Sicheres Bereitstellen von Web-Angeboten

Größe: px
Ab Seite anzeigen:

Download "Sicheres Bereitstellen von Web-Angeboten"

Transkript

1 Sicheres Bereitstellen von Web-Angeboten Joachim Astel Vorstand noris network AG Security Angels Nürnberg Freiraum schaffen für Innovation, Kreativität, Produktivität 1

2 noris network wurde 1993 gegründet, ist eigenfinanziert, inhabergeführt und hat seinen Hauptsitz in Nürnberg mit 140 festen Mitarbeitern. noris network Nürnberg Thomas-Mann-Straße

3 Zur Person Joachim Astel Vorstand der noris network AG Mitbegründer des Unternehmens im Jahr war das Jahr der Veröffentlichung des ersten Internet-Browsers Mosaic, welcher Text und Grafik einer HTML-Seite integriert darstellen konnte. Experte und strategischer Berater in den Bereichen IT-Sicherheit + Internet 3

4 Abgleich der Anforderungen Der Provider (Outsourcing-Nehmer) zeigt im Rahmen der ISO/IEC seine Kern-Prozesse in der Abwicklung seiner angebotenen Services auf. Business-Anforderungen (Applikationsbetrieb einer Lösung, Kapazitäten) Compliance-Anforderungen (BDSG, Security, branchenspezifische Anforderungen) Service-Level-Agreements (SLAs) Betriebszeiten (24 x 7 x 365), Verfügbarkeiten (Wiederherstellungszeiten), Testing-Verfahren (Backup-/Restore-Tests etc.) 4

5 Compliance-Vorgaben der Kunden Spezifische Gesetze in Deutschland: 93 Abs. 2 S. 2 AktG, 43 GmbH-Gesetz KontraG - Gesetz zur Kontrolle und Transparenz im Unternehmensbereich spezifische Wirtschaftsprüferstandards in Deutschland: IDW (*) IDW PS 331 Auslagerung der Rechnungslegung auf Dienstleistungsunternehmen IDW PS 951 Die Prüfung des internen Kontrollsystems beim Dienstleistungsunternehmen für auf das Dienstleistungsunternehmen ausgelagerte Funktionen Internationale Wirtschaftsprüferstandards: Sarbanes Oaxley Act (SOX) - ISAE 3402 bzw. SSAE 16 (betrifft börsennotierte US-Unternehmen) Weitere spezifische Gesetze in Deutschland: Bundesdatenschutzgesetz (BDSG), kontrolliert durch die Landesdatenschutzaufsicht (siehe Folgeseite) Spezifische Compliance-Vorgaben der Auftraggeber: Verpflichtung auf das Datengeheimnis gemäß Bundesdatenschutzgesetz (BDSG) 5 aller Mitarbeiter und ggf. Unterauftragnehmer Selbiges für die kundenspezifischen Compliance-Maßgaben, wie etwa: Öffentlicher Bereich: Verpflichtungsgesetz Post-Dienstleister: Postgesetz (PostG) Finanzwirtschaft (Banken/Versicherungen): MaRisk durch BaFIN (Mindestanforderungen an das Risikomanagement) Bankgeheimnis, WPHG (*) vgl. Wikipedia: Liste der IDW-Prüfungsstandards 5

6 Compliancevorgaben von staatl. Seite Datenschutz und Datensicherheit: Im Fachjargon bedeuten die beiden Begriffe folgendes: Datenschutz umfasst den Schutz des Individuums vor übermäßiger Verarbeitung seiner Daten. (z. B. richtiges Verhalten im Internet) Datensicherheit bezeichnet den Schutz von Daten bei deren Verarbeitung, Übermittlung und Speicherung. (z. B. sichere Passwörter, nur gesicherte Übermittlung vertraulicher Daten) Sicherheit (Security) Verfügbarkeit (Availability) Integrität (Integrity) 6

7 Compliancevorgaben von staatl. Seite Bundesdatenschutzgesetz (BDSG), Landesdatenschutzgesetz Bayern (LDSG-BY) Bayerisches Landesamt für Datenschutzaufsicht: Impressumspflicht / Anbieterkennzeichnung auf der Webseite Datenschutzerklärung auf der Webseite Öffentliches Verfahrensverzeichnis (övv) Vereinbarungen mit Lieferanten gemäß Auftragsdatenverarbeitung (BDSG 11) 7

8 8

9 Compliancevorgaben von PCI DSS PCI DSS = Payment Card Industry Data Security Standard PCI DSS Vorgabe der Kreditkartenorganisationen bei Zahlungsverkehr mit Kreditkartentransaktionen 12 Anforderungen an die Rechnernetze der Unternehmen (*): Installation und Pflege einer Firewall zum Schutz der Daten Ändern von Kennwörtern und anderen Sicherheitseinstellungen nach der Werksauslieferung Schutz der gespeicherten Daten von Kreditkarteninhabern Verschlüsselte Übertragung sensibler Daten von Kreditkarteninhabern in öffentlichen Rechnernetzen Einsatz und regelmäßiges Update von Virenschutzprogrammen Entwicklung und Pflege sicherer Systeme und Anwendungen Einschränken von Datenzugriffen auf das Notwendige Zuteilen einer eindeutigen Benutzerkennung für jede Person mit Rechnerzugang Beschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern Regelmäßige Prüfungen aller Sicherheitssysteme und -prozesse Einführen und Einhalten von Richtlinien in Bezug auf Informationssicherheit (*) aus Wikipedia, Suchbegriff: PCI DSS 9

