Security KPIs. wie misst man IT-Sicherheit? Seminararbeit. Bachelor Scientific Programming. Rafael Adrian Cichocki Matrikelnummer:

Größe: px
Ab Seite anzeigen:

Download "Security KPIs. wie misst man IT-Sicherheit? Seminararbeit. Bachelor Scientific Programming. Rafael Adrian Cichocki Matrikelnummer: 846819"

Transkript

1 Seminararbeit Bachelor Scientific Programming Security KPIs wie misst man IT-Sicherheit? Student: Rafael Adrian Cichocki Matrikelnummer: Erstprüfer: Prof. Dr. rer. nat. Jobst Hoffmann Fachhochschule Aachen Medizintechnik und Technomathematik Zweitprüfer: Dipl. Math. Edmund Cleuvers Compagnie de Saint-Gobain Zweigniederlassung Deutschland Aachen, den 14. Januar 2012

2 2 S e i t e

3 Abstract IT-Sicherheit ist mittlerweile ein bekanntes Thema, welches auch gerne von der Presse öfters beschrieben wird. Im Bewusstsein vieler Leute stehen schon Begriffe wie Firewall, Antivirus und Passwortstärke fest in Verbindung mit IT-Sicherheit. Mit der steigenden Komplexität von IT- Systemen wird jedoch immer wieder gemerkt, dass diese moderne Informationstechnologie sich nicht zuverlässig einsetzen lässt, trotz Einsatz von den oben genannten gängigen Tools. Große Unternehmen behandeln diese Herausforderung indem designierte organisatorische Einheiten erstellt werden, die sich nur mit Vertraulichkeit, Verfügbarkeit und Integrität der IT-Infrastruktur und Systeme beschäftigt. Dennoch sind diese Einheiten nicht nur für das Einsetzen von entsprechenden Sicherheitstools verantwortlich, sondern betreiben eine ganz eigene Managementdisziplin. Diese Arbeit stellt einen Aspekt des IT-Security Managements vor, nämlich die Verwendung von Leistungskennzahlen auf Englisch: Key Performance Indicators - zur Überwachung und Steuerung von IT-Sicherheitsbemühungen. Die Verwendung von Key Performance Indicators ist keine neue Erfindung, und wird in allen Branchen betrieben, in Organisationen aller Größen. Am bekanntesten ist wahrscheinlich der Einsatz von Leistungskennzahlen in der Finanzrechnung, wo Profit, Umsatz und Investmentrendite im Mittelpunkt dieser Tätigkeit liegt. IT-Sicherheit ist jedoch im Vergleich zur Finanzrechnung eine junge Disziplin, und ein zielorientierter Einsatz von Leistungskennzahlen ist noch nicht in ihr verankert. Diese Seminararbeit erklärt zuerst die Rolle von IT-Sicherheit in einer Organisation, mit besonderem Fokus auf die Verbindung zwischen Risiko und Sicherheit. Daraufhin begründet sie anhand von mehreren Beispielen den Nutzen von Key Performance Indicators. Sie ist dabei bei weiten nicht ausschöpfend, sondern dient als Einführung in das Thema, und soll anregen sich genauer mit dem Thema für eine Anwendung in der Praxis zu beschäftigen. Hauptquelle sind zwei Bücher aus dem letzten Jahrzehnt, welche in der Praxis als wegweisend in dem Thema von IT-Sicherheitsindikatoren gelten. Es werden aber auch digitale Publikationen von Interessensgemeinden als Quelle herangezogen, da diese in der Praxis von IT- Sicherheitsmanagement auch eine wichtige Rolle spielen. Der Autor dieser Seminararbeit ist mit dem Thema verbunden, durch seine Tätigkeit bei der Compagnie de Saint-Gobain im Bereich der IT-Sicherheit Compliance Administration. 3 S e i t e

4 Inhaltsverzeichnis Abstract... 3 Einleitung... 5 IT-Vertrauensmanagement... 5 IT-Risikomanagement... 6 Risikocontrolling... 6 Bemerkungen zur Seminararbeit... 7 Key Performance Indicators... 7 Gute Metriken, Pseudo Metriken... 8 Wichtige Merkmale von KPIs... 9 Methode zur Findung von KPIs Typische Themen von Interesse für IT-Sicherheitsverantwortliche Der Mehrwert von IT-Sicherheitsbemühungen IT-Sicherheit als Prozess mit Verbesserungspotential Schlussbetrachtung Kritik Ausblick Quellen Abkürzungen und Begriffsverzeichnis S e i t e

5 Einleitung Die sich in der heutigen Zeit ständig wandelnde Informationstechnologie ist in jeglichen Lebensbereichen nicht mehr wegzudenken. Es ist kaum vorstellbar, dass es möglich ist, dieser Aussage zu wiedersprechen. Dennoch wird Informationstechnologie nicht mit unbegrenzter Offenheit empfangen, da eine Fülle von Mistrauen und Unsicherheit existiert, und dies auch nicht ohne Grund. Abgesehen von der selbstverständlichen Barriere vom Anlernen und Integrieren eines neuen Systems passiert es öfters, dass diese hoch komplexe Technologie es nicht schafft, grundsätzliche Erwartungen zu erfüllen. Sowohl im privaten wie auch öffentlichem Leben gibt es viele Beispiele zur Enttäuschung mit der IT. Der Internetzugriff ist plötzlich nicht verfügbar, obwohl das Kabel richtig steckt. Das allverbreitete Windows System ist mitten in der Ausführung eines wichtigen Programms abermals eingefroren. Oder ein Weltweit agierendes Unternehmen stellt fest, dass über Jahre entwickelte Technologien von dritten einfach kopiert worden sind. IT-Vertrauensmanagement Wie bei konventionellen Produktivitäts-Werkzeugen, man denke an Papier, wird auch von der IT erwartet, dass Vertraulichkeit, Verfügbarkeit und Integrität auf irgendeine Art gewährleistet werden kann. Aber genau wie man kein Fotopapier als Schmierpapier nutzt, und keinen Safe kauft um dort Weihnachtsgrußkarten aufzubewahren, gibt es auch für IT eine wirtschaftliche Betrachtungsweise. Man stellt sich daher die Frage: ist der Aufwand zur Gewährleistung der Sicherheit eines IT-Dienstes auch dem Nutzen gerecht den man durch ein entsprechend sicheres Ausführen dieses Dienstes bekommt? Sind die Kosten von IT- Sicherheitsbemühungen nicht höher als der dadurch gewonnene Mehrwert? Die am besten bekannten IT-Sicherheitsprodukte steigern das Vertrauen in dieses moderne Werkzeug. Man vertraut der Antiviren-Software, dass keine schädlichen Programme auf IT- Systemen gelangen oder ausgeführt werden können. Bei redundanter Auslegung von Hardware vertraut man darauf, dass bei Versagen einer Komponente, mittels der zweiten Komponente der Dienst aufrechterhalten wird. Web-Zertifikate erlauben es einem Nutzer vertraute Web- Seiten zu erkennen. Es gibt weitere Tools: Firewalls, Passwörter, Rechteverwaltung, ; die alle als Möglichkeiten zur Herstellung von Vertrauen dienen. Dennoch bieten diese alle nur Sicherheit vor bestimmten Szenarien. Wenn eine Sicherheitslücke Identifiziert wird, kann eine entsprechende Maßnahme entwickelt werden, die vor dieser Konkreten Sicherheitslücke Schutz bietet. Sicherheitslücken zu schließen ist zum einen ein nicht zu unterschätzender Aufwand und bedeutet auch, dass man vor unentdeckten Lücken niemals 100% sicher ist. Ein prima Beispiel hierzu ist das kontinuierliche Patchen von Microsoft Software Produkten; es werden immer neue Sicherheitslücken entdeckt. Das bedeutet, dass es zu jedem gegebenen Zeitpunkt 5 S e i t e

6 Sicherheitslücken gibt, die noch nicht bearbeitet worden sind. Es ist auch recht aufwändig immer alle Microsoft Patches anzuwenden, da Netzwerk-Bandbreite belegt wird und der Rechner für andere Tätigkeiten blockiert wird. In einem modernen wirtschaftlichen Umfeld, wo Bandbreite und Verfügbarkeit von Rechnern Geschäftskritisch sind, wird auch ab gewägt in wie fern ein Patch für die Organisationszwecke überhaupt nötig ist. Hierbei leistet das Common Vulnerability Scoring System eine neutrale Bewertung der Kritikalität von Patches [CVSS] gegenüber der Einschätzung von Microsoft. Eine Organisation kann sich dann einen Schwellenwert aussuchen, und nur die Patches installieren, dessen CVSS Wertung diesen Schwellenwert überschreiten. IT-Risikomanagement Es bleibt also immer ein Restrisiko übrig, welches größer oder kleiner ist je nachdem wie viel Aufwand man beim Schließen von Sicherheitslücken erbringen möchte. Dieses Restrisiko ist zentral in jedem strukturierten IT-Sicherheitsansatz, denn IT Sicherheit ist verantwortlich für jegliche Risiken, die eine Auswirkung auf die Verfügbarkeit der IT Services darstellen und dafür eine Gefahr für die Kontinuität der unterstützten Geschäftsprozesse darstellen. Man sagt auch, dass der Grad von IT-Sicherheit von drei Faktoren abhängt: der Risikobereitschaft, der Systemfunktionalität, und der Kostenvorstellung. Dies deutet stark darauf hin, dass IT-Sicherheitsverwaltung eine Management Tätigkeit ist, und keine rein technische Angelegenheit ([ENISA06], S.8). Risikocontrolling An dieser Stelle möchte ich das Risikocontrolling vorstellen. Allgemein formuliert besteht die Zielsetzung des Risikocontrollings in der Koordination von Planung, Steuerung und Kontrolle hinsichtlich risikorelevanter Sachverhalte, d.h. in der Gewährleistung der Reaktions-, Anpassungs- und Koordinationsfähigkeit im Rahmen der jeweiligen unternehmerischen Risikosituation. (Vgl. Braun 1984, s.289; Lück 1998a, S. 1929; Diederichs/Richter 2001, S.137, zitiert nach [DIED04], S. 25) Hierbei deutet Controlling nicht auf Kontrolle, im Sinne von absoluter Macht über das IT- System, sondern eher auf ein Berichtsystem, welches auf kontrollieren von System- Komponenten und deren Gegenüberstellung beruht. Dies ist ein wesentlicher Bestandteil jeglicher Organisationen, welches stark im Prozess der Entscheidungsfindung Geltung findet. Im Sinne des Sprichworts: Vertrauen ist gut, Kontrolle ist besser. ; gilt es auch bei IT- Sicherheit das IT-System zu kontrollieren, und nicht blind verschiedene Tools von IT- Sicherheitsanbietern zu installieren und darauf zu vertrauen, dass ausreichend Risiken beseitigt 6 S e i t e

