IT-Grundschutz Entscheider & Manager
|
|
- Dörte Buchholz
- vor 8 Jahren
- Abrufe
Transkript
1 IT-Grundschutz für Entscheider & Manager Malte Hesse Institut für Internet-Sicherheit Fachhochschule Gelsenkirchen
2 IT-Sicherheit ist... gefährdet Höhere Gewalt: Feuer, Wasser, Blitzschlag, Krankheit,... Organisatorische Mängel: Fehlende oder unklare Regelungen, fehlende Konzepte,... Menschliche Fehlhandlungen: "Die größte Sicherheitslücke sitzt oft vor der Tastatur" Technisches Versagen: Systemabsturz, Plattencrash,... Vorsätzliche Handlungen: Hacker, Viren, Trojaner,... 2
3 IT-Sicherheit ist... gefährdet Der Benutzer hätte am liebsten keine komplizierten Passwörter und der Administrator am liebsten keine Benutzer kompromittierte Passwörter von Flirtlife.de x x x x x Sicherheitsbewusstsein der Benutzer?! 3
4 IT-Sicherheit ist... gefährdet :Spionage ein Thema? Quelle: W. Karden, Verfassungsschutz NRW 4
5 IT-Sicherheit ist... gefährdet :Spionage ein Thema? Der Mensch bleibt die größte Sicherheitslücke Quelle: W. Karden, Verfassungsschutz NRW 5
6 IT-Sicherheit ist... gefährdet :Spionage ein Thema? Quelle: W. Karden, Verfassungsschutz NRW 6
7 Rechtliche Aspekte der IT-Sicherheit (1/2) Die Unternehmensleitung hat die Gesamtverantwortung für die IT- Sicherheit Persönliche Haftung bei Fahrlässigkeit (KonTraG, AktG, GmbHG etc.) Datenschutzgesetze des Bundes und der Länder Basel II Vergaberichtlinie für die Kreditvergabe Seit Januar 2007 u. a. im Kreditwesengesetz verankert Mindestanforderungen an das Risikomanagement Aktives IT-Risikomanagement kann Kreditkosten senken! Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS) IT-Sicherheit ist Chefsache! 7
8 Rechtliche Aspekte der IT-Sicherheit (2/2) IT-Sicherheit beeinflusst aber auch andere Organe im Unternehmen: Betriebsrat Vertreter der IT-Benutzer bei Betriebsvereinbarungen Nutzung von am Arbeitsplatz, Einsatz von Spam- & Viren-Filtern Mitarbeiter Ohne Akzeptanz der Mitarbeiter, keine IT-Sicherheit Strafrecht/Arbeitsrecht besonders: Administratoren Strafrecht: Computerbetrug ( 263a StGB), Fälschung beweiserheblicher Daten ( 269 StGB), Sachbeschädigung: Datenveränderung ( 303a StGB) und Computersabotage ( 303b StGB) IT-Sicherheit ist nicht nur Chefsache! 8
9 Neue organisatorische Anforderungen HIPAA (USA) ISO 18501/ FDA 21 CRF Part 11 SEC 17a-4 (USA) Sarbanes-Oxley Act (USA) Canadian Electronic Evidence Act Public Records Office (UK) Basel II Capital Accord Financial Services Authority (UK) Electronic Ledger Storage Law (Japan) 11MEDIS-DC (Japan) AIPA (Italy) GDPdU & GoBS (Germany) NF Z (France) BSI PD0008 (UK) Quelle: M. Hochenrieder, HvS-Consulting GmbH 9
10 Methodik für f r IT-Sicherheit? Viele Wege führen zur IT-Sicherheit... Welcher Weg ist der effektivste? 10
11 Rahmenwerke & Standards im Bereich Informationssicherheit ISO / ISO Internationaler Informationssicherheitsstandard Fokus: Etablierung eines Information Security Management System (ISMS) BSI IT-Grundschutz Nationaler Sicherheitsstandard Empfehlung für (technische) Basis-Sicherheitsmaßnahmen COBIT Control Objectives for Information & related Technologie Modell zur Überwachung & Prüfung der IT ITIL / ISO Sicherheitsmanagement Sammlung von Best Practices Betrieb von IT-Infrastrukturen Quelle: M. Hochenrieder, HvS-Consulting GmbH 11
