White paper. Best Practices für das Log-Management. Die Grundlage für eine umfassende Verwaltung von Sicherheitsinformationen und -ereignissen

Größe: px
Ab Seite anzeigen:

Download "White paper. Best Practices für das Log-Management. Die Grundlage für eine umfassende Verwaltung von Sicherheitsinformationen und -ereignissen"

Transkript

1 White paper Best Practices für das Log-Management Die Grundlage für eine umfassende Verwaltung von Sicherheitsinformationen und -ereignissen

2 Executive Summary Log-Management bezeichnet die Erfassung, Analyse (in Echtzeit oder vergangenheitsbezogen), Speicherung und Verwaltung von Protokoll-Daten aus verschiedenen Quellen im gesamten Unternehmen. Dies liefert die Grundlage für eine umfassende Verwaltung von Sicherheitsinformationen und -ereignissen (SIEM). Unternehmen, die Best Practices für das Log-Management entwickeln, erhalten eine zeitnahe Analyse ihres Sicherheitsprofils für die Sicherheitsabteilungen. Sie stellen sicher, dass Protokolle ausreichend detailliert über einen angemessenen Zeitraum gespeichert werden, um den Audit- und Compliance-Anforderungen gerecht zu werden. Darüber hinaus verfügen diese Unternehmen über zuverlässige Beweise, die auch in rechtlichen Verfahren Bestand haben. Unternehmen stehen vor zahlreichen Herausforderungen, durch die Best Practices im Log-Management als Teil der IT-Sicherheitsstrategie für das gesamte Unternehmen immer mehr Bedeutung erhalten. Dazu zählen die Steuerung der enormen Datenmengen, die von immer mehr Systemen generiert werden, die steigenden Anforderungen der modernen, durch Gesetze und Richtlinien bestimmten Umgebung und die immer ausgereifteren Angriffe auf Unternehmensnetzwerke. Durch Best Practices im Log-Management können IT- Führungskräfte einen deutlichen Mehrwert für ihr Unternehmen schaffen, da die Kosten sinken, während die Effizienz in Bereichen wie Compliance, Risikomanagement, Recht, Forensik oder Speicherung und im laufenden Betrieb steigt. Als Basis für Best Practices im Log-Management empfehlen sich die Anforderungen der geltenden Richtlinien und Standards sowie rechtliche Beratung, geschäftliche und operative Ziele und Risikoanalysen. Best Practices sollten zwar von jedem Unternehmen auf Basis der jeweiligen Umgebung individuell entwickelt werden, aber es gibt auch einige allgemeine Vorgehensweisen, die sich universell anwenden lassen. Dieses Whitepaper soll Unternehmen bei der Entwicklung eigener umfassender Best Practices unterstützen. Es zeigt 40 empfohlene Best Practices für folgende Protokollaspekte: Richtlinien, Verfahren und Technologien, Generierung und Erfassung, Aufbewahrung und Speicherung, Analyse sowie Schutz und Sicherheit. Inhalt Definition von Log-Management Seite 1 Bedeutung von Protokollen für Sicherheit und Compliance Seite 1 Log-Management als Lösung für Herausforderungen Seite 1 Der Geschäftswert von Best Practices im Log-Management Seite 3 Vorschläge für die Best Practices in Ihrem Unternehmen Seite 4 Empfohlene Best Practices Seite 5 I. Richtlinien, Verfahren und Technologien für Protokolle Seite 5 II. Erstellung und Erfassung von Protokollen Seite 6 III. Aufbewahrung und Speicherung von Protokollen Seite 7 IV. Protokollanalyse Seite 10 V. Schutz und Sicherheit von Protokollen Seite 11 Lösungen für die Implementierung von Best Practices Seite 12 Anhänge Anhang 1 Quellen und Inhalte von Protokollen Seite 13 Anhang 2 Compliance-Anforderungen für das Log-Management Seite 14

3 Definition von Log-Management In einem Protokoll werden die Ereignisse oder Aktivitäten aus den Systemen oder Netzwerken eines Unternehmens aufgezeichnet. Beispiele: eine Firewall gewährt oder verweigert den Zugriff auf eine Netzwerkressource, ein Administrator ändert die Konfiguration des Betriebssystems, ein System wird beendet oder gestartet, ein Benutzer meldet sich an einer Anwendung an, oder eine Anwendung gewährt oder verweigert den Zugriff auf eine Datei. Weitere Beispiele für Ereignisse oder Aktivitäten finden Sie in Anhang 1 Quellen und Inhalte von Protokollen. Log-Management bezeichnet die Erfassung, Analyse (in Echtzeit oder vergangenheitsbezogen), Speicherung und Verwaltung von Protokollen aus verschiedenen Quellen im gesamten Unternehmen, darunter Sicherheitssysteme, Netzwerkgeräte, Betriebssysteme und Anwendungen. Log-Management liefert die Grundlage für eine umfassende Verwaltung von Sicherheitsinformationen und -ereignissen (SIEM), die folgenden Zwecken dient: Erkennung und Abwehr von Bedrohungen in Echtzeit Vorfallsuntersuchungen und Forensik Einhaltung von Vorschriften und Standards Kapazitätsplanung, Leistung und Betriebszeit Beweise für Gerichtsverfahren Erkennung und Vermeidung von IP-Diebstahl Behebung von System- und Netzwerkproblemen Überprüfung und Durchsetzung von IT-Sicherheitsrichtlinien Bedeutung von Protokollen für Sicherheit und Compliance Ohne eine ausreichende Zusammenstellung, regelmäßige Prüfung und langfristige Aufbewahrung von Protokollen kann Ihr Unternehmen keine Compliance mit gesetzlichen Vorgaben erreichen und seine wertvollen Informationen nicht richtig schützen. Protokolle stellen eine Möglichkeit für die Überwachung von Systemen dar und zeichnen Sicherheitsereignisse, Informationszugriffe und Benutzeraktivitäten auf. warum Unternehmen die Vorgaben von Compliance-Audits nicht einhalten können. Sarbanes-Oxley-Auditoren nennen z.b. die unzulängliche Prüfung von Audit-Protokollen als einen der fünf häufigsten Schwachpunkte der IT-Kontrolle. Unzureichende Protokollierung ist nach Aussage von PCI-Auditoren auch eine der drei ersten Ursachen der Nichteinhaltung des Payment Card Industry Data Security Standard (PCI DSS). Mangelnde Kompetenz beim Log-Management zählt auch zu den Hauptursachen für die Gefährdung von Daten. Forensische Untersuchungen von MasterCard zeigen beispielsweise, dass eine fehlende Sicherheitsüberwachung in Echtzeit einer der fünf wichtigsten Gründe für Hacker-Angriffe auf Handelsunternehmen ist. Untersuchungen der US-amerikanischen Handelsaufsicht Federal Trade Commission (FTC) bei bereits vom Datenmissbrauch betroffenen Unternehmen haben gezeigt, dass fehlende Maßnahmen zur Erkennung von nicht autorisierten Zugriffen eine der Hauptursachen für diesen Missbrauch waren. Ohne ein geeignetes Log-Management können Unternehmen aufgetretene Sicherheitsverletzungen nur schwer untersuchen und sich von den Folgen erholen. Datenmissbrauch im großen Stil war in den vergangenen Jahren oft in den Schlagzeilen. In vielen Fällen haben die betroffenen Unternehmen nicht alle Protokolle aufbewahrt, die bis zum Zeitpunkt des ersten Eindringens in das Unternehmensnetzwerk zurückreichen. Dadurch war es nahezu unmöglich, die genaue Vorgehensweise des Angriffs zu bestimmen. Gesetzliche Vorgaben haben inzwischen dazu geführt, dass Aufbewahrungsfristen verlängert wurden. Um beispielsweise die Integrität von Finanzdaten belegen zu können, verlangen gesetz liche Vorschriften von Unternehmen die Aufbewahrung von Audit-Protokollen über viele Jahre. Richtlinien zum Datenschutz sehen die jahrelange Aufbewahrung von Zugriffsprotokollen vor, um die Offenlegung persönlicher Informationen nachweisen zu können. Unternehmen, die Best Practices im Log-Management entwickeln, erhalten eine zeitnahe Analyse ihres Sicherheitsprofils für die Sicherheitsabteilungen. Sie stellen sicher, dass Protokolle ausreichend detailliert über einen angemessenen Zeitraum gespeichert werden, um Audit- und Compliance-Anforderungen gerecht zu werden, und verfügen über zuverlässige Beweise zur Verwendung in rechtlichen Untersuchungen. Die moderne, durch Gesetze und Richtlinien geprägte Umgebung und eine neue Generation immer ausgereifterer Angriffe machen das Log-Management zu einer immer bedeutenderen Komponente Ihrer IT-Sicherheitsstrategie. Das Log-Management versetzt Sie in die Lage, nicht autorisierte Aktivitäten in Echtzeit zu erkennen und sicherzustellen, dass protokollierte Daten für Audits und rechtliche Untersuchungen zur Verfügung stehen und über ihren gesamten Lebenszyklus hinweg gespeichert werden. Das fehlende Log-Management ist eine der Hauptursachen, Log-Management als Lösung für Herausforderungen Unternehmen stehen vor zahlreichen Herausforderungen, durch die Best Practices im Log-Management als Teil der IT-Sicher heitsstrategie für das gesamte Unternehmen immer mehr Bedeutung erhalten. RSA White Paper 1

4 1. Vielzahl unterschiedlicher Systeme für die Protokollerstellung In den vergangenen Jahren haben Unternehmen als Antwort auf zunehmende Sicherheitsbedrohungen zahlreiche Sicherheitssysteme entwickelt, darunter Systeme zur Erkennung von Eindringlingen, Patch-Management- und Antiviren-Systeme. Im Zuge der wachsenden Automatisierung von Geschäftsprozessen besteht die Unternehmensumgebung aus immer mehr Netzwerkgeräten, Servern, Speicher-Subsystemen und Anwendungen. Die Folge sind immer größere und komplexere, unterschiedliche Systeme, die ebenso vielfältige Protokolle erstellen. Siehe Anhang 1 Quellen und Inhalte von Protokollen. Bei so vielen unterschiedlichen Protokollquellen ist es schwierig, den Überblick zu behalten. Es erweist sich als Herausforderung, das gesamte Sicherheitsprofil zu bestimmen oder ein vollständi - ges Bild über Informationszugriff und Benutzeraktivitäten zu erlangen. So müssen Auditoren möglicherweise stapelweise Ausdrucke aus vielen verschiedenen Systemen lesen, um nachzuweisen, dass nur autorisierte Benutzer auf geschützte Informationen zugreifen. Aufgrund dieser Tätigkeiten werden Audits zu einer kostspieligen Angelegenheit. Ohne geeignete Aufbewahrungsrichtlinien werden Protokolle aus so vielen verschiedenen Quellen wahrscheinlich nicht korrekt gespeichert. Oder aber es werden unwichtige Protokolle aus einigen Quellen gespeichert, während wichtige Aufzeichnungen aus anderen Quellen überhaupt nicht gesichert werden. 2. Datenvolumen von Protokollen Global 2000-Unternehmen generieren monatlich mindestens 10 TB allein an Protokollen. Bei diesen Datenmengen ist es nicht verwunderlich, dass viele Unternehmen die gespeicherten Protokolle nicht analysieren, da diese Aufgabe einfach zu schwierig wäre. Selbst wenn Vorgehensweisen zur Prüfung der Protokolle vorhanden sind, werden sie oftmals nicht zuverlässig genug eingehalten, da die manuelle Bearbeitung so vieler Protokolle sehr mühsam ist. Daher müssen Unternehmen eigene Best Practices für die Analyse und Berichterstellung entwickeln, um diese wichtigen Informationen sinnvoll zu nutzen. Darüber hinaus ist es wichtig, Strategien für die Aufbewahrung bzw. das Abrufen zu bestimmen. So können Auditoren und Untersuchungsbeamte aus riesigen Datenbeständen einfach die benötigten Informationen herausfiltern. 3. Immer neue Bedrohungen Die heutigen Bedrohungen sind nicht einfach nur lästige Angriffe wie z.b. der I LOVE YOU-Virus oder Denial-of-Service-Angriffe. Sie sind sehr zielgerichtet und ausgereift und werden von organisierten Verbrechern auf bestimmte wertvolle Informationen über längere Zeiträume ausgeübt. In einem aktuellen, hochkarätigen Fall waren die Systeme eines großen Händlers über 18 Monate hinweg unbemerkt von Eindringlingen betroffen. Diese Umgebung verlangt nach effizienter Überwachung in Echtzeit, um Eindringlinge besser erkennen zu können, sowie nach detaillierten Protokollinformationen, die im Falle einer Sicherheitsverletzung eine wichtige Rolle spielen. Diese Protokolle müssen über einen Zeitraum von mehreren Monaten oder gar Jahren zurückreichen, um Beweise zusammenzustellen. Im Zuge der neuen Entwicklungen muss die Aufbewahrungsdauer von Protokollen in Unternehmen unbedingt angepasst werden. Protokolldaten müssen vollständig und jederzeit abrufbar sein, um bei der Untersuchung von Sicherheitsverletzungen von Nutzen zu sein. 4. Strengere gesetzliche Vorschriften In den letzten Jahren gab es weltweit eine Flut an Richtlinien und Gesetzen, die den Schutz von Informationen vorschreiben. Unternehmen sind nun rechtlich verpflichtet, Informationen zu schützen, und müssen belegen, dass ihre Sicherheitsmaßnahmen dazu geeignet sind. Die Protokollierung erfüllt im Hinblick auf Compliance zwei Funktionen. Sie ist ein zentrales Standbein jedes Sicherheitsprogramms und daher für den Schutz von Informationen unabdingbar. Wenn Unternehmen ihren rechtlichen Verpflichtungen zum Schutz von Informationen nachkommen möchten, darf die Protokollierung nicht deaktiviert werden bzw. müssen alle Protokolle einer eingehenden Prüfung unterzogen werden. Des Weiteren stellen Protokolle das wichtigste Beweismittel für Compliance und Richtlinienkonformität dar. Ohne Protokolle ist die Beantwortung der Fragen, ob Finanzdaten ohne geeignete Autorisierung geändert oder Patientendaten ohne Genehmigung veröffentlicht wurden bzw. ob der Zugriff auf Karteninhaberdaten nur Personen gewährt wurde, die ihn aus Geschäftsgründen benötigen, schwierig, wenn nicht gar unmöglich. In der neuen, durch Richtlinien geprägten Umgebung gelten für die meisten Unternehmen zahlreiche Vorgaben aus mehreren Bereichen. Darüber hinaus gibt es regelmäßig interne oder unabhängige Audits der Informationssysteme, um die Eignung der Sicherheitsmaßnahmen zu prüfen. Protokolle müssen ausreichend detailliert zusammengestellt werden, um eine Überprüfung zu ermöglichen. Außerdem müssen sie dem Auditor jederzeit zu Prüfungszwecken zur Verfügung gestellt werden können. Ist ein Audit abgeschlossen, muss das Unternehmen bestimmte Protokolle oft über Jahre hinweg aufbewahren für den Fall, dass diese Protokolle von Regulierungsbehörden oder Gerichten als Beweismittel angefordert werden. Anforderungen an die Aufbewahrung von Protokollen sind nun durch die Notwendigkeit geprägt, die richtigen Informationen parat zu halten, um Audit- Zyklen zu entsprechen. Anschließend erfolgt die langfristige Aufbewahrung, mit der die rechtlichen Anforderungen an die Datenarchivierung erfüllt werden. 2 RSA White Paper

