White paper. Best Practices für das Log-Management. Die Grundlage für eine umfassende Verwaltung von Sicherheitsinformationen und -ereignissen

Größe: px
Ab Seite anzeigen:

Download "White paper. Best Practices für das Log-Management. Die Grundlage für eine umfassende Verwaltung von Sicherheitsinformationen und -ereignissen"

Transkript

1 White paper Best Practices für das Log-Management Die Grundlage für eine umfassende Verwaltung von Sicherheitsinformationen und -ereignissen

2 Executive Summary Log-Management bezeichnet die Erfassung, Analyse (in Echtzeit oder vergangenheitsbezogen), Speicherung und Verwaltung von Protokoll-Daten aus verschiedenen Quellen im gesamten Unternehmen. Dies liefert die Grundlage für eine umfassende Verwaltung von Sicherheitsinformationen und -ereignissen (SIEM). Unternehmen, die Best Practices für das Log-Management entwickeln, erhalten eine zeitnahe Analyse ihres Sicherheitsprofils für die Sicherheitsabteilungen. Sie stellen sicher, dass Protokolle ausreichend detailliert über einen angemessenen Zeitraum gespeichert werden, um den Audit- und Compliance-Anforderungen gerecht zu werden. Darüber hinaus verfügen diese Unternehmen über zuverlässige Beweise, die auch in rechtlichen Verfahren Bestand haben. Unternehmen stehen vor zahlreichen Herausforderungen, durch die Best Practices im Log-Management als Teil der IT-Sicherheitsstrategie für das gesamte Unternehmen immer mehr Bedeutung erhalten. Dazu zählen die Steuerung der enormen Datenmengen, die von immer mehr Systemen generiert werden, die steigenden Anforderungen der modernen, durch Gesetze und Richtlinien bestimmten Umgebung und die immer ausgereifteren Angriffe auf Unternehmensnetzwerke. Durch Best Practices im Log-Management können IT- Führungskräfte einen deutlichen Mehrwert für ihr Unternehmen schaffen, da die Kosten sinken, während die Effizienz in Bereichen wie Compliance, Risikomanagement, Recht, Forensik oder Speicherung und im laufenden Betrieb steigt. Als Basis für Best Practices im Log-Management empfehlen sich die Anforderungen der geltenden Richtlinien und Standards sowie rechtliche Beratung, geschäftliche und operative Ziele und Risikoanalysen. Best Practices sollten zwar von jedem Unternehmen auf Basis der jeweiligen Umgebung individuell entwickelt werden, aber es gibt auch einige allgemeine Vorgehensweisen, die sich universell anwenden lassen. Dieses Whitepaper soll Unternehmen bei der Entwicklung eigener umfassender Best Practices unterstützen. Es zeigt 40 empfohlene Best Practices für folgende Protokollaspekte: Richtlinien, Verfahren und Technologien, Generierung und Erfassung, Aufbewahrung und Speicherung, Analyse sowie Schutz und Sicherheit. Inhalt Definition von Log-Management Seite 1 Bedeutung von Protokollen für Sicherheit und Compliance Seite 1 Log-Management als Lösung für Herausforderungen Seite 1 Der Geschäftswert von Best Practices im Log-Management Seite 3 Vorschläge für die Best Practices in Ihrem Unternehmen Seite 4 Empfohlene Best Practices Seite 5 I. Richtlinien, Verfahren und Technologien für Protokolle Seite 5 II. Erstellung und Erfassung von Protokollen Seite 6 III. Aufbewahrung und Speicherung von Protokollen Seite 7 IV. Protokollanalyse Seite 10 V. Schutz und Sicherheit von Protokollen Seite 11 Lösungen für die Implementierung von Best Practices Seite 12 Anhänge Anhang 1 Quellen und Inhalte von Protokollen Seite 13 Anhang 2 Compliance-Anforderungen für das Log-Management Seite 14

3 Definition von Log-Management In einem Protokoll werden die Ereignisse oder Aktivitäten aus den Systemen oder Netzwerken eines Unternehmens aufgezeichnet. Beispiele: eine Firewall gewährt oder verweigert den Zugriff auf eine Netzwerkressource, ein Administrator ändert die Konfiguration des Betriebssystems, ein System wird beendet oder gestartet, ein Benutzer meldet sich an einer Anwendung an, oder eine Anwendung gewährt oder verweigert den Zugriff auf eine Datei. Weitere Beispiele für Ereignisse oder Aktivitäten finden Sie in Anhang 1 Quellen und Inhalte von Protokollen. Log-Management bezeichnet die Erfassung, Analyse (in Echtzeit oder vergangenheitsbezogen), Speicherung und Verwaltung von Protokollen aus verschiedenen Quellen im gesamten Unternehmen, darunter Sicherheitssysteme, Netzwerkgeräte, Betriebssysteme und Anwendungen. Log-Management liefert die Grundlage für eine umfassende Verwaltung von Sicherheitsinformationen und -ereignissen (SIEM), die folgenden Zwecken dient: Erkennung und Abwehr von Bedrohungen in Echtzeit Vorfallsuntersuchungen und Forensik Einhaltung von Vorschriften und Standards Kapazitätsplanung, Leistung und Betriebszeit Beweise für Gerichtsverfahren Erkennung und Vermeidung von IP-Diebstahl Behebung von System- und Netzwerkproblemen Überprüfung und Durchsetzung von IT-Sicherheitsrichtlinien Bedeutung von Protokollen für Sicherheit und Compliance Ohne eine ausreichende Zusammenstellung, regelmäßige Prüfung und langfristige Aufbewahrung von Protokollen kann Ihr Unternehmen keine Compliance mit gesetzlichen Vorgaben erreichen und seine wertvollen Informationen nicht richtig schützen. Protokolle stellen eine Möglichkeit für die Überwachung von Systemen dar und zeichnen Sicherheitsereignisse, Informationszugriffe und Benutzeraktivitäten auf. warum Unternehmen die Vorgaben von Compliance-Audits nicht einhalten können. Sarbanes-Oxley-Auditoren nennen z.b. die unzulängliche Prüfung von Audit-Protokollen als einen der fünf häufigsten Schwachpunkte der IT-Kontrolle. Unzureichende Protokollierung ist nach Aussage von PCI-Auditoren auch eine der drei ersten Ursachen der Nichteinhaltung des Payment Card Industry Data Security Standard (PCI DSS). Mangelnde Kompetenz beim Log-Management zählt auch zu den Hauptursachen für die Gefährdung von Daten. Forensische Untersuchungen von MasterCard zeigen beispielsweise, dass eine fehlende Sicherheitsüberwachung in Echtzeit einer der fünf wichtigsten Gründe für Hacker-Angriffe auf Handelsunternehmen ist. Untersuchungen der US-amerikanischen Handelsaufsicht Federal Trade Commission (FTC) bei bereits vom Datenmissbrauch betroffenen Unternehmen haben gezeigt, dass fehlende Maßnahmen zur Erkennung von nicht autorisierten Zugriffen eine der Hauptursachen für diesen Missbrauch waren. Ohne ein geeignetes Log-Management können Unternehmen aufgetretene Sicherheitsverletzungen nur schwer untersuchen und sich von den Folgen erholen. Datenmissbrauch im großen Stil war in den vergangenen Jahren oft in den Schlagzeilen. In vielen Fällen haben die betroffenen Unternehmen nicht alle Protokolle aufbewahrt, die bis zum Zeitpunkt des ersten Eindringens in das Unternehmensnetzwerk zurückreichen. Dadurch war es nahezu unmöglich, die genaue Vorgehensweise des Angriffs zu bestimmen. Gesetzliche Vorgaben haben inzwischen dazu geführt, dass Aufbewahrungsfristen verlängert wurden. Um beispielsweise die Integrität von Finanzdaten belegen zu können, verlangen gesetz liche Vorschriften von Unternehmen die Aufbewahrung von Audit-Protokollen über viele Jahre. Richtlinien zum Datenschutz sehen die jahrelange Aufbewahrung von Zugriffsprotokollen vor, um die Offenlegung persönlicher Informationen nachweisen zu können. Unternehmen, die Best Practices im Log-Management entwickeln, erhalten eine zeitnahe Analyse ihres Sicherheitsprofils für die Sicherheitsabteilungen. Sie stellen sicher, dass Protokolle ausreichend detailliert über einen angemessenen Zeitraum gespeichert werden, um Audit- und Compliance-Anforderungen gerecht zu werden, und verfügen über zuverlässige Beweise zur Verwendung in rechtlichen Untersuchungen. Die moderne, durch Gesetze und Richtlinien geprägte Umgebung und eine neue Generation immer ausgereifterer Angriffe machen das Log-Management zu einer immer bedeutenderen Komponente Ihrer IT-Sicherheitsstrategie. Das Log-Management versetzt Sie in die Lage, nicht autorisierte Aktivitäten in Echtzeit zu erkennen und sicherzustellen, dass protokollierte Daten für Audits und rechtliche Untersuchungen zur Verfügung stehen und über ihren gesamten Lebenszyklus hinweg gespeichert werden. Das fehlende Log-Management ist eine der Hauptursachen, Log-Management als Lösung für Herausforderungen Unternehmen stehen vor zahlreichen Herausforderungen, durch die Best Practices im Log-Management als Teil der IT-Sicher heitsstrategie für das gesamte Unternehmen immer mehr Bedeutung erhalten. RSA White Paper 1

4 1. Vielzahl unterschiedlicher Systeme für die Protokollerstellung In den vergangenen Jahren haben Unternehmen als Antwort auf zunehmende Sicherheitsbedrohungen zahlreiche Sicherheitssysteme entwickelt, darunter Systeme zur Erkennung von Eindringlingen, Patch-Management- und Antiviren-Systeme. Im Zuge der wachsenden Automatisierung von Geschäftsprozessen besteht die Unternehmensumgebung aus immer mehr Netzwerkgeräten, Servern, Speicher-Subsystemen und Anwendungen. Die Folge sind immer größere und komplexere, unterschiedliche Systeme, die ebenso vielfältige Protokolle erstellen. Siehe Anhang 1 Quellen und Inhalte von Protokollen. Bei so vielen unterschiedlichen Protokollquellen ist es schwierig, den Überblick zu behalten. Es erweist sich als Herausforderung, das gesamte Sicherheitsprofil zu bestimmen oder ein vollständi - ges Bild über Informationszugriff und Benutzeraktivitäten zu erlangen. So müssen Auditoren möglicherweise stapelweise Ausdrucke aus vielen verschiedenen Systemen lesen, um nachzuweisen, dass nur autorisierte Benutzer auf geschützte Informationen zugreifen. Aufgrund dieser Tätigkeiten werden Audits zu einer kostspieligen Angelegenheit. Ohne geeignete Aufbewahrungsrichtlinien werden Protokolle aus so vielen verschiedenen Quellen wahrscheinlich nicht korrekt gespeichert. Oder aber es werden unwichtige Protokolle aus einigen Quellen gespeichert, während wichtige Aufzeichnungen aus anderen Quellen überhaupt nicht gesichert werden. 2. Datenvolumen von Protokollen Global 2000-Unternehmen generieren monatlich mindestens 10 TB allein an Protokollen. Bei diesen Datenmengen ist es nicht verwunderlich, dass viele Unternehmen die gespeicherten Protokolle nicht analysieren, da diese Aufgabe einfach zu schwierig wäre. Selbst wenn Vorgehensweisen zur Prüfung der Protokolle vorhanden sind, werden sie oftmals nicht zuverlässig genug eingehalten, da die manuelle Bearbeitung so vieler Protokolle sehr mühsam ist. Daher müssen Unternehmen eigene Best Practices für die Analyse und Berichterstellung entwickeln, um diese wichtigen Informationen sinnvoll zu nutzen. Darüber hinaus ist es wichtig, Strategien für die Aufbewahrung bzw. das Abrufen zu bestimmen. So können Auditoren und Untersuchungsbeamte aus riesigen Datenbeständen einfach die benötigten Informationen herausfiltern. 3. Immer neue Bedrohungen Die heutigen Bedrohungen sind nicht einfach nur lästige Angriffe wie z.b. der I LOVE YOU-Virus oder Denial-of-Service-Angriffe. Sie sind sehr zielgerichtet und ausgereift und werden von organisierten Verbrechern auf bestimmte wertvolle Informationen über längere Zeiträume ausgeübt. In einem aktuellen, hochkarätigen Fall waren die Systeme eines großen Händlers über 18 Monate hinweg unbemerkt von Eindringlingen betroffen. Diese Umgebung verlangt nach effizienter Überwachung in Echtzeit, um Eindringlinge besser erkennen zu können, sowie nach detaillierten Protokollinformationen, die im Falle einer Sicherheitsverletzung eine wichtige Rolle spielen. Diese Protokolle müssen über einen Zeitraum von mehreren Monaten oder gar Jahren zurückreichen, um Beweise zusammenzustellen. Im Zuge der neuen Entwicklungen muss die Aufbewahrungsdauer von Protokollen in Unternehmen unbedingt angepasst werden. Protokolldaten müssen vollständig und jederzeit abrufbar sein, um bei der Untersuchung von Sicherheitsverletzungen von Nutzen zu sein. 4. Strengere gesetzliche Vorschriften In den letzten Jahren gab es weltweit eine Flut an Richtlinien und Gesetzen, die den Schutz von Informationen vorschreiben. Unternehmen sind nun rechtlich verpflichtet, Informationen zu schützen, und müssen belegen, dass ihre Sicherheitsmaßnahmen dazu geeignet sind. Die Protokollierung erfüllt im Hinblick auf Compliance zwei Funktionen. Sie ist ein zentrales Standbein jedes Sicherheitsprogramms und daher für den Schutz von Informationen unabdingbar. Wenn Unternehmen ihren rechtlichen Verpflichtungen zum Schutz von Informationen nachkommen möchten, darf die Protokollierung nicht deaktiviert werden bzw. müssen alle Protokolle einer eingehenden Prüfung unterzogen werden. Des Weiteren stellen Protokolle das wichtigste Beweismittel für Compliance und Richtlinienkonformität dar. Ohne Protokolle ist die Beantwortung der Fragen, ob Finanzdaten ohne geeignete Autorisierung geändert oder Patientendaten ohne Genehmigung veröffentlicht wurden bzw. ob der Zugriff auf Karteninhaberdaten nur Personen gewährt wurde, die ihn aus Geschäftsgründen benötigen, schwierig, wenn nicht gar unmöglich. In der neuen, durch Richtlinien geprägten Umgebung gelten für die meisten Unternehmen zahlreiche Vorgaben aus mehreren Bereichen. Darüber hinaus gibt es regelmäßig interne oder unabhängige Audits der Informationssysteme, um die Eignung der Sicherheitsmaßnahmen zu prüfen. Protokolle müssen ausreichend detailliert zusammengestellt werden, um eine Überprüfung zu ermöglichen. Außerdem müssen sie dem Auditor jederzeit zu Prüfungszwecken zur Verfügung gestellt werden können. Ist ein Audit abgeschlossen, muss das Unternehmen bestimmte Protokolle oft über Jahre hinweg aufbewahren für den Fall, dass diese Protokolle von Regulierungsbehörden oder Gerichten als Beweismittel angefordert werden. Anforderungen an die Aufbewahrung von Protokollen sind nun durch die Notwendigkeit geprägt, die richtigen Informationen parat zu halten, um Audit- Zyklen zu entsprechen. Anschließend erfolgt die langfristige Aufbewahrung, mit der die rechtlichen Anforderungen an die Datenarchivierung erfüllt werden. 2 RSA White Paper

