitik Vorgabe Basisanalyse der zu untersuchenden Umgebung Dokumentation Hardwaredokumentation Netzwerkdokumentation Rechtestruktur Datendokumentation Benutzerreferenz Gefahrenanalyse Maßnahmenkatalog Implementation d. Maßnahmen Abbildung 1a: Vorgehensweise für Analyse und praktische Umsetzung von Dokumentationsund Sicherheitsmaßnahmen. Dabei sollte der Sicherheitsaspekt immer als Prozess angesehen werden, bei dem laufend die bestehende Struktur hinterfragt, gegebenenfalls modifiziert und die Modifikation entsprechend dokumentiert werden muss. Die Gefahrenanalyse soll in dieser Arbeit im Detail behandelt werden. Diese Seminararbeit schließt direkt an die Diplomarbeit 3 an. Es werden zunächst der Aspekt der Gefahrenanalyse vertiefend betrachtet darauf wurde in der Diplomarbeit verzichtet und die Ansätze für eine softwaretechnische Gesamtlösung (4. Abschnitt der Diplomarbeit) durch eine Beschreibung des S.A.T. (Sicherheitsadministrationstoolkit) Projektes konkretisiert. 2. Ziel der Arbeit Ziel der Arbeit ist nach einer Darstellung der Grundprobleme in Bezug auf IT- Sicherheit bei KMU die Diskussion praktisch umsetzbarer Bewertungsverfahren, nützlicher Werkzeuge sowie vorhandener Informationsquellen. Dabei wird die in der Diplomarbeit vorgestellte Methodik (siehe Abbildung 1) als Rahmenansatz genutzt und erweitert. Aus dieser Diskussion werden die Möglichkeiten einer Softwareunterstützung herausgearbeitet und Grundanforderungen für die 3 Die Diplomarbeit IT-Sicherheit bei klein- und mittelständischen Unternehmen kann im PDF Format aus dem Internet von der Webadresse heruntergeladen werden. Seite 5

6 Entwicklung einer Sicherheitsadministrationssoftware abgeleitet. Auf diesen Grundanforderungen basiert das im darauf folgenden Abschnitt erläuterte S.A.T. Konzept. 3. Ausgangssituation Die Zunahme der Abhängigkeit von der Verfügbarkeit elektronischer Systeme geht mit einer steigenden Komplexität und einer steigenden Zahl von Sicherheitsproblemen einher. Ein Blick auf die Entwicklung von IT-Sicherheit und Computerkriminalität in den letzten Jahren soll diese Problematik verdeutlichen. 3.1 Die Zunahme der Computerkriminalität Polizeiliche Kriminalstatistik 2001 der Bundesrepublik Deutschland 4 In der Bundesrepublik Deutschland gab es im Jahr 2000 einen 25% Anstieg der Fälle von (gemeldeter) 5 Computerkriminalität, 2001 betrug der Zuwachs bereits rund 40% 6 [PolKrim2001]. Die Entwicklung der letzten Jahre zeigt einen starken Aufwärtstrend: 4 Leider ist in der österreichischen sowie in der schweizerischen Kriminalstatistik (http://lninter1.bmi.gv.at/web/bmiwebp.nsf/imgbyname/kriminalitaetsbericht2001.pdf/$file/kriminalitae tsbericht2001.pdf) bzw. und die Computerkriminalität nicht separat aufgelistet. 5 Ein großes Problem in der IT-Securitybranche ist immer noch die geringe Meldungsrate von Computerkriminalität der Unternehmen. 6 Zwar ist rund die Hälfte des Zuwachses Betrügereien mit Bank- oder Kreditkarten zuzurechen, dennoch bleibt der Anstieg gewaltig. Seite 6

7 Bereich Jahr erfasste Fälle Änderung in % Häufigkeitszahl *) Bundesrepublik Deutschland (Gebietsstand vor ) 1987 **) , alte Länder mit Gesamt-Berlin , ,1 Bundesrepublik Deutschland (Gebietsstand seit ) , ,1 25, ,9 34, ,1 39, , ***) , ,6 55, ,9 96,4 *) Häufigkeitszahl: Fälle pro Einwohner **) Beginn der gesonderten Erfassung ***) Inhaltsänderung: Einbeziehung von Betrug mit Zugangsberechtigung zu Kommunikationsdiensten Abbildung 3.1.1a: Entwicklung der Fälle von (gemeldeter) Computerkriminalität in Deutschland in den letzten Jahren. Auch die Aufteilung der Computerkriminalität (ohne Bank- bzw. Kreditkartenkriminalität) ist aufschlussreich: Jahr 2001 Jahr 2000 Veränderung in % Computerbetrug Fälschung beweiserheblicher Daten oder Täuschung Datenveränderung oder Computersabotage Ausspähen von Daten Software-Piraterie Betrug mit Zugangsberechtigungen zu Kommunikationsdiensten Abbildung 3.1.1b: Aufteilung und Entwicklung der Fälle von Computerkriminalität. Computerbetrug bezieht sich auf Vergehen nach 263a des deutschen Strafgesetzbuches a StGB (Computerbetrug) besagt: Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch beschädigt, daß er das Ergebnis eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms, durch Verwendung unrichtiger oder unvollständiger Daten, durch unbefugte Verwendung von Daten oder sonst durch unbefugte Einwirkung auf den Ablauf beeinflußt, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft. Seite 7