5 5. Wachsende Anzahl an Beteiligten Längst benötigen nicht mehr nur Sicherheits- und Netzwerk - abteilungen die Informationen aus Protokolldaten. Auch andere Gruppen im gesamten Unternehmen müssen darauf zugreifen, z.b. die Personal- und Rechtsabteilung, die interne Auditierung, die Finanzabteilung, das Engineering, der Kundenservice sowie Vertrieb und Marketing. Die Personalabteilung benötigt die Daten beispielsweise für die Bearbeitung von Problemen mit Mitarbei - tern, um ggf. erhobene Vorwürfe von Fehlverhalten der Ange - stellten auch belegen zu können. Die Rechtsabteilung, interne Auditierung und Finanzabteilung verwenden diese Informationen für Compliance-Initiativen. Best Practices für das Log-Manage - ment sollten allen Beteiligten im Unternehmen einen sicheren, raschen und zuverlässigen Zugang zu den benötigten Informationen ermöglichen. 6. Unwägbarkeiten künftiger Rechtsvorschriften Weltweit nimmt die Zahl der rechtlichen Vorgaben zu. In den USA wird z.b. eine umfassende Gesetzgebung zum Datenschutz disku - tiert, andere Länder wie Indien und China prüfen die Einführung neuer Gesetze. Es lässt sich keine Aussage treffen, welche Protokolle in Zukunft erforderlich sein werden, um Rechtssicher - heit zu erlangen. Rechtsstreitigkeiten aufgrund von Sicherheitsund Datenschutzverletzungen gibt es bereits. Prognosen zufolge werden solche Verletzungen eine neue Welle an Sammelklagen auslösen. Befindet sich ein Unternehmen aufgrund einer Sicherheitsverletzung im Prozess, muss es möglicherweise Beweismaterial über den Zugriff auf Informationen vorlegen. Ein weiterer Trend, der für Unsicherheit sorgt, ist die zunehmende Anzahl an Geschäftspartnerverträgen mit bestimmten Regelungen zur Informationssicherheit, einschließlich des Rechts auf Auditierung. Es lässt sich nur schwer voraussagen, welche Protokolle ein Geschäftspartner im Rahmen eines Sicherheits- Audits anfordern könnte. Daher müssen Unternehmen Best Practices für das Log-Management entwickeln, die auf diese Unwägbarkeiten (welche Protokolle sind zu welchem Zeitpunkt erforderlich) vorbereitet sind. Der Geschäftswert von Best Practices für das Log- Management Die meisten Unternehmen haben noch keine Best Practices für das Log-Management entwickelt und implementiert. Da diese Funktionalität jedoch immer mehr an Bedeutung gewinnt, rückt sie bei zahlreichen CIOs und CISOs auf der Tagesordnung weiter nach oben. Einer kürzlich vom Branchenanalysten ThelnfoPro durchgeführten Studie zufolge zählt die Verwaltung von Sicherheitsinformationen und -ereignissen für Fortune Unternehmen mittlerweile zu den Top 5-Projekten für Informationssicherheit. Durch die Einrichtung von Best Practices für das Log-Management können IT-Führungskräfte einen deutlichen Mehrwert für ihr Unternehmen in folgenden Bereichen schaffen: Compliance Durch eine ausreichende Zusammenstellung und Aufbewahrung von Protokollen können durch Nichteinhaltung von Vorschriften entstehende Kosten wie z.b. Geldstrafen vermieden werden. Senkung laufender Audit-Kosten durch geringeren Zeitaufwand für die Fertigstellung eines Audits Sofortige Verfügbarkeit der richtigen Protokolldaten und Berichte für Auditoren Schneller Beleg der Einhaltung von Anforderungen Risikomanagement Die kontinuierliche Prüfung und Echtzeit-Überwachung von Protokollen hilft bei der Erkennung und Vermeidung von unberechtigten Zugriffen und senkt das Risiko von Sicherheitsverletzungen Schutz für Marken, Kundenbeziehungen und den Ruf des Unternehmens Vermeidung von Anwalts- und Gerichtskosten Keine Geldstrafen und Prozesskosten Recht Vollständige Protokolle und effiziente Zusammenstellung von Beweisen senken die Anwalts- und Gerichtskosten Vorlegen von Beweisen wie z.b. Protokollen von Benutzeraktivitäten für gerichtliche Streitfälle bei Kündigungsschutzklagen Vorlegen von Beweisen wie z.b. Protokollen zur Offenlegung von Informationen für Prozesse wegen Datenschutzverletzungen Vorlegen von Beweisen wie z.b. Zugriffsprotokollen der Softwareentwicklung für Prozesse wegen Diebstahl geistigen Eigentums Forensik Im Missbrauchsfall sorgt der schnelle Zugriff auf die richtigen Protokolle für Kosteneinsparungen, da die Zusammenstellung von Beweisen rascher und einfacher ist Schnellere und einfachere Erkennung und Behebung der Ursache Blockierung von Angriffen verhindert schlimme Folgen und spart so Kosten Umkomplizierte und schnelle Systemwiederherstellung und Schadensbeseitigung nach Sicherheitsverletzungen Bessere Chancen zur Ergreifung der Täter Speicher Kostensenkung durch Speichern der richtigen Protokolle über einen geeigneten Zeitraum und ständige Abrufmöglichkeit RSA White Paper 3

6 Unterstützung bei der Klassifizierung von Informationen Verwendung des kostengünstigsten Speichers auf Basis der Anforderungen für die jeweiligen Daten Betrieb Effizientere Protokollanalyse senkt Kosten für die Überwachung, z.b. Personalkosten Mitarbeiter können produktivere Aufgaben übernehmen Effizientere Überwachung reduziert Ausfallzeiten und erhöht die Effizienz, indem der Fokus auf die richtigen Bedrohungen gelenkt wird (weniger Fehlalarme) Vorschläge für die Best Practices in Ihrem Unternehmen Best Practices sollten auf den Anforderungen der geltenden Richtlinien und Standards sowie auf Rechtsberatung, geschäftlichen und betrieblichen Zielen und auf einer Risikoanalyse aufbauen. Für bestimmte Compliance-Anforderungen zum Log-Management müssen Unternehmen jedoch über die in den Richtlinien festgeschriebenen Informationen hinausgehen und auch die geltenden Standards zur Informationssicherheit berücksichtigen. Weitere Informationen zu den speziellen Anforderungen einiger Richtlinien und Branchenstandards an das Log-Management finden Sie in Anhang 2 Compliance-Anforderungen für das Log- Management. Da für die meisten Unternehmen zahlreiche Vorgaben aus mehreren Bereichen gelten, deren Anzahl ständig zunimmt, sind Unternehmen gezwungen, einen ganzheitlichen Ansatz zur Entwicklung von Best Practices für das Log-Management zu verfolgen. Im Gegensatz zu einem unsystematischen Ansatz, bei dem die Anforderungen jeder Richtlinie einzeln erfüllt werden, zielt ein ganzheitlicher Ansatz darauf ab, die Bemühungen zu kombinieren und Best Practices zu schaffen, die möglichst die Anforderungen verschiedener Richtlinien und Normen erfüllen und darüber hinaus eine proaktive Planung für die künftige Rechtsgestaltung vorsehen. 1. Anforderungen durch Richtlinien und Standards Es gibt zahlreiche Richtlinien und Branchenstandards, die den Schutz von Informationen vorschreiben, darunter: Sarbanes-Oxley (SOX) Health Insurance Portability and Accountability Act (HIPAA) Gramm-Leach-Bliley-Act (GLBA) Federal Information Security Management Act (FISMA) Internationale Datenschutzbestimmungen 1 US-Gesetze auf Bundesstaatebene zur Benachrichtigung über Sicherheitsverstöße (z.b. SB 1386) 2 21 CFR Part 11 (Part 11) 3 der US-amerikanischen Food and Drug Administration Payment Card Industry Data Security Standard (PCI DSS) Standards für digitale Sicherheit des North American Electric Reliability Council (NERC) Die meisten Gesetze und Regulierungsvorgaben beinhalten keine spezifischen Anforderungen, sondern verlangen von Unternehmen die Implementierung von vernünftigen und geeigneten Maßnahmen zum Schutz von Informationen nach Maßgabe der Anforderungen von Standards zur Informationssicherheit wie z.b.: Control Objectives for Information Technology (COBIT) Sonderausgaben des National Institute of Science and Technology, 800-er Serie (NISTSP 800) IT-Handbuch zur Informationssicherheit des Federal Financial Institutions Examination Council (FFIEC) Internationale Organisation für Normung: Code of Practice for Information Security Management (ISO 17799/27001) 2. Beratung durch Rechtsbeistände Bei der Entwicklung von Best Practices für das Log-Management sollte ein Rechtsbeistand hinzugezogen werden, der insbesondere bei der Entwicklung von Richtlinien beratend zur Seite steht. Er gibt nicht nur Rat zu den geltenden Anforderungen, sondern auch zu anderen rechtlichen Themen oder vertraglichen Verpflichtungen wie Vereinbarungen mit Geschäftspartnern, die das Recht auf Audits beinhalten können und daher schnellen Zugriff auf Audit-Protokolle erfordern. Protokolle werden möglicherweise auch als Beweismittel für künftige Prozesse oder Untersuchungen benötigt. Des Weiteren kann ein Rechtsbeistand dabei helfen, dass die Richtlinien zur Aufbewahrung von Protokollen innerhalb der allgemeinen Datenaufbewahrungs - vorschriften des Unternehmens konsistent sind. 3. Geschäftliche und betriebliche Ziele Best Practices für das Log-Management sollten die Ziele des Unternehmens widerspiegeln, u.a. auch den Umgang mit bestimmten Parametern wie verfügbare Zeit, Ressourcen und Budget. Die betrieblichen Ziele könnten auch eine Effizienz - steigerung der Protokollprüfung, die Sicherstellung der ausreichenden Überwachung bestimmter Systeme zur frühen Problemerkennung und Senkung der Ausfallzeiten oder die Aufbewahrung bestimmter Protokolle über einen bestimmten Zeitraum zur möglichen forensischen Verwendung beinhalten. 4. Risikobewertung Die Risikobewertung stellt eine bedeutende Komponente bei der Entwicklung von Kompetenzen im Log-Management dar. Wie 1 Beispielsweise die EU-Datenschutzrichtlinie (EU DPD), der Japan Personal Information Protection Act (PIPA) und der Canada Personal Information Protection and Electronic Documents Act (PIPEDA) 2 Etwa 40 Bundesstaaten haben nun Gesetze, die Unternehmen vorschreiben, eine Person zu benachrichtigen, wenn es Grund zur Annahme gibt, dass die Sicherheit der persönlichen Daten dieser Person beeinträchtigt wurde. Diese Gesetze hatten immense Auswirkungen auf Unternehmen in aller Welt. Sie verfügen über keine direkten Anforderungen für das Log-Management, obwohl Protokolle eine wichtige Möglichkeit darstellen, eine Sicherheitsverletzung zu erkennen oder aber Beweise zu erbringen, dass es keinen Grund gibt, eine solche Verletzung zu vermuten. 3 In der EU ist die entsprechende Richtlinie Good Manufacturing Practices (GMP) Annex 11 (Annex 11) 4 RSA White Paper

