Untersuchung der BSI Studien (WLAN, LAN, VoIP) und Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte

Größe: px
Ab Seite anzeigen:

Download "Untersuchung der BSI Studien (WLAN, LAN, VoIP) und Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte"

Transkript

1 Diplomarbeit in Computer Networking Untersuchung der BSI Studien (WLAN, LAN, VoIP) und Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte Referent: Prof. Dr. C. Reich, Hochschule Furtwangen Korreferent: S. Kirchmann, xevit GmbH Vorgelegt am: Vorgelegt von: Gabriel Schlegel Verlorener Weg 9, Freiburg

2

3 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte Ich erkläre hiermit an Eides statt, dass ich die vorliegende Diplomarbeit selbstständig und ohne unzulässige fremde Hilfe angefertigt habe. Die verwendeten Quellen und Hilfsmittel sind vollständig zitiert. Ort, Datum Unterschrift i

4 ii Diplomarbeit

5 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte Die sicherste Türe ist die, die man offen lassen kann. Chinesisches Sprichwort iii

6 iv Diplomarbeit

7 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte Danksagung An dieser Stelle möchte ich mich bei allen Personen bedanken, die mir direkt oder indirekt bei der Erstellung dieser Arbeit zur Seite standen. Besonderen Dank möchte ich Herrn Prof. Dr. C. Reich für seine tatkräftige Unterstützung und die konstruktiven Kommentare bzw. Anmerkungen aussprechen. Dem Unternehmen xevit GmbH möchte ich für die interessante Aufgabenstellung und die zur Verfügung gestellten Versuchskomponenten danken. Danke auch an S. Kirchmann und P. Mangler, die mir diese Arbeit ermöglicht und genug Freiraum für eine selbstständige Bearbeitung gelassen haben. Allen Interessierten wünsche ich viel Spaß beim Eintauchen in die interessante Welt der IT-Sicherheit. v

8 vi Diplomarbeit

9 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte Zusammenfassung Kaum ein Thema bewegt die Informationstechnik so sehr wie die Sicherheit. Gerade der Trend zu konvergenten Netzen, in denen Sprache, Video und Datendienste über das gleiche Medium transportiert werden, bietet eine Vielzahl von Angriffszielen auf die Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit. Gleichzeitig wächst der Druck auf Unternehmen, IT-Sicherheit zu betreiben. Wirtschaftsspionage, Basel II, KonTraG sind nur einige Stichworte, die entsprechende Maßnahmen forcieren. Die IT- Sicherheit ist das zentrale Element dieser Ausarbeitung. Hierbei wird ein Zusammenhang zwischen dem IT-Grundschutz des BSI und der Cisco Security Strategie Self-Defending Networks hergestellt. Dazu werden der Grundschutz und die Cisco Security Strategie analysiert. Anschließend werden Abbildungsmöglichkeiten diskutiert und das Network Admission Control als integraler Bestandteil von Self-Defending Network schwerpunktmäßig untersucht. Abstract Almost nothing changes the information technology as much as security. The straight trend to convergent networks, in which voice, video and data services are transported over the same medium, offers a multiplicity of possible attack targets on confidentiality, integrity and availability. At the same time the pressure grows on enterprises to protect their IT. Industrial espionage, Basel II and KonTraG are just a few keywords, which force appropriate measures. The IT security is the central element of this diploma thesis. It establishes a connection between the IT-Grundschutz and Cisco s security strategy Self-Defending networks. In addition, the IT-Grundschutz and Cisco s security strategy are analyzed. Subsequently, illustration possibilities are discussed and Network Admission Control is examined as an integral component of Self-Defending Networks. vii

10 viii Diplomarbeit

11 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte Inhaltsverzeichnis 1. Einleitung Motivation Ziel der Diplomarbeit Aufbau der Diplomarbeit IT-Sicherheit im Fokus Was ist IT-Sicherheit? Gefährdungen der Sicherheit Bedeutung für Unternehmen Quo vadis - der Weg zur Endpunktsicherheit Rechtliche Aspekte Zusammenfassung Bundesamt für Sicherheit in der Informationstechnik (BSI) Publikationen Drahtlose Kommunikationssysteme und ihre Sicherheitsaspekte LAN VoIPSEC Studie zur Sicherheit von VoIP IT-Grundschutz Standards Kataloge Vorgehensweise IT-Sicherheitsmanagement IT-Strukturanalyse Schutzbedarfsfeststellung Modellierung Basis Sicherheitscheck Ergänzende Sicherheitsanalyse Realisierung der Maßnahmen Zertifizierung Zusammenfassung Cisco Security Strategie: Self-Defending Networks DDoS Mitigation Adaptive Security Appliances (ASA) Antispoofing Intrusion Prevention Service Protocol Inspection Service HTTP Inspection Engine Content Security and Control Security Service Module (CSC-SSM) Incident Control Service (ICS) ix

12 Diplomarbeit X Rollen EAP-Methoden X und Network Admission Control (NAC) VPN und 802.1X Network Admission Control (NAC) Das Cisco NAC Framework Komponenten Arbeitsmodus Ablauf der Netzwerkzugangskontrolle Die Cisco NAC Appliance Komponenten Funktionsweise Überprüfung der Posture Credentials Cisco Security Agent (CSA) Cisco Security Centralized Management Zusammenfassung Abbildung des IT-Grundschutzes auf Cisco Security Strategie Abstrakte Betrachtung der Aufgabenstellung Problematik Lösungsansätze Integration in den IT-Grundschutz Hervorheben von Gefahrenspitzen Direkte Abbildung der Bausteine durch Cisco-Komponenten Erstellen typischer Strukturen Erstellen eigener Bausteine für Cisco-Komponenten Erweitern vorhandener Bausteine Gemeinsamkeiten zwischen IT-GS und Cisco Security Strategie Gegenüberstellung der Lösungen Zusammenfassung Aufbau und Erprobung einer Cisco NAC Appliance Clean Access Server Clean Access Manager Endgeräte Zusammenspiel der Komponenten Authentifizierung durch einen Radius Server Überprüfung der Host Credentials Untersuchung der Sicherheit von NAC Analyse Schwachstellen Vorschläge zur Verbesserung der Sicherheit Zusammenfassung x