10 Thema: Normen IT-Grundschutzkataloge Bundesamt für Sicherheit in der Informationstechnik ISO/IEC 27001, ISO/IEC (Controls A.5 A.18 und Konkretisierungen) ISIS12 Katalog 10

11 BSI Grundschutzkataloge 4883 Seiten: Sehr umfassende Zusammenstellung von Best Practice und Checklisten für einen gesunden IT-Grundschutz. Sehr gut geeignet als IT-Security-Nachschlagewerk, zum Vertiefen technischer Schwerpunkte. Teilweise nicht ganz aktuell: Beispiel: Client unter Windows 7 (Stand: Ende 2014) (wird kostenlos auf bereitgestellt) 11

12 Aufbau der Norm ISO/IEC Introduction 1 Scope 2 Normative references 3 Terms and definitions 4 Context of the organization 4.1 Understanding the organization and its context 4.2 Understanding the needs and expectations of interested parties 4.3 Determining the scope of the information security management system 4.4 Information security management system 5 Leadership 5.1 Leadership and commitment 5.2 Policy 5.3 Organizational roles, responsibilities and authorities 6 Planning 6.1 Actions to address risks and opportunities 6.2 Information security objectives and planning to achieve them 7 Support 7.1 Resources 7.2 Competence 7.3 Awareness 7.4 Communication 7.5 Documented information 8 Operation 8.1 Operational planning and control 8.2 Information security risk assessment 8.3 Information security risk treatment 9 Performance evaluation 9.1 Monitoring, measurement, analysis and evaluation 9.2 Internal audit 9.3 Management review 10 Improvement 10.1 Nonconformity and corrective action 10.2 Continual improvement Anhang A - siehe Folgeseite Eine deutsche Übersetzung der aktuellen ISO/IEC Norm wurde im Frühjahr von DIN herausgebracht und heißt DIN ISO/IEC 27001: zu bestellen für 99,80 bzw. 124,80 EUR beim Beuth-Verlag Interessante Informationsquelle zum Thema ISO 27001: Dejan Kosutic in seinem Blog (engl.) 12 Insgesamt 23 Seiten, Schwerpunkt: 13 Seiten Anhang A (Annex A)

13 13 ISO/IEC 27001, Anhang A im Detail: 14 Control Clauses, 35 Security Categories, 114 Controls ISO/IEC mit 80 Seiten greift genau diese 114 Controls im Detail auf.

14 ISIS12 ISIS12 = Informations-Sicherheitsmanagement System in 12 Schritten Das IT-Security-Vorgehensmodell in 12 Kapiteln wurde entwickelt und herausgegeben vom "Netzwerk für Informationssicherheit im Mittelstand (NIM) mit den Mitgliedern Bayerischer IT-Sicherheitscluster, Universität und Hochschule Regensburg. Es handelt sich um ein Vorgehensmodell, das ein Informationssicherheits- Managementsystem beschreibt. Das Verfahren kann als mögliche Vorstufe zur ISO/IEC bzw. BSI IT- Grundschutz-Zertifizierung verwendet werden. Die Kosten für die ISIS12 Unterlagen liegen bei: 150 EUR + 28,50 MWST = 178,50 EUR Die Einführung erfolgt durch speziell ausgebildete ISIS12-Dienstleister externe Unterstützung. Leitlinie erstellen Mitarbeiter sensibilisieren Informationssicherheitsteam aufbauen IT-Dokumentationsstruktur festlegen IT-Servicemanagement-Prozess einführen Kritische Applikationen identifizieren IT-Struktur analysieren Sicherheitsmaßnahmen modellieren Ist-Soll vergleichen Umsetzung planen Umsetzen Revision (aus Wikipedia - https://de.wikipedia.org/wiki/isis12) 14

15 Compliance-Vorgaben Spezifische Gesetze in Deutschland: 93 Abs. 2 S. 2 AktG, 43 GmbH-Gesetz KontraG - Gesetz zur Kontrolle und Transparenz im Unternehmensbereich Weitere spezifische Gesetze in Deutschland: Bundesdatenschutzgesetz (BDSG), kontrolliert durch die Landesdatenschutzaufsicht (siehe Folgeseite) Spezifische Compliance-Vorgaben der Auftraggeber: Verpflichtung auf das Datengeheimnis gemäß Bundesdatenschutzgesetz (BDSG) 5 aller Mitarbeiter und ggf. Unterauftragnehmer Selbiges für die kundenspezifischen Compliance-Maßgaben, wie etwa: Öffentlicher Bereich: Verpflichtungsgesetz Post-Dienstleister: Postgesetz (PostG) Finanzwirtschaft (Banken/Versicherungen): MaRisk durch BaFIN (Mindestanforderungen an das Risikomanagement) Bankgeheimnis, WPHG Wer kümmert sich darum? Der Geschäftsführer ist in der Verantwortung Die Verantwortung verbleibt beim Geschäftsführer bzw. bei den Geschäftsführern, auch wenn das Thema delegiert oder outgesourct wurde. 15

16 Thema: Sicherheitsleitlinie Sicherheitsleitlinie, -ziele und strategie Geltungsbereich Stellenwert der Informationssicherheit Unternehmensspezifische Sicherheitsziele Leitaussagen zur Durchsetzung und Erfolg Revision 17

17 physikalische Sicherheit Wichtige Anforderungen zur physikalischen Sicherheit (= Sicherheit umfasst auch das Thema Verfügbarkeit) Perimeterschutz (fensterloser Serverraum, unabhängig von äußeren Einflüssen) hohe Verfügbarkeit für die Stromversorgung (USV) hohe Verfügbarkeit für die Klimatisierung hohe Verfügbarkeit für die Netzwerkanbindung Klare Maßgaben an den Rechenzentrumsbetreiber (BSI Grundschutzkataloge Baustein Rechenzentrum ) 18 in Bildern - abschreckende Negativbeispiele:

18 Firewall als Perimeterschutz Zuverlässiger Schutz vor Viren Spam SaaS Collaboration Social Media Personal Hacker-Angriffen 20

19 WAF als erweiterter Perimeterschutz WAF = Web Application Firewall Filtert auf Applikationsebene vor bekannten Gefahren: - Cross-Site-Scripting (XSS) - SQL Injection - Buffer Overflow Attacks - uvm. Einstiegs-WAF: Apache-Modul mod_security Kann oftmals URLs und Cookies umwandeln, so dass die internen URLs bzw. Cookies nach außen hin nicht bekannt werden (Verschleierung, damit wird eine echte Hackerattacke erschwert). Kommerzielle WAFs bieten häufig einen Learning-Mode, der bekanntes Nutzerverhalten als gut klassifiziert, und bei Scharfschalten der WAF anderes Verhalten abweist. 21

20 Sicherheit in der Software-Entwicklung OWASP = Open Web Application Security Project (*) OWASP ist eine Non-Profit-Organisation mit dem Ziel, die Sicherheit von Anwendungen und Diensten im World Wide Web zu verbessern. Folgende Dokumentationsprojekte unterhält OWASP: OWASP Application Security Verification Standard (ASVS) - Standard zur Durchführung von Sicherheitsverifizierungen auf Applikationsebene) The Guide Dieses Dokument beinhaltet detaillierte Handlungsempfehlungen zur Web-Applikationssicherheit. Top Ten Most * DotNet eine Vielzahl von Werkzeugen, um Dot-Net-Umgebungen abzusichern. Enigform eine Zusammenstellung aus beispielhaften endgerät- und serverseitigen Anwendungen mit OpenPGP-Funktionen (u. a. Verschlüsselung, Signierung) im HTTP zu realisieren. ESAPI OWASP Enterprise Security API (ESAPI) Project eine freie und offene Sammlung von Methoden, die benötigt werden, um sichere Webapplikationen zu erstellen. AntiSamy ein Werkzeug zur Validierung von Eingaben im Web und Enkodierung des Ergebnisses. XSSer ein automatisches System zum Erkennen, Ausnutzen und Melden von Cross-Site-Scripting-Schwachstellen in Webapplikationen. Webgoat eine absichtlich unsichere Webanwendung, hergestellt von OWASP als eine Anleitung für sichere Programmiermethoden. WebScarab ein http- und https-proxyserver, der genutzt werden kann, um Inhalte von Datenpaketen zu ändern, zu prüfen und die Übertragung zu unterbrechen. Dies bietet dem Anwender ein besseres Verständnis dafür, welche Informationen vom Webserver übermittelt werden, und kann genutzt werden, um mögliche Verwundbarkeiten aufzudecken. OWASP Mantra Security Framework eine Sammlung von Hacker-Werkzeugen, Erweiterungen und Skripten, basierend auf Mozilla Firefox. ggf. Software-Audit von einem OWASP-Mitglied durchführen lassen und für Kunden bereithalten. (*) Wikipedia: https://de.wikipedia.org/wiki/open_web_application_security_project 22

21 ISO/IEC 27005: Der Risiko-Management-Prozess I Risikobewertung Risikoanalyse (Identifikation von assets, threats & vulnerabilities ) Risikobehandlungsplan 23

22 Thema: kritische Anwendungen Identifikation kritischer Anwendungen - -Server - ecommerce-shop und kritischer Daten - Kundendaten - Software-Quellcode - Warenbestandsdaten 24

23 Thema: Notfallhandbuch Notfall- und Katastrophenfall-Planung Beispiel: Was passiert bei Stromausfall? Ab wann funktioniert der Server wieder? Gibt es ein Backup? Gibt es eine Ersatzlösung? Gibt es ggf. redundante Server? Beispiel: Was passiert bei Ausfall der Telefonanlage? Funktioniert die Telefonanlage bzw. die Telefone bei Stromausfall? erreichen uns die Kunden noch? Welche Ersatzmöglichkeiten gibt es? (Schaltung einer Ansage? Kontaktinfo an die wichtigsten Kunden per /Fax o. ä. weitere oder andere firmenspezifische Maßnahmen Die Auftraggeber möchten häufig ein Gefühl dafür entwickeln, ob man ein Risikogefühl für die typischen IT-Risiken oder Geschäftsrisiken generell im Unternehmen entwickelt hat, und fragen nach einem Notfallhandbuch. 25

24 Datenträgervernichtung Vernichtung defekter Datenträger: Alte oder defekte Massenspeicher werden mittels professioneller, datenschutzkonformer Datenträgerentsorgung vernichtet (z. B. Firma Reisswolf, Firma Recall o. ä.) Bei verschiedenen Hardwarehersteller gibt es die Möglichkeit, gegen geringen Aufpreis die Option behalten Sie Ihre alte Festplatte dazuzubuchen, d. h. eine defekte Festplatte kann selbst vernichtet werden und muss nicht an den Hersteller zurück. Bei Vernichtung muss ein Vernichtungsprotokoll geführt werden. Löschung nicht mehr benötigter Datenträger: Vor der Wiederverwendung alter Systeme werden alle darauf befindlichen Unternehmens-Informationen gelöscht, hierzu gibt es Löschprogramme, die den Datenträger mehrfach mit Zufallszahlen o. ä. überschreiben. Bundesamt für Sicherheit in der Informationstechnik (BSI): So löschen Sie Daten richtig: Bevor Sie Ihren Rechner oder Festplatten an Dritte oder zum Elektroschrottrecycling weitergeben, sollten Sie die Festplatten löschen oder physikalisch vernichten. https://www.bsi-fuer-buerger.de/bsifb/de/meinpc/richtigloeschen/richtigloeschen_node.html 27

