IT-Sicherheit bei klein- und mittelständischen Unternehmen: Das S.A.T. Projekt. Inhalt INHALT...1

Größe: px
Ab Seite anzeigen:

Download "IT-Sicherheit bei klein- und mittelständischen Unternehmen: Das S.A.T. Projekt. Inhalt INHALT...1"

Transkript

1 Inhalt INHALT...1 IT-SICHERHEIT BEI KLEIN- UND MITTELSTÄNDISCHEN UNTERNEHMEN: DAS S.A.T. PROJEKT Einleitung Ziel der Arbeit Ausgangssituation Die Zunahme der Computerkriminalität Polizeiliche Kriminalstatistik 2001 der Bundesrepublik Deutschland Computer Crime and Security Survey 2002 (CSI/FBI) Information Security Breaches Survey Fazit Die Ausbildung der Mitarbeiter Die Wissensanforderungen an Administratoren von KMU Täglicher Zeitaufwand für Sicherheitsupdates Vorgehensweise Basisanalyse und Dokumentation Informationssammlung Bewertung Methoden zur Risikobewertung Bedrohungsmatrizen Bedrohungsbäume Annual Loss Expectancy Andere qualitative Verfahren Fazit IT-Sicherheitskriterien und -verfahren BSI IT-Grundschutzhandbuch CERT Guide to System and Network Security Practices Andere IT-Sicherheitsverfahren Maßnahmenkatalog und Implementation Werkzeuge Vorbemerkung NetworkView LANGuard Network Scanner Network Inventory Navigator Scribble Papers Port Scanner Active Ports Ethereal Informationsquellen IT-Fachliteratur...39 Seite 1

2 6.2 IT-Sicherheitskriterien Advisories Anforderungen an eine Sicherheits-administrationssoftware für KMU Der ganzheitliche Ansatz Strukturelle Grundanforderungen Modularität Skalierbarkeit Plattformunabhängigkeit Datenbankunabhängigkeit Sicherheit Mehrere Betriebsmodi Berücksichtigung von (entstehenden) Standards XML XML Topic Maps Content Syndication mittels ICE Das S.A.T. Projekt Vorbemerkung Mehr-Phasen Realisierung Phase 1: Phase 2: Phase 3: Die Basisarchitektur Dateneingangsverarbeitung Benutzeroberfläche Die Datenstruktur des privaten Kerns Informationsstruktur des privaten Kerns Komponenten des privaten Kerns Graphische Komponente Detailinformationskomponente Suchfunktionen Die Einbindung von Agents Übergabe von statistischen Daten an den öffentlichen Kern Die Datenstruktur des öffentlichen Kerns Nachrichtenverwaltung Aufteilung und Priorisierung des Nachrichteneinganges Integration der Nachrichten Darstellung der Nachrichten Verlinkung mit Daten des privaten Kerns Informationsverwaltung Weitere Überlegungen Klientenfähigkeit Aufgabenmanagement Zusammenfassung und Ausblick Literaturliste...60 Seite 2

3 IT-Sicherheit bei klein- und mittelständischen Unternehmen: Das S.A.T. Projekt 1. Einleitung Das Verlangen nach Sicherheit ist ein menschliches Grundbedürfnis, und ein Mindestmaß an Sicherheit eine unverzichtbare Voraussetzung für soziales Zusammenleben. Unsicherheit bildet aber ebenfalls ein Wesensmerkmal der modernen Gesellschaft, und diese Tatsache zwingt ihre Mitglieder, immer wieder neu nach Wegen für einen rationalen Umgang mit Risiken und Gefahren zu suchen, die insbesondere aus großtechnischen Entwicklungen erwachsen. Das wird mit dem Übergang von der modernen Gesellschaft in das Stadium der digitalisierten Informationsgesellschaft deutlich, indem immer mehr wirtschaftliche Kooperationsbeziehungen auf der Basis interaktiver Netzwerkkommunikation abgewickelt werden, während gleichzeitig die Gefahren, denen digitalisierte Informationsbestände und Kommunikationsbeziehungen ausgesetzt sind, stetig zunehmen. aus: Die Förderung von IT-Sicherheit bei KMU, Einführung [EURU2000] In den letzten Jahren hat die Informationstechnologie in unsere Gesellschaft Einzug gehalten: Sowohl im privaten Bereich als auch im beruflichen Umfeld ist ein Wegdenken moderner vernetzter Computeranlagen kaum noch möglich. Längst ist die Verfügbarkeit von Servern auch für kleinere Betriebe eine Frage des Überlebens geworden, der Zugang zu Internetdiensten für Mitarbeiter ist immer häufiger keine bloße Annehmlichkeit, sondern Grundvoraussetzung für vernünftiges Arbeiten. Privatpersonen wie auch Klein- und Mittelbetriebe erkennen die Potenziale der neuen Technologien und beginnen vermehrt, diese konzeptionell in ihren Arbeitsalltag zu integrieren, und zwar in einer Form, in der eine Extraktion kaum mehr möglich scheint. Dieser Trend wird sich ohne Zweifel in den kommenden Seite 3