13 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte 7. Zusammenfassung Erreichte Ziele Fazit Ausblick Literaturverzeichnis Abkürzungsverzeichnis Glossar Abbildungsverzeichnis Tabellenverzeichnis Anlagenverzeichnis A: Protocol Inspection Services B. Network Admission for NAC-enabled Endpoints C. Admission Process for Endpoint Changing from Quarantine to Healthy State D. Admission Control for NAC Agentless Host E: Understanding Types of DDoS Attacks F: Implementation Decision Tree G: Sicherheitsmaßnahmen bei VoIP H: Inhalte der beiliegende CD xi

14 xii Diplomarbeit

15 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte 1. Einleitung 1.1. Motivation Unabhängig davon, ob man IT-Sicherheit als lästiges Übel, Mehrwert für andere Bereiche oder primäres Ziel in der Informationstechnik sieht, muss man sich heutzutage damit auseinandersetzen. Der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (im Weiteren BSI genannt) verkündete in einer Pressemitteilung: "Die Anzahl der Angriffe auf die Online-Sicherheit, die daraus resultierenden Kosten und die Qualität der Angriffe steigen dramatisch an. Das Internet kennt keine Grenzen[..] [BSIPR07]. Zur Zeit existieren Unmengen an Statistiken und Trends von Berater- und Marktforschungsunternehmen zum Thema IT-Sicherheit. Diese haben alle eine Gemeinsamkeit: Einen tendenziellen Anstieg der Bedrohungen (vgl. [BSILB07]). Bereits im Jahre 2006 verfügten 79% aller deutschen Unternehmen über einen Zugang zum Internet [STATB07]. Die Wurmattacken G der letzten Jahre haben jedoch gezeigt, wie verwundbar unsere vernetzen Infrastrukturen sind. Als prominenteste Vertreter seien hier SQL Slammer, W32.Blaster, Sasser und MyDoom genannt. Oftmals ist das Verlangen nach Sicherheit trotzdem nicht ausgeprägt. IT-Sicherheit kostet schließlich Geld und wird an wirtschaftlichen Mitteln gemessen. Da eine Sicherheit kein Gewinn erwirtschaftet, wird auch nie einen Return on Investment (RoI) erreicht und die Investitionen werden sich nicht amortisieren. Der aktuelle Trend zu everything over IP (Trend der CeBIT 2007 [CEBITT07]) bedeutet jedoch nicht nur Mehrwerte, sondern birgt auch eine größere Angriffsfläche. In Zeiten von schnell wachsenden Exploit G -Frameworks wie Metasploit 3 [METASP], bei dem Exploits nach dem Baukastenprinzip modelliert werden können, ist ein wirksamer Schutz der Informationstechnik unerlässlich. Diesen Bedrohungen muss entsprechend entgegengewirkt werden. 1

16 Diplomarbeit 1.2. Ziel der Diplomarbeit Diese Arbeit soll eine Verbindung zwischen Cisco, dem Weltmarktführer für Netzwerk- Equipment und dem deutschen De-facto Standard für IT-Sicherheit, dem IT-Grundschutz (IT-GS) des BSI herstellen. Es soll untersucht werden, ob eine Abbildung des IT-GS auf Cisco Security Strategie und Produkte möglich ist und gegebenenfalls soll hierzu eine Methodik erstellt werden. Da sich die Firma xevit net Works als reiner Cisco-Partner ausweisen kann, sollen ausschließlich Cisco-Technologien Verwendung finden. Die für die Abbildung verwendeten Bestandteile, der IT-GS und die Cisco Security Strategie Self-Defending Networks sollen analysiert werden. Die Studien des BSI zur Sicherheit von WLAN, LAN und VoIP werden dabei als Hintergrundinformationen und für Maßnahmenempfehlungen herangezogen. Diese Ausarbeitung soll jedoch nicht als Versuch verstanden werden, den herstellerunabhängigen IT-GS in ein Cisco-lastiges Korsett zu zwängen, sondern lediglich einen Lösungsweg für eine sicherere IT-Landschaft aufzeigen. 2

17 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte 1.3. Aufbau der Diplomarbeit Diese Ausarbeitung wurde ganz im Sinne der sicheren Informationstechnik geschrieben und besteht aus sieben Abschnitten. Zu Beginn wird erläutert, wie die Diplomarbeit zustande kam und worin die Ziele bestehen. IT-Sicherheit wird als zentraler Gegenstand dieser Arbeit im zweiten Teil beschrieben. Hierbei werden entsprechende Gefährdungen und deren Bedeutung für Unternehmen aufgezeigt. Im Folgenden werden die für diese Arbeit relevanten Publikationen des BSI beschrieben und der IT-GS mit seinen Bestandteilen und Vorgehensweisen analysiert. Daraufhin folgt eine Untersuchung der Cisco Security Strategie Self-Defending Network und deren Kernkomponenten. Als integraler Bestandteil dieser Strategie wird das Network Admission Contol schwerpunktmäßig betrachtet. Der fünfte Teil diskutiert verschiedene Methoden zur Abbildung des IT-GS auf Cisco Security Strategie und Produkte. In diesem Abschnitt wird auch die Lösung der Abbildung erläutert. Im sechsten Abschnitt dieser Arbeit wird das in der Theorie betrachtete Network Admission Control in einem Laboraufbau hinsichtlich Sicherheit untersucht. Anschließend werden Vorschläge zur Verbesserung der Sicherheit gegeben. Der siebte und abschließende Teil bietet eine Übersicht der erreichten Ziele, ein Fazit und ein Ausblick auf mögliche Entwicklungen der behandelten Komponenten. Um die Verfügbarkeit der Referenzen zu erhöhen, werden diese, soweit möglich, auf der beiliegenden CD zusammen mit weiteren Materialien hinterlegt (vgl. Anlage F). Begriffe die mehrmals verwendet werden und im Glossar erläutert sind, werden im Text mit einem hochgestellten G gekennzeichnet. 3

