Sicheres Bereitstellen von Web-Angeboten

Größe: px
Ab Seite anzeigen:

Download "Sicheres Bereitstellen von Web-Angeboten"

Transkript

1 Sicheres Bereitstellen von Web-Angeboten Joachim Astel Vorstand noris network AG Security Angels Nürnberg Freiraum schaffen für Innovation, Kreativität, Produktivität 1

2 noris network wurde 1993 gegründet, ist eigenfinanziert, inhabergeführt und hat seinen Hauptsitz in Nürnberg mit 140 festen Mitarbeitern. noris network Nürnberg Thomas-Mann-Straße

3 Zur Person Joachim Astel Vorstand der noris network AG Mitbegründer des Unternehmens im Jahr war das Jahr der Veröffentlichung des ersten Internet-Browsers Mosaic, welcher Text und Grafik einer HTML-Seite integriert darstellen konnte. Experte und strategischer Berater in den Bereichen IT-Sicherheit + Internet 3

4 Abgleich der Anforderungen Der Provider (Outsourcing-Nehmer) zeigt im Rahmen der ISO/IEC seine Kern-Prozesse in der Abwicklung seiner angebotenen Services auf. Business-Anforderungen (Applikationsbetrieb einer Lösung, Kapazitäten) Compliance-Anforderungen (BDSG, Security, branchenspezifische Anforderungen) Service-Level-Agreements (SLAs) Betriebszeiten (24 x 7 x 365), Verfügbarkeiten (Wiederherstellungszeiten), Testing-Verfahren (Backup-/Restore-Tests etc.) 4

5 Compliance-Vorgaben der Kunden Spezifische Gesetze in Deutschland: 93 Abs. 2 S. 2 AktG, 43 GmbH-Gesetz KontraG - Gesetz zur Kontrolle und Transparenz im Unternehmensbereich spezifische Wirtschaftsprüferstandards in Deutschland: IDW (*) IDW PS 331 Auslagerung der Rechnungslegung auf Dienstleistungsunternehmen IDW PS 951 Die Prüfung des internen Kontrollsystems beim Dienstleistungsunternehmen für auf das Dienstleistungsunternehmen ausgelagerte Funktionen Internationale Wirtschaftsprüferstandards: Sarbanes Oaxley Act (SOX) - ISAE 3402 bzw. SSAE 16 (betrifft börsennotierte US-Unternehmen) Weitere spezifische Gesetze in Deutschland: Bundesdatenschutzgesetz (BDSG), kontrolliert durch die Landesdatenschutzaufsicht (siehe Folgeseite) Spezifische Compliance-Vorgaben der Auftraggeber: Verpflichtung auf das Datengeheimnis gemäß Bundesdatenschutzgesetz (BDSG) 5 aller Mitarbeiter und ggf. Unterauftragnehmer Selbiges für die kundenspezifischen Compliance-Maßgaben, wie etwa: Öffentlicher Bereich: Verpflichtungsgesetz Post-Dienstleister: Postgesetz (PostG) Finanzwirtschaft (Banken/Versicherungen): MaRisk durch BaFIN (Mindestanforderungen an das Risikomanagement) Bankgeheimnis, WPHG (*) vgl. Wikipedia: Liste der IDW-Prüfungsstandards 5

6 Compliancevorgaben von staatl. Seite Datenschutz und Datensicherheit: Im Fachjargon bedeuten die beiden Begriffe folgendes: Datenschutz umfasst den Schutz des Individuums vor übermäßiger Verarbeitung seiner Daten. (z. B. richtiges Verhalten im Internet) Datensicherheit bezeichnet den Schutz von Daten bei deren Verarbeitung, Übermittlung und Speicherung. (z. B. sichere Passwörter, nur gesicherte Übermittlung vertraulicher Daten) Sicherheit (Security) Verfügbarkeit (Availability) Integrität (Integrity) 6

7 Compliancevorgaben von staatl. Seite Bundesdatenschutzgesetz (BDSG), Landesdatenschutzgesetz Bayern (LDSG-BY) Bayerisches Landesamt für Datenschutzaufsicht: Impressumspflicht / Anbieterkennzeichnung auf der Webseite Datenschutzerklärung auf der Webseite Öffentliches Verfahrensverzeichnis (övv) Vereinbarungen mit Lieferanten gemäß Auftragsdatenverarbeitung (BDSG 11) 7

8 8

9 Compliancevorgaben von PCI DSS PCI DSS = Payment Card Industry Data Security Standard PCI DSS Vorgabe der Kreditkartenorganisationen bei Zahlungsverkehr mit Kreditkartentransaktionen 12 Anforderungen an die Rechnernetze der Unternehmen (*): Installation und Pflege einer Firewall zum Schutz der Daten Ändern von Kennwörtern und anderen Sicherheitseinstellungen nach der Werksauslieferung Schutz der gespeicherten Daten von Kreditkarteninhabern Verschlüsselte Übertragung sensibler Daten von Kreditkarteninhabern in öffentlichen Rechnernetzen Einsatz und regelmäßiges Update von Virenschutzprogrammen Entwicklung und Pflege sicherer Systeme und Anwendungen Einschränken von Datenzugriffen auf das Notwendige Zuteilen einer eindeutigen Benutzerkennung für jede Person mit Rechnerzugang Beschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern Regelmäßige Prüfungen aller Sicherheitssysteme und -prozesse Einführen und Einhalten von Richtlinien in Bezug auf Informationssicherheit (*) aus Wikipedia, Suchbegriff: PCI DSS 9

10 Thema: Normen IT-Grundschutzkataloge Bundesamt für Sicherheit in der Informationstechnik ISO/IEC 27001, ISO/IEC (Controls A.5 A.18 und Konkretisierungen) ISIS12 Katalog 10

11 BSI Grundschutzkataloge 4883 Seiten: Sehr umfassende Zusammenstellung von Best Practice und Checklisten für einen gesunden IT-Grundschutz. Sehr gut geeignet als IT-Security-Nachschlagewerk, zum Vertiefen technischer Schwerpunkte. Teilweise nicht ganz aktuell: Beispiel: Client unter Windows 7 (Stand: Ende 2014) (wird kostenlos auf bereitgestellt) 11