4 Jahren fortsetzen. Neue Dienste und neue Technologien werden völlig neuartige Arbeitsmethoden ermöglichen und den Umgang mit Informationen verändern 1. Bei all der Begeisterung ob der zahlreichen Möglichkeiten der neuen Technologien tritt die Diskussion um Sicherheit häufig in den Hintergrund und wird meist nur bei schweren und akuten Ereignissen kurz an die Oberfläche gedrückt, um dann ebenso rasch wieder in die mediale Bedeutungslosigkeit zu verfallen. Größere Firmen also Firmen ab ca. 250 Mitarbeiter verfügen im Regelfall über eine ausreichend dimensionierte EDV-Abteilung mit einer kritischen Masse an IT- Know-How, um zumindest theoretisch Sicherheit als elementaren Aspekt einer computergestützten Informationsinfrastruktur zu integrieren. Für solche Institutionen existiert bereits eine Reihe geeigneter Publikationen z.b. [Holthaus2000], [Pipkin2000], [Anderson2001], [Eckert2001] die einem fachlich versierten Personenkreis die Grundwerkzeuge für eine systematische, ganzheitliche Betrachtung ihrer IT-Sicherheit geben soll. IT-Fachliteratur hilft dann spezifisch, die konkreten technischen Maßnahmen umzusetzen. Kleine und mittelständische Unternehmen (KMU) kommen im Gegensatz dazu zusehends in die Situation, eine Technologie nutzen zu müssen oder zu wollen, deren destruktives Potenzial oft nicht einmal im Ansatz erkannt, geschweige denn beherrscht wird. Sie drohen als leichtes und trotzdem interessantes Angriffsziel zwischen gut geschützten Konzernen und uninteressanten Kleinstbetrieben und Privatanwendern zerrieben zu werden und sehen sich angesichts fehlender wirtschaftlicher Potenz häufig außerstande, sinnvolle Gegenmaßnahmen einzuleiten. Die Einstellung Wir sind zu klein, um angegriffen zu werden, stellt eine gefährliche Grundannahme dar [vgl. Schneier2000, S. 272]. Im Zuge einer Diplomarbeit [Klemen2001] wurde diese Thematik ausführlich beschrieben, und es wurden Möglichkeiten und Wege aufgezeigt, um die dargestellte Problematik in einem vernünftigen Rahmen zu halten und durch eine in der Praxis einfach umsetzbaren Methodik zu entschärfen. Diese für klein- und mittelständische Unternehmen optimierte Methodik konzentriert sich auf vier wesentliche Punkte: Die Formulierung einer IT-Sicherheitspolitik 2 als strategische Leitlinie, eine Basisanalyse der IT-Umgebung als Erstmaßnahme, daraus folgend eine umfassende Dokumentation, 1 So gaben in einer Meinungsumfrage im Mai 2001 bereits 36% der befragten österreichischen Manager an, dass out-of-office work in ihrem Unternehmen zunehmend vorkommt. Quelle: Die Presse, Sonnenschein statt Neonlicht, Top Karriere, 2. Juni 2001, Seite 9 2 Die Begriffe (IT)-Sicherheitspolitik und Informationssicherheitspolitik werden in diesem Paper synonym verwendet. Seite 4

5 die Implementation der konkreten Maßnahmen (siehe Abbildung 1). Die Schritte 3 und 4 sollten im weiteren zyklisch wiederholt werden. Formulierung Strategische IT-Sicherheitspolitik Vorgabe Basisanalyse der zu untersuchenden Umgebung Dokumentation Hardwaredokumentation Netzwerkdokumentation Rechtestruktur Datendokumentation Benutzerreferenz Gefahrenanalyse Maßnahmenkatalog Implementation d. Maßnahmen Abbildung 1a: Vorgehensweise für Analyse und praktische Umsetzung von Dokumentationsund Sicherheitsmaßnahmen. Dabei sollte der Sicherheitsaspekt immer als Prozess angesehen werden, bei dem laufend die bestehende Struktur hinterfragt, gegebenenfalls modifiziert und die Modifikation entsprechend dokumentiert werden muss. Die Gefahrenanalyse soll in dieser Arbeit im Detail behandelt werden. Diese Seminararbeit schließt direkt an die Diplomarbeit 3 an. Es werden zunächst der Aspekt der Gefahrenanalyse vertiefend betrachtet darauf wurde in der Diplomarbeit verzichtet und die Ansätze für eine softwaretechnische Gesamtlösung (4. Abschnitt der Diplomarbeit) durch eine Beschreibung des S.A.T. (Sicherheitsadministrationstoolkit) Projektes konkretisiert. 2. Ziel der Arbeit Ziel der Arbeit ist nach einer Darstellung der Grundprobleme in Bezug auf IT- Sicherheit bei KMU die Diskussion praktisch umsetzbarer Bewertungsverfahren, nützlicher Werkzeuge sowie vorhandener Informationsquellen. Dabei wird die in der Diplomarbeit vorgestellte Methodik (siehe Abbildung 1) als Rahmenansatz genutzt und erweitert. Aus dieser Diskussion werden die Möglichkeiten einer Softwareunterstützung herausgearbeitet und Grundanforderungen für die 3 Die Diplomarbeit IT-Sicherheit bei klein- und mittelständischen Unternehmen kann im PDF Format aus dem Internet von der Webadresse heruntergeladen werden. Seite 5

6 Entwicklung einer Sicherheitsadministrationssoftware abgeleitet. Auf diesen Grundanforderungen basiert das im darauf folgenden Abschnitt erläuterte S.A.T. Konzept. 3. Ausgangssituation Die Zunahme der Abhängigkeit von der Verfügbarkeit elektronischer Systeme geht mit einer steigenden Komplexität und einer steigenden Zahl von Sicherheitsproblemen einher. Ein Blick auf die Entwicklung von IT-Sicherheit und Computerkriminalität in den letzten Jahren soll diese Problematik verdeutlichen. 3.1 Die Zunahme der Computerkriminalität Polizeiliche Kriminalstatistik 2001 der Bundesrepublik Deutschland 4 In der Bundesrepublik Deutschland gab es im Jahr 2000 einen 25% Anstieg der Fälle von (gemeldeter) 5 Computerkriminalität, 2001 betrug der Zuwachs bereits rund 40% 6 [PolKrim2001]. Die Entwicklung der letzten Jahre zeigt einen starken Aufwärtstrend: 4 Leider ist in der österreichischen sowie in der schweizerischen Kriminalstatistik (http://lninter1.bmi.gv.at/web/bmiwebp.nsf/imgbyname/kriminalitaetsbericht2001.pdf/$file/kriminalitae tsbericht2001.pdf) bzw. und die Computerkriminalität nicht separat aufgelistet. 5 Ein großes Problem in der IT-Securitybranche ist immer noch die geringe Meldungsrate von Computerkriminalität der Unternehmen. 6 Zwar ist rund die Hälfte des Zuwachses Betrügereien mit Bank- oder Kreditkarten zuzurechen, dennoch bleibt der Anstieg gewaltig. Seite 6

7 Bereich Jahr erfasste Fälle Änderung in % Häufigkeitszahl *) Bundesrepublik Deutschland (Gebietsstand vor ) 1987 **) , alte Länder mit Gesamt-Berlin , ,1 Bundesrepublik Deutschland (Gebietsstand seit ) , ,1 25, ,9 34, ,1 39, , ***) , ,6 55, ,9 96,4 *) Häufigkeitszahl: Fälle pro Einwohner **) Beginn der gesonderten Erfassung ***) Inhaltsänderung: Einbeziehung von Betrug mit Zugangsberechtigung zu Kommunikationsdiensten Abbildung 3.1.1a: Entwicklung der Fälle von (gemeldeter) Computerkriminalität in Deutschland in den letzten Jahren. Auch die Aufteilung der Computerkriminalität (ohne Bank- bzw. Kreditkartenkriminalität) ist aufschlussreich: Jahr 2001 Jahr 2000 Veränderung in % Computerbetrug Fälschung beweiserheblicher Daten oder Täuschung Datenveränderung oder Computersabotage Ausspähen von Daten Software-Piraterie Betrug mit Zugangsberechtigungen zu Kommunikationsdiensten Abbildung 3.1.1b: Aufteilung und Entwicklung der Fälle von Computerkriminalität. Computerbetrug bezieht sich auf Vergehen nach 263a des deutschen Strafgesetzbuches a StGB (Computerbetrug) besagt: Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch beschädigt, daß er das Ergebnis eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms, durch Verwendung unrichtiger oder unvollständiger Daten, durch unbefugte Verwendung von Daten oder sonst durch unbefugte Einwirkung auf den Ablauf beeinflußt, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft. Seite 7