7 zuvor erwähnt, beinhalten weder Gesetze noch Normen spezifische Anforderungen. Stattdessen müssen viele Entschei - dun gen vom Unternehmen selbst getroffen werden. Bei diesen Entscheidungen spielt die Bewertung der Risikofaktoren des Unternehmens eine Schlüsselrolle. Durch die Risiko bewertung lassen sich verschiedene Anforderungen bestimmen, z.b. wie oft Protokolle geprüft und wie lange bestimmte Protokolle aufbe - wahrt werden. Zugriffsprotokolle für regulierte oder andere vertrauliche bzw. geschützte Informationen erfordern z.b. eine genauere Prüfung und längere Aufbewahrung als andere Protokolle. der Ergebnisse von Audits, Änderungen von Compliance- Anforderungen und Feedback von Administratoren. Richtlinien sollten mindestens einmal jährlich geprüft und aktualisiert werden. I.3. Definition von Rollen und Verantwortlichkeiten und geeigneter Support für Mitarbeiter Aufgaben im Log-Management sollten im gesamten Unternehmen verteilt werden. Zur Ausführung dieser Aufgaben sollten geeignete Schulungen, Tools und Dokumentation bereitgestellt werden. Empfohlene Best Practices Umfassende Best Practices für das Log-Management beinhalten die folgenden Kategorien: Richtlinien, Verfahren und Technologien für Protokolle Erstellung und Erfassung von Protokollen Aufbewahrung und Speicherung von Protokollen Protokollanalyse Schutz und Sicherheit von Protokollen Best Practices sollten zwar von jedem Unternehmen auf Basis der jeweiligen Umgebung individuell entwickelt werden, aber es gibt auch einige allgemeine Vorgehensweisen, die sich universell anwenden lassen. RSA hat eine Liste mit 40 empfohlenen Best Practices für alle Kategorien entwickelt. Diese Best Practices sind im Folgenden aufgeführt. I. Richtlinien, Verfahren und Technologien für Protokolle Richtlinien regeln die Verwaltung der Log-Management- Aktivitäten und sollten vorgeschriebene Anforderungen für die Erstellung, Analyse, Aufbewahrung, Speicherung und Sicherheit von Protokollen klar definieren. Sie sollten in Verbindung mit einem Plan für die Verfahren und Technologien erstellt werden, die für die Implementierung und Durchsetzung der Richtlinien benötigt werden. Empfohlene Best Practices I.1. Unterstützung der Führungsebene in Bezug auf Richtlinien Die nötige Priorisierung innerhalb des Unternehmens und die für das Log-Management nötigen Ressourcen sollten hier berücksichtigt werden. I.2. Vollständige Dokumentation der Richtlinien und Durchführung regelmäßiger Prüfungen und Aktualisierungen von Richtlinien je nach Bedarf Beispiel: Aktualisierung der Richtlinien und Verfahren auf Basis I.4. Anpassung von Richtlinien für das Log-Management und zugehörigen Richtlinien und Verfahren Beispiel: Richtlinien zur Protokollaufbewahrung sollten mit allgemeinen Richtlinien zur Datenaufbewahrung in Einklang gebracht werden. Anforderungen im Log-Management sollten z.b. bei Softwareanschaffung und Anwendungsentwicklung berücksichtigt werden. I.5. Umsetzung der Separation of Duties Beispiel: Die Prüfung der systembezogenen Protokolle erfolgt nicht durch den Systemadministrator, sondern durch eine andere Person, um die Nachvollziehbarkeit der Tätigkeiten des Systemadministrators zu gewährleisten. I.6. Umsetzung von Standard-Arbeitsverfahren für das Log- Management zur Unterstützung und Einhaltung der Richtlinien Einige gängige Verfahren beinhalten beispielsweise die Konfiguration von Protokollquellen, die Durchführung von Protokollanalysen, die Initiierung von Reaktionen auf erkannte Vorfälle und die Verwaltung des Langzeitspeichers. I.7. Planung und Implementierung einer speziellen Infrastruktur für das Log-Management zur Unterstützung und Einhaltung der Richtlinien Diese Infrastruktur sollte eine spezielle Plattform für das Log- Management und einen Speicher für Protokolldaten beinhalten. Durch die Implementierung einer speziellen Log-Management- Umgebung können alle Beteiligten leichter auf sämtliche Daten zugreifen, gründliche Analysen durchführen, starke Sicherheit garantieren und protokollierte Daten zuverlässig und konsistent über die entsprechenden Zeiträume hinweg speichern. Ohne eine zentrale Infrastruktur für das Log-Management würden die Beteiligten wahrscheinlich auf einzelne Punktlösungen zurückgreifen, die zu Ineffizienz, Redundanz und einem erhöhten Verwaltungsaufwand mit unnötiger Komplexität führen. Unternehmen müssen aktuelle, aber auch künftige Anforderungen in ihrer Planung berücksichtigen, darunter das Datenvolumen von Protokollen, Speicherkapazität, Sicherheitsanforderungen sowie Zeit und Ressourcen, die Mitarbeiter für die Analyse der Protokolle und die Verwaltung der Infrastruktur benötigen. RSA White Paper 5

8 I.8. Kein Alleingang: Hinzuziehen eines Branchenexperten bzw. Beraters Die Entwicklung umfassender Best Practices für das Log- Management bringt große Vorteile, aber auch komplexe Aufgaben mit sich. Dazu zählen die Implementierung von Richtlinien, Verfahren und Technologien, wie diese Kategorie von Best Practices zeigt. Viele Unternehmen verfügen intern nicht über das nötige Know-how oder qualifizierte Fachkräfte und sollten einen Branchenexperten bzw. Berater als Unterstützung hinzuziehen. II. Erstellung und Erfassung von Protokollen Die Zusammenstellung einer ausreichenden Datenmenge zur Erfüllung der Anforderungen von Richtlinien sowie für mögliche Untersuchungen von Vorfällen und rechtlichen Problemen ist mit sehr viel Aufwand verbunden. Datenschutzbestimmungen schreiben z.b. vor, dass Unternehmen sämtliche Zugriffe auf persönliche Daten aufzeichnen müssen. Der PCI-Standard fordert von Unternehmen die Nachverfolgung und Überwachung aller Zugriffe auf Netzwerkressourcen und Daten von Karteninhabern. Zur Einhaltung der von der Unternehmensführung vorgegebenen Richtlinien müssen Unternehmen ausreichend Vorgangsdaten aufzeichnen und speichern, um die Prüfung, Auswertung und Rekonstruktion der Datenverarbeitung zu ermöglichen, die als Grundlage für Finanzberichte dient. Für die Untersuchung von Vorfällen benötigen Unternehmen vollständige Aufzeichnungen der Aktivitäten im Netzwerk sowie in Systemen und Anwendungen. Vor Gericht oder bei Problemen mit Mitarbeitern müssen Unternehmen die richtigen Beweise über die Verwendung von Informationen oder den Systemzugriff zur Hand haben, um ihre Aussagen zu untermauern. Daten müssen aus zahlreichen Quellen zusammengestellt werden, darunter Sicherheitssysteme, Betriebs- und Speichersysteme sowie Anwendungen. Eine Liste mit gängigen Quellen und Protokollinhalten finden Sie in Anhang 1 Quellen und Inhalte von Protokollen. Empfohlene Best Practices II.1. Sicherstellung, dass die Protokollierung für Sicherheits sys - teme, Netzwerkinfrastrukturgeräte, Speicherinfrastruktur, Betriebssysteme sowie kommerzielle und speziell entwickelte Anwendungen aktiviert ist In Anbetracht der Vielzahl an Systemen, Geräten und Anwendun - gen ist es wichtig, dass die Audit-Protokollierung tatsächlich für alle diese Quellen im gesamten Unternehmen aktiviert ist. Administratoren haben möglicherweise Vorbehalte, das Auditing zu aktivieren, da sie eine Beeinträchtigung der Leistungsfähigkeit fürchten. Bei den meisten Systemen ist der Einfluss jedoch nur minimal, wenn die Konfiguration richtig auf eine leistungsfähige Plattform für das Log-Management abgestimmt wurde. Das Aktivieren und Deaktivieren von Audit-Kontrollsystemen sollte selbst auch protokolliert und ein Alarm an Administratoren gesendet werden. II.2. Keine Filterung der Protokolle an der Quelle Es ist sehr schwer, wenn nicht sogar unmöglich, vorauszusagen, was in einer heutigen Umgebung nützlich sein kann und was nicht. Falsche Entscheidungen können Audits oder Untersuchungen negativ beeinflussen. Daher ist es sinnvoller, alle Daten zu sammeln und erst dann zu prüfen, welche Daten nicht gebraucht werden, statt erst gar keine Daten zusammenzustellen. Ein gut konzipiertes System für das Log-Management lässt sich skalieren, um auch große Mengen an Protokolldaten erfassen, analysieren und verwalten zu können. So können alle Daten erfasst und intelligent ausgewertet werden, um dann nicht benötigte Daten zu löschen. II.3. Die erfassten Daten sollten alle wichtigen Vorgangs- und Aktivitätsprotokolle enthalten, die laut Richtlinien erforderlich sind, z.b. alle: individuellen Benutzerzugriffe verweigerten Zugriffsversuche auf Systeme, Anwendungen, Dateien oder Daten sowie andere fehlgeschlagene Vorgänge autorisierten, administrativen oder Root-Zugriffe Verwendungen von Identifizierungs- und Authentifizierungsmethoden Remote- und Wireless-Zugriffe Änderungen der System- oder Anwendungskonfiguration Änderungen der Zugriffsrechte Verwendungen von System-Dienstprogrammen Aktivierungen und Deaktivierungen des Sicherheitssystems Zugriffe auf Audit-Protokolle II.4. Für Ereignisse und Aktivitäten erfasste Details sollten den Anforderungen der Standards entsprechen, z.b.: Art der Aktivität oder des Ereignisses (z.b. Anmeldeversuch, Dateizugriff usw.) Benutzeridentifizierung Sitzungs-ID bzw. Terminal-ID Netzwerkadressen Datum und Uhrzeit Erfolgreiche und fehlerhafte Vorgänge Identität oder Name der betroffenen Daten, Systemkomponente oder Ressource II.5. Einzelne Benutzer sollten sich nachverfolgen lassen, indem für alle Vorgänge eindeutige Informationen zur Benutzeridentifizierung erfasst werden Besonders bei Systemen mit geschützten oder Richtlinien unterliegenden Informationen muss es möglich sein, den Informationszugriff einzelner Benutzer nachzuweisen. 6 RSA White Paper

9 II.6. Testen der Protokollierungsfunktionen Es muss sichergestellt werden, dass wirklich alle Daten erfasst werden und die Daten in den Protokollen vollständig und präzise sind. II.7. Synchronisieren von Zeitstempeln Protokollquellen referenzieren üblicherweise eine interne Uhr, wenn ein Protokolleintrag mit einem Zeitstempel versehen wird. Daher sollten alle internen Uhren der Protokollquellen mit einem vertrauenswürdigen, genauen Zeitserver synchronisiert werden. Ein hochwertiges Log-Management-System versieht die Protokolle auch beim Empfang mit einem Zeitstempel und sollte ebenfalls mit einem Zeitserver synchronisiert werden. II.8. Besonderer Schutz für vertrauliche Daten Bei der Protokollierung können (absichtlich oder versehentlich) vertrauliche Informationen erfasst werden, für die besondere Datenschutz- oder Sicherheitsbestimmungen gelten, z.b. Passwörter oder die Inhalte von s. Vertrauliche Daten in Protokollen könnten von Protokollprüfern oder von Personen, die sich unberechtigt Zugriff verschaffen, eingesehen werden. Hochwertige Log-Management-Systeme bieten eine flexible und umfassende Sicherheit bei der Übertragung und Speicherung der Protokolldaten und ermöglichen einen detaillierten, rollenbasierten Zugriff, um den korrekten und autorisierten Zugriff auf vertrauliche Daten sicherzustellen. Berücksichtigt werden sollte auch, wie die Daten gespeichert werden. Es gibt verschiedene Speicherarten, die unterschied - liche Zugangsebenen bieten, z.b.: Speicherarten 1. Online-Speicher Die Daten werden auf hochleistungsfähigem Network Attached Storage (NAS) oder in Storage Area Networks (SAN) gespeichert. Die Zugriffszeiten betragen einige wenige Millisekunden und bieten zahlreichen Benutzern eine ständige Verfügbarkeit. 2. Nearline-Speicher Die Daten werden in einem Speichersubsystem mit Zugriffszeiten von wenigen Sekunden gespeichert. Sie bieten einigen wenigen, zuvor festgelegten Benutzern über lange Zeiträume hinweg eine unregelmäßige Verfügbarkeit. 3. Offline-Speicher Die Daten werden auf Festplatten und Bändern gespeichert, die in einer Datenbibliothek verwaltet werden und erst nach dem Herstellen einer Laufwerksverbindung über einen Computer eingesehen werden können. Unternehmen sollten bei der Festlegung von Zeiträumen für die Datenaufbewahrung und von Speicherarten folgende Punkte berücksichtigen: II.9. Berücksichtigung von Datenschutzbestimmungen bei der Einrichtung der Protokollierung von Benutzeraktivitäten Bei der Überwachung von Mitarbeitern und anderen Benutzern sollte ein Rechtsbeistand hinzugezogen werden. Die Vorschriften unterscheiden sich je nach Rechtsprechung erheblich. III. Aufbewahrung und Speicherung von Protokollen 1. Warum werden die Protokolle benötigt? 2. Wann muss auf Protokolle zugegriffen werden? 3. Wie weit müssen die Daten zurückreichen? 4. Wie verfügbar müssen sie sein? Die drei folgenden Tabellen beleuchten diese Themen für jede der drei Arten: Produktiv-, Sicherungs- und Archivdaten. Bei der Bestimmung der Anforderungen an die Aufbewahrung und Speicherung von Protokollen sollten die verschiedenen Protokolldatenarten berücksichtigt werden. Protokolldatenarten 1. Produktivdaten Diese Daten werden aktiv für Analysen in Echtzeit, laufende Prüfungen und regelmäßige Audits und Bewertungen verwendet. 2. Sicherungsdaten Diese Daten sind gespiegelte Images der Produktivdaten, die benötigt werden, wenn die eigentlichen Produktivdaten manipuliert oder beschädigt wurden. 3. Archivdaten Diese Daten sind eine Teilmenge der Produktivdaten, die längerfristig im Rahmen der Datenarchivierung auf Basis von gesetzlichen Anforderungen sowie für mögliche rechtliche Ermittlungen und forensische Untersuchungen gespeichert werden. RSA White Paper 7