8 3.1.2 Computer Crime and Security Survey 2002 (CSI/FBI) Die im April dieses Jahres veröffentlichte Umfrage 8 [CSI/FBI2002] des Computer Security Institutes und des Federal Bureau of Investigation zeichnet ebenfalls ein interessantes Bild: Zunächst ist die geringe Teilnahme von Unternehmen auffällig. So haben 2002 gerade einmal 502 Personen die Fragebögen retourniert (was im Schnitt der Vorjahre lag) 9. 90% der Teilnehmer haben in den vergangenen 12 Monaten sicherheitsrelevante Vorfälle bemerkt. 80% der Teilnehmer gab an, finanzielle Verluste durch Cybercime erlitten zu haben, nur 44% konnten oder wollten diese beziffern. Erstaunlicherweise sahen 74% ihre Internetverbindung als Hauptquelle allen Übels an, nur 33% gaben interne Systeme als frequent point of attack an. Immerhin 30% der Befragten stammen aus Unternehmen, die im deutschsprachigen Raum als KMU bezeichnet werden würden (bezogen auf die Zahl der Mitarbeiter). Erstaunlich ist auch, dass der monetäre Verlust durch Informationsdiebstahl eindeutig an erster Stelle steht (siehe Abbildung 3.1.2a), was in starkem Kontrast zu zahlreichen anderen Graphiken in der Umfrage steht, bei denen stets Virenattacken als größtes Problem genannt werden. 8 Die Umfrage kann im Internet heruntergeladen werden: [letzter Zugriff am 20. Juni 2002] 9 Durch diese minimale Rücklaufquote im Verhältnis zur Zahl der Unternehmen müssen aus meiner Sicht zwangsläufig zwei Fragen gestellt werden: Für wie repräsentativ kann man die Ergebnisse aus einem Jahr wirklich ansehen? Können die Jahresergebnisse untereinander überhaupt verglichen werden? Bei der kleinen Basis im Verhältnis zur Gesamtzahl scheint mir dies überaus zweifelhaft zu sein. Dies zeigt sich auch in einigen Detailzahlen: Der Statistik nach wäre z.b. der Einsatz von Anti- Virensoftware 2001 um rund 10% zurückgegangen. Es darf bezweifelt werden, dass dies gerade nach den Virenattacken des letzten Jahres die tatsächliche Entwicklung widerspiegelt. Seite 8

9 Active Wiretapping Telecom Eavesdropping System Penetration Sabotage Denial of Service Insider Net Abuse Laptop Theft Virus Theft of Proprietary Info. Telecom Fraud Financial Fraud Unauth. Insider Access $0 $ $ $ $ $ $ $ $ $ $ $ Abbildung 3.1.2a: Der angegebene finanzielle Verlust der CSI/FBI Studie gegliedert nach Art der Angriffe [CSI/FBI2002]. Auffallend ist der hohe Verlust durch Informationsdiebstahl. Denial of Service Attacken haben hingegen erstaunlich wenig monetäre Auswirkungen Information Security Breaches Survey 2002 Diese Umfrage wurde bereits sechsmal in England durchgeführt und vom Department of Trade and Industry gesponsert [ISBS2002] 10. Rund Angestellte britischer Unternehmen wurden zu IT-sicherheitsrelevanten Themen interviewt. Die interessantesten Erkenntnisse der Studie: Nur 27% der befragten Unternehmen verfügen über eine dokumentierte IT- Sicherheitspolitik. Trotz einer Verdoppelung im Vergleich zum Vorjahr ist dieser Wert immer noch sehr gering. 76% (gegenüber 69% im Vorjahr) der befragten Mitarbeiter halten Teile der unternehmensinternen Daten für kritisch oder sensibel. 73% der Unternehmen (gegenüber 53% im Vorjahr) sehen Informationssicherheit als hohe Priorität für das obere Management. Dementgegen hat rund die Hälfte der Unternehmen im Zeitraum eines Jahres nichts oder nicht mehr als 1% der IT-Budgets für Informationssicherheit ausgegeben (vgl. Abbildung 3.1.3b) 10 Die Umfrage kann aus dem Internet heruntergeladen werden: https://www.securitysurvey.gov.uk/view2002surveyresults.htm [letzter Zugriff am 3. Juni 2002] Seite 9

10 Abbildung 3.1.3a: 79% der befragten Unternehmen hatten zumindest einen ernsten Sicherheitszwischenfall. Abbildung 3.1.3b: Entgegen der hohen Priorität, die Informationssicherheit in den Unternehmen angeblich hat, sind die Ausgaben für diesen Bereich teilweise sehr gering. Seite 10

11 Abbildung 3.1.3c: Viren und unerlaubte Zugriffe dominieren die Problemhitliste der befragten britischen Unternehmen Fazit Die meisten Unternehmen halten Informationssicherheit für wichtig, wollen aber nichts dafür ausgeben. Dieses Phänomen deckt sich mit Erfahrungen aus der Praxis. Tatsache ist jedoch, dass die Computerkriminalität stark im Zunehmen ist und alle Unternehmen in den nächsten Jahren entsprechend reagieren sollten. Umso wichtiger erscheint es, den zuständigen Administratoren geeignete Werkzeuge zur Verfügung zu stellen, um den Zeitaufwand für Informationssicherheit zu optimieren. 3.3 Die Ausbildung der Mitarbeiter Auf die Bedeutung der Ausbildung der Mitarbeiter in Bezug auf den Umgang mit IT-Sicherheit wurde bereits in [Klemen2001] und [Klemen2002] hingewiesen. Die Wichtigkeit soll an dieser Stelle mit einigen Zahlen noch einmal unterstrichen werden. Insbesondere durch unvorsichtigen Umgang mit s und Passwörtern kann allzu leicht die Sicherheit kompromittiert und damit das Zeitbudget des Administrators stark gekürzt werden: Nach einer Befragung des amerikanischen Unternehmens Pentasafe Security Technologies von europäischen und amerikanischen Angestellten aus 600 Unternehmen verfügen rund 60% über nur geringe Kenntnisse in puncto IT-Sicherheit [ix6/2002, S.28]. 90% der Befragten öffnen alle Anhänge, die sie per Mail erhalten. Seite 11