8 3.1.2 Computer Crime and Security Survey 2002 (CSI/FBI) Die im April dieses Jahres veröffentlichte Umfrage 8 [CSI/FBI2002] des Computer Security Institutes und des Federal Bureau of Investigation zeichnet ebenfalls ein interessantes Bild: Zunächst ist die geringe Teilnahme von Unternehmen auffällig. So haben 2002 gerade einmal 502 Personen die Fragebögen retourniert (was im Schnitt der Vorjahre lag) 9. 90% der Teilnehmer haben in den vergangenen 12 Monaten sicherheitsrelevante Vorfälle bemerkt. 80% der Teilnehmer gab an, finanzielle Verluste durch Cybercime erlitten zu haben, nur 44% konnten oder wollten diese beziffern. Erstaunlicherweise sahen 74% ihre Internetverbindung als Hauptquelle allen Übels an, nur 33% gaben interne Systeme als frequent point of attack an. Immerhin 30% der Befragten stammen aus Unternehmen, die im deutschsprachigen Raum als KMU bezeichnet werden würden (bezogen auf die Zahl der Mitarbeiter). Erstaunlich ist auch, dass der monetäre Verlust durch Informationsdiebstahl eindeutig an erster Stelle steht (siehe Abbildung 3.1.2a), was in starkem Kontrast zu zahlreichen anderen Graphiken in der Umfrage steht, bei denen stets Virenattacken als größtes Problem genannt werden. 8 Die Umfrage kann im Internet heruntergeladen werden: [letzter Zugriff am 20. Juni 2002] 9 Durch diese minimale Rücklaufquote im Verhältnis zur Zahl der Unternehmen müssen aus meiner Sicht zwangsläufig zwei Fragen gestellt werden: Für wie repräsentativ kann man die Ergebnisse aus einem Jahr wirklich ansehen? Können die Jahresergebnisse untereinander überhaupt verglichen werden? Bei der kleinen Basis im Verhältnis zur Gesamtzahl scheint mir dies überaus zweifelhaft zu sein. Dies zeigt sich auch in einigen Detailzahlen: Der Statistik nach wäre z.b. der Einsatz von Anti- Virensoftware 2001 um rund 10% zurückgegangen. Es darf bezweifelt werden, dass dies gerade nach den Virenattacken des letzten Jahres die tatsächliche Entwicklung widerspiegelt. Seite 8

9 Active Wiretapping Telecom Eavesdropping System Penetration Sabotage Denial of Service Insider Net Abuse Laptop Theft Virus Theft of Proprietary Info. Telecom Fraud Financial Fraud Unauth. Insider Access $0 $ $ $ $ $ $ $ $ $ $ $ Abbildung 3.1.2a: Der angegebene finanzielle Verlust der CSI/FBI Studie gegliedert nach Art der Angriffe [CSI/FBI2002]. Auffallend ist der hohe Verlust durch Informationsdiebstahl. Denial of Service Attacken haben hingegen erstaunlich wenig monetäre Auswirkungen Information Security Breaches Survey 2002 Diese Umfrage wurde bereits sechsmal in England durchgeführt und vom Department of Trade and Industry gesponsert [ISBS2002] 10. Rund Angestellte britischer Unternehmen wurden zu IT-sicherheitsrelevanten Themen interviewt. Die interessantesten Erkenntnisse der Studie: Nur 27% der befragten Unternehmen verfügen über eine dokumentierte IT- Sicherheitspolitik. Trotz einer Verdoppelung im Vergleich zum Vorjahr ist dieser Wert immer noch sehr gering. 76% (gegenüber 69% im Vorjahr) der befragten Mitarbeiter halten Teile der unternehmensinternen Daten für kritisch oder sensibel. 73% der Unternehmen (gegenüber 53% im Vorjahr) sehen Informationssicherheit als hohe Priorität für das obere Management. Dementgegen hat rund die Hälfte der Unternehmen im Zeitraum eines Jahres nichts oder nicht mehr als 1% der IT-Budgets für Informationssicherheit ausgegeben (vgl. Abbildung 3.1.3b) 10 Die Umfrage kann aus dem Internet heruntergeladen werden: https://www.securitysurvey.gov.uk/view2002surveyresults.htm [letzter Zugriff am 3. Juni 2002] Seite 9

10 Abbildung 3.1.3a: 79% der befragten Unternehmen hatten zumindest einen ernsten Sicherheitszwischenfall. Abbildung 3.1.3b: Entgegen der hohen Priorität, die Informationssicherheit in den Unternehmen angeblich hat, sind die Ausgaben für diesen Bereich teilweise sehr gering. Seite 10

11 Abbildung 3.1.3c: Viren und unerlaubte Zugriffe dominieren die Problemhitliste der befragten britischen Unternehmen Fazit Die meisten Unternehmen halten Informationssicherheit für wichtig, wollen aber nichts dafür ausgeben. Dieses Phänomen deckt sich mit Erfahrungen aus der Praxis. Tatsache ist jedoch, dass die Computerkriminalität stark im Zunehmen ist und alle Unternehmen in den nächsten Jahren entsprechend reagieren sollten. Umso wichtiger erscheint es, den zuständigen Administratoren geeignete Werkzeuge zur Verfügung zu stellen, um den Zeitaufwand für Informationssicherheit zu optimieren. 3.3 Die Ausbildung der Mitarbeiter Auf die Bedeutung der Ausbildung der Mitarbeiter in Bezug auf den Umgang mit IT-Sicherheit wurde bereits in [Klemen2001] und [Klemen2002] hingewiesen. Die Wichtigkeit soll an dieser Stelle mit einigen Zahlen noch einmal unterstrichen werden. Insbesondere durch unvorsichtigen Umgang mit s und Passwörtern kann allzu leicht die Sicherheit kompromittiert und damit das Zeitbudget des Administrators stark gekürzt werden: Nach einer Befragung des amerikanischen Unternehmens Pentasafe Security Technologies von europäischen und amerikanischen Angestellten aus 600 Unternehmen verfügen rund 60% über nur geringe Kenntnisse in puncto IT-Sicherheit [ix6/2002, S.28]. 90% der Befragten öffnen alle Anhänge, die sie per Mail erhalten. Seite 11

