HOCHSCHULE LANDSHUT FAKULTÄT INFORMATIK. Weiterentwicklung des IT Grundschutzes. IT Grundschutz Profil für Open Source Software (GSProOSS)

Größe: px
Ab Seite anzeigen:

Download "HOCHSCHULE LANDSHUT FAKULTÄT INFORMATIK. Weiterentwicklung des IT Grundschutzes. IT Grundschutz Profil für Open Source Software (GSProOSS)"

Transkript

1 HOCHSCHULE LANDSHUT FAKULTÄT INFORMATIK Weiterentwicklung des IT Grundschutzes IT Grundschutz Profil für Open Source Software (GSProOSS) Masterarbeit vorgelegt von Nikolaus Lefin Betreuer: Prof. Dr. rer. nat. Peter Scholz Landshut, den 15. November 2010

2

3 Inhaltsverzeichnis 1 Einleitung Zielsetzung des Profils Open Source Software Informationssicherheit und Schutzbedarf Aufbau des Profils Rahmenbedingungen BSI Standards zur Informationssicherheit (aus [GSProPro]) BSI Standard 100 1: Managementsysteme für Informationssicherheit (ISMS) BSI Standard 100 2: IT Grundschutz Vorgehensweise BSI Standard 100 3: Risikoanalyse auf der Basis von IT Grundschutz BSI Standard 100 4: Notfallmanagement Die IT Grundschutz Kataloge (aus [GSProPro]) Der Informationssicherheitsprozess und die Verantwortlichkeiten Der Informationssicherheitsprozess Verantwortung der Leitungsebene Der IT Sicherheitsbeauftragte (aus [BSI 100 2]) Rechtliche und andere Anforderungen Definition und Abgrenzung des Informationsverbunds Geschäftsgegenstand Standorte und Organisationsaufbau Der betrachtete Informationsverbund IT Systeme und Netze Software und Anwendungen Räume Leitlinie zur Informationssicherheit Erarbeitung der Leitlinie zur Informationssicherheit Das Beispielunternehmen RECPLAST GmbH Leitlinie zur Informationssicherheit der RECPLAST GmbH Stellenwert der IT und Bedeutung der IT Sicherheitsleitlinie Ziele der Informationssicherheit und Kernelemente der Sicherheitsstrategie Organisationsstruktur für Informationssicherheit

4 4.3.4 Geltungsbereich und Maßnahmen bei Verstößen Sicherheitskonzept nach IT Grundschutz Geltungsbereich eines Sicherheitskonzepts Verfahrensschritte Sicherheitskonzept und Notfallvorsorge Konzept Hilfsmittel Strukturanalyse Vorgehen nach IT Grundschutz Anwendungen und zugehörige Informationen Zusammenfassen und Gruppenbildung der IT Systeme Netzplan Anwendungen, IT Systeme und Räume Besonderheiten und Probleme bei der Strukturanalyse Schutzbedarfsfeststellung Vorgehen nach IT Grundschutz Schutzbedarfskategorien Anwendungen, IT Systeme, Räume und Kommunikationsverbindungen Ergebnisse der Schutzbedarfsfeststellung Besonderheiten und Probleme bei der Schutzbedarfsfeststellung Auswahl und Anpassung von Maßnahmen Vorgehen nach IT Grundschutz Modellierung des Informationsverbunds anhand der IT Grundschutz Kataloge Ergänzung der Maßnahmenkataloge Besonderheiten und Probleme bei Auswahl und Anpassung von Maßnahmen Basis Sicherheitscheck Vorgehen nach IT Grundschutz Organisatorische Vorarbeiten Soll Ist Vergleich Ergebnisse Besonderheiten und Probleme beim Basis Sicherheitscheck Bausteine der Schicht 1: Übergreifende Aspekte Bausteine der Schicht 2: Infrastruktur Bausteine der Schicht 3: IT Systeme Bausteine der Schicht 4: Netze Bausteine der Schicht 5: Anwendungen

5 10 Ergänzende Sicherheitsanalyse und Risikoanalyse Vorgehen nach IT Grundschutz Ergänzenden Sicherheitsanalyse Risikoanalyse auf der Basis von IT Grundschutz Besonderheiten und Probleme bei ergänzender Sicherheitsanalyse und Risikoanalyse Schritt 1: Erstellung der Gefährdungsübersicht Schritt 2: Ermittlung zusätzlicher Gefährdungen Schritt 3: Gefährdungsbewertung Schritt 4: Behandlung der Risiken Konsolidierung des Sicherheitskonzepts Umsetzung des Sicherheitskonzepts Besonderheiten und Probleme Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicher heit Überprüfung des Informationssicherheitsprozesses Informationsfluss im Informationssicherheitsprozess Zertifizierung nach ISO auf Basis von IT Grundschutz Zusammenfassung Fazit Ausblick Anhang Anhang: Abbildungsverzeichnis Anhang: Tabellenverzeichnis Anhang: Literaturverzeichnis

6 6

7 1 Einleitung 1 Einleitung Das Ziel der Masterarbeit ist, ein IT-Grundschutz-Profil zu Open-Source-Software zu erstellen, das beschreibt, wie sich die IT-Grundschutz-Vorgehensweise in einem Unternehmen oder einer Behörde für den Einsatz von Open-Source-Software anwenden lässt. Die Struktur der Arbeit soll mit den bislang vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelten Profilen zur Anwendung des IT-Grundschutzes für kleine, mittlere und große Organisationen und insbesondere für das produzierende Gewerbe vergleichbar sein. Anhand eines Praxisbeispiels soll Anwendern aufgezeigt werden, wie mit dem IT-Grundschutz-Ansatz Linux und Open-Source-Software in Behörden und Unternehmen sicher betrieben werden können. Der Kern der Arbeit ist, die typische IT-Grundschutz-Vorgehensweise darzustellen, um für den Einsatz von Open-Source-Software standardisierbare Sicherheitsempfehlungen auszuwählen. Als Musterfirma für das IT-Grundschutz-Profil Open-Source wird das im IT-Grundschutz-Profil Produktion und im Webkurs IT-Grundschutz abgebildete Beispielunternehmen RECPLAST dienen. Das Profil ist entsprechend der bereits vorhandenen Profile zu gliedern und muss die einzelnen Schritte der IT-Grundschutz-Vorgehensweise enthalten, die folgende Themenbereiche umfassen: Etablierung organisatorischer Strukturen und Entwicklung einer IT-Sicherheitsleitlinie, Entwicklung eines IT-Sicherheitskonzepts, Realisierungsplanung sowie Umsetzung und Aufrechterhaltung der IT-Sicherheit. In der Arbeit soll deutlich werden, inwieweit Open-Source-Software besondere Sicherheitsmaßnahmen erfordert, aber auch, worin ihre Vorteile liegen. Das Augenmerk wird dabei auf Sicherheitsempfehlungen für die Planung und Konzeption, Beschaffung, Umsetzung, den Betrieb und die Notfallvorsorge von Open-Source-Software gelegt und nicht auf die Beschreibung von einzelnen Funktionen oder technischen Aspekten, soweit diese für die Sicherheit nicht relevant sind. Als typische Gefährdungen sind die aus den IT-Grundschutz-Katalogen zu betrachten. Diese umfassen sowohl höhere Gewalt, menschliche Fehlhandlungen, technisches Versagen, organisatorische Mängel als auch vorsätzliche Handlungen. 1.1 Zielsetzung des Profils Geschäftsprozesse in Unternehmen und Behörden werden heutzutage zunehmend durch Informationstechnik (IT) unterstützt. Das gesamte Tagesgeschäft ist abhängig von Informationsund Telekommunikationsanlagen, insbesondere von Computern und Softwareprogrammen. Auf den meisten Arbeitsplatzrechnern sind standardmäßig proprietäre Betriebssysteme und Büroanwendungen installiert. Im privaten wie auch im öffentlichen Sektor dominiert das Be 7

