Untersuchung der BSI Studien (WLAN, LAN, VoIP) und Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte
|
|
- Regina Walter
- vor 8 Jahren
- Abrufe
Transkript
1 Diplomarbeit in Computer Networking Untersuchung der BSI Studien (WLAN, LAN, VoIP) und Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte Referent: Prof. Dr. C. Reich, Hochschule Furtwangen Korreferent: S. Kirchmann, xevit GmbH Vorgelegt am: Vorgelegt von: Gabriel Schlegel Verlorener Weg 9, Freiburg
2
3 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte Ich erkläre hiermit an Eides statt, dass ich die vorliegende Diplomarbeit selbstständig und ohne unzulässige fremde Hilfe angefertigt habe. Die verwendeten Quellen und Hilfsmittel sind vollständig zitiert. Ort, Datum Unterschrift i
4 ii Diplomarbeit
5 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte Die sicherste Türe ist die, die man offen lassen kann. Chinesisches Sprichwort iii
6 iv Diplomarbeit
7 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte Danksagung An dieser Stelle möchte ich mich bei allen Personen bedanken, die mir direkt oder indirekt bei der Erstellung dieser Arbeit zur Seite standen. Besonderen Dank möchte ich Herrn Prof. Dr. C. Reich für seine tatkräftige Unterstützung und die konstruktiven Kommentare bzw. Anmerkungen aussprechen. Dem Unternehmen xevit GmbH möchte ich für die interessante Aufgabenstellung und die zur Verfügung gestellten Versuchskomponenten danken. Danke auch an S. Kirchmann und P. Mangler, die mir diese Arbeit ermöglicht und genug Freiraum für eine selbstständige Bearbeitung gelassen haben. Allen Interessierten wünsche ich viel Spaß beim Eintauchen in die interessante Welt der IT-Sicherheit. v
8 vi Diplomarbeit
9 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte Zusammenfassung Kaum ein Thema bewegt die Informationstechnik so sehr wie die Sicherheit. Gerade der Trend zu konvergenten Netzen, in denen Sprache, Video und Datendienste über das gleiche Medium transportiert werden, bietet eine Vielzahl von Angriffszielen auf die Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit. Gleichzeitig wächst der Druck auf Unternehmen, IT-Sicherheit zu betreiben. Wirtschaftsspionage, Basel II, KonTraG sind nur einige Stichworte, die entsprechende Maßnahmen forcieren. Die IT- Sicherheit ist das zentrale Element dieser Ausarbeitung. Hierbei wird ein Zusammenhang zwischen dem IT-Grundschutz des BSI und der Cisco Security Strategie Self-Defending Networks hergestellt. Dazu werden der Grundschutz und die Cisco Security Strategie analysiert. Anschließend werden Abbildungsmöglichkeiten diskutiert und das Network Admission Control als integraler Bestandteil von Self-Defending Network schwerpunktmäßig untersucht. Abstract Almost nothing changes the information technology as much as security. The straight trend to convergent networks, in which voice, video and data services are transported over the same medium, offers a multiplicity of possible attack targets on confidentiality, integrity and availability. At the same time the pressure grows on enterprises to protect their IT. Industrial espionage, Basel II and KonTraG are just a few keywords, which force appropriate measures. The IT security is the central element of this diploma thesis. It establishes a connection between the IT-Grundschutz and Cisco s security strategy Self-Defending networks. In addition, the IT-Grundschutz and Cisco s security strategy are analyzed. Subsequently, illustration possibilities are discussed and Network Admission Control is examined as an integral component of Self-Defending Networks. vii
10 viii Diplomarbeit
11 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte Inhaltsverzeichnis 1. Einleitung Motivation Ziel der Diplomarbeit Aufbau der Diplomarbeit IT-Sicherheit im Fokus Was ist IT-Sicherheit? Gefährdungen der Sicherheit Bedeutung für Unternehmen Quo vadis - der Weg zur Endpunktsicherheit Rechtliche Aspekte Zusammenfassung Bundesamt für Sicherheit in der Informationstechnik (BSI) Publikationen Drahtlose Kommunikationssysteme und ihre Sicherheitsaspekte LAN VoIPSEC Studie zur Sicherheit von VoIP IT-Grundschutz Standards Kataloge Vorgehensweise IT-Sicherheitsmanagement IT-Strukturanalyse Schutzbedarfsfeststellung Modellierung Basis Sicherheitscheck Ergänzende Sicherheitsanalyse Realisierung der Maßnahmen Zertifizierung Zusammenfassung Cisco Security Strategie: Self-Defending Networks DDoS Mitigation Adaptive Security Appliances (ASA) Antispoofing Intrusion Prevention Service Protocol Inspection Service HTTP Inspection Engine Content Security and Control Security Service Module (CSC-SSM) Incident Control Service (ICS) ix
12 Diplomarbeit X Rollen EAP-Methoden X und Network Admission Control (NAC) VPN und 802.1X Network Admission Control (NAC) Das Cisco NAC Framework Komponenten Arbeitsmodus Ablauf der Netzwerkzugangskontrolle Die Cisco NAC Appliance Komponenten Funktionsweise Überprüfung der Posture Credentials Cisco Security Agent (CSA) Cisco Security Centralized Management Zusammenfassung Abbildung des IT-Grundschutzes auf Cisco Security Strategie Abstrakte Betrachtung der Aufgabenstellung Problematik Lösungsansätze Integration in den IT-Grundschutz Hervorheben von Gefahrenspitzen Direkte Abbildung der Bausteine durch Cisco-Komponenten Erstellen typischer Strukturen Erstellen eigener Bausteine für Cisco-Komponenten Erweitern vorhandener Bausteine Gemeinsamkeiten zwischen IT-GS und Cisco Security Strategie Gegenüberstellung der Lösungen Zusammenfassung Aufbau und Erprobung einer Cisco NAC Appliance Clean Access Server Clean Access Manager Endgeräte Zusammenspiel der Komponenten Authentifizierung durch einen Radius Server Überprüfung der Host Credentials Untersuchung der Sicherheit von NAC Analyse Schwachstellen Vorschläge zur Verbesserung der Sicherheit Zusammenfassung x
13 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte 7. Zusammenfassung Erreichte Ziele Fazit Ausblick Literaturverzeichnis Abkürzungsverzeichnis Glossar Abbildungsverzeichnis Tabellenverzeichnis Anlagenverzeichnis A: Protocol Inspection Services B. Network Admission for NAC-enabled Endpoints C. Admission Process for Endpoint Changing from Quarantine to Healthy State D. Admission Control for NAC Agentless Host E: Understanding Types of DDoS Attacks F: Implementation Decision Tree G: Sicherheitsmaßnahmen bei VoIP H: Inhalte der beiliegende CD xi