10 Tabelle 1: Produktivdaten Warum sind Proto - kolle notwendig? Wann muss auf Protokolle zugegriffen werden? Wie weit müssen die Daten zurückreichen? Wie verfügbar müssen sie sein? Protokollprüfungen und -analysen Sehr oft (z.b. Echtzeit, täglich, wöchentlich, monatlich usw.) Bis zur letzten Prüfung Schneller Zugriff zur Vereinfachung rascher Analysen erforderlich Forensische Untersuchungen Sicherheitsverstöße und -lücken usw. können jederzeit vorkommen, daher können auch Untersuchungen jeder - zeit erforderlich sein Protokolle erfordern wahrscheinlich regelmäßigen Zugriff (möglicherweise auch häufig) Angriffe können über einen langen Zeitraum verübt werden (wie z.b. in einem aktuellen, hochkarätigen Fall über einen Zeitraum von 18 Monaten) Möglicherweise ist die Einsicht bestimm - ter Protokolle nötig, die ein Jahr alt oder älter sind Schneller Zugriff zur schnellen Bestim - mung der Ursache des Verstoßes erforderlich Interne Audits Häufigkeit des Zugriffs hängt von der Länge der Audit- Zyklen ab Unterscheidet sich je nach Branche Typische interne Audit-Zyklen für große Unternehmen können 3 Monate (z.b. Finanzdienstleistungen) bis 6 Monate (z.b. Einzelhandel) betragen Bis zu einem Audit-Zyklus und mindestens ein Quartal, um sicherzustellen, dass alle aufgezeichneten Protokolle für den Audit- Zyklus zur Verfügung stehen Üblicherweise 6-9 Monate Schneller Zugriff erforderlich, um die Produktivität interner Auditores sicherzustellen Einige Bereiche mit hohem Risiko werden u.u. öfter als die üblichen Audit-Zyklen geprüft Externe Audits/ unabhängige Bewertungen Abhängig von der Länge des Audit-Zyklus Für viele Richtlinien betragen externe Audit-Zyklen ein Jahr, z.b.: SOX: jährliche Bewertung GLBA: Vorstandsprüfung von Sicherheitsmaßnahmen einmal pro Jahr FISMA: jährliche Prüfung PCI: jährliche Eigenbewertung oder Vor-Ort-Audit NERC: besondere Compliance-Prüfung innerhalb eines Jahres EU-Datenschutzrichtlinie Safe Harbor : jährliches Audit Bei einigen globalen Datenschutzbestimmungen können Audit-Zyklen u.u. länger sein, z.b. erfordert die ISO 17799/27001 alle drei Jahre eine erneute Zertifizierung Part 11/Annex 11: abhängig von besonderen Regeln in Bezug auf Prüfungen FTC: unabhängige Audits einmal alle zwei Jahre Bis zu einem Audit-Zyklus und mindestens ein Quartal, um sicherzustellen, dass alle aufgezeichneten Protokolle für den Audit- Zyklus zur Verfügung stehen Für die meisten Richtlinien heißt das ein Jahr + 3 Monate = 15 Monate Die meisten Richtlinien beinhalten keine besonderen Aufbewahrungszeiträume von Protokollen für Audit-Zyklen mit Ausnahme von: PCI: Ein Audit-Trail muss mindestens ein Jahr aufbewahrt werden und mindestens drei Monate online verfügbar sein NERC: Unternehmen müssen nachweisen können, dass es über den Zeitraum eines Jahres keine Lücken in der Überwachung und Protokollierung gab (steht im Gegensatz zu einer anderen Anforderung an die Datenarchivierung, die besagt, dass Protokolle mindestens 90 Tage aufbewahrt werden müssen) Schneller Zugriff erforderlich, um die Produktivität von Auditoren oder Gutachtern sicherzustellen und die Audit-Kosten zu minimieren Tabelle 2: Sicherungsdaten Warum sind Proto - kolle notwendig? Wann muss auf Protokolle zugegriffen werden? Wie weit müssen die Daten zurückreichen? Wie verfügbar müssen sie sein? Wenn Produktivdaten manipuliert oder beschädigt wurden usw. Daten können jederzeit manipuliert oder beschädigt werden Wahrscheinlich kein häufiger Zugriff erforderlich Spiegelung der Produktivdaten ratsam Kein unmittelbarer Zugriff erforderlich, aber Protokolle sollten in vernünftiger Weise verfügbar sein 8 RSA White Paper

11 Tabelle 3: Archivdaten Warum sind Proto - kolle notwendig? Wann muss auf Proto kolle zugegriffen werden? Wie weit müssen die Daten zurückreichen? Wie verfügbar müssen sie sein? Protokollierung auf Basis von gesetzlichen Anforderungen sowie für mögliche rechtliche Ermittlungen und forensische Untersuchungen Möglicherweise Erstellung von Datensätzen zu jedem Zeitpunkt, um rechtlichen Anfragen, Ermittlungen oder Untersuchungen zu entsprechen Wahrscheinlich kein häufiger Zugriff erfor - derlich Wie oben erwähnt, fordert PCI die Aufbewahrung von Protokollen über mindestens einem Jahr; in Anbetracht der Häufigkeit von Datenschutzverletzungen bei Karteninhabern sollten Unternehmen jedoch längere Aufbewahrungsfristen in Betracht ziehen, um die Daten für forensische Untersuchungen verfügbar zu halten. Bei den meisten Richtlinien ist kein vorgeschriebener Zeitraum für die lang - fristige Aufbewahrung von Protokollen vorgesehen. Vielmehr gibt es oft einen allgemeinen Aufbewahrungszeitraum, der als Anhaltspunkt für die Anforde run - gen an die langfristige Aufbewahrung von Protokollen verwendet werden kann. SOX schreibt vor, Dokumente und Kommunikationsdaten in Bezug auf ein Audit für sieben Jahre aufzubewahren; Unternehmen bewahren jedoch bestimmte Protokolle meist langfristig auf, z.b. solche, die in direktem Zusammenhang mit dem Nachweis der Integrität von Finanzberichten stehen (z.b. Zugriffsprotokolle für wichtige Finanzanwendungen). HIPAA verlangt die Aufbewahrung von Dokumenten zu Richtlinien, Verfahren, Vorgängen, Aktivitäten oder Bewertungen über sechs Jahre; Unternehmen bewahren jedoch bestimmte Protokolle meist langfristig auf, z.b. Informationen über den Zugriff auf Patientendaten (z.b. Zugriffsprotokolle für Patientenakten). Bei FISMA ist NIST der geltende Standard, der die Aufbewahrung von bestimmten Protokollen für drei Jahre vorsieht. Gemäß NERC müssen Audit-Datensätze drei Jahre lang aufbewahrt werden. Internationalen Datenschutzbestimmungen zufolge müssen Unternehmen bei Datenschutzverletzungen u.u. Beweise für den Zugriff auf persönliche Informationen erbringen, der mehrere Jahre zurückliegen kann. Bei anderen rechtlichen Anfragen und Ermittlungen sollte die Aufbewah - rung von Protokollen mit den entsprechenden Richtlinien für Daten bzw. Datenaufbewahrung abgestimmt sein, die mehrere Jahre vorsehen können. Unternehmen sollten bestimmte Protokolle längerfristig aufbewahren, damit sie im Fall einer Sicherheitsverletzung für mögliche Untersuchungen zur Verfügung stehen. Der Zugriff muss nicht so schnell wie bei Produktiv - daten erfolgen und hängt auch vom Alter der Datensätze ab; der Zugriff sollte für aktuelle Protokolle besser sein als für ältere Daten Aufbewahrung und Speicherung von Protokollen (Fortsetzung) Empfohlene Best Practices III.1. Aufbewahrung von Protokollen in einer sicheren, gut verwalteten Speicherinfrastruktur Ein verschlanktes, zentral verwaltetes Speichersystem ist weniger komplex in der Verwaltung als eine unsystematische Zusammenstellung von Speichersubsystemen. Isolierte und ineffiziente Protokolldateninseln sind damit kein Thema mehr. Darüber hinaus vereinfacht die zentrale Verwaltung und Speicherung von Protokollen auch den Zugriff auf protokollierte Daten im gesamten Unternehmen. Im Gegensatz zu einem eige - nen Protokollsystem für jeden Beteiligten bietet ein gut struktu - riertes Log-Management-System sicheren, detaillierten, rollen - basierten Zugriff auf alle gespeicherten Protokolle. So können alle Beteiligten auf alle notwendigen Daten zugreifen, während das Unternehmen die Speicherung von Protokollen optimiert. III.2. Verwendung eines Ansatzes für das Lifecycle Management von Informationen, bei dem protokollierte Daten abhängig von den Zugriffsanforderungen gespeichert werden Daten, auf die häufig oder spontan zugegriffen werden muss, z.b. Produktivdaten, sollten online verfügbar sein. Dem gegenüber sollten alle anderen Daten wie Sicherungs- und Archivdaten in einem Nearline- oder Offline-Speicher abgelegt werden. III.3. Online-Aufbewahrung von Produktivdaten für ein Jahr und drei Monate = 15 Monate (min.) Der Online-Zugriff auf Produktivdaten ermöglicht deren häufige Verwendung für die Echtzeit-Überwachung sowie laufende Prüfungen und Analysen. Im Falle einer Sicherheitsverletzung kann schnell auf die Protokolle zugegriffen werden, damit Untersuchungsbeamte rasch die Ursachen des Vorfalls oder die Quelle der Sicherheitslücke finden können. Außerdem werden Schäden am System und Sicherheitsprobleme behoben (durch schnellere Untersuchungen werden auch die Täter schneller gefunden). Die Aufbewahrung von Protokollen über diesen Mindestzeitraum ist wichtig, um sicherzustellen, dass die richtigen Beweise zur Verfügung stehen. Des Weiteren stellt eine 15-monatige Online-Aufbewahrungs - periode sicher, dass alle Protokolldatensätze für interne und externe Audits oder unabhängige Bewertungen verfügbar und spontan zugänglich sind. Wie in der obigen Tabelle gezeigt, schreiben die meisten Richtlinien einen Audit-Zyklus von einem Jahr vor. Für Unternehmen ist eine Aufbewahrungsdauer von einem Jahr plus einer weiteren, minimalen Aufbewahrungszeit von RSA White Paper 9

