HOCHSCHULE LANDSHUT FAKULTÄT INFORMATIK. Weiterentwicklung des IT Grundschutzes. IT Grundschutz Profil für Open Source Software (GSProOSS)

Größe: px
Ab Seite anzeigen:

Download "HOCHSCHULE LANDSHUT FAKULTÄT INFORMATIK. Weiterentwicklung des IT Grundschutzes. IT Grundschutz Profil für Open Source Software (GSProOSS)"

Transkript

1 HOCHSCHULE LANDSHUT FAKULTÄT INFORMATIK Weiterentwicklung des IT Grundschutzes IT Grundschutz Profil für Open Source Software (GSProOSS) Masterarbeit vorgelegt von Nikolaus Lefin Betreuer: Prof. Dr. rer. nat. Peter Scholz Landshut, den 15. November 2010

2

3 Inhaltsverzeichnis 1 Einleitung Zielsetzung des Profils Open Source Software Informationssicherheit und Schutzbedarf Aufbau des Profils Rahmenbedingungen BSI Standards zur Informationssicherheit (aus [GSProPro]) BSI Standard 100 1: Managementsysteme für Informationssicherheit (ISMS) BSI Standard 100 2: IT Grundschutz Vorgehensweise BSI Standard 100 3: Risikoanalyse auf der Basis von IT Grundschutz BSI Standard 100 4: Notfallmanagement Die IT Grundschutz Kataloge (aus [GSProPro]) Der Informationssicherheitsprozess und die Verantwortlichkeiten Der Informationssicherheitsprozess Verantwortung der Leitungsebene Der IT Sicherheitsbeauftragte (aus [BSI 100 2]) Rechtliche und andere Anforderungen Definition und Abgrenzung des Informationsverbunds Geschäftsgegenstand Standorte und Organisationsaufbau Der betrachtete Informationsverbund IT Systeme und Netze Software und Anwendungen Räume Leitlinie zur Informationssicherheit Erarbeitung der Leitlinie zur Informationssicherheit Das Beispielunternehmen RECPLAST GmbH Leitlinie zur Informationssicherheit der RECPLAST GmbH Stellenwert der IT und Bedeutung der IT Sicherheitsleitlinie Ziele der Informationssicherheit und Kernelemente der Sicherheitsstrategie Organisationsstruktur für Informationssicherheit

4 4.3.4 Geltungsbereich und Maßnahmen bei Verstößen Sicherheitskonzept nach IT Grundschutz Geltungsbereich eines Sicherheitskonzepts Verfahrensschritte Sicherheitskonzept und Notfallvorsorge Konzept Hilfsmittel Strukturanalyse Vorgehen nach IT Grundschutz Anwendungen und zugehörige Informationen Zusammenfassen und Gruppenbildung der IT Systeme Netzplan Anwendungen, IT Systeme und Räume Besonderheiten und Probleme bei der Strukturanalyse Schutzbedarfsfeststellung Vorgehen nach IT Grundschutz Schutzbedarfskategorien Anwendungen, IT Systeme, Räume und Kommunikationsverbindungen Ergebnisse der Schutzbedarfsfeststellung Besonderheiten und Probleme bei der Schutzbedarfsfeststellung Auswahl und Anpassung von Maßnahmen Vorgehen nach IT Grundschutz Modellierung des Informationsverbunds anhand der IT Grundschutz Kataloge Ergänzung der Maßnahmenkataloge Besonderheiten und Probleme bei Auswahl und Anpassung von Maßnahmen Basis Sicherheitscheck Vorgehen nach IT Grundschutz Organisatorische Vorarbeiten Soll Ist Vergleich Ergebnisse Besonderheiten und Probleme beim Basis Sicherheitscheck Bausteine der Schicht 1: Übergreifende Aspekte Bausteine der Schicht 2: Infrastruktur Bausteine der Schicht 3: IT Systeme Bausteine der Schicht 4: Netze Bausteine der Schicht 5: Anwendungen

5 10 Ergänzende Sicherheitsanalyse und Risikoanalyse Vorgehen nach IT Grundschutz Ergänzenden Sicherheitsanalyse Risikoanalyse auf der Basis von IT Grundschutz Besonderheiten und Probleme bei ergänzender Sicherheitsanalyse und Risikoanalyse Schritt 1: Erstellung der Gefährdungsübersicht Schritt 2: Ermittlung zusätzlicher Gefährdungen Schritt 3: Gefährdungsbewertung Schritt 4: Behandlung der Risiken Konsolidierung des Sicherheitskonzepts Umsetzung des Sicherheitskonzepts Besonderheiten und Probleme Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicher heit Überprüfung des Informationssicherheitsprozesses Informationsfluss im Informationssicherheitsprozess Zertifizierung nach ISO auf Basis von IT Grundschutz Zusammenfassung Fazit Ausblick Anhang Anhang: Abbildungsverzeichnis Anhang: Tabellenverzeichnis Anhang: Literaturverzeichnis

6 6

7 1 Einleitung 1 Einleitung Das Ziel der Masterarbeit ist, ein IT-Grundschutz-Profil zu Open-Source-Software zu erstellen, das beschreibt, wie sich die IT-Grundschutz-Vorgehensweise in einem Unternehmen oder einer Behörde für den Einsatz von Open-Source-Software anwenden lässt. Die Struktur der Arbeit soll mit den bislang vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelten Profilen zur Anwendung des IT-Grundschutzes für kleine, mittlere und große Organisationen und insbesondere für das produzierende Gewerbe vergleichbar sein. Anhand eines Praxisbeispiels soll Anwendern aufgezeigt werden, wie mit dem IT-Grundschutz-Ansatz Linux und Open-Source-Software in Behörden und Unternehmen sicher betrieben werden können. Der Kern der Arbeit ist, die typische IT-Grundschutz-Vorgehensweise darzustellen, um für den Einsatz von Open-Source-Software standardisierbare Sicherheitsempfehlungen auszuwählen. Als Musterfirma für das IT-Grundschutz-Profil Open-Source wird das im IT-Grundschutz-Profil Produktion und im Webkurs IT-Grundschutz abgebildete Beispielunternehmen RECPLAST dienen. Das Profil ist entsprechend der bereits vorhandenen Profile zu gliedern und muss die einzelnen Schritte der IT-Grundschutz-Vorgehensweise enthalten, die folgende Themenbereiche umfassen: Etablierung organisatorischer Strukturen und Entwicklung einer IT-Sicherheitsleitlinie, Entwicklung eines IT-Sicherheitskonzepts, Realisierungsplanung sowie Umsetzung und Aufrechterhaltung der IT-Sicherheit. In der Arbeit soll deutlich werden, inwieweit Open-Source-Software besondere Sicherheitsmaßnahmen erfordert, aber auch, worin ihre Vorteile liegen. Das Augenmerk wird dabei auf Sicherheitsempfehlungen für die Planung und Konzeption, Beschaffung, Umsetzung, den Betrieb und die Notfallvorsorge von Open-Source-Software gelegt und nicht auf die Beschreibung von einzelnen Funktionen oder technischen Aspekten, soweit diese für die Sicherheit nicht relevant sind. Als typische Gefährdungen sind die aus den IT-Grundschutz-Katalogen zu betrachten. Diese umfassen sowohl höhere Gewalt, menschliche Fehlhandlungen, technisches Versagen, organisatorische Mängel als auch vorsätzliche Handlungen. 1.1 Zielsetzung des Profils Geschäftsprozesse in Unternehmen und Behörden werden heutzutage zunehmend durch Informationstechnik (IT) unterstützt. Das gesamte Tagesgeschäft ist abhängig von Informationsund Telekommunikationsanlagen, insbesondere von Computern und Softwareprogrammen. Auf den meisten Arbeitsplatzrechnern sind standardmäßig proprietäre Betriebssysteme und Büroanwendungen installiert. Im privaten wie auch im öffentlichen Sektor dominiert das Be 7