14 xii Diplomarbeit
15 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte 1. Einleitung 1.1. Motivation Unabhängig davon, ob man IT-Sicherheit als lästiges Übel, Mehrwert für andere Bereiche oder primäres Ziel in der Informationstechnik sieht, muss man sich heutzutage damit auseinandersetzen. Der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (im Weiteren BSI genannt) verkündete in einer Pressemitteilung: "Die Anzahl der Angriffe auf die Online-Sicherheit, die daraus resultierenden Kosten und die Qualität der Angriffe steigen dramatisch an. Das Internet kennt keine Grenzen[..] [BSIPR07]. Zur Zeit existieren Unmengen an Statistiken und Trends von Berater- und Marktforschungsunternehmen zum Thema IT-Sicherheit. Diese haben alle eine Gemeinsamkeit: Einen tendenziellen Anstieg der Bedrohungen (vgl. [BSILB07]). Bereits im Jahre 2006 verfügten 79% aller deutschen Unternehmen über einen Zugang zum Internet [STATB07]. Die Wurmattacken G der letzten Jahre haben jedoch gezeigt, wie verwundbar unsere vernetzen Infrastrukturen sind. Als prominenteste Vertreter seien hier SQL Slammer, W32.Blaster, Sasser und MyDoom genannt. Oftmals ist das Verlangen nach Sicherheit trotzdem nicht ausgeprägt. IT-Sicherheit kostet schließlich Geld und wird an wirtschaftlichen Mitteln gemessen. Da eine Sicherheit kein Gewinn erwirtschaftet, wird auch nie einen Return on Investment (RoI) erreicht und die Investitionen werden sich nicht amortisieren. Der aktuelle Trend zu everything over IP (Trend der CeBIT 2007 [CEBITT07]) bedeutet jedoch nicht nur Mehrwerte, sondern birgt auch eine größere Angriffsfläche. In Zeiten von schnell wachsenden Exploit G -Frameworks wie Metasploit 3 [METASP], bei dem Exploits nach dem Baukastenprinzip modelliert werden können, ist ein wirksamer Schutz der Informationstechnik unerlässlich. Diesen Bedrohungen muss entsprechend entgegengewirkt werden. 1
16 Diplomarbeit 1.2. Ziel der Diplomarbeit Diese Arbeit soll eine Verbindung zwischen Cisco, dem Weltmarktführer für Netzwerk- Equipment und dem deutschen De-facto Standard für IT-Sicherheit, dem IT-Grundschutz (IT-GS) des BSI herstellen. Es soll untersucht werden, ob eine Abbildung des IT-GS auf Cisco Security Strategie und Produkte möglich ist und gegebenenfalls soll hierzu eine Methodik erstellt werden. Da sich die Firma xevit net Works als reiner Cisco-Partner ausweisen kann, sollen ausschließlich Cisco-Technologien Verwendung finden. Die für die Abbildung verwendeten Bestandteile, der IT-GS und die Cisco Security Strategie Self-Defending Networks sollen analysiert werden. Die Studien des BSI zur Sicherheit von WLAN, LAN und VoIP werden dabei als Hintergrundinformationen und für Maßnahmenempfehlungen herangezogen. Diese Ausarbeitung soll jedoch nicht als Versuch verstanden werden, den herstellerunabhängigen IT-GS in ein Cisco-lastiges Korsett zu zwängen, sondern lediglich einen Lösungsweg für eine sicherere IT-Landschaft aufzeigen. 2
17 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte 1.3. Aufbau der Diplomarbeit Diese Ausarbeitung wurde ganz im Sinne der sicheren Informationstechnik geschrieben und besteht aus sieben Abschnitten. Zu Beginn wird erläutert, wie die Diplomarbeit zustande kam und worin die Ziele bestehen. IT-Sicherheit wird als zentraler Gegenstand dieser Arbeit im zweiten Teil beschrieben. Hierbei werden entsprechende Gefährdungen und deren Bedeutung für Unternehmen aufgezeigt. Im Folgenden werden die für diese Arbeit relevanten Publikationen des BSI beschrieben und der IT-GS mit seinen Bestandteilen und Vorgehensweisen analysiert. Daraufhin folgt eine Untersuchung der Cisco Security Strategie Self-Defending Network und deren Kernkomponenten. Als integraler Bestandteil dieser Strategie wird das Network Admission Contol schwerpunktmäßig betrachtet. Der fünfte Teil diskutiert verschiedene Methoden zur Abbildung des IT-GS auf Cisco Security Strategie und Produkte. In diesem Abschnitt wird auch die Lösung der Abbildung erläutert. Im sechsten Abschnitt dieser Arbeit wird das in der Theorie betrachtete Network Admission Control in einem Laboraufbau hinsichtlich Sicherheit untersucht. Anschließend werden Vorschläge zur Verbesserung der Sicherheit gegeben. Der siebte und abschließende Teil bietet eine Übersicht der erreichten Ziele, ein Fazit und ein Ausblick auf mögliche Entwicklungen der behandelten Komponenten. Um die Verfügbarkeit der Referenzen zu erhöhen, werden diese, soweit möglich, auf der beiliegenden CD zusammen mit weiteren Materialien hinterlegt (vgl. Anlage F). Begriffe die mehrmals verwendet werden und im Glossar erläutert sind, werden im Text mit einem hochgestellten G gekennzeichnet. 3
18 Diplomarbeit 2. IT-Sicherheit im Fokus In diesem Kapitel wird der Begriff Sicherheit im Zusammenhang mit der Informationstechnologie erörtert und einige Gefährdungen dieser Sicherheit veranschaulicht. Anschließend wird auf die Bedeutung für Unternehmen, aktuelle Entwicklungen und rechtliche Aspekte eingegangen Was ist IT-Sicherheit? Der Begriff Sicherheit ist im Zusammenhang mit der Informationstechnologie (IT) zentraler Gegenstand dieser Ausarbeitung. In der Literatur ist der Begriff IT-Sicherheit jedoch nicht einheitlich beschrieben. Wenn in dieser Arbeit von Sicherheit oder IT-Sicherheit gesprochen wird, dann in diesem Zusammenhang: Unter Sicherheit von IT-Systemen versteht man eine Eigenschaft eines IT-Systems, bei der Maßnahmen gegen die im jeweiligen Einsatzumfeld als bedeutsam angesehenen Bedrohungen in dem Maße wirksam sind, dass die verbleibenden Risiken tragbar sind. [SIDI93] Da es keine einhundert prozentige Sicherheit gibt, muss jedes Unternehmen für sich selbst abschätzen, mit welchem Restrisiko es leben kann. Das ist natürlich stark vom jeweiligen Umfeld des Unternehmens abhängig. So wird sich eine Bank vermutlich stärker absichern als ein Handwerksunternehmen, da die vermuteten Schäden deutlich größer sind. Ebenso muss sich das Unternehmen die Frage stellen, vor wem es seine Informationen schützen möchte und was sie dem Angreifer oder Unternehmen Wert sind. Abbildung 1 zeigt hierzu einen Ansatz, um den optimalen Punkt als Verhältnis zwischen den Kosten zur Durchführung der Maßnahmen und der durch vermutete Schäden verursachten Kosten abzuschätzen. 4