25 Vulnerabililty- und Patch-Management Vulnerability- und Patch-Management ist für Cloud-Systeme (bzw. allgemein für Systeme, die aus dem Internet erreichbar sind) besonders wichtig. Versteckte Software-Schwächen werden im Laufe der Jahre von Hackern entdeckt. Diese können gezielt ausgenutzt werden, um Trojaner, andere Malware in das System einzupflanzen und vielfältig zu verwenden (z. B. als Spam-Relay). Relevant ist nicht nur die Basis-Software, sondern auch sämtliche Zusatzmodule (wie Plugins, Libraries, etc.) Plugins, die nicht mehr weiterentwickelt werden, sind eine weitere schlummernde Gefahr. Beispiel: Wordpress alle Wordpress-Module sind relevant. Tipp: Regelmäßiges Patchen der Systeme und Verfolgen einschlägiger Sicherheits-Newsletter (z. B. DFN-CERT, heise.de Security), regelmäßige Security-Scans (z. B. einmal monatlich) sollten obligatorisch sein. 28

26 Segregation of Duties Anforderungen aus ISO/IEC 27001, BDSG u. a.: Segregation of Duties = Gewaltenteilung Aufgabenteilung mit verschiedenen Zugangs-/Zugriffsrechten klassisches Freigabeprinzip im Nicht-IT-Bereich am Beispiel Einkaufsvorgang: Bestellanforderung (zum Einkauf einer Ware) Freigabe durch fachlichen Vorgesetzten Freigabe durch Budget-Vorgesetzten Beispiel bei IT-Sicherheit: z. B. Administrator-Kennwort steht nicht für den Besitzer des Systems zur Verfügung. Dieser darf nur die Applikation bedienen. Der Administrator bedient typischerweise nicht die Applikation. Seine Aufgaben sind Patch-Management, Durchführung von Konfigurationen, u. ä., eben die typischen Administratortätigkeiten 30

27 Zugangs-/Zugriffsberechtigungen Ganz wichtige allgemeine Vorgabe: personenbezogene Logins, Passwörter dürfen nicht weitergegeben werden! (z. B. Urlaubsvertretung: gib mir schnell deinpasswort, dann kann ich Deine Mails im Urlaub lesen, damit keine Kundenanfrage verlorengeht no go aus Datenschutzsicht, macht zudem oftmals schlechten Eindruck) Rollenaccounts (vertrieb, verkauf, einkauf, support, etc.) Ticketsystem (offene Tickets, d. h. zu erledigende Punkte, können von anderen Personen eingesehen werden) Vertreterregelung Regelmäßige Reviews der Benutzerdatenbank: Mitarbeiter ausgeschieden diese Info muss an alle externen Dienstleister weitergegeben werden (mit Bitte zur Austragung der Zugangs-/Zugriffsberechtigungen des Benutzers). Worst-Case-Szenario: Dienstleister macht Lieferantenaudit Benutzerdatenbank auf dem Serversystem enthält veraltete Einträge. großes Probleme aus Datenschutzsicht! Protokollierung (Audit-Trail): Sämtliche Transaktionen im Rahmen der Zugangs-/Zugriffs-Steuerung werden protokolliert. (out of band, d. h. auf einem Dritten, vom potenziellen Angreifer nicht sabotierbares System). Einsatz von Kryptographie: Es sollten nur verschlüsselte Verbindungen verwendet werden, um Authentizität, Integrität und Vertraulichkeit des Kommunikationskanals sicherzustellen. 31

28 Change Management Klare Differenzierung: Standard-Change oder genehmigungspflichtiger Change ggf. Freigabe durch Service-Manager beim Auftraggeber. Change-Verfahren (Beschreibung des Changes) wichtiger Freigabeparameter: Hat der genehmigungspflichtige Change einen Security-Impact? (vgl. Security-Prozess im Rahmen des ISMS nach ISO/IEC 27001) darüberhinaus wichtig: - Priorisierung der Changes - Step-Back-Möglichkeit 32

29 Systemumgebungen Produktionsumgebung QS- Umgebung Entwicklungsumgebung Produktionsumgebung, Testumgebung und Entwicklungsumgebung sind voneinander entkoppelt. Die Testumgebung steht idealerweise als komplette Kopie zur Produktionsumgebung zur Verfügung (inkl. Backendanbindungen etc.) und ist definiert als Qualitätssicherungsumgebung. Keine Echtdaten insbesondere keine personenbezogenen Daten befinden sich auf der Entwicklungsumgebung 33

30 100/1000 Mbit 100/1000 Mbit 100/1000 Mbit Geschäftsprozessmonitoring Überwachung der Systeme / Systemmanagement Terminal Server 1 Application Server Terminal Server 2 Firewall Storage DB-Server 1 Terminal Server 3 Firewall Application Server Storage Terminal Server 4 DB-Server 2 34

31 Security-Awareness Client-Sicherheit: aktueller Virenscan Bildschirmschoner Bring in Your Own Device versus Security (Stichwort: keine private Daten auf Firmengeräten) Social Engineering hat ein hohes Gefährdungspotenzial: - Kunden-USB-Stick mit Virus - Versteckter USB-Stick am PC - WLAN-Basisstation oder WLAN-USB-Stick am Computer ansteckt 35