8 1 Einleitung triebssystem Microsoft Windows. Nach den Untersuchungen des Marktforschungsunternehmens Net Applications im März 2010 verzeichnet das Microsoft-Betriebssystem einen Marktanteil von 92,12 Prozent. Im Bereich der Bürosoftware ist das Unternehmen Microsoft mit seiner Office-Suite ebenfalls führend mit einem Anteil von über 90 Prozent. Mit der Einführung von Microsoft Windows 7 im Oktober 2009 und dem Verkaufsstart von Microsoft Office 2010 wird für viele Institutionen die Umstellung der Softwarelizenzen erforderlich. Verstärkt wird dieser Prozess durch den auslaufenden Support älterer Windows-Versionen (Windows 2000, Windows P mit Service Pack 2 und Windows Vista ohne Service Packs). Microsoft hat das "End to Life"-Datum von Windows P mit Service Pack 3 auf den 8. April 2014 verschoben. Für den Endanwender hat dies jedoch negative Folgen, weil bis dahin nur noch Sicherheitsupdates, kostenpflichtiger Support oder kostenpflichtige Hotfixes erhältlich sind. Aufgrund dieser ohnehin unternehmensweiten anstehenden Lizenzmigrationen ist ein Wechsel zu Open-Source-Software oft eine interessante Option. Es können die erheblichen Kosten der Lizenzgebühren eingespart und bei Softwareaktualisierungen können erneute Lizenzkosten vermieden werden. Support-Dienstleister, die die Applikationen warten und administrieren, können frei gewählt werden, um sich somit in Zukunft nicht durch proprietäre Softwareprodukte von bestimmten Softwareherstellern abhängig zu machen. Dabei muss beachtet werden, dass das notwendige Wissen bei den Dienstleistern vorhanden ist oder in Einzelfällen Mängel durch den Hersteller oder Entwickler selbst beseitigt werden können. Gerade in den Bereichen Betriebssysteme und Büroanwendungen gibt es mittlerweile viele Open-Source-Alternativen, die den proprietären Produkten in nichts mehr nachstehen. Die Umstellung auf Open Source ist keine fiktive Alternative. Das bekannteste Beispiel, ist wohl der Umstieg der Münchner Stadtverwaltung von Windows NT4 und Microsoft Office auf das Betriebssystem Linux und die Bürosoftware OpenOffice. Gründe dafür waren in erster Linie nicht nur das Einsparpotential durch Lizenzgebühren, die für proprietäre Software zu entrichten sind, sondern auch der vielmals durch die Open-Source-Gemeinde propagierte Vorteil, sich nicht in Abhängigkeiten von genau einem Hersteller zu begeben. Diesem Beispiel sind bereits auch andere Kommunen und Unternehmen gefolgt, wenn auch nicht mit einer kompletten Umstellung der Betriebssysteme, so zumindest durch die Verwendung von freien Büroanwendungen und -Clients. Die Möglichkeit des freien Zugangs zum Quelltext ermöglicht einerseits den Einblick in die verwendeten Algorithmen und Verfahren, um sicherzustellen, dass die Anwendung dem geforderten Schutzbedarf entsprechen. Andererseits macht es gerade dieser Umstand auch für Angreifer möglich, entsprechende Sicherheitslücken zu entdecken und diese auszunutzen. Somit ist auch Open-Source-Software den klassischen Sicherheitsproblemen wie Schadsoftware (Viren, Würmer, Trojanische Pferde) oder Hackerangriffen ausgesetzt. Die IT-Grundschutz-Vorgehensweise und die Maßnahmenempfehlungen der IT-GrundschutzKataloge dienen der effizienten und effektiven Absicherung informationstechnisch geschützter Geschäftsprozesse. Das Profil soll verdeutlichen, inwieweit sich die gegen diese Gefähr8

9 1 Einleitung dungen entwickelten Konzepte und Schutzmechanismen des IT-Grundschutz auf Open-Source-Software anwenden lassen oder ob es besondere Sicherheitsmaßnahmen erfordert. Das Augenmerk wird dabei auf Sicherheitsempfehlungen für die Planung und Konzeption, Beschaffung, Umsetzung, den Betrieb und die Notfallvorsorge von Open-Source-Software gelegt und nicht auf die Beschreibung von einzelnen Funktionen oder technischen Aspekten, soweit diese für die Sicherheit nicht relevant sind. Als typische Gefährdungen werden solche aus den IT-Grundschutz-Katalogen betrachtet. Diese umfassen sowohl höhere Gewalt, menschliche Fehlhandlungen, technisches Versagen, organisatorische Mängel als auch vorsätzliche Handlungen. Die Anwendung der IT-Grundschutz-Vorgehensweise auf Open-Source-Software wird in diesem Profil anhand eines prägnanten, durchgehenden Beispiels aufgezeigt. 1.2 Open Source Software Open-Source-Software wird oft mit kostenloser Software gleichgesetzt. Das hat den Ursprung in der ersten Begriffsdefinition von freier Software durch die Free Software Foundation1, die mit frei den Freiheitsaspekt der Software-Entwicklung betonen sollte. Dieser Umstand wurde oft missverstanden und frei von den Anwendern als kostenlos interpretiert, da viele Open-Source-Produkte kostenlos im Internet verfügbar sind. Um diesem Umstand entgegenzuwirken, wurde schließlich der Begriff Open-Source eingeführt, der diese Fehlinterpretation vermeiden soll. In Deutschland kann ein Autor und damit auch ein Programmierer sein Urheberrecht nicht einfach der Öffentlichkeit als Public Domain übertragen, da dies nach deutschem Recht nicht vorgesehen ist. Der Autor besitzt immer die Rechte an seinen Werken, auch wenn er davon nicht Gebrauch macht. Deshalb ist das Thema Open-Source-Software in Deutschland nicht so einfach zu behandeln. Auf die Rechtslage zum Thema Open-Source-Software und zum deutschen Urheberrecht wird an dieser Stelle nicht näher eingegangen. Eine allgemeine Open-Source-Definition, wie sie auch im Sinn der Open Source Initiative 2 zu verstehen ist, betrifft nicht nur den Zugang zum Quellcode, sondern enthält auch die folgenden Anforderungen: 1. Freie Weitergabe: Die Lizenz darf niemanden darin hindern, die Software als eine (Teil-)Komponente einer Software-Distribution, die sich aus Programmen von verschiedenen Quellen zusammensetzt, zu verkaufen oder weiterzugeben. Die Lizenz ist kostenfrei nutzbar. Es werden weder Lizenzgebühren noch sonstige Entgelte für die Nutzung einer Lizenz erhoben. 2. Quellcode: Die Software-Distribution muss auch den Quellcode umfassen und die Verteilung muss die Weitergabe in Form des Quellencodes sowie als kompiliertes Produkt erlauben. Wird der Quellcode nicht mit der Software herausgegeben, müssen die Gründe dafür dokumentiert werden. Für die Herausgabe des Quellcodes dürfen dann nur die dafür anfallenden Kosten (z.b. Kosten für Kopien, Datenträger und Versand)