19 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte Abbildung 1: Optimales Kosten/Nutzen-Verhältnis [SFDI01] Die Gesamtkosten ergeben sich aus der Summe der Kosten zur Durchführung von Maßnahmen und der durch Schäden verursachten Kosten. Hierbei sollten die Gesamtkosten den Wert der zu schützenden Güter logischerweise nicht überschreiten. Einige Ansätze zur Risikoanalyse richten sich dabei nach einer mathematischen Definition des Risikobegriffs. Risiko = Schadenshöhe (S) * Eintrittswahrscheinlichkeit(E) Dadurch steigt das Risiko mit der Schadenshöhe der zu schützenden Ressource und muss demnach bei der Planung der Sicherheit mit einbezogen werden. In der IT-Sicherheit unterscheidet man zwischen primären und sekundären IT-Sicherheitszielen [VOIPSEC05]. Unter primären Sicherheitszielen versteht man die drei Grundwerte der IT-Sicherheit: Vertraulichkeit (engl. confidentiality) : Schutz vor unbefugter Preisgabe von Informationen Integrität (engl. integrity) : Schutz vor unbefugter Veränderung von Informationen Verfügbarkeit (engl. availability) : Schutz vor unbefugter Vorenthaltung von Informationen oder Betriebsmitteln [ITSEC91] 5
20 Diplomarbeit Die allgemein gehaltenen primären Sicherheitsziele bilden die Basis für die spezifischere Definition sekundärer Sicherheitsziele. Somit kann beispielsweise Authentizität G durch die Verfügbarkeit und Integrität von Identitäten (Subjekten) und der von ihnen ausgeführten Aktionen [VOIPSEC05] definiert werden. Laut BSI kann es auch zu Wechselwirkungen zwischen Sicherheitszielen auf unterschiedlichen Ebenen mehrschichtiger Systeme [VOIPSEC05] kommen. IT-Sicherheit ist dabei kein statischer Zustand oder ein Produkt, das einmal gekauft oder installiert, einen immanenten Schutz für ein Unternehmen bietet. Es bedarf viel mehr des ausgewogenen Zusammenspiels der in Abbildung 2 beteiligten Akteure. Aktuell verschiebt sich der Anteil der IT-Sicherheit jedoch zunehmend Richtung Strategie und Technik, da Unternehmen eher bereit sind, Kosten für diese Bereiche zu akzeptieren als für das Personal. Abbildung 2: Akteure der IT-Sicherheit Nur wenn effektive Techniken in die Strategie einfließen und diese Strategie von den Menschen umgesetz wird, ergibt sich als Schnittmenge die Sicherheit. Natürlich konkurriert die Sicherheit dabei immer mit weiteren Faktoren wie Benutzerfreundlichkeit und Wirtschaftlichkeit. Zur Steuerung und kontinuierlichen Verbesserung der Sicherheit wird ein IT-Sicherheitsmanagement benötigt. Der in Kapitel 3.2 beschriebene IT-GS zeigt einen Weg auf, ein solches IT-Sicherheitsmanagement zu implementieren. 6
21 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte 2.2. Gefährdungen der Sicherheit Während die Angriffe in der Vergangenheit primär darauf abzielten, Schaden beispielsweise durch das Löschen von Daten anzurichten, ist es heute die Profitgier. Dabei wird immer häufiger versucht, unbemerkt an Daten zu gelangen, die sich gut verkaufen lassen. So ist ein ganzer Wirtschaftszweig mit Schwarzmarkinformationen entstanden. Auf so genannten Underground Economy Server verkaufen Kriminelle oder ganze Organisationen beispielsweise Zero Day Exploits G oder gestohlene Informationen, die anschließend häufig für Identitätsdiebstahl missbraucht werden. Neben Bank- und Kreditkarten werden ganze Identitäten verkauft. Diese beinhalten Informationen, wie zum Beispiel von der Regierung verwendete, eindeutige Identifikationsnummern (z.b. Sozialversicherungsnummer), Bankdaten mit entsprechenden Passwörtern und persönliche Informationen (wie Geburtstag und Mädchenname der Mutter etc.). Während gestohlene Kreditkarteninformationen aus den USA für US-Dollar angeboten werden, muss man bei Identitäten mit Preisen von bis US-Dollar rechnen [SISTR07]. Problematisch ist in diesem Zusammenhang der Trend, ständig neue Datenerhebungen zu schaffen. 1 Mit Hilfe steigender Qualität und Quantität von Informationen hofft man heutzutage, Risiken wie Terrorismus etc. zu minimieren. Hier ist somit eine Gegenläufigkeit von Freiheit und Sicherheit festzustellen. Ein Erfolg dieser präventiven Informationsbeschaffung konnte bisher unter anderem aus technischen Gründen nicht festgestellt werden [BSDM06]. Besonders die aktuellen Bestrebungen, umfassende biometrische Merkmale in zentralen Datenbanken zu sammeln, sollten in diesem Zusammenhang kritisch bedacht werden, da sich biometrische Merkmale wie z.b. ein Fingerabdruck nicht wie eine Adresse oder Namen ändern lassen. Dadurch könnte es zu Identitätsdiebstahl in einem ungeahnten Ausmaß kommen. 1 Das Sammeln von Daten hat Tradition. So wurden im Kalten Krieg sogar Informationen über den Gesundheitszustand und über medizinische Diagnosen wichtiger feindlicher Verantwortungsträger gesammelt, um diese besser einschätzen zu können [CIARMD79]. 7
22 Diplomarbeit Eine weitere technologische Bedrohung, mit der man mit genügend krimineller Energie Geld verdienen kann, liegt in den Bot-nets. Dies sind Zusammenschlüsse von bis zu einhunderttausend kompromittierten Rechnern (Symantec, Stand Dezember 2006), die sich von zentralen Servern z.b. über Internet Relay Chat (IRC) G -Channels zentral fernsteuern lassen. 2 Die Verbreitung der Bots bzw. das Infizieren der Clients geschieht willkürlich, beispielsweise durch das Ansurfen eines verwundbaren Clients auf einem manipulierten Webserver (vlg. [TWEBAT07], [HWEBAT07]). Aktionen der Bot-nets sind dagegen sehr zielgerichtet, indem z.b. alle Angehörigen eines Botnets, gleichzeitig ein Opfer (z.b. den Webserver eines Unternehmens) mit einer Flut von Anfragen in die Knie zwingen. Diese Verfügbarkeitsattacke wird Distributed Denial of Service (DDoS) G genannt. Bot-nets werden von ihren Besitzern in verstärktem Maße für kriminelle Aktivitäten wie DDoS-basierte Erpressungsversuche und das Versenden von Unmengen von SPAM oder Schadcode eingesetzt bzw. vermietet [SISTR07]. Weiterführende Informationen zu Botnets sind unter [BHBOT07] zu finden. Neben diesen relativ neuen Bedrohungen, existieren nach wie vor herkömmliche Bedrohungen wie in Abbildung 3 dargestellt. Eine Erhebung des BSI gibt im Lagebericht zur IT-Sicherheit in Deutschland 2007 Aufschluss darüber, wie sich die Gefährdungen entwickeln könnten. Demnach nimmt vor allem die Gefahr durch Zero-Day-Exploits G, Trojanische Pferde G und Adbzw. Spyware G zu. Althergebrachte Bedrohungen wie Viren und Dialer verlieren im Vergleich dazu an Brisanz. 2 Laut Vinton Cerf gehören ein viertel der Rechner mit Internetzugang einem Bot-net an [HBN07]. 8