7 worden sind. Ist man sich der tatsächlichen Risiken nicht bewusst, so kann man eine böse Überraschung erleben. Dies ist besonders ärgerlich, wenn es offensichtlich ist, dass durch einen leicht höheren Aufwand um tatsächliche Risiken zu analysieren, der Verlust hätte kontrolliert vermieden werden können. Dabei kann ein gut eingesetztes IT-Sicherheitscontrolling auch direkt positive Auswirkungen haben, indem finanzielle Verausgabung vermieden werden kann bei Schutzmaßnahmen deren Kosten dem Nutzen der zusätzlichen Sicherheit überschreiten. Oder etwa auch beim Identifizieren von Maßnahmen, die zwar Sicherheit bieten, aber im Endeffekt den Arbeitsprozess unakzeptabel erschweren oder verlangsamen. Bemerkungen zur Seminararbeit Die Frage mit der sich diese Arbeit beschäftigt ist, wie ein effektives IT-Sicherheitscontrolling auszusehen hat, und im genaueren, wie Messwerte zur Entscheidungsfindung aufgebaut sind die so genannten Key Performance Indicators (KPIs). Um dies zu bewerkstelligen, wird eine Literaturrecherche durchgeführt, mit dem Ziel ein theoretisches Modell für ein IT-Sicherheitscontrolling aufzustellen. Dieses Modell soll als grundlegende Referenz dienen können, für den möglichen Aufbau eines IT-Sicherheit Controlling Systems, welches zur Steuerung und Kommunikation von IT-Sicherheit orientierten Aktivitäten in einem betrieblichen Umfeld genutzt werden kann. Aus diesem Grund wurde auch primär Literatur gewählt, die in Rezensionen als Praxisorientiert eingestuft wird. Die Arbeit beschäftigt sich im ersten Absatz mit dem Konzept von Messwerten im Controlling also was gute Key Performance Indicators ausmacht, und mit welchen Methoden man zu solchen kommen kann. Daraufhin folgt eine Betrachtung von Key Performance Indicators im einzeln aus Sicht eines IT-Sicherheitsverantwortlichen. Diese Detailbetrachtung soll dann an einem fiktiven Beispiel eines Unternehmens in einer Balanced Scorecard für IT- Sicherheit zusammengesetzt werden, um ein IT-Sicherheit Controlling System zu simulieren. In einem Ausblick werden dann zuletzt weiterführende Thematiken vorgestellt, die eine Vertiefung der Thematik erlauben, insbesondere das Messen von menschlichem Verhalten und die Betrachtung von Menschen als Hauptrisikofaktoren in einem IT-System man denke an Social Engineering. Key Performance Indicators Da die Aufgabe des IT-Sicherheitscontrolling die Sicherstellung der Informationsversorgung und der damit verbundene Aufbau einer Risikoberichterstattung ist [Died04 S.26], wird nun der Fokus auf diese Informationsträger für die IT-Sicherheit gelegt. 7 S e i t e

8 Damit werden alle IT-Technologien, die aktiv eine Grundsicherheit gewährleisten, als Sicherheit Tools betrachtet, an dieser Stelle aber nicht weiter verfolgt. IT- Berichte sind bekannter Weise mit vielen Messwerten bestückt, dank welcher es leichter sein soll, Situationen zu beurteilen und Entscheidungen zu treffen. Berichte müssen aber auch auf den Empfänger zugeschnitten werden. Führungskräfte erhalten eine sehr verdichtete Aufbereitung, um zwischen Alternativen abwägen zu können. Sachbearbeiter dagegen erhalten detaillierte Beschreibungen, um ihre Tätigkeiten vor Ort besser steuern zu können. Verbindet man Berichte mit konkreten Planwerten (Kennzahlen) im Sinne einer Zielvorgabe, leisten diese einen wichtigen Beitrag zur Koordination von Unternehmensbereichen. Allerdings muss man hierbei bedenken, dass Berichte das Verhalten von Mitarbeitern beeinflussen; im positiven Sinne zur Lenkung und Motivation von Mitarbeitern bei der Erreichung von Zielen, aber auch im negativen zur Vernachlässigung von Tätigkeiten, die nur Indirekt oder gar nicht im Bericht zum Vorschein kommen. [Horv06, S. 256] Nach [Horv06, S.247] gibt es folgende Hauptkritikpunkte von Führungskräften an der Informationsversorgung. Informationen : Kommen zu spät Sind entweder zu detailliert oder umfangreich Enthalten nur Daten, die sich quantifizieren lassen Stimmen nicht mit den Informationen aus anderen Berichten überein Können nicht zur strategischen Planung eingesetzt werden Um all diese Probleme besser zu erläutern, werden im nachfolgenden Absatz zuerst einzelne Messwerte in Betracht gezogen, und im Anschluss daran die Sicht auf einen gesamten IT- Sicherheit Bericht gerichtet. Gute Metriken, Pseudo Metriken Jegliche Metriken, die empirisch gemessen werden können und dazu beitragen Unsicherheit über IT-Sicherheit Prozesse und Operations zu beseitigen, eignen sich als potentielle KPIs [Haydn10]. Was ist also eine gute Metrik? Eine simple Metrik ist einfach ein Messstandard das Ergebnis von Eigenschaftsbeobachtungen bezogen auf einen Vergleichsstandard. Gute Metriken sind nützlich. Sie begutachten Kritische Erfolgsfaktoren, und sind Leistungskennzahlen für das Erreichen von Zielsetzungen. Solch guten Metriken können als Key Performance Indicators genutzt werden, von hier an kurz als KPI bezeichnet. 8 S e i t e

9 Wichtige Merkmale von KPIs In der Praxis gibt es folgende Eigenschaften, die einen KPI von einem üblichen Messwert unterscheiden: Standardisierung Besonders Risikoabschätzung beruht stark auf menschlichen Bewertungen, und unterliegt demnach stark unterschiedlichen Interpretationsmöglichkeiten. Wenige Menschen versuchen gezielt zu täuschen, aber alle haben subjektive Meinungen, die in ihrer Arbeit zur Geltung kommen. Aus Sicht des Controllings, ist es schlimmer irreführende KPIs im Report zu haben, als gar keine. KPIs müssen sich gut kommunizieren lassen, indem sie von subjektiven Wortlauten und Erfahrungen entkoppelt sind, und können dadurch von jedem auf die gleiche Weise gemessen werden. Daher werden Meinungsunterschiede und Verständnisfehler vermieden, und der Fokus wird direkt auf den untersuchten Sachverhalt gelenkt. Man vergleiche folgende zwei mögliche Indikatoren zum Thema IT-Sicherheitsbewusstsein von Mitarbeitern einer Organisation: % der Mitarbeiter, die eine formelle IT-Sicherheitsschulung mitgemacht haben Abschätzung von IT-Sicherheitsverantwortlichen zum IT-Sicherheitsbewusstsein, abgestuft nach vier Kategorien: (1)nicht vorhanden, (2)interessiert sich dafür, (3)sucht aktiv Hilfe in fragwürdigen Situation, (4)kann überwiegend selbständig Risiken erkennen und vermeiden. % Mitarbeiter mit absolvierter Schulung in einem Call-Center Monate seit beginn der Messungen Bei einem Call-Center kann eine hohe Mitarbeiterfluktuation ein großes IT-Sicherheitsrisiko sein. In diesem Fall wurden, nach Feststellung dieser Tatsache, Schulungen ab einem Schwellenwert von <70% ungeschulter Mitarbeiter eingeführt. Im Grunde genommen sind beides relevante Indikatoren, aber eignen sich zu unterschiedlichen Zwecken. Über ein ganzes Unternehmen hinweg, lassen sich die Meinungen von IT-Sicherheitsverantwortlichen garantiert nicht vergleichen, da sehr viele Unterschiede 9 S e i t e