10 1 Einleitung verlangt werden, vorzugsweise sollte der Quellcode im Internet ohne Gebühr herunterzuladen sein. Den Quellcode vorsätzlich zu ändern, ist nicht erlaubt, der Quellcode muss in einer für den Programmierer nutzbaren Form vorliegen. 3. Abgeleitete Werke: Die Lizenz muss Modifikationen am Quellcode und davon abgeleitete Werke erlauben, sowie deren Distribution unter derselben Lizenz wie die Originalsoftware. 4. Integrität des Autoren-Quellcodes: Die Lizenz muss explizit das Verteilen von Software erlauben, die auf einer modifizierten Version des Originalquellcodes beruhen. Die Lizenz kann verlangen, dass solche Änderungen zu einem neuen Namen oder einer neuen Versionsnummer der Software führen und solche Änderungen dokumentiert werden. 5. Keine Diskriminierung von Personen oder Gruppen: Die Lizenz muss einzelnen Personen oder Gruppen gleiche Rechte gewähren, ihren Beitrag am Quellcode leisten zu dürfen und ihnen nicht die Nutzung der Software verweigern. 6. Keine Nutzungseinschränkung: Die Lizenz darf niemanden durch Vorgaben bestimmter Anwendungsbereiche bei der Nutzung der Software einschränken, z.b. kein Ausschluss kommerzieller Nutzung oder Nutzung bei Genforschung. 7. Lizenzerteilung: Werden Änderungen am Quellcode vorgenommen und wird die Software dann weiterverteilt, darf dadurch die Lizenz nicht berührt werden. Die Lizenz darf ihre Gültigkeit nicht verlieren und muss auch dann für alle zutreffen, die die Software bei der Weiterverteilung erhalten, ohne eine andere Lizenz erwerben zu müssen. 8. Produktneutralität: Die Lizenz darf nicht davon abhängig sein, dass das Produkt Teil einer bestimmten Software-Distribution ist. Falls das Produkt daraus extrahiert wird und Teil einer neuen Distribution wird, sollten für diese Distribution auch die gleichen Lizenzrechte gelten wie für die Originaldistribution. 9. Keine Einschränkung anderer Software: Die Lizenz darf keine Beschränkungen für Software enthalten, die mit der lizenzierten Software verteilt wird, z.b. darf nicht verlangt werden, dass die Software nur zusammen mit Open-Source-Software weitergegeben wird. 10. Technologie-neutrale Lizenz: Keine Klausel in der Lizenz darf sich auf eine bestimmte Technologie oder einen Schnittstellen-Typ zur Weitergabe festlegen, z.b. darf nicht ausschließlich der Download mit vorherigem Akzeptieren der Lizenz der einzige Vertriebsweg sein, sondern auch die Offline-Weitergabe per CD soll möglich sein. Genauso muss es möglich sein, die Lizenz bei der Installation auf Systemen ohne grafischer Benutzeroberfläche zu akzeptieren, wo es nicht möglich ist, einen Popup-Dialog anzuzeigen. 10

11 1 Einleitung 1.3 Informationssicherheit und Schutzbedarf Informationssicherheit hat als Ziel, den Schutz von Informationen jeglicher Art und Herkunft. Dabei können Informationen sowohl auf Papier, in Rechnersystemen oder auch in den Köpfen der Nutzer gespeichert sein. IT-Sicherheit beschäftigt sich an erster Stelle mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung ([BSI 100-1]). Die IT-Grundschutz-Vorgehensweise und die in den IT-Grundschutz-Katalogen empfohlenen Sicherheitsmaßnahmen zielen darauf ab, Geschäftsprozesse so abzusichern, dass sie möglichst störungsfrei bleiben. Eine Störung liegt immer dann vor, wenn die Vertraulichkeit, Verfügbarkeit oder Integrität von Informationen, Daten, Anwendungen und IT-Systemen verletzt werden ([GSProPro]). Diese drei so genannten Grundwerte der Informationssicherheit bedeuten, wie in [GSProPro] erläutert, Folgendes: Vertraulichkeit ist gewährleistet, wenn Informationen nicht unbefugt und ungewollt preisgegeben worden sind. Beispielsweise können innovative Produktionsverfahren und neuartige Produkte einem Unternehmen Wettbewerbsvorteile sichern. Sie sind deshalb, ebenso wie Informationen zu den Kunden und vorbereiteten Angeboten, ein mögliches Ziel von Wirtschaftsspionage. Maßnahmen, mit denen derartigen Angriffen gegen geheime Geschäftsinformationen begegnet wird, zielen also darauf ab, deren Vertraulichkeit zu sichern. Die Verfügbarkeit von Dienstleistungen, Funktionen eines IT-Systems, Anwendungen, Netzen oder auch von Informationen ist vorhanden, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können. Fertigungsbetriebe streben eine möglichst hohe, effiziente Ausnutzung ihrer Kapazitäten an. In der Produktion ist die Verfügbarkeit oftmals das höchste Sicherheitsziel. Ist diese nicht gewährleistet, können beispielsweise je nach Anlage sehr hohe Folgekosten für den Wiederanlauf entstehen. Der Grundwert Integrität bedeutet, dass Informationen unversehrt, also vollständig und nicht unbefugt oder unbemerkt verändert vorliegen und Systeme korrekt funktionieren. Integrität umfasst also Datensicherheit (Schutz vor Verlust) und Fälschungssicherheit (Schutz vor vorsätzlicher Veränderung). Beispielsweise müssen Fertigungsanlagen wie geplant arbeiten, damit die Produkte in der gewünschten Zeit, Quantität und Qualität hergestellt werden können. Dazu müssen die Mechanik der Anlagen und deren Bedienung fehlerfrei sein. Bei Maschinen, die mittels Informationstechnik gesteuert werden, hängt die Funktionssicherheit insbesondere aber auch davon ab, dass die beteiligte Software und die von ihr verwendeten Informationen unverfälscht und korrekt, also integer sind. Fehlerhafte Steuerungssoftware kann nicht nur schwerwiegende wirtschaftliche Nachteile für ein Unternehmen nach sich ziehen, je nach Art der Produktionsanlage ist sie auch ein mehr oder weniger hohes Risiko für die Unversehrtheit der Personen und der Umwelt in der Umgebung der Produktionsstätte. Viele Anwender ziehen in ihre Betrachtungen weitere Grundwerte mit ein. Das kann je nach Anwendungsfall sehr hilfreich sein. Weitere generische Oberbegriffe der Informationssicher 11