12 einem Quartal ratsam, um den einjährigen Audit-Zyklen zu entsprechen. Dieses zusätzliche Quartal bietet einen notwendigen Puffer, da die Audit-Zyklen von Jahr zu Jahr und abhängig von den jeweils angewendeten Vorgaben variieren. Da für den Großteil der Unternehmen verschiedene Richtlinien gelten, müssen die Protokolldaten zumeist für mehrere Audits oder Bewertungen pro Jahr bereitstehen. Durch die Online- Speicherung der Daten können Unternehmen die Audit-Prozesse proaktiv verwalten, die Produktivität der Auditoren erhöhen und den Zeit- und Kostenaufwand für Audits reduzieren. III.4. Aufbewahrung von Sicherungsdaten im Nearline-Speicher über denselben Zeitraum wie Produktivdaten So wird sichergestellt, dass die Sicherungsdaten auch dann zur Verfügung stehen, wenn Produktivdaten manipuliert oder beschädigt wurden o.ä. Die Verfügbarkeit muss nicht dieselbe wie für Produktivdaten sein. III.5. Aufbewahrung von Archivdaten für etwa 2-7 Jahre (min.) oder länger im Nearline-Speicher für aktuelle Daten (z.b. bis zu fünf Jahre), anschließende Verschiebung einiger Daten in den Offline-Speicher (z.b. 5 Jahre oder länger) Wie in Tabelle 3 auf der vorherigen Seite beschrieben, beinhalten die meisten Richtlinien keinen vorgeschriebenen Zeitraum für die Aufbewahrung von Audit-Protokollen. Nach einem Audit-Zyklus bewahren Unternehmen bestimmte Protokolle üblicherweise für mehrere Jahre auf. Das gilt besonders für die Daten, die in direktem Zusammenhang mit dem Zugriff auf Anwendungen mit geschützten Informationen stehen. Unternehmen müssen sich nicht nur an die Anforderungen von Richtlinien halten, sondern auch an andere Anforderungen für die langfristige Aufbewahrung von Protokolldaten, z.b. rechtliche Ermittlungen und forensische Untersuchungen. Da Archivdaten nicht oft verwendet werden, müssen sie nicht online verfügbar sein. Dennoch sollten Unternehmen die Daten verfügbar halten, damit die Reaktion auf rechtliche Nachfragen, die Erstellung von Datensätzen für rechtliche Ermittlungen oder die Durchführung von Ermittlungen nicht unnötig viel Zeit in Anspruch nimmt. Speicher mit adressierbarem Inhalt sollte auch für die längerfristige Aufbewahrung in Betracht gezogen werden, um die Integrität der Informationen auch über einen langen Zeitraum hinweg zu schützen. III.6. Richtlinien für die Protokollaufbewahrung sollten in Absprache mit einem Rechtsbeistand entwickelt werden Das Hinzuziehen eines Rechtsbeistands bei der Entwicklung von Anforderungen an die Protokollaufbewahrung ist unabdingbar, und diese Anforderungen müssen mit den allgemeinen Unternehmensrichtlinien für die Datenauf bewahrung abgestimmt werden. III.7. Berücksichtigung der Aufbewahrung der Original-Protokolle Wenn Protokolle als elektronische Beweisstücke zur Einhaltung von Vorschriften, in Gerichtsverfahren oder sogar zur Unter stüt - zung interner, personalbezogener Vorgänge benötigt werden, sollte ein hochwertiges Log-Management-System die Verwaltung und Archivierung der ursprünglichen Protokolldateien vereinfachen. III.8. Nicht mehr benötigte Protokolle sollten entsorgt werden Nach Ablauf der erforderlichen Aufbewahrungsdauer sollten Protokolle im Einklang mit den Unternehmensrichtlinien zur Datenvernichtung unbrauchbar gemacht werden. IV. Protokollanalyse In Anbetracht des Datenvolumens stellt die Überwachung und Prüfung von Protokollen eine Herausforderung dar. Einige Unternehmen sammeln zwar Protokolle, prüfen sie aber nicht, da diese Aufgabe zu kompliziert ist. In anderen Unternehmen wiederum verbringen Administratoren sehr viel Zeit mit der Prüfung von Unmengen an Protokollen. Ohne eine gute Analyse ist der Wert von Protokollen jedoch verschwindend gering. Die moderne, durch Richtlinien geprägte Umgebung und die rasante Zunahme der Sicherheitsbedrohungen erfordern, dass Unternehmen ihre Protokolle sorgfältig überwachen, um unberechtigte Zugriffe zu erkennen und die Rechenschaftspflicht von Benutzern durchzusetzen. Best Practices für die Protokollanalyse müssen auf die Notwendigkeit eingehen, Analysen zu vereinfachen und somit dem Unternehmen die Extrahierung der zahlreichen Informationen aus Protokollen zu ermöglichen. Empfohlene Best Practices IV.1. Regelmäßige Prüfung und Analyse von Protokollen Durch regelmäßige Prüfungen und Analysen können z.b. ungewöhnliche Ereignisse im Netzwerk oder im Benutzerverhalten erkannt werden, die außerhalb der zulässigen Vorgaben liegen. Je nach Systemen, Risikoumgebung und anderen Anforderungen sollten Protokolle in Echtzeit geprüft werden täglich, monatlich oder alle 90 Tage. Einige Vorschriften und Standards beinhalten besondere Anforderungen zur Prüfung von Protokollen (weitere Informationen hierzu finden Sie in Anhang 2 Compliance- Anforderungen für das Log-Management ). IV.2. Protokollsammlungen mit zentral verwalteter Infrastruktur für das Log-Management Durch das Sammeln von Protokollen wird die Analyse einfacher und zuverlässiger. IV.3. Automatisierung eines Großteils des Protokollanalyseprozesses Durch die Automatisierung kann die Analyse deutlich verbessert werden, da sie viel weniger Zeit in Anspruch nimmt und wertvollere Ergebnisse liefert. Die manuelle Analyse von 10 RSA White Paper

13 Protokolldaten wird von Administratoren oft als uninteressant und ineffizient wahrgenommen. Sie wird häufig als Aufgabe mit niedriger Priorität eingestuft und deshalb gar nicht oder aber mangelhaft und inkonsistent durchgeführt. Sie sollte auch die Verwendung automatisierter, interaktiver Systeme beinhalten, die aufzeichnen, welche Protokolle bereits geprüft wurden. Ein Prüfungsprozess mit höherem Automatisierungsgrad entbindet Mitarbeiter von der manuellen Prüfung, und sie können nun wertigere Aufgaben übernehmen. IV.4. Nutzung von Zuordnungs-Tools, um eine ganzheitliche Sicht zu erlangen und die Anzahl der Fehlalarme zu reduzieren Der Großteil der Unternehmen setzt viele verschiedene Systeme für die Protokollerstellung ein, darunter auch Sicherheitssysteme, Betriebs- und Speichersysteme und Anwendungen. Die separate Prüfung von Protokollen aus vielen Systemen ist schwierig, ineffizient und kann u.u. lückenhaft sein. Angriffe betreffen oft verschiedene Informationen. Werden nur bestimmte, isolierte Daten betrachtet, erscheint eine einzige Aktivität möglicherweise nicht bedrohlich. Zuordnungs-Tools suchen über mehrere Systeme hinweg nach Ereignismustern. Sie sind bei der Reduzierung von Fehlalarmen besonders hilfreich. IV.5. Verwendung automatischer Berichtsfunktionen zur Vereinfachung der Protokollprüfung durch die Erstellung von Berichten Ein Berichtsprozess sollte den Inhalt von Berichten, die Häufigkeit ihrer Erstellung und den Erstellungszweck definieren. IV.6. Prüfungsverfahren sollten die Echtzeitüberwachung entsprechender Log-Events beinhalten Üblicherweise werden die meisten Protokolle nicht in Echtzeit analysiert, obwohl dies unabdingbar für die Erkennung von unberechtigten Zugriffsversuchen und Aktivitäten sowie die Verhinderung oder zumindest Reduzierung dieser Vorfälle ist. IV.7. Erstellung eines Alarmsystems auf Basis von Prioritäten Mitarbeiter sollten wissen, was zu tun ist, wenn eine verdächtige, nicht normale Aktivität erkannt wird. Dabei ist zu beachten, dass nicht für alle Ereignisse ein Alarm ausgelöst werden soll, da dies den Zweck der Sache außer Kraft setzt und die Aufmerksamkeit der Mitarbeiter schließlich schwindet. Priorisieren Sie, für welche Ereignisse ein Alarm notwendig ist. IV.8. Entwicklung einer Basiszusammenstellung typischer Protokolleinträge, um ungewöhnliche oder unnormale Ereignisse oder Aktivitäten erkennen zu können Durch die Festlegung, welche Protokolleinträge von Interesse sind und welche nicht, lassen sich ungewöhnliche bzw. unnormale Ereignisse leichter erkennen, und man kann schneller auf sie reagieren. V. Schutz und Sicherheit von Protokollen Best Practices müssen die Vertraulichkeit, Integrität und Verfügbarkeit von Protokollen über deren gesamten Lebenszyklus hinweg sicherstellen. Das Unternehmen muss verhindern, das Protokollierungsmethoden deaktiviert oder missbraucht werden. Zudem muss es sicherstellen, dass Protokolldateien nicht bearbeitet oder gelöscht werden können und darüber hinaus bei einem Vorfall die Business Continuity der Protokollierungsdienste gewährleisten. Protokolle, die bei der Speicherung oder Übertragung nicht ausreichend geschützt sind, können leicht einer beabsichtigten oder unbeabsichtigten Änderung oder Zerstörung zum Opfer fallen. So bleiben möglicherweise betrügerische Aktivitäten unbemerkt, und Beweise werden eventuell manipuliert, um die Identität der Betrüger zu verschleiern. Viele Rootkits sind z.b. speziell darauf ausgelegt, Protokolle zu verändern, um jegliche Beweise der Installation des Rootkits oder seiner Ausführung zu entfernen. Empfohlene Best Practices V.1. Schutz der Prozesse, die die Protokolleinträge erstellen Nicht autorisierte Benutzer sollten Protokollquellenprozesse, ausführbare Dateien, Konfigurationsdateien und andere Komponenten der Protokollquellen, die die Protokollerstellung beeinträchtigen könnten, nicht ändern dürfen. Die Verwaltung der Quellen für die Protokollerstellung sollte ebenfalls protokolliert werden und mittels genehmigter Richtlinien und Verfahren für die Änderungskontrolle gesteuert werden. V.2. Begrenzter Zugriff auf Protokolldateien Im Allgemeinen sollten nur Administratoren und Auditoren zu Prüfungs- und Verwaltungszwecken Zugriff auf Protokolldateien erhalten. Die Zugriffe von berechtigten Benutzern (d.h. Administrator und Auditor) sollten protokolliert und von anderen Personen außerhalb dieser Benutzerdomäne häufig und eingehend geprüft werden. V.3. Implementierung sicherer Mechanismen für die Übertragung von Protokolldaten Viele Protokolle werden im Klartext übermittelt. Die Über tragung sollte mit Verfahren wie beispielsweise der Ver schlüsselung geschützt werden (z.b. IPSec, SFTP oder SSL). V.4. Schutz für gespeicherte Protokolldateien Dazu zählt die Zugriffsbeschränkung auf Speicher mechanismen für autorisierte Benutzer, die Bereitstellung einer ausreichenden Speicherkapazität und der Einsatz von WORM-Technologien. V.5. Schutz der Vertraulichkeit und Integrität von Protokolldateien Dazu können Message Digest, Verschlüsselung oder digitale Signaturen verwendet werden. RSA White Paper 11

14 V.6. Angemessener physikalischer Schutz für Protokollierungsmethoden und gespeicherte Protokolle Dieser Schutz beinhaltet die Verhinderung von unerlaubten physikalischen Zugriffen und den Einsatz geeigneter Steuermechanismen für die Umgebung. V.7. Beibehaltung der Business Continuity für Protokollierungsdienste Unterbrechungen der Geschäftsaktivitäten sollte entgegengewirkt werden. Dazu muss sichergestellt sein, dass die Protokollierungsdienste bei einem Systemausfall oder Computerfehler zeitnah anhand von redundanten Protokollservern wiederhergestellt werden können. Die RSA envision-plattform arbeitet nahtlos mit den EMC- Speicherlösungen Celerra, Clariion, Symmetrix und Centera zusammen, um eine echte End-to-End-Lösung für das Lebenszyklusmanagement von Protokolldaten bereitzustellen. Mit dieser Lösung können Unternehmen die enormen Protokolldatenmengen von der Erstellung bis zur Löschung verwalten, um die Anforderungen von gesetzlichen Vorschriften, Sicherheitsabteilungen und Geschäftsabläufen einzuhalten. Weitere Informationen zu RSA envision erhalten Sie unter Weitere Informationen zu EMC-Speicherlösungen einschließlich EMC Celerra, Clariion, Symmetrix und Centera finden Sie unter Zusammenfassung Die Entwicklung von Best Practices für das Log-Management ist keine einfache Aufgabe. Sie erfordert erhebliche Ressourcen und einen hohen Aufwand. Durch die umfassenden Best Practices, die alle wichtigen Komponenten des Log-Management abdecken, sollte dieses Whitepaper die Entwicklung des Log-Management deutlich vereinfachen. Die durch Richtlinien geprägte Umgebung und die rasante Zunahme der Sicherheitsbedrohungen verlangen nach einer immer intensiveren Protokollierung und einer längeren Aufbewahrung und Speicherung von Protokolldateien als die meisten Unternehmen leisten können. Die Einhaltung von Compliance- und Sicherheitsanforderungen muss zudem mit den Geschäftszielen in Einklang gebracht werden. Darüber hinaus sorgt ein leistungsstarkes Log-Management auch für eine gesteigerte Produktivität und Effizienz und ermöglicht Kosteneinsparungen in verschiedenen Bereichen im gesamten Unternehmen und in der Folge einen gesunden Return-on- Investment. Lösungen für die Implementierung von Best Practices Die Einführung von Best Practices im Log-Management liefert die Grundlage für eine umfassende Verwaltung von Sicherheitsinformationen und -ereignissen (SIEM). RSA stellt Endto-End-Lösungen bereit, mit denen Unternehmen eine zentral verwaltete Infrastruktur speziell für diesen Zweck einrichten können. Die RSA envision SIEM-Plattform sammelt Protokolle aus dem gesamten Unternehmen und wandelt diese Informationen in nutzbare Daten für Compliance- und Sicherheitsziele um. Durch den gemeinsamen Einsatz von RSA envision und Netzwerkspeicherlösungen können Unternehmen den gesamten Lebenszyklus von Protokollinformationen mit einem mehrschichtigen Speicheransatz verwalten. Dabei werden die Protokolle auf verschiedenen Speicherressourcen abgelegt, abhängig vom Alter und vom Verwendungsbedarf der Protokolldaten. 12 RSA White Paper