12 Aufbau der Norm ISO/IEC Introduction 1 Scope 2 Normative references 3 Terms and definitions 4 Context of the organization 4.1 Understanding the organization and its context 4.2 Understanding the needs and expectations of interested parties 4.3 Determining the scope of the information security management system 4.4 Information security management system 5 Leadership 5.1 Leadership and commitment 5.2 Policy 5.3 Organizational roles, responsibilities and authorities 6 Planning 6.1 Actions to address risks and opportunities 6.2 Information security objectives and planning to achieve them 7 Support 7.1 Resources 7.2 Competence 7.3 Awareness 7.4 Communication 7.5 Documented information 8 Operation 8.1 Operational planning and control 8.2 Information security risk assessment 8.3 Information security risk treatment 9 Performance evaluation 9.1 Monitoring, measurement, analysis and evaluation 9.2 Internal audit 9.3 Management review 10 Improvement 10.1 Nonconformity and corrective action 10.2 Continual improvement Anhang A - siehe Folgeseite Eine deutsche Übersetzung der aktuellen ISO/IEC Norm wurde im Frühjahr von DIN herausgebracht und heißt DIN ISO/IEC 27001: zu bestellen für 99,80 bzw. 124,80 EUR beim Beuth-Verlag Interessante Informationsquelle zum Thema ISO 27001: Dejan Kosutic in seinem Blog (engl.) 12 Insgesamt 23 Seiten, Schwerpunkt: 13 Seiten Anhang A (Annex A)

13 13 ISO/IEC 27001, Anhang A im Detail: 14 Control Clauses, 35 Security Categories, 114 Controls ISO/IEC mit 80 Seiten greift genau diese 114 Controls im Detail auf.

14 ISIS12 ISIS12 = Informations-Sicherheitsmanagement System in 12 Schritten Das IT-Security-Vorgehensmodell in 12 Kapiteln wurde entwickelt und herausgegeben vom "Netzwerk für Informationssicherheit im Mittelstand (NIM) mit den Mitgliedern Bayerischer IT-Sicherheitscluster, Universität und Hochschule Regensburg. Es handelt sich um ein Vorgehensmodell, das ein Informationssicherheits- Managementsystem beschreibt. Das Verfahren kann als mögliche Vorstufe zur ISO/IEC bzw. BSI IT- Grundschutz-Zertifizierung verwendet werden. Die Kosten für die ISIS12 Unterlagen liegen bei: 150 EUR + 28,50 MWST = 178,50 EUR Die Einführung erfolgt durch speziell ausgebildete ISIS12-Dienstleister externe Unterstützung. Leitlinie erstellen Mitarbeiter sensibilisieren Informationssicherheitsteam aufbauen IT-Dokumentationsstruktur festlegen IT-Servicemanagement-Prozess einführen Kritische Applikationen identifizieren IT-Struktur analysieren Sicherheitsmaßnahmen modellieren Ist-Soll vergleichen Umsetzung planen Umsetzen Revision (aus Wikipedia - https://de.wikipedia.org/wiki/isis12) 14

15 Compliance-Vorgaben Spezifische Gesetze in Deutschland: 93 Abs. 2 S. 2 AktG, 43 GmbH-Gesetz KontraG - Gesetz zur Kontrolle und Transparenz im Unternehmensbereich Weitere spezifische Gesetze in Deutschland: Bundesdatenschutzgesetz (BDSG), kontrolliert durch die Landesdatenschutzaufsicht (siehe Folgeseite) Spezifische Compliance-Vorgaben der Auftraggeber: Verpflichtung auf das Datengeheimnis gemäß Bundesdatenschutzgesetz (BDSG) 5 aller Mitarbeiter und ggf. Unterauftragnehmer Selbiges für die kundenspezifischen Compliance-Maßgaben, wie etwa: Öffentlicher Bereich: Verpflichtungsgesetz Post-Dienstleister: Postgesetz (PostG) Finanzwirtschaft (Banken/Versicherungen): MaRisk durch BaFIN (Mindestanforderungen an das Risikomanagement) Bankgeheimnis, WPHG Wer kümmert sich darum? Der Geschäftsführer ist in der Verantwortung Die Verantwortung verbleibt beim Geschäftsführer bzw. bei den Geschäftsführern, auch wenn das Thema delegiert oder outgesourct wurde. 15

16 Thema: Sicherheitsleitlinie Sicherheitsleitlinie, -ziele und strategie Geltungsbereich Stellenwert der Informationssicherheit Unternehmensspezifische Sicherheitsziele Leitaussagen zur Durchsetzung und Erfolg Revision 17

17 physikalische Sicherheit Wichtige Anforderungen zur physikalischen Sicherheit (= Sicherheit umfasst auch das Thema Verfügbarkeit) Perimeterschutz (fensterloser Serverraum, unabhängig von äußeren Einflüssen) hohe Verfügbarkeit für die Stromversorgung (USV) hohe Verfügbarkeit für die Klimatisierung hohe Verfügbarkeit für die Netzwerkanbindung Klare Maßgaben an den Rechenzentrumsbetreiber (BSI Grundschutzkataloge Baustein Rechenzentrum ) 18 in Bildern - abschreckende Negativbeispiele:

18 Firewall als Perimeterschutz Zuverlässiger Schutz vor Viren Spam SaaS Collaboration Social Media Personal Hacker-Angriffen 20

19 WAF als erweiterter Perimeterschutz WAF = Web Application Firewall Filtert auf Applikationsebene vor bekannten Gefahren: - Cross-Site-Scripting (XSS) - SQL Injection - Buffer Overflow Attacks - uvm. Einstiegs-WAF: Apache-Modul mod_security Kann oftmals URLs und Cookies umwandeln, so dass die internen URLs bzw. Cookies nach außen hin nicht bekannt werden (Verschleierung, damit wird eine echte Hackerattacke erschwert). Kommerzielle WAFs bieten häufig einen Learning-Mode, der bekanntes Nutzerverhalten als gut klassifiziert, und bei Scharfschalten der WAF anderes Verhalten abweist. 21