23 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte Abbildung 3: Entwicklung von IT-Bedrohungen [BSILB07] In den Jahren 2006 bis 2007 kam es zu einem enormen Anstieg der Web-basierten Bedrohungen [AKS07], [BSILB07]. Wenn man bedenkt, dass Unternehmen aus Imagegründen oder aus Angst vor Vertrauensverlust, Sicherheitsvorfälle oftmals nicht veröffentlichen, dürfte die Dunkelziffer noch deutlich höher liegen. Somit wird sogar eher ein ins positive verfälschtes Bild gezeigt. Diese Bedrohungen bilden die Grundlage für ganze Wirtschaftszweige. Sowohl kriminelle Organisationen als auch die Sicherheitsindustrie verdienen blendend mit ihren Produkten. Neben genannten Gefährdungen zeichnet sich auch die Wirtschaftsspionage (vgl. Kapitel 2.3) als wachsende Herausforderung für Unternehmen ab. 9
24 Diplomarbeit 2.3. Bedeutung für Unternehmen Informationen und darin gebundenes Wissen sind ein wertvolles Gut. Unternehmen sind auf verlässliche Informationen, egal ob für Kalkulationen, Strategiebestimmung oder alltägliche Handlungen, angewiesen. So kann eine Information, wie beispielsweise das Gebot eines Mitbewerbers, unter Umständen über Gewinn oder Verlust von Milliardenaufträgen entscheiden (vgl. dazu den EU-Bericht zu Echolon und bestätigte Fälle von Wirtschaftsspionage [EUCHOLON S.111]). Wissen ist Macht [Francis Bacon] Um an erforderliches Wissen zu gelangen, können Unternehmen oder kriminelle Einzelpersonen beauftragt werden, die geforderten Informationen in Grauzonen oder jenseits legaler Grenzen zu beschaffen. Das wichtigste Thema der kommenden Jahre ist nach wie vor die Sicherheit. In diesem Jahr richtet sich der Blick nach innen, die größten Sorgen bereitet IT-Leitern Industriespionage beziehungsweise das mangelnde Sicherheitsbewusstsein der eigenen Mitarbeiter und Führungskräfte. [CAPG07] Zu diesem Fazit kommt eine Studie der Capgemini. Der Trend zur Wirtschafsspionage hat sich in unserer vernetzten Zeit weiter verschärft. Nie war es einfacher als im digitalen Zeitalter, Informationen zu kopieren und nie war es schwerer, deren Ausbreitung zu kontrollieren. Eine besondere Rolle nehmen dabei der Staat bzw. staatliche Behörden und Geheimdienste ein. So gibt es zwei Interessensbereiche staatlicher Behörden im Wirtschafssektor: Zum einen die mikroökonomische Wirtschaftsspionage, um den eigenen privatwirtschaftlichen Akteuren Vorteile zu verschaffen und zum anderen die Makroökonomische Wirtschaftsaufklärung als Bestandteil der sicherheitspolitischen Bedrohungs- und/oder Risikoanalyse eines Staates [SBGR06]. 3 3 So wird beispielsweise von der CIA jährlich das Factbook mit statistischen Daten über die Länder der Welt veröffentlicht [CIAFB07]. 10
25 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte Während staatliche Behörden zu Zeiten des kalten Krieges primär zur militärischen Überwachung der Gegenseite benutzt wurden, erkennt man heute immer mehr deren Vorteile/Bedeutung im Wirtschaftssektor. Charles de Gaulle sagte einmal: Staaten haben keine Freunde, sondern nur Interessen. Wenn man diverse Diskussionen und Nachrichten im Internet verfolgt, kann man den Eindruck bekommen, dass in diesem Zitat mehr Wahrheit steckt, als einem lieb sein kann. Gerade Staaten wie die Volksrepublik China (vgl. potentielle Gefahr durch Auslandschinesen [KCMNDP99]), die Russische Föderation und weitere Staaten der GUS, sowie proliferationsrelevante Länder wie die Islamische Republik Iran oder die Volksrepublik Nordkorea sind in diesem Zusammenhang zu nennen. Aber auch westliche Wirtschaftsmächte nutzen ihre (bereits vorhandenen) Überwachungseinrichtungen. Das größte dieser Art dürfte das weltweite Echolon darstellen (vgl. [EUCHOLON]). Auch wenn offiziell eine staatliche Informationsweitergabe an Unternehmen bestritten wird, ist es unverkennbar, dass Unternehmen und Geheimdienst seit Anfang der neunziger Jahre immer näher zueinander fanden [WSPIO06]. Ein Streitpunkt, bei dem es (auch) um Wirtschaftsspionage bzw. Datenschutz geht, ist die Society for Worldwide Interbank Financial Telecommunications (SWIFT) mit Hauptsitz in Belgien. Über SWIFT werden Transaktionen zwischen knapp 8000 internationalen Finanzinstituten mit einem täglichen Volumen von 4,6 Billionen Euro (November 2005) abgewickelt. Im Rahmen der Terrorismusbekämpfung haben US-Behörden nach dem 11.September 2001 Zugriff auf Finanzdaten des SWIFT Rechenzentrums in den USA und somit Einsicht in Kontobewegungen von Unternehmen sowie Privatpersonen. Die Herausgabe von Finanzdaten europäischer Bürger [..] an US-Behörden verstößt gegen deutsches und europäisches Datenschutzrecht. [DSWIFT06] Inwieweit solche abgefragten Kontobewegungen der Suche nach Terroristen oder zum Vorteil der eigenen Unternehmen verwendet werden, ist jedoch nicht nachvollziehbar. 11
26 Diplomarbeit Aktuell will SWIFT nun den US-Zugriff einschränken, indem innereuropäische Zahlungsdaten nur in Europäischen Rechenzentren gespeichert werden sollen (vgl. [TSSWIFT], [HSWIFT07]). Ob sich nur die Zugriffszeiten der US-Behörden erhöhen oder tatsächlich Zugriffsbeschränkungen getroffen werden, wird sich, falls es tatsächlich zu einer Umstellung kommt, in einigen Jahren zeigen Quo vadis - der Weg zur Endpunktsicherheit Um die Notwendigkeit für Endpunktsicherheit zu verstehen, sollte man sich zuerst mit der allgemeinen Problematik auseinandersetzen, die eine herkömmliche perimeterbasierte Sicherheitslösung birgt. Der perimeterbasierte Ansatz besteht darin, die Sicherheit durch Firewalls an die Netzwerkgrenzen zu schieben (vgl. in Abbildung 4). Prinzipiell ist eine Perimeter Firewall mit einer mittelalterlichen Stadtmauer zu vergleichen. Um die zu schützende IT-Infrastruktur wird eine (virtuelle) Mauer gezogen und nur durch fest definierten Punkte (sozusagen den Toren) können Daten in das geschützte Netz hinein oder heraus gelangen. Der Zugang wird streng reglementiert und die Daten gegen Regelwerke überprüft. Abbildung 4 zeigt ein typisches Szenario wie heutige Netzwerke häufig entworfen werden: Abbildung 4: Perimetersicherheit 12