18 Diplomarbeit 2. IT-Sicherheit im Fokus In diesem Kapitel wird der Begriff Sicherheit im Zusammenhang mit der Informationstechnologie erörtert und einige Gefährdungen dieser Sicherheit veranschaulicht. Anschließend wird auf die Bedeutung für Unternehmen, aktuelle Entwicklungen und rechtliche Aspekte eingegangen Was ist IT-Sicherheit? Der Begriff Sicherheit ist im Zusammenhang mit der Informationstechnologie (IT) zentraler Gegenstand dieser Ausarbeitung. In der Literatur ist der Begriff IT-Sicherheit jedoch nicht einheitlich beschrieben. Wenn in dieser Arbeit von Sicherheit oder IT-Sicherheit gesprochen wird, dann in diesem Zusammenhang: Unter Sicherheit von IT-Systemen versteht man eine Eigenschaft eines IT-Systems, bei der Maßnahmen gegen die im jeweiligen Einsatzumfeld als bedeutsam angesehenen Bedrohungen in dem Maße wirksam sind, dass die verbleibenden Risiken tragbar sind. [SIDI93] Da es keine einhundert prozentige Sicherheit gibt, muss jedes Unternehmen für sich selbst abschätzen, mit welchem Restrisiko es leben kann. Das ist natürlich stark vom jeweiligen Umfeld des Unternehmens abhängig. So wird sich eine Bank vermutlich stärker absichern als ein Handwerksunternehmen, da die vermuteten Schäden deutlich größer sind. Ebenso muss sich das Unternehmen die Frage stellen, vor wem es seine Informationen schützen möchte und was sie dem Angreifer oder Unternehmen Wert sind. Abbildung 1 zeigt hierzu einen Ansatz, um den optimalen Punkt als Verhältnis zwischen den Kosten zur Durchführung der Maßnahmen und der durch vermutete Schäden verursachten Kosten abzuschätzen. 4

19 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte Abbildung 1: Optimales Kosten/Nutzen-Verhältnis [SFDI01] Die Gesamtkosten ergeben sich aus der Summe der Kosten zur Durchführung von Maßnahmen und der durch Schäden verursachten Kosten. Hierbei sollten die Gesamtkosten den Wert der zu schützenden Güter logischerweise nicht überschreiten. Einige Ansätze zur Risikoanalyse richten sich dabei nach einer mathematischen Definition des Risikobegriffs. Risiko = Schadenshöhe (S) * Eintrittswahrscheinlichkeit(E) Dadurch steigt das Risiko mit der Schadenshöhe der zu schützenden Ressource und muss demnach bei der Planung der Sicherheit mit einbezogen werden. In der IT-Sicherheit unterscheidet man zwischen primären und sekundären IT-Sicherheitszielen [VOIPSEC05]. Unter primären Sicherheitszielen versteht man die drei Grundwerte der IT-Sicherheit: Vertraulichkeit (engl. confidentiality) : Schutz vor unbefugter Preisgabe von Informationen Integrität (engl. integrity) : Schutz vor unbefugter Veränderung von Informationen Verfügbarkeit (engl. availability) : Schutz vor unbefugter Vorenthaltung von Informationen oder Betriebsmitteln [ITSEC91] 5

20 Diplomarbeit Die allgemein gehaltenen primären Sicherheitsziele bilden die Basis für die spezifischere Definition sekundärer Sicherheitsziele. Somit kann beispielsweise Authentizität G durch die Verfügbarkeit und Integrität von Identitäten (Subjekten) und der von ihnen ausgeführten Aktionen [VOIPSEC05] definiert werden. Laut BSI kann es auch zu Wechselwirkungen zwischen Sicherheitszielen auf unterschiedlichen Ebenen mehrschichtiger Systeme [VOIPSEC05] kommen. IT-Sicherheit ist dabei kein statischer Zustand oder ein Produkt, das einmal gekauft oder installiert, einen immanenten Schutz für ein Unternehmen bietet. Es bedarf viel mehr des ausgewogenen Zusammenspiels der in Abbildung 2 beteiligten Akteure. Aktuell verschiebt sich der Anteil der IT-Sicherheit jedoch zunehmend Richtung Strategie und Technik, da Unternehmen eher bereit sind, Kosten für diese Bereiche zu akzeptieren als für das Personal. Abbildung 2: Akteure der IT-Sicherheit Nur wenn effektive Techniken in die Strategie einfließen und diese Strategie von den Menschen umgesetz wird, ergibt sich als Schnittmenge die Sicherheit. Natürlich konkurriert die Sicherheit dabei immer mit weiteren Faktoren wie Benutzerfreundlichkeit und Wirtschaftlichkeit. Zur Steuerung und kontinuierlichen Verbesserung der Sicherheit wird ein IT-Sicherheitsmanagement benötigt. Der in Kapitel 3.2 beschriebene IT-GS zeigt einen Weg auf, ein solches IT-Sicherheitsmanagement zu implementieren. 6

21 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte 2.2. Gefährdungen der Sicherheit Während die Angriffe in der Vergangenheit primär darauf abzielten, Schaden beispielsweise durch das Löschen von Daten anzurichten, ist es heute die Profitgier. Dabei wird immer häufiger versucht, unbemerkt an Daten zu gelangen, die sich gut verkaufen lassen. So ist ein ganzer Wirtschaftszweig mit Schwarzmarkinformationen entstanden. Auf so genannten Underground Economy Server verkaufen Kriminelle oder ganze Organisationen beispielsweise Zero Day Exploits G oder gestohlene Informationen, die anschließend häufig für Identitätsdiebstahl missbraucht werden. Neben Bank- und Kreditkarten werden ganze Identitäten verkauft. Diese beinhalten Informationen, wie zum Beispiel von der Regierung verwendete, eindeutige Identifikationsnummern (z.b. Sozialversicherungsnummer), Bankdaten mit entsprechenden Passwörtern und persönliche Informationen (wie Geburtstag und Mädchenname der Mutter etc.). Während gestohlene Kreditkarteninformationen aus den USA für US-Dollar angeboten werden, muss man bei Identitäten mit Preisen von bis US-Dollar rechnen [SISTR07]. Problematisch ist in diesem Zusammenhang der Trend, ständig neue Datenerhebungen zu schaffen. 1 Mit Hilfe steigender Qualität und Quantität von Informationen hofft man heutzutage, Risiken wie Terrorismus etc. zu minimieren. Hier ist somit eine Gegenläufigkeit von Freiheit und Sicherheit festzustellen. Ein Erfolg dieser präventiven Informationsbeschaffung konnte bisher unter anderem aus technischen Gründen nicht festgestellt werden [BSDM06]. Besonders die aktuellen Bestrebungen, umfassende biometrische Merkmale in zentralen Datenbanken zu sammeln, sollten in diesem Zusammenhang kritisch bedacht werden, da sich biometrische Merkmale wie z.b. ein Fingerabdruck nicht wie eine Adresse oder Namen ändern lassen. Dadurch könnte es zu Identitätsdiebstahl in einem ungeahnten Ausmaß kommen. 1 Das Sammeln von Daten hat Tradition. So wurden im Kalten Krieg sogar Informationen über den Gesundheitszustand und über medizinische Diagnosen wichtiger feindlicher Verantwortungsträger gesammelt, um diese besser einschätzen zu können [CIARMD79]. 7