12 50% der Befragten benutzen als Passworte Namen von Familienangehörigen, Kollegen und Haustieren [vgl. Klemen2001, Abschnitt ], 30% benutzen Namen von bekannten Persönlichkeiten. Rund die Hälfte aller Befragten hat noch niemals eine Sicherheitsschulung erhalten, hauptsächlich, weil es von den Unternehmen für nicht notwendig gehalten wurde. Abbildung 3.3.a: Eine britische Umfrage bestätigt die Aussagen von Pentasafe: Unter anderem den Nachholbedarf bei der Sicherheitsschulung von Mitarbeitern im Umgang mit Informationstechnologie. Nur etwas mehr als die Hälfte hat user awareness als definierte Sicherheitsrichtlinie in der IT-Sicherheitspolitik verankert 11. Ausbildungskonzepte für Mitarbeiter sind ein wesentlicher Bestandteil zur Aufrechterhaltung von IT-Sicherheit. Diese Ausbildung muss entweder von den unternehmenseigenen Administratoren selbst (was deren Zeitbudget weiter einschränkt) oder durch externe Sicherheitsexperten erfolgen. Da letzteres in der Praxis kaum stattfinden dürfte, sollte den Administratoren auch in diesem Bereich ein akzeptables und pragmatisches Konzept angeboten werden. 3.4 Die Wissensanforderungen an Administratoren von KMU Ein vernünftiges Sicherheitsniveau bei KMU zu erreichen, ist vor allem aufgrund der personellen Ressourcenbeschränkungen ein besonderes Problem. In den meisten Fällen finden sich nur ein oder zwei hauptamtliche Administratoren, die die meiste Zeit mit der Bearbeitung der laufenden technischen Problemchen beschäftigt sind [vgl. Klemen2001, Abschnitt 2.6.2]. Ist schon das umfassende Verständnis um die eingesetzten Technologien an sich in vielen Fällen lückenhaft, so ist dies in Bezug auf Sicherheitsaspekte noch weniger ausgeprägt. 11 Details zu dieser Studie können im Internet auf gefunden werden [letzter Zugriff am 22. Mai 2002] Seite 12

13 Um eine Vorstellung von der enormen Menge an Wissen und Anwendungs- Know-How zu bekommen, die ein einzelner Administrator im Optimalfall haben müsste, sollen hier die Fachgebiete, die nach Killmeyer Tudor [KillmeyerT2001, S. 153] ein Security Officer beherrschen sollte, präsentiert werden 12 : Information Security Architectures Access control Single Sign-On Security assessments Certification of Web sites security Internet security Routers and Firewalls Network operating system security Threats and vulnerabilities Penetration testing EDI/EFT LANs, WANs, MANs, VANs 13 Public switched networks Microwave technology Wireless LAN technology Physical security Social engineering Classification methodologies Encryption 12 Zwar sind die Klassifikationsanforderungen an einen hauptamtlichen Security Officer natürlich wesentlich höher als an einen Administrator eines KMU einige der angeführten Punkte sind ausschließlich für Großunternehmen ein umfangreicheres Thema, jedoch bleibt auch nach Reduktion der Liste auf bei KMU eingesetzte Technologien noch ein gewaltiges Aufgabenpotential. 13 Damit sind wohl VLANs gemeint. Seite 13

14 Public key infrastructures TCP/IP security Mainframe Distributed architecture security Remote access authentification Anti-virus Neural networks Backup and recovery procedures Disaster recovery planning Business continuity planning Ethics Law and regulation Industrial espionage Software piracy Software copyright compliance Die Know-How-Liste ist selbst für einen hauptamtlichen Security Officer eines Großunternehmens mehr eine Wunschliste als ein realistisches Anforderungsprofil. Es wird nur sehr wenige Personen geben, die in allen erwähnten Punkten ein echtes Expertenwissen und praktische Erfahrungen haben. Einige Punkte (z.b. TCP/IP Sicherheit 14, Firewalls, LANs, Routers) sind bereits für sich alleine für eine einzelne Person als Spezialisierungsgebiet mehr als ausreichend. Während einige der aufgezählten Bereiche (etwa Ethics, Industrial espionage, Neural networks, public switched networks, Mainframes, EDI) für KMU nur in 14 Man möge sich z.b. überlegen, welche Bandbreite etwa der Bereich TCP/IP Sicherheit umfasst. Neben den offensichtlichen Hauptprotokollen, IP, TCP und UDP zählen dazu ARP, BootP, DCAP, DHCP, ICMP, IGMP, MARS, PIM, RARP, RSVP, SLIP, VRRP, Routingprotokolle wie RIP und OSPF u.a., PPP Protokolle (BAP, CCP, CHAP, L2TF, PAP, PPTP u.a.), die Protokolle der Sitzungsschicht (DNS, IPP, LDAP, Netbios over IP u.a.) sowie die Protokolle der Anwendungsschicht (SMTP, FTP, http, POP3, IMAP4, IRC, Gopher, Kerberos, MIME, RADIUS, SNMP, TFTP, Finger u.a. [Hein2001]. Dabei ist vor allem bei den Basisprotokollen wie IP, TCP oder ICMP ein Grundwissen alleine zuwenig. Der Administrator sollte in der Lage sein, zu erkennen, wann welches fehlplatzierte Flag im Header diverser Pakete auf einen Einbruchsversuch hindeutet. Dies erfordert neben der theoretischen Kenntnis der Protokollstrukturen vor allem eine langjährige Erfahrung. Seite 14