27 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte Damit dieses Konzept funktioniert müssten allerdings mehrere Voraussetzungen erfüllt sein: Das interne Netzwerk ist vollkommen vertrauenswürdig. Die Hosts und Server sind vertrauenswürdig. Es gibt keine Innentäter und alle Gefahren kommen von Außen. Die Firewall erkennt alle Gefahren und kann diese blocken. Die Firewall stellt eine klare Trennung zwischen Innen und Außen dar. Alle diese Voraussetzungen zu einhundert Prozent zu erfüllen, kann als schwer realisierbar angesehen werden und ist wohl eher eine Idealvorstellung des Marketings. Durch die steigende Anzahl mobiler Geräte wie Laptops, PDAs/ MDAs, USB Sticks, Javafähige Handys, die nur temporär im Netzwerk eingegliedert sind, ist es sehr schwer eine vertrauenswürdige Umgebung zu schaffen. Zum einen sind die Zuständigkeiten bei der Administration oft ungeklärt (welches Gerät wird von welcher Abteilung betreut, Updateverteilung etc.). Zum anderen müssen die Geräte durch aktuelle Updates und Signaturen auf dem neusten Stand gehalten werden. So gibt es viele Gründe die dafür sprechen, dass auch Endpunkte bzw. Endgeräte mit älterer Software und älteren Virenupdates ins Netzwerk gelangen: Der Benutzer wartet mit der Installation neuer Updates aus Zeitmangel. Ein Berater, Mitarbeiter des Partnerunternehmens oder Gast benötigt Netzwerkzugang. Man hat somit keine Kontrolle über das Endgerät. Die Endgeräte sind nicht verwaltet. Mangelnde Kapazitäten bei der Softwareverwaltung. Des Weiteren missachten Mitarbeiter bei den Heimarbeitsplätzen oftmals Sicherheitsregeln und nutzen den Rechner privat [INSIG06]. In einer Studie der Aberdeen Group zum Thema "Endpoint Security Strategies" wurde festgestellt, dass bei 75 Prozent der befragten Unternehmen, internen wie externen Benutzern der Zugang ins Firmennetz von nicht gemanagten PCs gestattet wurde [ABAD06]. 13
28 Diplomarbeit Viren G, Würmer G und Trojanische Pferde G sind weitere Bedrohungen, denen die Endgeräte ausgesetzt werden. Selbst wenn Vorkehrungen dagegen getroffen werden, sind die Systeme immer noch durch Zero Day Exploits G verwundbar. Zusätzlich verschwimmen die Grenzen des Netzwerkes zunehmend durch (teilweise ungewollte) Erweiterungen wie VPN, WLAN oder Bluetooth. Externe Mitarbeiter und Partner- bzw. Wartungszugänge erschweren zusätzlich eine klare Abgrenzung. Die aktuellen Bedrohungen gehen weg von den klassischen Angriffsszenarien hin zu Angriffen auf Webapplikationen und Webservices. Dieser Trend konnte schon seit dem Jahr 2002 beobachtet werden (vgl. Abbildung 5) und hat sich in den letzen Jahren noch weiter verschärft [SISTR07]. Laut Gartner Hype Cyle sind vor allem die Angriffe auf Web-Applikationen in einem fortgeschrittenen Stadium [GHCCT06]. Abbildung 5: Port 80 Problem Dieses Port 80 Problem begründet sich auch durch die immer populärer werdenden Serviceorientierten Architekturen (SOA) und der Web-Applikationen. Die Gefährdung wird tendenziell weiter zunehmen. Noch in diesem Jahr sollen, den Analysten von Gartner zufolge, die Hälfte aller geschäftskritischen Anwendungen mit SOA realisiert werden und bis zum Jahr 2010 könnten es bis zu 80 Prozent sein [GART07], [CAPG07]. 14
29 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte Dabei ist es unerheblich, ob ein mehrstufiges Firewall-Konzept verwendet wird, da die (kompromittierten) Daten letztlich für die Bearbeitung zur Datenbank oder Webapplikation etc. weitergeleitet werden müssen. Somit ist der Angreifer in der Lage, teilweise sogar mit nur einem Paket, Angriffe auf die Systeme durchzuführen. Viele Daten, die bisher über mehrere Netzwerkprotokolle übertragen wurden und somit einfach durch Firewalls überprüft werden konnten, werden heutzutage über einzelne Transportprotokolle wie HTTP übermittelt. Dadurch müssen vielen Daten, die bisher direkt über den Header geprüft wurden, nun mühsam aus dem Payload gepackt und analysiert werden. Die Probleme der dadurch resultierenden erhöhten Prozessorlast, könnten dann durch klassische Angriffe ausgenutzt werden [CISCOCN05]. Bedingt durch ein steigendes Sicherheitsbedürfnis werden immer mehr Verbindungen durch Secure Socket Layer (SSL) oder Transport Layer Security (TLS) bzw. HTTPS verschlüsselt. Als Nebeneffekt dieses Trends, wird es für die IT-Abteilungen jedoch stetig schwerer, die Zugangsberechtigungen zu kontrollieren, da sie nicht in die verschlüsselten Ströme schauen und die Nutzdaten analysieren können. Das bedeutet, man muss entweder mit der Sicherheitslücke leben oder die Tunnel an der Firewall bzw. am Gateway terminieren. Weitere Lösungsansätze für dieses Problem werden in der BSI-Maßnahme M 2.75 Geeignete Auswahl eines Application-Level-Gateways und in den Best Practices für die Sicherheit von Webanwendungen genannt (vgl. [BSISEC06]). Anhand dieser Gründe konnte gezeigt werden, dass die Vorraussetzungen für eine funktionierende Perimeter-Sicherheit in den meisten Fällen nicht gegeben sind. Durch die Vielzahl der gezeigten Gefährdungen, stellen Perimeter Firewalls alleine keine ausreichende Sicherheit dar. Diese Bedrohungen zeigen einen Paradigmenwechsel [KUHN62] von herkömmlicher perimeterbasierter IT-Sicherheit hin zu Endpunktsicherheit, bei der die Endgeräte deutlich mehr in die Sicherheitsmechanismen mit einbezogen werden. Ciscos Self-Defending Network bietet hierbei eine adäquate Möglichkeit, um diesem Problem zu begegnen. Dass die Absicherung der IT keineswegs nur auf freiwilliger Basis durchgeführt wird, sondern auch durch Gesetze vorgeschrieben ist, wird im folgenden Kapitel 2.5 beschrieben. 15
Leitfaden zum sicheren Betrieb von Smart Meter Gateways
Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-
MehrDie Umsetzung von IT-Sicherheit in KMU
Informatik Patrick Düngel / A. Berenberg / R. Nowak / J. Paetzoldt Die Umsetzung von IT-Sicherheit in KMU Gemäß dem IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik Wissenschaftliche
MehrIT-Grundschutz - der direkte Weg zur Informationssicherheit
IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik
MehrGPP Projekte gemeinsam zum Erfolg führen
GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.