22 Diplomarbeit Eine weitere technologische Bedrohung, mit der man mit genügend krimineller Energie Geld verdienen kann, liegt in den Bot-nets. Dies sind Zusammenschlüsse von bis zu einhunderttausend kompromittierten Rechnern (Symantec, Stand Dezember 2006), die sich von zentralen Servern z.b. über Internet Relay Chat (IRC) G -Channels zentral fernsteuern lassen. 2 Die Verbreitung der Bots bzw. das Infizieren der Clients geschieht willkürlich, beispielsweise durch das Ansurfen eines verwundbaren Clients auf einem manipulierten Webserver (vlg. [TWEBAT07], [HWEBAT07]). Aktionen der Bot-nets sind dagegen sehr zielgerichtet, indem z.b. alle Angehörigen eines Botnets, gleichzeitig ein Opfer (z.b. den Webserver eines Unternehmens) mit einer Flut von Anfragen in die Knie zwingen. Diese Verfügbarkeitsattacke wird Distributed Denial of Service (DDoS) G genannt. Bot-nets werden von ihren Besitzern in verstärktem Maße für kriminelle Aktivitäten wie DDoS-basierte Erpressungsversuche und das Versenden von Unmengen von SPAM oder Schadcode eingesetzt bzw. vermietet [SISTR07]. Weiterführende Informationen zu Botnets sind unter [BHBOT07] zu finden. Neben diesen relativ neuen Bedrohungen, existieren nach wie vor herkömmliche Bedrohungen wie in Abbildung 3 dargestellt. Eine Erhebung des BSI gibt im Lagebericht zur IT-Sicherheit in Deutschland 2007 Aufschluss darüber, wie sich die Gefährdungen entwickeln könnten. Demnach nimmt vor allem die Gefahr durch Zero-Day-Exploits G, Trojanische Pferde G und Adbzw. Spyware G zu. Althergebrachte Bedrohungen wie Viren und Dialer verlieren im Vergleich dazu an Brisanz. 2 Laut Vinton Cerf gehören ein viertel der Rechner mit Internetzugang einem Bot-net an [HBN07]. 8

23 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte Abbildung 3: Entwicklung von IT-Bedrohungen [BSILB07] In den Jahren 2006 bis 2007 kam es zu einem enormen Anstieg der Web-basierten Bedrohungen [AKS07], [BSILB07]. Wenn man bedenkt, dass Unternehmen aus Imagegründen oder aus Angst vor Vertrauensverlust, Sicherheitsvorfälle oftmals nicht veröffentlichen, dürfte die Dunkelziffer noch deutlich höher liegen. Somit wird sogar eher ein ins positive verfälschtes Bild gezeigt. Diese Bedrohungen bilden die Grundlage für ganze Wirtschaftszweige. Sowohl kriminelle Organisationen als auch die Sicherheitsindustrie verdienen blendend mit ihren Produkten. Neben genannten Gefährdungen zeichnet sich auch die Wirtschaftsspionage (vgl. Kapitel 2.3) als wachsende Herausforderung für Unternehmen ab. 9

24 Diplomarbeit 2.3. Bedeutung für Unternehmen Informationen und darin gebundenes Wissen sind ein wertvolles Gut. Unternehmen sind auf verlässliche Informationen, egal ob für Kalkulationen, Strategiebestimmung oder alltägliche Handlungen, angewiesen. So kann eine Information, wie beispielsweise das Gebot eines Mitbewerbers, unter Umständen über Gewinn oder Verlust von Milliardenaufträgen entscheiden (vgl. dazu den EU-Bericht zu Echolon und bestätigte Fälle von Wirtschaftsspionage [EUCHOLON S.111]). Wissen ist Macht [Francis Bacon] Um an erforderliches Wissen zu gelangen, können Unternehmen oder kriminelle Einzelpersonen beauftragt werden, die geforderten Informationen in Grauzonen oder jenseits legaler Grenzen zu beschaffen. Das wichtigste Thema der kommenden Jahre ist nach wie vor die Sicherheit. In diesem Jahr richtet sich der Blick nach innen, die größten Sorgen bereitet IT-Leitern Industriespionage beziehungsweise das mangelnde Sicherheitsbewusstsein der eigenen Mitarbeiter und Führungskräfte. [CAPG07] Zu diesem Fazit kommt eine Studie der Capgemini. Der Trend zur Wirtschafsspionage hat sich in unserer vernetzten Zeit weiter verschärft. Nie war es einfacher als im digitalen Zeitalter, Informationen zu kopieren und nie war es schwerer, deren Ausbreitung zu kontrollieren. Eine besondere Rolle nehmen dabei der Staat bzw. staatliche Behörden und Geheimdienste ein. So gibt es zwei Interessensbereiche staatlicher Behörden im Wirtschafssektor: Zum einen die mikroökonomische Wirtschaftsspionage, um den eigenen privatwirtschaftlichen Akteuren Vorteile zu verschaffen und zum anderen die Makroökonomische Wirtschaftsaufklärung als Bestandteil der sicherheitspolitischen Bedrohungs- und/oder Risikoanalyse eines Staates [SBGR06]. 3 3 So wird beispielsweise von der CIA jährlich das Factbook mit statistischen Daten über die Länder der Welt veröffentlicht [CIAFB07]. 10