15 geringerem Ausmaß eine Rolle spielen werden, ist auch der Rest noch für einen einzelnen Administrator ein völlig irreales Know-How Ausmaß, vor allem auch im Bereich der praktischen Erfahrung, der in der täglichen Arbeit von besonderer Bedeutung ist. 3.5 Täglicher Zeitaufwand für Sicherheitsupdates Selbst ein extrem gutausgebildeter Administrator, der über ausreichende Erfahrung und Know-How verfügt, muss täglich am Laufenden bleiben, um den Anschluss nicht zu verlieren. Wird beispielsweise der in Abbildung 1 bzw. [Klemen2001, 3. Abschnitt] vorgeschlagenen Methodik für eine umfassende IT- Sicherheit gefolgt, bleibt ein enormer Zeitaufwand für die Deckung des Informationsbedarfs sowie für die Informationszusammenstellung und - verarbeitung. So wurde z.b. in einer aktuellen Umfrage der IT-Securitywebsite SecurityFocus.com ein durchschnittlicher Zeitaufwand für diese Aufgabengebiete von 2,1h täglich für Sicherheitsexperten ermittelt 15 (siehe Abbildung 3.5a). more than 4 hours 13% 0.5 to 2 hours 58% 2 to 4 hours 29% Abbildung 3.5a: Täglicher Zeitaufwand von Security-Experten zur Informationsgewinnung Um seine verfügbare Zeit möglichst effektiv einzusetzen, ist es für den Administrator wichtig, sich einerseits Werkzeuge zu suchen, die ihn bei seiner täglichen Arbeit unterstützen können und andererseits die Informationsquellen, die notwendig sind, um sich laufend am Stand der Technik zu halten, sorgfältig auszuwählen und für spätere Recherchen zu verarbeiten. Hier setzt das S.A.T. Konzept als konkrete Hilfestellung an. 15 Vgl. «Are Security Professionals wasting their time?, zu finden im Internet auf [letzter Zugriff am 13. Juni 2002]. Einschränkend zu bemerken ist allerdings, dass SecurityFocus unter anderem Anbieter von Softwarelösungen ist, die genau diese Informationssuche optimieren sollen. Außerdem wurden IT- Sicherheitsexperten gefragt, deren Hauptjob IT-Security darstellt. Seite 15

16 4. Vorgehensweise In diesem Abschnitt werden die vorgeschlagene Vorgehensweise detailliert beschrieben und inhärente Probleme thematisiert. Die Erkenntnisse aus diesem Teil werden dann im dritten Abschnitt für die Ableitung einer geeigneten Softwareunterstützung herangezogen. Zu diesem Zweck erscheint es zunächst sinnvoll, den Punkt Gefahrenanalyse der Abbildung 1 feiner aufzulösen: Basisanalyse Dokumentation Gefahrenanalyse Interne Inf. Externe Inf. Fachliteratur Bewertung Methoden Informationssammlung IT-Sicherheitskriterien Advisories Maßnahmenkatalog Implementation d. Maßnahmen Abbildung 4a: Auflösung des Bereichs Gefahrenanalyse im bereits dargestellten Vorgehenssschema. Zunächst erfolgt eine Informationssammlung und -aufbereitung, bei der die internen Informationen aus der Dokumentation mit den externen Informationen verknüpft werden. Diese Daten bilden die Grundlage für die Bewertung, bei der der Administrator entweder ad-hoc Entscheidungen bezüglich des weiteren Vorgehens trifft oder unter Einbeziehung von Risikobewertungsmethoden und IT- Sicherheitskriterien einen Maßnahmenkatalog entwirft und erst danach mit der Seite 16

17 konkreten Umsetzung beginnt, wobei die in diesem Zuge gewonnenen Erkenntnisse wieder in die Dokumentation und damit in das Gesamtsystem einfließen sollen. Dieser Rahmen stellt die Grundlage für die Struktur der Seminararbeit und auch für die Architektur des Softwareprojekts dar. 4.1 Basisanalyse und Dokumentation Gerade bei KMU wird die Dokumentation der IT-Infrastruktur sehr häufig sträflich vernachlässigt. Dies ist insofern verwunderlich, als dies die Abhängigkeit des Unternehmens von einzelnen oder wenigen Personen fördert 16. Eine ausführliche und umfassende Dokumentation hingegen stellt sicher, dass auch im Falle eines Ausfalles eines oder mehrerer Mitarbeiter die operative Tätigkeit des Unternehmen auf IT-Ebene sichergestellt bleibt, etwa indem externe Dienstleistungsunternehmen für weitere Wartungsarbeiten ad-hoc herangezogen werden, deren Einarbeitungszeit aufgrund der Dokumentation wesentlich reduziert wird. Das konkrete Vorgehen für eine Basisanalyse und Erstimplementation wurde in [Klemen2001] bereits ausführlich dargelegt, ebenso wurden sehr konkrete Beispiele für die Gestaltung einer internen Dokumentation skizziert. Daher wird an dieser Stelle darauf verzichtet. 4.2 Informationssammlung Der erste große Schritt besteht in der Gewinnung der benötigten Informationen, aus denen das Essentielle für die weitere Arbeit extrahiert werden soll. Dabei erfolgt üblicherweise eine Zusammenführung der internen Dokumentation mit externen Informationen, indem der Administrator die Frage stellt, ob die externen Informationen für seine spezielle Situation von Relevanz sind. Da sich die internen Informationen direkt aus der vorhandenen Dokumentation ableiten, werden diese hier nicht ausführlicher dargestellt 17. Jedoch soll den externen Informationsquellen mehr Aufmerksamkeit geschenkt werden. Die üblichen externen Informationsquellen, die für den Zweck der Informationssicherheitserhöhung herangezogen werden können, lassen sich in drei Hauptgruppen einteilen: IT-Fachliteratur (Bücher und Periodika), IT- Sicherheitskriterien und Advisories. In Abschnitt 5 folgt eine genauere Besprechung dieser Gruppen, insbesondere der Advisories. 16 Das Verhalten der Administratoren, sich eine Art Hoheitswissen zurechtzulegen, ist nachzuvollziehen, nicht jedoch das Tolerieren der Geschäftsführung. 17 Allerdings wird bei der Besprechung der Schnittstellen für den Datenaustausch auf die von etwaigen Dokumentationshilfsprogrammen erzeugten Exportdaten Rücksicht genommen. Seite 17