MehrIT-Grundschutz praktisch im Projekt Nationales Waffenregister
IT-Grundschutz praktisch im Projekt Nationales Waffenregister Günther Ennen Bundesamt für Sicherheit in der Informationstechnik 19. Berliner Anwenderforum E-Government am 19. und 20. Februar 2013 Fachforum
MehrIT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein
der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule
MehrSystemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5
Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat
MehrI n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000
Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an
MehrIT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen
IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag
MehrInformationssicherheit als Outsourcing Kandidat
Informationssicherheit als Outsourcing Kandidat aus Kundenprojekten Frankfurt 16.06.2015 Thomas Freund Senior Security Consultant / ISO 27001 Lead Auditor Agenda Informationssicherheit Outsourcing Kandidat
MehrWie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner
Mehr1.3 MDM-Systeme KAPITEL 1 ZAHLEN UND FAKTEN
KAPITEL ZAHLEN UND FAKTEN.3 MDM-Systeme MDM-Systeme sind in Unternehmen und Organisationen noch nicht flächendeckend verbreitet, ihr Einsatz hängt unmittelbar mit dem Aufbau von mobilen Infrastrukturen
MehrTabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz
Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07
MehrDieter Brunner ISO 27001 in der betrieblichen Praxis
Seite 1 von 6 IT-Sicherheit: die traditionellen Sichtweise Traditionell wird Computer-Sicherheit als technisches Problem gesehen Technik kann Sicherheitsprobleme lösen Datenverschlüsselung, Firewalls,
MehrInformationssicherheitsmanagement
Informationssicherheitsmanagement nach ISO 27001 und BSI Grundschutz Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und
MehrIT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit
IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft
MehrAgenda: Richard Laqua ISMS Auditor & IT-System-Manager
ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit
MehrIT-Security Herausforderung für KMU s
unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/
MehrMobile Intranet in Unternehmen
Mobile Intranet in Unternehmen Ergebnisse einer Umfrage unter Intranet Verantwortlichen aexea GmbH - communication. content. consulting Augustenstraße 15 70178 Stuttgart Tel: 0711 87035490 Mobile Intranet
MehrIT-Revision als Chance für das IT- Management
IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT
MehrIT-Sicherheitsmanagement bei der Landeshauptstadt München
IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung
MehrAnti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern
Windows XP in fünf Schritten absichern Inhalt: 1. Firewall Aktivierung 2. Anwendung eines Anti-Virus Scanner 3. Aktivierung der automatischen Updates 4. Erstellen eines Backup 5. Setzen von sicheren Passwörtern
MehrProzessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am 14.08.08
Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements von Stephanie Wilke am 14.08.08 Überblick Einleitung Was ist ITIL? Gegenüberstellung der Prozesse Neuer
MehrTaxifahrende Notebooks und andere Normalitäten. Frederik Humpert
Taxifahrende Notebooks und andere Normalitäten Frederik Humpert Ein paar Zahlen Von September 2004 bis Februar 2005 wurden weltweit 11.300 Laptops 31.400 Handhelds 200.000 Mobiltelefone in Taxis vergessen
MehrDer Schutz von Patientendaten
Der Schutz von Patientendaten bei (vernetzten) Software-Medizinprodukten aus Herstellersicht 18.09.2014 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt Spezialisiert
MehrANYWHERE Zugriff von externen Arbeitsplätzen
ANYWHERE Zugriff von externen Arbeitsplätzen Inhaltsverzeichnis 1 Leistungsbeschreibung... 3 2 Integration Agenda ANYWHERE... 4 3 Highlights... 5 3.1 Sofort einsatzbereit ohne Installationsaufwand... 5
MehrInternational anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz
AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz
MehrRisikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014
Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement Eine Einführung Risikomanagement ist nach der Norm ISO 31000 eine identifiziert, analysiert
MehrITIL & IT-Sicherheit. Michael Storz CN8
ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung
MehrCloud Computing mit IT-Grundschutz
Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung
MehrPatch-Management. Leibniz-Akademie Hannover Wirtschaftsinformatik B. Sc. Praxisreflexion im Bereich Management im SS 2011
Leibniz-Akademie Hannover Wirtschaftsinformatik B. Sc. Praxisreflexion im Bereich Management im SS 2011 Patch-Management Thomas Beer Abgabedatum: 28.03.2011 Anmerkung: Diese Wissenschaftliche Arbeit ist
MehrIT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach
IT-Grundschutz IT-Grundschutz modellieren modellieren Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz / Überblick IT- Grundschutzhandbuch (GSHB) betrachtet im Allgemeinen folgende Merkmale: Infrastruktur
MehrDie Gesellschaftsformen
Jede Firma - auch eure Schülerfirma - muss sich an bestimmte Spielregeln halten. Dazu gehört auch, dass eine bestimmte Rechtsform für das Unternehmen gewählt wird. Für eure Schülerfirma könnt ihr zwischen
MehrNeu erstellen!!! Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter
und Nutzung der Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter Neu erstellen!!! I3 - Gruppe IT-Sicherheit und Cyber Defence IT-Sicherheit in der Folie 1 und Nutzung in der Bundesamt
MehrIT Security Investments 2003
Grafische Auswertung der Online-Befragung IT Security Investments 2003 1) Durch welche Vorfälle wurde die IT-Sicherheit Ihres Unternehmens / Ihrer Organisation im letzten Jahr besonders gefährdet beziehungsweise
MehrD i e n s t e D r i t t e r a u f We b s i t e s
M erkblatt D i e n s t e D r i t t e r a u f We b s i t e s 1 Einleitung Öffentliche Organe integrieren oftmals im Internet angebotene Dienste und Anwendungen in ihre eigenen Websites. Beispiele: Eine
MehrFachbericht zum Thema: Anforderungen an ein Datenbanksystem
Fachbericht zum Thema: Anforderungen an ein Datenbanksystem von André Franken 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis 1 2 Einführung 2 2.1 Gründe für den Einsatz von DB-Systemen 2 2.2 Definition: Datenbank
MehrSicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden
MehrSurfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes und nachhaltiges Surf-Vergnügen. www.bsi-fuer-buerger.
Surfen, aber sicher! Basisschutz leicht gemacht 10 Tipps für ein ungetrübtes und nachhaltiges Surf-Vergnügen www.bsi-fuer-buerger.de Ins Internet mit Sicherheit! Im Internet surfen ist wie Autofahren reinsetzen
MehrDie Telematikinfrastruktur als sichere Basis im Gesundheitswesen
Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen conhit Kongress 2014 Berlin, 06.Mai 2014 Session 3 Saal 3 Gesundheitsdaten und die NSA Haben Patienten in Deutschland ein Spionageproblem?