25 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte Während staatliche Behörden zu Zeiten des kalten Krieges primär zur militärischen Überwachung der Gegenseite benutzt wurden, erkennt man heute immer mehr deren Vorteile/Bedeutung im Wirtschaftssektor. Charles de Gaulle sagte einmal: Staaten haben keine Freunde, sondern nur Interessen. Wenn man diverse Diskussionen und Nachrichten im Internet verfolgt, kann man den Eindruck bekommen, dass in diesem Zitat mehr Wahrheit steckt, als einem lieb sein kann. Gerade Staaten wie die Volksrepublik China (vgl. potentielle Gefahr durch Auslandschinesen [KCMNDP99]), die Russische Föderation und weitere Staaten der GUS, sowie proliferationsrelevante Länder wie die Islamische Republik Iran oder die Volksrepublik Nordkorea sind in diesem Zusammenhang zu nennen. Aber auch westliche Wirtschaftsmächte nutzen ihre (bereits vorhandenen) Überwachungseinrichtungen. Das größte dieser Art dürfte das weltweite Echolon darstellen (vgl. [EUCHOLON]). Auch wenn offiziell eine staatliche Informationsweitergabe an Unternehmen bestritten wird, ist es unverkennbar, dass Unternehmen und Geheimdienst seit Anfang der neunziger Jahre immer näher zueinander fanden [WSPIO06]. Ein Streitpunkt, bei dem es (auch) um Wirtschaftsspionage bzw. Datenschutz geht, ist die Society for Worldwide Interbank Financial Telecommunications (SWIFT) mit Hauptsitz in Belgien. Über SWIFT werden Transaktionen zwischen knapp 8000 internationalen Finanzinstituten mit einem täglichen Volumen von 4,6 Billionen Euro (November 2005) abgewickelt. Im Rahmen der Terrorismusbekämpfung haben US-Behörden nach dem 11.September 2001 Zugriff auf Finanzdaten des SWIFT Rechenzentrums in den USA und somit Einsicht in Kontobewegungen von Unternehmen sowie Privatpersonen. Die Herausgabe von Finanzdaten europäischer Bürger [..] an US-Behörden verstößt gegen deutsches und europäisches Datenschutzrecht. [DSWIFT06] Inwieweit solche abgefragten Kontobewegungen der Suche nach Terroristen oder zum Vorteil der eigenen Unternehmen verwendet werden, ist jedoch nicht nachvollziehbar. 11

26 Diplomarbeit Aktuell will SWIFT nun den US-Zugriff einschränken, indem innereuropäische Zahlungsdaten nur in Europäischen Rechenzentren gespeichert werden sollen (vgl. [TSSWIFT], [HSWIFT07]). Ob sich nur die Zugriffszeiten der US-Behörden erhöhen oder tatsächlich Zugriffsbeschränkungen getroffen werden, wird sich, falls es tatsächlich zu einer Umstellung kommt, in einigen Jahren zeigen Quo vadis - der Weg zur Endpunktsicherheit Um die Notwendigkeit für Endpunktsicherheit zu verstehen, sollte man sich zuerst mit der allgemeinen Problematik auseinandersetzen, die eine herkömmliche perimeterbasierte Sicherheitslösung birgt. Der perimeterbasierte Ansatz besteht darin, die Sicherheit durch Firewalls an die Netzwerkgrenzen zu schieben (vgl. in Abbildung 4). Prinzipiell ist eine Perimeter Firewall mit einer mittelalterlichen Stadtmauer zu vergleichen. Um die zu schützende IT-Infrastruktur wird eine (virtuelle) Mauer gezogen und nur durch fest definierten Punkte (sozusagen den Toren) können Daten in das geschützte Netz hinein oder heraus gelangen. Der Zugang wird streng reglementiert und die Daten gegen Regelwerke überprüft. Abbildung 4 zeigt ein typisches Szenario wie heutige Netzwerke häufig entworfen werden: Abbildung 4: Perimetersicherheit 12

27 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte Damit dieses Konzept funktioniert müssten allerdings mehrere Voraussetzungen erfüllt sein: Das interne Netzwerk ist vollkommen vertrauenswürdig. Die Hosts und Server sind vertrauenswürdig. Es gibt keine Innentäter und alle Gefahren kommen von Außen. Die Firewall erkennt alle Gefahren und kann diese blocken. Die Firewall stellt eine klare Trennung zwischen Innen und Außen dar. Alle diese Voraussetzungen zu einhundert Prozent zu erfüllen, kann als schwer realisierbar angesehen werden und ist wohl eher eine Idealvorstellung des Marketings. Durch die steigende Anzahl mobiler Geräte wie Laptops, PDAs/ MDAs, USB Sticks, Javafähige Handys, die nur temporär im Netzwerk eingegliedert sind, ist es sehr schwer eine vertrauenswürdige Umgebung zu schaffen. Zum einen sind die Zuständigkeiten bei der Administration oft ungeklärt (welches Gerät wird von welcher Abteilung betreut, Updateverteilung etc.). Zum anderen müssen die Geräte durch aktuelle Updates und Signaturen auf dem neusten Stand gehalten werden. So gibt es viele Gründe die dafür sprechen, dass auch Endpunkte bzw. Endgeräte mit älterer Software und älteren Virenupdates ins Netzwerk gelangen: Der Benutzer wartet mit der Installation neuer Updates aus Zeitmangel. Ein Berater, Mitarbeiter des Partnerunternehmens oder Gast benötigt Netzwerkzugang. Man hat somit keine Kontrolle über das Endgerät. Die Endgeräte sind nicht verwaltet. Mangelnde Kapazitäten bei der Softwareverwaltung. Des Weiteren missachten Mitarbeiter bei den Heimarbeitsplätzen oftmals Sicherheitsregeln und nutzen den Rechner privat [INSIG06]. In einer Studie der Aberdeen Group zum Thema "Endpoint Security Strategies" wurde festgestellt, dass bei 75 Prozent der befragten Unternehmen, internen wie externen Benutzern der Zugang ins Firmennetz von nicht gemanagten PCs gestattet wurde [ABAD06]. 13

28 Diplomarbeit Viren G, Würmer G und Trojanische Pferde G sind weitere Bedrohungen, denen die Endgeräte ausgesetzt werden. Selbst wenn Vorkehrungen dagegen getroffen werden, sind die Systeme immer noch durch Zero Day Exploits G verwundbar. Zusätzlich verschwimmen die Grenzen des Netzwerkes zunehmend durch (teilweise ungewollte) Erweiterungen wie VPN, WLAN oder Bluetooth. Externe Mitarbeiter und Partner- bzw. Wartungszugänge erschweren zusätzlich eine klare Abgrenzung. Die aktuellen Bedrohungen gehen weg von den klassischen Angriffsszenarien hin zu Angriffen auf Webapplikationen und Webservices. Dieser Trend konnte schon seit dem Jahr 2002 beobachtet werden (vgl. Abbildung 5) und hat sich in den letzen Jahren noch weiter verschärft [SISTR07]. Laut Gartner Hype Cyle sind vor allem die Angriffe auf Web-Applikationen in einem fortgeschrittenen Stadium [GHCCT06]. Abbildung 5: Port 80 Problem Dieses Port 80 Problem begründet sich auch durch die immer populärer werdenden Serviceorientierten Architekturen (SOA) und der Web-Applikationen. Die Gefährdung wird tendenziell weiter zunehmen. Noch in diesem Jahr sollen, den Analysten von Gartner zufolge, die Hälfte aller geschäftskritischen Anwendungen mit SOA realisiert werden und bis zum Jahr 2010 könnten es bis zu 80 Prozent sein [GART07], [CAPG07]. 14