20 Sicherheit in der Software-Entwicklung OWASP = Open Web Application Security Project (*) OWASP ist eine Non-Profit-Organisation mit dem Ziel, die Sicherheit von Anwendungen und Diensten im World Wide Web zu verbessern. Folgende Dokumentationsprojekte unterhält OWASP: OWASP Application Security Verification Standard (ASVS) - Standard zur Durchführung von Sicherheitsverifizierungen auf Applikationsebene) The Guide Dieses Dokument beinhaltet detaillierte Handlungsempfehlungen zur Web-Applikationssicherheit. Top Ten Most * DotNet eine Vielzahl von Werkzeugen, um Dot-Net-Umgebungen abzusichern. Enigform eine Zusammenstellung aus beispielhaften endgerät- und serverseitigen Anwendungen mit OpenPGP-Funktionen (u. a. Verschlüsselung, Signierung) im HTTP zu realisieren. ESAPI OWASP Enterprise Security API (ESAPI) Project eine freie und offene Sammlung von Methoden, die benötigt werden, um sichere Webapplikationen zu erstellen. AntiSamy ein Werkzeug zur Validierung von Eingaben im Web und Enkodierung des Ergebnisses. XSSer ein automatisches System zum Erkennen, Ausnutzen und Melden von Cross-Site-Scripting-Schwachstellen in Webapplikationen. Webgoat eine absichtlich unsichere Webanwendung, hergestellt von OWASP als eine Anleitung für sichere Programmiermethoden. WebScarab ein http- und https-proxyserver, der genutzt werden kann, um Inhalte von Datenpaketen zu ändern, zu prüfen und die Übertragung zu unterbrechen. Dies bietet dem Anwender ein besseres Verständnis dafür, welche Informationen vom Webserver übermittelt werden, und kann genutzt werden, um mögliche Verwundbarkeiten aufzudecken. OWASP Mantra Security Framework eine Sammlung von Hacker-Werkzeugen, Erweiterungen und Skripten, basierend auf Mozilla Firefox. ggf. Software-Audit von einem OWASP-Mitglied durchführen lassen und für Kunden bereithalten. (*) Wikipedia: https://de.wikipedia.org/wiki/open_web_application_security_project 22

21 ISO/IEC 27005: Der Risiko-Management-Prozess I Risikobewertung Risikoanalyse (Identifikation von assets, threats & vulnerabilities ) Risikobehandlungsplan 23

22 Thema: kritische Anwendungen Identifikation kritischer Anwendungen - -Server - ecommerce-shop und kritischer Daten - Kundendaten - Software-Quellcode - Warenbestandsdaten 24

23 Thema: Notfallhandbuch Notfall- und Katastrophenfall-Planung Beispiel: Was passiert bei Stromausfall? Ab wann funktioniert der Server wieder? Gibt es ein Backup? Gibt es eine Ersatzlösung? Gibt es ggf. redundante Server? Beispiel: Was passiert bei Ausfall der Telefonanlage? Funktioniert die Telefonanlage bzw. die Telefone bei Stromausfall? erreichen uns die Kunden noch? Welche Ersatzmöglichkeiten gibt es? (Schaltung einer Ansage? Kontaktinfo an die wichtigsten Kunden per /Fax o. ä. weitere oder andere firmenspezifische Maßnahmen Die Auftraggeber möchten häufig ein Gefühl dafür entwickeln, ob man ein Risikogefühl für die typischen IT-Risiken oder Geschäftsrisiken generell im Unternehmen entwickelt hat, und fragen nach einem Notfallhandbuch. 25

24 Datenträgervernichtung Vernichtung defekter Datenträger: Alte oder defekte Massenspeicher werden mittels professioneller, datenschutzkonformer Datenträgerentsorgung vernichtet (z. B. Firma Reisswolf, Firma Recall o. ä.) Bei verschiedenen Hardwarehersteller gibt es die Möglichkeit, gegen geringen Aufpreis die Option behalten Sie Ihre alte Festplatte dazuzubuchen, d. h. eine defekte Festplatte kann selbst vernichtet werden und muss nicht an den Hersteller zurück. Bei Vernichtung muss ein Vernichtungsprotokoll geführt werden. Löschung nicht mehr benötigter Datenträger: Vor der Wiederverwendung alter Systeme werden alle darauf befindlichen Unternehmens-Informationen gelöscht, hierzu gibt es Löschprogramme, die den Datenträger mehrfach mit Zufallszahlen o. ä. überschreiben. Bundesamt für Sicherheit in der Informationstechnik (BSI): So löschen Sie Daten richtig: Bevor Sie Ihren Rechner oder Festplatten an Dritte oder zum Elektroschrottrecycling weitergeben, sollten Sie die Festplatten löschen oder physikalisch vernichten. https://www.bsi-fuer-buerger.de/bsifb/de/meinpc/richtigloeschen/richtigloeschen_node.html 27

25 Vulnerabililty- und Patch-Management Vulnerability- und Patch-Management ist für Cloud-Systeme (bzw. allgemein für Systeme, die aus dem Internet erreichbar sind) besonders wichtig. Versteckte Software-Schwächen werden im Laufe der Jahre von Hackern entdeckt. Diese können gezielt ausgenutzt werden, um Trojaner, andere Malware in das System einzupflanzen und vielfältig zu verwenden (z. B. als Spam-Relay). Relevant ist nicht nur die Basis-Software, sondern auch sämtliche Zusatzmodule (wie Plugins, Libraries, etc.) Plugins, die nicht mehr weiterentwickelt werden, sind eine weitere schlummernde Gefahr. Beispiel: Wordpress alle Wordpress-Module sind relevant. Tipp: Regelmäßiges Patchen der Systeme und Verfolgen einschlägiger Sicherheits-Newsletter (z. B. DFN-CERT, heise.de Security), regelmäßige Security-Scans (z. B. einmal monatlich) sollten obligatorisch sein. 28