12 1 Einleitung heit sind beispielsweise Authentizität, Verbindlichkeit, Zuverlässigkeit und Nichtabstreitbarkeit ([BSI 100-1]). Die Sicherheit von Informationen wird nicht nur durch vorsätzliche Handlungen bedroht (z. B. Computer-Viren, Abhören der Kommunikation, Diebstahl von Rechnern). Die folgenden Beispiele aus [BSI 100-1] verdeutlichen dies: Durch höhere Gewalt (z. B. Feuer, Wasser, Sturm, Erdbeben) werden Datenträger und IT-Systeme in Mitleidenschaft gezogen oder der Zugang zum Rechenzentrum versperrt. Dokumente, IT-Systeme oder Dienste stehen damit nicht mehr wie gewünscht zur Verfügung. Nach einem missglückten Software-Update funktionieren Anwendungen nicht mehr oder Daten wurden unbemerkt verändert. Ein wichtiger Geschäftsprozess verzögert sich, weil die einzigen Mitarbeiter, die mit der Anwendungssoftware vertraut sind, erkrankt sind. Vertrauliche Informationen werden versehentlich von einem Mitarbeiter an Unbefugte weitergegeben, weil Dokumente oder Dateien nicht als vertraulich gekennzeichnet waren. 1.4 Aufbau des Profils Um die Informationssicherheit nach IT-Grundschutz in einer Institution einzuführen, sind bestimmte Rahmenbedingungen zu schaffen, die für ein Sicherheitsmanagementsystem notwendig sind. In Kapitel 2 werden diese Rahmenbedingungen beschrieben, angefangen bei den BSI-Standards und Grundschutzkatalogen, bis hin zur Sicherheitsorganisation mit dem IT-Sicherheitsbeauftragten und der Verantwortung, die von der Leitungsebene übernommen werden muss. Anschließend wird in Kapitel 3 für das Beispielunternehmen der Informationsverbund beschrieben, auf dessen Grundlage die Informationssicherheit im Weiteren betrachtet wird und worauf die in Kapitel 4 erstellte Leitlinie zu Informationssicherheit aufbaut. In Kapitel 5 wird das Sicherheitskonzept nach IT-Grundschutz beschrieben und es legt die Schritte fest, die in den Kapiteln 6 bis 12 abgehandelt werden. Die Verfahrensschritte bestehen aus der Strukturanalyse in Kapitel 6, in der ermittelt wird, welche Anwendungen, IT-Systeme, Kommunikationsnetze und infrastrukturelle Gegebenheiten zu dem betrachteten Informationsverbund gehören. Kapitel 7 beschreibt die Schutzbedarfsfeststellung, das heißt, welche Sicherheitsanforderungen die zuvor identifizierten Zielobjekte haben. Bei der Auswahl und Anpassung der Maßnahmen in Kapitel 8 werden die zu berücksichtigenden Bausteine aus den IT-Grundschutz-Katalogen ausgewählt und diese bilden zusammengenommen das IT-Grundschutz-Modell des Informationsverbunds. Anschließend wird in Kapitel 9 im Basissicherheitscheck auf Grundlage des IT-Grundschutz-Modells ein Soll-Ist-Vergleich durchgeführt und ermittelt, wo Handlungsbedarf besteht. Der nächste Schritt in Kapitel 10 prüft die betroffenen Zielobjekte in einer ergänzenden Sicherheitsanalyse und gegebenenfalls in einer erforderlichen Risikoanalyse. Kapitel 11 beschreibt die Umset12

13 1 Einleitung zung des erarbeiteten Sicherheitskonzepts. Wie es aufrechterhalten und kontinuierlich verbessert werden kann, wird in Kapitel 12 erläutert. Zum Schluss wird in Kapitel 13 noch kurz darauf eingegangen, wie die Zertifizierung nach ISO auf Basis von IT-Grundschutz erlangt werden kann. Abschließend werden in Kapitel 14.1 die wichtigsten Punkte zusammengefasst. 13

14 14

15 2 Rahmenbedingungen 2 Rahmenbedingungen 2.1 BSI Standards zur Informationssicherheit (aus [GSProPro]) Informationssicherheit hat den Schutz von Informationen jeglicher Art und Herkunft als Ziel. Dabei können Informationen sowohl auf Papier, in Rechnersystemen oder auch in den Köpfen der Nutzer gespeichert sein. Dies erfordert die Umsetzung von organisatorischen und technischen Sicherheitsmaßnahmen und einen kontinuierlichen Prozess, in dem immer wieder geprüft wird, ob diese Maßnahmen noch einen hinreichenden Schutz bieten. Die BSI-Standards zur Informationssicherheit enthalten dazu Empfehlungen für Herangehensweisen, die sich national und international bewährt haben. Im Einzelnen behandeln die BSI-Standards die folgenden Themen: BSI Standard 100 1: Managementsysteme für Informationssicherheit (ISMS) Der Standard [BSI 100-1] beschreibt allgemeine Anforderungen an ein ISMS. Er ist vollständig kompatibel zum ISO-Standard und berücksichtigt weiterhin die Empfehlungen der ISO-Standards und Er bietet Lesern eine leicht verständliche und systematische Einführung und Anleitung, unabhängig davon, mit welcher Methode sie die Anforderungen umsetzen möchten BSI Standard 100 2: IT Grundschutz Vorgehensweise Das Dokument [BSI 100-2] beschreibt detailliert die IT-Grundschutz-Vorgehensweise und enthält damit eine sehr konkrete Anleitung dazu, wie ein ISMS in der Praxis aufgebaut und betrieben werden kann. Wichtige Themen sind: die Aufgaben des Informationssicherheitsmanagements und der Aufbau einer Informationssicherheitsorganisation, die Anfertigung von Sicherheitskonzepten sowie die Auswahl und Umsetzung angemessener Sicherheitsmaßnahmen, die Aufrechterhaltung der Informationssicherheit im laufenden Betrieb und deren kontinuierliche Verbesserung BSI Standard 100 3: Risikoanalyse auf der Basis von IT Grundschutz Bei der Auswahl der geeigneten Sicherheitsmaßnahmen wird ein Anwender durch die ITGrundschutz-Kataloge unterstützt. Diese enthalten Empfehlungen für organisatorische und technische Maßnahmen, die bei normalen Sicherheitsanforderungen und für typische IT-Umgebungen einen angemessenen und ausreichenden Schutz bieten. Der Standard [BSI 100-3] beschreibt eine Vorgehensweise, mit der unter Verwendung der IT-Grundschutz-Kataloge ITRisiken analysiert werden können. Eine solche Analyse kommt immer dann in Frage, wenn 15