29 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte Dabei ist es unerheblich, ob ein mehrstufiges Firewall-Konzept verwendet wird, da die (kompromittierten) Daten letztlich für die Bearbeitung zur Datenbank oder Webapplikation etc. weitergeleitet werden müssen. Somit ist der Angreifer in der Lage, teilweise sogar mit nur einem Paket, Angriffe auf die Systeme durchzuführen. Viele Daten, die bisher über mehrere Netzwerkprotokolle übertragen wurden und somit einfach durch Firewalls überprüft werden konnten, werden heutzutage über einzelne Transportprotokolle wie HTTP übermittelt. Dadurch müssen vielen Daten, die bisher direkt über den Header geprüft wurden, nun mühsam aus dem Payload gepackt und analysiert werden. Die Probleme der dadurch resultierenden erhöhten Prozessorlast, könnten dann durch klassische Angriffe ausgenutzt werden [CISCOCN05]. Bedingt durch ein steigendes Sicherheitsbedürfnis werden immer mehr Verbindungen durch Secure Socket Layer (SSL) oder Transport Layer Security (TLS) bzw. HTTPS verschlüsselt. Als Nebeneffekt dieses Trends, wird es für die IT-Abteilungen jedoch stetig schwerer, die Zugangsberechtigungen zu kontrollieren, da sie nicht in die verschlüsselten Ströme schauen und die Nutzdaten analysieren können. Das bedeutet, man muss entweder mit der Sicherheitslücke leben oder die Tunnel an der Firewall bzw. am Gateway terminieren. Weitere Lösungsansätze für dieses Problem werden in der BSI-Maßnahme M 2.75 Geeignete Auswahl eines Application-Level-Gateways und in den Best Practices für die Sicherheit von Webanwendungen genannt (vgl. [BSISEC06]). Anhand dieser Gründe konnte gezeigt werden, dass die Vorraussetzungen für eine funktionierende Perimeter-Sicherheit in den meisten Fällen nicht gegeben sind. Durch die Vielzahl der gezeigten Gefährdungen, stellen Perimeter Firewalls alleine keine ausreichende Sicherheit dar. Diese Bedrohungen zeigen einen Paradigmenwechsel [KUHN62] von herkömmlicher perimeterbasierter IT-Sicherheit hin zu Endpunktsicherheit, bei der die Endgeräte deutlich mehr in die Sicherheitsmechanismen mit einbezogen werden. Ciscos Self-Defending Network bietet hierbei eine adäquate Möglichkeit, um diesem Problem zu begegnen. Dass die Absicherung der IT keineswegs nur auf freiwilliger Basis durchgeführt wird, sondern auch durch Gesetze vorgeschrieben ist, wird im folgenden Kapitel 2.5 beschrieben. 15

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutz Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutzhandbuch Agenda Ziel der IT-Sicherheit Das IT-Grundschutzhandbuch Umsetzung des IT-Grundschutzhandbuchs Ausbaustufen

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz IT-Grundschutz-Tag 09.10.2013

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2014 20.03.2014

Mehr

Praktizierter Grundschutz in einem mittelständigen Unternehmen

Praktizierter Grundschutz in einem mittelständigen Unternehmen Praktizierter Grundschutz in einem mittelständigen Unternehmen Adolf Brast, Leiter Informationsverarbeitung Bochum-Gelsenkirchener Straßenbahnen AG auf dem 4. Stuttgarter IT-Sicherheitstag, 16.02.06 Überblick

Mehr

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

Informationssicherheit (k)eine Frage für Ihr Unternehmen? Ziele Informationssicherheit (k)eine Frage für Ihr Unternehmen? SSV bei connect Schnelligkeit, Sicherheit, Verfügbarkeit Vortrag von Ingrid Dubois, dubois it-consulting gmbh Informationssicherheit: Ziele

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz IT-Grundschutz modellieren modellieren Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz / Überblick IT- Grundschutzhandbuch (GSHB) betrachtet im Allgemeinen folgende Merkmale: Infrastruktur

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

IT Security ist Chefsache

IT Security ist Chefsache IT Security ist Chefsache Rechtliche Aspekte im Umfeld von IT Security RA Wilfried Reiners, MBA Agenda Einführung in das Thema Anspruchsgrundlagen Haftungsrisiken Fallbeispiele für Viren, Würmer, Lücken

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE Alternative Ansätze im Sicherheitsmanagement Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 1. IT-Grundschutz-Tag 2013 27.02.2013 Inhalte

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

IT-Grundschutz praktisch im Projekt Nationales Waffenregister

IT-Grundschutz praktisch im Projekt Nationales Waffenregister IT-Grundschutz praktisch im Projekt Nationales Waffenregister Günther Ennen Bundesamt für Sicherheit in der Informationstechnik 19. Berliner Anwenderforum E-Government am 19. und 20. Februar 2013 Fachforum

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH TÜV Informationstechnik GmbH Langemarckstraße 20 45141 Essen, Germany Phone: +49-201-8999-401 Fax: +49-201-8999-888 Email: A.sommer@tuvit.de Web: www.tuvit.de Sicherheit als strategische Herausforderung

Mehr

Die Umsetzung von IT-Sicherheit in KMU

Die Umsetzung von IT-Sicherheit in KMU Informatik Patrick Düngel / A. Berenberg / R. Nowak / J. Paetzoldt Die Umsetzung von IT-Sicherheit in KMU Gemäß dem IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik Wissenschaftliche

Mehr

Ergänzung zum BSI-Standard 100-3, Version 2.5

Ergänzung zum BSI-Standard 100-3, Version 2.5 Ergänzung zum BSI-Standard 100-3, Version 2.5 Verwendung der elementaren Gefährdungen aus den IT-Grundschutz-Katalogen zur Durchführung von Risikoanalysen Stand: 03. August 2011 Bundesamt für Sicherheit

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2013 09.10.2013 Agenda

Mehr

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen Marc Schober Bundesamt für Sicherheit in der Informationstechnik Referat 112 Kritische Infrastrukturen und IT-Sicherheitsrevision Bundesamt