26 Segregation of Duties Anforderungen aus ISO/IEC 27001, BDSG u. a.: Segregation of Duties = Gewaltenteilung Aufgabenteilung mit verschiedenen Zugangs-/Zugriffsrechten klassisches Freigabeprinzip im Nicht-IT-Bereich am Beispiel Einkaufsvorgang: Bestellanforderung (zum Einkauf einer Ware) Freigabe durch fachlichen Vorgesetzten Freigabe durch Budget-Vorgesetzten Beispiel bei IT-Sicherheit: z. B. Administrator-Kennwort steht nicht für den Besitzer des Systems zur Verfügung. Dieser darf nur die Applikation bedienen. Der Administrator bedient typischerweise nicht die Applikation. Seine Aufgaben sind Patch-Management, Durchführung von Konfigurationen, u. ä., eben die typischen Administratortätigkeiten 30

27 Zugangs-/Zugriffsberechtigungen Ganz wichtige allgemeine Vorgabe: personenbezogene Logins, Passwörter dürfen nicht weitergegeben werden! (z. B. Urlaubsvertretung: gib mir schnell deinpasswort, dann kann ich Deine Mails im Urlaub lesen, damit keine Kundenanfrage verlorengeht no go aus Datenschutzsicht, macht zudem oftmals schlechten Eindruck) Rollenaccounts (vertrieb, verkauf, einkauf, support, etc.) Ticketsystem (offene Tickets, d. h. zu erledigende Punkte, können von anderen Personen eingesehen werden) Vertreterregelung Regelmäßige Reviews der Benutzerdatenbank: Mitarbeiter ausgeschieden diese Info muss an alle externen Dienstleister weitergegeben werden (mit Bitte zur Austragung der Zugangs-/Zugriffsberechtigungen des Benutzers). Worst-Case-Szenario: Dienstleister macht Lieferantenaudit Benutzerdatenbank auf dem Serversystem enthält veraltete Einträge. großes Probleme aus Datenschutzsicht! Protokollierung (Audit-Trail): Sämtliche Transaktionen im Rahmen der Zugangs-/Zugriffs-Steuerung werden protokolliert. (out of band, d. h. auf einem Dritten, vom potenziellen Angreifer nicht sabotierbares System). Einsatz von Kryptographie: Es sollten nur verschlüsselte Verbindungen verwendet werden, um Authentizität, Integrität und Vertraulichkeit des Kommunikationskanals sicherzustellen. 31

28 Change Management Klare Differenzierung: Standard-Change oder genehmigungspflichtiger Change ggf. Freigabe durch Service-Manager beim Auftraggeber. Change-Verfahren (Beschreibung des Changes) wichtiger Freigabeparameter: Hat der genehmigungspflichtige Change einen Security-Impact? (vgl. Security-Prozess im Rahmen des ISMS nach ISO/IEC 27001) darüberhinaus wichtig: - Priorisierung der Changes - Step-Back-Möglichkeit 32

29 Systemumgebungen Produktionsumgebung QS- Umgebung Entwicklungsumgebung Produktionsumgebung, Testumgebung und Entwicklungsumgebung sind voneinander entkoppelt. Die Testumgebung steht idealerweise als komplette Kopie zur Produktionsumgebung zur Verfügung (inkl. Backendanbindungen etc.) und ist definiert als Qualitätssicherungsumgebung. Keine Echtdaten insbesondere keine personenbezogenen Daten befinden sich auf der Entwicklungsumgebung 33

30 100/1000 Mbit 100/1000 Mbit 100/1000 Mbit Geschäftsprozessmonitoring Überwachung der Systeme / Systemmanagement Terminal Server 1 Application Server Terminal Server 2 Firewall Storage DB-Server 1 Terminal Server 3 Firewall Application Server Storage Terminal Server 4 DB-Server 2 34

31 Security-Awareness Client-Sicherheit: aktueller Virenscan Bildschirmschoner Bring in Your Own Device versus Security (Stichwort: keine private Daten auf Firmengeräten) Social Engineering hat ein hohes Gefährdungspotenzial: - Kunden-USB-Stick mit Virus - Versteckter USB-Stick am PC - WLAN-Basisstation oder WLAN-USB-Stick am Computer ansteckt 35

32 Zum Abschluss Wichtige Apskete zur IT-Security: - gelebte Sicherheit ist das A und O - Risikomanagement ist ein wichtiger Prozess - Transparenz (gelebte Sicherheit nach außen zeigen) durch Managementsysteme (wie ISO 27001, BSI Grundschutz-Modellierungen, ISIS12 o. ä.) 37

33 noris network Nürnberg-Süd (Zentrale) Thomas-Mann-Straße Nürnberg Telefon: noris network Nürnberg-Mitte Deutschherrnstraße Nürnberg (Deutschherrnkarree) noris network Nürnberg-Nord Kilianstraße Nürnberg Niederlassung München: Seidlstraße 8 (Nähe Hbf.) München Freiraum schaffen für Innovation, Kreativität, Produktivität 38

Outgesourcter Applikationsbetrieb nach ISO/IEC 20000 beim Rechenzentrumsdienstleister Joachim Astel 17.10.2012

Outgesourcter Applikationsbetrieb nach ISO/IEC 20000 beim Rechenzentrumsdienstleister Joachim Astel 17.10.2012 Outgesourcter Applikationsbetrieb nach ISO/IEC 20000 beim Rechenzentrumsdienstleister Joachim Astel 17.10.2012 datacenter.de ist eine Marke der noris network AG Was ist die ISO/IEC 20000 International

Mehr

ISO/IEC 27001. Neue Version, neue Konzepte. Quo Vadis ISMS?