16 2 Rahmenbedingungen ein Objekt einen höheren Schutzbedarf hat oder (noch) nicht ausreichend in den IT-Grundschutz-Katalogen behandelt wird oder zwar behandelt wird, aber in einem Einsatzszenario, das für den IT-Grundschutz eher untypisch ist BSI Standard 100 4: Notfallmanagement In dem Standard [BSI 100-4] wird ein systematischer Weg aufgezeigt, die Fähigkeit einer Organisation zur angemessenen Reaktion auf krisenhafte Ereignisse (Notfälle) und zur möglichst raschen Wiederaufnahme ihrer wichtigen Geschäftsprozesse zu steigern. Ein Notfallmanagement ist besonders wichtig für die Geschäftsprozesse einer Organisation, bei denen längere Ausfallzeiten unbedingt zu vermeiden sind. In einem Fertigungsunternehmen dürften dazu alle Prozesse zählen, die für die Erzeugung der Produkte und die Abwicklung der Aufträge wesentlich sind. Der Standard beschreibt insbesondere auch, wie mit Hilfe einer so genannten Business-Impact-Analyse diese kritischen Geschäftsprozesse sowie die Ressourcen bestimmt werden, die von ihnen im Normalbetrieb und zur Wiederherstellung benötigt werden. 2.2 Die IT Grundschutz Kataloge (aus [GSProPro]) Während die BSI-Standards sinnvolle Vorgehensweisen und Organisationsformen beschreiben, wie Informationssicherheit und Notfallmanagement in einer Institution geschaffen und gelebt werden kann, enthalten die nach dem Baukastenprinzip gegliederten IT-GrundschutzKataloge [GSK] konkrete Hinweise zu den Gefährdungen und erforderlichen Sicherheitsmaßnahmen. Sie sind in drei Bestandteile gegliedert: Die Gefährdungs-Kataloge enthalten Zusammenstellungen wesentlicher Gefährdungen für die Informationssicherheit und sind entlang der möglichen Ursachen Höhere Gewalt, Organisatorische Mängel, Menschliche Fehlhandlungen, Technisches Versagen und Vorsätzliche Handlungen gegliedert. Die Maßnahmen-Kataloge enthalten detaillierte Maßnahmenbeschreibungen, die in die Bereiche Infrastruktur, Organisation, Personal, Hardware und Software, Kommunikation und Notfallvorsorge unterschieden sind. Die Baustein-Kataloge bilden die Klammer zwischen Gefährdungs- und Maßnahmenkatalogen. Ein Baustein beschreibt jeweils einen bestimmten Teilaspekt der Informationstechnik einer Organisation. Dies kann ein bestimmtes technisches System, ein zu regelnder organisatorischer Sachverhalt oder eine bestimmte Anwendung sein. Die Bausteine sind sortiert in die Schichten Übergreifende Aspekte (z. B. Hard- und Softwaremanagement), Infrastruktur (z. B. Verkabelung, Gebäude), IT-System (z. B. Client unter Windows P), Netze (z. B. WLAN oder Remote Access) und Anwendungen (z. B. Telearbeit, SAP System). Jeder Baustein enthält neben einer kurzen Darstellung seines Anwendungsgebiets Zusammenstel16

17 2 Rahmenbedingungen lungen der für den beschriebenen Sachverhalt relevanten Gefährdungen und empfohlenen Schutzmaßnahmen. Mit Hilfe der IT-Grundschutz-Kataloge kann eine Organisation auf einfache Weise ein Sicherheitskonzept erstellen, indem die jeweils erforderlichen Maßnahmen aus den anwendbaren Bausteinen ausgewählt und bei Bedarf ergänzt werden. 2.3 Der Informationssicherheitsprozess und die Verantwortlichkeiten Der Informationssicherheitsprozess Der Informationssicherheitsprozess ist ein kontinuierlicher Prozess, der geplant und organisiert werden muss. Ein methodisches Vorgehen für den Aufbau und die Aufrechterhaltung eines solchen Prozesses für Unternehmen und Behörden beschreibt [BSI 100-2] in der Vorgehensweise nach IT-Grundschutz. Der Standard enthält folgende Schritte, um ein angemessenes Sicherheitsniveau zu erreichen: Initiierung des Sicherheitsprozesses Übernahme der Verantwortung durch die Leitungsebene Konzeption und Planung des Sicherheitsprozesses Erstellung der Leitlinie zur Informationssicherheit Aufbau einer geeigneten Organisationsstruktur für das Informationssicherheitsmanagement Bereitstellung von finanziellen, personellen und zeitlichen Ressourcen Einbindung aller Mitarbeiter in den Sicherheitsprozess Erstellung einer Sicherheitskonzeption Umsetzung der Sicherheitskonzeption Aufrechterhaltung der Informationssicherheit im laufenden Betrieb und kontinuierliche Verbesserung Verantwortung der Leitungsebene Die Leitungsebene übernimmt zwar die Verantwortung für die Erreichung des Sicherheitsniveaus, aber alle Beschäftigten der Organisation müssen aktiv mithelfen, den Informationssicherheitsprozess und die Sicherheitsziele zu gewährleisten. Nach [BSI 100-2] sollten dabei folgende Prinzipien eingehalten werden: Die Initiative für Informationssicherheit geht von der Behörden- bzw. Unternehmensleitung aus. Die Gesamtverantwortung für Informationssicherheit verbleibt bei der obersten Leitungsebene. Die Aufgabe "Informationssicherheit" wird durch die Behörden- bzw. Unternehmens- 17