18 4.3 Bewertung Methoden zur Risikobewertung In der Literatur finden sich verschiedenste Methoden zur Darstellung und/oder Bewertung von Bedrohungen bzw. Risiken. Einige davon sollen nun ausführlicher besprochen werden 18 : Bedrohungsmatrizen Eine Bedrohungsmatrix dient der Veranschaulichung zur weiteren Risikobewertung. Was die Achsen beinhalten, differiert von Autor zu Autor. Z.B. schlägt Eckert eine Klassifizierung der Gefährdungsbereiche für die Zeilen und die Darstellung potentieller Verursacher von Bedrohungen für die Spalten [vgl. Eckert2001, S.84] vor. Folgendes Beispiel wird angeführt: Externe Angriffe Interne Angriffe Verfügbarkeit... Programmierer Interner Benutzer u.a. Vandalismus Direkter Speicherzugriff Speicher belegen Einsehen der PW- Eingabe Logische Bomben Prozesse erzeugen Externer Benutzer _ Passwort knacken Netzlast erzeugen Tabelle a: Auszug aus einer Bedrohungsmatrix nach Eckert [Eckert2001] Mobiler Code _ Viren Monopolisieren der CPU Dabei sieht Eckert für die Gefährdungsbereiche folgende Klassifikation vor: 1. Bedrohungen durch externe Angriffe: Externe Bedrohungen ergeben sich durch Aktionen eines Angreifers, die er ohne Hilfe des bedrohten technischen Systems durchführt. Zu den externen Bedrohungen zählen physische Zerstörung von Systemkomponenten sowie Diebstahl von Ressourcen, wie beispielsweise von Magnetbändern, Festplatten oder ganzen Geräten wie Laptops. 18 Es existieren zahlreiche qualitative Verfahren, auf die in dieser Arbeit nicht im Detail eingegangen werden kann. Es soll daher an dieser Stelle auf die Bücher Information Security Architecture [TilmeyerT2001] und Information Security Risk Analysis [Peltier2001] verwiesen werden, die diese Konzepte im Detail behandeln. Seite 18

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

Informationssicherheit (k)eine Frage für Ihr Unternehmen? Ziele Informationssicherheit (k)eine Frage für Ihr Unternehmen? SSV bei connect Schnelligkeit, Sicherheit, Verfügbarkeit Vortrag von Ingrid Dubois, dubois it-consulting gmbh Informationssicherheit: Ziele

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet Moderne EDV im kleinen und mittelständischen Unternehmen EDV Sicherheit im Zeitalter des Internet Vortrag von Alexander Kluge-Wolf Themen AKWnetz, IT Consulting & Services Mir kann ja nichts passieren

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security Zertifikatsprogramm der Österreichischen Computer Gesellschaft OCG IT-Security Syllabus Version 1.0 OCG Österreichische Computer Gesellschaft Wollzeile 1-3 A 1010 Wien Tel: +43 (0)1 512 02 35-50 Fax: +43

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

IT-Grundschutz und Zertifizierung

IT-Grundschutz und Zertifizierung IT-Grundschutz und Zertifizierung Gliederung Was macht das BSI? Standardsicherheit nach IT-Grundschutz Qualifizierung nach IT-Grundschutz Zertifizierungsschema Verhältnis zu ISO 17799 in der Informationstechnik

Mehr

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH TÜV Informationstechnik GmbH Langemarckstraße 20 45141 Essen, Germany Phone: +49-201-8999-401 Fax: +49-201-8999-888 Email: A.sommer@tuvit.de Web: www.tuvit.de Sicherheit als strategische Herausforderung

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz IT-Grundschutz modellieren modellieren Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz / Überblick IT- Grundschutzhandbuch (GSHB) betrachtet im Allgemeinen folgende Merkmale: Infrastruktur

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

Aktualisierung und Ausblick. DI. Gerald Trost

Aktualisierung und Ausblick. DI. Gerald Trost Das österr.. IT-Sicherheitshandbuch Aktualisierung und Ausblick DI. Gerald Trost Inhaltsübersicht - SIHB Ziel und Historie Struktur und Konzept Schwerpunkte der Aktualisierung 2006 Ausblick und Perspektiven

Mehr

Praktizierter Grundschutz in einem mittelständigen Unternehmen

Praktizierter Grundschutz in einem mittelständigen Unternehmen Praktizierter Grundschutz in einem mittelständigen Unternehmen Adolf Brast, Leiter Informationsverarbeitung Bochum-Gelsenkirchener Straßenbahnen AG auf dem 4. Stuttgarter IT-Sicherheitstag, 16.02.06 Überblick

Mehr

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS Stefan Taubenberger und Prof. Jan Jürjens, 22. September 211 Ziele der Studie Konfirmative und explorative Studie mit folgenden Fragestellungen Welche Kriterien

Mehr

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt Vorlesung im Sommersemester 2011 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche

Mehr

Grundlagen des Datenschutzes

Grundlagen des Datenschutzes Vorlesung im Sommersemester 2009 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche

Mehr

Kurzpräsentation zum Thema Vulnerability Scanning. by WellComm AG, Lengnau Seite 1