ISO/IEC 27001. Neue Version, neue Konzepte. Quo Vadis ISMS? ISO/IEC 27001 Neue Version, neue Konzepte Quo Vadis ISMS? 2/18 Ursachen und Beweggründe Regulärer Zyklus für Überarbeitung von ISO/IEC 27001:2005 Zusätzlich neues Projekt MSS (Managment System Standards)

Mehr

Eine ISO-Norm für Wissensmanagement?

Eine ISO-Norm für Wissensmanagement? Eine ISO-Norm für Wissensmanagement? 09.12.2014 von Christian Katz Die aktuelle Revision der ISO 9001 (Qualitätsmanagementsysteme) lädt ein, über die Harmonisierung aller Managementsystem-Normen nachzudenken:

Mehr

datacenter.de ist eine Marke der noris network AG Compliance und Datenschutz Im Rechenzentrum Joachim Astel 09.10.2013

datacenter.de ist eine Marke der noris network AG Compliance und Datenschutz Im Rechenzentrum Joachim Astel 09.10.2013 datacenter.de ist eine Marke der noris network AG Compliance und Datenschutz Im Rechenzentrum Joachim Astel 09.10.2013 Die Gefahr von innen Ihre geschäftskritischen Daten sind in Gefahr Spionage Mitarbeiter

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Neuerungen und Anpassungen rund um ISO/IEC 27001:2013

Neuerungen und Anpassungen rund um ISO/IEC 27001:2013 Neuerungen und Anpassungen rund um ISO/IEC 27001:2013 Erfahrungsbericht eines Auditors Uwe Rühl 1 Uwe Rühl Kurz zu meiner Person Externer Client Manager (Lead Auditor) für ISO/IEC 27001, ISO 22301 und

Mehr

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand Cloud- und Informationssicherheit -praktisch umgesetzt in KMU- IHK München (27. Februar 2014)

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Informationssicherheit in handlichen Päckchen ISIS12

Informationssicherheit in handlichen Päckchen ISIS12 Informationssicherheit in handlichen Päckchen ISIS12 Der praxistaugliche Sicherheitsstandard für kleine und mittelgroße Unternehmen IT-Trends Sicherheit, 20. April 2016 Referentin Claudia Pock Sales Managerin

Mehr

ISO 27001:2013 ISMS DGQ-Regionalkreis Karlsruhe-Pforzheim-Gaggenau. secunomic GmbH www.secunomic.com

ISO 27001:2013 ISMS DGQ-Regionalkreis Karlsruhe-Pforzheim-Gaggenau. secunomic GmbH www.secunomic.com ISO 27001:2013 ISMS DGQ-Regionalkreis Karlsruhe-Pforzheim-Gaggenau secunomic GmbH www.secunomic.com 1 Zur Person Christian Wahl Dipl. Ing. (FH) Nachrichtentechnik secunomic GmbH Kloppenheimer Straße 105

Mehr

ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT. PERSICON@night 16. Januar 2014

ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT. PERSICON@night 16. Januar 2014 ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT PERSICON@night 16. Januar 2014 Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. NetworkedAssets GmbH Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. Dezember 2006 Rechtliche Aspekte Administration Gliederung Praktische

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

Änderungen ISO 27001: 2013

Änderungen ISO 27001: 2013 Änderungen ISO 27001: 2013 Loomans & Matz AG August-Horch-Str. 6a, 55129 Mainz Deutschland Tel. +496131-3277 877; www.loomans-matz.de, info@loomans-matz.de Die neue Version ist seit Oktober 2013 verfügbar

Mehr

Sicherheitsnachweise für elektronische Patientenakten

Sicherheitsnachweise für elektronische Patientenakten Copyright 2000-2011, AuthentiDate International AG Sicherheitsnachweise für elektronische Patientenakten Christian Schmitz Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 2 Systemziele

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Aktuelles zu den Revisionen der ISO 9001:2015 & ISO 14001: 2015

Aktuelles zu den Revisionen der ISO 9001:2015 & ISO 14001: 2015 Aktuelles zu den Revisionen der ISO 9001:2015 & ISO 14001: 2015 Frank Graichen und Andreas Ritter bei den DQS Kundentagen 2014 Informationsstand 05-2014 Planung: ISO 9001:2015 2013 2014 2015 Juni 2013:

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

Security im agilen Umfeld. Joachim Astel Vorstand HR & Security noris network AG. Freiraum schaffen für Innovation, Kreativität, Produktivität

Security im agilen Umfeld. Joachim Astel Vorstand HR & Security noris network AG. Freiraum schaffen für Innovation, Kreativität, Produktivität Security im agilen Umfeld Joachim Astel Vorstand HR & Security noris network AG noris network Innovationstagung Nürnberg 21. April 2015 Freiraum schaffen für Innovation, Kreativität, Produktivität 1 Security

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Security Audits. Ihre IT beim TÜV

Security Audits. Ihre IT beim TÜV Security Audits Ihre IT beim TÜV Thinking Objects GmbH Leistungsstark. Sicher. Nachhaltig. Gegründet 1994 inhabergeführt Hauptsitz Stuttgart Kompetenter IT-Dienstleister und Systemintegrator Schwerpunkte:

Mehr

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 53227 Bonn Copyright Scopevisio AG. All rights reserved. Seite 1 von 11 Copyright Scopevisio AG. All rights reserved. Seite 2 von 11 Inhalt

Mehr

Joachim Astel Vorstand HR & Security. Freiraum schaffen für Innovation, Kreativität, Produktivität

Joachim Astel Vorstand HR & Security. Freiraum schaffen für Innovation, Kreativität, Produktivität Security im agilen Umfeld Joachim Astel Vorstand HR & Security noris network AG noris network Innovationstagung München 15. Juli 2015 Freiraum schaffen für Innovation, Kreativität, Produktivität 1 Security

Mehr

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit

Mehr

ISIS 12. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISIS 12. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISIS 12 Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISIS12 Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor Security Excellence Der psychologische

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke Vorstellung - Ihr Referent Prof. Dr. Thomas Jäschke Professor für Wirtschaftsinformatik an der FOM Hochschule für Oekonomie & Management