12 50% der Befragten benutzen als Passworte Namen von Familienangehörigen, Kollegen und Haustieren [vgl. Klemen2001, Abschnitt ], 30% benutzen Namen von bekannten Persönlichkeiten. Rund die Hälfte aller Befragten hat noch niemals eine Sicherheitsschulung erhalten, hauptsächlich, weil es von den Unternehmen für nicht notwendig gehalten wurde. Abbildung 3.3.a: Eine britische Umfrage bestätigt die Aussagen von Pentasafe: Unter anderem den Nachholbedarf bei der Sicherheitsschulung von Mitarbeitern im Umgang mit Informationstechnologie. Nur etwas mehr als die Hälfte hat user awareness als definierte Sicherheitsrichtlinie in der IT-Sicherheitspolitik verankert 11. Ausbildungskonzepte für Mitarbeiter sind ein wesentlicher Bestandteil zur Aufrechterhaltung von IT-Sicherheit. Diese Ausbildung muss entweder von den unternehmenseigenen Administratoren selbst (was deren Zeitbudget weiter einschränkt) oder durch externe Sicherheitsexperten erfolgen. Da letzteres in der Praxis kaum stattfinden dürfte, sollte den Administratoren auch in diesem Bereich ein akzeptables und pragmatisches Konzept angeboten werden. 3.4 Die Wissensanforderungen an Administratoren von KMU Ein vernünftiges Sicherheitsniveau bei KMU zu erreichen, ist vor allem aufgrund der personellen Ressourcenbeschränkungen ein besonderes Problem. In den meisten Fällen finden sich nur ein oder zwei hauptamtliche Administratoren, die die meiste Zeit mit der Bearbeitung der laufenden technischen Problemchen beschäftigt sind [vgl. Klemen2001, Abschnitt 2.6.2]. Ist schon das umfassende Verständnis um die eingesetzten Technologien an sich in vielen Fällen lückenhaft, so ist dies in Bezug auf Sicherheitsaspekte noch weniger ausgeprägt. 11 Details zu dieser Studie können im Internet auf gefunden werden [letzter Zugriff am 22. Mai 2002] Seite 12

13 Um eine Vorstellung von der enormen Menge an Wissen und Anwendungs- Know-How zu bekommen, die ein einzelner Administrator im Optimalfall haben müsste, sollen hier die Fachgebiete, die nach Killmeyer Tudor [KillmeyerT2001, S. 153] ein Security Officer beherrschen sollte, präsentiert werden 12 : Information Security Architectures Access control Single Sign-On Security assessments Certification of Web sites security Internet security Routers and Firewalls Network operating system security Threats and vulnerabilities Penetration testing EDI/EFT LANs, WANs, MANs, VANs 13 Public switched networks Microwave technology Wireless LAN technology Physical security Social engineering Classification methodologies Encryption 12 Zwar sind die Klassifikationsanforderungen an einen hauptamtlichen Security Officer natürlich wesentlich höher als an einen Administrator eines KMU einige der angeführten Punkte sind ausschließlich für Großunternehmen ein umfangreicheres Thema, jedoch bleibt auch nach Reduktion der Liste auf bei KMU eingesetzte Technologien noch ein gewaltiges Aufgabenpotential. 13 Damit sind wohl VLANs gemeint. Seite 13

14 Public key infrastructures TCP/IP security Mainframe Distributed architecture security Remote access authentification Anti-virus Neural networks Backup and recovery procedures Disaster recovery planning Business continuity planning Ethics Law and regulation Industrial espionage Software piracy Software copyright compliance Die Know-How-Liste ist selbst für einen hauptamtlichen Security Officer eines Großunternehmens mehr eine Wunschliste als ein realistisches Anforderungsprofil. Es wird nur sehr wenige Personen geben, die in allen erwähnten Punkten ein echtes Expertenwissen und praktische Erfahrungen haben. Einige Punkte (z.b. TCP/IP Sicherheit 14, Firewalls, LANs, Routers) sind bereits für sich alleine für eine einzelne Person als Spezialisierungsgebiet mehr als ausreichend. Während einige der aufgezählten Bereiche (etwa Ethics, Industrial espionage, Neural networks, public switched networks, Mainframes, EDI) für KMU nur in 14 Man möge sich z.b. überlegen, welche Bandbreite etwa der Bereich TCP/IP Sicherheit umfasst. Neben den offensichtlichen Hauptprotokollen, IP, TCP und UDP zählen dazu ARP, BootP, DCAP, DHCP, ICMP, IGMP, MARS, PIM, RARP, RSVP, SLIP, VRRP, Routingprotokolle wie RIP und OSPF u.a., PPP Protokolle (BAP, CCP, CHAP, L2TF, PAP, PPTP u.a.), die Protokolle der Sitzungsschicht (DNS, IPP, LDAP, Netbios over IP u.a.) sowie die Protokolle der Anwendungsschicht (SMTP, FTP, http, POP3, IMAP4, IRC, Gopher, Kerberos, MIME, RADIUS, SNMP, TFTP, Finger u.a. [Hein2001]. Dabei ist vor allem bei den Basisprotokollen wie IP, TCP oder ICMP ein Grundwissen alleine zuwenig. Der Administrator sollte in der Lage sein, zu erkennen, wann welches fehlplatzierte Flag im Header diverser Pakete auf einen Einbruchsversuch hindeutet. Dies erfordert neben der theoretischen Kenntnis der Protokollstrukturen vor allem eine langjährige Erfahrung. Seite 14