10 vorherrschen können, welche die Bewertungen beeinflussen, wie z.b. Grad der Zusammenarbeit, Kultur von Offenheit, Aufteilung von Verantwortlichkeiten, usw. da macht es viel mehr Sinn sich auf die erste Metrik zu verlassen, und auf diese Art den Schulungsbedarf hin zu ermitteln, und die Entwicklung vom Sicherheitsbewusstsein von Mitarbeitern über Zeit hinweg zu verfolgen. Dieser Prozentsatz kann sehr objektiv gemessen werden, und erlaubt auf direktem Wege eine grobe Abschätzung zur Anfälligkeit eines Unternehmens für Social Engineering Attacken oder zur Akzeptanz von unbequemen IT-Sicherheitsmaßnahmen. Die zweite Metrik dagegen bietet mehr Detail, was auch von Relevanz ist, denn Schulungen können besser oder schlechter ausfallen, abhängig vom Vortragenden, der Räumlichkeit, und weiteren Randbedingungen. Somit könnte bei weiterer Unzufriedenheit an risikolindernden Maßnahmen, dieser KPI dazu beitragen weitere Maßnahmen zu steuern. Die Standardisierung ist aber bei dieser Metrik prekärer, denn sobald der IT-Sicherheitsverantwortliche wechselt, kann die Entwicklung der Risikominderung nicht mehr verfolgt werden, und die Diskussion wird auf das Verstehen von subjektiven Meinungen umgelenkt anstatt sich mit den Risiken von Social Engineering und mangelnder Akzeptanz von Sicherheitsmaßnahmen zu beschäftigen. Formalisierung Bedeutet primär, dass KPIs dokumentiert werden und in einem offiziellen Prozess bestimmt werden. Dies steht einer Informellen Metrik gegenüber, welche meist von einer Person erstellt wird, und in einem unklaren Prozess zu einem Ergebniswert führt. Der Vorteil der Formalisierung liegt darin, dass das Vertrauen in den Nutzen eines KPIs gesteigert werden kann. Ist ein KPI nicht Formal bestimmt worden, ist er direkt an die Personen gebunden, die ihn erstellen. Jedes Mal, wenn ein Mitarbeiter sich auf den Wert berufen möchte, erst persönlich geklärt werden wie dieses Maß überhaupt zustande gekommen ist. Weit häufiger lässt sich der Mangel an Formalität merken, wenn mehrere ähnliche Messwerte existieren, welche von einander nicht richtig abgegrenzt werden können. Dies kann darauf beruhen, dass die Meinung herrsche, die Bedeutung eines KPI doch offensichtlich sei. 10 S e i t e

11 Patch Installationsrate in % Tage seit erscheinung der 3 neuen Patches Der Prozentsatz aller Windows Systeme mit installierten Patches, dabei sind die oberen 5% in Schwarz um anzudeuten, dass dieser Bereich nicht mehr relevant ist. KPIs die mehrere mögliche Werte aufweisen können, sind ein gutes Beispiel für den Bedarf an Formalisierung. Z.B. bei der Verteilung von Microsoft Patches auf allen Windows Systemen in einem Netzwerk, lässt sich der Fortschritt als Prozentsatz der Systeme mit installiertem Patch darstellen. Zum einen kann man mindest-grenzen festlegen, z.b. jeder Patch soll auf mindestens 90% der Systeme installiert sein, wobei Priorität die Patches haben, die unter 75% Installationsrate haben. Das klingt schon einigermaßen sinnvoll. Weniger selbstverständlich ist es aber Obergrenzen hierfür festzulegen, was sich dadurch begründen lässt, dass es immer Systeme geben wird bei denen Standard Patches nicht installierbar sind, oder gar Probleme bei anderer Software auf dem System verursachen. Hier kann man unnötigen Aufwand sparen, indem man z.b. konkret festlegt, dass ab 95% Installationsrate keine weiteren Bemühungen getätigt werden sollen um den Prozentsatz noch höher zu treiben. Somit bleibt keine Unklarheit darüber, ab wann Arbeitsaufwand lieber in anderen Bereichen eingesetzt werden soll, und wie lange es noch akzeptabel ist für widerspenstige Systeme Workarounds zur Patchinstallation zu finden. Es gibt keine 100% Sicherheit; man ist immer bereit ein gewisses Restrisiko zu tragen. Die Aufwände für die Erreichung der letzten Prozente mag unverhältnismäßig hoch sein. Bei größeren Unternehmen ist es üblich solche Risikobereitschaft in SLAs (Service Level Agreements) formell festzulegen. Darin werden Erfüllungsgrad zu einem gewissen Zeitpunkt dokumentiert, und bei Verletzung dieser Vereinbarung werden auch konkrete Strafmaßnahmen festgelegt. Wichtig ist ein formales Herangehen auch um die Verwendbarkeit eines KPI über mehrere Reports hinweg zu sichern. Da jegliches Controlling ein dynamischer, sich als immer weiter 11 S e i t e

12 entwickelnder Prozess manifestiert, ist es erdenkbar, dass sich die Definitionen von KPIs mit der Zeit ändern. Dies betrifft besonders KPIs die sich auf Organisationsstrukturen eines Unternehmens beziehen, da diese sehr wahrscheinlich über die Zeit hinweg Ihre Gestalt ändern. Der Prozentsatz von IT-Projekten mit inbegriffenen IT-Sicherheitskosten ist stark von der Kostenstruktur von Projekten abhängig. So könnte es sich nach einer weiteren Analyse von Projekt-Abrechnungen ergeben, dass Projekte zwar jeweils ein gesondertes Budget für IT- Sicherheit besitzen, aber diese nicht über die Kosten einzelner Projekte abgewickelt werden. Fügt man diese weitere Tatsache zu dem KPI hinzu, ergibt sich in der Historisierung ein Sprung in der Statistik, welcher fälschlicherweise als erfolgreiche Überzeugung von Projektträgern zur Beachtung von IT-Sicherheitskosten interpretiert werden kann. Steht dann an dieser Stelle im Graph eine Erklärung, dass eine neue Definition von Projekt-Finanzberichten eingeführt worden ist, wird formell der Verlauf des KPI dokumentiert. Messfrequenz KPIs lassen sich grob in zwei Kategorien teilen; welche die regelmäßig, und solche die ad hoc, gemessen werden. Um den höchsten Informationswert bei regelmäßigen Messungen zu bekommen, sollte ein KPI zumindest so oft gemessen werden wie er sich verändert. Dadurch kann in einer Historisierung der Änderungsverlauf bestens verfolgt werden. Jedoch ist eine hohe Messfrequenz auch mit hohen Kosten verbunden, besonders wenn Vermessungen stattfinden müssen mit menschlicher Beteiligung. Daher ist ein anderer Ansatz KPIs ad hoc zu messen, also nach Bedarf, und somit Messaufwand nur dann zu betreiben, wenn die KPIs auch benötigt werden. Zum einen liefert dies die aktuellsten Daten, andererseits aber wird dadurch die Historisierung erschwert, durch eine unregelmäßig verteilte Messpunkt-Sammlung, wahrscheinlich mit Verdichtungen gegen Jahresende und Lücken zu Urlaubszeiten. Letztendlich bestimmt auch der Zweck eines KPIs dessen Messfrequenz. Automatisierung Dies ist keine semantische Eigenschaft von KPIs, ist aber eine Technik die wichtig genug ist um sie hervorzuheben. Im Grunde genommen, betrifft Automatisierung nur den Einsatz von EDV zur Erhöhung der Standardisierung, Formalisierung und Messfrequenz eines KPIs. Alle Vorzüge, die für einen Rechner gelten, werden somit auch auf den KPI übertragen. Genauigkeit, Wiederholbarkeit, Bearbeitungsgeschwindigkeit, Zuverlässigkeit, Prüfbarkeit man verzichte an diesem Punkt auf eine Erklärung der Vorzüge von IT-Technologie. Es soll aber noch kurz darauf aufmerksam gemacht werden, dass ein niedergeschriebenes Programm welches KPIs berechnet und Berichte zusammenstellt an sich zwar schon eine Formalisierung der KPIs ist, aber für Personen die mit dem Computer-generiertem Bericht arbeiten müssen nicht einsehbar sind. Deswegen soll bei 12 S e i t e

13 der Automatisierung darauf geachtet werden, dass Tatsachen die im Code verwirklicht werden, auch in der Nutzerschnittstelle angezeigt werden. Eine Idee hierzu wäre es im generierten Bericht beim Anzeigen von KPIs eine Kurzinfo anzubieten, welche erläutert, wie ein KPI berechnet wird wenn man ihn anklickt oder mit der Maus über ihm schwebt. Relevanz KPIs sollen eng verknüpft mit der Erfüllung von Unternehmenszielen sein. Wenn ein Stakeholder sich einen Key Performance Indicator anschaut, sollte dieser nicht mit einem Toll, und was soll ich damit? reagieren. KPIs sollen eine Diskussion über mögliche Entscheidungen, die getroffen werden müssen anregen. Beim Präzisieren von Handlungsschritten sollten KPIs eine gängige Referenz datstellen. Bei Vergangenheitsanalysen sollten KPIs genutzt werden können, um Zustände zu rekonstruieren, welche die Entwicklungen hinzu kritischen Ereignissen erleuchten. KPIs sollen mit den Zielen derer für die sie bestimmt sind eindeutig in Bezug stehen. Damit dies verwirklicht werden kann, macht es Sinn beim Erstellen eines KPIs direkt eine Soll- /Ist- Abweichungsanalyse durchzuführen, und konkrete Handlungen damit zu verbinden. Bei Antiviren-Systemen gibt es oft Abstufungen von Kritikalität von Geschehnissen. Viren die von der Antivirus-Software identifiziert und erfolgreich gelöscht wurden, werden anschließend in einen Log beschrieben der jederzeit vom IT-Sicherheitsverantwortlichen abgerufen werden kann. Zusätzlich zu diesem Standard Reporting werden von dem Antivirus je nach Anzahl infizierter PCs unterschiedliche Personen via- benachrichtigt. Siehe folgende Tabelle: Anzahl PCs infiziert Aktion von Antivirus-Software Handelsempfehlung mit nicht löschbaren Viren 0 Standard Logging weiterführen Monatlich Logging nach Sprüngen in Anzahl behandelter Viren zu überprüfen 1-4 IT-Sicherheitsverantwortlichen via benachrichtigen 5-15 Quarantäne um PCs einführen Antivirus-Software Anbieter bezüglich des Unbekannten Virus benachrichtigen. IT-Sicherheitsverantwortlichen über Eskalation via informieren. Manuell den Virus löschen, falls nicht möglich, mit Antivirus Anbieter in Kontakt treten Quarantäne beobachten. Zusammen mit Antivirus Anbieter nach möglichen Virus Verbreitungsursachen analysieren. 13 S e i t e