32 Zum Abschluss Wichtige Apskete zur IT-Security: - gelebte Sicherheit ist das A und O - Risikomanagement ist ein wichtiger Prozess - Transparenz (gelebte Sicherheit nach außen zeigen) durch Managementsysteme (wie ISO 27001, BSI Grundschutz-Modellierungen, ISIS12 o. ä.) 37

33 noris network Nürnberg-Süd (Zentrale) Thomas-Mann-Straße Nürnberg Telefon: noris network Nürnberg-Mitte Deutschherrnstraße Nürnberg (Deutschherrnkarree) noris network Nürnberg-Nord Kilianstraße Nürnberg Niederlassung München: Seidlstraße 8 (Nähe Hbf.) München Freiraum schaffen für Innovation, Kreativität, Produktivität 38

Outgesourcter Applikationsbetrieb nach ISO/IEC 20000 beim Rechenzentrumsdienstleister Joachim Astel 17.10.2012

Outgesourcter Applikationsbetrieb nach ISO/IEC 20000 beim Rechenzentrumsdienstleister Joachim Astel 17.10.2012 Outgesourcter Applikationsbetrieb nach ISO/IEC 20000 beim Rechenzentrumsdienstleister Joachim Astel 17.10.2012 datacenter.de ist eine Marke der noris network AG Was ist die ISO/IEC 20000 International

Mehr

Eine ISO-Norm für Wissensmanagement?

Eine ISO-Norm für Wissensmanagement? Eine ISO-Norm für Wissensmanagement? 09.12.2014 von Christian Katz Die aktuelle Revision der ISO 9001 (Qualitätsmanagementsysteme) lädt ein, über die Harmonisierung aller Managementsystem-Normen nachzudenken:

Mehr

ISO/IEC 27001. Neue Version, neue Konzepte. Quo Vadis ISMS?

ISO/IEC 27001. Neue Version, neue Konzepte. Quo Vadis ISMS? ISO/IEC 27001 Neue Version, neue Konzepte Quo Vadis ISMS? 2/18 Ursachen und Beweggründe Regulärer Zyklus für Überarbeitung von ISO/IEC 27001:2005 Zusätzlich neues Projekt MSS (Managment System Standards)

Mehr

datacenter.de ist eine Marke der noris network AG Compliance und Datenschutz Im Rechenzentrum Joachim Astel 09.10.2013

datacenter.de ist eine Marke der noris network AG Compliance und Datenschutz Im Rechenzentrum Joachim Astel 09.10.2013 datacenter.de ist eine Marke der noris network AG Compliance und Datenschutz Im Rechenzentrum Joachim Astel 09.10.2013 Die Gefahr von innen Ihre geschäftskritischen Daten sind in Gefahr Spionage Mitarbeiter

Mehr

Neuerungen und Anpassungen rund um ISO/IEC 27001:2013

Neuerungen und Anpassungen rund um ISO/IEC 27001:2013 Neuerungen und Anpassungen rund um ISO/IEC 27001:2013 Erfahrungsbericht eines Auditors Uwe Rühl 1 Uwe Rühl Kurz zu meiner Person Externer Client Manager (Lead Auditor) für ISO/IEC 27001, ISO 22301 und

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand Cloud- und Informationssicherheit -praktisch umgesetzt in KMU- IHK München (27. Februar 2014)

Mehr

ISO 27001:2013 ISMS DGQ-Regionalkreis Karlsruhe-Pforzheim-Gaggenau. secunomic GmbH www.secunomic.com

ISO 27001:2013 ISMS DGQ-Regionalkreis Karlsruhe-Pforzheim-Gaggenau. secunomic GmbH www.secunomic.com ISO 27001:2013 ISMS DGQ-Regionalkreis Karlsruhe-Pforzheim-Gaggenau secunomic GmbH www.secunomic.com 1 Zur Person Christian Wahl Dipl. Ing. (FH) Nachrichtentechnik secunomic GmbH Kloppenheimer Straße 105

Mehr

Security im agilen Umfeld. Joachim Astel Vorstand HR & Security noris network AG. Freiraum schaffen für Innovation, Kreativität, Produktivität

Security im agilen Umfeld. Joachim Astel Vorstand HR & Security noris network AG. Freiraum schaffen für Innovation, Kreativität, Produktivität Security im agilen Umfeld Joachim Astel Vorstand HR & Security noris network AG noris network Innovationstagung Nürnberg 21. April 2015 Freiraum schaffen für Innovation, Kreativität, Produktivität 1 Security

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

Joachim Astel Vorstand HR & Security. Freiraum schaffen für Innovation, Kreativität, Produktivität

Joachim Astel Vorstand HR & Security. Freiraum schaffen für Innovation, Kreativität, Produktivität Security im agilen Umfeld Joachim Astel Vorstand HR & Security noris network AG noris network Innovationstagung München 15. Juli 2015 Freiraum schaffen für Innovation, Kreativität, Produktivität 1 Security

Mehr

Änderungen ISO 27001: 2013

Änderungen ISO 27001: 2013 Änderungen ISO 27001: 2013 Loomans & Matz AG August-Horch-Str. 6a, 55129 Mainz Deutschland Tel. +496131-3277 877; www.loomans-matz.de, info@loomans-matz.de Die neue Version ist seit Oktober 2013 verfügbar