18 2 Rahmenbedingungen leitung aktiv unterstützt. Die Behörden- bzw. Unternehmensleitung benennt die für Informationssicherheit zuständigen Mitarbeiter und stattet diese mit den erforderlichen Kompetenzen und Ressourcen aus. Die Leitungsebene übernimmt auch im Bereich Informationssicherheit eine Vorbildfunktion. Dazu gehört unter anderem, dass auch die Leitungsebene alle vorgegebenen Sicherheitsregeln beachtet. Die Leitungsebene spielt die zentrale Rolle bei der Informationssicherheit und muss auf deren Einhaltung in allen relevanten Geschäftsprozessen und Projekten achten. Als zentrale Grundlage wird die Leitlinie für Informationssicherheit geschaffen, die Geltungsbereiche, Sicherheitsziele, die Sicherheitsstrategie und die Organisationsstruktur definiert und für alle Beschäftigten verbindlich ist. Zur Unterstützung und als Bindeglied zur Leitungsebene, sowie als Verantwortlicher für Informationssicherheit wird die Stelle des IT-Sicherheitsbeauftragten geschaffen, der für die Umsetzung der Leitlinie zuständig ist. In [BSI 100-2] heißt es weiter, der IT-Sicherheitsbeauftragte brauche hierbei erfahrungsgemäß die volle Unterstützung der Behörden- oder Unternehmensleitung, um unter dem überall herrschenden Erfolgsdruck von den jeweiligen Fachverantwortlichen in jede wesentliche Aktivität eingebunden zu werden. Die Leitungsebene muss die Ziele sowohl für das Informationssicherheitsmanagement als auch für alle anderen Bereiche so setzen, dass das angestrebte Sicherheitsniveau in allen Bereichen mit den bereitgestellten Ressourcen (Personal, Zeit, Finanzmittel) erreichbar ist Der IT Sicherheitsbeauftragte (aus [BSI 100 2]) Informationssicherheit wird häufig vernachlässigt, so dass es hinter dem Tagesgeschäft zurücksteckt. Dadurch besteht bei unklarer Aufteilung der Zuständigkeiten die Gefahr, dass Informationssicherheit grundsätzlich zu einem "Problem anderer Leute" wird. Damit wird die Verantwortung für Informationssicherheit so lange hin und her geschoben, bis keiner sie mehr zu haben glaubt. Um dies zu vermeiden, sollte ein Haupt-Ansprechpartner für alle Aspekte rund um Informationssicherheit, ein IT-Sicherheitsbeauftragter, ernannt werden, der die Aufgabe "Informationssicherheit" koordiniert und innerhalb der Institution vorantreibt. Ob es neben diesem weitere Personen mit Sicherheitsaufgaben gibt und wie die Informationssicherheit organisiert ist, hängt von der Art und Größe der Institution ab. Die Rolle des Verantwortlichen für Informationssicherheit wird je nach Art und Ausrichtung der Institution anders genannt. Häufige Titel sind IT-Sicherheitsbeauftragter oder kurz IT-SiBe, Chief Security Officer (CSO), Chief Information Security Officer (CISO) oder Information Security Manager. Mit dem Titel "Sicherheitsbeauftragter" werden dagegen häufig die Personen bezeichnet, die für Arbeitsschutz, Betriebssicherheit oder Werkschutz zuständig sind. Um einen Sicherheitsprozesses erfolgreich planen, umsetzen und aufrechterhalten zu können, müssen die Verantwortlichkeiten klar definiert werden. Es müssen also Rollen definiert sein, die die verschiedenen Aufgaben für die Erreichung der Informationssicherheitsziele wahrnehmen müssen. Außerdem müssen Personen benannt sein, die qualifiziert sind und denen ausreichend Ressourcen zur Verfügung stehen, um diese Rollen auszufüllen. 18

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

IT-Grundschutz-Profile

IT-Grundschutz-Profile IT-Grundschutz-Profile Anwendungsbeispiel für IT-Grundschutz im produzierenden Gewerbe www.bsi.bund.de Bundesamt für Sicherheit in der Informationstechnik Referat 114 - IT-Sicherheitsmanagement und IT-Grundschutz

Mehr

Webkurs IT-Grundschutz Beschreibung des Beispielunternehmens RECPLAST GmbH

Webkurs IT-Grundschutz Beschreibung des Beispielunternehmens RECPLAST GmbH Webkurs IT-Grundschutz Beschreibung des Beispielunternehmens RECPLAST GmbH Ausgabe April 2011 Dieses Dokument ergänzt den Webkurs IT-Grundschutz und enthält die Darstellungen, Tabellen und Erläuterungen

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 11. Kommunales IuK-Forum

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz 3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz Institut für Informatik und Automation Dipl.-Inf. Günther Diederich Institut für Informatik und Automation In-Institut der Hochschule

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit Informationssicherheitsmanagement BSI- Grundschutz in der Praxis Informationssicherheit nach BSI-Grundschutz und ISO 27001 im Praxisvergleich Cyber Akademie

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Compliance und IT-Sicherheit

Compliance und IT-Sicherheit Compliance und IT-Sicherheit Isabel Münch Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Agenda Das BSI Compliance-Anforderungen und IT-Sicherheit Risikomanagement

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

Staatlich geprüfte IT-Sicherheit

Staatlich geprüfte IT-Sicherheit Bild: Lampertz GmbH & Co.KG Staatlich geprüfte IT-Sicherheit Dr.-Ing. Christian Scharff Lizenziert vom Bundesamt für Sicherheit in der Informationstechnik (BSI) Accuris Consulting / EGT InformationsSysteme

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Neues vom IT-Grundschutz: Ausblick und Diskussion

Neues vom IT-Grundschutz: Ausblick und Diskussion Neues vom IT-Grundschutz: Ausblick und Diskussion Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2014

Mehr

Vorwort. Dr. Udo Helmbrecht, Präsident des BSI

Vorwort. Dr. Udo Helmbrecht, Präsident des BSI Vorwort Sarbanes-Oxley-Act, Basel II oder KonTraG immer mehr gesetzliche Rahmenbedingungen haben einen deutlichen Bezug zur IT-Sicherheit. Sie erhöhen den Druck auf die Verantwortlichen, die Sicherheit

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 6. Übung im SoSe 2013: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 6. Übung im SoSe 2013: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 6. Übung im SoSe 2013: Konzepte zur IT-Sicherheit Aufgabe: 6.1 Aufgaben des IT-Sicherheitsbeauftragten Ein Unternehmen möchte einen IT-Sicherheitsbeauftragten einsetzen.

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie Seite 1 von 13 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: De-Mail Sicherheit Modulübergreifend Anwendungsbereich: Kürzel: BSI De-Mail TR 01201

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

Open Source. Eine kleine Geschichte zum Konzept der freien Software

Open Source. Eine kleine Geschichte zum Konzept der freien Software Open Source Eine kleine Geschichte zum Konzept der freien Software Open Source Definition (1) Freie Weitergabe Die Lizenz darf niemanden darin hindern, die Software zu verkaufen oder sie mit anderer Software

Mehr

Praktizierter Grundschutz in einem mittelständigen Unternehmen

Praktizierter Grundschutz in einem mittelständigen Unternehmen Praktizierter Grundschutz in einem mittelständigen Unternehmen Adolf Brast, Leiter Informationsverarbeitung Bochum-Gelsenkirchener Straßenbahnen AG auf dem 4. Stuttgarter IT-Sicherheitstag, 16.02.06 Überblick

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

Freie und Quelloffene Softwarelizenzen im Vergleich

Freie und Quelloffene Softwarelizenzen im Vergleich Freie und Quelloffene Softwarelizenzen im Vergleich Themen Geschichte Idee der Freien und Quelloffenen Software Gesetzeslage in Deutschland Institute Definition von freier Software Definition von quelloffener

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2013 09.10.2013 Agenda

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

Schulungsunterlagen IT-Grundschutz nach BSI. Robert M. Albrecht Creative Commons by-nc-sa

Schulungsunterlagen IT-Grundschutz nach BSI. Robert M. Albrecht Creative Commons by-nc-sa Schulungsunterlagen IT-Grundschutz nach BSI Robert M. Albrecht Creative Commons by-nc-sa The audience is listening. IT-Grundschutz nach BSI Robert M. Albrecht Agenda Was ist das BSI? Warum IT-Grundschutz?