14 15< Zusätzlich Geschäftsverantwortlichen via E- Mail informieren. Risikominderungsplan der betroffenen Geschäftsprozesse ausführen. Die Tabelle Zeigt an, welche Handlungen mit einer KPI verbunden sein können. Daher wird der KPI Anzahl PCs infiziert mit nicht löschbaren Viren ein sehr relevanter Messwert, denn an den jeweiligen Werten sind konkrete Geschehnisse und Handlungserwartungen gebunden. Man bemerke dass auch eine Handelsempfehlung für den Wert 0 gegeben ist, wie nach der Anforderung zur Formalität von KPIs. Schlechte KPIs Bei all den Eigenschaften die bis jetzt aufgezählt worden sind, die eine KPI aufweisen muss, könnte gemeint werden, dass wenn diese Regeln verletzt werden schlechte KPIs zustande kommen. Jein Da es sich bei KPIs immer um Kontext handelt, gibt es an sich keine schlechten KPIs, aber durchaus KPIs in schlechtem Kontext. Die Standard Definition von Risiko, also Eintrittswahrscheinlichkeit x Verlusthöhe, oder für IT- Risiko angepasst: Bedrohung x Verwundbarkeit x Buchwert (Caballero, Albert (2009), S. 232 zitiert nach [WikiEn01]). Diese drei Bestandteile sind sehr nebelhafte Konzepte der IT-Sicherheit, und können eigentlich nur geschätzt werden. Es wäre sehr, sehr falsch, ohne ausreichend Aufwand einen Wert nach dieser Formel auszurechnen und sich nach ihm zu richten. Organisiert man aber dieses Vorhaben ausreichend, indem man Geschäftsverantwortliche einbezieht um Buchwerte von IT-Systemen zu schätzen, den IT- Sicherheitsverantwortlichen zur Bestimmung der Verwundbarkeit, einen externen IT- Sicherheitsanalysten zur Abschätzung der externen Bedrohung, und mit viel Aufmerksamkeit für Detail, Grenzfälle und Randbedingungen diese Werte zusammen rechnet, könnte man zu einem brauchbaren Ergebnis kommen. Aufbauend auf so grundsätzlichen Überlegungen, können dann interessante Werte ermittelt werden wie z.b. Return on Security Investment[Loch05], welches dazu dient finanziellen Aufwand mit der Minderung von IT-Sicherheitsrisiken gegenüber zu stellen. Für das operative Geschäft von IT-Sicherheit von wenig Nutzen, kann dies aber im Dialog mit Budget- Verantwortlichen stark dazu beitragen, entsprechende Finanzierung zum Erreichen von IT- Sicherheitszielen zu bekommen. 14 S e i t e

15 Methode zur Findung von KPIs Der Fall, dass Informationsbedarf a priori erkennbar ist, weil Aufgabe, Aufgabenträger, und Kontext eindeutig definiert sind, ist in der Realität kaum gegeben *Horv06, S In der Praxis ist eher eine schrittweise Erkennung und Modifizierung gegeben, was oft auch von den Entwicklungsstadien anderer Organisationsprozesse abhängt. Im laufenden Geschäftsbetrieb werden bestehende Tatbestände wiederholt analysiert, um Informationsbedarf zu ermitteln. Folgende Sichtweisen können dazu beitragen KPIs zu identifizieren. Aufgabenanalyse: die Tätigkeiten einer Person und die dabei genutzten Informationen werden identifiziert. Damit können operative KPIs erkannt werden, die bei konkretem Entscheidungsbedarf richtungsweisend sein können. Dokumentenanalyse: schon vorhandene Berichtsysteme werden auf Erweiterungsmöglichkeiten analysiert, z.b. um aus vorhandenen Informationen im Textformat komprimierte KPIs herzuleiten, die sich einfacher lesen lassen. Verantwortungsanalyse: eher strategisch orientiert, können hierbei KPIs gesammelt werden, welche nicht auf eine konkrete Tätigkeit zurückzuführen sind, sondern das Ergebnis des Zusammenführens mehrerer Tätigkeiten. [Horv06, S.252] Besteht aber die Situation, dass ein Bericht komplett neu erstellt wird, gibt es eine gängige Vorgehensweise KPIs zu ermitteln. Ein Bericht soll grundsätzlich eine Aussage (oder Hypothese) unterstützen, wie etwa das Unternehmensnetzwerk ist vor Angriffen geschützt. Daraufhin wird ein Brainstorming gemacht um Subhypothesen zu identifizieren, welche auch wahr sein müssen, damit die allgemeine Aussage gilt. Um das Beispiel weiter zu treiben, wären mögliche Subhypothesen: kein ungewollter Verkehr kommt in das Unternehmensnetzwerk rein, kein direkter Zugriff auf das interne Netzwerk ist möglich, mobile Geräte haben starke Sicherheitsvorkehrung zum Verbinden ins interne Netz Zu diesen Subhypothesen wird dann festgestellt, ob diese sich durch irgendetwas messen lassen; falls ja, hat man einen KPI gefunden welcher diese Subhypothese bestätigt oder wiederlegt; falls nicht, wird die Subhypothese weiter in Sub- Subhypothesen aufgebrochen, usw. Solche übergeordneten Ziele lassen sich nicht immer als eine einzelne Messgröße darstellen, jedoch um Komplexität im Griff zu behalten, sollte bei vier oder mehr Kennzahlen die Subhypothese aufgespalten werden. In diesem Fall, ließe sich die zweite Subhypothese kein direkter Zugriff von extern auf das interne Netzwerk ist möglich als Anzahl von Internet Access Punkten und Prozentsatz davon, welche keine konforme Firewall- Konfiguration vorweisen darstellen. Diese Werte wären auf 1 bzw. 0 zu führen. Die Subhypothese zu Mobiler Sicherheit ist zu weitgeschweift, und müsste weiter unterbrochen werden, z.b. auf die Themen end-gerät Verschlüsselung, und gesonderte Gateways mit stärkeren Sicherheitsvorkehrungen für Intranet Zugriff von mobilen Geräten. [Jaq07, S. 42] 15 S e i t e

16 In einer idealen Welt, existieren auch für alle KPIs die identifiziert werden wohlstrukturierte Datenquellen. Somit können Messziele(Hypothesen) gesetzt werden, Messwerte identifiziert werden, und anschließend Datenquellen eingebunden werden. Dies wird auch der Top-Down Ansatz genannt. Realistischer, ist es aber vom Aufwand her günstiger mit schon bestehende Datenquellen zu arbeiten, als eventuell neue Daten erheben zu müssen oder öfters festzustellen, dass es sich nicht lohnt manche KPIs zu messen. Der Bottom-Up Ansatz sieht vor vorhandene Datenquellen auf mögliche Messwerte zu analysieren, und daraufhin die gewonnene Messwerte so zu gruppieren, dass Sie eine Aussage zur IT- Sicherheitssituation einer Organisation ergeben. In der Praxis wird eine Mischung beider Ansätze betrieben, da eine Balance zwischen Messaufwand und Zielbestimmtheit gefunden werden muss. [Schu] Typische Themen von Interesse für IT-Sicherheitsverantwortliche Es gibt zwei grundlegende Bereiche für KPIs: Wertlieferung und kontinuierliche Prozessverbesserung. Wertlieferung besteht aus Kostensenkung, Produktivitätssteigerung und Risikominderung welche aus IT-Sicherheitsbemühungen folgen. Prozessverbesserung bezieht sich auf den IT-Sicherheit Management Prozess. [Jaq07, S. 21] Der Mehrwert von IT-Sicherheitsbemühungen Die Diagnostizierung von dem Wert von IT-Sicherheit bezieht sich auf 4 Bereiche, welche jetzt im genaueren erläutert werden, hauptsächlich durch die Angabe von konkreten Messwerten[Jaq07]. Externe Bedrohung auf Schnittstellen zu Internen Netzen Diese Kategorie dient dazu, das Risiko von externen Sicherheitsereignissen besser zu verstehen. Die Gegenstände dieser Kategorie werden am ehesten gemessen um IT-Sicherheit zu verstehen. Hier drunter fallen solche Themen wie Spam-Filter, Antivirus, Firewall, Netzwerk, Angriffe. Folgende Tabellen listen mögliche Messwerte, welche je nach Organisationsbedürfnissen in einem Bericht zu KPIs zusammengefasst werden können. Tabellenschema Key Performance Indicator Messgegenstand 16 S e i t e