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

Security Audits. Ihre IT beim TÜV

Security Audits. Ihre IT beim TÜV Security Audits Ihre IT beim TÜV Thinking Objects GmbH Leistungsstark. Sicher. Nachhaltig. Gegründet 1994 inhabergeführt Hauptsitz Stuttgart Kompetenter IT-Dienstleister und Systemintegrator Schwerpunkte:

Mehr

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster Informationssicherheit im mittelstand... > Bavarian IT Security & Safety Cluster > ein PROdUKt des BayeRisCHen it-sicherheits- ClUsteRs e.v. der Bayerische it-sicherheitscluster e.v. Der Bayerische It-sicherheitscluster

Mehr

Kapitel 2: Grundlagen. Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1

Kapitel 2: Grundlagen. Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1 Kapitel 2: Grundlagen Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1 Kapitel 2: Inhalt 1. Grundlegende Ziele der IT-Sicherheit 2. Kategorisierung von Sicherheitsmaßnahmen 3. Standards der

Mehr

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010 IT-Sicherheit Abteilung IT/2 Informationstechnologie Dr. Robert Kristöfl 1 3. Dezember 2010 Begriffsdefinitionen Safety / Funktionssicherheit: stellt sicher, dass sich ein IT-System konform zur erwarteten

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

Information Security Management

Information Security Management Information Security Management 11. Unternehmertag der Universität des Saarlandes, 30. September 2013 Aufbau einer Information Security Organisation mit einem schlanken Budget Agenda 1. Die treibenden

Mehr

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN 1 Bayerischer IT-Sicherheitscluster e.v. 09.10.2015 REFERENT Claudia Pock Sales Managerin IT Security Applied Security

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

ISIS 12. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISIS 12. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISIS 12 Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISIS12 Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor Security Excellence Der psychologische

Mehr

IT-Sicherheit - Sicherheit vernetzter Systeme -

IT-Sicherheit - Sicherheit vernetzter Systeme - IT-Sicherheit - Sicherheit vernetzter Systeme - Kapitel 2: Grundlagen Folienversion: 18.10.2013 Wolfgang Hommel, Helmut Reiser, LRZ, WS 13/14 IT-Sicherheit 1 Kapitel 2: Inhalt 1. Grundlegende Ziele der

Mehr

Integrale Sanierungsentscheidungen - gemeinsame Betrachtung der Straße und aller Leitungsträger -

Integrale Sanierungsentscheidungen - gemeinsame Betrachtung der Straße und aller Leitungsträger - Göttingen, 25. Februar 2014 Integrale Sanierungsentscheidungen - gemeinsame Betrachtung der Straße und aller Leitungsträger - Bert Bosseler (Prof. Dr.-Ing.) - Wissenschaftlicher Leiter - IKT Institut für

Mehr

Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH /

Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH / Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH Pallas stellt sich vor Wir sind ein MSSP: Managed Security

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

CeBIT 17.03.2015. CARMAO GmbH 2014 1

CeBIT 17.03.2015. CARMAO GmbH 2014 1 CeBIT 17.03.2015 CARMAO GmbH 2014 1 HERZLICH WILLKOMMEN Applikationssicherheit beginnt lange bevor auch nur eine Zeile Code geschrieben wurde Ulrich Heun Geschäftsführender Gesellschafter der CARMAO GmbH

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Informationssicherheitsmanagement in der betrieblichen Praxis Anforderungen nach ISO/IEC 27001:2013 und das Zusammenwirken mit dem Qualitätsmanagement ISO 9001 IKS Service

Mehr

Normkonforme Informationssicherheit

Normkonforme Informationssicherheit Normkonforme Informationssicherheit Dr. Andreas Gabriel Ethon GmbH 25. September 2014 Notwendige Sicherheit in unserem Alltag?! Lassen Sie uns starten Chongqing (China) Washington (USA) Quellen: Facebook;

Mehr

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management 1 4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management Bernhard Barz, regio it aachen 2 Gliederung Informationssicherheit Anforderungen der ÖV Informationssicherheit im IT

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2-4

Mehr

Informationen zur Datensicherheit gemäß ISO 27001. Daten- & Informationssicherheit. Ein Unternehmen der

Informationen zur Datensicherheit gemäß ISO 27001. Daten- & Informationssicherheit. Ein Unternehmen der Informationen zur Datensicherheit gemäß ISO 27001. Daten- & Informationssicherheit abs Fondsplattform schafft Informationssicherheit Die Sicherheit sensitiver Daten gehört zu den grundlegenden Anforderungen

Mehr

IT-Compliance Management und Identity Management Aktuelle Trends

IT-Compliance Management und Identity Management Aktuelle Trends IT-Compliance Management und Identity Management Aktuelle Trends Kurzbefragung Deutschland, April 2009 Matthias Zacher Senior Advisor matthias.zacher@experton-group.com Inhalt Themenabgrenzung Stichprobencharakteristika

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Datensicherheit im Gesundheitswesen Christian Proschinger Raiffeisen Informatik GmbH

Datensicherheit im Gesundheitswesen Christian Proschinger Raiffeisen Informatik GmbH Datensicherheit im Gesundheitswesen Christian Proschinger Raiffeisen Informatik GmbH Raiffeisen Informatik Tätigkeitsfeld Security Competence Center Zwettl Datensicherheit Gesetzliche Anforderungen Angriffsvektoren

Mehr

Trends und Entwicklungen in der Normung und in Österreich Vom Qualitätsmanagement bis zum Integrierten Management Axel Dick

Trends und Entwicklungen in der Normung und in Österreich Vom Qualitätsmanagement bis zum Integrierten Management Axel Dick Trends und Entwicklungen in der Normung und in Österreich Vom Qualitätsmanagement bis zum Integrierten Management Axel Dick Vergleich QSU Systemmodelle in Österreich Folie Nr. 2 Integriertes Management

Mehr

Race to ISMS. ISIS12 - Informationssicherheit für den Mittelstand / Kommunen. IHK Nürnberg für Mittelfranken 11. Juni 2015

Race to ISMS. ISIS12 - Informationssicherheit für den Mittelstand / Kommunen. IHK Nürnberg für Mittelfranken 11. Juni 2015 ISIS12 - Informationssicherheit für den Mittelstand / Kommunen Race to ISMS IHK Nürnberg für Mittelfranken 11. Juni 2015 Security Excellence Wer wir sind. Bremen Hamburg Berlin Wolfsburg FI Dortmund SE

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR.