15 Anhang 1: Quellen und Inhalte von Protokollen Sicherheitssysteme und Software Anti-Malware Anti-Viren-Software, Anti-Spyware und Rootkit- Erkennungssoftware Beispiele für aufgezeichnete Vorfälle und Aktivitäten Verschiedene Fälle erkannter Malware Versuche von Datei- und Systemdesinfektion Dateiquarantäne Scannen nach Malware Signaturen oder Software-Updates Systeme zur Erkennung und Verhinderung von unerwünschtem Eindringen Verdächtiges Verhalten Erkannte Angriffe Maßnahmen zur Verhinderung böswilliger Aktivitäten Systeme für den Remote- und Wireless-Zugriff z.b. Virtual Private Networks (VPN) Anmeldeversuche In der Sitzung empfangene und versendete Datenmenge Web-Proxy-Server aufgerufene URLs Software zur Verwaltung von Schwachstellen darunter Software für die Patch-Verwaltung und Bewertung von Schwachstellen Authentifizierungsserver Verzeichnisserver und Single-Sign-On- Server Router und Switches Patch-Installationshistorie Schwachstellenstatus Bekannte Schwachstellen Fehlende Software-Upgrades Authentifizierungsversuche gesperrte Aktivitäten Firewalls detaillierte Protokolle zur Netzwerkaktivität Netzwerk-Quarantäne-Server Status der Host-Sicherheitsprüfungen Hosts in Quarantäne und Ursachen Operative Systeme Beispiele für aufgezeichnete Vorfälle und Aktivitäten z.b. für Server, Workstations und Netzwerkgeräte wie Router, Switches, usw. Systemereignisse Herunterfahren des Systems Service-Start Sicherheitsereignisse Dateizugriffe Richtlinienänderungen Anwendungen Beispiele für aufgezeichnete Vorfälle und Aktivitäten z.b. -Server und -Clients, Webserver und Webbrowser, Dateiserver und Clients für das File Sharing, Datenbankserver und -clients sowie Geschäftsanwendungen (z.b. Supply Chain Management, Finanzmanagement, Beschaffungssysteme, Enterprise Resource Planning, Customer Relationship Management und benutzerspezifische Anwendungen) Client-Anfragen und Serverantwort Authentifizierungsversuche Kontenänderungen Verwendung von Benutzerrechten Anzahl und Größe der Transaktionen Ereignisse im Betrieb Starten und Herunterfahren Konfigurationsänderungen Anwendungsspezifische Ereignisse wie z.b.: senden und empfangen Dateizugriff Service-Anfrage Transaktion Funktionsausführung (z.b. Lesen, Schreiben, Ändern, Löschen) RSA White Paper 13

16 Anhang 2: Compliance-Anforderungen für das Log-Management Hinweis: nicht vollständig, zu Darstellungszwecken vereinfacht Beispiele für Rechte und Richtlinien, die den Schutz von Informationen vorschreiben Branchen- und Informationssicherheitsstandards Relevanter Standard (falls zutreffend) Sarbanes- Oxley (SOX) Branchenspezifischer Datenschutz 1 COBIT NIST SP für HIPAA, FFIEC für GLBA Federal Information Security Management Act (FISMA) NIST SP 800 (bes. SP ) Globaler Datenschutz² ISO 17799/ CFR Part 11 (FDA)/ Annex 11 (EU) ISO 17799/ Payment Card Industry Data Security Standard (PCI DSS) Internationale Organisation für Normung: Code of Practice for Information Security Management (ISO 17799/27001) Standards für Cyber Security der North American Electric Reliability Council (NERC) Sonderausgaben des National Institute of Science and Technology, 800-er Serie (z.b , 61, 66 & 92) IT-Handbuch zur Informationssicherheit des Federal Financial Institutions Examination Council (FFIEC) Control Objectives for Information Technology (COBIT) Geschützte Informatio nen Finanz-systeme und Informatio - nen zur Erstellung von Finanz - berichten Z.B. geschützte Patienten - daten, persönliche Finanzdaten von Kunden Informationen auf Bundesebene Persönliche Informatio - nen Elektronische Daten für die Entwicklung und Herstellung von Medika - menten Informationen von Karten - inhabern UNT Kritische digitale Assets3, die die Zuver - lässigkeit von elektrischen Hauptsystemen steuern oder diese beeinflussen könn ten UNT UNT UNT Anforderung was wird protokolliert? (Beispiele) Individueller Benutzerzugriff auf geschützte Informationen Administrative Vorgänge und Verwendung von Zugriffsrechten Ungültige Zu - griffsversuche k.a. Angebracht 4 Angebracht 5 Angebracht 6 E 7 E E E E E Angebracht 8 k.a. k.a. k.a. k.a. k.a. E E E k.a. E k.a. k.a. Angebracht 9 k.a. k.a. k.a. E E E k.a. E k.a. k.a. k.a. k.a. k.a. k.a. Sicherheitser - E E E E E Angebracht11 System 10 eignisse im Zugriff auf Audit Trails k.a. k.a. k.a. k.a. k.a. E E k.a. E E k.a. Prüfung von Protokollen in bestimmten Zeitabständen k.a. HIPAA erfordert die regelmäßige Prüfung von Audit-Protokollen k.a. k.a. k.a. Tägliche Prüfung von Protokollen und 24/7- Überwachung nicht autori - sierter Zugriffs - versuche Regelmäßige Prüfungen; mehr für Benutzer - zugriffsrechte Protokollprüfung mind. Alle 90 Tage und 24/7- Überwachung nicht autorisierter Zugriffs - versuche Regelmäßige Prüfung von Audit-Protokollen erforderlich; für HIPAA, erfor - dert die Proto - kollprüfung zweimal pro Woche Regelmäßige u. rechtzeitige Prüfung erforderlich, z.b. tägliche Prü - fung eini ger Protokolle und Echtzeit-Überwachung ande - rer Protokolle k.a. Zusammenführun g von Protokollen, Zuordnung und Automatisierung von Audit-Proto - kollen Sicherheit und Schutz für pro - tokollierte Daten Zeitstempel bzw. Synchroni - sierung k.a. k.a. k.a. k.a. k.a. EMPF. EMPF. EMPF. EMPF. EMPF. EMPF. k.a. k.a. k.a. k.a. k.a. E E k.a. E E k.a. k.a. k.a. k.a. k.a. E E E E E E k.a. Legende k.a. = keine Angabe E = Erforderlich UNT = unternehmensdefiniert EMPF. = empfohlen Fortsetzung 14 RSA White Paper

17 Aufbewahrung Angegebene Mindestdauer k.a. k.a. k.a. k.a. k.a. Mind. 1 Jahr UNT Mind. 90 Tage UNT UNT UNT Benötigte Aufbewahrungs - dauer, um Audit-Zyklus zu entsprechen (unabhängige Bewertung) 1 Jahr: Jährliche Bewertung interner Kontrollen 1 Jahr: Regelmäßige Sicherheitsprüfung vor - geschrieben: üblicher Zyklus beträgt ein Jahr 12 1 Jahr: Jährliche Auswertung von Sicher - heitsmaß - nahmen erforderlich 1-3 Jahre: Audits oder Bewertungen alle ein bis drei Jahre erforderlich 13 Variiert: Unterliegt regelmäßiger Prüfung durch Regu - lierungs - behörde 1 Jahr: Jährliche Eigenbewer - tung oder Vor-Ort-Audit k.a. 1 Jahr: Zeit - rahmen für Compliance- Prüfung beträgt 1 Jahr; Nicht-Vorhandensein von Lücken in Pro - tokollen muss über ein Jahr nachweisbar sein k.a. Auf Basis der Risikoanalyse: Vierteljähr - liche interne Audits und jährliche unabhängige Audits empfohlen Ausreichende Aufbewahrung erforderlich 14 Langfristige Aufbewahrung von Daten - sätzen, die Audit-Proto - kolle enthalten könnten 7 Jahre 15 6 Jahre für HIPAA; k.a. für GLBA 16 k.a. k.a. Abhängig von besonderen Regeln zur Aufbewahrung betroffener elektronischer Datensätze; können viele Jahre sein 17 Keine Angabe, obwohl erforderliche Aufbewah - rungsdauer mindestens 1 Jahr beträgt k.a. Audit-Auf - zeich nungen müssen für 3 Jahre aufbewahrt werden Bestimmte Protokolle sollten für 3 Jahre aufbewahrt werden k.a. k.a. Hinweise zur Tabelle in Anhang 2 01 z.b. der Health Insurance Portability and Accountability Act (HIPAA) und der Gramm-Leach-Bliley Act (GLBA) 02 z.b. die EU-Datenschutzrichtlinie (EU DPD), der Japan Personal Information Protection Act (PIPA) und der Canada Personal Information Protection and Electronic Documents Act (PIPEDA) 03 Computer, Software und Kommunikationsnetzwerke 04 Die Art der zu sammelnden Audit-Protokolle ist nicht angegeben, aber die Protokollierung des persönlichen Zugriffs auf Daten wird sowohl im HIPAA als auch im GLBA auf Basis der Anforderungen für die Zugriffssteuerung vorgeschrieben, die individuelle Benutzer und Audit-Kontrollen identifiziert, um die Systemaktivität zu überwachen und zu prüfen, z.b. Zugriffsberichte. 05 FISMA gibt die Art der zu sammelnden Audit-Protokolle nicht an, berücksichtigt jedoch die Protokollierung des individuellen Zugriffs auf Daten, da diese Daten allgemein vor unbefugtem Zugriff geschützt werden müssen, und zwar mithilfe von geeigneten Informationssicherheitsstufen. Es ist schwierig bis unmöglich, Daten vor unbefugtem Zugriff zu schützen, es sei denn, die Zugriffe auf diese Informationen werden protokolliert. 06 Obwohl globale Datenschutzbestimmungen die Art der zu sammelnden Audit-Protokolle nicht angeben, berücksichtigen alle Bestimmungen jedoch die Protokollierung des individuellen Zugriffs auf Daten, da diese Daten allgemein durch vernünftige und geeignete Maßnahmen vor unbefugtem Zugriff geschützt werden müssen. Es ist schwierig bis unmöglich, Daten vor unbefugtem Zugriff zu schützen, es sei denn, die Zugriffe auf diese Informationen werden protokolliert. 07 Part 11 fordert den eingeschränkten Systemzugriff für einzelne, autorisierte Benutzer und die Verwendung sicherer, computergenerierter Audit-Trails mit Zeitstempel, um Datum und Zeitpunkt von Benutzereinträgen sowie Vorgänge, die elektronische Datensätze erstellen, ändern oder löschen, separat aufzuzeichnen. 08 COBIT schreibt die Protokollierung des individuellen Benutzerzugriffs auf Daten nicht vor, erfordert jedoch Kontrollen zur eindeutigen Benutzerauthentifizierung und die Protokollierung von Sicherheitsaktivitäten auf System-, Anwendungs- und Datenbankebene. 09 Verfahren für die Überwachung von Anmeldeversuchen und Benachrichtigungen über Abweichungen sind eine adressierbare Implementierungsspezifikation unter HIPAA. 10 Kann verschiedene Protokolle von Sicherheitssystemen enthalten, z.b. Anti-Malware, Firewalls, Systeme zur Erkennung und Verhinderung von unerwünschtem Eindringen, Virtual Private Networks, Software zur Verwaltung von Schwachstellen und Authentifizierungsserver. 11 COBIT erfordert das Vorhandensein und die Verwendung geeigneter Sicherheitsmaßnahmen, darunter Firewalls, Systeme zur Erkennung von Eindringlingen und die Bewertung von Schwachstellen, um den unerlaubten Zugriff über öffentliche Netzwerke zu verhindern. 12 Die meisten Unternehmen führen eine jährliche Prüfung der Sicherheitsmaßnahmen durch (gemäß GLBA muss der Vorstand einmal pro Jahr die Sicherheit prüfen). 13 Der Prozess der EU-Datenschutzrichtlinie Safe Harbor schreibt jährliche Audits vor; der gültige Standard ist ISO 17799/27001 und erfordert nach der ersten Zertifizierung alle drei Jahre eine erneute Zertifizierung. 14 Gemäß COBIT müssen Daten zu Systemereignissen ausreichend lange aufbewahrt werden, um chronologische Informationen liefern zu können und anhand von Protokollen die Prüfung und Rekonstruktion der Datenverarbeitung zu ermöglichen. 15 SOX schreibt vor, Dokumente und Kommunikationsdaten in Bezug auf ein Audit für sieben Jahre aufzubewahren; die Aufbewahrungsdauer von Protokollen wird nicht erwähnt. Unternehmen bewahren jedoch bestimmte Protokolle meist langfristig auf, z.b. solche, die in direktem Zusammenhang mit dem Nachweis der Integrität von Finanzberichten stehen (z.b. Zugriffsprotokolle für wichtige Finanzanwendungen). 16 HIPAA erfordert die Aufbewahrung von Dokumenten zu Richtlinien, Verfahren, Vorgängen, Aktivitäten oder Bewertungen über sechs Jahre, beinhaltet aber keine Angaben zur Aufbewahrungsdauer von Protokollen; Unternehmen bewahren jedoch bestimmte Protokolle meist langfristig auf, z.b. Informationen über den Zugriff auf Patientendaten (z.b. Zugriffsprotokolle für Patientenakten). 17 Part 11 zufolge muss die Dokumentation von Audit-Trails mindestens so lange aufbewahrt werden wie die betroffenen elektronischen Datensätze. Sie müssen Behörden zur Prüfung und Kopie zur Verfügung stehen. RSA und RSA Security sind eingetragene Warenzeichen von RSA Security Inc. in den Vereinigten Staaten oder anderen Ländern. EMC, Celerra, Clariion, Symmetrix und Centera sind Warenzeichen oder eingetragene Warenzeichen der EMC Corporation. Alle weiteren hier angeführten Produkte und Services sind Warenzeichen ihrer jeweiligen Inhaber RSA Security Inc. Alle Rechte vorbehalten. LMBP WP 0707 RSA White Paper 15