8 1 Einleitung triebssystem Microsoft Windows. Nach den Untersuchungen des Marktforschungsunternehmens Net Applications im März 2010 verzeichnet das Microsoft-Betriebssystem einen Marktanteil von 92,12 Prozent. Im Bereich der Bürosoftware ist das Unternehmen Microsoft mit seiner Office-Suite ebenfalls führend mit einem Anteil von über 90 Prozent. Mit der Einführung von Microsoft Windows 7 im Oktober 2009 und dem Verkaufsstart von Microsoft Office 2010 wird für viele Institutionen die Umstellung der Softwarelizenzen erforderlich. Verstärkt wird dieser Prozess durch den auslaufenden Support älterer Windows-Versionen (Windows 2000, Windows P mit Service Pack 2 und Windows Vista ohne Service Packs). Microsoft hat das "End to Life"-Datum von Windows P mit Service Pack 3 auf den 8. April 2014 verschoben. Für den Endanwender hat dies jedoch negative Folgen, weil bis dahin nur noch Sicherheitsupdates, kostenpflichtiger Support oder kostenpflichtige Hotfixes erhältlich sind. Aufgrund dieser ohnehin unternehmensweiten anstehenden Lizenzmigrationen ist ein Wechsel zu Open-Source-Software oft eine interessante Option. Es können die erheblichen Kosten der Lizenzgebühren eingespart und bei Softwareaktualisierungen können erneute Lizenzkosten vermieden werden. Support-Dienstleister, die die Applikationen warten und administrieren, können frei gewählt werden, um sich somit in Zukunft nicht durch proprietäre Softwareprodukte von bestimmten Softwareherstellern abhängig zu machen. Dabei muss beachtet werden, dass das notwendige Wissen bei den Dienstleistern vorhanden ist oder in Einzelfällen Mängel durch den Hersteller oder Entwickler selbst beseitigt werden können. Gerade in den Bereichen Betriebssysteme und Büroanwendungen gibt es mittlerweile viele Open-Source-Alternativen, die den proprietären Produkten in nichts mehr nachstehen. Die Umstellung auf Open Source ist keine fiktive Alternative. Das bekannteste Beispiel, ist wohl der Umstieg der Münchner Stadtverwaltung von Windows NT4 und Microsoft Office auf das Betriebssystem Linux und die Bürosoftware OpenOffice. Gründe dafür waren in erster Linie nicht nur das Einsparpotential durch Lizenzgebühren, die für proprietäre Software zu entrichten sind, sondern auch der vielmals durch die Open-Source-Gemeinde propagierte Vorteil, sich nicht in Abhängigkeiten von genau einem Hersteller zu begeben. Diesem Beispiel sind bereits auch andere Kommunen und Unternehmen gefolgt, wenn auch nicht mit einer kompletten Umstellung der Betriebssysteme, so zumindest durch die Verwendung von freien Büroanwendungen und -Clients. Die Möglichkeit des freien Zugangs zum Quelltext ermöglicht einerseits den Einblick in die verwendeten Algorithmen und Verfahren, um sicherzustellen, dass die Anwendung dem geforderten Schutzbedarf entsprechen. Andererseits macht es gerade dieser Umstand auch für Angreifer möglich, entsprechende Sicherheitslücken zu entdecken und diese auszunutzen. Somit ist auch Open-Source-Software den klassischen Sicherheitsproblemen wie Schadsoftware (Viren, Würmer, Trojanische Pferde) oder Hackerangriffen ausgesetzt. Die IT-Grundschutz-Vorgehensweise und die Maßnahmenempfehlungen der IT-GrundschutzKataloge dienen der effizienten und effektiven Absicherung informationstechnisch geschützter Geschäftsprozesse. Das Profil soll verdeutlichen, inwieweit sich die gegen diese Gefähr8

9 1 Einleitung dungen entwickelten Konzepte und Schutzmechanismen des IT-Grundschutz auf Open-Source-Software anwenden lassen oder ob es besondere Sicherheitsmaßnahmen erfordert. Das Augenmerk wird dabei auf Sicherheitsempfehlungen für die Planung und Konzeption, Beschaffung, Umsetzung, den Betrieb und die Notfallvorsorge von Open-Source-Software gelegt und nicht auf die Beschreibung von einzelnen Funktionen oder technischen Aspekten, soweit diese für die Sicherheit nicht relevant sind. Als typische Gefährdungen werden solche aus den IT-Grundschutz-Katalogen betrachtet. Diese umfassen sowohl höhere Gewalt, menschliche Fehlhandlungen, technisches Versagen, organisatorische Mängel als auch vorsätzliche Handlungen. Die Anwendung der IT-Grundschutz-Vorgehensweise auf Open-Source-Software wird in diesem Profil anhand eines prägnanten, durchgehenden Beispiels aufgezeigt. 1.2 Open Source Software Open-Source-Software wird oft mit kostenloser Software gleichgesetzt. Das hat den Ursprung in der ersten Begriffsdefinition von freier Software durch die Free Software Foundation1, die mit frei den Freiheitsaspekt der Software-Entwicklung betonen sollte. Dieser Umstand wurde oft missverstanden und frei von den Anwendern als kostenlos interpretiert, da viele Open-Source-Produkte kostenlos im Internet verfügbar sind. Um diesem Umstand entgegenzuwirken, wurde schließlich der Begriff Open-Source eingeführt, der diese Fehlinterpretation vermeiden soll. In Deutschland kann ein Autor und damit auch ein Programmierer sein Urheberrecht nicht einfach der Öffentlichkeit als Public Domain übertragen, da dies nach deutschem Recht nicht vorgesehen ist. Der Autor besitzt immer die Rechte an seinen Werken, auch wenn er davon nicht Gebrauch macht. Deshalb ist das Thema Open-Source-Software in Deutschland nicht so einfach zu behandeln. Auf die Rechtslage zum Thema Open-Source-Software und zum deutschen Urheberrecht wird an dieser Stelle nicht näher eingegangen. Eine allgemeine Open-Source-Definition, wie sie auch im Sinn der Open Source Initiative 2 zu verstehen ist, betrifft nicht nur den Zugang zum Quellcode, sondern enthält auch die folgenden Anforderungen: 1. Freie Weitergabe: Die Lizenz darf niemanden darin hindern, die Software als eine (Teil-)Komponente einer Software-Distribution, die sich aus Programmen von verschiedenen Quellen zusammensetzt, zu verkaufen oder weiterzugeben. Die Lizenz ist kostenfrei nutzbar. Es werden weder Lizenzgebühren noch sonstige Entgelte für die Nutzung einer Lizenz erhoben. 2. Quellcode: Die Software-Distribution muss auch den Quellcode umfassen und die Verteilung muss die Weitergabe in Form des Quellencodes sowie als kompiliertes Produkt erlauben. Wird der Quellcode nicht mit der Software herausgegeben, müssen die Gründe dafür dokumentiert werden. Für die Herausgabe des Quellcodes dürfen dann nur die dafür anfallenden Kosten (z.b. Kosten für Kopien, Datenträger und Versand)