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

Kapitel 2: Grundlagen. Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1

Kapitel 2: Grundlagen. Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1 Kapitel 2: Grundlagen Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1 Kapitel 2: Inhalt 1. Grundlegende Ziele der IT-Sicherheit 2. Kategorisierung von Sicherheitsmaßnahmen 3. Standards der

Mehr

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN 1 Bayerischer IT-Sicherheitscluster e.v. 09.10.2015 REFERENT Claudia Pock Sales Managerin IT Security Applied Security

Mehr

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit

Mehr

Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH /

Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH / Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH Pallas stellt sich vor Wir sind ein MSSP: Managed Security

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Die Server von blau direkt werden in einem Nürnberger Rechenzentrum betrieben. Mit den beteiligten Dienstleistern wurden ordnungsgemäße

Mehr

Risikomanagement. Ein Vortrag von Katharina Schroer. Juristisches IT-Projektmanagement WS 2013/2014

Risikomanagement. Ein Vortrag von Katharina Schroer. Juristisches IT-Projektmanagement WS 2013/2014 Risikomanagement Ein Vortrag von Katharina Schroer Juristisches IT-Projektmanagement WS 2013/2014 Inhalt 1. Einleitung 2. Risikomanagementprozess 3. Juristische Hintergründe 4. Fazit Inhalt - Risikomanagement

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Informationssicherheitsmanagement in der betrieblichen Praxis Anforderungen nach ISO/IEC 27001:2013 und das Zusammenwirken mit dem Qualitätsmanagement ISO 9001 IKS Service

Mehr

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet Moderne EDV im kleinen und mittelständischen Unternehmen EDV Sicherheit im Zeitalter des Internet Vortrag von Alexander Kluge-Wolf Themen AKWnetz, IT Consulting & Services Mir kann ja nichts passieren

Mehr

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster Informationssicherheit im mittelstand... > Bavarian IT Security & Safety Cluster > ein PROdUKt des BayeRisCHen it-sicherheits- ClUsteRs e.v. der Bayerische it-sicherheitscluster e.v. Der Bayerische It-sicherheitscluster

Mehr

Aktuelle Bedrohungen im Internet

Aktuelle Bedrohungen im Internet Aktuelle Bedrohungen im Internet Max Klaus, MELANI Bedrohungen von Webanwendungen Reto Inversini, BIT Botnetze webreaders.de/wp-content/uploads/2008/01/botnetz.jpg ISB / NDB Melde- und Analysestelle Informationssicherung

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Baustein Webanwendungen. Stephan Klein, Jan Seebens

Baustein Webanwendungen. Stephan Klein, Jan Seebens Baustein Webanwendungen Stephan Klein, Jan Seebens Agenda Bedrohungslage für Webanwendungen Baustein Webanwendungen 1) Definition und Abgrenzung 2) Goldene Regeln 3) Spezifische Gefährdungen 4) Spezifische

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

Aktuelle Bedrohungslage

Aktuelle Bedrohungslage Aktuelle Bedrohungslage Seite 1 Seite 2 Waltenhofen Neuss Wiesbaden Waltenhofen Neuss Wiesbaden Security Webinar Der Weg zu Ihrem ganzheitlichen Security-Konzept in 6 Schritten Die nachfolgende Ausarbeitung

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

Herzlich willkommen zur Kurzvorlesung: Die häufigsten Fehlerquellen bei der Erstellung von Webapplikationen. Udo H. Kalinna. Nürnberg, den 10.10.

Herzlich willkommen zur Kurzvorlesung: Die häufigsten Fehlerquellen bei der Erstellung von Webapplikationen. Udo H. Kalinna. Nürnberg, den 10.10. Herzlich willkommen zur Kurzvorlesung: Die häufigsten Fehlerquellen bei der Erstellung von Webapplikationen Udo H. Kalinna Nürnberg, den 10.10.2013 AGENDA Kein Tag ohne Hack! Sind diese Schwachstellen

Mehr

OWASP. Open Web Application Security Project. Dr. Ingo Hanke. IDEAS Information & Design Applications. Dr. Ingo Hanke

OWASP. Open Web Application Security Project. Dr. Ingo Hanke. IDEAS Information & Design Applications. Dr. Ingo Hanke OWASP IDEAS Information & Design Applications O WA S P O WA S P WA S ist Web Application Security? Part I: Web Application Security Aufgabe 1 Werte identifizieren Personenbezogene Daten Sachdaten Prozesse

Mehr

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten Cloud Computing Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für 02.06.2015 1 Dozenten Katharina Wiatr Referentin für Beschäftigtendatenschutz (030) 13889 205; wiatr@datenschutz-berlin.de

Mehr

IT-Sicherheit im Betrieb Das Angebot der IT-Sicherheitsbotschafter. 19. Mai 2014 Handwerkskammer OWL zu Bielefeld

IT-Sicherheit im Betrieb Das Angebot der IT-Sicherheitsbotschafter. 19. Mai 2014 Handwerkskammer OWL zu Bielefeld IT-Sicherheit im Betrieb Das Angebot der IT-Sicherheitsbotschafter 19. Mai 2014 Handwerkskammer OWL zu Bielefeld Begriffsklärungen zur IT-Sicherheit Informationssicherheit -> Schutzziele für Daten hinsichtlich

Mehr

Integrale Sanierungsentscheidungen - gemeinsame Betrachtung der Straße und aller Leitungsträger -

Integrale Sanierungsentscheidungen - gemeinsame Betrachtung der Straße und aller Leitungsträger - Göttingen, 25. Februar 2014 Integrale Sanierungsentscheidungen - gemeinsame Betrachtung der Straße und aller Leitungsträger - Bert Bosseler (Prof. Dr.-Ing.) - Wissenschaftlicher Leiter - IKT Institut für

Mehr

Zukunftsfähiges Qualitätsmanagement Normrevision ISO 9001:2015. DQS Workshop am 10. Juli 2014 Ihr Moderator: Bernd Flormann

Zukunftsfähiges Qualitätsmanagement Normrevision ISO 9001:2015. DQS Workshop am 10. Juli 2014 Ihr Moderator: Bernd Flormann Zukunftsfähiges Qualitätsmanagement Normrevision ISO 9001:2015 DQS Workshop am 10. Juli 2014 Ihr Moderator: Bernd Flormann Agenda 10:00 Uhr Begrüßungskaffee mit Normexperten 10:30 Uhr Start / Vorstellungsrunde

Mehr

Innovationstagung 2015. Ist DEVOPS das neue IT-Outsourcing? Sind DEVOPS und Outsourcing kompatibel?