MehrAusgewählte Rechtsfragen der IT-Security
Ausgewählte Rechtsfragen der IT-Security Steht man als Verantwortlicher für IT-Security bereits mit einem Bein im Gefängnis? Dr. Markus Junker, Rechtsanwalt markus.junker@de.pwc.com HEUSSEN Rechtsanwaltsgesellschaft
MehrGuide DynDNS und Portforwarding
Guide DynDNS und Portforwarding Allgemein Um Geräte im lokalen Netzwerk von überall aus über das Internet erreichen zu können, kommt man um die Themen Dynamik DNS (kurz DynDNS) und Portweiterleitung(auch
MehrInstallation SQL- Server 2012 Single Node
Installation SQL- Server 2012 Single Node Dies ist eine Installationsanleitung für den neuen SQL Server 2012. Es beschreibt eine Single Node Installation auf einem virtuellen Windows Server 2008 R2 mit
MehrWIR MACHEN SIE ZUM BEKANNTEN VERSENDER
02040203 WIR MACHEN SIE ZUM BEKANNTEN VERSENDER Ein Mehrwert für Ihr Unternehmen 1 SCHAFFEN SIE EINEN MEHRWERT DURCH SICHERHEIT IN DER LIEFERKETTE Die Sicherheit der Lieferkette wird damit zu einem wichtigen
MehrISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote
Seite 1 von 10 ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung Microsoft ISA Server 2004 bietet
MehrDatenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA
Datenschutz und IT-Sicherheit in Smart Meter Systemen Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA Smart, sicher und zertifiziert Das Energiekonzept der Bundesregierung sieht
MehrE-Mail-Verschlüsselung viel einfacher als Sie denken!
E-Mail-Verschlüsselung viel einfacher als Sie denken! Stefan Cink Produktmanager stefan.cink@netatwork.de Seite 1 Welche Anforderungen haben Sie an eine E-Mail? Seite 2 Anforderungen an die E-Mail Datenschutz
MehrCloud Computing aus Sicht von Datensicherheit und Datenschutz
Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen
MehrMedizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong
Medizintechnik und Informationstechnologie im Krankenhaus Dr. Andreas Zimolong DIN EN 80001-1:2011 Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten Teil 1: Aufgaben, Verantwortlichkeiten
MehrSicherheits-Tipps für Cloud-Worker
Sicherheits-Tipps für Cloud-Worker Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Fachhochschule Gelsenkirchen http://www.internet-sicherheit.de Cloud Computing Einschätzung
MehrDatenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand
Datenschutz und Synergieeffekte Verimax GmbH Autor:Stefan Staub Stand Blatt 1 Nicht weil es schwer ist, wagen wir es nicht, sondern weil wir es nicht wagen, ist es schwer. Lucius Annaeus Seneca röm. Philosoph,
MehrDirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen
Dirk Loomans, Micha-Klaus Müller Bedrohungs- und Schwachstellenanalysen Übersicht über die Arbeitshilfen risikoanalyse.doc Das Klammersymbol Checkliste zur Durchführung einer Risikoanalyse im Text verweist
Mehr3 Juristische Grundlagen
beauftragter - Grundlagen Ziele: Einführung in das recht Kennen lernen der grundlegenden Aufgaben des beauftragten (DSB) Praxishinweise für die Umsetzung Inhalte: Ziele des es Zusammenarbeit mit Datensicherheit/IT-Sicherheit
MehrInformationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter
Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem
MehrInformationssicherheit ein Best-Practice Überblick (Einblick)
Informationssicherheit ein Best-Practice Überblick (Einblick) Geschäftsführer der tgt it- und informationssicherheit gmbh Geschäftsführer am TZI, Universität Bremen Lehrbeauftragter an der Hochschule Bremen
MehrSharePoint Demonstration
SharePoint Demonstration Was zeigt die Demonstration? Diese Demonstration soll den modernen Zugriff auf Daten und Informationen veranschaulichen und zeigen welche Vorteile sich dadurch in der Zusammenarbeit
MehrFTP-Leitfaden RZ. Benutzerleitfaden
FTP-Leitfaden RZ Benutzerleitfaden Version 1.4 Stand 08.03.2012 Inhaltsverzeichnis 1 Einleitung... 3 1.1 Zeitaufwand... 3 2 Beschaffung der Software... 3 3 Installation... 3 4 Auswahl des Verbindungstyps...
MehrIT-Sicherheitsüberprüfung Der Schutz vor Wirtschaftsspionage
IT-Sicherheitsüberprüfung Der Schutz vor Wirtschaftsspionage Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und Datenschutz
MehrWas sind Soziale Netzwerke? Stelle dazu selbstständig Überlegungen an!
Erkundungsbogen Datenspionage Klassenstufen 7-9 Spionage gibt es nicht nur in Film und Fernsehen, sondern hat über viele Jahrhunderte auch unser Leben sehr beeinflusst! Mit den neuen, digitalen Medien
MehrIT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen
IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz IT-Grundschutz-Tag 09.10.2013
MehrZertifizierung IT-Sicherheitsbeauftragter
Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben
MehrEinführung Inhaltsverzeichnis
Einführung Inhaltsverzeichnis Einrichtung des VPN... 3 Was ist VPN?... 4 Voraussetzungen für VPN... 4 Einrichtung des VPN unter Windows... 4 Wie baue ich eine VPN-Verbindung auf?... 6 Netzlaufwerk verbinden...
MehrAnleitung zur Daten zur Datensicherung und Datenrücksicherung. Datensicherung
Anleitung zur Daten zur Datensicherung und Datenrücksicherung Datensicherung Es gibt drei Möglichkeiten der Datensicherung. Zwei davon sind in Ges eingebaut, die dritte ist eine manuelle Möglichkeit. In
MehrÄnderung der ISO/IEC 17025 Anpassung an ISO 9001: 2000
Änderung der ISO/IEC 17025 Anpassung an ISO 9001: 2000 Dr. Martin Czaske Sitzung der DKD-FA HF & Optik, GS & NF am 11. bzw. 13. Mai 2004 Änderung der ISO/IEC 17025 Anpassung der ISO/IEC 17025 an ISO 9001:
MehrRisikoanalyse mit der OCTAVE-Methode
Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte
MehrSicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller
MehrGeld verdienen als Affiliate
Geld verdienen als Affiliate Wie Sie Top-Provisionen mit dieser revolutionären und doch sehr einfachen Marketing-Methode erhalten! So starten Sie Ihr Business richtig! Eine Einführung in Affiliate-Marketing
MehrVerpasst der Mittelstand den Zug?
Industrie 4.0: Verpasst der Mittelstand den Zug? SCHÜTTGUT Dortmund 2015 5.11.2015 Ergebnisse einer aktuellen Studie der Technischen Hochschule Mittelhessen 1 Industrie 4.0 im Mittelstand Ergebnisse einer
MehrHow-to: Webserver NAT. Securepoint Security System Version 2007nx
Securepoint Security System Inhaltsverzeichnis Webserver NAT... 3 1 Konfiguration einer Webserver NAT... 4 1.1 Einrichten von Netzwerkobjekten... 4 1.2 Erstellen von Firewall-Regeln... 6 Seite 2 Webserver
MehrMeine Lernplanung Wie lerne ich?