10 1 Einleitung verlangt werden, vorzugsweise sollte der Quellcode im Internet ohne Gebühr herunterzuladen sein. Den Quellcode vorsätzlich zu ändern, ist nicht erlaubt, der Quellcode muss in einer für den Programmierer nutzbaren Form vorliegen. 3. Abgeleitete Werke: Die Lizenz muss Modifikationen am Quellcode und davon abgeleitete Werke erlauben, sowie deren Distribution unter derselben Lizenz wie die Originalsoftware. 4. Integrität des Autoren-Quellcodes: Die Lizenz muss explizit das Verteilen von Software erlauben, die auf einer modifizierten Version des Originalquellcodes beruhen. Die Lizenz kann verlangen, dass solche Änderungen zu einem neuen Namen oder einer neuen Versionsnummer der Software führen und solche Änderungen dokumentiert werden. 5. Keine Diskriminierung von Personen oder Gruppen: Die Lizenz muss einzelnen Personen oder Gruppen gleiche Rechte gewähren, ihren Beitrag am Quellcode leisten zu dürfen und ihnen nicht die Nutzung der Software verweigern. 6. Keine Nutzungseinschränkung: Die Lizenz darf niemanden durch Vorgaben bestimmter Anwendungsbereiche bei der Nutzung der Software einschränken, z.b. kein Ausschluss kommerzieller Nutzung oder Nutzung bei Genforschung. 7. Lizenzerteilung: Werden Änderungen am Quellcode vorgenommen und wird die Software dann weiterverteilt, darf dadurch die Lizenz nicht berührt werden. Die Lizenz darf ihre Gültigkeit nicht verlieren und muss auch dann für alle zutreffen, die die Software bei der Weiterverteilung erhalten, ohne eine andere Lizenz erwerben zu müssen. 8. Produktneutralität: Die Lizenz darf nicht davon abhängig sein, dass das Produkt Teil einer bestimmten Software-Distribution ist. Falls das Produkt daraus extrahiert wird und Teil einer neuen Distribution wird, sollten für diese Distribution auch die gleichen Lizenzrechte gelten wie für die Originaldistribution. 9. Keine Einschränkung anderer Software: Die Lizenz darf keine Beschränkungen für Software enthalten, die mit der lizenzierten Software verteilt wird, z.b. darf nicht verlangt werden, dass die Software nur zusammen mit Open-Source-Software weitergegeben wird. 10. Technologie-neutrale Lizenz: Keine Klausel in der Lizenz darf sich auf eine bestimmte Technologie oder einen Schnittstellen-Typ zur Weitergabe festlegen, z.b. darf nicht ausschließlich der Download mit vorherigem Akzeptieren der Lizenz der einzige Vertriebsweg sein, sondern auch die Offline-Weitergabe per CD soll möglich sein. Genauso muss es möglich sein, die Lizenz bei der Installation auf Systemen ohne grafischer Benutzeroberfläche zu akzeptieren, wo es nicht möglich ist, einen Popup-Dialog anzuzeigen. 10

11 1 Einleitung 1.3 Informationssicherheit und Schutzbedarf Informationssicherheit hat als Ziel, den Schutz von Informationen jeglicher Art und Herkunft. Dabei können Informationen sowohl auf Papier, in Rechnersystemen oder auch in den Köpfen der Nutzer gespeichert sein. IT-Sicherheit beschäftigt sich an erster Stelle mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung ([BSI 100-1]). Die IT-Grundschutz-Vorgehensweise und die in den IT-Grundschutz-Katalogen empfohlenen Sicherheitsmaßnahmen zielen darauf ab, Geschäftsprozesse so abzusichern, dass sie möglichst störungsfrei bleiben. Eine Störung liegt immer dann vor, wenn die Vertraulichkeit, Verfügbarkeit oder Integrität von Informationen, Daten, Anwendungen und IT-Systemen verletzt werden ([GSProPro]). Diese drei so genannten Grundwerte der Informationssicherheit bedeuten, wie in [GSProPro] erläutert, Folgendes: Vertraulichkeit ist gewährleistet, wenn Informationen nicht unbefugt und ungewollt preisgegeben worden sind. Beispielsweise können innovative Produktionsverfahren und neuartige Produkte einem Unternehmen Wettbewerbsvorteile sichern. Sie sind deshalb, ebenso wie Informationen zu den Kunden und vorbereiteten Angeboten, ein mögliches Ziel von Wirtschaftsspionage. Maßnahmen, mit denen derartigen Angriffen gegen geheime Geschäftsinformationen begegnet wird, zielen also darauf ab, deren Vertraulichkeit zu sichern. Die Verfügbarkeit von Dienstleistungen, Funktionen eines IT-Systems, Anwendungen, Netzen oder auch von Informationen ist vorhanden, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können. Fertigungsbetriebe streben eine möglichst hohe, effiziente Ausnutzung ihrer Kapazitäten an. In der Produktion ist die Verfügbarkeit oftmals das höchste Sicherheitsziel. Ist diese nicht gewährleistet, können beispielsweise je nach Anlage sehr hohe Folgekosten für den Wiederanlauf entstehen. Der Grundwert Integrität bedeutet, dass Informationen unversehrt, also vollständig und nicht unbefugt oder unbemerkt verändert vorliegen und Systeme korrekt funktionieren. Integrität umfasst also Datensicherheit (Schutz vor Verlust) und Fälschungssicherheit (Schutz vor vorsätzlicher Veränderung). Beispielsweise müssen Fertigungsanlagen wie geplant arbeiten, damit die Produkte in der gewünschten Zeit, Quantität und Qualität hergestellt werden können. Dazu müssen die Mechanik der Anlagen und deren Bedienung fehlerfrei sein. Bei Maschinen, die mittels Informationstechnik gesteuert werden, hängt die Funktionssicherheit insbesondere aber auch davon ab, dass die beteiligte Software und die von ihr verwendeten Informationen unverfälscht und korrekt, also integer sind. Fehlerhafte Steuerungssoftware kann nicht nur schwerwiegende wirtschaftliche Nachteile für ein Unternehmen nach sich ziehen, je nach Art der Produktionsanlage ist sie auch ein mehr oder weniger hohes Risiko für die Unversehrtheit der Personen und der Umwelt in der Umgebung der Produktionsstätte. Viele Anwender ziehen in ihre Betrachtungen weitere Grundwerte mit ein. Das kann je nach Anwendungsfall sehr hilfreich sein. Weitere generische Oberbegriffe der Informationssicher 11