5 5. Wachsende Anzahl an Beteiligten Längst benötigen nicht mehr nur Sicherheits- und Netzwerk - abteilungen die Informationen aus Protokolldaten. Auch andere Gruppen im gesamten Unternehmen müssen darauf zugreifen, z.b. die Personal- und Rechtsabteilung, die interne Auditierung, die Finanzabteilung, das Engineering, der Kundenservice sowie Vertrieb und Marketing. Die Personalabteilung benötigt die Daten beispielsweise für die Bearbeitung von Problemen mit Mitarbei - tern, um ggf. erhobene Vorwürfe von Fehlverhalten der Ange - stellten auch belegen zu können. Die Rechtsabteilung, interne Auditierung und Finanzabteilung verwenden diese Informationen für Compliance-Initiativen. Best Practices für das Log-Manage - ment sollten allen Beteiligten im Unternehmen einen sicheren, raschen und zuverlässigen Zugang zu den benötigten Informationen ermöglichen. 6. Unwägbarkeiten künftiger Rechtsvorschriften Weltweit nimmt die Zahl der rechtlichen Vorgaben zu. In den USA wird z.b. eine umfassende Gesetzgebung zum Datenschutz disku - tiert, andere Länder wie Indien und China prüfen die Einführung neuer Gesetze. Es lässt sich keine Aussage treffen, welche Protokolle in Zukunft erforderlich sein werden, um Rechtssicher - heit zu erlangen. Rechtsstreitigkeiten aufgrund von Sicherheitsund Datenschutzverletzungen gibt es bereits. Prognosen zufolge werden solche Verletzungen eine neue Welle an Sammelklagen auslösen. Befindet sich ein Unternehmen aufgrund einer Sicherheitsverletzung im Prozess, muss es möglicherweise Beweismaterial über den Zugriff auf Informationen vorlegen. Ein weiterer Trend, der für Unsicherheit sorgt, ist die zunehmende Anzahl an Geschäftspartnerverträgen mit bestimmten Regelungen zur Informationssicherheit, einschließlich des Rechts auf Auditierung. Es lässt sich nur schwer voraussagen, welche Protokolle ein Geschäftspartner im Rahmen eines Sicherheits- Audits anfordern könnte. Daher müssen Unternehmen Best Practices für das Log-Management entwickeln, die auf diese Unwägbarkeiten (welche Protokolle sind zu welchem Zeitpunkt erforderlich) vorbereitet sind. Der Geschäftswert von Best Practices für das Log- Management Die meisten Unternehmen haben noch keine Best Practices für das Log-Management entwickelt und implementiert. Da diese Funktionalität jedoch immer mehr an Bedeutung gewinnt, rückt sie bei zahlreichen CIOs und CISOs auf der Tagesordnung weiter nach oben. Einer kürzlich vom Branchenanalysten ThelnfoPro durchgeführten Studie zufolge zählt die Verwaltung von Sicherheitsinformationen und -ereignissen für Fortune Unternehmen mittlerweile zu den Top 5-Projekten für Informationssicherheit. Durch die Einrichtung von Best Practices für das Log-Management können IT-Führungskräfte einen deutlichen Mehrwert für ihr Unternehmen in folgenden Bereichen schaffen: Compliance Durch eine ausreichende Zusammenstellung und Aufbewahrung von Protokollen können durch Nichteinhaltung von Vorschriften entstehende Kosten wie z.b. Geldstrafen vermieden werden. Senkung laufender Audit-Kosten durch geringeren Zeitaufwand für die Fertigstellung eines Audits Sofortige Verfügbarkeit der richtigen Protokolldaten und Berichte für Auditoren Schneller Beleg der Einhaltung von Anforderungen Risikomanagement Die kontinuierliche Prüfung und Echtzeit-Überwachung von Protokollen hilft bei der Erkennung und Vermeidung von unberechtigten Zugriffen und senkt das Risiko von Sicherheitsverletzungen Schutz für Marken, Kundenbeziehungen und den Ruf des Unternehmens Vermeidung von Anwalts- und Gerichtskosten Keine Geldstrafen und Prozesskosten Recht Vollständige Protokolle und effiziente Zusammenstellung von Beweisen senken die Anwalts- und Gerichtskosten Vorlegen von Beweisen wie z.b. Protokollen von Benutzeraktivitäten für gerichtliche Streitfälle bei Kündigungsschutzklagen Vorlegen von Beweisen wie z.b. Protokollen zur Offenlegung von Informationen für Prozesse wegen Datenschutzverletzungen Vorlegen von Beweisen wie z.b. Zugriffsprotokollen der Softwareentwicklung für Prozesse wegen Diebstahl geistigen Eigentums Forensik Im Missbrauchsfall sorgt der schnelle Zugriff auf die richtigen Protokolle für Kosteneinsparungen, da die Zusammenstellung von Beweisen rascher und einfacher ist Schnellere und einfachere Erkennung und Behebung der Ursache Blockierung von Angriffen verhindert schlimme Folgen und spart so Kosten Umkomplizierte und schnelle Systemwiederherstellung und Schadensbeseitigung nach Sicherheitsverletzungen Bessere Chancen zur Ergreifung der Täter Speicher Kostensenkung durch Speichern der richtigen Protokolle über einen geeigneten Zeitraum und ständige Abrufmöglichkeit RSA White Paper 3

6 Unterstützung bei der Klassifizierung von Informationen Verwendung des kostengünstigsten Speichers auf Basis der Anforderungen für die jeweiligen Daten Betrieb Effizientere Protokollanalyse senkt Kosten für die Überwachung, z.b. Personalkosten Mitarbeiter können produktivere Aufgaben übernehmen Effizientere Überwachung reduziert Ausfallzeiten und erhöht die Effizienz, indem der Fokus auf die richtigen Bedrohungen gelenkt wird (weniger Fehlalarme) Vorschläge für die Best Practices in Ihrem Unternehmen Best Practices sollten auf den Anforderungen der geltenden Richtlinien und Standards sowie auf Rechtsberatung, geschäftlichen und betrieblichen Zielen und auf einer Risikoanalyse aufbauen. Für bestimmte Compliance-Anforderungen zum Log-Management müssen Unternehmen jedoch über die in den Richtlinien festgeschriebenen Informationen hinausgehen und auch die geltenden Standards zur Informationssicherheit berücksichtigen. Weitere Informationen zu den speziellen Anforderungen einiger Richtlinien und Branchenstandards an das Log-Management finden Sie in Anhang 2 Compliance-Anforderungen für das Log- Management. Da für die meisten Unternehmen zahlreiche Vorgaben aus mehreren Bereichen gelten, deren Anzahl ständig zunimmt, sind Unternehmen gezwungen, einen ganzheitlichen Ansatz zur Entwicklung von Best Practices für das Log-Management zu verfolgen. Im Gegensatz zu einem unsystematischen Ansatz, bei dem die Anforderungen jeder Richtlinie einzeln erfüllt werden, zielt ein ganzheitlicher Ansatz darauf ab, die Bemühungen zu kombinieren und Best Practices zu schaffen, die möglichst die Anforderungen verschiedener Richtlinien und Normen erfüllen und darüber hinaus eine proaktive Planung für die künftige Rechtsgestaltung vorsehen. 1. Anforderungen durch Richtlinien und Standards Es gibt zahlreiche Richtlinien und Branchenstandards, die den Schutz von Informationen vorschreiben, darunter: Sarbanes-Oxley (SOX) Health Insurance Portability and Accountability Act (HIPAA) Gramm-Leach-Bliley-Act (GLBA) Federal Information Security Management Act (FISMA) Internationale Datenschutzbestimmungen 1 US-Gesetze auf Bundesstaatebene zur Benachrichtigung über Sicherheitsverstöße (z.b. SB 1386) 2 21 CFR Part 11 (Part 11) 3 der US-amerikanischen Food and Drug Administration Payment Card Industry Data Security Standard (PCI DSS) Standards für digitale Sicherheit des North American Electric Reliability Council (NERC) Die meisten Gesetze und Regulierungsvorgaben beinhalten keine spezifischen Anforderungen, sondern verlangen von Unternehmen die Implementierung von vernünftigen und geeigneten Maßnahmen zum Schutz von Informationen nach Maßgabe der Anforderungen von Standards zur Informationssicherheit wie z.b.: Control Objectives for Information Technology (COBIT) Sonderausgaben des National Institute of Science and Technology, 800-er Serie (NISTSP 800) IT-Handbuch zur Informationssicherheit des Federal Financial Institutions Examination Council (FFIEC) Internationale Organisation für Normung: Code of Practice for Information Security Management (ISO 17799/27001) 2. Beratung durch Rechtsbeistände Bei der Entwicklung von Best Practices für das Log-Management sollte ein Rechtsbeistand hinzugezogen werden, der insbesondere bei der Entwicklung von Richtlinien beratend zur Seite steht. Er gibt nicht nur Rat zu den geltenden Anforderungen, sondern auch zu anderen rechtlichen Themen oder vertraglichen Verpflichtungen wie Vereinbarungen mit Geschäftspartnern, die das Recht auf Audits beinhalten können und daher schnellen Zugriff auf Audit-Protokolle erfordern. Protokolle werden möglicherweise auch als Beweismittel für künftige Prozesse oder Untersuchungen benötigt. Des Weiteren kann ein Rechtsbeistand dabei helfen, dass die Richtlinien zur Aufbewahrung von Protokollen innerhalb der allgemeinen Datenaufbewahrungs - vorschriften des Unternehmens konsistent sind. 3. Geschäftliche und betriebliche Ziele Best Practices für das Log-Management sollten die Ziele des Unternehmens widerspiegeln, u.a. auch den Umgang mit bestimmten Parametern wie verfügbare Zeit, Ressourcen und Budget. Die betrieblichen Ziele könnten auch eine Effizienz - steigerung der Protokollprüfung, die Sicherstellung der ausreichenden Überwachung bestimmter Systeme zur frühen Problemerkennung und Senkung der Ausfallzeiten oder die Aufbewahrung bestimmter Protokolle über einen bestimmten Zeitraum zur möglichen forensischen Verwendung beinhalten. 4. Risikobewertung Die Risikobewertung stellt eine bedeutende Komponente bei der Entwicklung von Kompetenzen im Log-Management dar. Wie 1 Beispielsweise die EU-Datenschutzrichtlinie (EU DPD), der Japan Personal Information Protection Act (PIPA) und der Canada Personal Information Protection and Electronic Documents Act (PIPEDA) 2 Etwa 40 Bundesstaaten haben nun Gesetze, die Unternehmen vorschreiben, eine Person zu benachrichtigen, wenn es Grund zur Annahme gibt, dass die Sicherheit der persönlichen Daten dieser Person beeinträchtigt wurde. Diese Gesetze hatten immense Auswirkungen auf Unternehmen in aller Welt. Sie verfügen über keine direkten Anforderungen für das Log-Management, obwohl Protokolle eine wichtige Möglichkeit darstellen, eine Sicherheitsverletzung zu erkennen oder aber Beweise zu erbringen, dass es keinen Grund gibt, eine solche Verletzung zu vermuten. 3 In der EU ist die entsprechende Richtlinie Good Manufacturing Practices (GMP) Annex 11 (Annex 11) 4 RSA White Paper