17 Anzahl s pro Tag Prozent s als schädlich markiert Prozent nicht gefilterter Spam-Mails Prozent gültiger s, fälschlicherweise als Spam markiert Prozent von mit entdeckten Viren und Malware Prozent ausgehender s mit entdeckten Viren und Malware Grundwert für Verkehr Grad der Verschmutzung vom einkommenden Verkehr Effektivität des Filter Systems Effektivität des Filter Systems Konkretisierung des externen Gefahrentyps Grad der Verschmutzung des Internen Organisationsnetzwerks Diese Daten lassen sich auch noch auf einzelne Abteilungen unterteilen, wobei solche Trends sichtbar werden, wie höhere Rate von schädlichen s dort, wo erhöht Kundenkontakt stattfindet (Kundenbetreuung, Marketing, ). Um nicht alle Werte in einem globalen Bericht begutachten zu müssen, könnte man auch folgenden Wert verwenden: _ Anzahl nicht gefilterter Spam-Mails + Anzahl fälschlicherweise gefilterter s _ Anzahl aller gefilterten Spam-Mails Dieser Wert bewertet die Effektivität des Filter Systems, und kann gut genutzt werden um Spamfilter verschiedener Anbieter zu vergleichen. Mit der Zeit sollte dieser Wert auch besser werden, denn moderne Spamfilter lernen dazu, indem sie den Verkehr dauernd analysieren und neue Regeln herleiten. Ein weiterer Wert von Interesse ist das Verhältnis von: _ Anzahl ausgehender Schädlicher s _ Anzahl gefilterter eingehender Spam-Mails Dies ist ein guter Kennwert für die Effektivität der gesamten IT-Sicherheitsbemühungen, denn Sie vergleicht die Verschmutzung außerhalb des Organisationsnetzwerks, mit dem des internen Netzwerks selber. Somit kann die Effektivität von Säuberungsbemühungen in eine konkrete Zahl gefasst werden. Letztes Jahr stoppten wir 70,000 eingehende Viren, aber ich bin viel stolzer auf die 500 ausgehenden die wir gestoppt haben. Mit anderen Worten, das interne Netzwerk ist sauberer als dessen Umfeld um einen Faktor von 140 zu 1. *Jaq07, S S e i t e

18 Antivirus: Prozentsatz angewählter Webseiten mit Viren oder Malware Anzahl entdeckter Viren/Malware auf Desktops, Servern, Laptops, Prozent von Viren welche eine manuelle Säuberung benötigen Arbeitskosten der Betreuung von Antivirus Angelegenheiten Tendenz von Mitarbeitern auf gefährlichen Seiten zu Surfen. Infektionsrate von verschiedenen IT-Systemen Eintrittsverhältnis von gravierenden Virus Vorfällen Variabler Aufwand zum Thema Antivirus Diese Kennzahlen dienen eindeutig zur Darstellung von Antivirus als Bestandteil einer Organisation. Sie dienen dazu Verhalten zu ändern, z.b. um Mitarbeiter besser im Surfverhalten zu schulen, oder gar schwarze Listen zu Erstellen. Je nach Größe der Organisation, ist auch finanzielle Verhandlung mit Antivirus-Software Anbietern möglich, nachdem Fixkosten der Antivirus-Software mit variablen Zusatzkosten gegenübergestellt werden. Sie dienen auch zur zukunftsorientierten Abschätzung von Risiken und IT-Sicherheitskosten, was von besonderem Interesse bei Kostenanalysen neu einzuführender Systeme ist. Firewall und Netzwerk: Anzahl Firewall Regeländerungen Prozent von Fernverbindungen zu zentralen Systemen ohne eine zwischenliegende Firewall Komplexität von IT-Sicherheitsanforderungen Bereichsbildung innerhalb des Organisationsnetzwerks, und Abgrenzung von kritischen Systemen Auch hier, verbinden diese Beispiel-Kennzahlen Organisation und Technologie, und können je nach Kennzahlstand zur Änderung der IT-System Topologie führen. Deckungsgrad und Kontrolle In dieser Kategorie soll laufend ermittelt werden, wie der Stand der Kontrollsysteme ist, insbesondere wie groß die Diskrepanz zwischen beabsichtigten Sicherheits-Maßnahmen und deren tatsächliche Umsetzung ist. 18 S e i t e

19 Antivirus Prozent von Systemen bestückt mit Antivirus-Software Prozent der Systeme mit aktuellsten Pattern/Signatur Updates Deckungsgrad Deckungsgrad Zum Thema Antivirus, soll darauf geachtet werden, dass keine leeren Zahlen gezeigt werden, wie z.b. die Anzahl von aufgespürten Viren diese dient höchstens dazu, einen naiven Manager zu überzeugen, dass eine Antivirus-Software überhaupt nötig ist. Sonst sieht man solche Zahlen nur in Werbungsmaterial der Antivirus Anbieter, da eine Organisation selber damit nichts anfangen kann. Viel wichtiger ist es, zu beachten ob der Schutz der von Antivirus-Software geboten wird, auch überall ankommt. Ein analoges Beispiel kann aus dem Baugewerbe genommen werden, wo es auch nicht besonders zur Arbeitersicherheit beiträgt, wenn nur jeder zweiter Sicherheitshandschuhe trägt. Patch Management Prozent von Systemen mit Patch Updates Anzahl von neuen Patch Updates pro Zeiteinheit Anzahl zu installierender Patches (auf allen Systemen) Durchschnittliche Zeit zum Testen eines neuen Patches Durchschnittliche Zeit zur Installation von neuen Patches Kosten für Patch-Software, Hardware, und geleistete Stundenarbeit Deckung Gesamtaufwand für den Patch- Installationsprozess Gesamtaufwand für den Patch- Installationsprozess Größe des Zeitfensters für Potentielle Zero- Day Exploits Größe des Zeitfensters für Potentielle Zero- Day Exploits Gesamtkosten für den Patch- Installationsprozess Besonders bei größeren Organisationen ist Patchinstallation strikt zu kontrollieren. Dies wird eindeutig wenn man hört dass die Einführung eines einzelnen Patches zu gesamtkosten von über $1 millionen führen kann [Jaq07, S. 59]. Dabei ist nicht nur der Arbeitsaufwand betroffener IT-Fachkräfte zu bedenken, sondern auch die nötige Distributionssoftware und -server, und die vom Patch-Download betroffene Bandbreite. Lädt ein ganzes Bürogebäude am gleichen Tag einen Patch runter, ist schnell eine Datenleitung für anderen Verkehr gesperrt. Eine Peer-to- Peer Verteilung kann hier helfen, muss aber Überwacht und gesteuert werden, was ein eigenes System benötigt. 19 S e i t e

20 Der Patch Management Process bei der Firma Saint-Gobain.[Patch12] Der so genannte Zero-Day Exploit, beruht darauf bei der Meldung eines Patches, die darin genannte Lücke auszunutzen, eh Organisationen den Patch installieren konnten. Daher ist es von großer Relevanz, wie lange es dauert bis ein Patch effektiv auf einem System installiert ist. In der Abbildung zum Patch Management Prozess wird eine Vielzahl von Schritten dargestellt. Grob können diese aufgeteilt werden, in die Patch-Evaluation und die tatsächliche Installation. Die Dauer dieser zwei Schritt-Gruppen führt zu einer Verzögerung der Installation eines Patches, und somit zur Verlängerung des Zeitfensters, in welchem die vom Patch behobene Sicherheitslücke ausgenutzt werden kann. Somit ist die Dauer des Patch Management Prozesses ein Risiko das auch kontrolliert werden muss. 20 S e i t e

Sicherheitsaspekte an der Schnittstelle Business IT 9.12.2009. Kurt Schädler. KSS Partners Establishment Schaan, Liechtenstein

Sicherheitsaspekte an der Schnittstelle Business IT 9.12.2009. Kurt Schädler. KSS Partners Establishment Schaan, Liechtenstein Sicherheitsaspekte an der Schnittstelle Business IT 9.12.2009 Kurt Schädler KSS Partners Establishment Schaan, Liechtenstein Agenda Vorstellung Sicherheitsaspekte Unterschiedliche Sichtweisen aus der Sicht

Mehr

PRÄSENTATION ZUR BACHELORARBEIT

PRÄSENTATION ZUR BACHELORARBEIT PRÄSENTATION ZUR BACHELORARBEIT THEMA: Katastrophenmanagement im Rahmen von ITSCM am Beispiel der Sparkasse Hildesheim AUTOREN: Christian Heber & Daniela Baehr GLIEDERUNG 1 Einleitung 2 Der ITSCM-Lifecycle

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

IT-Sicherheit in Werbung und. von Bartosz Komander

IT-Sicherheit in Werbung und. von Bartosz Komander IT-Sicherheit in Werbung und Informatik von Bartosz Komander Gliederung Einführung Anti-viren-software Verschlüsselungssoftware Firewalls Mein Fazit Quellen 2 Einführung Was ist eigentlich IT-Sicherheit?