12 1 Einleitung heit sind beispielsweise Authentizität, Verbindlichkeit, Zuverlässigkeit und Nichtabstreitbarkeit ([BSI 100-1]). Die Sicherheit von Informationen wird nicht nur durch vorsätzliche Handlungen bedroht (z. B. Computer-Viren, Abhören der Kommunikation, Diebstahl von Rechnern). Die folgenden Beispiele aus [BSI 100-1] verdeutlichen dies: Durch höhere Gewalt (z. B. Feuer, Wasser, Sturm, Erdbeben) werden Datenträger und IT-Systeme in Mitleidenschaft gezogen oder der Zugang zum Rechenzentrum versperrt. Dokumente, IT-Systeme oder Dienste stehen damit nicht mehr wie gewünscht zur Verfügung. Nach einem missglückten Software-Update funktionieren Anwendungen nicht mehr oder Daten wurden unbemerkt verändert. Ein wichtiger Geschäftsprozess verzögert sich, weil die einzigen Mitarbeiter, die mit der Anwendungssoftware vertraut sind, erkrankt sind. Vertrauliche Informationen werden versehentlich von einem Mitarbeiter an Unbefugte weitergegeben, weil Dokumente oder Dateien nicht als vertraulich gekennzeichnet waren. 1.4 Aufbau des Profils Um die Informationssicherheit nach IT-Grundschutz in einer Institution einzuführen, sind bestimmte Rahmenbedingungen zu schaffen, die für ein Sicherheitsmanagementsystem notwendig sind. In Kapitel 2 werden diese Rahmenbedingungen beschrieben, angefangen bei den BSI-Standards und Grundschutzkatalogen, bis hin zur Sicherheitsorganisation mit dem IT-Sicherheitsbeauftragten und der Verantwortung, die von der Leitungsebene übernommen werden muss. Anschließend wird in Kapitel 3 für das Beispielunternehmen der Informationsverbund beschrieben, auf dessen Grundlage die Informationssicherheit im Weiteren betrachtet wird und worauf die in Kapitel 4 erstellte Leitlinie zu Informationssicherheit aufbaut. In Kapitel 5 wird das Sicherheitskonzept nach IT-Grundschutz beschrieben und es legt die Schritte fest, die in den Kapiteln 6 bis 12 abgehandelt werden. Die Verfahrensschritte bestehen aus der Strukturanalyse in Kapitel 6, in der ermittelt wird, welche Anwendungen, IT-Systeme, Kommunikationsnetze und infrastrukturelle Gegebenheiten zu dem betrachteten Informationsverbund gehören. Kapitel 7 beschreibt die Schutzbedarfsfeststellung, das heißt, welche Sicherheitsanforderungen die zuvor identifizierten Zielobjekte haben. Bei der Auswahl und Anpassung der Maßnahmen in Kapitel 8 werden die zu berücksichtigenden Bausteine aus den IT-Grundschutz-Katalogen ausgewählt und diese bilden zusammengenommen das IT-Grundschutz-Modell des Informationsverbunds. Anschließend wird in Kapitel 9 im Basissicherheitscheck auf Grundlage des IT-Grundschutz-Modells ein Soll-Ist-Vergleich durchgeführt und ermittelt, wo Handlungsbedarf besteht. Der nächste Schritt in Kapitel 10 prüft die betroffenen Zielobjekte in einer ergänzenden Sicherheitsanalyse und gegebenenfalls in einer erforderlichen Risikoanalyse. Kapitel 11 beschreibt die Umset12

13 1 Einleitung zung des erarbeiteten Sicherheitskonzepts. Wie es aufrechterhalten und kontinuierlich verbessert werden kann, wird in Kapitel 12 erläutert. Zum Schluss wird in Kapitel 13 noch kurz darauf eingegangen, wie die Zertifizierung nach ISO auf Basis von IT-Grundschutz erlangt werden kann. Abschließend werden in Kapitel 14.1 die wichtigsten Punkte zusammengefasst. 13

14 14

15 2 Rahmenbedingungen 2 Rahmenbedingungen 2.1 BSI Standards zur Informationssicherheit (aus [GSProPro]) Informationssicherheit hat den Schutz von Informationen jeglicher Art und Herkunft als Ziel. Dabei können Informationen sowohl auf Papier, in Rechnersystemen oder auch in den Köpfen der Nutzer gespeichert sein. Dies erfordert die Umsetzung von organisatorischen und technischen Sicherheitsmaßnahmen und einen kontinuierlichen Prozess, in dem immer wieder geprüft wird, ob diese Maßnahmen noch einen hinreichenden Schutz bieten. Die BSI-Standards zur Informationssicherheit enthalten dazu Empfehlungen für Herangehensweisen, die sich national und international bewährt haben. Im Einzelnen behandeln die BSI-Standards die folgenden Themen: BSI Standard 100 1: Managementsysteme für Informationssicherheit (ISMS) Der Standard [BSI 100-1] beschreibt allgemeine Anforderungen an ein ISMS. Er ist vollständig kompatibel zum ISO-Standard und berücksichtigt weiterhin die Empfehlungen der ISO-Standards und Er bietet Lesern eine leicht verständliche und systematische Einführung und Anleitung, unabhängig davon, mit welcher Methode sie die Anforderungen umsetzen möchten BSI Standard 100 2: IT Grundschutz Vorgehensweise Das Dokument [BSI 100-2] beschreibt detailliert die IT-Grundschutz-Vorgehensweise und enthält damit eine sehr konkrete Anleitung dazu, wie ein ISMS in der Praxis aufgebaut und betrieben werden kann. Wichtige Themen sind: die Aufgaben des Informationssicherheitsmanagements und der Aufbau einer Informationssicherheitsorganisation, die Anfertigung von Sicherheitskonzepten sowie die Auswahl und Umsetzung angemessener Sicherheitsmaßnahmen, die Aufrechterhaltung der Informationssicherheit im laufenden Betrieb und deren kontinuierliche Verbesserung BSI Standard 100 3: Risikoanalyse auf der Basis von IT Grundschutz Bei der Auswahl der geeigneten Sicherheitsmaßnahmen wird ein Anwender durch die ITGrundschutz-Kataloge unterstützt. Diese enthalten Empfehlungen für organisatorische und technische Maßnahmen, die bei normalen Sicherheitsanforderungen und für typische IT-Umgebungen einen angemessenen und ausreichenden Schutz bieten. Der Standard [BSI 100-3] beschreibt eine Vorgehensweise, mit der unter Verwendung der IT-Grundschutz-Kataloge ITRisiken analysiert werden können. Eine solche Analyse kommt immer dann in Frage, wenn 15