7 zuvor erwähnt, beinhalten weder Gesetze noch Normen spezifische Anforderungen. Stattdessen müssen viele Entschei - dun gen vom Unternehmen selbst getroffen werden. Bei diesen Entscheidungen spielt die Bewertung der Risikofaktoren des Unternehmens eine Schlüsselrolle. Durch die Risiko bewertung lassen sich verschiedene Anforderungen bestimmen, z.b. wie oft Protokolle geprüft und wie lange bestimmte Protokolle aufbe - wahrt werden. Zugriffsprotokolle für regulierte oder andere vertrauliche bzw. geschützte Informationen erfordern z.b. eine genauere Prüfung und längere Aufbewahrung als andere Protokolle. der Ergebnisse von Audits, Änderungen von Compliance- Anforderungen und Feedback von Administratoren. Richtlinien sollten mindestens einmal jährlich geprüft und aktualisiert werden. I.3. Definition von Rollen und Verantwortlichkeiten und geeigneter Support für Mitarbeiter Aufgaben im Log-Management sollten im gesamten Unternehmen verteilt werden. Zur Ausführung dieser Aufgaben sollten geeignete Schulungen, Tools und Dokumentation bereitgestellt werden. Empfohlene Best Practices Umfassende Best Practices für das Log-Management beinhalten die folgenden Kategorien: Richtlinien, Verfahren und Technologien für Protokolle Erstellung und Erfassung von Protokollen Aufbewahrung und Speicherung von Protokollen Protokollanalyse Schutz und Sicherheit von Protokollen Best Practices sollten zwar von jedem Unternehmen auf Basis der jeweiligen Umgebung individuell entwickelt werden, aber es gibt auch einige allgemeine Vorgehensweisen, die sich universell anwenden lassen. RSA hat eine Liste mit 40 empfohlenen Best Practices für alle Kategorien entwickelt. Diese Best Practices sind im Folgenden aufgeführt. I. Richtlinien, Verfahren und Technologien für Protokolle Richtlinien regeln die Verwaltung der Log-Management- Aktivitäten und sollten vorgeschriebene Anforderungen für die Erstellung, Analyse, Aufbewahrung, Speicherung und Sicherheit von Protokollen klar definieren. Sie sollten in Verbindung mit einem Plan für die Verfahren und Technologien erstellt werden, die für die Implementierung und Durchsetzung der Richtlinien benötigt werden. Empfohlene Best Practices I.1. Unterstützung der Führungsebene in Bezug auf Richtlinien Die nötige Priorisierung innerhalb des Unternehmens und die für das Log-Management nötigen Ressourcen sollten hier berücksichtigt werden. I.2. Vollständige Dokumentation der Richtlinien und Durchführung regelmäßiger Prüfungen und Aktualisierungen von Richtlinien je nach Bedarf Beispiel: Aktualisierung der Richtlinien und Verfahren auf Basis I.4. Anpassung von Richtlinien für das Log-Management und zugehörigen Richtlinien und Verfahren Beispiel: Richtlinien zur Protokollaufbewahrung sollten mit allgemeinen Richtlinien zur Datenaufbewahrung in Einklang gebracht werden. Anforderungen im Log-Management sollten z.b. bei Softwareanschaffung und Anwendungsentwicklung berücksichtigt werden. I.5. Umsetzung der Separation of Duties Beispiel: Die Prüfung der systembezogenen Protokolle erfolgt nicht durch den Systemadministrator, sondern durch eine andere Person, um die Nachvollziehbarkeit der Tätigkeiten des Systemadministrators zu gewährleisten. I.6. Umsetzung von Standard-Arbeitsverfahren für das Log- Management zur Unterstützung und Einhaltung der Richtlinien Einige gängige Verfahren beinhalten beispielsweise die Konfiguration von Protokollquellen, die Durchführung von Protokollanalysen, die Initiierung von Reaktionen auf erkannte Vorfälle und die Verwaltung des Langzeitspeichers. I.7. Planung und Implementierung einer speziellen Infrastruktur für das Log-Management zur Unterstützung und Einhaltung der Richtlinien Diese Infrastruktur sollte eine spezielle Plattform für das Log- Management und einen Speicher für Protokolldaten beinhalten. Durch die Implementierung einer speziellen Log-Management- Umgebung können alle Beteiligten leichter auf sämtliche Daten zugreifen, gründliche Analysen durchführen, starke Sicherheit garantieren und protokollierte Daten zuverlässig und konsistent über die entsprechenden Zeiträume hinweg speichern. Ohne eine zentrale Infrastruktur für das Log-Management würden die Beteiligten wahrscheinlich auf einzelne Punktlösungen zurückgreifen, die zu Ineffizienz, Redundanz und einem erhöhten Verwaltungsaufwand mit unnötiger Komplexität führen. Unternehmen müssen aktuelle, aber auch künftige Anforderungen in ihrer Planung berücksichtigen, darunter das Datenvolumen von Protokollen, Speicherkapazität, Sicherheitsanforderungen sowie Zeit und Ressourcen, die Mitarbeiter für die Analyse der Protokolle und die Verwaltung der Infrastruktur benötigen. RSA White Paper 5

8 I.8. Kein Alleingang: Hinzuziehen eines Branchenexperten bzw. Beraters Die Entwicklung umfassender Best Practices für das Log- Management bringt große Vorteile, aber auch komplexe Aufgaben mit sich. Dazu zählen die Implementierung von Richtlinien, Verfahren und Technologien, wie diese Kategorie von Best Practices zeigt. Viele Unternehmen verfügen intern nicht über das nötige Know-how oder qualifizierte Fachkräfte und sollten einen Branchenexperten bzw. Berater als Unterstützung hinzuziehen. II. Erstellung und Erfassung von Protokollen Die Zusammenstellung einer ausreichenden Datenmenge zur Erfüllung der Anforderungen von Richtlinien sowie für mögliche Untersuchungen von Vorfällen und rechtlichen Problemen ist mit sehr viel Aufwand verbunden. Datenschutzbestimmungen schreiben z.b. vor, dass Unternehmen sämtliche Zugriffe auf persönliche Daten aufzeichnen müssen. Der PCI-Standard fordert von Unternehmen die Nachverfolgung und Überwachung aller Zugriffe auf Netzwerkressourcen und Daten von Karteninhabern. Zur Einhaltung der von der Unternehmensführung vorgegebenen Richtlinien müssen Unternehmen ausreichend Vorgangsdaten aufzeichnen und speichern, um die Prüfung, Auswertung und Rekonstruktion der Datenverarbeitung zu ermöglichen, die als Grundlage für Finanzberichte dient. Für die Untersuchung von Vorfällen benötigen Unternehmen vollständige Aufzeichnungen der Aktivitäten im Netzwerk sowie in Systemen und Anwendungen. Vor Gericht oder bei Problemen mit Mitarbeitern müssen Unternehmen die richtigen Beweise über die Verwendung von Informationen oder den Systemzugriff zur Hand haben, um ihre Aussagen zu untermauern. Daten müssen aus zahlreichen Quellen zusammengestellt werden, darunter Sicherheitssysteme, Betriebs- und Speichersysteme sowie Anwendungen. Eine Liste mit gängigen Quellen und Protokollinhalten finden Sie in Anhang 1 Quellen und Inhalte von Protokollen. Empfohlene Best Practices II.1. Sicherstellung, dass die Protokollierung für Sicherheits sys - teme, Netzwerkinfrastrukturgeräte, Speicherinfrastruktur, Betriebssysteme sowie kommerzielle und speziell entwickelte Anwendungen aktiviert ist In Anbetracht der Vielzahl an Systemen, Geräten und Anwendun - gen ist es wichtig, dass die Audit-Protokollierung tatsächlich für alle diese Quellen im gesamten Unternehmen aktiviert ist. Administratoren haben möglicherweise Vorbehalte, das Auditing zu aktivieren, da sie eine Beeinträchtigung der Leistungsfähigkeit fürchten. Bei den meisten Systemen ist der Einfluss jedoch nur minimal, wenn die Konfiguration richtig auf eine leistungsfähige Plattform für das Log-Management abgestimmt wurde. Das Aktivieren und Deaktivieren von Audit-Kontrollsystemen sollte selbst auch protokolliert und ein Alarm an Administratoren gesendet werden. II.2. Keine Filterung der Protokolle an der Quelle Es ist sehr schwer, wenn nicht sogar unmöglich, vorauszusagen, was in einer heutigen Umgebung nützlich sein kann und was nicht. Falsche Entscheidungen können Audits oder Untersuchungen negativ beeinflussen. Daher ist es sinnvoller, alle Daten zu sammeln und erst dann zu prüfen, welche Daten nicht gebraucht werden, statt erst gar keine Daten zusammenzustellen. Ein gut konzipiertes System für das Log-Management lässt sich skalieren, um auch große Mengen an Protokolldaten erfassen, analysieren und verwalten zu können. So können alle Daten erfasst und intelligent ausgewertet werden, um dann nicht benötigte Daten zu löschen. II.3. Die erfassten Daten sollten alle wichtigen Vorgangs- und Aktivitätsprotokolle enthalten, die laut Richtlinien erforderlich sind, z.b. alle: individuellen Benutzerzugriffe verweigerten Zugriffsversuche auf Systeme, Anwendungen, Dateien oder Daten sowie andere fehlgeschlagene Vorgänge autorisierten, administrativen oder Root-Zugriffe Verwendungen von Identifizierungs- und Authentifizierungsmethoden Remote- und Wireless-Zugriffe Änderungen der System- oder Anwendungskonfiguration Änderungen der Zugriffsrechte Verwendungen von System-Dienstprogrammen Aktivierungen und Deaktivierungen des Sicherheitssystems Zugriffe auf Audit-Protokolle II.4. Für Ereignisse und Aktivitäten erfasste Details sollten den Anforderungen der Standards entsprechen, z.b.: Art der Aktivität oder des Ereignisses (z.b. Anmeldeversuch, Dateizugriff usw.) Benutzeridentifizierung Sitzungs-ID bzw. Terminal-ID Netzwerkadressen Datum und Uhrzeit Erfolgreiche und fehlerhafte Vorgänge Identität oder Name der betroffenen Daten, Systemkomponente oder Ressource II.5. Einzelne Benutzer sollten sich nachverfolgen lassen, indem für alle Vorgänge eindeutige Informationen zur Benutzeridentifizierung erfasst werden Besonders bei Systemen mit geschützten oder Richtlinien unterliegenden Informationen muss es möglich sein, den Informationszugriff einzelner Benutzer nachzuweisen. 6 RSA White Paper

9 II.6. Testen der Protokollierungsfunktionen Es muss sichergestellt werden, dass wirklich alle Daten erfasst werden und die Daten in den Protokollen vollständig und präzise sind. II.7. Synchronisieren von Zeitstempeln Protokollquellen referenzieren üblicherweise eine interne Uhr, wenn ein Protokolleintrag mit einem Zeitstempel versehen wird. Daher sollten alle internen Uhren der Protokollquellen mit einem vertrauenswürdigen, genauen Zeitserver synchronisiert werden. Ein hochwertiges Log-Management-System versieht die Protokolle auch beim Empfang mit einem Zeitstempel und sollte ebenfalls mit einem Zeitserver synchronisiert werden. II.8. Besonderer Schutz für vertrauliche Daten Bei der Protokollierung können (absichtlich oder versehentlich) vertrauliche Informationen erfasst werden, für die besondere Datenschutz- oder Sicherheitsbestimmungen gelten, z.b. Passwörter oder die Inhalte von s. Vertrauliche Daten in Protokollen könnten von Protokollprüfern oder von Personen, die sich unberechtigt Zugriff verschaffen, eingesehen werden. Hochwertige Log-Management-Systeme bieten eine flexible und umfassende Sicherheit bei der Übertragung und Speicherung der Protokolldaten und ermöglichen einen detaillierten, rollenbasierten Zugriff, um den korrekten und autorisierten Zugriff auf vertrauliche Daten sicherzustellen. Berücksichtigt werden sollte auch, wie die Daten gespeichert werden. Es gibt verschiedene Speicherarten, die unterschied - liche Zugangsebenen bieten, z.b.: Speicherarten 1. Online-Speicher Die Daten werden auf hochleistungsfähigem Network Attached Storage (NAS) oder in Storage Area Networks (SAN) gespeichert. Die Zugriffszeiten betragen einige wenige Millisekunden und bieten zahlreichen Benutzern eine ständige Verfügbarkeit. 2. Nearline-Speicher Die Daten werden in einem Speichersubsystem mit Zugriffszeiten von wenigen Sekunden gespeichert. Sie bieten einigen wenigen, zuvor festgelegten Benutzern über lange Zeiträume hinweg eine unregelmäßige Verfügbarkeit. 3. Offline-Speicher Die Daten werden auf Festplatten und Bändern gespeichert, die in einer Datenbibliothek verwaltet werden und erst nach dem Herstellen einer Laufwerksverbindung über einen Computer eingesehen werden können. Unternehmen sollten bei der Festlegung von Zeiträumen für die Datenaufbewahrung und von Speicherarten folgende Punkte berücksichtigen: II.9. Berücksichtigung von Datenschutzbestimmungen bei der Einrichtung der Protokollierung von Benutzeraktivitäten Bei der Überwachung von Mitarbeitern und anderen Benutzern sollte ein Rechtsbeistand hinzugezogen werden. Die Vorschriften unterscheiden sich je nach Rechtsprechung erheblich. III. Aufbewahrung und Speicherung von Protokollen 1. Warum werden die Protokolle benötigt? 2. Wann muss auf Protokolle zugegriffen werden? 3. Wie weit müssen die Daten zurückreichen? 4. Wie verfügbar müssen sie sein? Die drei folgenden Tabellen beleuchten diese Themen für jede der drei Arten: Produktiv-, Sicherungs- und Archivdaten. Bei der Bestimmung der Anforderungen an die Aufbewahrung und Speicherung von Protokollen sollten die verschiedenen Protokolldatenarten berücksichtigt werden. Protokolldatenarten 1. Produktivdaten Diese Daten werden aktiv für Analysen in Echtzeit, laufende Prüfungen und regelmäßige Audits und Bewertungen verwendet. 2. Sicherungsdaten Diese Daten sind gespiegelte Images der Produktivdaten, die benötigt werden, wenn die eigentlichen Produktivdaten manipuliert oder beschädigt wurden. 3. Archivdaten Diese Daten sind eine Teilmenge der Produktivdaten, die längerfristig im Rahmen der Datenarchivierung auf Basis von gesetzlichen Anforderungen sowie für mögliche rechtliche Ermittlungen und forensische Untersuchungen gespeichert werden. RSA White Paper 7