15 geringerem Ausmaß eine Rolle spielen werden, ist auch der Rest noch für einen einzelnen Administrator ein völlig irreales Know-How Ausmaß, vor allem auch im Bereich der praktischen Erfahrung, der in der täglichen Arbeit von besonderer Bedeutung ist. 3.5 Täglicher Zeitaufwand für Sicherheitsupdates Selbst ein extrem gutausgebildeter Administrator, der über ausreichende Erfahrung und Know-How verfügt, muss täglich am Laufenden bleiben, um den Anschluss nicht zu verlieren. Wird beispielsweise der in Abbildung 1 bzw. [Klemen2001, 3. Abschnitt] vorgeschlagenen Methodik für eine umfassende IT- Sicherheit gefolgt, bleibt ein enormer Zeitaufwand für die Deckung des Informationsbedarfs sowie für die Informationszusammenstellung und - verarbeitung. So wurde z.b. in einer aktuellen Umfrage der IT-Securitywebsite SecurityFocus.com ein durchschnittlicher Zeitaufwand für diese Aufgabengebiete von 2,1h täglich für Sicherheitsexperten ermittelt 15 (siehe Abbildung 3.5a). more than 4 hours 13% 0.5 to 2 hours 58% 2 to 4 hours 29% Abbildung 3.5a: Täglicher Zeitaufwand von Security-Experten zur Informationsgewinnung Um seine verfügbare Zeit möglichst effektiv einzusetzen, ist es für den Administrator wichtig, sich einerseits Werkzeuge zu suchen, die ihn bei seiner täglichen Arbeit unterstützen können und andererseits die Informationsquellen, die notwendig sind, um sich laufend am Stand der Technik zu halten, sorgfältig auszuwählen und für spätere Recherchen zu verarbeiten. Hier setzt das S.A.T. Konzept als konkrete Hilfestellung an. 15 Vgl. «Are Security Professionals wasting their time?, zu finden im Internet auf [letzter Zugriff am 13. Juni 2002]. Einschränkend zu bemerken ist allerdings, dass SecurityFocus unter anderem Anbieter von Softwarelösungen ist, die genau diese Informationssuche optimieren sollen. Außerdem wurden IT- Sicherheitsexperten gefragt, deren Hauptjob IT-Security darstellt. Seite 15

16 4. Vorgehensweise In diesem Abschnitt werden die vorgeschlagene Vorgehensweise detailliert beschrieben und inhärente Probleme thematisiert. Die Erkenntnisse aus diesem Teil werden dann im dritten Abschnitt für die Ableitung einer geeigneten Softwareunterstützung herangezogen. Zu diesem Zweck erscheint es zunächst sinnvoll, den Punkt Gefahrenanalyse der Abbildung 1 feiner aufzulösen: Basisanalyse Dokumentation Gefahrenanalyse Interne Inf. Externe Inf. Fachliteratur Bewertung Methoden Informationssammlung IT-Sicherheitskriterien Advisories Maßnahmenkatalog Implementation d. Maßnahmen Abbildung 4a: Auflösung des Bereichs Gefahrenanalyse im bereits dargestellten Vorgehenssschema. Zunächst erfolgt eine Informationssammlung und -aufbereitung, bei der die internen Informationen aus der Dokumentation mit den externen Informationen verknüpft werden. Diese Daten bilden die Grundlage für die Bewertung, bei der der Administrator entweder ad-hoc Entscheidungen bezüglich des weiteren Vorgehens trifft oder unter Einbeziehung von Risikobewertungsmethoden und IT- Sicherheitskriterien einen Maßnahmenkatalog entwirft und erst danach mit der Seite 16

17 konkreten Umsetzung beginnt, wobei die in diesem Zuge gewonnenen Erkenntnisse wieder in die Dokumentation und damit in das Gesamtsystem einfließen sollen. Dieser Rahmen stellt die Grundlage für die Struktur der Seminararbeit und auch für die Architektur des Softwareprojekts dar. 4.1 Basisanalyse und Dokumentation Gerade bei KMU wird die Dokumentation der IT-Infrastruktur sehr häufig sträflich vernachlässigt. Dies ist insofern verwunderlich, als dies die Abhängigkeit des Unternehmens von einzelnen oder wenigen Personen fördert 16. Eine ausführliche und umfassende Dokumentation hingegen stellt sicher, dass auch im Falle eines Ausfalles eines oder mehrerer Mitarbeiter die operative Tätigkeit des Unternehmen auf IT-Ebene sichergestellt bleibt, etwa indem externe Dienstleistungsunternehmen für weitere Wartungsarbeiten ad-hoc herangezogen werden, deren Einarbeitungszeit aufgrund der Dokumentation wesentlich reduziert wird. Das konkrete Vorgehen für eine Basisanalyse und Erstimplementation wurde in [Klemen2001] bereits ausführlich dargelegt, ebenso wurden sehr konkrete Beispiele für die Gestaltung einer internen Dokumentation skizziert. Daher wird an dieser Stelle darauf verzichtet. 4.2 Informationssammlung Der erste große Schritt besteht in der Gewinnung der benötigten Informationen, aus denen das Essentielle für die weitere Arbeit extrahiert werden soll. Dabei erfolgt üblicherweise eine Zusammenführung der internen Dokumentation mit externen Informationen, indem der Administrator die Frage stellt, ob die externen Informationen für seine spezielle Situation von Relevanz sind. Da sich die internen Informationen direkt aus der vorhandenen Dokumentation ableiten, werden diese hier nicht ausführlicher dargestellt 17. Jedoch soll den externen Informationsquellen mehr Aufmerksamkeit geschenkt werden. Die üblichen externen Informationsquellen, die für den Zweck der Informationssicherheitserhöhung herangezogen werden können, lassen sich in drei Hauptgruppen einteilen: IT-Fachliteratur (Bücher und Periodika), IT- Sicherheitskriterien und Advisories. In Abschnitt 5 folgt eine genauere Besprechung dieser Gruppen, insbesondere der Advisories. 16 Das Verhalten der Administratoren, sich eine Art Hoheitswissen zurechtzulegen, ist nachzuvollziehen, nicht jedoch das Tolerieren der Geschäftsführung. 17 Allerdings wird bei der Besprechung der Schnittstellen für den Datenaustausch auf die von etwaigen Dokumentationshilfsprogrammen erzeugten Exportdaten Rücksicht genommen. Seite 17

18 4.3 Bewertung Methoden zur Risikobewertung In der Literatur finden sich verschiedenste Methoden zur Darstellung und/oder Bewertung von Bedrohungen bzw. Risiken. Einige davon sollen nun ausführlicher besprochen werden 18 : Bedrohungsmatrizen Eine Bedrohungsmatrix dient der Veranschaulichung zur weiteren Risikobewertung. Was die Achsen beinhalten, differiert von Autor zu Autor. Z.B. schlägt Eckert eine Klassifizierung der Gefährdungsbereiche für die Zeilen und die Darstellung potentieller Verursacher von Bedrohungen für die Spalten [vgl. Eckert2001, S.84] vor. Folgendes Beispiel wird angeführt: Externe Angriffe Interne Angriffe Verfügbarkeit... Programmierer Interner Benutzer u.a. Vandalismus Direkter Speicherzugriff Speicher belegen Einsehen der PW- Eingabe Logische Bomben Prozesse erzeugen Externer Benutzer _ Passwort knacken Netzlast erzeugen Tabelle a: Auszug aus einer Bedrohungsmatrix nach Eckert [Eckert2001] Mobiler Code _ Viren Monopolisieren der CPU Dabei sieht Eckert für die Gefährdungsbereiche folgende Klassifikation vor: 1. Bedrohungen durch externe Angriffe: Externe Bedrohungen ergeben sich durch Aktionen eines Angreifers, die er ohne Hilfe des bedrohten technischen Systems durchführt. Zu den externen Bedrohungen zählen physische Zerstörung von Systemkomponenten sowie Diebstahl von Ressourcen, wie beispielsweise von Magnetbändern, Festplatten oder ganzen Geräten wie Laptops. 18 Es existieren zahlreiche qualitative Verfahren, auf die in dieser Arbeit nicht im Detail eingegangen werden kann. Es soll daher an dieser Stelle auf die Bücher Information Security Architecture [TilmeyerT2001] und Information Security Risk Analysis [Peltier2001] verwiesen werden, die diese Konzepte im Detail behandeln. Seite 18