Wie lerne ich? Zeitraum Was will ich erreichen? Wie? Bis wann? Kontrolle Weiteres Vorgehen 17_A_1 Wie lerne ich? Wenn du deine gesteckten Ziele nicht erreicht hast, war der gewählte Weg vielleicht nicht
MehrFreifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234
IT Sicherheitskonzept Registernummer bei der Bundesnetzagentur: 14/234 1. Geltungsbereich 1.Dieses IT-Sicherheitskonzept gilt strukturell für Systemkomponenten des Freifunknetzes, welche vom selbst betrieben
MehrDas Persönliche Budget in verständlicher Sprache
Das Persönliche Budget in verständlicher Sprache Das Persönliche Budget mehr Selbstbestimmung, mehr Selbstständigkeit, mehr Selbstbewusstsein! Dieser Text soll den behinderten Menschen in Westfalen-Lippe,
MehrDatenschutz und Informationssicherheit 03.09.2015
Datenschutz und Informationssicherheit 03.09.2015 Vertrauen in öffentliche Institutionen in Deutschland ist hoch Studie der GfK: Global Trust Report (2015) Staatliche Institutionen führen das Vertrauensranking
MehrRisikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement
SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor Risikomanagement Gesetzlicher Rahmen IBR INSTITUT FÜR BETRIEBS- UND REGIONALÖKONOMIE Thomas Votruba, Leiter MAS Risk Management, Projektleiter, Dozent
MehrNationale Initiative für Internet- und Informations-Sicherheit
Sichere Kommunikation im Zeitalter von PRISM? Nationale Initiative für Internet- und Informations-Sicherheit Mathias Gärtner, NIFIS e.v. zweiter Vorstand Öffentlich bestellter und vereidigter Sachverständiger
MehrAvira Server Security Produktupdates. Best Practice
Avira Server Security Produktupdates Best Practice Inhaltsverzeichnis 1. Was ist Avira Server Security?... 3 2. Wo kann Avira Server Security sonst gefunden werden?... 3 3. Was ist der Unterschied zwischen
MehrISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz
ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit
MehrLizenzierung von System Center 2012
Lizenzierung von System Center 2012 Mit den Microsoft System Center-Produkten lassen sich Endgeräte wie Server, Clients und mobile Geräte mit unterschiedlichen Betriebssystemen verwalten. Verwalten im
MehrStand 10.2011 vr bank Südthüringen eg 1 von 10. Smart TAN plus Umstellungsanleitung VR-NetWorld Software
Stand 10.2011 vr bank Südthüringen eg 1 von 10 Smart TAN plus Umstellungsanleitung VR-NetWorld Software INHALTSVERZEICHNIS 1. Einführung 3 2. Allgemeine Informationen 4 3. Schritt 1 die Anmeldung des Generators
MehrProzessoptimierung. und. Prozessmanagement
Prozessoptimierung und Prozessmanagement Prozessmanagement & Prozessoptimierung Die Prozesslandschaft eines Unternehmens orientiert sich genau wie die Aufbauorganisation an den vorhandenen Aufgaben. Mit
Mehrmysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank
mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank In den ersten beiden Abschnitten (rbanken1.pdf und rbanken2.pdf) haben wir uns mit am Ende mysql beschäftigt und kennengelernt, wie man
MehrDaten Monitoring und VPN Fernwartung
Daten Monitoring und VPN Fernwartung Ethernet - MODBUS Alarme Sensoren RS 232 / 485 VPN Daten Monitoring + VPN VPN optional UMTS Server Web Portal Fernwartung Daten Monitoring Alarme Daten Agent Sendet
MehrIT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007
IT-Grundschutz Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutzhandbuch Agenda Ziel der IT-Sicherheit Das IT-Grundschutzhandbuch Umsetzung des IT-Grundschutzhandbuchs Ausbaustufen
MehrAdobe Photoshop. Lightroom 5 für Einsteiger Bilder verwalten und entwickeln. Sam Jost
Adobe Photoshop Lightroom 5 für Einsteiger Bilder verwalten und entwickeln Sam Jost Kapitel 2 Der erste Start 2.1 Mitmachen beim Lesen....................... 22 2.2 Für Apple-Anwender.........................
MehrFirewalls für Lexware Info Service konfigurieren
Firewalls für Lexware Info Service konfigurieren Inhaltsverzeichnis: 1. MANUELLER DOWNLOAD 1 2. ALLGEMEIN 1 3. EINSTELLUNGEN 1 4. BITDEFENDER VERSION 10 2 5. GDATA INTERNET SECURITY 2007 4 6. ZONE ALARM
Mehr.. für Ihre Business-Lösung
.. für Ihre Business-Lösung Ist Ihre Informatik fit für die Zukunft? Flexibilität Das wirtschaftliche Umfeld ist stärker den je im Umbruch (z.b. Stichwort: Globalisierung). Daraus resultierenden Anforderungen,
MehrWhite Paper. Installation und Konfiguration der PVP Integration
Copyright Fabasoft R&D GmbH, A-4020 Linz, 2010. Alle Rechte vorbehalten. Alle verwendeten Hard- und Softwarenamen sind Handelsnamen und/oder Marken der jeweiligen Hersteller. Diese Unterlagen sind streng
MehrWann ist eine Software in Medizinprodukte- Aufbereitungsabteilungen ein Medizinprodukt?
DGSV-Kongress 2009 Wann ist eine Software in Medizinprodukte- Aufbereitungsabteilungen ein Medizinprodukt? Sybille Andrée Betriebswirtin für und Sozialmanagement (FH-SRH) Prokuristin HSD Händschke Software
MehrSoftware zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)
Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN) Definition Was ist Talk2M? Talk2M ist eine kostenlose Software welche eine Verbindung zu Ihren Anlagen
MehrEIN C.A.F.E. FÜR DEN DATENSCHUTZ
EIN C.A.F.E. FÜR DEN DATENSCHUTZ Organisatorische Datenschutzbeauftragter Martin Esken Datenschutzbeauftragter (TÜV) Organisatorische Technische gemäß 9 Satz 1 Punkte 1-8 BUNDESDATENSCHUTZGESETZ Organisatorische
MehrIT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS
IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit
MehrWarum sich das Management nicht für agile Softwareentwicklung interessieren sollte - aber für Agilität
Warum sich das Management nicht für agile Softwareentwicklung interessieren sollte - aber für Agilität Marcus Winteroll oose GmbH Agenda I. Ziele und Zusammenarbeit II. Was wir vom agilen Vorgehen lernen
MehrNetzwerkanalyse. Datenvermittlung in Netzen
Netzwerkanalyse Datenvermittlung in Netzen Einordnung/Abgrenzung Aufzeichnung und Auswertung des Datenverkehrs Statistiken über Verkehrsmengen und -richtungen Verkehrs-Matrix: wer mit wem, wann, wie viel?
MehrMuster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz
Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Antragsteller: Zertifizierungskennung: BSI-XXX-XXXX Der Inhalt
MehrTeil - I Gesetzliche Anforderungen an IT-Sicherheit
Teil - I an IT-Sicherheit Unternehmensrisiken (Einleitung Abschnitt-1) Jedes Unternehmen ist Risiken 1 ausgesetzt oder geht Risiken bewusst manchmal auch unbewusst ein. Risiken können entstehen in den
MehrProjektmanagement in der Spieleentwicklung
Projektmanagement in der Spieleentwicklung Inhalt 1. Warum brauche ich ein Projekt-Management? 2. Die Charaktere des Projektmanagement - Mastermind - Producer - Projektleiter 3. Schnittstellen definieren
MehrDok.-Nr.: Seite 1 von 6
Logo Apotheke Planung, Durchführung und Dokumentation von QM-Audits Standardarbeitsanweisung (SOP) Standort des Originals: Dok.-Nr.: Seite 1 von 6 Nummer der vorliegenden Verfaßt durch Freigabe durch Apothekenleitung
Mehr