Mehr

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT STEINBUCH CENTRE FOR COMPUTING - SCC KIT University of the State of Baden-Wuerttemberg and National Research

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

Trusted Network Connect. Networking Academy Day 19.04.2008

Trusted Network Connect. Networking Academy Day 19.04.2008 Trusted Network Connect Networking Academy Day 19.04.2008 Dipl.-Inf. Stephan Gitz Roadmap Ziele der Informationssicherheit Herausforderungen der Informationssicherheit Angriffsvektoren

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

Cyber-Sicherheits-Exposition

Cyber-Sicherheits-Exposition BSI-Veröffentlichungen zur Cyber-Sicherheit EMPFEHLUNG: MANAGEMENT Cyber-Sicherheits-Exposition Voraussetzung für eine wirksame Absicherung von Netzen und IT-Systemen in Unternehmen, Behörden und anderen

Mehr

Trusted Network Connect

Trusted Network Connect Trusted Network Connect Workshoptag 22.11.2007 Steffen Bartsch Stephan Gitz Roadmap Ziele der Informationssicherheit Herausforderungen der Informationssicherheit

Mehr

Amtliches Mitteilungsblatt

Amtliches Mitteilungsblatt Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................

Mehr

Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse

Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse Verfasser: BSI Ref. 113 Version: 1.0 Stand: 26. Januar 2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie Seite 1 von 13 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: De-Mail Sicherheit Modulübergreifend Anwendungsbereich: Kürzel: BSI De-Mail TR 01201

Mehr

Dieter Börner Management-Service. Quelle : Bundesamt für Sicherheit in der Informationstechnik

Dieter Börner Management-Service. Quelle : Bundesamt für Sicherheit in der Informationstechnik Dieter Börner Management-Service Am Bahnhof 12 96328 Küps Tel. 09264 91323 Fax 09264 91324 Das Informationssicherheits- Managementsystem nach ISO/IEC 27001 Informationstechnik - IT-Sicherheitsverfahren

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet Moderne EDV im kleinen und mittelständischen Unternehmen EDV Sicherheit im Zeitalter des Internet Vortrag von Alexander Kluge-Wolf Themen AKWnetz, IT Consulting & Services Mir kann ja nichts passieren

Mehr

IT-Sicherheit betrifft alle

IT-Sicherheit betrifft alle IT-Sicherheit betrifft alle Vorgehensweise nach IT-Grundschutz Angelika Jaschob Bundesamt für Sicherheit in der Informationstechnik Das BSI... ist eine unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

IT-Security Herausforderung für KMU s

IT-Security Herausforderung für KMU s unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/

Mehr

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess, Projektmanager und Sales Consultant, EMPRISE Process Management GmbH Das Gesetz

Mehr

3 Juristische Grundlagen

3 Juristische Grundlagen beauftragter - Grundlagen Ziele: Einführung in das recht Kennen lernen der grundlegenden Aufgaben des beauftragten (DSB) Praxishinweise für die Umsetzung Inhalte: Ziele des es Zusammenarbeit mit Datensicherheit/IT-Sicherheit

Mehr

Online IT Check Frech Michael 15.09.2011

Online IT Check Frech Michael 15.09.2011 Online IT Check Frech Michael 5.9. Hinweise zur Nutzung! Es handelt sich hier um einen Selbsttest, der die Bereiche Basissicherheit, organisatorische Sicherheit und Rechtssicherheit betrachtet. Bei jeder

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013 Werte- und prozessorientierte Risikoanalyse mit OCTAVE Christian Aust.consecco Dr. Christian Paulsen DFN-CERT Was Sie erwartet Vorstellung von OCTAVE:

Mehr

IT-Sicherheitsüberprüfung Der Schutz vor Wirtschaftsspionage

IT-Sicherheitsüberprüfung Der Schutz vor Wirtschaftsspionage IT-Sicherheitsüberprüfung Der Schutz vor Wirtschaftsspionage Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und Datenschutz

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015 ITK Sicherheitsgesetz Umsetzung mit verinice.pro verinice.xp- Grundschutztag 15.09.2015 Überblick Kurze Vorstellung des IT-Sicherheitsgesetzes Konkretisierung des Gesetzes für Energieversorger Abbildung

Mehr

Städtisches Klinikum Braunschweig GmbH. Zertifizierung InterSystems Ensemble nach ISO 27001 auf Basis von IT-Grundschutz

Städtisches Klinikum Braunschweig GmbH. Zertifizierung InterSystems Ensemble nach ISO 27001 auf Basis von IT-Grundschutz Städtisches Klinikum Braunschweig GmbH Zertifizierung InterSystems Ensemble nach ISO 27001 auf Basis von IT-Grundschutz InterSystems Symposium 2015 Ensemble/Healthshare Enduser Meeting Vortsellung des

Mehr

Übergabe DE-CIX Internet Exchange (BSI-IGZ-0059-2010)

Übergabe DE-CIX Internet Exchange (BSI-IGZ-0059-2010) Übergabe DE-CIX Internet Exchange (BSI-IGZ-0059-2010) BSI Überblick Zertifizierung Vorteile Zertifizierung nach ISO 27001 und IT-Grundschutz Prüfstandards des BSI Beispiele neuerer Zertifikate Akkreditierte

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen

Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen Sicherheitsarchitektur Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen Ing. Johannes MARIEL, Stabsabteilung Sicherheit & Qualität Februar 2008 www.brz.gv.at Der IT-Dienstleister des Bundes

Mehr

Sicherheitsnachweise für elektronische Patientenakten

Sicherheitsnachweise für elektronische Patientenakten Copyright 2000-2011, AuthentiDate International AG Sicherheitsnachweise für elektronische Patientenakten Christian Schmitz Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 2 Systemziele

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen, IDEAS Übersicht # 1 Einleitung # 2 IT-Sicherheit wozu denn? # 3 IT-Sicherheit die Grundpfeiler # 4 IT-Sicherheit ein

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

der Informationssicherheit

der Informationssicherheit Alexander Wagner Prozessorientierte Gestaltung der Informationssicherheit im Krankenhaus Konzeptionierung und Implementierung einer prozessorientierten Methode zur Unterstützung der Risikoanalyse Verlag

Mehr

Compliance und IT-Sicherheit

Compliance und IT-Sicherheit Compliance und IT-Sicherheit Isabel Münch Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Agenda Das BSI Compliance-Anforderungen und IT-Sicherheit Risikomanagement