16 2 Rahmenbedingungen ein Objekt einen höheren Schutzbedarf hat oder (noch) nicht ausreichend in den IT-Grundschutz-Katalogen behandelt wird oder zwar behandelt wird, aber in einem Einsatzszenario, das für den IT-Grundschutz eher untypisch ist BSI Standard 100 4: Notfallmanagement In dem Standard [BSI 100-4] wird ein systematischer Weg aufgezeigt, die Fähigkeit einer Organisation zur angemessenen Reaktion auf krisenhafte Ereignisse (Notfälle) und zur möglichst raschen Wiederaufnahme ihrer wichtigen Geschäftsprozesse zu steigern. Ein Notfallmanagement ist besonders wichtig für die Geschäftsprozesse einer Organisation, bei denen längere Ausfallzeiten unbedingt zu vermeiden sind. In einem Fertigungsunternehmen dürften dazu alle Prozesse zählen, die für die Erzeugung der Produkte und die Abwicklung der Aufträge wesentlich sind. Der Standard beschreibt insbesondere auch, wie mit Hilfe einer so genannten Business-Impact-Analyse diese kritischen Geschäftsprozesse sowie die Ressourcen bestimmt werden, die von ihnen im Normalbetrieb und zur Wiederherstellung benötigt werden. 2.2 Die IT Grundschutz Kataloge (aus [GSProPro]) Während die BSI-Standards sinnvolle Vorgehensweisen und Organisationsformen beschreiben, wie Informationssicherheit und Notfallmanagement in einer Institution geschaffen und gelebt werden kann, enthalten die nach dem Baukastenprinzip gegliederten IT-GrundschutzKataloge [GSK] konkrete Hinweise zu den Gefährdungen und erforderlichen Sicherheitsmaßnahmen. Sie sind in drei Bestandteile gegliedert: Die Gefährdungs-Kataloge enthalten Zusammenstellungen wesentlicher Gefährdungen für die Informationssicherheit und sind entlang der möglichen Ursachen Höhere Gewalt, Organisatorische Mängel, Menschliche Fehlhandlungen, Technisches Versagen und Vorsätzliche Handlungen gegliedert. Die Maßnahmen-Kataloge enthalten detaillierte Maßnahmenbeschreibungen, die in die Bereiche Infrastruktur, Organisation, Personal, Hardware und Software, Kommunikation und Notfallvorsorge unterschieden sind. Die Baustein-Kataloge bilden die Klammer zwischen Gefährdungs- und Maßnahmenkatalogen. Ein Baustein beschreibt jeweils einen bestimmten Teilaspekt der Informationstechnik einer Organisation. Dies kann ein bestimmtes technisches System, ein zu regelnder organisatorischer Sachverhalt oder eine bestimmte Anwendung sein. Die Bausteine sind sortiert in die Schichten Übergreifende Aspekte (z. B. Hard- und Softwaremanagement), Infrastruktur (z. B. Verkabelung, Gebäude), IT-System (z. B. Client unter Windows P), Netze (z. B. WLAN oder Remote Access) und Anwendungen (z. B. Telearbeit, SAP System). Jeder Baustein enthält neben einer kurzen Darstellung seines Anwendungsgebiets Zusammenstel16

17 2 Rahmenbedingungen lungen der für den beschriebenen Sachverhalt relevanten Gefährdungen und empfohlenen Schutzmaßnahmen. Mit Hilfe der IT-Grundschutz-Kataloge kann eine Organisation auf einfache Weise ein Sicherheitskonzept erstellen, indem die jeweils erforderlichen Maßnahmen aus den anwendbaren Bausteinen ausgewählt und bei Bedarf ergänzt werden. 2.3 Der Informationssicherheitsprozess und die Verantwortlichkeiten Der Informationssicherheitsprozess Der Informationssicherheitsprozess ist ein kontinuierlicher Prozess, der geplant und organisiert werden muss. Ein methodisches Vorgehen für den Aufbau und die Aufrechterhaltung eines solchen Prozesses für Unternehmen und Behörden beschreibt [BSI 100-2] in der Vorgehensweise nach IT-Grundschutz. Der Standard enthält folgende Schritte, um ein angemessenes Sicherheitsniveau zu erreichen: Initiierung des Sicherheitsprozesses Übernahme der Verantwortung durch die Leitungsebene Konzeption und Planung des Sicherheitsprozesses Erstellung der Leitlinie zur Informationssicherheit Aufbau einer geeigneten Organisationsstruktur für das Informationssicherheitsmanagement Bereitstellung von finanziellen, personellen und zeitlichen Ressourcen Einbindung aller Mitarbeiter in den Sicherheitsprozess Erstellung einer Sicherheitskonzeption Umsetzung der Sicherheitskonzeption Aufrechterhaltung der Informationssicherheit im laufenden Betrieb und kontinuierliche Verbesserung Verantwortung der Leitungsebene Die Leitungsebene übernimmt zwar die Verantwortung für die Erreichung des Sicherheitsniveaus, aber alle Beschäftigten der Organisation müssen aktiv mithelfen, den Informationssicherheitsprozess und die Sicherheitsziele zu gewährleisten. Nach [BSI 100-2] sollten dabei folgende Prinzipien eingehalten werden: Die Initiative für Informationssicherheit geht von der Behörden- bzw. Unternehmensleitung aus. Die Gesamtverantwortung für Informationssicherheit verbleibt bei der obersten Leitungsebene. Die Aufgabe "Informationssicherheit" wird durch die Behörden- bzw. Unternehmens- 17