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. Hans Joachim von Zieten DATEN DAS WICHTIGSTE GUT Daten und Informationen sind ein wichtiges, ja sogar

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

GRC-Suite i RIS Eine intelligente Lösung

GRC-Suite i RIS Eine intelligente Lösung GRC-Suite i RIS GRC-Suite i RIS Eine intelligente Lösung Die Software GRC-Suite i RIS (intelligent Reports, Informations and Solutions) unterstützt Sie effektiv und effizient in Ihrem Governance-, Risk-

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9. DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor

Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9. DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9 DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor ISO/IEC 27013 Information technology - Security techniques - Guidance on the integrated

Mehr

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten Cloud Computing Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für 02.06.2015 1 Dozenten Katharina Wiatr Referentin für Beschäftigtendatenschutz (030) 13889 205; wiatr@datenschutz-berlin.de

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

Richtlinie zur Informationssicherheit

Richtlinie zur Informationssicherheit Richtlinie zur Informationssicherheit Agenda Einführung Gefahrenumfeld Warum benötige ich eine Richtlinie zur IT-Sicherheit? Grundlagen Datenschutz Best-Practice-Beispiel Vorgehensweise Richtlinie zur

Mehr

Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn Sie einen

Mehr

Security of Internet Payments

Security of Internet Payments Die Recommendations for the Security of Internet Payments Informationsveranstaltung: IT-Aufsicht bei Banken 29. Oktober 2013 Dr. Markus Held, BA 58 Überblick Einleitung - Worum geht es? European Forum

Mehr

OWASP. Open Web Application Security Project. Dr. Ingo Hanke. IDEAS Information & Design Applications. Dr. Ingo Hanke

OWASP. Open Web Application Security Project. Dr. Ingo Hanke. IDEAS Information & Design Applications. Dr. Ingo Hanke OWASP IDEAS Information & Design Applications O WA S P O WA S P WA S ist Web Application Security? Part I: Web Application Security Aufgabe 1 Werte identifizieren Personenbezogene Daten Sachdaten Prozesse

Mehr

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin Software EMEA Performance Tour 2013 17.-19 Juni, Berlin In 12 Schritten zur ISo27001 Tipps & Tricks zur ISO/IEC 27001:27005 Gudula Küsters Juni 2013 Das ISO Rennen und wie Sie den Halt nicht verlieren

Mehr

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt

Mehr

Innovationstagung 2015. Ist DEVOPS das neue IT-Outsourcing? Sind DEVOPS und Outsourcing kompatibel?

Innovationstagung 2015. Ist DEVOPS das neue IT-Outsourcing? Sind DEVOPS und Outsourcing kompatibel? Innovationstagung 2015 Ist DEVOPS das neue IT-Outsourcing? Sind DEVOPS und Outsourcing kompatibel? noris network Innovationstagung München 15. Juli 2015 Freiraum schaffen für Innovation, Kreativität, Produktivität

Mehr

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015 ITK Sicherheitsgesetz Umsetzung mit verinice.pro verinice.xp- Grundschutztag 15.09.2015 Überblick Kurze Vorstellung des IT-Sicherheitsgesetzes Konkretisierung des Gesetzes für Energieversorger Abbildung

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Unsichere Zeiten für unsichere Systeme

Unsichere Zeiten für unsichere Systeme Trusted Hosting Services von ADACOR Unsichere Zeiten für unsichere Systeme IT-Sicherheit ist komplex: die technische Vielschichtigkeit, die wachsende Anzahl an gesetzlichen Regelungen auf deutscher, europäischer

Mehr

IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY

IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY Security Services Risiken erkennen und gezielt reduzieren Ein zuverlässiger Schutz Ihrer Werte

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit mit TÜV Rheinland geprüfter Qualifikation 9. 13. März 2015, Berlin 14. 18. September 2015, Köln Cyber Akademie (CAk) ist eine eingetragene Marke www.cyber-akademie.de

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

IHK: Web-Hacking-Demo

IHK: Web-Hacking-Demo sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

3 Juristische Grundlagen

3 Juristische Grundlagen beauftragter - Grundlagen Ziele: Einführung in das recht Kennen lernen der grundlegenden Aufgaben des beauftragten (DSB) Praxishinweise für die Umsetzung Inhalte: Ziele des es Zusammenarbeit mit Datensicherheit/IT-Sicherheit

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

Informationssicherheit: Praxisnahe Schutzmaßnahmen für kleine und mittlere Unternehmen

Informationssicherheit: Praxisnahe Schutzmaßnahmen für kleine und mittlere Unternehmen Informationssicherheit: Praxisnahe Schutzmaßnahmen für kleine und mittlere Unternehmen Claudiu Bugariu Industrie- und Handelskammer Nürnberg für 17. April 2015 Aktuelle Lage Digitale Angriffe auf jedes