Mehr

Dunkel Mail Security

Dunkel Mail Security Dunkel Mail Security email-sicherheit auf die stressfreie Art Unser Service verhindert wie ein externer Schutzschild, dass Spam, Viren und andere Bedrohungen mit der email in Ihr Unternehmen gelangen und

Mehr

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing G Data Whitepaper Behaviour Blocking Marco Lauerwald Marketing Geschützt. Geschützter. G Data. Inhalt 1 Behaviour Blocking Mission: Unbekannte Bedrohungen bekämpfen... 2 1.1 Unbekannte Schädlinge: Die

Mehr

IT-basierte Erstellung von Nachhaltigkeitsberichten. Diplomarbeit

IT-basierte Erstellung von Nachhaltigkeitsberichten. Diplomarbeit IT-basierte Erstellung von Nachhaltigkeitsberichten Diplomarbeit zur Erlangung des Grades eines Diplom-Ökonomen der Wirtschaftswissenschaftlichen Fakultät der Leibniz Universität Hannover vorgelegt von

Mehr

CSR und Risikomanagement

CSR und Risikomanagement CSR und Risikomanagement Bedeutung der Risiken aus ökologischen und sozialen Sachverhalten im Rahmen der Prüfung des Risikoberichts und des Risikomanagements XX. April 2010 Risk Management Solutions Agenda

Mehr

Custom Defense die Trend Micro Lösung für einen umfassenden und individuellen Schutz vor gezielten Angriffen

Custom Defense die Trend Micro Lösung für einen umfassenden und individuellen Schutz vor gezielten Angriffen Custom Defense die Trend Micro Lösung für einen umfassenden und individuellen Schutz vor gezielten Angriffen Petra Flessa Product Marketing Manager DACH it-sa 2013 10/4/2013 Copyright 2013 Trend Micro

Mehr

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7 BSI-Veröffentlichungen zur Cyber-Sicherheit ANALYSEN Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen Auswirkungen der Konfiguration auf den Schutz gegen aktuelle Drive-by-Angriffe Zusammenfassung

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

Sucuri Websiteschutz von

Sucuri Websiteschutz von Sucuri Websiteschutz von HostPapa Beugen Sie Malware, schwarzen Listen, falscher SEO und anderen Bedrohungen Ihrer Website vor. HostPapa, Inc. 1 888 959 PAPA [7272] +1 905 315 3455 www.hostpapa.com Malware

Mehr

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS Stefan Taubenberger und Prof. Jan Jürjens, 22. September 211 Ziele der Studie Konfirmative und explorative Studie mit folgenden Fragestellungen Welche Kriterien

Mehr

Befragung und empirische Einschätzung der Praxisrelevanz

Befragung und empirische Einschätzung der Praxisrelevanz Befragung und empirische Einschätzung der Praxisrelevanz eines Vorgehensmodells zur Auswahl von CRM-Systemen D I P L O M A R B E I T zur Erlangung des Grades eines Diplom-Ökonomen der Wirtschaftswissenschaftlichen

Mehr

Lebenszyklus einer Schwachstelle

Lebenszyklus einer Schwachstelle GRUNDLAGEN STATISTIKEN BERICHTE Lebenszyklus einer Schwachstelle Nach Bekanntwerden einer neuen Zero-Day-Schwachstelle hat der Hersteller ein Advisory veröffentlicht, in dem bis zur Fertigstellung eines

Mehr

CLOUD APPS IM UNTERNEHMEN VERWALTEN. So meistern Sie die Herausforderungen. Whitepaper

CLOUD APPS IM UNTERNEHMEN VERWALTEN. So meistern Sie die Herausforderungen. Whitepaper CLOUD APPS IM UNTERNEHMEN VERWALTEN So meistern Sie die Herausforderungen Whitepaper 2 Die Herausforderungen bei der Verwaltung mehrerer Cloud Identitäten In den letzten zehn Jahren haben cloudbasierte

Mehr

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI.

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. ISO/IEC 27001 von BSI Ihre erste Wahl für Informationssicherheit BSI ist die Gesellschaft für Unternehmensstandards,

Mehr

Neue Produkte 2010. Ploetz + Zeller GmbH Truderinger Straße 13 81677 München Tel: +49 (89) 890 635-0 www.p-und-z.de

Neue Produkte 2010. Ploetz + Zeller GmbH Truderinger Straße 13 81677 München Tel: +49 (89) 890 635-0 www.p-und-z.de Neue Produkte 2010 Ploetz + Zeller GmbH Truderinger Straße 13 81677 München Tel: +49 (89) 890 635-0 Ploetz + Zeller GmbH. Symbio ist eine eingetragene Marke der Ploetz + Zeller GmbH. Alle anderen Marken

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

Peter Meier. Die Umsetzung von Risikomanagement nach ISO 31000. - Leseprobe -

Peter Meier. Die Umsetzung von Risikomanagement nach ISO 31000. - Leseprobe - Peter Meier Die Umsetzung von Risikomanagement nach ISO 31000 Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen

Mehr

Mobile Device Management

Mobile Device Management Mobile Device Management Ein Überblick über die neue Herausforderung in der IT Mobile Device Management Seite 1 von 6 Was ist Mobile Device Management? Mobiles Arbeiten gewinnt in Unternehmen zunehmend

Mehr

DriveLock in Terminalserver Umgebungen

DriveLock in Terminalserver Umgebungen DriveLock in Terminalserver Umgebungen Technischer Artikel CenterTools Software GmbH 2011 Copyright Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und anderen Verweisen auf

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

10 Wege, wie Sie Ihr Social Media Monitoring ausbauen können

10 Wege, wie Sie Ihr Social Media Monitoring ausbauen können 10 Wege, wie Sie Ihr Social Media Monitoring ausbauen können Folgende Fragen, die Sie sich zuerst stellen sollten: 1. Welche Social-Media-Monitoring-Plattformen (SMM) schneiden am besten ab? 2. Ist dafür

Mehr

1. Normen für Unternehmen

1. Normen für Unternehmen 1. Normen für Unternehmen Normen sind gut für ein Missverständnis und schlecht für ein Verständnis. Um diesem Wortspiel einen konkreten Inhalt zu geben, seien zwei Thesen angeführt: Das Missverständnis

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

3 Projektmanagement. Auch hier lassen sich wieder grob kommerzielle und nicht kommerzielle Projekte unterscheiden.

3 Projektmanagement. Auch hier lassen sich wieder grob kommerzielle und nicht kommerzielle Projekte unterscheiden. 3 Projektmanagement Das Thema Projektmanagement kann man aus sehr unterschiedlichen Perspektiven angehen. Klar strukturiert mit Netzplänen und Controlling- Methoden oder teamorientiert mit Moderationstechniken

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Incident Response und Forensik

Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Der Einbruch eines Hackers in die Web-Applikation des Unternehmens, ein Mitarbeiter, der vertrauliche Daten

Mehr

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick:

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick: Beweisen Sie Ihre Sicherheit! Unser Security Scan ist eine Sicherheitsmaßnahme, die sich auszahlt. Systeme ändern sich ständig. Selbst Spezialisten kennen nicht alle Schwachstellen im Detail. Der PCI Scan

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

ÜBERBLICK ÜBER DIE WEBSENSE EMAIL SECURITY-LÖSUNGEN

ÜBERBLICK ÜBER DIE WEBSENSE EMAIL SECURITY-LÖSUNGEN ÜBERBLICK ÜBER DIE WEBSENSE EMAIL SECURITY-LÖSUNGEN ÜBERBLICK Herausforderung Viele der größten Sicherheitsverletzungen beginnen heutzutage mit einem einfachen E-Mail- Angriff, der sich Web-Schwachstellen

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager TÜV SÜD Management Service GmbH Sicherheit, Verfügbarkeit und Zuverlässigkeit von Informationen stehen

Mehr

IT-Infrastruktur und Auswirkungen in der Wohnungswirtschaft im Kontext des technikunterstützten Leben

IT-Infrastruktur und Auswirkungen in der Wohnungswirtschaft im Kontext des technikunterstützten Leben IT-Infrastruktur und Auswirkungen in der Wohnungswirtschaft im Kontext des technikunterstützten Leben Befragung im Rahmen des Verbundprojektes Standards für wohnungsbegleitende Dienstleistungen im Kontext

Mehr

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen Organisatorische Einbindung eines Risikomanagementsystems März 2002 Andreas Henking www.risk-sim.de 1 Einleitung Wichtiger Erfolgsfaktor bei der Einführung von Risikomanagementsystemen ist die richtige

Mehr

1 Einführung betriebswirt- schaftlich vernünftiger Form wesentliche Risiken von der IT fernzuhal- ten reduzieren Auswirkungen begrenzen IT-Systeme

1 Einführung betriebswirt- schaftlich vernünftiger Form wesentliche Risiken von der IT fernzuhal- ten reduzieren Auswirkungen begrenzen IT-Systeme 1 Die Unternehmens-IT steht vor vielfältigen Herausforderungen: Kostenreduzierung, Standardisierung, Komplexitätsreduktion, Virtualisierung, Verfügbarkeit und Steuerung externer Dienstleister werden häufig

Mehr

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

LAN Schutzkonzepte - Firewalls

LAN Schutzkonzepte - Firewalls LAN Schutzkonzepte - Firewalls - Allgemein Generelle Abschirmung des LAN der Universität Bayreuth - Lehrstuhlnetz transparente Firewall - Prinzip a) kommerzielle Produkte b) Eigenbau auf Linuxbasis - lokaler

Mehr

Finaler Testbericht. Finaler Testbericht. 1 Einführung 2. 1.1 Warum Softwaretests?... 2

Finaler Testbericht. Finaler Testbericht. 1 Einführung 2. 1.1 Warum Softwaretests?... 2 Inhaltsverzeichnis 1 Einführung 2 1.1 Warum Softwaretests?.................................... 2 2 Durchgeführte Tests 2 2.1 Test: allgemeine Funktionalität............................... 2 2.1.1 Beschreibung.....................................