Kurzpräsentation zum Thema Vulnerability Scanning. by WellComm AG, Lengnau Seite 1 Kurzpräsentation zum Thema Vulnerability Scanning by WellComm AG, Lengnau Seite 1 Januar 2005 IT Risk Management Prozess Prozessschritt 1. Informationsbeschaffung 2. Analyse 3. Umsetzung 4. Kontrolle Modul

Mehr

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutz Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutzhandbuch Agenda Ziel der IT-Sicherheit Das IT-Grundschutzhandbuch Umsetzung des IT-Grundschutzhandbuchs Ausbaustufen

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen, IDEAS Übersicht # 1 Einleitung # 2 IT-Sicherheit wozu denn? # 3 IT-Sicherheit die Grundpfeiler # 4 IT-Sicherheit ein

Mehr

Penetrationstest Extern Leistungsbeschreibung

Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

Informations- / IT-Sicherheit - Warum eigentlich?

Informations- / IT-Sicherheit - Warum eigentlich? Informations- / IT-Sicherheit - Warum eigentlich? Hagen, 20.10.2015 Uwe Franz Account Manager procilon IT-Solutions GmbH Niederlassung Nord-West Londoner Bogen 4 44269 Dortmund Mobil: +49 173 6893 297

Mehr

IT-Security Herausforderung für KMU s

IT-Security Herausforderung für KMU s unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz IT-Grundschutz-Tag 09.10.2013

Mehr

Ergänzung zum BSI-Standard 100-3, Version 2.5

Ergänzung zum BSI-Standard 100-3, Version 2.5 Ergänzung zum BSI-Standard 100-3, Version 2.5 Verwendung der elementaren Gefährdungen aus den IT-Grundschutz-Katalogen zur Durchführung von Risikoanalysen Stand: 03. August 2011 Bundesamt für Sicherheit

Mehr

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess, Projektmanager und Sales Consultant, EMPRISE Process Management GmbH Das Gesetz

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Sicherheit im Wandel die 5 Zeitalter der IT-Sicherheit

Sicherheit im Wandel die 5 Zeitalter der IT-Sicherheit Sicherheit im Wandel die 5 Zeitalter der IT-Sicherheit 10. Berner Tagung 2007 Dr. Hannes P. Lubich Head of E*MEA Business Continuity, Security and Governance Practice British Telecom Global Professional

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

IT- Sicherheitsmanagement

IT- Sicherheitsmanagement IT- Sicherheitsmanagement Wie sicher ist IT- Sicherheitsmanagement? Dipl. Inf. (FH) Jürgen Bader, medien forum freiburg Zur Person Jürgen Bader ich bin in Freiburg zu Hause Informatikstudium an der FH

Mehr

IT Security Investments 2003

IT Security Investments 2003 Auswertung der Online-Befragung: IT Security Investments 2003 Viele Entscheidungsträger sehen die IT fast nur noch als Kostenträger, den es zu reduzieren gilt. Unter dieser Fehleinschätzung der Bedeutung

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Penetrationstest Intern Leistungsbeschreibung

Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

Security Information und Event Management (SIEM) erweiterte Sicherheitsanforderungen bei wachsender Datenflut

Security Information und Event Management (SIEM) erweiterte Sicherheitsanforderungen bei wachsender Datenflut TWINSOF T Security Information und Event Management (SIEM) erweiterte Sicherheitsanforderungen bei wachsender Datenflut 05.06.2013 GI Themenabend BIG DATA: Matthias Hesse, Twinsoft Ablauf 1. Wer ist denn

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH Übersicht IT-Security Technisch Prozesse Analysen Beratung Audits Compliance Bewertungen Support & Training

Mehr

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Aktuelle Herausforderungen Mehr Anwendungen 2 2014, Palo

Mehr

Datensicherheit und Backup

Datensicherheit und Backup Beratung Entwicklung Administration Hosting Datensicherheit und Backup Dipl.-Inform. Dominik Vallendor & Dipl.-Inform. Carl Thomas Witzenrath 25.05.2010 Tralios IT Dipl.-Inform. Dominik Vallendor und Dipl.-Inform.

Mehr

Gedanken zur Informationssicherheit und zum Datenschutz

Gedanken zur Informationssicherheit und zum Datenschutz Gedanken zur Informationssicherheit und zum Datenschutz Lesen Sie die fünf folgenden Szenarien und spielen Sie diese im Geiste einmal für Ihr Unternehmen durch: Fragen Sie einen beliebigen Mitarbeiter,

Mehr

Sicherheit allgemein

Sicherheit allgemein Sicherheit allgemein Markus Krieger Rechenzentrum Uni Würzburg krieger@rz.uni-wuerzburg.de 1 Einführung Ziel der Veranstaltung Definition von Sicherheit und Gefahren Denkanstöße Angreifer, Angriffsmöglichkeiten

Mehr

Test GmbH Test 123 20555 Hamburg Hamburg

Test GmbH Test 123 20555 Hamburg Hamburg Test GmbH Test 123 20555 Hamburg Hamburg 29.07.2015 Angaben zum Unternehmen Unternehmensdaten Unternehmen Test GmbH Adresse Test 123 20555 Hamburg Hamburg Internetadresse http://www.was-acuh-immer.de Tätigkeitsangaben

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

IT-Sicherheitsstandards und IT-Compliance 2010 Befragung zu Status quo, Trends und zukünftigen Anforderungen

IT-Sicherheitsstandards und IT-Compliance 2010 Befragung zu Status quo, Trends und zukünftigen Anforderungen Dr. Stefan Kronschnabl Stephan Weber Christian Dirnberger Elmar Török Isabel Münch IT-Sicherheitsstandards und IT-Compliance 2010 Befragung zu Status quo, Trends und zukünftigen Anforderungen Studie IT-Sicherheitsstandards