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich

Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Seit Microsoft Exchange Server 2010 bieten sich für Unternehmen gleich zwei mögliche Szenarien an, um eine rechtskonforme Archivierung

Mehr

Compliance-Management leicht gemacht

Compliance-Management leicht gemacht Compliance-Management leicht gemacht Compliance-Management leicht gemacht Log- und Compliance- Management in einer Lösung Das Management der Security-Infrastruktur unter Einhaltung aller Compliance- Richtlinien

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

Symantec Protection Suite Enterprise Edition für Endpoints Effizienter Umgang mit IT-Sicherheitsrisiken

Symantec Protection Suite Enterprise Edition für Endpoints Effizienter Umgang mit IT-Sicherheitsrisiken Datenblatt: Endpoint Security Symantec Protection Suite Enterprise Edition für Endpoints Effizienter Umgang mit IT-Sicherheitsrisiken Überblick Mit minimieren Unternehmen das Gefährdungspotenzial der ITRessourcen,

Mehr

SaaS. Geschäftspartnervereinbarung

SaaS. Geschäftspartnervereinbarung SaaS Geschäftspartnervereinbarung Diese Geschäftspartnervereinbarung tritt gemäß den Bedingungen in Abschnitt 5 des Endbenutzerservicevertrags ("EUSA") zwischen dem Kunden ("betroffene Einrichtung") und

Mehr

Account Information Security Programme - Allgemeine Informationen -

Account Information Security Programme - Allgemeine Informationen - Account Information Security Programme - Allgemeine Informationen - Neue Sicherheitsstandards für die Aufbewahrung und Weiterverarbeitung sensibler Karteninhaberdaten Kreditkartenzahlungen erfreuen sich

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet

PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet Dr.-Ing. Patrick Theobald, usd.de ag 2. Darmstädter Informationsrechtstag 23. Juni 2006 Vorstellung Dr.-Ing. Patrick Theobald Vorstand usd.de

Mehr

Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn Sie einen

Mehr

Incident Response und Forensik

Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Der Einbruch eines Hackers in die Web-Applikation des Unternehmens, ein Mitarbeiter, der vertrauliche Daten

Mehr

Vermeiden Sie Fehler & Risiken in der IT-Sicherheit Maßnahmen, die Sie gegen die meisten Angriffe schützen

Vermeiden Sie Fehler & Risiken in der IT-Sicherheit Maßnahmen, die Sie gegen die meisten Angriffe schützen Vermeiden Sie Fehler & Risiken in der IT-Sicherheit Maßnahmen, die Sie gegen die meisten Angriffe schützen Michael Felber Senior Presales Consultant - Central Europe Tripwire Inc. Cyber-Sicherheit gewinnt

Mehr

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism INSTITUT FÜR SYSTEM- MANAGEMENT Compliance Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism ism GmbH 2010 Definition: Compliance Compliance die Bedeutung allgemein:

Mehr

Mobile Device Management

Mobile Device Management Mobile Device Management Ein Überblick über die neue Herausforderung in der IT Mobile Device Management Seite 1 von 6 Was ist Mobile Device Management? Mobiles Arbeiten gewinnt in Unternehmen zunehmend

Mehr

Rechtssichere E-Mail-Archivierung

Rechtssichere E-Mail-Archivierung Rechtssichere E-Mail-Archivierung Rechtliche Sicherheit für Ihr Unternehmen Geltende rechtliche Anforderungen zwingen Unternehmen in Deutschland, Österreich und der Schweiz, E-Mails über viele Jahre hinweg

Mehr

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn

Mehr

Daten, die Sie uns geben (Geschäftsbeziehung, Anfragen, Nutzung eine unsere Dienstleistungen)

Daten, die Sie uns geben (Geschäftsbeziehung, Anfragen, Nutzung eine unsere Dienstleistungen) Datenschutzerklärung der Etacs GmbH Die Etacs GmbH wird den Anforderungen des Bundesdatenschutzgesetzes (BDSG) gerecht.personenbezogene Daten, d.h Angaben, mittels derer eine natürliche Person unmittelbar

Mehr

CLOUD APPS IM UNTERNEHMEN VERWALTEN. So meistern Sie die Herausforderungen. Whitepaper

CLOUD APPS IM UNTERNEHMEN VERWALTEN. So meistern Sie die Herausforderungen. Whitepaper CLOUD APPS IM UNTERNEHMEN VERWALTEN So meistern Sie die Herausforderungen Whitepaper 2 Die Herausforderungen bei der Verwaltung mehrerer Cloud Identitäten In den letzten zehn Jahren haben cloudbasierte

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Dr. Andreas Gabriel Ethon GmbH 24.09.2015

Dr. Andreas Gabriel Ethon GmbH 24.09.2015 Wie meistern Sie nachhaltig die Kann Ihnen eine Zertifizierung ISO 27001 helfen? Dr. Andreas Gabriel Ethon GmbH KURZE VORSTELLUNG 2 Profil der Ethon GmbH; Ulm Über die Ethon GmbH Informationssicherheit

Mehr

Vorteile der E-Mail-Archivierung

Vorteile der E-Mail-Archivierung Die E-Mail stellt für die meisten Unternehmen nicht nur das wichtigste Kommunikationsmedium, sondern auch eine der wertvollsten Informationsressourcen dar. Per E-Mail übertragene Informationen werden in

Mehr

Wir haben den Markt durch Innovationen grundlegend verändert. Über 11.000 zufriedene Kunden sprechen eine deutliche Sprache:

Wir haben den Markt durch Innovationen grundlegend verändert. Über 11.000 zufriedene Kunden sprechen eine deutliche Sprache: EIN SERVERSYSTEM, DAS NEUE WEGE BESCHREITET Wir haben den Markt durch Innovationen grundlegend verändert. Über 11.000 zufriedene Kunden sprechen eine deutliche Sprache: 80 % verbesserte Produktivität von

Mehr

Symantec Protection Suite Advanced Business Edition Mehr als nur Viren- und Endgeräteschutz

Symantec Protection Suite Advanced Business Edition Mehr als nur Viren- und Endgeräteschutz Datenblatt: Endpoint Security Mehr als nur Viren- und Endgeräteschutz Überblick Symantec Protection Suite Advanced Business Edition ist ein Komplettpaket, das kritische Unternehmensressourcen besser vor

Mehr

Wie man Data Loss vermeiden und verschlüsselte Netzwerke überwachen kann

Wie man Data Loss vermeiden und verschlüsselte Netzwerke überwachen kann Wie man Data Loss vermeiden und verschlüsselte Netzwerke überwachen kann Christian Kress General Manager SSH Communications Security, Germany christian.kress@ssh.com Ein paar Fragen zum Einstieg Wer von

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

Endpoint Web Control Übersichtsanleitung. Sophos Web Appliance Sophos Enterprise Console Sophos Endpoint Security and Control

Endpoint Web Control Übersichtsanleitung. Sophos Web Appliance Sophos Enterprise Console Sophos Endpoint Security and Control Endpoint Web Control Übersichtsanleitung Sophos Web Appliance Sophos Enterprise Console Sophos Endpoint Security and Control Stand: Dezember 2011 Inhalt 1 Endpoint Web Control...3 2 Enterprise Console...4

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

IT-Sicherheit Police der Swiss Remarketing

IT-Sicherheit Police der Swiss Remarketing IT-Sicherheit Police der Swiss Remarketing Inhaltsübersicht 1 Information 1.1 Einleitung 1.2 Sicherheitsbewusstsein 2 Grundsatzaussage 2.1 Informationsklassifizierung und -kontrolle 2.1.1 Backup-Sicherung

Mehr

Diese Datenschutzbestimmungen gelten für alle Anwendungen (APPS) von SEMYOU.

Diese Datenschutzbestimmungen gelten für alle Anwendungen (APPS) von SEMYOU. Datenschutzbestimmungen von SEMYOU Letzte Aktualisierung: Mai 1st, 2015 Der Datenschutz ist eine der Grundlagen der vertrauenswürdigen Datenverarbeitung von SEMYOU. SEMYOU bekennt sich seit langer Zeit

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Die Informationen in diesem Artikel beziehen sich auf: Einleitung

Die Informationen in diesem Artikel beziehen sich auf: Einleitung Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Der Microsoft ISA Server 2004 bietet sehr umfangreiche Monitoring Möglichkeiten um den Status der Firewall und

Mehr

Zero Effort Backup (ZEB) automatische Datensicherung über das Internet

Zero Effort Backup (ZEB) automatische Datensicherung über das Internet Ralph Lehmann. Computerservice und IT-Beratung. Kochstraße 34. 04275 Leipzig Ralph Lehmann Computerservice und IT-Beratung Kochstraße 34 04275 Leipzig Ralph Lehmann Computerservice und IT-Beratung Tel.:

Mehr

Mobile Sicherheit & Schutz von konvergierten Daten

Mobile Sicherheit & Schutz von konvergierten Daten Mobile Sicherheit & Schutz von konvergierten Daten Sichere mobile Lösungen mit Die Datenrevolution bewältigen Die mobilen Geräte haben die Arbeitsweise der Unternehmen und ihrer Mitarbeiter revolutioniert.

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

Operational Big Data effektiv nutzen TIBCO LogLogic. Martin Ulmer, Tibco LogLogic Deutschland

Operational Big Data effektiv nutzen TIBCO LogLogic. Martin Ulmer, Tibco LogLogic Deutschland Operational Big Data effektiv nutzen TIBCO LogLogic Martin Ulmer, Tibco LogLogic Deutschland LOGS HINTERLASSEN SPUREN? Wer hat wann was gemacht Halten wir interne und externe IT Richtlinien ein Ist die

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

WIE KANN ICH DIE KOSTEN- UND LEISTUNGSZIELE MEINER ORGANISATION OHNE NEUE INVESTITIONEN ERFÜLLEN?

WIE KANN ICH DIE KOSTEN- UND LEISTUNGSZIELE MEINER ORGANISATION OHNE NEUE INVESTITIONEN ERFÜLLEN? WIE KANN ICH DIE KOSTEN- UND LEISTUNGSZIELE MEINER ORGANISATION OHNE NEUE INVESTITIONEN ERFÜLLEN? Wie kann ich die Kosten- und Leistungsziele meiner Organisation ohne neue Investitionen erfüllen? Das CA

Mehr

Beispielrichtlinie zur Sicherheit mobiler Geräte

Beispielrichtlinie zur Sicherheit mobiler Geräte Beispielrichtlinie zur Sicherheit mobiler Geräte Anwenden der Richtlinie Eine besondere Herausforderung für IT-Abteilungen ist heute die Sicherung von mobilen Geräten, wie Smartphones oder Tablets. Diese

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Sicherheit für das mobile Netzwerk. Ist Ihre Sicherheitslösung auf die Anforderungen von heute vorbereitet?

Sicherheit für das mobile Netzwerk. Ist Ihre Sicherheitslösung auf die Anforderungen von heute vorbereitet? Sicherheit für das mobile Netzwerk Ist Ihre Sicherheitslösung auf die Anforderungen von heute vorbereitet? Inhalt Überblick 1 Eine neue Welt: Grundlegende Veränderungen beim Remote Access 2 Mobile Netzwerke:

Mehr

VARONIS DATA GOVERNANCE SUITE

VARONIS DATA GOVERNANCE SUITE VARONIS DATA GOVERNANCE SUITE VARONIS DATA GOVERNANCE SUITE Funktionen und Vorteile VOLLSTÄNDIG INTEGRIERTE LÖSUNGEN Varonis DatAdvantage für Windows Varonis DatAdvantage für SharePoint Varonis DatAdvantage

Mehr

Datenschutzbestimmungen der MUH GmbH

Datenschutzbestimmungen der MUH GmbH Datenschutzerklärung MUH Seite 1 Datenschutzbestimmungen der MUH GmbH Stand: 20.06.2012 1. Unsere Privatsphäre Grundsätze 1.1 Bei der MUH nehmen wir den Schutz Ihrer persönlichen Daten sehr ernst und halten

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Abrechnungsrelevante Informationen werden entsprechend der gesetzlichen Aufbewahrungsfristen aufgehoben.