10 Tabelle 1: Produktivdaten Warum sind Proto - kolle notwendig? Wann muss auf Protokolle zugegriffen werden? Wie weit müssen die Daten zurückreichen? Wie verfügbar müssen sie sein? Protokollprüfungen und -analysen Sehr oft (z.b. Echtzeit, täglich, wöchentlich, monatlich usw.) Bis zur letzten Prüfung Schneller Zugriff zur Vereinfachung rascher Analysen erforderlich Forensische Untersuchungen Sicherheitsverstöße und -lücken usw. können jederzeit vorkommen, daher können auch Untersuchungen jeder - zeit erforderlich sein Protokolle erfordern wahrscheinlich regelmäßigen Zugriff (möglicherweise auch häufig) Angriffe können über einen langen Zeitraum verübt werden (wie z.b. in einem aktuellen, hochkarätigen Fall über einen Zeitraum von 18 Monaten) Möglicherweise ist die Einsicht bestimm - ter Protokolle nötig, die ein Jahr alt oder älter sind Schneller Zugriff zur schnellen Bestim - mung der Ursache des Verstoßes erforderlich Interne Audits Häufigkeit des Zugriffs hängt von der Länge der Audit- Zyklen ab Unterscheidet sich je nach Branche Typische interne Audit-Zyklen für große Unternehmen können 3 Monate (z.b. Finanzdienstleistungen) bis 6 Monate (z.b. Einzelhandel) betragen Bis zu einem Audit-Zyklus und mindestens ein Quartal, um sicherzustellen, dass alle aufgezeichneten Protokolle für den Audit- Zyklus zur Verfügung stehen Üblicherweise 6-9 Monate Schneller Zugriff erforderlich, um die Produktivität interner Auditores sicherzustellen Einige Bereiche mit hohem Risiko werden u.u. öfter als die üblichen Audit-Zyklen geprüft Externe Audits/ unabhängige Bewertungen Abhängig von der Länge des Audit-Zyklus Für viele Richtlinien betragen externe Audit-Zyklen ein Jahr, z.b.: SOX: jährliche Bewertung GLBA: Vorstandsprüfung von Sicherheitsmaßnahmen einmal pro Jahr FISMA: jährliche Prüfung PCI: jährliche Eigenbewertung oder Vor-Ort-Audit NERC: besondere Compliance-Prüfung innerhalb eines Jahres EU-Datenschutzrichtlinie Safe Harbor : jährliches Audit Bei einigen globalen Datenschutzbestimmungen können Audit-Zyklen u.u. länger sein, z.b. erfordert die ISO 17799/27001 alle drei Jahre eine erneute Zertifizierung Part 11/Annex 11: abhängig von besonderen Regeln in Bezug auf Prüfungen FTC: unabhängige Audits einmal alle zwei Jahre Bis zu einem Audit-Zyklus und mindestens ein Quartal, um sicherzustellen, dass alle aufgezeichneten Protokolle für den Audit- Zyklus zur Verfügung stehen Für die meisten Richtlinien heißt das ein Jahr + 3 Monate = 15 Monate Die meisten Richtlinien beinhalten keine besonderen Aufbewahrungszeiträume von Protokollen für Audit-Zyklen mit Ausnahme von: PCI: Ein Audit-Trail muss mindestens ein Jahr aufbewahrt werden und mindestens drei Monate online verfügbar sein NERC: Unternehmen müssen nachweisen können, dass es über den Zeitraum eines Jahres keine Lücken in der Überwachung und Protokollierung gab (steht im Gegensatz zu einer anderen Anforderung an die Datenarchivierung, die besagt, dass Protokolle mindestens 90 Tage aufbewahrt werden müssen) Schneller Zugriff erforderlich, um die Produktivität von Auditoren oder Gutachtern sicherzustellen und die Audit-Kosten zu minimieren Tabelle 2: Sicherungsdaten Warum sind Proto - kolle notwendig? Wann muss auf Protokolle zugegriffen werden? Wie weit müssen die Daten zurückreichen? Wie verfügbar müssen sie sein? Wenn Produktivdaten manipuliert oder beschädigt wurden usw. Daten können jederzeit manipuliert oder beschädigt werden Wahrscheinlich kein häufiger Zugriff erforderlich Spiegelung der Produktivdaten ratsam Kein unmittelbarer Zugriff erforderlich, aber Protokolle sollten in vernünftiger Weise verfügbar sein 8 RSA White Paper

11 Tabelle 3: Archivdaten Warum sind Proto - kolle notwendig? Wann muss auf Proto kolle zugegriffen werden? Wie weit müssen die Daten zurückreichen? Wie verfügbar müssen sie sein? Protokollierung auf Basis von gesetzlichen Anforderungen sowie für mögliche rechtliche Ermittlungen und forensische Untersuchungen Möglicherweise Erstellung von Datensätzen zu jedem Zeitpunkt, um rechtlichen Anfragen, Ermittlungen oder Untersuchungen zu entsprechen Wahrscheinlich kein häufiger Zugriff erfor - derlich Wie oben erwähnt, fordert PCI die Aufbewahrung von Protokollen über mindestens einem Jahr; in Anbetracht der Häufigkeit von Datenschutzverletzungen bei Karteninhabern sollten Unternehmen jedoch längere Aufbewahrungsfristen in Betracht ziehen, um die Daten für forensische Untersuchungen verfügbar zu halten. Bei den meisten Richtlinien ist kein vorgeschriebener Zeitraum für die lang - fristige Aufbewahrung von Protokollen vorgesehen. Vielmehr gibt es oft einen allgemeinen Aufbewahrungszeitraum, der als Anhaltspunkt für die Anforde run - gen an die langfristige Aufbewahrung von Protokollen verwendet werden kann. SOX schreibt vor, Dokumente und Kommunikationsdaten in Bezug auf ein Audit für sieben Jahre aufzubewahren; Unternehmen bewahren jedoch bestimmte Protokolle meist langfristig auf, z.b. solche, die in direktem Zusammenhang mit dem Nachweis der Integrität von Finanzberichten stehen (z.b. Zugriffsprotokolle für wichtige Finanzanwendungen). HIPAA verlangt die Aufbewahrung von Dokumenten zu Richtlinien, Verfahren, Vorgängen, Aktivitäten oder Bewertungen über sechs Jahre; Unternehmen bewahren jedoch bestimmte Protokolle meist langfristig auf, z.b. Informationen über den Zugriff auf Patientendaten (z.b. Zugriffsprotokolle für Patientenakten). Bei FISMA ist NIST der geltende Standard, der die Aufbewahrung von bestimmten Protokollen für drei Jahre vorsieht. Gemäß NERC müssen Audit-Datensätze drei Jahre lang aufbewahrt werden. Internationalen Datenschutzbestimmungen zufolge müssen Unternehmen bei Datenschutzverletzungen u.u. Beweise für den Zugriff auf persönliche Informationen erbringen, der mehrere Jahre zurückliegen kann. Bei anderen rechtlichen Anfragen und Ermittlungen sollte die Aufbewah - rung von Protokollen mit den entsprechenden Richtlinien für Daten bzw. Datenaufbewahrung abgestimmt sein, die mehrere Jahre vorsehen können. Unternehmen sollten bestimmte Protokolle längerfristig aufbewahren, damit sie im Fall einer Sicherheitsverletzung für mögliche Untersuchungen zur Verfügung stehen. Der Zugriff muss nicht so schnell wie bei Produktiv - daten erfolgen und hängt auch vom Alter der Datensätze ab; der Zugriff sollte für aktuelle Protokolle besser sein als für ältere Daten Aufbewahrung und Speicherung von Protokollen (Fortsetzung) Empfohlene Best Practices III.1. Aufbewahrung von Protokollen in einer sicheren, gut verwalteten Speicherinfrastruktur Ein verschlanktes, zentral verwaltetes Speichersystem ist weniger komplex in der Verwaltung als eine unsystematische Zusammenstellung von Speichersubsystemen. Isolierte und ineffiziente Protokolldateninseln sind damit kein Thema mehr. Darüber hinaus vereinfacht die zentrale Verwaltung und Speicherung von Protokollen auch den Zugriff auf protokollierte Daten im gesamten Unternehmen. Im Gegensatz zu einem eige - nen Protokollsystem für jeden Beteiligten bietet ein gut struktu - riertes Log-Management-System sicheren, detaillierten, rollen - basierten Zugriff auf alle gespeicherten Protokolle. So können alle Beteiligten auf alle notwendigen Daten zugreifen, während das Unternehmen die Speicherung von Protokollen optimiert. III.2. Verwendung eines Ansatzes für das Lifecycle Management von Informationen, bei dem protokollierte Daten abhängig von den Zugriffsanforderungen gespeichert werden Daten, auf die häufig oder spontan zugegriffen werden muss, z.b. Produktivdaten, sollten online verfügbar sein. Dem gegenüber sollten alle anderen Daten wie Sicherungs- und Archivdaten in einem Nearline- oder Offline-Speicher abgelegt werden. III.3. Online-Aufbewahrung von Produktivdaten für ein Jahr und drei Monate = 15 Monate (min.) Der Online-Zugriff auf Produktivdaten ermöglicht deren häufige Verwendung für die Echtzeit-Überwachung sowie laufende Prüfungen und Analysen. Im Falle einer Sicherheitsverletzung kann schnell auf die Protokolle zugegriffen werden, damit Untersuchungsbeamte rasch die Ursachen des Vorfalls oder die Quelle der Sicherheitslücke finden können. Außerdem werden Schäden am System und Sicherheitsprobleme behoben (durch schnellere Untersuchungen werden auch die Täter schneller gefunden). Die Aufbewahrung von Protokollen über diesen Mindestzeitraum ist wichtig, um sicherzustellen, dass die richtigen Beweise zur Verfügung stehen. Des Weiteren stellt eine 15-monatige Online-Aufbewahrungs - periode sicher, dass alle Protokolldatensätze für interne und externe Audits oder unabhängige Bewertungen verfügbar und spontan zugänglich sind. Wie in der obigen Tabelle gezeigt, schreiben die meisten Richtlinien einen Audit-Zyklus von einem Jahr vor. Für Unternehmen ist eine Aufbewahrungsdauer von einem Jahr plus einer weiteren, minimalen Aufbewahrungszeit von RSA White Paper 9