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013 Werte- und prozessorientierte Risikoanalyse mit OCTAVE Christian Aust.consecco Dr. Christian Paulsen DFN-CERT Was Sie erwartet Vorstellung von OCTAVE:

Mehr

Informationssicherheit ein Best-Practice Überblick (Einblick)

Informationssicherheit ein Best-Practice Überblick (Einblick) Informationssicherheit ein Best-Practice Überblick (Einblick) Geschäftsführer der tgt it- und informationssicherheit gmbh Geschäftsführer am TZI, Universität Bremen Lehrbeauftragter an der Hochschule Bremen

Mehr

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann Zur Person Frank Broekman IT-Security Auditor (TÜV) Geschäftsführer der dvs.net IT-Service

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

Technische Aspekte der ISO-27001

Technische Aspekte der ISO-27001 ISO/IEC 27001 - Aktuelles zur IT-Sicherheit Technische Aspekte der ISO-27001 Donnerstag, 19. September 2013, 14.00-18.30 Uhr Österreichische Computer Gesellschaft. 1010 Wien Überblick Norm Anhang A normativ

Mehr

Outpacing change Ernst & Young s 12th annual global information security survey

Outpacing change Ernst & Young s 12th annual global information security survey Outpacing change Ernst & Young s 12th annual global information security survey Alfred Heiter 16. September 2010 Vorstellung Alfred Heiter alfred.heiter@at.ey.com Seit 11 Jahren im IT-Prüfungs- und IT-Beratungsgeschäft

Mehr

End to End Monitoring

End to End Monitoring FACHARTIKEL 2014 End User Experience Unsere Fachartikel online auf www.norcom.de Copyright 2014 NorCom Information Technology AG. End User Experience - tand quantitativer Betrachtung. Vor allem aber, -

Mehr

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang IT Security Audit Beschreibung Die Informatik ist immer stärker verantwortlich für das Erstellen und die Abwicklung von geschäftskritischen Abläufen und wird dadurch zum unmittelbaren Erfolgsfaktor eines

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2014 20.03.2014

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

IT-Sicherheit in Werbung und. von Bartosz Komander

IT-Sicherheit in Werbung und. von Bartosz Komander IT-Sicherheit in Werbung und Informatik von Bartosz Komander Gliederung Einführung Anti-viren-software Verschlüsselungssoftware Firewalls Mein Fazit Quellen 2 Einführung Was ist eigentlich IT-Sicherheit?

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

Sicherheitsrisiko Mitarbeiter: Die 10 wichtigsten Gebote

Sicherheitsrisiko Mitarbeiter: Die 10 wichtigsten Gebote Sicherheitsrisiko Mitarbeiter: Die 10 wichtigsten Gebote Markus Klemen Secure Business Austria Secure Business Austria Industrielles Kompetenzzentrum (K-Ind) für IT- Sicherheit Schnittstelle zwischen Universitäten

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH ein Unternehmen der Allgeier SE / Division Allgeier Experts Übersicht IT-Security Technisch Prozesse Analysen

Mehr

IT-Grundschutzhandbuch: Stand Juli 1999 1

IT-Grundschutzhandbuch: Stand Juli 1999 1 1. Information Security Policy 1.1. Einleitung Die Firma/Behörde ist von Informationen abhängig. Informationen entscheiden über unseren Erfolg und den unserer Kunden. Von größter Wichtigkeit ist neben

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern IT-Riskmanagement Strategie und Umsetzung Armin Furter TKH Informationmangement Bern Inhalte Einführung Allgemeines Risikomangement IT-Risikomanagement Mögliche Methoden Begriffe Bedrohung Schaden Schadensausmass

Mehr

Wirtschaftlichkeitsanalyse von Cloud Computing aus der Sicht internationaler Unternehmen. Masterarbeit

Wirtschaftlichkeitsanalyse von Cloud Computing aus der Sicht internationaler Unternehmen. Masterarbeit Wirtschaftlichkeitsanalyse von Cloud Computing aus der Sicht internationaler Unternehmen Masterarbeit zur Erlangung des akademischen Grades Master of Science (M.Sc.) im Masterstudiengang Wirtschaftswissenschaft

Mehr

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr

Mythen des Cloud Computing

Mythen des Cloud Computing Mythen des Cloud Computing Prof. Dr. Peter Buxmann Fachgebiet Wirtschaftsinformatik Software Business & Information Management Technische Universität Darmstadt 12.09.2012 IT-Business meets Science Prof.

Mehr

Cybercrime. Neue Kriminalitätsformen und Sicherheitsrisiken moderner Kommunikation

Cybercrime. Neue Kriminalitätsformen und Sicherheitsrisiken moderner Kommunikation Cybercrime Neue Kriminalitätsformen und Sicherheitsrisiken moderner Kommunikation Agenda Cybercrime wer oder was bedroht uns besonders? Polizeiliche Kriminalstatistik Diebstahl digitaler Identitäten Skimming

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Projekt IT-Sicherheitskonzept.DVDV

Projekt IT-Sicherheitskonzept.DVDV Projekt IT-Sicherheitskonzept.DVDV Dokumentation.Sicherheitsrichtlinie.Server DVDV Dienstleister Bundesverwaltungsamt BIT 3 Barbarastr. 1 50735 Köln 10. Mai 2006 Dokumentinformationen Projekt IT-Sicherheitskonzept.DVDV

Mehr

der Informationssicherheit

der Informationssicherheit Alexander Wagner Prozessorientierte Gestaltung der Informationssicherheit im Krankenhaus Konzeptionierung und Implementierung einer prozessorientierten Methode zur Unterstützung der Risikoanalyse Verlag