18 2 Rahmenbedingungen leitung aktiv unterstützt. Die Behörden- bzw. Unternehmensleitung benennt die für Informationssicherheit zuständigen Mitarbeiter und stattet diese mit den erforderlichen Kompetenzen und Ressourcen aus. Die Leitungsebene übernimmt auch im Bereich Informationssicherheit eine Vorbildfunktion. Dazu gehört unter anderem, dass auch die Leitungsebene alle vorgegebenen Sicherheitsregeln beachtet. Die Leitungsebene spielt die zentrale Rolle bei der Informationssicherheit und muss auf deren Einhaltung in allen relevanten Geschäftsprozessen und Projekten achten. Als zentrale Grundlage wird die Leitlinie für Informationssicherheit geschaffen, die Geltungsbereiche, Sicherheitsziele, die Sicherheitsstrategie und die Organisationsstruktur definiert und für alle Beschäftigten verbindlich ist. Zur Unterstützung und als Bindeglied zur Leitungsebene, sowie als Verantwortlicher für Informationssicherheit wird die Stelle des IT-Sicherheitsbeauftragten geschaffen, der für die Umsetzung der Leitlinie zuständig ist. In [BSI 100-2] heißt es weiter, der IT-Sicherheitsbeauftragte brauche hierbei erfahrungsgemäß die volle Unterstützung der Behörden- oder Unternehmensleitung, um unter dem überall herrschenden Erfolgsdruck von den jeweiligen Fachverantwortlichen in jede wesentliche Aktivität eingebunden zu werden. Die Leitungsebene muss die Ziele sowohl für das Informationssicherheitsmanagement als auch für alle anderen Bereiche so setzen, dass das angestrebte Sicherheitsniveau in allen Bereichen mit den bereitgestellten Ressourcen (Personal, Zeit, Finanzmittel) erreichbar ist Der IT Sicherheitsbeauftragte (aus [BSI 100 2]) Informationssicherheit wird häufig vernachlässigt, so dass es hinter dem Tagesgeschäft zurücksteckt. Dadurch besteht bei unklarer Aufteilung der Zuständigkeiten die Gefahr, dass Informationssicherheit grundsätzlich zu einem "Problem anderer Leute" wird. Damit wird die Verantwortung für Informationssicherheit so lange hin und her geschoben, bis keiner sie mehr zu haben glaubt. Um dies zu vermeiden, sollte ein Haupt-Ansprechpartner für alle Aspekte rund um Informationssicherheit, ein IT-Sicherheitsbeauftragter, ernannt werden, der die Aufgabe "Informationssicherheit" koordiniert und innerhalb der Institution vorantreibt. Ob es neben diesem weitere Personen mit Sicherheitsaufgaben gibt und wie die Informationssicherheit organisiert ist, hängt von der Art und Größe der Institution ab. Die Rolle des Verantwortlichen für Informationssicherheit wird je nach Art und Ausrichtung der Institution anders genannt. Häufige Titel sind IT-Sicherheitsbeauftragter oder kurz IT-SiBe, Chief Security Officer (CSO), Chief Information Security Officer (CISO) oder Information Security Manager. Mit dem Titel "Sicherheitsbeauftragter" werden dagegen häufig die Personen bezeichnet, die für Arbeitsschutz, Betriebssicherheit oder Werkschutz zuständig sind. Um einen Sicherheitsprozesses erfolgreich planen, umsetzen und aufrechterhalten zu können, müssen die Verantwortlichkeiten klar definiert werden. Es müssen also Rollen definiert sein, die die verschiedenen Aufgaben für die Erreichung der Informationssicherheitsziele wahrnehmen müssen. Außerdem müssen Personen benannt sein, die qualifiziert sind und denen ausreichend Ressourcen zur Verfügung stehen, um diese Rollen auszufüllen. 18

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

Informationssicherheit (k)eine Frage für Ihr Unternehmen? Ziele Informationssicherheit (k)eine Frage für Ihr Unternehmen? SSV bei connect Schnelligkeit, Sicherheit, Verfügbarkeit Vortrag von Ingrid Dubois, dubois it-consulting gmbh Informationssicherheit: Ziele

Mehr

Amtliches Mitteilungsblatt

Amtliches Mitteilungsblatt Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz IT-Grundschutz-Tag 09.10.2013

Mehr

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutz Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutzhandbuch Agenda Ziel der IT-Sicherheit Das IT-Grundschutzhandbuch Umsetzung des IT-Grundschutzhandbuchs Ausbaustufen

Mehr

Dieter Börner Management-Service. Quelle : Bundesamt für Sicherheit in der Informationstechnik

Dieter Börner Management-Service. Quelle : Bundesamt für Sicherheit in der Informationstechnik Dieter Börner Management-Service Am Bahnhof 12 96328 Küps Tel. 09264 91323 Fax 09264 91324 Das Informationssicherheits- Managementsystem nach ISO/IEC 27001 Informationstechnik - IT-Sicherheitsverfahren

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2014 20.03.2014

Mehr

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz IT-Grundschutz modellieren modellieren Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz / Überblick IT- Grundschutzhandbuch (GSHB) betrachtet im Allgemeinen folgende Merkmale: Infrastruktur

Mehr

IT-Grundschutz praktisch im Projekt Nationales Waffenregister

IT-Grundschutz praktisch im Projekt Nationales Waffenregister IT-Grundschutz praktisch im Projekt Nationales Waffenregister Günther Ennen Bundesamt für Sicherheit in der Informationstechnik 19. Berliner Anwenderforum E-Government am 19. und 20. Februar 2013 Fachforum

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 1. IT-Grundschutz-Tag 2013 27.02.2013 Inhalte

Mehr

Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse

Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse Verfasser: BSI Ref. 113 Version: 1.0 Stand: 26. Januar 2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20

Mehr

Ergänzung zum BSI-Standard 100-3, Version 2.5

Ergänzung zum BSI-Standard 100-3, Version 2.5 Ergänzung zum BSI-Standard 100-3, Version 2.5 Verwendung der elementaren Gefährdungen aus den IT-Grundschutz-Katalogen zur Durchführung von Risikoanalysen Stand: 03. August 2011 Bundesamt für Sicherheit

Mehr

IT-Grundschutz-Profile

IT-Grundschutz-Profile IT-Grundschutz-Profile Anwendungsbeispiel für IT-Grundschutz im produzierenden Gewerbe www.bsi.bund.de Bundesamt für Sicherheit in der Informationstechnik Referat 114 - IT-Sicherheitsmanagement und IT-Grundschutz

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE Alternative Ansätze im Sicherheitsmanagement Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit

Mehr

Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen. Marco Puschmann

Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen. Marco Puschmann Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen Marco Puschmann Agenda Kurzportrait HannIT (AöR) Das Personenstandswesen Daten Gesetzliche Rahmenbedingungen (PStV) technische

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT STEINBUCH CENTRE FOR COMPUTING - SCC KIT University of the State of Baden-Wuerttemberg and National Research

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

IS-Revision in der Verwaltung

IS-Revision in der Verwaltung IS-Revision in der Verwaltung Dr. Gerhard Weck INFODAS GmbH, Köln 27. November 2009 Inhalt Nationaler Plan zur Sicherung der Informationsinfrastrukturen (NPSI) Umsetzungsplan KRITIS Umsetzungsplan Bund

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2013 09.10.2013 Agenda

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 11. Kommunales IuK-Forum

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Projekt IT-Sicherheitskonzept.DVDV