12 einem Quartal ratsam, um den einjährigen Audit-Zyklen zu entsprechen. Dieses zusätzliche Quartal bietet einen notwendigen Puffer, da die Audit-Zyklen von Jahr zu Jahr und abhängig von den jeweils angewendeten Vorgaben variieren. Da für den Großteil der Unternehmen verschiedene Richtlinien gelten, müssen die Protokolldaten zumeist für mehrere Audits oder Bewertungen pro Jahr bereitstehen. Durch die Online- Speicherung der Daten können Unternehmen die Audit-Prozesse proaktiv verwalten, die Produktivität der Auditoren erhöhen und den Zeit- und Kostenaufwand für Audits reduzieren. III.4. Aufbewahrung von Sicherungsdaten im Nearline-Speicher über denselben Zeitraum wie Produktivdaten So wird sichergestellt, dass die Sicherungsdaten auch dann zur Verfügung stehen, wenn Produktivdaten manipuliert oder beschädigt wurden o.ä. Die Verfügbarkeit muss nicht dieselbe wie für Produktivdaten sein. III.5. Aufbewahrung von Archivdaten für etwa 2-7 Jahre (min.) oder länger im Nearline-Speicher für aktuelle Daten (z.b. bis zu fünf Jahre), anschließende Verschiebung einiger Daten in den Offline-Speicher (z.b. 5 Jahre oder länger) Wie in Tabelle 3 auf der vorherigen Seite beschrieben, beinhalten die meisten Richtlinien keinen vorgeschriebenen Zeitraum für die Aufbewahrung von Audit-Protokollen. Nach einem Audit-Zyklus bewahren Unternehmen bestimmte Protokolle üblicherweise für mehrere Jahre auf. Das gilt besonders für die Daten, die in direktem Zusammenhang mit dem Zugriff auf Anwendungen mit geschützten Informationen stehen. Unternehmen müssen sich nicht nur an die Anforderungen von Richtlinien halten, sondern auch an andere Anforderungen für die langfristige Aufbewahrung von Protokolldaten, z.b. rechtliche Ermittlungen und forensische Untersuchungen. Da Archivdaten nicht oft verwendet werden, müssen sie nicht online verfügbar sein. Dennoch sollten Unternehmen die Daten verfügbar halten, damit die Reaktion auf rechtliche Nachfragen, die Erstellung von Datensätzen für rechtliche Ermittlungen oder die Durchführung von Ermittlungen nicht unnötig viel Zeit in Anspruch nimmt. Speicher mit adressierbarem Inhalt sollte auch für die längerfristige Aufbewahrung in Betracht gezogen werden, um die Integrität der Informationen auch über einen langen Zeitraum hinweg zu schützen. III.6. Richtlinien für die Protokollaufbewahrung sollten in Absprache mit einem Rechtsbeistand entwickelt werden Das Hinzuziehen eines Rechtsbeistands bei der Entwicklung von Anforderungen an die Protokollaufbewahrung ist unabdingbar, und diese Anforderungen müssen mit den allgemeinen Unternehmensrichtlinien für die Datenauf bewahrung abgestimmt werden. III.7. Berücksichtigung der Aufbewahrung der Original-Protokolle Wenn Protokolle als elektronische Beweisstücke zur Einhaltung von Vorschriften, in Gerichtsverfahren oder sogar zur Unter stüt - zung interner, personalbezogener Vorgänge benötigt werden, sollte ein hochwertiges Log-Management-System die Verwaltung und Archivierung der ursprünglichen Protokolldateien vereinfachen. III.8. Nicht mehr benötigte Protokolle sollten entsorgt werden Nach Ablauf der erforderlichen Aufbewahrungsdauer sollten Protokolle im Einklang mit den Unternehmensrichtlinien zur Datenvernichtung unbrauchbar gemacht werden. IV. Protokollanalyse In Anbetracht des Datenvolumens stellt die Überwachung und Prüfung von Protokollen eine Herausforderung dar. Einige Unternehmen sammeln zwar Protokolle, prüfen sie aber nicht, da diese Aufgabe zu kompliziert ist. In anderen Unternehmen wiederum verbringen Administratoren sehr viel Zeit mit der Prüfung von Unmengen an Protokollen. Ohne eine gute Analyse ist der Wert von Protokollen jedoch verschwindend gering. Die moderne, durch Richtlinien geprägte Umgebung und die rasante Zunahme der Sicherheitsbedrohungen erfordern, dass Unternehmen ihre Protokolle sorgfältig überwachen, um unberechtigte Zugriffe zu erkennen und die Rechenschaftspflicht von Benutzern durchzusetzen. Best Practices für die Protokollanalyse müssen auf die Notwendigkeit eingehen, Analysen zu vereinfachen und somit dem Unternehmen die Extrahierung der zahlreichen Informationen aus Protokollen zu ermöglichen. Empfohlene Best Practices IV.1. Regelmäßige Prüfung und Analyse von Protokollen Durch regelmäßige Prüfungen und Analysen können z.b. ungewöhnliche Ereignisse im Netzwerk oder im Benutzerverhalten erkannt werden, die außerhalb der zulässigen Vorgaben liegen. Je nach Systemen, Risikoumgebung und anderen Anforderungen sollten Protokolle in Echtzeit geprüft werden täglich, monatlich oder alle 90 Tage. Einige Vorschriften und Standards beinhalten besondere Anforderungen zur Prüfung von Protokollen (weitere Informationen hierzu finden Sie in Anhang 2 Compliance- Anforderungen für das Log-Management ). IV.2. Protokollsammlungen mit zentral verwalteter Infrastruktur für das Log-Management Durch das Sammeln von Protokollen wird die Analyse einfacher und zuverlässiger. IV.3. Automatisierung eines Großteils des Protokollanalyseprozesses Durch die Automatisierung kann die Analyse deutlich verbessert werden, da sie viel weniger Zeit in Anspruch nimmt und wertvollere Ergebnisse liefert. Die manuelle Analyse von 10 RSA White Paper

13 Protokolldaten wird von Administratoren oft als uninteressant und ineffizient wahrgenommen. Sie wird häufig als Aufgabe mit niedriger Priorität eingestuft und deshalb gar nicht oder aber mangelhaft und inkonsistent durchgeführt. Sie sollte auch die Verwendung automatisierter, interaktiver Systeme beinhalten, die aufzeichnen, welche Protokolle bereits geprüft wurden. Ein Prüfungsprozess mit höherem Automatisierungsgrad entbindet Mitarbeiter von der manuellen Prüfung, und sie können nun wertigere Aufgaben übernehmen. IV.4. Nutzung von Zuordnungs-Tools, um eine ganzheitliche Sicht zu erlangen und die Anzahl der Fehlalarme zu reduzieren Der Großteil der Unternehmen setzt viele verschiedene Systeme für die Protokollerstellung ein, darunter auch Sicherheitssysteme, Betriebs- und Speichersysteme und Anwendungen. Die separate Prüfung von Protokollen aus vielen Systemen ist schwierig, ineffizient und kann u.u. lückenhaft sein. Angriffe betreffen oft verschiedene Informationen. Werden nur bestimmte, isolierte Daten betrachtet, erscheint eine einzige Aktivität möglicherweise nicht bedrohlich. Zuordnungs-Tools suchen über mehrere Systeme hinweg nach Ereignismustern. Sie sind bei der Reduzierung von Fehlalarmen besonders hilfreich. IV.5. Verwendung automatischer Berichtsfunktionen zur Vereinfachung der Protokollprüfung durch die Erstellung von Berichten Ein Berichtsprozess sollte den Inhalt von Berichten, die Häufigkeit ihrer Erstellung und den Erstellungszweck definieren. IV.6. Prüfungsverfahren sollten die Echtzeitüberwachung entsprechender Log-Events beinhalten Üblicherweise werden die meisten Protokolle nicht in Echtzeit analysiert, obwohl dies unabdingbar für die Erkennung von unberechtigten Zugriffsversuchen und Aktivitäten sowie die Verhinderung oder zumindest Reduzierung dieser Vorfälle ist. IV.7. Erstellung eines Alarmsystems auf Basis von Prioritäten Mitarbeiter sollten wissen, was zu tun ist, wenn eine verdächtige, nicht normale Aktivität erkannt wird. Dabei ist zu beachten, dass nicht für alle Ereignisse ein Alarm ausgelöst werden soll, da dies den Zweck der Sache außer Kraft setzt und die Aufmerksamkeit der Mitarbeiter schließlich schwindet. Priorisieren Sie, für welche Ereignisse ein Alarm notwendig ist. IV.8. Entwicklung einer Basiszusammenstellung typischer Protokolleinträge, um ungewöhnliche oder unnormale Ereignisse oder Aktivitäten erkennen zu können Durch die Festlegung, welche Protokolleinträge von Interesse sind und welche nicht, lassen sich ungewöhnliche bzw. unnormale Ereignisse leichter erkennen, und man kann schneller auf sie reagieren. V. Schutz und Sicherheit von Protokollen Best Practices müssen die Vertraulichkeit, Integrität und Verfügbarkeit von Protokollen über deren gesamten Lebenszyklus hinweg sicherstellen. Das Unternehmen muss verhindern, das Protokollierungsmethoden deaktiviert oder missbraucht werden. Zudem muss es sicherstellen, dass Protokolldateien nicht bearbeitet oder gelöscht werden können und darüber hinaus bei einem Vorfall die Business Continuity der Protokollierungsdienste gewährleisten. Protokolle, die bei der Speicherung oder Übertragung nicht ausreichend geschützt sind, können leicht einer beabsichtigten oder unbeabsichtigten Änderung oder Zerstörung zum Opfer fallen. So bleiben möglicherweise betrügerische Aktivitäten unbemerkt, und Beweise werden eventuell manipuliert, um die Identität der Betrüger zu verschleiern. Viele Rootkits sind z.b. speziell darauf ausgelegt, Protokolle zu verändern, um jegliche Beweise der Installation des Rootkits oder seiner Ausführung zu entfernen. Empfohlene Best Practices V.1. Schutz der Prozesse, die die Protokolleinträge erstellen Nicht autorisierte Benutzer sollten Protokollquellenprozesse, ausführbare Dateien, Konfigurationsdateien und andere Komponenten der Protokollquellen, die die Protokollerstellung beeinträchtigen könnten, nicht ändern dürfen. Die Verwaltung der Quellen für die Protokollerstellung sollte ebenfalls protokolliert werden und mittels genehmigter Richtlinien und Verfahren für die Änderungskontrolle gesteuert werden. V.2. Begrenzter Zugriff auf Protokolldateien Im Allgemeinen sollten nur Administratoren und Auditoren zu Prüfungs- und Verwaltungszwecken Zugriff auf Protokolldateien erhalten. Die Zugriffe von berechtigten Benutzern (d.h. Administrator und Auditor) sollten protokolliert und von anderen Personen außerhalb dieser Benutzerdomäne häufig und eingehend geprüft werden. V.3. Implementierung sicherer Mechanismen für die Übertragung von Protokolldaten Viele Protokolle werden im Klartext übermittelt. Die Über tragung sollte mit Verfahren wie beispielsweise der Ver schlüsselung geschützt werden (z.b. IPSec, SFTP oder SSL). V.4. Schutz für gespeicherte Protokolldateien Dazu zählt die Zugriffsbeschränkung auf Speicher mechanismen für autorisierte Benutzer, die Bereitstellung einer ausreichenden Speicherkapazität und der Einsatz von WORM-Technologien. V.5. Schutz der Vertraulichkeit und Integrität von Protokolldateien Dazu können Message Digest, Verschlüsselung oder digitale Signaturen verwendet werden. RSA White Paper 11

14 V.6. Angemessener physikalischer Schutz für Protokollierungsmethoden und gespeicherte Protokolle Dieser Schutz beinhaltet die Verhinderung von unerlaubten physikalischen Zugriffen und den Einsatz geeigneter Steuermechanismen für die Umgebung. V.7. Beibehaltung der Business Continuity für Protokollierungsdienste Unterbrechungen der Geschäftsaktivitäten sollte entgegengewirkt werden. Dazu muss sichergestellt sein, dass die Protokollierungsdienste bei einem Systemausfall oder Computerfehler zeitnah anhand von redundanten Protokollservern wiederhergestellt werden können. Die RSA envision-plattform arbeitet nahtlos mit den EMC- Speicherlösungen Celerra, Clariion, Symmetrix und Centera zusammen, um eine echte End-to-End-Lösung für das Lebenszyklusmanagement von Protokolldaten bereitzustellen. Mit dieser Lösung können Unternehmen die enormen Protokolldatenmengen von der Erstellung bis zur Löschung verwalten, um die Anforderungen von gesetzlichen Vorschriften, Sicherheitsabteilungen und Geschäftsabläufen einzuhalten. Weitere Informationen zu RSA envision erhalten Sie unter Weitere Informationen zu EMC-Speicherlösungen einschließlich EMC Celerra, Clariion, Symmetrix und Centera finden Sie unter Zusammenfassung Die Entwicklung von Best Practices für das Log-Management ist keine einfache Aufgabe. Sie erfordert erhebliche Ressourcen und einen hohen Aufwand. Durch die umfassenden Best Practices, die alle wichtigen Komponenten des Log-Management abdecken, sollte dieses Whitepaper die Entwicklung des Log-Management deutlich vereinfachen. Die durch Richtlinien geprägte Umgebung und die rasante Zunahme der Sicherheitsbedrohungen verlangen nach einer immer intensiveren Protokollierung und einer längeren Aufbewahrung und Speicherung von Protokolldateien als die meisten Unternehmen leisten können. Die Einhaltung von Compliance- und Sicherheitsanforderungen muss zudem mit den Geschäftszielen in Einklang gebracht werden. Darüber hinaus sorgt ein leistungsstarkes Log-Management auch für eine gesteigerte Produktivität und Effizienz und ermöglicht Kosteneinsparungen in verschiedenen Bereichen im gesamten Unternehmen und in der Folge einen gesunden Return-on- Investment. Lösungen für die Implementierung von Best Practices Die Einführung von Best Practices im Log-Management liefert die Grundlage für eine umfassende Verwaltung von Sicherheitsinformationen und -ereignissen (SIEM). RSA stellt Endto-End-Lösungen bereit, mit denen Unternehmen eine zentral verwaltete Infrastruktur speziell für diesen Zweck einrichten können. Die RSA envision SIEM-Plattform sammelt Protokolle aus dem gesamten Unternehmen und wandelt diese Informationen in nutzbare Daten für Compliance- und Sicherheitsziele um. Durch den gemeinsamen Einsatz von RSA envision und Netzwerkspeicherlösungen können Unternehmen den gesamten Lebenszyklus von Protokollinformationen mit einem mehrschichtigen Speicheransatz verwalten. Dabei werden die Protokolle auf verschiedenen Speicherressourcen abgelegt, abhängig vom Alter und vom Verwendungsbedarf der Protokolldaten. 12 RSA White Paper