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz Folie: 1 Folie: 2 IFB-Workshop IT-Sicherheit und Datenschutz Folie: 3 Agenda 1. Theoretischer Teil Systematik von IT-Sicherheit und Datenschutz Grundbedrohungen der IT-Sicherheit Gefahren aus dem Internet

Mehr

Sicherheitsaspekte unter Windows 2000

Sicherheitsaspekte unter Windows 2000 Sicherheitsaspekte unter Windows 2000 Margarete Kudak Sascha Wiebesiek 1 Inhalt 1. Sicherheit 1.1 Definition von Sicherheit 1.2 C2 - Sicherheitsnorm 1.3 Active Directory 2. Sicherheitslücken 3. Verschlüsselung

Mehr

BSI-Grundschutzhandbuch

BSI-Grundschutzhandbuch IT-Sicherheit trotz Dipl.-Math. Jürgen Jakob Inhalt des Vortrags IT-Sicherheit trotz 1. These: IT-Sicherheit trotz 2. Beispiel AVG Sicherheitssystem 3. So erstellt man eine Policy 4. Sie wissen schon alles,

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Optimale Integration der IT-Security in Geschäftsprozesse

Optimale Integration der IT-Security in Geschäftsprozesse Optimale Integration der IT-Security in Geschäftsprozesse A Min TJOA Edgar WEIPPL {Tjoa Weippl}@ifs.tuwien.ac.at Übersicht Einleitung ROPE (S. Tjoa, S. Jakoubi) MOS³T (T. Neubauer) Security Ontologies

Mehr

OPPORTUNITIES AND RISK ANALYSIS Sicherheit Outsourced Domain SEITE 1

OPPORTUNITIES AND RISK ANALYSIS Sicherheit Outsourced Domain SEITE 1 OPPORTUNITIES AND RISK ANALYSIS Sicherheit Outsourced Domain SEITE 1 1 Definitionen - Die im Subvertrag Sicherheit outsourced Domain erwähnten zentralen und wichtigen Ausdrücke sind ausformuliert und erklärt.

Mehr

Sicherheitsanalyse von Private Clouds

Sicherheitsanalyse von Private Clouds Sicherheitsanalyse von Private Clouds Alex Didier Essoh und Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik 12. Deutscher IT-Sicherheitskongress 2011 Bonn, 10.05.2011 Agenda Einleitung

Mehr

SolarWinds Engineer s Toolset

SolarWinds Engineer s Toolset SolarWinds Engineer s Toolset Diagnostic Tools Das Engineer s Toolset ist eine Sammlung von 49 wertvoller und sinnvoller Netzwerktools. Die Nr. 1 Suite für jeden Administrator! Die Schwerpunkte liegen

Mehr

Produktbeschreibung Penetrationstest

Produktbeschreibung Penetrationstest Produktbeschreibung Penetrationstest 1. Gestaltungsmöglichkeiten Ein Penetrationstest stellt eine Möglichkeit zum Test der IT-Sicherheit dar. Um die vielfältigen Möglichkeiten eines Penetrationstests zu

Mehr

Industrial Control Systems Security

Industrial Control Systems Security Industrial Control Systems Security Lerneinheit 4: Risk Assessment Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Wintersemester 2013/2014 20.1.2014 Einleitung Einleitung Das Thema dieser

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

Grundlagen verteilter Systeme

Grundlagen verteilter Systeme Universität Augsburg Insitut für Informatik Prof. Dr. Bernhard Bauer Wolf Fischer Christian Saad Wintersemester 08/09 Übungsblatt 5 26.11.08 Grundlagen verteilter Systeme Lösungsvorschlag Aufgabe 1: Erläutern

Mehr

Risikoanalyse mit der OCTAVE-Methode

Risikoanalyse mit der OCTAVE-Methode Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte

Mehr

Staatlich geprüfte IT-Sicherheit

Staatlich geprüfte IT-Sicherheit Bild: Lampertz GmbH & Co.KG Staatlich geprüfte IT-Sicherheit Dr.-Ing. Christian Scharff Lizenziert vom Bundesamt für Sicherheit in der Informationstechnik (BSI) Accuris Consulting / EGT InformationsSysteme

Mehr

Der starke Partner für Ihre IT-Umgebung.

Der starke Partner für Ihre IT-Umgebung. Der starke Partner für Ihre IT-Umgebung. Leistungsfähig. Verlässlich. Mittelständisch. www.michael-wessel.de IT-Service für den Mittelstand Leidenschaft und Erfahrung für Ihren Erfolg. Von der Analyse

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 1. IT-Grundschutz-Tag 2013 27.02.2013 Inhalte

Mehr

Trusted Network Connect. Networking Academy Day 19.04.2008

Trusted Network Connect. Networking Academy Day 19.04.2008 Trusted Network Connect Networking Academy Day 19.04.2008 Dipl.-Inf. Stephan Gitz Roadmap Ziele der Informationssicherheit Herausforderungen der Informationssicherheit Angriffsvektoren

Mehr

Disaster Recovery Planning. Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0

Disaster Recovery Planning. Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0 Disaster Recovery Planning Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0 Agenda Einführung in Disaster Recovery Planning Problemstellung in Organisationen Vorgehensmodell

Mehr

Trusted Network Connect

Trusted Network Connect Trusted Network Connect Workshoptag 22.11.2007 Steffen Bartsch Stephan Gitz Roadmap Ziele der Informationssicherheit Herausforderungen der Informationssicherheit

Mehr

Die Umsetzung von IT-Sicherheit in KMU

Die Umsetzung von IT-Sicherheit in KMU Informatik Patrick Düngel / A. Berenberg / R. Nowak / J. Paetzoldt Die Umsetzung von IT-Sicherheit in KMU Gemäß dem IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik Wissenschaftliche

Mehr