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

IT-Grundschutz und Zertifizierung

IT-Grundschutz und Zertifizierung IT-Grundschutz und Zertifizierung Gliederung Was macht das BSI? Standardsicherheit nach IT-Grundschutz Qualifizierung nach IT-Grundschutz Zertifizierungsschema Verhältnis zu ISO 17799 in der Informationstechnik

Mehr

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt Vorlesung im Sommersemester 2011 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche

Mehr

Aktualisierung und Ausblick. DI. Gerald Trost

Aktualisierung und Ausblick. DI. Gerald Trost Das österr.. IT-Sicherheitshandbuch Aktualisierung und Ausblick DI. Gerald Trost Inhaltsübersicht - SIHB Ziel und Historie Struktur und Konzept Schwerpunkte der Aktualisierung 2006 Ausblick und Perspektiven

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

Dr. Uwe Köhler E-Commerce Sicherheit Die drei e-mythen über Sicherheit Inhalt Definition IT-Sicherheit Zustand eines lt-systems, in dem die Risiken,

Dr. Uwe Köhler E-Commerce Sicherheit Die drei e-mythen über Sicherheit Inhalt Definition IT-Sicherheit Zustand eines lt-systems, in dem die Risiken, Dr. Uwe Köhler Practice Manager ATS Security & intermedia Oracle Consulting E-Commerce Sicherheit Mit Linux Die drei e-mythen über Sicherheit 1. Hacker verursachen den größten Schaden. Fakt: 80% der Datenverluste

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS Stefan Taubenberger und Prof. Jan Jürjens, 22. September 211 Ziele der Studie Konfirmative und explorative Studie mit folgenden Fragestellungen Welche Kriterien

Mehr

Praktizierter Grundschutz in einem mittelständigen Unternehmen

Praktizierter Grundschutz in einem mittelständigen Unternehmen Praktizierter Grundschutz in einem mittelständigen Unternehmen Adolf Brast, Leiter Informationsverarbeitung Bochum-Gelsenkirchener Straßenbahnen AG auf dem 4. Stuttgarter IT-Sicherheitstag, 16.02.06 Überblick

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

Kurzpräsentation zum Thema Vulnerability Scanning. by WellComm AG, Lengnau Seite 1

Kurzpräsentation zum Thema Vulnerability Scanning. by WellComm AG, Lengnau Seite 1 Kurzpräsentation zum Thema Vulnerability Scanning by WellComm AG, Lengnau Seite 1 Januar 2005 IT Risk Management Prozess Prozessschritt 1. Informationsbeschaffung 2. Analyse 3. Umsetzung 4. Kontrolle Modul

Mehr

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security Zertifikatsprogramm der Österreichischen Computer Gesellschaft OCG IT-Security Syllabus Version 1.0 OCG Österreichische Computer Gesellschaft Wollzeile 1-3 A 1010 Wien Tel: +43 (0)1 512 02 35-50 Fax: +43

Mehr

OCG IT-Security. OCG IT-Security 2.0. Lernzielkatalog. Syllabus Version

OCG IT-Security. OCG IT-Security 2.0. Lernzielkatalog. Syllabus Version OCG IT-Security OCG IT-Security Lernzielkatalog 2.0 Syllabus Version Österreichische Computer Gesellschaft Wollzeile 1-3, 1010 Wien Tel: + 43 1 512 02 35-0 Fax: + 43 1 512 02 35-9 E-Mail: ocg@ocg.at Web:

Mehr

Einordnung, Zielsetzung und Klassifikation von Penetrationstests

Einordnung, Zielsetzung und Klassifikation von Penetrationstests Einordnung, Zielsetzung und Klassifikation von Penetrationstests Vortrag zur Vorlesung Sicherheit in Netzen Marco Spina 12 Jan 2005 1 Inhalt (1) Penetrationstest Definitionen Nach Bundesamt für Sicherheit

Mehr

Staatlich geprüfte IT-Sicherheit

Staatlich geprüfte IT-Sicherheit Bild: Lampertz GmbH & Co.KG Staatlich geprüfte IT-Sicherheit Dr.-Ing. Christian Scharff Lizenziert vom Bundesamt für Sicherheit in der Informationstechnik (BSI) Accuris Consulting / EGT InformationsSysteme

Mehr

ORACLE SECURITY IN DER PRAXIS

ORACLE SECURITY IN DER PRAXIS carsten MÜTZLITZ ORACLE SECURITY IN DER PRAXIS VOLLSTÄNDIGE SICHERHEITS- ÜBERPRÜFUNG FÜR IHRE ORACLE-DATENBANK EXTRA: Mit kostenlosem E-Book Im Internet: Skripte und Tools im Downloadbereich von Hanser

Mehr

Sicherheit im Wandel die 5 Zeitalter der IT-Sicherheit

Sicherheit im Wandel die 5 Zeitalter der IT-Sicherheit Sicherheit im Wandel die 5 Zeitalter der IT-Sicherheit 10. Berner Tagung 2007 Dr. Hannes P. Lubich Head of E*MEA Business Continuity, Security and Governance Practice British Telecom Global Professional

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

IT-Security Herausforderung für KMU s

IT-Security Herausforderung für KMU s unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/

Mehr

Cybercrime. Neue Kriminalitätsformen und Sicherheitsrisiken moderner Kommunikation

Cybercrime. Neue Kriminalitätsformen und Sicherheitsrisiken moderner Kommunikation Cybercrime Neue Kriminalitätsformen und Sicherheitsrisiken moderner Kommunikation Agenda Cybercrime wer oder was bedroht uns besonders? Polizeiliche Kriminalstatistik Diebstahl digitaler Identitäten Skimming