Mehr

Data Mining-Projekte

Data Mining-Projekte Data Mining-Projekte Data Mining-Projekte Data Mining stellt normalerweise kein ei nmaliges Projekt dar, welches Erkenntnisse liefert, die dann nur einmal verwendet werden, sondern es soll gewöhnlich ein

Mehr

Rechtssichere E-Mail-Archivierung

Rechtssichere E-Mail-Archivierung Rechtssichere E-Mail-Archivierung Rechtliche Sicherheit für Ihr Unternehmen Geltende rechtliche Anforderungen zwingen Unternehmen in Deutschland, Österreich und der Schweiz, E-Mails über viele Jahre hinweg

Mehr

Symantec Protection Suite Small Business Edition Eine benutzerfreundliche, effektive und kostengünstige Lösung für kleine Unternehmen

Symantec Protection Suite Small Business Edition Eine benutzerfreundliche, effektive und kostengünstige Lösung für kleine Unternehmen Eine benutzerfreundliche, effektive und kostengünstige Lösung für kleine Unternehmen Überblick Symantec Protection Suite Small Business Edition ist eine benutzerfreundliche, kostengünstige Sicherheits-

Mehr

Vermeiden Sie Fehler & Risiken in der IT-Sicherheit Maßnahmen, die Sie gegen die meisten Angriffe schützen

Vermeiden Sie Fehler & Risiken in der IT-Sicherheit Maßnahmen, die Sie gegen die meisten Angriffe schützen Vermeiden Sie Fehler & Risiken in der IT-Sicherheit Maßnahmen, die Sie gegen die meisten Angriffe schützen Michael Felber Senior Presales Consultant - Central Europe Tripwire Inc. Cyber-Sicherheit gewinnt

Mehr

Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich

Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Seit Microsoft Exchange Server 2010 bieten sich für Unternehmen gleich zwei mögliche Szenarien an, um eine rechtskonforme Archivierung

Mehr

Wachter & Karbon IT-Consulting. Portfolio

Wachter & Karbon IT-Consulting. Portfolio Wachter & Karbon IT-Consulting Portfolio IT-Performance Ihr entscheidender Wettbewerbsvorteil Korrekt arbeiten sollten IT-Systeme schon immer, deren Performance dagegen war lange Zeit eher zweitrangig.

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

Peter Scheurer. Mitglied der Geschäftsleitung SOPRA EDV-Informationssysteme GmbH. Schwerpunkte: Hosting, Technologien, Softwareentwicklung

Peter Scheurer. Mitglied der Geschäftsleitung SOPRA EDV-Informationssysteme GmbH. Schwerpunkte: Hosting, Technologien, Softwareentwicklung Zukunftsfabrik Cloud Computing Was ist das? Modernes Reporting mit OLAP, SQL Server und Powerpivot Rechnungswesen / Controlling Sneak Preview: EVS 3.0 Abschluß Peter Scheurer Mitglied der Geschäftsleitung

Mehr

Experten-Review für Ihre Microsoft SharePoint-Architektur. Maximaler Nutzen, hohe Stabilität und Sicherheit für Ihre SharePoint-Farm

Experten-Review für Ihre Microsoft SharePoint-Architektur. Maximaler Nutzen, hohe Stabilität und Sicherheit für Ihre SharePoint-Farm Experten-Review für Ihre Microsoft SharePoint-Architektur Maximaler Nutzen, hohe Stabilität und Sicherheit für Ihre SharePoint-Farm Heben Sie mit Materna die Potenziale Ihrer SharePoint-Umgebung. Microsoft

Mehr

Modul 1 Modul 2 Modul 3

Modul 1 Modul 2 Modul 3 Schaffen Sie Transparenz, Struktur und Zukunftssicherheit für Ihre IT durch modulare IT-Audits Die Unternehmens- und IT-Leitung benötigt ein verständliches Tool für die aktive Steuerung und Entwicklung

Mehr

Angebot MS KMU-Dienste Kurzbeschreibung Bedürfnisse des Kunden Dienstleistungen MS KMU-Dienste

Angebot MS KMU-Dienste Kurzbeschreibung Bedürfnisse des Kunden Dienstleistungen MS KMU-Dienste September 2015 / 1 1. Beratung Management- Systeme Prozess-Management Identifizieren, Gestalten, Dokumentieren, Implementieren, Steuern und Verbessern der Geschäftsprozesse Klarheit über eigene Prozesse

Mehr

Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen. Bachelorarbeit

Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen. Bachelorarbeit Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft

Mehr

Entgeltbestimmungen und Leistungsbeschreibung Internet Security für DSL

Entgeltbestimmungen und Leistungsbeschreibung Internet Security für DSL Entgeltbestimmungen und Leistungsbeschreibung Internet Security für DSL Stand: 02. 02. 2009 UPC Austria GmbH Wolfganggasse 58-60, 1120 Wien 1 INHALTSVERZEICHNIS Entgeltbestimmungen:... 3 Leistungsbeschreibung:...

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Thema: Risikomanagement

Thema: Risikomanagement 1.1. Risikomanagement Eine der elementarsten Anforderungen an die Projektplanung ist, durch zielgerichtete Planung mögliche Risiken, die den Projekterfolg in Frage stellen, zu identifizieren und präventiv

Mehr

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security Zertifikatsprogramm der Österreichischen Computer Gesellschaft OCG IT-Security Syllabus Version 1.0 OCG Österreichische Computer Gesellschaft Wollzeile 1-3 A 1010 Wien Tel: +43 (0)1 512 02 35-50 Fax: +43

Mehr

Geyer & Weinig. Wirtschaftliche Aspekte beim Einsatz von E2E-Monitoring Tools. viel Spaß wünscht Ihnen. Horst Schlosser

Geyer & Weinig. Wirtschaftliche Aspekte beim Einsatz von E2E-Monitoring Tools. viel Spaß wünscht Ihnen. Horst Schlosser Geyer & Weinig Wirtschaftliche Aspekte beim Einsatz von E2E-Monitoring Tools viel Spaß wünscht Ihnen Die Geyer & Weinig EDV-Unternehmensberatung GmbH wurde 1987 als Softwarehaus in Karlsruhe gegründet

Mehr

OCG IT-Security. OCG IT-Security 2.0. Lernzielkatalog. Syllabus Version

OCG IT-Security. OCG IT-Security 2.0. Lernzielkatalog. Syllabus Version OCG IT-Security OCG IT-Security Lernzielkatalog 2.0 Syllabus Version Österreichische Computer Gesellschaft Wollzeile 1-3, 1010 Wien Tel: + 43 1 512 02 35-0 Fax: + 43 1 512 02 35-9 E-Mail: ocg@ocg.at Web:

Mehr

Kornel. Voigt. Terplan. Christian. Cloud Computing

Kornel. Voigt. Terplan. Christian. Cloud Computing Kornel Terplan Christian Voigt Cloud Computing Inhaltsverzeichnis Die Autoren 13 Einführung 15 1 Taxonomie von Cloud-Computing 21 1.1 Einsatz einer Multi-Tenant-Architektur bei Cloud-Providern 21 1.2 Merkmale

Mehr

ITIL Incident Management

ITIL Incident Management ITIL Incident Management + Vertiefung IT-Betriebsprozesse HSLU T&A Service- und System Management HS13 Michael Estermann https://www.ca.com/images/inlineimage/itil_svc_op.gif Eingliederung in ITIL Service

Mehr

Ungenauigkeiten der Filterung

Ungenauigkeiten der Filterung A Ungenauigkeiten der Filterung Kein Filter ist perfekt. Mit Ihrer Hilfe strebt MailCleaner an, ein perfekter Filter zu werden. Die Filterung, die von MailCleaner durchgeführt wird, beruht auf automatischen

Mehr

PERFORMANCE MANAGEMENT

PERFORMANCE MANAGEMENT Seminar: Controlling HS Bremerhaven Roman Allenstein und Benno Buhlmann PERFORMANCE MANAGEMENT GLIEDERUNG Was ist das Performance Management Bestandteile und Theorien Aktivitäten im Performance Management

Mehr

SWAT PRODUKTBROSCHÜRE

SWAT PRODUKTBROSCHÜRE SWAT PRODUKTBROSCHÜRE SICHERHEIT VON WEB APPLIKATIONEN Die Sicherheit von Web Applikationen stellte in den vergangenen Jahren eine große Herausforderung für Unternehmen dar, da nur wenige gute Lösungen

Mehr

UPC Austria Services GmbH

UPC Austria Services GmbH UPC Austria Services GmbH Entgeltbestimmungen und Leistungsbeschreibungen für das Zusatzprodukt Internet Security in Tirol Stand 15. März 2010 Seite 1 von 5 Inhaltsverzeichnis I) LEISTUNGSBESCHREIBUNG...

Mehr

Kosten-Nutzen von Security. Wirtschaftlichkeitsrechnungen, ROI und Projektanträge

Kosten-Nutzen von Security. Wirtschaftlichkeitsrechnungen, ROI und Projektanträge Wirtschaftlichkeitsrechnungen, ROI und Projektanträge Martin Seeger NetUSE AG Dr.-Hell-Straße 240107 Kiel http://www.netuse.de/ Copyright 2003 by NetUSE AG 1 Problemstellung Rahmenparameter Kosten-Nutzen

Mehr

Metriken - ein unverzichtbarer Begleiter für Software-Prozess-Verbesserungen

Metriken - ein unverzichtbarer Begleiter für Software-Prozess-Verbesserungen Metriken - ein unverzichtbarer Begleiter für Software-Prozess-Verbesserungen Dipl.-Math. Hermann Will QADVICE Software+System Qualität Jamnitzerstr. 2, 81543 München hermann.will@qadvice.de Zusammenfassung.