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

2008 by Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee 185-189, 53175 Bonn

2008 by Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee 185-189, 53175 Bonn 2008 by Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee 185-189, 53175 Bonn Inhaltsverzeichnis Inhaltsverzeichnis 1 Einleitung 4 1.1 Versionshistorie 4 1.2 Zielsetzung 4 1.3

Mehr

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009 Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen IT Profis Berlin, 24.06.2009 Leistungsspektrum Trigonum GmbH Geschäftsprozess- und Organisationsmanagement Erfolgreich Prozesse und

Mehr

Datensicherheit und IT-Grundschutz. Prof. Dr. Reinhardt Nindel

Datensicherheit und IT-Grundschutz. Prof. Dr. Reinhardt Nindel Datensicherheit und IT-Grundschutz Prof. Dr. Reinhardt Nindel Datensicherheit Datenschutz Bund Der Bundesbeauftragte für Datenschutz Schutz demokratischer Grundwerte, der Privatsphäre und des informellen

Mehr

Veranstaltung Cybercrime 27.08.2015. Hinterher ist man immer schlauer wie Sie späte Einsicht vermeiden. Prof. Dr. Thomas Jäschke

Veranstaltung Cybercrime 27.08.2015. Hinterher ist man immer schlauer wie Sie späte Einsicht vermeiden. Prof. Dr. Thomas Jäschke Veranstaltung Cybercrime 27.08.2015 Hinterher ist man immer schlauer wie Sie späte Einsicht vermeiden. Prof. Dr. Thomas Jäschke Vorstellung DATATREE AG Beratung von Unternehmen und öffentlichen Stellen

Mehr

IT-Grundschutz und Zertifizierung

IT-Grundschutz und Zertifizierung IT-Grundschutz und Zertifizierung Gliederung Was macht das BSI? Standardsicherheit nach IT-Grundschutz Qualifizierung nach IT-Grundschutz Zertifizierungsschema Verhältnis zu ISO 17799 in der Informationstechnik

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

Amtliche Mitteilungen

Amtliche Mitteilungen Amtliche Mitteilungen Datum 26. Juli 2011 Nr. 25/2011 I n h a l t : Leitlinien zur Informationssicherheit der Universität Siegen Vom 26. Juli 2011 Herausgeber: Rektorat der Universität Siegen Redaktion:

Mehr

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster Informationssicherheit im mittelstand... > Bavarian IT Security & Safety Cluster > ein PROdUKt des BayeRisCHen it-sicherheits- ClUsteRs e.v. der Bayerische it-sicherheitscluster e.v. Der Bayerische It-sicherheitscluster

Mehr

Berufsakademie Gera Themen für die Projektarbeit

Berufsakademie Gera Themen für die Projektarbeit Berufsakademie Gera Themen für die Projektarbeit Themenvorschlag 1: Passen Sie die vom BSI vorgegebenen Definitionen der Schutzbedarfskategorien an Ihre Behörde/Ihr Unternehmen an. Beschreiben Sie Ihre

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

Überblick über existierende Vorschriften, Gesetze und Normen

Überblick über existierende Vorschriften, Gesetze und Normen 5 Überblick über existierende Vorschriften, Gesetze und Normen Als Reaktion auf die ansteigende Anzahl der bekannt werdenden Fälle skandalöser Betriebsführungen, hat der Gesetzgeber eine Fülle von neuen

Mehr

(IT-SICHERHEITSGRUNDSÄTZE)

(IT-SICHERHEITSGRUNDSÄTZE) Senatsverwaltung für Inneres und Sport 1 GRUNDSÄTZE ZUR GEWÄHRLEISTUNG DER NOTWENDIGEN SICHERHEIT BEIM IT-EINSATZ IN DER BERLINER VERWALTUNG (IT-SICHERHEITSGRUNDSÄTZE) (beschlossen vom Senat am 11.12.07)

Mehr

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen Marc Schober Bundesamt für Sicherheit in der Informationstechnik Referat 112 Kritische Infrastrukturen und IT-Sicherheitsrevision Bundesamt

Mehr

Inhaltsverzeichnis. 1 Einleitung 3

Inhaltsverzeichnis. 1 Einleitung 3 Bundesamt für Sicherheit in der Informationstechnik Referat 114 IT-Sicherheitsmanagement und IT-Grundschutz Postfach 20 03 63 53133 Bonn Tel:+49 (0) 22899-9582-5369 E-Mail: grundschutz@bsi.bund.de Internet:

Mehr

BSI-Standard 100-3 Risikoanalyse auf der Basis von IT-Grundschutz. Version 2.0

BSI-Standard 100-3 Risikoanalyse auf der Basis von IT-Grundschutz. Version 2.0 BSI-Standard 100-3 Risikoanalyse auf der Basis von IT-Grundschutz Version 2.0 Inhaltsverzeichnis 1 Einleitung 3 1.1 Versionshistorie 3 1.2 Zielsetzung 3 1.3 Adressatenkreis 4 1.4 Anwendungsweise 4 1.5

Mehr

Worum es geht. zertifiziert und grundlegend

Worum es geht. zertifiziert und grundlegend Sicherer Systembetrieb in der Energiewirtschaft. Von der Analyse bis zur Zertifizierung. Worum es geht zertifiziert und grundlegend In Industrie staaten ist das gesamte Leben von einer sicheren Energie

Mehr

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung Kooperationsgruppe Informationssicherheit des IT-PLR Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung - Hauptdokument - Stand 19.02.2013 Version 1.8 (10. IT-Planungsrat Beschluss

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

Sicherheit entsprechend den BSI-Standards

Sicherheit entsprechend den BSI-Standards Sicherheit entsprechend den s Planungsunterstützung durch Open Source 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze Agenda 54. GMDS-Jahrestagung Essen, 2009-09-09 1. 2. Material / Methode

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit mit TÜV Rheinland geprüfter Qualifikation 16. 20. November 2015, Berlin Cyber Akademie (CAk) ist eine eingetragene Marke www.cyber-akademie.de IT-Sicherheitsbeauftragte

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Notfallmanagement. Einführung & Überblick. Dr. Patrick Grete Bundesamt für Sicherheit in der Informationstechnik

Notfallmanagement. Einführung & Überblick. Dr. Patrick Grete Bundesamt für Sicherheit in der Informationstechnik Notfallmanagement Einführung & Überblick Dr. Patrick Grete Bundesamt für Sicherheit in der Informationstechnik IT-Grundschutz-Tag Bremen / 13.06.2012 Sind Ihre Informationen sicher? Beispiel wichtiger

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

VORSCHLÄGE FÜR EIN SCHULUNGS- KONZEPT IT-SICHERHEIT

VORSCHLÄGE FÜR EIN SCHULUNGS- KONZEPT IT-SICHERHEIT VORSCHLÄGE FÜR EIN SCHULUNGS- KONZEPT IT-SICHERHEIT Version 1.0 EVANGELISCHE KIRCHE IN DEUTSCHLAND INHALTSVERZEICHNIS 1 ALLGEMEINES 3 1.1 Rahmenbedingungen / Ausgangslage 3 1.2 Zielsetzung und Gegenstand