Innovationstagung 2015. Ist DEVOPS das neue IT-Outsourcing? Sind DEVOPS und Outsourcing kompatibel? Innovationstagung 2015 Ist DEVOPS das neue IT-Outsourcing? Sind DEVOPS und Outsourcing kompatibel? noris network Innovationstagung München 15. Juli 2015 Freiraum schaffen für Innovation, Kreativität, Produktivität

Mehr

Risikofragebogen Cyber-Versicherung

Risikofragebogen Cyber-Versicherung - 1 / 5 - Mit diesem Fragebogen möchten wir Sie und / oder Ihre Firma sowie Ihren genauen Tätigkeitsbereich gerne kennenlernen. Aufgrund der von Ihnen gemachten Angaben besteht für keine Partei die Verpflichtung

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9. DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor

Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9. DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9 DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor ISO/IEC 27013 Information technology - Security techniques - Guidance on the integrated

Mehr

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010 IT-Sicherheit Abteilung IT/2 Informationstechnologie Dr. Robert Kristöfl 1 3. Dezember 2010 Begriffsdefinitionen Safety / Funktionssicherheit: stellt sicher, dass sich ein IT-System konform zur erwarteten

Mehr

GRC-Suite i RIS Eine intelligente Lösung

GRC-Suite i RIS Eine intelligente Lösung GRC-Suite i RIS GRC-Suite i RIS Eine intelligente Lösung Die Software GRC-Suite i RIS (intelligent Reports, Informations and Solutions) unterstützt Sie effektiv und effizient in Ihrem Governance-, Risk-

Mehr

Aufstellung der techn. und organ. Maßnahmen

Aufstellung der techn. und organ. Maßnahmen Aufstellung der techn. und organ. Maßnahmen (Anlage 9 BSDG) AFI - P.M. Belz Agentur für Informatik GmbH Stuttgart Stand: 30.11.2015 1 Grundsätzliches Das Bundesdatenschutzgesetz (BDSG) schreibt mit 9

Mehr

CeBIT 17.03.2015. CARMAO GmbH 2014 1

CeBIT 17.03.2015. CARMAO GmbH 2014 1 CeBIT 17.03.2015 CARMAO GmbH 2014 1 HERZLICH WILLKOMMEN Applikationssicherheit beginnt lange bevor auch nur eine Zeile Code geschrieben wurde Ulrich Heun Geschäftsführender Gesellschafter der CARMAO GmbH

Mehr

Aktuelles zur Revision der ISO 9001:2015

Aktuelles zur Revision der ISO 9001:2015 Aktuelles zur Revision der ISO 9001:2015 Frank Graichen Geschäftsführer DQS Medizinprodukte GmbH Informationsstand 02-2014 1 DQS-UL Management Systems Solutions Inhalte (1) Entwicklung der ISO 9001 Historischer

Mehr

Fokus Datenschutz - Zwingend notwendig, pragmatisch umgesetzt! / Outsourcing datenschutzrechtlich möglich?

Fokus Datenschutz - Zwingend notwendig, pragmatisch umgesetzt! / Outsourcing datenschutzrechtlich möglich? Fokus Datenschutz - Zwingend notwendig, pragmatisch umgesetzt! / Outsourcing datenschutzrechtlich möglich? IKT-Forum der Hochschule Ansbach Donnerstag 13. November 2014 / 17:30 bis 19:15 Uhr 91522 Ansbach

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

Datenverarbeitung im Auftrag

Datenverarbeitung im Auftrag Die Kehrseite der Einschaltung von Dienstleistern: Datenverarbeitung im Auftrag ZENDAS Breitscheidstr. 2 70174 Stuttgart Datum: 10.05.11 1 Datenverarbeitung im Auftrag Daten ZENDAS Breitscheidstr. 2 70174

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn Sie einen

Mehr

ISIS12 - INFORMATIONSSICHERHEIT FÜR KOMMUNEN REFERENT: ANDREAS HECKER

ISIS12 - INFORMATIONSSICHERHEIT FÜR KOMMUNEN REFERENT: ANDREAS HECKER ISIS12 - INFORMATIONSSICHERHEIT FÜR KOMMUNEN REFERENT: ANDREAS HECKER AGENDA 1. Vorstellung des Bayerischen IT-Sicherheitscluster e.v. 2. IT Planungsrat Mindestanforderungen & Beschlusslage 3. Bayerisches

Mehr

Information Security Management

Information Security Management Information Security Management 11. Unternehmertag der Universität des Saarlandes, 30. September 2013 Aufbau einer Information Security Organisation mit einem schlanken Budget Agenda 1. Die treibenden

Mehr

1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet?

1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet? Datum:... - 1 Uhrzeit:... Betrieb:... AP:... Fragenkatalog für Kontrollen TLfDI - nichtöffentlicher Bereich - Allgemeine Fragen 1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet?

Mehr

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org.

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org. IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten Amir Alsbih 17.11.2011 http://www.xing.com/profile/amir_alsbih http://de.linkedin.com/pub/amiralsbih/1a/19a/b57 Copyright The Foundation

Mehr

IT-Sicherheit - Sicherheit vernetzter Systeme -

IT-Sicherheit - Sicherheit vernetzter Systeme - IT-Sicherheit - Sicherheit vernetzter Systeme - Kapitel 2: Grundlagen Folienversion: 18.10.2013 Wolfgang Hommel, Helmut Reiser, LRZ, WS 13/14 IT-Sicherheit 1 Kapitel 2: Inhalt 1. Grundlegende Ziele der

Mehr

SECURE SERVICE PROVIDING MADE IN GERMANY

SECURE SERVICE PROVIDING MADE IN GERMANY SECURE SERVICE PROVIDING MADE IN GERMANY SSP Europe Unternehmensdaten Secure Service Provider mit Hauptsitz in München Portfolio: Secure Service Providing Application Development Cloudservices ISO 27001

Mehr

Pragmatischer Datenschutz im Unternehmensalltag / Outsourcing - datenschutzrechtlich möglich?