15 Anhang 1: Quellen und Inhalte von Protokollen Sicherheitssysteme und Software Anti-Malware Anti-Viren-Software, Anti-Spyware und Rootkit- Erkennungssoftware Beispiele für aufgezeichnete Vorfälle und Aktivitäten Verschiedene Fälle erkannter Malware Versuche von Datei- und Systemdesinfektion Dateiquarantäne Scannen nach Malware Signaturen oder Software-Updates Systeme zur Erkennung und Verhinderung von unerwünschtem Eindringen Verdächtiges Verhalten Erkannte Angriffe Maßnahmen zur Verhinderung böswilliger Aktivitäten Systeme für den Remote- und Wireless-Zugriff z.b. Virtual Private Networks (VPN) Anmeldeversuche In der Sitzung empfangene und versendete Datenmenge Web-Proxy-Server aufgerufene URLs Software zur Verwaltung von Schwachstellen darunter Software für die Patch-Verwaltung und Bewertung von Schwachstellen Authentifizierungsserver Verzeichnisserver und Single-Sign-On- Server Router und Switches Patch-Installationshistorie Schwachstellenstatus Bekannte Schwachstellen Fehlende Software-Upgrades Authentifizierungsversuche gesperrte Aktivitäten Firewalls detaillierte Protokolle zur Netzwerkaktivität Netzwerk-Quarantäne-Server Status der Host-Sicherheitsprüfungen Hosts in Quarantäne und Ursachen Operative Systeme Beispiele für aufgezeichnete Vorfälle und Aktivitäten z.b. für Server, Workstations und Netzwerkgeräte wie Router, Switches, usw. Systemereignisse Herunterfahren des Systems Service-Start Sicherheitsereignisse Dateizugriffe Richtlinienänderungen Anwendungen Beispiele für aufgezeichnete Vorfälle und Aktivitäten z.b. -Server und -Clients, Webserver und Webbrowser, Dateiserver und Clients für das File Sharing, Datenbankserver und -clients sowie Geschäftsanwendungen (z.b. Supply Chain Management, Finanzmanagement, Beschaffungssysteme, Enterprise Resource Planning, Customer Relationship Management und benutzerspezifische Anwendungen) Client-Anfragen und Serverantwort Authentifizierungsversuche Kontenänderungen Verwendung von Benutzerrechten Anzahl und Größe der Transaktionen Ereignisse im Betrieb Starten und Herunterfahren Konfigurationsänderungen Anwendungsspezifische Ereignisse wie z.b.: senden und empfangen Dateizugriff Service-Anfrage Transaktion Funktionsausführung (z.b. Lesen, Schreiben, Ändern, Löschen) RSA White Paper 13

16 Anhang 2: Compliance-Anforderungen für das Log-Management Hinweis: nicht vollständig, zu Darstellungszwecken vereinfacht Beispiele für Rechte und Richtlinien, die den Schutz von Informationen vorschreiben Branchen- und Informationssicherheitsstandards Relevanter Standard (falls zutreffend) Sarbanes- Oxley (SOX) Branchenspezifischer Datenschutz 1 COBIT NIST SP für HIPAA, FFIEC für GLBA Federal Information Security Management Act (FISMA) NIST SP 800 (bes. SP ) Globaler Datenschutz² ISO 17799/ CFR Part 11 (FDA)/ Annex 11 (EU) ISO 17799/ Payment Card Industry Data Security Standard (PCI DSS) Internationale Organisation für Normung: Code of Practice for Information Security Management (ISO 17799/27001) Standards für Cyber Security der North American Electric Reliability Council (NERC) Sonderausgaben des National Institute of Science and Technology, 800-er Serie (z.b , 61, 66 & 92) IT-Handbuch zur Informationssicherheit des Federal Financial Institutions Examination Council (FFIEC) Control Objectives for Information Technology (COBIT) Geschützte Informatio nen Finanz-systeme und Informatio - nen zur Erstellung von Finanz - berichten Z.B. geschützte Patienten - daten, persönliche Finanzdaten von Kunden Informationen auf Bundesebene Persönliche Informatio - nen Elektronische Daten für die Entwicklung und Herstellung von Medika - menten Informationen von Karten - inhabern UNT Kritische digitale Assets3, die die Zuver - lässigkeit von elektrischen Hauptsystemen steuern oder diese beeinflussen könn ten UNT UNT UNT Anforderung was wird protokolliert? (Beispiele) Individueller Benutzerzugriff auf geschützte Informationen Administrative Vorgänge und Verwendung von Zugriffsrechten Ungültige Zu - griffsversuche k.a. Angebracht 4 Angebracht 5 Angebracht 6 E 7 E E E E E Angebracht 8 k.a. k.a. k.a. k.a. k.a. E E E k.a. E k.a. k.a. Angebracht 9 k.a. k.a. k.a. E E E k.a. E k.a. k.a. k.a. k.a. k.a. k.a. Sicherheitser - E E E E E Angebracht11 System 10 eignisse im Zugriff auf Audit Trails k.a. k.a. k.a. k.a. k.a. E E k.a. E E k.a. Prüfung von Protokollen in bestimmten Zeitabständen k.a. HIPAA erfordert die regelmäßige Prüfung von Audit-Protokollen k.a. k.a. k.a. Tägliche Prüfung von Protokollen und 24/7- Überwachung nicht autori - sierter Zugriffs - versuche Regelmäßige Prüfungen; mehr für Benutzer - zugriffsrechte Protokollprüfung mind. Alle 90 Tage und 24/7- Überwachung nicht autorisierter Zugriffs - versuche Regelmäßige Prüfung von Audit-Protokollen erforderlich; für HIPAA, erfor - dert die Proto - kollprüfung zweimal pro Woche Regelmäßige u. rechtzeitige Prüfung erforderlich, z.b. tägliche Prü - fung eini ger Protokolle und Echtzeit-Überwachung ande - rer Protokolle k.a. Zusammenführun g von Protokollen, Zuordnung und Automatisierung von Audit-Proto - kollen Sicherheit und Schutz für pro - tokollierte Daten Zeitstempel bzw. Synchroni - sierung k.a. k.a. k.a. k.a. k.a. EMPF. EMPF. EMPF. EMPF. EMPF. EMPF. k.a. k.a. k.a. k.a. k.a. E E k.a. E E k.a. k.a. k.a. k.a. k.a. E E E E E E k.a. Legende k.a. = keine Angabe E = Erforderlich UNT = unternehmensdefiniert EMPF. = empfohlen Fortsetzung 14 RSA White Paper

17 Aufbewahrung Angegebene Mindestdauer k.a. k.a. k.a. k.a. k.a. Mind. 1 Jahr UNT Mind. 90 Tage UNT UNT UNT Benötigte Aufbewahrungs - dauer, um Audit-Zyklus zu entsprechen (unabhängige Bewertung) 1 Jahr: Jährliche Bewertung interner Kontrollen 1 Jahr: Regelmäßige Sicherheitsprüfung vor - geschrieben: üblicher Zyklus beträgt ein Jahr 12 1 Jahr: Jährliche Auswertung von Sicher - heitsmaß - nahmen erforderlich 1-3 Jahre: Audits oder Bewertungen alle ein bis drei Jahre erforderlich 13 Variiert: Unterliegt regelmäßiger Prüfung durch Regu - lierungs - behörde 1 Jahr: Jährliche Eigenbewer - tung oder Vor-Ort-Audit k.a. 1 Jahr: Zeit - rahmen für Compliance- Prüfung beträgt 1 Jahr; Nicht-Vorhandensein von Lücken in Pro - tokollen muss über ein Jahr nachweisbar sein k.a. Auf Basis der Risikoanalyse: Vierteljähr - liche interne Audits und jährliche unabhängige Audits empfohlen Ausreichende Aufbewahrung erforderlich 14 Langfristige Aufbewahrung von Daten - sätzen, die Audit-Proto - kolle enthalten könnten 7 Jahre 15 6 Jahre für HIPAA; k.a. für GLBA 16 k.a. k.a. Abhängig von besonderen Regeln zur Aufbewahrung betroffener elektronischer Datensätze; können viele Jahre sein 17 Keine Angabe, obwohl erforderliche Aufbewah - rungsdauer mindestens 1 Jahr beträgt k.a. Audit-Auf - zeich nungen müssen für 3 Jahre aufbewahrt werden Bestimmte Protokolle sollten für 3 Jahre aufbewahrt werden k.a. k.a. Hinweise zur Tabelle in Anhang 2 01 z.b. der Health Insurance Portability and Accountability Act (HIPAA) und der Gramm-Leach-Bliley Act (GLBA) 02 z.b. die EU-Datenschutzrichtlinie (EU DPD), der Japan Personal Information Protection Act (PIPA) und der Canada Personal Information Protection and Electronic Documents Act (PIPEDA) 03 Computer, Software und Kommunikationsnetzwerke 04 Die Art der zu sammelnden Audit-Protokolle ist nicht angegeben, aber die Protokollierung des persönlichen Zugriffs auf Daten wird sowohl im HIPAA als auch im GLBA auf Basis der Anforderungen für die Zugriffssteuerung vorgeschrieben, die individuelle Benutzer und Audit-Kontrollen identifiziert, um die Systemaktivität zu überwachen und zu prüfen, z.b. Zugriffsberichte. 05 FISMA gibt die Art der zu sammelnden Audit-Protokolle nicht an, berücksichtigt jedoch die Protokollierung des individuellen Zugriffs auf Daten, da diese Daten allgemein vor unbefugtem Zugriff geschützt werden müssen, und zwar mithilfe von geeigneten Informationssicherheitsstufen. Es ist schwierig bis unmöglich, Daten vor unbefugtem Zugriff zu schützen, es sei denn, die Zugriffe auf diese Informationen werden protokolliert. 06 Obwohl globale Datenschutzbestimmungen die Art der zu sammelnden Audit-Protokolle nicht angeben, berücksichtigen alle Bestimmungen jedoch die Protokollierung des individuellen Zugriffs auf Daten, da diese Daten allgemein durch vernünftige und geeignete Maßnahmen vor unbefugtem Zugriff geschützt werden müssen. Es ist schwierig bis unmöglich, Daten vor unbefugtem Zugriff zu schützen, es sei denn, die Zugriffe auf diese Informationen werden protokolliert. 07 Part 11 fordert den eingeschränkten Systemzugriff für einzelne, autorisierte Benutzer und die Verwendung sicherer, computergenerierter Audit-Trails mit Zeitstempel, um Datum und Zeitpunkt von Benutzereinträgen sowie Vorgänge, die elektronische Datensätze erstellen, ändern oder löschen, separat aufzuzeichnen. 08 COBIT schreibt die Protokollierung des individuellen Benutzerzugriffs auf Daten nicht vor, erfordert jedoch Kontrollen zur eindeutigen Benutzerauthentifizierung und die Protokollierung von Sicherheitsaktivitäten auf System-, Anwendungs- und Datenbankebene. 09 Verfahren für die Überwachung von Anmeldeversuchen und Benachrichtigungen über Abweichungen sind eine adressierbare Implementierungsspezifikation unter HIPAA. 10 Kann verschiedene Protokolle von Sicherheitssystemen enthalten, z.b. Anti-Malware, Firewalls, Systeme zur Erkennung und Verhinderung von unerwünschtem Eindringen, Virtual Private Networks, Software zur Verwaltung von Schwachstellen und Authentifizierungsserver. 11 COBIT erfordert das Vorhandensein und die Verwendung geeigneter Sicherheitsmaßnahmen, darunter Firewalls, Systeme zur Erkennung von Eindringlingen und die Bewertung von Schwachstellen, um den unerlaubten Zugriff über öffentliche Netzwerke zu verhindern. 12 Die meisten Unternehmen führen eine jährliche Prüfung der Sicherheitsmaßnahmen durch (gemäß GLBA muss der Vorstand einmal pro Jahr die Sicherheit prüfen). 13 Der Prozess der EU-Datenschutzrichtlinie Safe Harbor schreibt jährliche Audits vor; der gültige Standard ist ISO 17799/27001 und erfordert nach der ersten Zertifizierung alle drei Jahre eine erneute Zertifizierung. 14 Gemäß COBIT müssen Daten zu Systemereignissen ausreichend lange aufbewahrt werden, um chronologische Informationen liefern zu können und anhand von Protokollen die Prüfung und Rekonstruktion der Datenverarbeitung zu ermöglichen. 15 SOX schreibt vor, Dokumente und Kommunikationsdaten in Bezug auf ein Audit für sieben Jahre aufzubewahren; die Aufbewahrungsdauer von Protokollen wird nicht erwähnt. Unternehmen bewahren jedoch bestimmte Protokolle meist langfristig auf, z.b. solche, die in direktem Zusammenhang mit dem Nachweis der Integrität von Finanzberichten stehen (z.b. Zugriffsprotokolle für wichtige Finanzanwendungen). 16 HIPAA erfordert die Aufbewahrung von Dokumenten zu Richtlinien, Verfahren, Vorgängen, Aktivitäten oder Bewertungen über sechs Jahre, beinhaltet aber keine Angaben zur Aufbewahrungsdauer von Protokollen; Unternehmen bewahren jedoch bestimmte Protokolle meist langfristig auf, z.b. Informationen über den Zugriff auf Patientendaten (z.b. Zugriffsprotokolle für Patientenakten). 17 Part 11 zufolge muss die Dokumentation von Audit-Trails mindestens so lange aufbewahrt werden wie die betroffenen elektronischen Datensätze. Sie müssen Behörden zur Prüfung und Kopie zur Verfügung stehen. RSA und RSA Security sind eingetragene Warenzeichen von RSA Security Inc. in den Vereinigten Staaten oder anderen Ländern. EMC, Celerra, Clariion, Symmetrix und Centera sind Warenzeichen oder eingetragene Warenzeichen der EMC Corporation. Alle weiteren hier angeführten Produkte und Services sind Warenzeichen ihrer jeweiligen Inhaber RSA Security Inc. Alle Rechte vorbehalten. LMBP WP 0707 RSA White Paper 15