Mehr

Prüfbericht. EgoSecure ENDPOINT. Version: Ladenburg, 28.03.2014 Ersteller: Holger Vier, Sachverständiger

Prüfbericht. EgoSecure ENDPOINT. Version: Ladenburg, 28.03.2014 Ersteller: Holger Vier, Sachverständiger Prüfbericht EgoSecure ENDPOINT Version: Ladenburg, 28.03.2014 Ersteller: Holger Vier, Sachverständiger Das Unternehmen EgoSecure verspricht mit seinem Produkt, EgoSecure Endpoint, die Implementierung von

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt Vorlesung im Sommersemester 2011 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche

Mehr

Informationssicherheit. Materna GmbH 2014 www.materna.de 1

Informationssicherheit. Materna GmbH 2014 www.materna.de 1 Informationssicherheit Materna GmbH 2014 www.materna.de 1 Security Excellence www.materna.de 3 Unsere Unternehmensgruppe. Bremen Hamburg Gründer. UK SE DK NL DE PL CZ CH AT SK IT FI Berlin Wolfsburg Dortmund

Mehr

Risikomanagement für IT-Netzwerke mit Medizinprodukten. FH-Prof. Dipl.-Ing. Alexander Mense, CISSP Ing. Franz Hoheiser-Pförtner, MSc, CISSP

Risikomanagement für IT-Netzwerke mit Medizinprodukten. FH-Prof. Dipl.-Ing. Alexander Mense, CISSP Ing. Franz Hoheiser-Pförtner, MSc, CISSP Risikomanagement für IT-Netzwerke mit Medizinprodukten FH-Prof. Dipl.-Ing. Alexander Mense, CISSP Ing. Franz Hoheiser-Pförtner, MSc, CISSP Agenda Ausgangssituation Herausforderungen Der erste Schritt als

Mehr

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01.

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01. Sicherheit von W eb- Applikationen Grünes Licht für verlässlichere Online- Services Deutschland sicher im Netz e.v. Köln, 24.01.2008 Georg Heß Agenda Kurzprofil der art of defence GmbH Sicherheitsleck

Mehr

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn

Mehr

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz 3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz Institut für Informatik und Automation Dipl.-Inf. Günther Diederich Institut für Informatik und Automation In-Institut der Hochschule

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts. Datensicherheit im Unternehmen

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts. Datensicherheit im Unternehmen Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Datensicherheit im Unternehmen Feinwerkmechanik-Kongress 2014 Nürnberg 7. und 8. November Heiko Behrendt ISO

Mehr

1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet?

1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet? Datum:... - 1 Uhrzeit:... Betrieb:... AP:... Fragenkatalog für Kontrollen TLfDI - nichtöffentlicher Bereich - Allgemeine Fragen 1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet?

Mehr

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org.

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org. IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten Amir Alsbih 17.11.2011 http://www.xing.com/profile/amir_alsbih http://de.linkedin.com/pub/amiralsbih/1a/19a/b57 Copyright The Foundation

Mehr

esec der sichere Weg zum ganzheitlichen Information-Security-Management-System (ISMS) nach ISO 27001 Version: 2.9 / 29.09.2008

esec der sichere Weg zum ganzheitlichen Information-Security-Management-System (ISMS) nach ISO 27001 Version: 2.9 / 29.09.2008 esec der sichere Weg zum ganzheitlichen Information-Security-Management-System (ISMS) nach ISO 27001 Version: 2.9 / 29.09.2008 WMC Wüpper Management Consulting GmbH Vertriebs-/Projektbüros Unternehmenssitz

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter Senior Sales Engineer 1 Das Szenario 2 Früher Auf USB-Sticks Auf Netzlaufwerken Auf CDs/DVDs Auf Laptops & PCs 3 Jetzt Im Cloud Storage

Mehr

Secure Webcoding for Beginners

Secure Webcoding for Beginners Secure Webcoding for Beginners $awareness++ Florian Brunner Florian Preinstorfer 09.06.2010 Hacking Night 2010 Vorstellung Florian Brunner Software Engineer CTF-Team h4ck!nb3rg Student sib08 Florian Preinstorfer

Mehr

IT-Sicherheit. 1. Einführung und organisatorische Sicherheit. 2. Datenschutz und Nicht-technische Datensicherheit. 3. Identity Management

IT-Sicherheit. 1. Einführung und organisatorische Sicherheit. 2. Datenschutz und Nicht-technische Datensicherheit. 3. Identity Management IT-Sicherheit 1. Einführung und organisatorische Sicherheit 2. Datenschutz und Nicht-technische Datensicherheit 3. Identity Management 4. Angewandte IT Sicherheit 5. Praktische IT Sicherheit 1. Einführung

Mehr

Überblick über existierende Vorschriften, Gesetze und Normen

Überblick über existierende Vorschriften, Gesetze und Normen 5 Überblick über existierende Vorschriften, Gesetze und Normen Als Reaktion auf die ansteigende Anzahl der bekannt werdenden Fälle skandalöser Betriebsführungen, hat der Gesetzgeber eine Fülle von neuen

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Gemeinsamkeiten & Probleme beim Management von Informationssicherheit & Datenschutz

Gemeinsamkeiten & Probleme beim Management von Informationssicherheit & Datenschutz Gemeinsamkeiten & Probleme beim Management von Informationssicherheit & Datenschutz Gemeinsame Sitzung von AK 1 & 5 am 02.04.2013 Bernhard C. Witt (it.sec GmbH & Co. KG) Bernhard C. Witt Berater für Datenschutz

Mehr