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren Ziel der Anleitung Sie möchten ein modernes Firewallprogramm für Ihren Computer installieren, um gegen

Mehr

dogado Support Policies Stand: 01. Dezember 2014, Version 1.06

dogado Support Policies Stand: 01. Dezember 2014, Version 1.06 dogado Support Policies Stand: 01. Dezember 2014, Version 1.06 Version 1.06 - Seite 1 von 10 Inhaltsverzeichnis dogado Support Policies... 3 dogado Geschäftszeiten und Erreichbarkeit... 3 Schweregrade

Mehr

Non-Profit-Organisationen: Vom Controlling zum Strategischen Management

Non-Profit-Organisationen: Vom Controlling zum Strategischen Management Non-Profit-Organisationen: Vom Controlling zum Strategischen Management Einordnung der Begriffe Business Intelligence Strategic Association Management Controlling and Data Warehousing Data Mining, Knowledge

Mehr

Aktuelle Themen der Informatik

Aktuelle Themen der Informatik Aktuelle Themen der Informatik Change Management Michael Epple AI 8 Inhalt: 1. Einführung 2. Begriffsbestimmungen 3. Ablauf des Change Management Prozesses 4. Zusammenhang zwischen Change Management, Configuration

Mehr

Optimales Outsourcing als strategische Aufgabe

Optimales Outsourcing als strategische Aufgabe IT-Beratung für Logistik und Optimales Outsourcing als strategische Aufgabe Agenda IT Sourcing: Anspruch und Wirklichkeit Ausgangslage und Zielsetzung b Logo Sourcing Scope-Workshop Das Logo Broker-Modell:

Mehr

Planung, Ziele, Kennzahlenmanagement

Planung, Ziele, Kennzahlenmanagement DGQ-Regionet Nordwest 13.11.2008 Planung, Ziele, Kennzahlenmanagement Guido Kuper Qualitätsmanagement Wilhelm Karmann GmbH 1 Wozu benötigt man Kennzahlen? Zur Beruhigung Zur Orientierung Zur Analyse der

Mehr

Kennzahlen: Nutzen & Risiken

Kennzahlen: Nutzen & Risiken Kennzahlen: Nutzen & Risiken Was sind Key Performance Indicators? Führungskräfte und ihre Mitarbeiter verlieren zwischen allen Zielen und Vorgaben leicht den Überblick über das, was wirklich wichtig ist.

Mehr

SiteAudit Knowledge Base. Move Add Change Tracking. Vorteile Übersicht. In diesem Artikel: Vorteile Übersicht Funktionsübersicht Berichte anpassen

SiteAudit Knowledge Base. Move Add Change Tracking. Vorteile Übersicht. In diesem Artikel: Vorteile Übersicht Funktionsübersicht Berichte anpassen SiteAudit Knowledge Base Move Add Change Tracking Dezember 2010 In diesem Artikel: Vorteile Übersicht Funktionsübersicht Berichte anpassen MAC Benachrichtigungen Vorteile Übersicht Heutzutage ändern sich

Mehr

5 Jahre Computer Emergency Response Team der Bundeswehr (CERTBw) eine Bilanz

5 Jahre Computer Emergency Response Team der Bundeswehr (CERTBw) eine Bilanz 5 Jahre Computer Emergency Response Team der Bundeswehr (CERTBw) eine Bilanz Oberstleutnant Elk Rohde IT-Zentrum Bundeswehr Fachgruppenleiter IT-Sicherheit Folie 1 Schutz der Informationen Informationen

Mehr

GeoShop Netzwerkhandbuch

GeoShop Netzwerkhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 GeoShop Netzwerkhandbuch Zusammenfassung Diese Dokumentation beschreibt die Einbindung des GeoShop in bestehende Netzwerkumgebungen.

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

IT-Sourcing. Chancen und Risiken des Outsourcings von IT-Security Dienstleistungen. Security Forum I - Dienstag 10.10.2006 14.

IT-Sourcing. Chancen und Risiken des Outsourcings von IT-Security Dienstleistungen. Security Forum I - Dienstag 10.10.2006 14. IT-Sourcing Chancen und Risiken des Outsourcings von IT-Security Dienstleistungen Security Forum I - Dienstag 10.10.2006 14.15 Uhr Jochen Scharnweber, Abteilungsleiter IT-Consulting, ASTRUM IT GmbH 1 Outsourcing

Mehr

Überblick. Seite 2 von 5

Überblick. Seite 2 von 5 Überblick Der ESEMOS MediaMiner ist ein Stimmungsbarometer und Monitoring-Werkzeug für soziale Netzwerke. MediaMiner zeichnet sich insbesondere durch die Sentiment-Analyse, die Spracherkennung sowie anspruchsvolle

Mehr

Bringen Sie Ihr Unternehmen innovativ voran. Mit klaren Lösungen und integrierter Unternehmenssteuerung.

Bringen Sie Ihr Unternehmen innovativ voran. Mit klaren Lösungen und integrierter Unternehmenssteuerung. Bringen Sie Ihr Unternehmen innovativ voran. Mit klaren Lösungen und integrierter Unternehmenssteuerung. Kennen Sie die wahren Werte Ihres Unternehmens? Im Finanzwesen und dem Controlling Ihres Unternehmens

Mehr

Produktpräsentation symantec im Business Marketplace. Darmstadt, Oktober 2013

Produktpräsentation symantec im Business Marketplace. Darmstadt, Oktober 2013 Produktpräsentation symantec im Business Marketplace Darmstadt, Oktober 2013 Symantec IT-SICHERHEIT MIT ATTRAKTIVEN LEISTUNGSMERKMALEN FÜR KLEINE UND MITTLERE UNTERNEHMEN Der Business Marketplace bietet

Mehr

Patch-Management. Leibniz-Akademie Hannover Wirtschaftsinformatik B. Sc. Praxisreflexion im Bereich Management im SS 2011

Patch-Management. Leibniz-Akademie Hannover Wirtschaftsinformatik B. Sc. Praxisreflexion im Bereich Management im SS 2011 Leibniz-Akademie Hannover Wirtschaftsinformatik B. Sc. Praxisreflexion im Bereich Management im SS 2011 Patch-Management Thomas Beer Abgabedatum: 28.03.2011 Anmerkung: Diese Wissenschaftliche Arbeit ist

Mehr

Avira Small Business Security Suite Version 2.6.1 Release-Informationen

Avira Small Business Security Suite Version 2.6.1 Release-Informationen Avira Small Business Security Suite Version 2.6.1 Release-Informationen Produktmerkmale Die Avira Small Business Security Suite ist eine komplette Sicherheitslösung, zugeschnitten auf die Erwartungen und

Mehr

Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing

Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing Prof. Dr. Peter Buxmann André Loske Fachgebiet Wirtschaftsinformatik Software Business & Information Management Technische

Mehr

Key Performance Indicators

Key Performance Indicators Key Performance Indicators Kennzahlen die Potential zeigen Dipl.-Ing. Till Federspiel 21. Juni 2006 6/21/2006 2:31:02 PM 6851-06_Teamwork 2006 1 CSC und Performance Control 2. Hälfte 1990er: Process Quality

Mehr

Vorwort. Hermann J. Schmelzer, Wolfgang Sesselmann. Geschäftsprozessmanagement in der Praxis

Vorwort. Hermann J. Schmelzer, Wolfgang Sesselmann. Geschäftsprozessmanagement in der Praxis Vorwort Hermann J. Schmelzer, Wolfgang Sesselmann Geschäftsprozessmanagement in der Praxis Kunden zufrieden stellen - Produktivität steigern - Wert erhöhen ISBN (Buch): 978-3-446-43460-8 Weitere Informationen

Mehr

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang IT Security Audit Beschreibung Die Informatik ist immer stärker verantwortlich für das Erstellen und die Abwicklung von geschäftskritischen Abläufen und wird dadurch zum unmittelbaren Erfolgsfaktor eines

Mehr

IDC Studie: Deutsche Unternehmen wollen mit Cloud Services Geschäftsprozesse optimieren

IDC Studie: Deutsche Unternehmen wollen mit Cloud Services Geschäftsprozesse optimieren Pressemeldung Frankfurt, 26. Juli 2013 IDC Studie: Deutsche Unternehmen wollen mit Cloud Services Geschäftsprozesse optimieren Die Fachbereiche deutscher Unternehmen fordern von der IT eine bessere Unterstützung

Mehr

Social Media Analytics. Intuitive Erfolgsmessung in sozialen Netzwerken.

Social Media Analytics. Intuitive Erfolgsmessung in sozialen Netzwerken. Social Media Analytics Intuitive Erfolgsmessung in sozialen Netzwerken. Quick Facts socialbench. Analyse, Auswertung und Management von Social Media-Profilen seit 2011. Das Unternehmen 400+ Kunden. 30

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Zero Effort Backup (ZEB) automatische Datensicherung über das Internet

Zero Effort Backup (ZEB) automatische Datensicherung über das Internet Ralph Lehmann. Computerservice und IT-Beratung. Kochstraße 34. 04275 Leipzig Ralph Lehmann Computerservice und IT-Beratung Kochstraße 34 04275 Leipzig Ralph Lehmann Computerservice und IT-Beratung Tel.:

Mehr

Optimieren von Requirements Management & Engineering

Optimieren von Requirements Management & Engineering Xpert.press Optimieren von Requirements Management & Engineering Mit dem HOOD Capability Model Bearbeitet von Colin Hood, Rupert Wiebel 1. Auflage 2005. Buch. xii, 245 S. Hardcover ISBN 978 3 540 21178

Mehr

Security Information und Event Management (SIEM) erweiterte Sicherheitsanforderungen bei wachsender Datenflut

Security Information und Event Management (SIEM) erweiterte Sicherheitsanforderungen bei wachsender Datenflut TWINSOF T Security Information und Event Management (SIEM) erweiterte Sicherheitsanforderungen bei wachsender Datenflut 05.06.2013 GI Themenabend BIG DATA: Matthias Hesse, Twinsoft Ablauf 1. Wer ist denn

Mehr

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. AT 9 der MaRisk Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 1 Outsourcing nach AT 9 der MaRisk

Mehr