Account Information Security Programme - Allgemeine Informationen -

Account Information Security Programme - Allgemeine Informationen - Account Information Security Programme - Allgemeine Informationen - Neue Sicherheitsstandards für die Aufbewahrung und Weiterverarbeitung sensibler Karteninhaberdaten Kreditkartenzahlungen erfreuen sich

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich

Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Seit Microsoft Exchange Server 2010 bieten sich für Unternehmen gleich zwei mögliche Szenarien an, um eine rechtskonforme Archivierung

Mehr

INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN

INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN EINFÜHRUNG KURZE EINFÜHRUNG IN DIE ERSTELLUNG UND VERWALTUNG VON

Mehr

Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn Sie einen

Mehr

PARNDORF DESIGNER OUTLET Arbeits- und Gesundheitsschutz-Strategie Verbesserung des Kundenerlebnisses. Version 3 2012-2013

PARNDORF DESIGNER OUTLET Arbeits- und Gesundheitsschutz-Strategie Verbesserung des Kundenerlebnisses. Version 3 2012-2013 PARNDORF DESIGNER OUTLET Arbeits- und Gesundheitsschutz-Strategie Verbesserung des Kundenerlebnisses Version 3 2012-2013 Erklärung des Vorstands Die Herausforderung ist es, eine langfristige und nachhaltige

Mehr

Bestimmungen zur Kontrolle externer Lieferanten. Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko

Bestimmungen zur Kontrolle externer Lieferanten. Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko 1. Ressourcenschutz und Systemkonfiguration 2. Änderungs- und Patchmanagement Die

Mehr

StorageCraft ImageManager ist eine voll ausgereifte Ergänzung zu

StorageCraft ImageManager ist eine voll ausgereifte Ergänzung zu Produktszenarien Was kann das Produkt für Sie tun? ist eine voll ausgereifte Ergänzung zu StorageCraft ShadowProtect, mit deren Hilfe Sie von einer einfachen Backup- und Wiederherstellungslösung zu einer

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet

PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet Dr.-Ing. Patrick Theobald, usd.de ag 2. Darmstädter Informationsrechtstag 23. Juni 2006 Vorstellung Dr.-Ing. Patrick Theobald Vorstand usd.de

Mehr

Überwachung und Überprüfung privilegierter Benutzer mit IBM Tivoli Compliance Insight Manager

Überwachung und Überprüfung privilegierter Benutzer mit IBM Tivoli Compliance Insight Manager Lösungen für Security Information and Event Management Zur Unterstützung Ihrer Geschäftsziele Überwachung und Überprüfung privilegierter Benutzer mit IBM Tivoli Compliance Insight Manager Unbefugte Aktivitäten

Mehr

I. Für Benutzer mit Wohnsitz in den Vereinigten Staaten von Amerika gelten die Bestimmungen dieses Absatzes I:

I. Für Benutzer mit Wohnsitz in den Vereinigten Staaten von Amerika gelten die Bestimmungen dieses Absatzes I: Datenschutz- und Sicherheitsrichtlinien Schutz und Sicherheit von personen- und gesundheitsbezogenen Daten haben für Outcome Sciences, Inc. d/b/a Outcome ( Outcome ) höchste Priorität. Outcome behandelt

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

EIN INTEGRIERTER ANSATZ FÜR GOVERNANCE, RISIKOMANAGEMENT UND COMPLIANCE. von Maja Pavlek

EIN INTEGRIERTER ANSATZ FÜR GOVERNANCE, RISIKOMANAGEMENT UND COMPLIANCE. von Maja Pavlek EIN INTEGRIERTER ANSATZ FÜR GOVERNANCE, RISIKOMANAGEMENT UND COMPLIANCE von Maja Pavlek 1 GOVERNANCE, RISIKOMANAGEMENT UND COMPLIANCE EIN INTEGRIERTER ANSATZ Die TIBERIUM AG ist ein Beratungsunternehmen,

Mehr

PRIVILEGED ACCOUNT SECURITY EIN LEITFADEN FÜR DIE ERFOLGREICHE IMPLEMENTIERUNG

PRIVILEGED ACCOUNT SECURITY EIN LEITFADEN FÜR DIE ERFOLGREICHE IMPLEMENTIERUNG PRIVILEGED ACCOUNT SECURITY EIN LEITFADEN FÜR DIE ERFOLGREICHE IMPLEMENTIERUNG Inhalt Privilegierte Benutzerkonten im Überblick...3 Arten von privilegierten Konten...3 Schutz von privilegierten Accounts...4

Mehr

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione Compliance-Reglement 1. Grundsätze und Ziele Compliance ist die Summe aller Strukturen und Prozesse, die sicherstellen, dass und ihre Vertreter/Vertreterinnen alle relevanten Gesetze, Vorschriften, Codes

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

Ihre Informationen in guten. Bedarfsgerechte Lösungen für Ihr Informationsmanagement

Ihre Informationen in guten. Bedarfsgerechte Lösungen für Ihr Informationsmanagement Ihre Informationen in guten Händen. Mit Sicherheit. 4444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444 Bedarfsgerechte Lösungen für Ihr Informationsmanagement

Mehr

Software EMEA Performance Tour 2013. Berlin, Germany 17-19 June

Software EMEA Performance Tour 2013. Berlin, Germany 17-19 June Software EMEA Performance Tour 2013 Berlin, Germany 17-19 June Change & Config Management in der Praxis Daniel Barbi, Solution Architect 18.06.2013 Einführung Einführung Wer bin ich? Daniel Barbi Seit

Mehr

Rechtssichere E-Mail-Archivierung

Rechtssichere E-Mail-Archivierung Rechtssichere E-Mail-Archivierung Rechtliche Sicherheit für Ihr Unternehmen Geltende rechtliche Anforderungen zwingen Unternehmen in Deutschland, Österreich und der Schweiz, E-Mails über viele Jahre hinweg

Mehr

c o m p e t e n c e : d a t a m a n a g e m e n t

c o m p e t e n c e : d a t a m a n a g e m e n t c o m p e t e n c e : d a t a m a n a g e m e n t ... alle Daten sind gesichert, aber nur einen Klick entfernt. Sie haben nie mehr Sorgen wegen eines Backups. Ihre Daten sind auch bei einem Hardware-Ausfall

Mehr

Rechtssichere E-Mail-Archivierung

Rechtssichere E-Mail-Archivierung Rechtssichere E-Mail-Archivierung Einfach und sicher als Managed Service Vorteile für Ihr Unternehmen Rechtliche Sicherheit Geltende rechtliche Anforderungen zwingen jedes Unternehmen, E-Mails über viele

Mehr

Rechtssichere E-Mail-Archivierung. Jetzt einfach und sicher als Managed Service nutzen

Rechtssichere E-Mail-Archivierung. Jetzt einfach und sicher als Managed Service nutzen Rechtssichere E-Mail-Archivierung Jetzt einfach und sicher als Managed Service nutzen Rechtliche Sicherheit für Ihr Unternehmen Absolute Sicherheit und Vertraulichkeit Geltende rechtliche Anforderungen

Mehr

Terabytes von Daten effizient verwalten mit intelligenten Archivierungslösungen. SER Storage Technology GmbH, Neustadt/Wied

Terabytes von Daten effizient verwalten mit intelligenten Archivierungslösungen. SER Storage Technology GmbH, Neustadt/Wied Terabytes von Daten effizient verwalten mit intelligenten Archivierungslösungen T t Wil Torsten Weiler, SER Storage Technology GmbH, Neustadt/Wied Elektronische Archivierung, was ist das eigentlich? Elektronische

Mehr

Risikofragebogen Cyber-Versicherung

Risikofragebogen Cyber-Versicherung - 1 / 5 - Mit diesem Fragebogen möchten wir Sie und / oder Ihre Firma sowie Ihren genauen Tätigkeitsbereich gerne kennenlernen. Aufgrund der von Ihnen gemachten Angaben besteht für keine Partei die Verpflichtung

Mehr

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Helmut Gottschalk. AeroEx 2012 1

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Helmut Gottschalk. AeroEx 2012 1 1 Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik Helmut Gottschalk AeroEx 2012 1 Agenda Definitionen Assessments in der Aviatik Audits in der Aviatik Interne Audits im Risk Management

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Joel Hencks

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Joel Hencks Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik Joel Hencks AeroEx 2012 1 1 Agenda Assessments in der Aviatik Audits in der Aviatik Interne Audits im Risk Management Management System

Mehr

Verfahrensanweisung Umgang mit Beschwerden.doc INHALT

Verfahrensanweisung Umgang mit Beschwerden.doc INHALT INHALT 1 Zweck und Anwendungsbereich 2 2 Begriffe / Definitionen 2 2.1 Definitionen 2 3 Zuständigkeiten 2 4 Verfahrensbeschreibung 3 4.1 Schematische Darstellung Fehler! Textmarke nicht definiert. 4.2

Mehr

IT-Grundschutzhandbuch: Stand Juli 1999 1

IT-Grundschutzhandbuch: Stand Juli 1999 1 1. Information Security Policy 1.1. Einleitung Die Firma/Behörde ist von Informationen abhängig. Informationen entscheiden über unseren Erfolg und den unserer Kunden. Von größter Wichtigkeit ist neben

Mehr

Kapitel 4 Zugriffsbeschränkungen

Kapitel 4 Zugriffsbeschränkungen Kapitel 4 Zugriffsbeschränkungen In diesem Kapitel erfahren Sie, wie Sie Ihr Netzwerk durch Zugriffsbeschränkungen des 54 MBit/s Wireless Router WGR614 v6 schützen können. Diese Funktionen finden Sie im

Mehr

Operational Big Data effektiv nutzen TIBCO LogLogic. Martin Ulmer, Tibco LogLogic Deutschland

Operational Big Data effektiv nutzen TIBCO LogLogic. Martin Ulmer, Tibco LogLogic Deutschland Operational Big Data effektiv nutzen TIBCO LogLogic Martin Ulmer, Tibco LogLogic Deutschland LOGS HINTERLASSEN SPUREN? Wer hat wann was gemacht Halten wir interne und externe IT Richtlinien ein Ist die

Mehr

Avira Server Security Produktupdates. Best Practice

Avira Server Security Produktupdates. Best Practice Avira Server Security Produktupdates Best Practice Inhaltsverzeichnis 1. Was ist Avira Server Security?... 3 2. Wo kann Avira Server Security sonst gefunden werden?... 3 3. Was ist der Unterschied zwischen

Mehr

sedex-client Varianten für den Betrieb in einer hoch verfügbaren

sedex-client Varianten für den Betrieb in einer hoch verfügbaren Département fédéral de l'intérieur DFI Office fédéral de la statistique OFS Division Registres Team sedex 29.07.2014, version 1.0 sedex-client Varianten für den Betrieb in einer hoch verfügbaren Umgebung

Mehr

Auswirkungen der Cloud auf Ihre Organisation So managen Sie erfolgreich den Weg in die Cloud

Auswirkungen der Cloud auf Ihre Organisation So managen Sie erfolgreich den Weg in die Cloud Die Cloud Auswirkungen der Cloud auf Ihre Organisation So managen Sie erfolgreich den Weg in die Cloud Die Auswirkungen und Aspekte von Cloud-Lösungen verstehen Cloud-Lösungen bieten Unternehmen die Möglichkeit,

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

Energieeffiziente IT

Energieeffiziente IT EnergiEEffiziente IT - Dienstleistungen Audit Revision Beratung Wir bieten eine energieeffiziente IT Infrastruktur und die Sicherheit ihrer Daten. Wir unterstützen sie bei der UmsetZUng, der Revision

Mehr

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team Gültigkeitsbereich Verantwortlich Team Zweck AWO RV Halle Merseburg und alle Tochtergesellschaften GF Datenschutzbeauftragter ist Prozessverantwortlich Alle MA sind durchführungsverantwortlich Zweck des

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

Managed File Transfer in der Kunststoffverarbeitenden Industrie

Managed File Transfer in der Kunststoffverarbeitenden Industrie Managed File Transfer in der Kunststoffverarbeitenden Industrie Sichere Alternativen zu FTP, ISDN und E-Mail Verzahnung von Büro- und Produktionsumgebung Verschlüsselter Dateitransfer in der Fertigung