Pragmatischer Datenschutz im Unternehmensalltag / Outsourcing - datenschutzrechtlich möglich? Pragmatischer Datenschutz im Unternehmensalltag / Outsourcing - datenschutzrechtlich möglich? Unternehmerveranstaltung am Dienstag 11. November 2014 / 16:00-18:45 Uhr TAW Weiterbildungszentrum Altdorf

Mehr

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

Datensicherheit im Gesundheitswesen Christian Proschinger Raiffeisen Informatik GmbH

Datensicherheit im Gesundheitswesen Christian Proschinger Raiffeisen Informatik GmbH Datensicherheit im Gesundheitswesen Christian Proschinger Raiffeisen Informatik GmbH Raiffeisen Informatik Tätigkeitsfeld Security Competence Center Zwettl Datensicherheit Gesetzliche Anforderungen Angriffsvektoren

Mehr

Der Nutzen und die Entscheidung für die private Cloud. Martin Constam Rechenpower in der Private Cloud 12. Mai 2014

Der Nutzen und die Entscheidung für die private Cloud. Martin Constam Rechenpower in der Private Cloud 12. Mai 2014 Der Nutzen und die Entscheidung für die private Cloud Martin Constam Rechenpower in der Private Cloud 12. Mai 2014 1 Übersicht - Wer sind wir? - Was sind unsere Aufgaben? - Hosting - Anforderungen - Entscheidung

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH Übersicht IT-Security Technisch Prozesse Analysen Beratung Audits Compliance Bewertungen Support & Training

Mehr

Datenschutz und Datensicherheit in mittelständischen Betrieben

Datenschutz und Datensicherheit in mittelständischen Betrieben Datenschutz und Datensicherheit in mittelständischen Betrieben Vortrag beim MHUT-Mülheimer Unternehmer Treff e.v. Dienstag, 9. Februar 2010, 19.00 Uhr Datenschutz + Datensicherheit = IT-Sicherheit IT-Sicherheit

Mehr

Personal- und Kundendaten Datenschutz in Werbeagenturen

Personal- und Kundendaten Datenschutz in Werbeagenturen Personal- und Kundendaten Datenschutz in Werbeagenturen Datenschutz in Werbeagenturen Bei Werbeagenturen stehen neben der Verarbeitung eigener Personaldaten vor allem die Verarbeitung von Kundendaten von

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management 1 4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management Bernhard Barz, regio it aachen 2 Gliederung Informationssicherheit Anforderungen der ÖV Informationssicherheit im IT

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

Informationssicherheit (k)eine Frage für Ihr Unternehmen? Ziele Informationssicherheit (k)eine Frage für Ihr Unternehmen? SSV bei connect Schnelligkeit, Sicherheit, Verfügbarkeit Vortrag von Ingrid Dubois, dubois it-consulting gmbh Informationssicherheit: Ziele

Mehr

Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG:

Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG: Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG: Geprüftes Unternehmen: Firmenname: oberste Leitung; EDV-Abteilung: Datenschutzbeauftragter: Firmensitz: Niederlassungen: Prüfdaten: Prüfung

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2-4

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

Gemeinsamkeiten & Probleme beim Management von Informationssicherheit & Datenschutz

Gemeinsamkeiten & Probleme beim Management von Informationssicherheit & Datenschutz Gemeinsamkeiten & Probleme beim Management von Informationssicherheit & Datenschutz Gemeinsame Sitzung von AK 1 & 5 am 02.04.2013 Bernhard C. Witt (it.sec GmbH & Co. KG) Bernhard C. Witt Berater für Datenschutz

Mehr

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR.

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. Hans Joachim von Zieten DATEN DAS WICHTIGSTE GUT Daten und Informationen sind ein wichtiges, ja sogar

Mehr

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin Software EMEA Performance Tour 2013 17.-19 Juni, Berlin In 12 Schritten zur ISo27001 Tipps & Tricks zur ISO/IEC 27001:27005 Gudula Küsters Juni 2013 Das ISO Rennen und wie Sie den Halt nicht verlieren

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts. Datensicherheit im Unternehmen

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts. Datensicherheit im Unternehmen Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Datensicherheit im Unternehmen Feinwerkmechanik-Kongress 2014 Nürnberg 7. und 8. November Heiko Behrendt ISO

Mehr

Michael Grünschloß - Geschäftsführer der Teraport GmbH -

Michael Grünschloß - Geschäftsführer der Teraport GmbH - IT-Betriebsverantwortung durch externe Spezialisten Wie Managed Services dem Mittelstand helfen, die eigenen Strategien umzusetzen Michael Grünschloß - Geschäftsführer der Teraport GmbH - Regulatorische

Mehr

BCM Schnellcheck. Referent Jürgen Vischer

BCM Schnellcheck. Referent Jürgen Vischer BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz

Mehr

Technische und organisatorische Maßnahmen der

Technische und organisatorische Maßnahmen der Seite 1 von 8 der Inhaltsverzeichnis: 1. Einleitung 2. Gesetzliche Grundlage 3. zur Umsetzung 3.1 Zutrittskontrolle 3.2 Zugangskontrolle 3.3 Zugriffskontrolle 3.4 Weitergabekontrolle 3.5 Eingabekontrolle

Mehr

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen, IDEAS Übersicht # 1 Einleitung # 2 IT-Sicherheit wozu denn? # 3 IT-Sicherheit die Grundpfeiler # 4 IT-Sicherheit ein

Mehr