Projekt IT-Sicherheitskonzept.DVDV Projekt IT-Sicherheitskonzept.DVDV Dokumentation.Sicherheitsrichtlinie.Server DVDV Dienstleister Bundesverwaltungsamt BIT 3 Barbarastr. 1 50735 Köln 10. Mai 2006 Dokumentinformationen Projekt IT-Sicherheitskonzept.DVDV

Mehr

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz 3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz Institut für Informatik und Automation Dipl.-Inf. Günther Diederich Institut für Informatik und Automation In-Institut der Hochschule

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Webkurs IT-Grundschutz Beschreibung des Beispielunternehmens RECPLAST GmbH

Webkurs IT-Grundschutz Beschreibung des Beispielunternehmens RECPLAST GmbH Webkurs IT-Grundschutz Beschreibung des Beispielunternehmens RECPLAST GmbH Ausgabe April 2011 Dieses Dokument ergänzt den Webkurs IT-Grundschutz und enthält die Darstellungen, Tabellen und Erläuterungen

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit Informationssicherheitsmanagement BSI- Grundschutz in der Praxis Informationssicherheit nach BSI-Grundschutz und ISO 27001 im Praxisvergleich Cyber Akademie

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

IT-Sicherheit betrifft alle

IT-Sicherheit betrifft alle IT-Sicherheit betrifft alle Vorgehensweise nach IT-Grundschutz Angelika Jaschob Bundesamt für Sicherheit in der Informationstechnik Das BSI... ist eine unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2013 13.06.2013 Agenda

Mehr

Freie und Quelloffene Softwarelizenzen im Vergleich

Freie und Quelloffene Softwarelizenzen im Vergleich Freie und Quelloffene Softwarelizenzen im Vergleich Themen Geschichte Idee der Freien und Quelloffenen Software Gesetzeslage in Deutschland Institute Definition von freier Software Definition von quelloffener

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 1. IT-Grundschutz-Tag 2013 27.02.2013 Inhalte

Mehr

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz. Version 1.

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz. Version 1. Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Version 1.0 Bundesamt für Sicherheit in der Informationstechnik Postfach

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie -Einrichten eines IT-Sicherheitsmanagements

Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie -Einrichten eines IT-Sicherheitsmanagements Cloud Security (Minimal-)vorgaben des BSI Kai Wittenburg, Geschäftsführer & ISO27001-Auditor (BSI) neam IT-Services GmbH Vorgehensweise Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Informationssicherheitsleitlinie

Informationssicherheitsleitlinie Stand: 08.12.2010 Informationssicherheit Historie Version Datum Bemerkungen 1.0 16.06.2009 Durch Geschäftsführung herausgegeben und in Kraft getreten. 1.0.1 08.12.2010 Adressänderung des 4Com-Haupsitzes.

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

2008 by Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee 185-189, 53175 Bonn

2008 by Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee 185-189, 53175 Bonn 2008 by Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee 185-189, 53175 Bonn 1 Einleitung Inhaltsverzeichnis 1 Einleitung 6 1.1 Versionshistorie 6 1.2 Zielsetzung 6 1.3 Adressatenkreis

Mehr

Praktischer Datenschutz

Praktischer Datenschutz Praktischer Datenschutz Heiko Behrendt Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel ULD72@datenschutzzentrum.de Praktischer Datenschutz 1 Themen 1. Behördlicher und betrieblicher

Mehr

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess, Projektmanager und Sales Consultant, EMPRISE Process Management GmbH Das Gesetz

Mehr

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit Umsetzungsverfahren KMU-Zertifizierung Informationssicherheit Inhalt Umsetzungsverfahren... 1 Umsetzungsverfahren zur KMU-Zertifizierung nach OVVI Summary... 2 1. Information Security Policy / IT-Sicherheitsleitlinie...

Mehr

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit

Mehr

Compliance und IT-Sicherheit

Compliance und IT-Sicherheit Compliance und IT-Sicherheit Isabel Münch Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Agenda Das BSI Compliance-Anforderungen und IT-Sicherheit Risikomanagement

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

IT-Grundschutz für mittelständische Unternehmen

IT-Grundschutz für mittelständische Unternehmen IT-Grundschutz für mittelständische Unternehmen Randolf Skerka SRC Security Research & Consulting GmbH Bonn - Wiesbaden IT-Grundschutzhandbuch Agenda Ein wenig über SRC Das IT-Grundschutzhandbuch Umsetzung

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

Praktizierter Grundschutz in einem mittelständigen Unternehmen

Praktizierter Grundschutz in einem mittelständigen Unternehmen Praktizierter Grundschutz in einem mittelständigen Unternehmen Adolf Brast, Leiter Informationsverarbeitung Bochum-Gelsenkirchener Straßenbahnen AG auf dem 4. Stuttgarter IT-Sicherheitstag, 16.02.06 Überblick

Mehr

Die Umsetzung von IT-Sicherheit in KMU

Die Umsetzung von IT-Sicherheit in KMU Informatik Patrick Düngel / A. Berenberg / R. Nowak / J. Paetzoldt Die Umsetzung von IT-Sicherheit in KMU Gemäß dem IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik Wissenschaftliche

Mehr

Cyber-Sicherheits- Check

Cyber-Sicherheits- Check -MUSTER- -MUSTER- Muster-Beurteilungsbericht zum Cyber-Sicherheits- Check der Beispiel GmbH Januar 2014 1. Rahmendaten Beurteilungsgegenstand Beurteiler Anlass Grundlagen und Anforderungen Zeitlicher Ablauf

Mehr

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke Vorstellung - Ihr Referent Prof. Dr. Thomas Jäschke Professor für Wirtschaftsinformatik an der FOM Hochschule für Oekonomie & Management

Mehr

Herzlich willkommen zu unserer Informationsveranstaltung --------------- Die digitale Betriebsprüfung - das gläserne Unternehmen?

Herzlich willkommen zu unserer Informationsveranstaltung --------------- Die digitale Betriebsprüfung - das gläserne Unternehmen? Herzlich willkommen zu unserer Informationsveranstaltung --------------- Die digitale Betriebsprüfung - das gläserne Unternehmen? Grundsätze des Datenzugriffs und der Prüfbarkeit digitaler Unterlagen GDPdU

Mehr

Nachweisbare Sicherheit durch Zertifizierung nach BSI Grundschutz

Nachweisbare Sicherheit durch Zertifizierung nach BSI Grundschutz Nachweisbare Sicherheit durch Zertifizierung nach BSI Grundschutz DECUS Symposium 8.-10. April 2003 Jürgen Bachinger Senior Consultant HP Services - Consulting & Integration BSI-Auditor: BSI-GSL-0001-2002

Mehr

BSI-Standard 100-4 Notfallmanagement

BSI-Standard 100-4 Notfallmanagement BSI-Standard 100-4 Notfallmanagement Isabel Münch Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Dr. Marie-Luise Moschgath PricewaterhouseCoopers AG Folie