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Neuigkeiten in Outpost Firewall Pro 2008

Neuigkeiten in Outpost Firewall Pro 2008 Outpost Firewall Pro 2008 Neuigkeiten Seite 1 [DE] Neuigkeiten in Outpost Firewall Pro 2008 Der Nachfolger der Outpost Firewall Pro 4.0, die neue Version, enthält eine Reihe innovativer Technologien, um

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

DATENSCHUTZGRUNDSÄTZE DER L'OREAL-GRUPPE

DATENSCHUTZGRUNDSÄTZE DER L'OREAL-GRUPPE DATENSCHUTZGRUNDSÄTZE DER L'OREAL-GRUPPE L Oréal strebt danach, ein exemplarisches bürgernahes Unternehmen zu sein und zur Schaffung einer Welt der Schönheit beizutragen. Wir messen der Ehrlichkeit und

Mehr

Cyber Security Lösungen mit PACiS

Cyber Security Lösungen mit PACiS Cyber Security Lösungen mit PACiS Erhöhte Netzzuverlässigkeit und Gesetzeskonformität durch innovatives Cyber Security Konzept PACiS bietet integrierte Systeme für Schutz, Automatisierung, Überwachung

Mehr

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de RISIKEN MINIMIEREN. SICHERHEIT MAXIMIEREN. CHANCEN OPTIMIEREN. ERHÖHEN SIE DIE SICHERHEIT

Mehr

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Grundlagen des Change Managements Anforderungen und Möglichkeiten für einen sauberen Änderungsprozess Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Hauptrisikofaktoren für IT-Sicherheit Patches

Mehr

SaaS. Geschäftspartnervereinbarung

SaaS. Geschäftspartnervereinbarung SaaS Geschäftspartnervereinbarung Diese Geschäftspartnervereinbarung tritt gemäß den Bedingungen in Abschnitt 5 des Endbenutzerservicevertrags ("EUSA") zwischen dem Kunden ("betroffene Einrichtung") und

Mehr

Dell Data Protection Solutions Datensicherungslösungen von Dell

Dell Data Protection Solutions Datensicherungslösungen von Dell Dell Data Protection Solutions Datensicherungslösungen von Dell André Plagemann SME DACH Region SME Data Protection DACH Region Dell Softwarelösungen Vereinfachung der IT. Minimierung von Risiken. Schnellere

Mehr

Prüfung Netzwerk. Sicherheitslücken im IT-Verbund

Prüfung Netzwerk. Sicherheitslücken im IT-Verbund Prüfung Netzwerk Sicherheitslücken im IT-Verbund Prüfung Netzwerk Netzwerke Router und Switche stellen das Rückgrat jeder Kommunikation in Unternehmen dar. Diese werden bei Prüfungen oft vernachlässigt

Mehr

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

DASSAULT SYSTEMES GROUP DATENSCHUTZRICHTLINIE FÜR BEWERBER

DASSAULT SYSTEMES GROUP DATENSCHUTZRICHTLINIE FÜR BEWERBER DASSAULT SYSTEMES GROUP DATENSCHUTZRICHTLINIE FÜR BEWERBER Bei ihrer Geschäftstätigkeit erheben Dassault Systèmes und seine Tochtergesellschaften (in ihrer Gesamtheit als 3DS bezeichnet) personenbezogene

Mehr

Seite: 1 Revisionssichere Firewalls mit Tufin SecureTrack. NUBIT 2006 Kiel, 17. Februar 2006. Martin Seeger NetUSE AG ms@netuse.de

Seite: 1 Revisionssichere Firewalls mit Tufin SecureTrack. NUBIT 2006 Kiel, 17. Februar 2006. Martin Seeger NetUSE AG ms@netuse.de Seite: 1 mit Tufin SecureTrack NUBIT 2006 Kiel, 17. Februar 2006 Martin Seeger NetUSE AG ms@netuse.de Seite: 2 mit Tufin SecureTrack Agenda Herausforderungen Aufbau und Funktionsweise Versionsstände Vergleiche

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Dokumentenprozesse Optimieren

Dokumentenprozesse Optimieren managed Document Services Prozessoptimierung Dokumentenprozesse Optimieren Ihre Dokumentenprozesse sind Grundlage Ihrer Wettbewerbsfähigkeit MDS Prozessoptimierung von KYOCERA Document Solutions Die Bestandsaufnahme

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen e-netz Südhessen GmbH & Co. KG Dornheimer Weg 24 64293 Darmstadt für das IT System Querverbundleitstelle Darmstadt

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Astaro Mail Archiving Service Version 1.0

Astaro Mail Archiving Service Version 1.0 Astaro Mail Archiving Service Version 1.0 Verfahrensdokumentation Inhaltsverzeichnis 1. Einleitung... 2 2. Übersicht... 2 2.1 Production-Cloud... 3 2.2 Backup-Cloud... 3 2.3 Control-Cloud... 3 2.4 Zugangsschutz...

Mehr

wikima4 mesaforte firefighter for SAP Applications

wikima4 mesaforte firefighter for SAP Applications 1 wikima4 mesaforte firefighter for SAP Applications Zusammenfassung: Effizienz, Sicherheit und Compliance auch bei temporären Berechtigungen Temporäre Berechtigungen in SAP Systemen optimieren die Verfügbarkeit,

Mehr

CA Clarity PPM. Übersicht. Nutzen. agility made possible

CA Clarity PPM. Übersicht. Nutzen. agility made possible PRODUKTBLATT CA Clarity PPM agility made possible CA Clarity Project & Portfolio Management (CA Clarity PPM) unterstützt Sie dabei, Innovationen flexibel zu realisieren, Ihr gesamtes Portfolio bedenkenlos

Mehr

Durchblick im Datendschungel

Durchblick im Datendschungel Juni 2015 Eckdaten der Studie IDC hat 1.011 Mitglieder des oberen Managements und der Geschäftsleitung befragt, die in Organisationen verschiedener Industriezweige mit über 500 Beschäftigten an der Datenarchivierung

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

Endpoint Web Control Übersichtsanleitung. Sophos Web Appliance Sophos Enterprise Console Sophos Endpoint Security and Control

Endpoint Web Control Übersichtsanleitung. Sophos Web Appliance Sophos Enterprise Console Sophos Endpoint Security and Control Endpoint Web Control Übersichtsanleitung Sophos Web Appliance Sophos Enterprise Console Sophos Endpoint Security and Control Stand: Dezember 2011 Inhalt 1 Endpoint Web Control...3 2 Enterprise Console...4

Mehr

WatchGuard s Beitrag zur Anonymisierung des Benutzers und die Datenschutz-Grundverordnung der EU

WatchGuard s Beitrag zur Anonymisierung des Benutzers und die Datenschutz-Grundverordnung der EU WatchGuard s Beitrag zur Anonymisierung des Benutzers und die Datenschutz-Grundverordnung der EU Technische Kurzbeschreibung WatchGuard Technologies, Inc. Veröffentlicht im Mai 2016 Einführung Die Zahl

Mehr

Cloud Computing Leitstand: Risiko- und Sicherheits-Management für virtualisierte IT-Infrastrukturen

Cloud Computing Leitstand: Risiko- und Sicherheits-Management für virtualisierte IT-Infrastrukturen 1 Cloud Computing Leitstand: Risiko- und Sicherheits-Management für virtualisierte IT-Infrastrukturen Führungskräfte Forum Berlin, den 18.10.2011 Thomas Köhler Leiter Public Sector, RSA Thomas.Koehler@rsa.com

Mehr

Was muss ich noch für meine Zertifizierung tun, wenn meine Organisation. organisiert

Was muss ich noch für meine Zertifizierung tun, wenn meine Organisation. organisiert ? organisiert Was muss ich noch für meine Zertifizierung tun, wenn meine Organisation ist? Sie müssen ein QM-System: aufbauen, dokumentieren, verwirklichen, aufrechterhalten und dessen Wirksamkeit ständig

Mehr

Datenschutz- und IT-Sicherheitsaudit

Datenschutz- und IT-Sicherheitsaudit Datenschutz- und IT-Sicherheitsaudit Eine Chance für das Gesundheitswesen 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze Agenda 54. GMDS-Jahrestagung Essen, 2009-09-09 1. 2. M&M a) b) Audit

Mehr

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Freigabedatum: Freigebender: Version: Referenz: Klassifikation: [Freigabedatum] Leitung 1.0 DSMS 01-02-R-01 Inhaltsverzeichnis 1 Ziel...

Mehr

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung 5. November 2012 2012 ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2 Agenda Einführung Konzepte und Prinzipien

Mehr

Eine native 100%ige Cloud-Lösung.

Eine native 100%ige Cloud-Lösung. Eine native 100%ige Cloud-Lösung. Flexibel. Skalierbar. Sicher. Verlässlich. Autotask Endpoint Management bietet Ihnen entscheidende geschäftliche Vorteile. Hier sind fünf davon. Autotask Endpoint Management

Mehr

Datenschutz-Management

Datenschutz-Management Dienstleistungen Datenschutz-Management Datenschutz-Management Auf dem Gebiet des Datenschutzes lauern viele Gefahren, die ein einzelnes Unternehmen oft nur schwer oder erst spät erkennen kann. Deshalb

Mehr

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism INSTITUT FÜR SYSTEM- MANAGEMENT Compliance Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism ism GmbH 2010 Definition: Compliance Compliance die Bedeutung allgemein:

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

Wachsende Anzahl kommunaler Aufgaben Schwindende Finanzspielräume Demografischer Wandel Hohe IT-Ausstattung der Arbeitsplätze > Technische

Wachsende Anzahl kommunaler Aufgaben Schwindende Finanzspielräume Demografischer Wandel Hohe IT-Ausstattung der Arbeitsplätze > Technische Wachsende Anzahl kommunaler Aufgaben Schwindende Finanzspielräume Demografischer Wandel Hohe IT-Ausstattung der Arbeitsplätze > Technische Komplexität steigt > Wachsende Abhängigkeit von der IT Steigende

Mehr

Effizientes Sicherheits-Management von Endbenutzergeräten

Effizientes Sicherheits-Management von Endbenutzergeräten Effizientes Sicherheits-Management von Endbenutzergeräten Kammerstetter Bernhard Client Technical Professional IBM Tivoli http://www-01.ibm.com/software/tivoli/solutions/endpoint/ Bernhard_Kammerstetter@at.ibm.com

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

Bring Your Own Device

Bring Your Own Device Bring Your Own Device Was Sie über die Sicherung mobiler Geräte wissen sollten Roman Schlenker Senior Sales Engineer 1 Alles Arbeit, kein Spiel Smartphones & Tablets erweitern einen Arbeitstag um bis zu

Mehr

DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN

DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN THEGUARD! SMARTCHANGE CHANGE PROCESS DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN THEGUARD! SMARTCHANGE I CHANGE PROCESS

Mehr

Bei der Übertragung eines 3D-Modells zwischen zwei CAD-Anwendungen verlieren Sie Stunden oder sogar Tage beim Versuch, saubere Geometrie zu erhalten

Bei der Übertragung eines 3D-Modells zwischen zwei CAD-Anwendungen verlieren Sie Stunden oder sogar Tage beim Versuch, saubere Geometrie zu erhalten Bei der Übertragung eines 3D-Modells zwischen zwei CAD-Anwendungen verlieren Sie Stunden oder sogar Tage beim Versuch, saubere Geometrie zu erhalten und einfachste Änderungen vorzunehmen. An der Arbeit

Mehr

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de Security Excellence Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH

Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH Version 1.1 2012-07-11 Personenbezogene Daten Die Flughafen Berlin Brandenburg GmbH im Folgenden FBB genannt erhebt, verarbeitet,

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

MEHRWERK. Archivierung

MEHRWERK. Archivierung MEHRWERK ierung Warum Langzeitarchivierung? Seitdem die gesetzlichen Anforderungen an die elektronische Speicherung von Informationen unter anderem in den Grundsätzen zum Datenzugriff und zur Prüfbarkeit

Mehr

Information Lifecycle Management (ILM) - neue Speicherkonzepte für die digitale Archivierung. Dr. Bernhard Wentz

Information Lifecycle Management (ILM) - neue Speicherkonzepte für die digitale Archivierung. Dr. Bernhard Wentz Information Lifecycle Management (ILM) - neue Speicherkonzepte für die digitale Archivierung Einleitung und Motivation Medizinische IT-Anwendungssysteme komplexe hoch funktionale Systeme Basisfunktionen

Mehr

Endpoint Web Control Übersichtsanleitung

Endpoint Web Control Übersichtsanleitung Endpoint Web Control Übersichtsanleitung Sophos Web Appliance Sophos UTM (Version 9.2 oder höher) Sophos Enterprise Console Sophos Endpoint Security and Control Stand: Dezember 2013 Inhalt 1 Endpoint Web

Mehr

Jump Project. Softwarelösungen für professionelles Projektmanagement

Jump Project. Softwarelösungen für professionelles Projektmanagement Jump Project Softwarelösungen für professionelles Projektmanagement Jump Project Office Übersichtliche Dokumentenstruktur und schneller Zugriff auf alle wichtigen Funktionen. Steuern Sie Ihre Projekte

Mehr