Mehr

BSI-Standard 100-4. der neue deutsche Standard zum Notfallmanagement. Dr. Marie-Luise Moschgath

BSI-Standard 100-4. der neue deutsche Standard zum Notfallmanagement. Dr. Marie-Luise Moschgath BSI-Standard 100-4 der neue deutsche Standard zum Notfallmanagement Dr. Marie-Luise Moschgath Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Das BSI Das

Mehr

IT-Revision als Chance für das IT- Management

IT-Revision als Chance für das IT- Management IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT

Mehr

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS Stefan Taubenberger und Prof. Jan Jürjens, 22. September 211 Ziele der Studie Konfirmative und explorative Studie mit folgenden Fragestellungen Welche Kriterien

Mehr

Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie -Einrichten eines IT-Sicherheitsmanagements

Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie -Einrichten eines IT-Sicherheitsmanagements Cloud Security (Minimal-)vorgaben des BSI Kai Wittenburg, Geschäftsführer & ISO27001-Auditor (BSI) neam IT-Services GmbH Vorgehensweise Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie

Mehr

Wie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner

Mehr

Projekt IT-Sicherheitskonzept.DVDV

Projekt IT-Sicherheitskonzept.DVDV Projekt IT-Sicherheitskonzept.DVDV Dokumentation.Sicherheitsrichtlinie.Server DVDV Dienstleister Bundesverwaltungsamt BIT 3 Barbarastr. 1 50735 Köln 10. Mai 2006 Dokumentinformationen Projekt IT-Sicherheitskonzept.DVDV

Mehr

Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen. Marco Puschmann

Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen. Marco Puschmann Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen Marco Puschmann Agenda Kurzportrait HannIT (AöR) Das Personenstandswesen Daten Gesetzliche Rahmenbedingungen (PStV) technische

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 1. IT-Grundschutz-Tag 2013 27.02.2013 Inhalte

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

Informations-Sicherheit mit ISIS12

Informations-Sicherheit mit ISIS12 GPP Projekte gemeinsam zum Erfolg führen www.it-sicherheit-bayern.de Informations-Sicherheit mit ISIS12 GPP Service GmbH & Co. KG Kolpingring 18 a 82041 Oberhaching Tel.: +49 89 61304-1 Fax: +49 89 61304-294

Mehr

Test GmbH Test 123 20555 Hamburg Hamburg

Test GmbH Test 123 20555 Hamburg Hamburg Test GmbH Test 123 20555 Hamburg Hamburg 29.07.2015 Angaben zum Unternehmen Unternehmensdaten Unternehmen Test GmbH Adresse Test 123 20555 Hamburg Hamburg Internetadresse http://www.was-acuh-immer.de Tätigkeitsangaben

Mehr

Strukturierte Informationssicherheit

Strukturierte Informationssicherheit Strukturierte Informationssicherheit Was muss getan werden ein kurzer Überblick. Donnerstag, 16.Juli 2009 Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

CYBER SECURITY@DEUTSCHE TELEKOM DR. MARKUS SCHMALL

CYBER SECURITY@DEUTSCHE TELEKOM DR. MARKUS SCHMALL CYBER SECURITY@DEUTSCHE TELEKOM DR. MARKUS SCHMALL BEISPIELE WELTWEIT ERFOLGREICHER CYBER-ANGRIFFER JEDES UNTERNEHMEN IST EIN MÖGLICHES OPFER Diverse Rechner von internen Softwareentwicklern wurden infiziert

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 11. Kommunales IuK-Forum

Mehr

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security Zertifikatsprogramm der Österreichischen Computer Gesellschaft OCG IT-Security Syllabus Version 1.0 OCG Österreichische Computer Gesellschaft Wollzeile 1-3 A 1010 Wien Tel: +43 (0)1 512 02 35-50 Fax: +43

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

IS-Revision in der Verwaltung

IS-Revision in der Verwaltung IS-Revision in der Verwaltung Dr. Gerhard Weck INFODAS GmbH, Köln 27. November 2009 Inhalt Nationaler Plan zur Sicherung der Informationsinfrastrukturen (NPSI) Umsetzungsplan KRITIS Umsetzungsplan Bund

Mehr

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand Datenschutz und Synergieeffekte Verimax GmbH Autor:Stefan Staub Stand Blatt 1 Nicht weil es schwer ist, wagen wir es nicht, sondern weil wir es nicht wagen, ist es schwer. Lucius Annaeus Seneca röm. Philosoph,

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.

Mehr

Praxisbericht Zertifizierung Digitale Nachweise in IT-Grundschutz- Zertifizierungsverfahren

Praxisbericht Zertifizierung Digitale Nachweise in IT-Grundschutz- Zertifizierungsverfahren Praxisbericht Zertifizierung Digitale Nachweise in IT-Grundschutz- Zertifizierungsverfahren IT-Grundschutztag 13. Juni 2012, Bremen Dr. Sönke Maseberg "Es gilt auch Handschlagqualität in diesem Bereich,

Mehr

Schulungsunterlagen IT-Grundschutz nach BSI. Robert M. Albrecht Creative Commons by-nc-sa

Schulungsunterlagen IT-Grundschutz nach BSI. Robert M. Albrecht Creative Commons by-nc-sa Schulungsunterlagen IT-Grundschutz nach BSI Robert M. Albrecht Creative Commons by-nc-sa The audience is listening. IT-Grundschutz nach BSI Robert M. Albrecht Agenda Was ist das BSI? Warum IT-Grundschutz?

Mehr

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz. Version 1.

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz. Version 1. Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Version 1.0 Bundesamt für Sicherheit in der Informationstechnik Postfach

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement und der IT-Sicherheit Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement 7.1 Risikoportfolio Vertraulichkeit Aufgabe: Gegeben seien folgende Werte einer Sicherheitsanalyse eines IT-Systems hinsichtlich

Mehr

Risikomanagement für IT-Projekte: Vergleich von Risiken und Methoden

Risikomanagement für IT-Projekte: Vergleich von Risiken und Methoden Sperrvermerk Risikomanagement für IT-Projekte: Vergleich von Risiken und Methoden Bachelorarbeit Zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2013 13.06.2013 Agenda

Mehr

IT-Sicherheitsmanagement bei der Landeshauptstadt München

IT-Sicherheitsmanagement bei der Landeshauptstadt München IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung

Mehr