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

Security Information und Event Management (SIEM) erweiterte Sicherheitsanforderungen bei wachsender Datenflut

Security Information und Event Management (SIEM) erweiterte Sicherheitsanforderungen bei wachsender Datenflut TWINSOF T Security Information und Event Management (SIEM) erweiterte Sicherheitsanforderungen bei wachsender Datenflut 05.06.2013 GI Themenabend BIG DATA: Matthias Hesse, Twinsoft Ablauf 1. Wer ist denn

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Aktuelle Herausforderungen Mehr Anwendungen 2 2014, Palo

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

IT-basierte Erstellung von Nachhaltigkeitsberichten. Diplomarbeit

IT-basierte Erstellung von Nachhaltigkeitsberichten. Diplomarbeit IT-basierte Erstellung von Nachhaltigkeitsberichten Diplomarbeit zur Erlangung des Grades eines Diplom-Ökonomen der Wirtschaftswissenschaftlichen Fakultät der Leibniz Universität Hannover vorgelegt von

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Sicherheit allgemein

Sicherheit allgemein Sicherheit allgemein Markus Krieger Rechenzentrum Uni Würzburg krieger@rz.uni-wuerzburg.de 1 Einführung Ziel der Veranstaltung Definition von Sicherheit und Gefahren Denkanstöße Angreifer, Angriffsmöglichkeiten

Mehr

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang IT Security Audit Beschreibung Die Informatik ist immer stärker verantwortlich für das Erstellen und die Abwicklung von geschäftskritischen Abläufen und wird dadurch zum unmittelbaren Erfolgsfaktor eines

Mehr

Industrial Control Systems Security

Industrial Control Systems Security Industrial Control Systems Security Lerneinheit 4: Risk Assessment Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Wintersemester 2013/2014 20.1.2014 Einleitung Einleitung Das Thema dieser

Mehr

Sicherheitsrisiko Mitarbeiter: Die 10 wichtigsten Gebote

Sicherheitsrisiko Mitarbeiter: Die 10 wichtigsten Gebote Sicherheitsrisiko Mitarbeiter: Die 10 wichtigsten Gebote Markus Klemen Secure Business Austria Secure Business Austria Industrielles Kompetenzzentrum (K-Ind) für IT- Sicherheit Schnittstelle zwischen Universitäten

Mehr

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz Folie: 1 Folie: 2 IFB-Workshop IT-Sicherheit und Datenschutz Folie: 3 Agenda 1. Theoretischer Teil Systematik von IT-Sicherheit und Datenschutz Grundbedrohungen der IT-Sicherheit Gefahren aus dem Internet

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

Produktbeschreibung Penetrationstest

Produktbeschreibung Penetrationstest Produktbeschreibung Penetrationstest 1. Gestaltungsmöglichkeiten Ein Penetrationstest stellt eine Möglichkeit zum Test der IT-Sicherheit dar. Um die vielfältigen Möglichkeiten eines Penetrationstests zu

Mehr

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen, IDEAS Übersicht # 1 Einleitung # 2 IT-Sicherheit wozu denn? # 3 IT-Sicherheit die Grundpfeiler # 4 IT-Sicherheit ein

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Zusammenfassung IT SEC + MAN

Zusammenfassung IT SEC + MAN Zusammenfassung IT SEC + MAN Zusammenfassung aus den Vorlesungen Sicherheitswahrnehmung Sicherheitsrelease Ausbreitung Funktionalität-Sicherheit Post-Incident-Verhalten (Das Verhalten nach dem Vorfall)

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Kann Big Data Security unsere IT-Sicherheitssituation verbessern?

Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

Disaster Recovery Planning. Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0

Disaster Recovery Planning. Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0 Disaster Recovery Planning Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0 Agenda Einführung in Disaster Recovery Planning Problemstellung in Organisationen Vorgehensmodell

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

End to End Monitoring

End to End Monitoring FACHARTIKEL 2014 End User Experience Unsere Fachartikel online auf www.norcom.de Copyright 2014 NorCom Information Technology AG. End User Experience - tand quantitativer Betrachtung. Vor allem aber, -

Mehr

Linux & Security. Andreas Haumer xs+s. Einsatz von Linux in sicherheitsrelevanten Umgebungen

Linux & Security. Andreas Haumer xs+s. Einsatz von Linux in sicherheitsrelevanten Umgebungen Linux & Security Andreas Haumer xs+s Einsatz von Linux in sicherheitsrelevanten Umgebungen Einführung Netzwerksicherheit wichtiger denn je Unternehmenskritische IT Infrastruktur Abhängigkeit von E Services

Mehr

E-SEC ONLINE RISK ANALYSIS & MANAGEMENT

E-SEC ONLINE RISK ANALYSIS & MANAGEMENT 1 E-SEC ONLINE RISK ANALYSIS & MANAGEMENT Überprüfung der Personellen Informationssicherheit Ihres Unternehmens aussagekräftig, schnell und effektiv Änderungen vorbehalten, Stand: Jänner 2007 E-SEC INFORMATION

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Neues vom IT-Grundschutz: Ausblick und Diskussion

Neues vom IT-Grundschutz: Ausblick und Diskussion Neues vom IT-Grundschutz: Ausblick und Diskussion Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2014

Mehr

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick:

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick: Beweisen Sie Ihre Sicherheit! Unser Security Scan ist eine Sicherheitsmaßnahme, die sich auszahlt. Systeme ändern sich ständig. Selbst Spezialisten kennen nicht alle Schwachstellen im Detail. Der PCI Scan

Mehr

Consulting Services Effiziente Sicherheitsprozesse nach Mass.

Consulting Services Effiziente Sicherheitsprozesse nach Mass. Consulting Services Effiziente Sicherheitsprozesse nach Mass. Angemessene, professionelle Beratung nach internationalen Sicherheitsstandards. Effektive Schwachstellenerkennung und gezielte Risikominimierung.