Mehr

Digitale Betriebsprüfung

Digitale Betriebsprüfung Digitale Betriebsprüfung 1 Digitale Betriebsprüfung Warum digitale Betriebsprüfung: Die digitale Betriebsprüfung ergänzt die bisherige Form der Betriebsprüfung. Seit dem 01.01.2002 sind alle Unternehmen,

Mehr

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

Neues vom IT-Grundschutz: Ausblick und Diskussion

Neues vom IT-Grundschutz: Ausblick und Diskussion Neues vom IT-Grundschutz: Ausblick und Diskussion Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2014

Mehr

BSI-Standard 100-4. der neue deutsche Standard zum Notfallmanagement. Dr. Marie-Luise Moschgath

BSI-Standard 100-4. der neue deutsche Standard zum Notfallmanagement. Dr. Marie-Luise Moschgath BSI-Standard 100-4 der neue deutsche Standard zum Notfallmanagement Dr. Marie-Luise Moschgath Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Das BSI Das

Mehr

Kosten für Software-Lizenzen

Kosten für Software-Lizenzen BREMISCHE BÜRGERSCHAFT Drucksache 18/541 S Stadtbürgerschaft 18. Wahlperiode 22.04.14 Antwort des Senats auf die Kleine Anfrage der Fraktion der SPD Kosten für Software-Lizenzen Antwort des Senats auf

Mehr

Open Source. Eine kleine Geschichte zum Konzept der freien Software

Open Source. Eine kleine Geschichte zum Konzept der freien Software Open Source Eine kleine Geschichte zum Konzept der freien Software Open Source Definition (1) Freie Weitergabe Die Lizenz darf niemanden darin hindern, die Software zu verkaufen oder sie mit anderer Software

Mehr

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. NetworkedAssets GmbH Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. Dezember 2006 Rechtliche Aspekte Administration Gliederung Praktische

Mehr

Wie gesund ist meine IT? Informationssicherheit in kleinen Unternehmen

Wie gesund ist meine IT? Informationssicherheit in kleinen Unternehmen Wie gesund ist meine IT? Informationssicherheit in kleinen Unternehmen Kai Wittenburg Geschäftsführer, ISO27001 Auditor (BSI) Ihre IT in sicheren Händen Was ist Informationssicherheit? Vorhandensein von

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

Wie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie Seite 1 von 13 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: De-Mail Sicherheit Modulübergreifend Anwendungsbereich: Kürzel: BSI De-Mail TR 01201

Mehr

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG) Unternehmen: Branche: Ansprechpartner: Position: Straße: PLZ / Ort: Tel.: Mail: Website: Kontaktdaten Datenschutzbeauftragter: Fax: Sicherheitspolitik des Unternehmens JA NEIN 01. Besteht eine verbindliche

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

Ausblick und Diskussion

Ausblick und Diskussion Ausblick und Diskussion Isabel Münch Bundesamt für Sicherheit in der Informationstechnik Sicherheitsmanagement und IT-Grundschutz IT-Grundschutz-Tag 04.05.2011 Agenda Allgemeine Weiterentwicklung IT-Grundschutz

Mehr

Neu erstellen!!! Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter

Neu erstellen!!! Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter und Nutzung der Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter Neu erstellen!!! I3 - Gruppe IT-Sicherheit und Cyber Defence IT-Sicherheit in der Folie 1 und Nutzung in der Bundesamt

Mehr

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH TÜV Informationstechnik GmbH Langemarckstraße 20 45141 Essen, Germany Phone: +49-201-8999-401 Fax: +49-201-8999-888 Email: A.sommer@tuvit.de Web: www.tuvit.de Sicherheit als strategische Herausforderung

Mehr

Staatlich geprüfte IT-Sicherheit

Staatlich geprüfte IT-Sicherheit Bild: Lampertz GmbH & Co.KG Staatlich geprüfte IT-Sicherheit Dr.-Ing. Christian Scharff Lizenziert vom Bundesamt für Sicherheit in der Informationstechnik (BSI) Accuris Consulting / EGT InformationsSysteme

Mehr

Informations-Sicherheit mit ISIS12

Informations-Sicherheit mit ISIS12 GPP Projekte gemeinsam zum Erfolg führen www.it-sicherheit-bayern.de Informations-Sicherheit mit ISIS12 GPP Service GmbH & Co. KG Kolpingring 18 a 82041 Oberhaching Tel.: +49 89 61304-1 Fax: +49 89 61304-294

Mehr

Informationssicherheit in handlichen Päckchen ISIS12

Informationssicherheit in handlichen Päckchen ISIS12 Informationssicherheit in handlichen Päckchen ISIS12 Der praxistaugliche Sicherheitsstandard für kleine und mittelgroße Unternehmen IT-Trends Sicherheit, 20. April 2016 Referentin Claudia Pock Sales Managerin

Mehr

IT-Revision als Chance für das IT- Management

IT-Revision als Chance für das IT- Management IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT

Mehr

Praxisbericht Zertifizierung Digitale Nachweise in IT-Grundschutz- Zertifizierungsverfahren

Praxisbericht Zertifizierung Digitale Nachweise in IT-Grundschutz- Zertifizierungsverfahren Praxisbericht Zertifizierung Digitale Nachweise in IT-Grundschutz- Zertifizierungsverfahren IT-Grundschutztag 13. Juni 2012, Bremen Dr. Sönke Maseberg "Es gilt auch Handschlagqualität in diesem Bereich,

Mehr

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen Marc Schober Bundesamt für Sicherheit in der Informationstechnik Referat 112 Kritische Infrastrukturen und IT-Sicherheitsrevision Bundesamt

Mehr

Aspekte der Informationssicherheit bei der Einführung von SAP an der TU Dresden. Vorgehen, Werkzeuge, Erfahrungen-

Aspekte der Informationssicherheit bei der Einführung von SAP an der TU Dresden. Vorgehen, Werkzeuge, Erfahrungen- Aspekte der Informationssicherheit bei der Einführung von SAP an der TU Dresden Vorgehen, Werkzeuge, Erfahrungen- BSI IT-Grundschutz-Tag Berlin 13. Februar 2014 Jens Syckor IT-Sicherheitsbeauftragter Matthias

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

CLOUD COMPUTING. Risikomanagementstrategien bei der Nutzung von Cloud Computing

CLOUD COMPUTING. Risikomanagementstrategien bei der Nutzung von Cloud Computing CLOUD COMPUTING Risikomanagementstrategien bei der Nutzung von Cloud Computing Michael Rautert Staatlich geprüfter Informatiker Geprüfter IT-Sicherheitsbeauftragter (SGS TÜV) Ausbildung zum geprüften Datenschutzbeauftragten

Mehr

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04.

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. November 2014 1 Index Sicherheitsstrategie Praxis Ganzheitliche Betrachtung (Informations-)

Mehr