Mehr

SerNet. verinice. ISMS in der Praxis umsetzen. Alexander Koderman, CISA SerNet GmbH. Seite 1 / 2009 SerNet GmbH

SerNet. verinice. ISMS in der Praxis umsetzen. Alexander Koderman, CISA SerNet GmbH. Seite 1 / 2009 SerNet GmbH verinice. ISMS in der Praxis umsetzen Alexander Koderman, CISA SerNet GmbH Seite 1 / 2009 SerNet GmbH SerNet GmbH gegründet 1997 Büros in Göttingen, Berlin, Nürnberg, Menlo Park Informationssicherheit

Mehr

Workshop Notfallvorsorge + IT-Sicherheit 9.-10. September 2008, Fulda. Normen - Standards - Richtlinien

Workshop Notfallvorsorge + IT-Sicherheit 9.-10. September 2008, Fulda. Normen - Standards - Richtlinien Workshop Notfallvorsorge + IT-Sicherheit 9.-10. September 2008, Fulda Normen - Standards - Richtlinien Agenda IT Sicherheit - Einführung Gesetze Richtlinien IT-Sicherheit: Bedrohungen Sabotage Fehlbedienung

Mehr

Programm. Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land)

Programm. Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land) Programm Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land) Veranstaltungsnummer: 2015 Q053 MO (3. Modul) Termin: 01.12. 02.12.2015 (3. Modul) Zielgruppe: Tagungsort: Künftige

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Digitale Betriebsprüfung

Digitale Betriebsprüfung Veranstaltungsreihe 2008 Zu Gast bei: ecomm Berlin Digitale Betriebsprüfung GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) Matthias Krüger Geschäftsführender Gesellschafter

Mehr

Cloud Computing mit IT-Grundschutz

Cloud Computing mit IT-Grundschutz Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung

Mehr

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010 IT-Sicherheit Abteilung IT/2 Informationstechnologie Dr. Robert Kristöfl 1 3. Dezember 2010 Begriffsdefinitionen Safety / Funktionssicherheit: stellt sicher, dass sich ein IT-System konform zur erwarteten

Mehr

TÜV NORD Akademie Personenzertifizierung. Zertifizierungsprogramm - Merkblatt Chief Information Security Officer (TÜV )

TÜV NORD Akademie Personenzertifizierung. Zertifizierungsprogramm - Merkblatt Chief Information Security Officer (TÜV ) TÜV NORD Akademie Personenzertifizierung Zertifizierungsprogramm - Merkblatt Chief Information Security Officer (TÜV ) Merkblatt Chief Information Security Officer (TÜV ) Personenzertifizierung Große

Mehr

Cyber-Sicherheits- Check

Cyber-Sicherheits- Check -MUSTER- -MUSTER- Muster-Beurteilungsbericht zum Cyber-Sicherheits- Check der Beispiel GmbH Januar 2014 1. Rahmendaten Beurteilungsgegenstand Beurteiler Anlass Grundlagen und Anforderungen Zeitlicher Ablauf

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

IT-Sicherheit für die Energie- und Wasserwirtschaft

IT-Sicherheit für die Energie- und Wasserwirtschaft IT-Sicherheit für die Energie- und Wasserwirtschaft Als Prozess für Ihr ganzes Unternehmen. Zu Ihrer Sicherheit. www.schleupen.de Schleupen AG 2 Deshalb sollte sich Ihr Unternehmen mit IT-Sicherheit beschäftigen

Mehr

Die Vorgaben des IT-Planungsrates Leitlinie für Informationssicherheit der öffentlichen Verwaltung

Die Vorgaben des IT-Planungsrates Leitlinie für Informationssicherheit der öffentlichen Verwaltung Die Vorgaben des IT-Planungsrates Leitlinie für Informationssicherheit der öffentlichen Verwaltung Dr. Stefan Grosse Bundesministerium des Innern, Leiter Referat IT5 (IT5@bmi.bund.de) IT-Infrastrukturen

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

CLOUD COMPUTING. Risikomanagementstrategien bei der Nutzung von Cloud Computing

CLOUD COMPUTING. Risikomanagementstrategien bei der Nutzung von Cloud Computing CLOUD COMPUTING Risikomanagementstrategien bei der Nutzung von Cloud Computing Michael Rautert Staatlich geprüfter Informatiker Geprüfter IT-Sicherheitsbeauftragter (SGS TÜV) Ausbildung zum geprüften Datenschutzbeauftragten

Mehr

IT-Grundschutz: Cloud-Bausteine

IT-Grundschutz: Cloud-Bausteine IT-Grundschutz: Cloud-Bausteine Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 12.09.2013 Was sind die Risiken? (Public

Mehr

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN 1 Bayerischer IT-Sicherheitscluster e.v. 09.10.2015 REFERENT Claudia Pock Sales Managerin IT Security Applied Security

Mehr

ISO 27001 Zertifizierung

ISO 27001 Zertifizierung ISO 27001 Zertifizierung - Zertifizierte IT-Sicherheit nach internationalen Standards Trigonum GmbH Trigonum Wir machen Unternehmen sicherer und IT effizienter! - 2 - Kombinierte Sicherheit Datenschutz

Mehr

Weitere Betriebssysteme im IT-Grundschutz Über den Tellerrand zu Alternativen

Weitere Betriebssysteme im IT-Grundschutz Über den Tellerrand zu Alternativen Weitere Betriebssysteme im IT-Grundschutz Über den Tellerrand zu Alternativen Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

3 Juristische Grundlagen

3 Juristische Grundlagen beauftragter - Grundlagen Ziele: Einführung in das recht Kennen lernen der grundlegenden Aufgaben des beauftragten (DSB) Praxishinweise für die Umsetzung Inhalte: Ziele des es Zusammenarbeit mit Datensicherheit/IT-Sicherheit

Mehr

Modernisierung des IT-Grundschutzes

Modernisierung des IT-Grundschutzes Modernisierung des IT-Grundschutzes Isabel Münch Referatsleiterin Allianz für Cyber-Sicherheit, Penetrationszentrum und IS-Revision Bundesamt für Sicherheit in der Informationstechnik netzdialog 2014 06.11.2014

Mehr

IT Sicherheitsleitlinie der DATAGROUP

IT Sicherheitsleitlinie der DATAGROUP IT Sicherheitsleitlinie der DATAGROUP Dezember 2011 Dr. Tobias Hüttner Version 2.0 Seite 1 von 5 Änderungshistorie IT Sicherheitsleitlinie der DATAGROUP In der nachfolgenden Tabelle werden alle Änderungen

Mehr

IT-Grundschutz und Mindeststandards Der pragmatische Weg zur Informationssicherheit

IT-Grundschutz und Mindeststandards Der pragmatische Weg zur Informationssicherheit IT-Grundschutz und Mindeststandards Der pragmatische Weg zur Informationssicherheit Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum

Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum Stufe 3 tekplus Hochverfügbarkeit 24x7 Kurzprofil Rechenzentrum Stufe 3 tekplus Hochverfügbarkeit der tekit Consult Bonn GmbH TÜV Saarland Gruppe

Mehr