Abrechnungsrelevante Informationen werden entsprechend der gesetzlichen Aufbewahrungsfristen aufgehoben. Ihr Datenschutz ist unser Anliegen Wir freuen uns über Ihr Interesse an unserem Unternehmen und unseren Produkten bzw. Dienstleistungen und möchten, dass Sie sich beim Besuch unserer Internetseiten auch

Mehr

Missbrauchsbekämpfungsmaßnahmen

Missbrauchsbekämpfungsmaßnahmen Anlage für Servicevereinbarung zur Kartenakzeptanz Sicherheitsstandards für die Aufbewahrung und Weiterverarbeitung sensibler Karteninhaberdaten Kreditkartenzahlungen erfreuen sich einer immer größer werdenden

Mehr

Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH

Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH Version 1.1 2012-07-11 Personenbezogene Daten Die Flughafen Berlin Brandenburg GmbH im Folgenden FBB genannt erhebt, verarbeitet,

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

Customer COE Kundenerfolgsgeschichte Informationsmanagement. Topic. Kundenempfehlung: Wissensmanagement

Customer COE Kundenerfolgsgeschichte Informationsmanagement. Topic. Kundenempfehlung: Wissensmanagement Topic Informationen sind eine wichtige unternehmerische Ressource. Wer zeitnah mit strukturierten Informationen arbeiten kann, generiert eindeutige Wettbewerbsvorteile für sein Unternehmen. Es ist eine

Mehr

Rechtssichere E-Mail-Archivierung

Rechtssichere E-Mail-Archivierung Rechtssichere E-Mail-Archivierung Einfach und sicher als Managed Service Vorteile für Ihr Unternehmen Rechtliche Sicherheit Geltende rechtliche Anforderungen zwingen jedes Unternehmen, E-Mails über viele

Mehr

Information Lifecycle Management (ILM) - neue Speicherkonzepte für die digitale Archivierung. Dr. Bernhard Wentz

Information Lifecycle Management (ILM) - neue Speicherkonzepte für die digitale Archivierung. Dr. Bernhard Wentz Information Lifecycle Management (ILM) - neue Speicherkonzepte für die digitale Archivierung Einleitung und Motivation Medizinische IT-Anwendungssysteme komplexe hoch funktionale Systeme Basisfunktionen

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Cloud Computing Governance Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Definition Cloud - Wolke Wolke, die; -, -n; Wölkchen: Hoch in der Luft schwebende Massen feiner Wassertröpfchen

Mehr

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR.

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. Hans Joachim von Zieten DATEN DAS WICHTIGSTE GUT Daten und Informationen sind ein wichtiges, ja sogar

Mehr

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI.

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. ISO/IEC 27001 von BSI Ihre erste Wahl für Informationssicherheit BSI ist die Gesellschaft für Unternehmensstandards,

Mehr

Datenkonvertierung & EDI

Datenkonvertierung & EDI Cloud Services Datenkonvertierung & EDI Geschäftsprozesse optimieren Ressourcen entlasten Kosten reduzieren www.signamus.de Geschäftsprozesse optimieren Mit der wachsenden Komplexität moderner Infrastrukturen

Mehr

Datenschutz: Datenvernichtung im HCM mittels Information Lifecycle Management. Dr. Michael Wulf, Sap SE 22.März 2015

Datenschutz: Datenvernichtung im HCM mittels Information Lifecycle Management. Dr. Michael Wulf, Sap SE 22.März 2015 Datenschutz: Datenvernichtung im HCM mittels Information Lifecycle Management Dr. Michael Wulf, Sap SE 22.März 2015 Motivation Datenschutz ist schon immer ein Thema im HR, wird aber noch wichtiger Was

Mehr

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Grundlagen des Change Managements Anforderungen und Möglichkeiten für einen sauberen Änderungsprozess Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Hauptrisikofaktoren für IT-Sicherheit Patches

Mehr

Digitalisierungsund. Hosting-Services. Dokumentendigitalisierung Die Vorteile für Ihr Unternehmen

Digitalisierungsund. Hosting-Services. Dokumentendigitalisierung Die Vorteile für Ihr Unternehmen Digitalisierungsund Hosting-Services WARUM Digitalisieren FÜR IHR GESCHÄFT sinnvoll IST Dokumentendigitalisierung Die Vorteile für Ihr Unternehmen Informationsmanagement für die digitale Welt von heute

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

Sicherheit in der Cloud

Sicherheit in der Cloud y Sicherheit in der Cloud Professionelles Projektmanagement mit InLoox now! Ein InLoox Whitepaper Veröffentlicht: Juli 2013 Aktuelle Informationen finden Sie unter http://www.inloox.de Die in diesem Dokument

Mehr

Network Access Control für Remote Access: Best Practice Technical Paper

Network Access Control für Remote Access: Best Practice Technical Paper Network Access Control für Remote Access: Best Practice Technical Paper Stand Mai 2010 Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden und

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

Endpoint Web Control Übersichtsanleitung

Endpoint Web Control Übersichtsanleitung Endpoint Web Control Übersichtsanleitung Sophos Web Appliance Sophos UTM (Version 9.2 oder höher) Sophos Enterprise Console Sophos Endpoint Security and Control Stand: Dezember 2013 Inhalt 1 Endpoint Web

Mehr

59 markets and 36 languages. 76 markets and 48 languages 200+ CLOUD SERVICES

59 markets and 36 languages. 76 markets and 48 languages 200+ CLOUD SERVICES 2 59 markets and 36 languages 76 markets and 48 languages 200+ CLOUD SERVICES Informations-Sicherheit Risiken kennen Informations-Sicherheit ist eine Risiko-Management Disziplin des Geschäftsbereich und

Mehr

NOCTUA by init.at DAS FLEXIBLE MONITORING WEBFRONTEND

NOCTUA by init.at DAS FLEXIBLE MONITORING WEBFRONTEND NOCTUA by init.at DAS FLEXIBLE MONITORING WEBFRONTEND init.at informationstechnologie GmbH - Tannhäuserplatz 2 - A-1150 Wien - www.init.at Dieses Dokument und alle Teile von ihm bilden ein geistiges Eigentum

Mehr

Microsoft Office Live Meeting 2007-Client Datenschutzbestimmungen

Microsoft Office Live Meeting 2007-Client Datenschutzbestimmungen Seite 1 von 6 Hilfe und Anleitungen Microsoft Office Live Meeting 2007-Client Datenschutzbestimmungen Anwenden für: Microsoft Office Live Meeting 2005 Letzte Aktualisierung: Juni 2007 Microsoft hat es

Mehr

Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen. Bachelorarbeit

Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen. Bachelorarbeit Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft

Mehr

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de Security Excellence Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information

Mehr

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen.

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen. Mobile Personal Clouds with Silver Linings Columbia Institute for Tele Information Columbia Business School New York, 8. Juni 2012 Giovanni Buttarelli, Stellvertretender Europäischer Datenschutzbeauftragter

Mehr

Cyber Security Lösungen mit PACiS

Cyber Security Lösungen mit PACiS Cyber Security Lösungen mit PACiS Erhöhte Netzzuverlässigkeit und Gesetzeskonformität durch innovatives Cyber Security Konzept PACiS bietet integrierte Systeme für Schutz, Automatisierung, Überwachung

Mehr

Komplexe Bedrohungen erkennen und untersuchen INFRASTRUKTUR

Komplexe Bedrohungen erkennen und untersuchen INFRASTRUKTUR Komplexe Bedrohungen erkennen und untersuchen INFRASTRUKTUR HIGHLIGHTS RSA Security Analytics-Infrastruktur Modulare Architektur für verteilte Erfassung Metadatenbasiert für effizientes Indexieren, Speichern

Mehr

ÜBERBLICK ÜBER DIE WEBSENSE EMAIL SECURITY-LÖSUNGEN

ÜBERBLICK ÜBER DIE WEBSENSE EMAIL SECURITY-LÖSUNGEN ÜBERBLICK ÜBER DIE WEBSENSE EMAIL SECURITY-LÖSUNGEN ÜBERBLICK Herausforderung Viele der größten Sicherheitsverletzungen beginnen heutzutage mit einem einfachen E-Mail- Angriff, der sich Web-Schwachstellen

Mehr

ICH WILL RELEVANTE INFORMATIONEN UND EFFIZIENTERE ABLÄUFE!

ICH WILL RELEVANTE INFORMATIONEN UND EFFIZIENTERE ABLÄUFE! ICH WILL RELEVANTE INFORMATIONEN UND EFFIZIENTERE ABLÄUFE! MANAGED CONTENT SERVICES VON DER INFORMATIONSFLUT ZUM WETTBEWERBSVORTEIL Tag für Tag wächst die Menge an Informationen und Dokumenten in Form

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Symantec Enterprise Vault für Lotus Domino

Symantec Enterprise Vault für Lotus Domino Symantec Enterprise Vault für Lotus Domino Speichern, Verwalten und Auffinden von wichtigen geschäftlichen Daten Übersicht Branchenführende E-Mail-Archivierung für Lotus Domino E-Mail-Systeme sind für

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Service-Level-Agreement für SpaceNet Service 7x24 und 7x14

Service-Level-Agreement für SpaceNet Service 7x24 und 7x14 Service-Level-Agreement für SpaceNet Service 7x24 und 7x14 Leitbild SpaceNet ist Spezialist für das Hosting geschäftskritischer Anwendungen und Daten. Unbedingtes Ziel der SpaceNet ist es jede Störung

Mehr

ProCurve Manager Plus 2.2

ProCurve Manager Plus 2.2 ProCurve Manager Plus 2.2 Bei ProCurve Manager Plus 2.2 handelt es sich um eine sichere Windows -basierte Netzwerkverwaltungsplattform mit erweitertem Funktionsumfang zur zentralen Konfiguration, Aktualisierung,

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

Dunkel Mail Security

Dunkel Mail Security Dunkel Mail Security email-sicherheit auf die stressfreie Art Unser Service verhindert wie ein externer Schutzschild, dass Spam, Viren und andere Bedrohungen mit der email in Ihr Unternehmen gelangen und

Mehr

Softwareentwicklung und Application Lifecycle Management als Geschäftsprozess

Softwareentwicklung und Application Lifecycle Management als Geschäftsprozess Softwareentwicklung und Application Lifecycle Management als Geschäftsprozess Von David Chappell Gefördert durch die Microsoft Corporation 2010 Chappell & Associates David Chappell: Softwareentwicklung

Mehr

Archiv Gesetzgebung: E-Mail-Archivierung in Deutschland. lnformationen zu den wichtigsten gesetzlichen Vorgaben für Unternehmen

Archiv Gesetzgebung: E-Mail-Archivierung in Deutschland. lnformationen zu den wichtigsten gesetzlichen Vorgaben für Unternehmen Archiv Gesetzgebung: E-Mail-Archivierung in Deutschland lnformationen zu den wichtigsten gesetzlichen Vorgaben für Unternehmen Contents Gesetze zum Thema E-Mail-Archivierung 3 Strafmaßnahmen und andere

Mehr

Babelprojekt.com Datenschutzhinweise

Babelprojekt.com Datenschutzhinweise Babelprojekt.com Datenschutzhinweise Datenschutzrichtlinie runterladen Letzte Aktualisierung: 24. Apr. 2015 Willkommen zur Webseite des Babelprojekt Kft. Babelprojekt bittet Sie darum, vor der Nutzung

Mehr

Die Vorteile von Multicore-UTM. Umfassender Echtzeit-Schutz jenseits der Geschwindigkeitsbarriere

Die Vorteile von Multicore-UTM. Umfassender Echtzeit-Schutz jenseits der Geschwindigkeitsbarriere Die Vorteile von Multicore-UTM Umfassender Echtzeit-Schutz jenseits der Geschwindigkeitsbarriere Inhalt Netzwerksicherheit wird immer komplexer 1 UTM ist am effizientesten, wenn ganze Pakete gescannt werden

Mehr

Datenschutz in Rechnernetzen

Datenschutz in Rechnernetzen Datenschutz in Rechnernetzen Regierungsdirektor W. Ernestus Bundesbeauftragter für den Datenschutz Referat VI (Technologischer Datenschutz) Motivation Auf meine Daten darf im Netzwerk nur ich Hacking zugreifen

Mehr

Symantec Protection Suite Small Business Edition Eine benutzerfreundliche, effektive und kostengünstige Lösung für kleine Unternehmen

Symantec Protection Suite Small Business Edition Eine benutzerfreundliche, effektive und kostengünstige Lösung für kleine Unternehmen Eine benutzerfreundliche, effektive und kostengünstige Lösung für kleine Unternehmen Überblick Symantec Protection Suite Small Business Edition ist eine benutzerfreundliche, kostengünstige Sicherheits-

Mehr

Alcatel-Lucent VitalQIP Appliance Manager

Alcatel-Lucent VitalQIP Appliance Manager Alcatel-Lucent Appliance Manager End-to-end, mit hohem Funktionsumfang, anwendungsbasiertes und IP-Adressenverwaltung Optimierung der Verwaltung und Senkung der Verwaltungskosten mit dem Appliance Manager

Mehr

Information. Produktcharakteristik. Payment Card Industry Data Security Standard. Stand: 07/2015 Postbank P.O.S. Transact GmbH

Information. Produktcharakteristik. Payment Card Industry Data Security Standard. Stand: 07/2015 Postbank P.O.S. Transact GmbH Postbank P.O.S. Transact GmbH (nun EVO Kartenakzeptanz GmbH) ist kürzlich von der EVO Payments International Group erworben worden Produktcharakteristik VISA und MasterCard haben unter dem Namen VISA-AIS

Mehr

Consulting Services Effiziente Sicherheitsprozesse nach Mass.

Consulting Services Effiziente Sicherheitsprozesse nach Mass. Consulting Services Effiziente Sicherheitsprozesse nach Mass. Angemessene, professionelle Beratung nach internationalen Sicherheitsstandards. Effektive Schwachstellenerkennung und gezielte Risikominimierung.

Mehr