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

Interne Netzwerk-Sicherheit Neue Herausforderungen und Lösungsansätze

Interne Netzwerk-Sicherheit Neue Herausforderungen und Lösungsansätze Interne Netzwerk-Sicherheit Neue Herausforderungen und Lösungsansätze Agenda Vorstellung COMCO AG Anforderungen an IT Security Interne Bedrohungsszenarien Lösungskonzept Interne Netzwerk-Sicherheit Fragen

Mehr

Compliance und IT-Sicherheit

Compliance und IT-Sicherheit Compliance und IT-Sicherheit Isabel Münch Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Agenda Das BSI Compliance-Anforderungen und IT-Sicherheit Risikomanagement

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010 IT-Sicherheit Abteilung IT/2 Informationstechnologie Dr. Robert Kristöfl 1 3. Dezember 2010 Begriffsdefinitionen Safety / Funktionssicherheit: stellt sicher, dass sich ein IT-System konform zur erwarteten

Mehr

Sicherheitsaspekte unter Windows 2000

Sicherheitsaspekte unter Windows 2000 Sicherheitsaspekte unter Windows 2000 Margarete Kudak Sascha Wiebesiek 1 Inhalt 1. Sicherheit 1.1 Definition von Sicherheit 1.2 C2 - Sicherheitsnorm 1.3 Active Directory 2. Sicherheitslücken 3. Verschlüsselung

Mehr

Befragung und empirische Einschätzung der Praxisrelevanz

Befragung und empirische Einschätzung der Praxisrelevanz Befragung und empirische Einschätzung der Praxisrelevanz eines Vorgehensmodells zur Auswahl von CRM-Systemen D I P L O M A R B E I T zur Erlangung des Grades eines Diplom-Ökonomen der Wirtschaftswissenschaftlichen

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism INSTITUT FÜR SYSTEM- MANAGEMENT Compliance Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism ism GmbH 2010 Definition: Compliance Compliance die Bedeutung allgemein:

Mehr

Band M, Kapitel 7: IT-Dienste

Band M, Kapitel 7: IT-Dienste Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0 E-Mail: Hochverfuegbarkeit@bsi.bund.de Internet: https://www.bsi.bund.de Bundesamt für Sicherheit

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden: Abkürzung für "Virtual Private Network" ein VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.b. Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

Whitepaper: Mobile IT-Sicherheit

Whitepaper: Mobile IT-Sicherheit Whitepaper: Mobile IT-Sicherheit Wie sicher sind Ihre Daten unterwegs? Kontaktdaten: Dr. Thomas Jurisch, Steffen Weber Telefon: +49 (0)6103 350860 E-Mail: it-risikomanagement@intargia.com Webseite: http://www.intargia.com

Mehr

Sicherheitsanalyse von Private Clouds

Sicherheitsanalyse von Private Clouds Sicherheitsanalyse von Private Clouds Alex Didier Essoh und Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik 12. Deutscher IT-Sicherheitskongress 2011 Bonn, 10.05.2011 Agenda Einleitung

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn

Mehr

IT-Grundschutz: Cloud-Bausteine

IT-Grundschutz: Cloud-Bausteine IT-Grundschutz: Cloud-Bausteine Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 12.09.2013 Was sind die Risiken? (Public

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

Penetrationstest Extern Leistungsbeschreibung

Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

Was ist DITA und was bringt es? www.ditaworks.com

Was ist DITA und was bringt es? www.ditaworks.com www.ditaworks.com Wir leben im Informationszeitalter und sind einem exponentiellen Anstieg neuer Daten und Informationen ausgesetzt. Nach neusten Studien können wir davon ausgehen, dass 90% aller verfügbaren

Mehr

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009 Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen IT Profis Berlin, 24.06.2009 Leistungsspektrum Trigonum GmbH Geschäftsprozess- und Organisationsmanagement Erfolgreich Prozesse und

Mehr

Datensicherheit und Backup

Datensicherheit und Backup Beratung Entwicklung Administration Hosting Datensicherheit und Backup Dipl.-Inform. Dominik Vallendor & Dipl.-Inform. Carl Thomas Witzenrath 25.05.2010 Tralios IT Dipl.-Inform. Dominik Vallendor und Dipl.-Inform.

Mehr

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann Zur Person Frank Broekman IT-Security Auditor (TÜV) Geschäftsführer der dvs.net IT-Service

Mehr

Zentrale Loganalyse als wichtiges Element für eine sichere IT-Infrastruktur

Zentrale Loganalyse als wichtiges Element für eine sichere IT-Infrastruktur Zentrale Loganalyse als wichtiges Element für eine sichere IT-Infrastruktur Rainer Schneemayer Zentrale Loganalyse als wichtiges Element für eine sichere IT-Infrastruktur Unzählige Logfiles befinden sich

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

Informationssicherheit in der Praxis. Risikoverantwortung und Know-How Schutz im Unternehmen. @-yet GmbH Hans-Peter Fries Business Security

Informationssicherheit in der Praxis. Risikoverantwortung und Know-How Schutz im Unternehmen. @-yet GmbH Hans-Peter Fries Business Security Informationssicherheit in der Praxis @-yet GmbH Hans-Peter Fries Business Security Risikoverantwortung und Know-How Schutz im Unternehmen @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen +49 (02175) 16

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Cloud Computing mit IT-Grundschutz

Cloud Computing mit IT-Grundschutz Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung

Mehr

Schichtenmodell. Informatik Fortbildung Kommunikation in Rechnernetzen. IFB Speyer 14.-16. November 2011. Dr. Michael Schlemmer

Schichtenmodell. Informatik Fortbildung Kommunikation in Rechnernetzen. IFB Speyer 14.-16. November 2011. Dr. Michael Schlemmer Schichtenmodell Informatik Fortbildung Kommunikation in Rechnernetzen IFB Speyer 14.-16. November 2011 Dr. Michael Schlemmer ISO-OSI Schichtenmodell Moderne Kommunikationssysteme sind komplex: Gestalt

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

BSI-Leitfaden Bedrohung der Informationssicherheit durch den gezielten Einsatz von Schadprogrammen Kurztest zur Einschätzung der eigenen

BSI-Leitfaden Bedrohung der Informationssicherheit durch den gezielten Einsatz von Schadprogrammen Kurztest zur Einschätzung der eigenen BSI-Leitfaden Bedrohung der Informationssicherheit durch den gezielten Einsatz von Schadprogrammen Teil 3: Kurztest zur Einschätzung der eigenen Bedrohungslage Änderungshistorie Datum Änderung.01.007 Version

Mehr

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr

Fortbildung Sachbearbeiter EDV

Fortbildung Sachbearbeiter EDV Fortbildung Sachbearbeiter EDV BSB Andreas Brandstätter November 2012 1 / 42 Überblick Themen Hintergrund Anforderungen der Benutzer Schutzziele konkrete Bedeutung Maßnahmen WLAN Datenspeicherung Backup

Mehr

3 Juristische Grundlagen

3 Juristische Grundlagen beauftragter - Grundlagen Ziele: Einführung in das recht Kennen lernen der grundlegenden Aufgaben des beauftragten (DSB) Praxishinweise für die Umsetzung Inhalte: Ziele des es Zusammenarbeit mit Datensicherheit/IT-Sicherheit

Mehr