12 BSI IT-Grundschutz Neugliederung des IT-Grundschutzes Bis 2004 Neu ab 2005 BSI-Standards & Loseblattsammlung Pauschalisierte Gefährdungen und Eintrittswahrscheinlichkeiten, keine klassische Risikoanalyse Empfehlung von Standard-Sicherheitsmaßnahmen konkrete Maßnahmenbeschreibung 12
13 BSI IT-Grundschutz Neugliederung des IT-Grundschutzes BSI-Standards zur IT-Sicherheit - Bereich IT-Sicherheitsmanagement BSI Standard ISMS: Managementsysteme für Informationssicherheit BSI Standard IT-Grundschutz Vorgehensweise BSI Standard Risikoanalyse auf Basis von IT-Grundschutz Zertifizierung nach ISO auf der Basis von IT-Grundschutz Prüfschema für ISO Audits IT-Grundschutz Kataloge Kapitel 1: Einleitung Kapitel 2: Schichtenmodell und Modellierung Kapitel 3: Glossar Kapitel 4: Rollen -Baustein-Kataloge - Kap.B1 Übergreifende Aspekte -Kap. B1.0 IT-Sicherheitsmgnt. - Kap. B2 Infrastruktur - Kap. B3 IT-Systeme - Kap. B4 Netze - Kap. B5 IT-Anwendungen -Gefährdungs-Kataloge -Maßnahmen-Kataloge 13
14 Fortlaufender IT-Sicherheitsprozess im IT-Grundschutzhandbuch IT-Sicherheitsleitlinie IT-Sicherheitsmanagement Revision Kontrolle Betrieb Planung Umsetzung Schulung 14
15 IT-Sicherheitsprozess IT-Sicherheitsleitlinie (Policy) Die IT-Sicherheitsleitlinie sollte mindestens enthalten: Stellenwert der IT-Sicherheit Bedeutung der IT für die Aufgabenerfüllung Begr.: Gesetze, Kundenanforderungen, Konkurrenzsituation Sicherheitsziele und Sicherheitsstrategie Beschreibung der Organisationsstruktur für die Umsetzung des IT-Sicherheitsprozesses Zusicherung, dass die IT Sicherheitsleitlinie von der Leitungsebene durchgesetzt wird: IT-Sicherheit ist Chefsache! 15
16 IT-Sicherheitsprozess IT-Sicherheitsmanagement (1/2) Der IT-Sicherheitsbeauftragte als delegierter der Unternehmensleitung ist verantwortlich für die Wahrnehmung aller Belange der IT-Sicherheit innerhalb der Organisation koordiniert die Erstellung des IT-Sicherheitskonzepts, des Notfallvorsorgekonzepts etc. erstellt den Realisierungsplan für IT-Sicherheitsmaßnahmen und prüft die Realisierung stellt den Informationsfluss zur Leitungsebene und zu den IT-Verantwortlichen sicher Muss seiner Aufgabe gewachsen sein und die notwendigen Ressourcen erhalten! 16
17 IT-Sicherheitsprozess IT-Sicherheitsmanagement (2/2) Das IT-Sicherheitsmanagement-Team unterstützt den IT-Sicherheitsbeauftragten bei der Wahrnehmung seiner Aufgaben bestimmt IT-Sicherheitsziele und -strategien entwickelt die IT-Sicherheitsleitlinie und prüft deren Umsetzung wirkt mit bei der Erstellung des IT-Sicherheitskonzepts prüft die Wirksamkeit der IT-Sicherheitsmaßnahmen erstellt Schulungs- und Sensibilisierungsprogramme 17
18 Erstellung und Realisierung eines IT-Sicherheitskonzepts IT-Strukturanalyse: Analyse des Ist-Zustands Welche Systeme und Anwendungen? Feststellung des Schutzbedarfs IT-Grundschutzanalyse: Modellierung des IT-Verbundes (Auswahl der Maßnahmen) Basis-Sicherheitscheck (Soll-Ist-Vergleich) ca. 80% ergänz. Sicherheitsanalyse bei hohem Schutzbedarf Konsolidierung der Maßnahmen Realisierung der Maßnahmen ca. 20% 18
19 IT-Strukturanalyse Erfassen der IT-Systeme Erstellung bzw. Aktualisierung eines Netzplans (grafische Übersicht) Komplexitätsreduktion durch Gruppenbildung Erhebung der IT-Systeme (Tabelle) IT-Systeme sind nicht nur Computer, sondern auch aktive Netzkomponenten, Netzdrucker, TK-Anlagen etc. Insbesondere sind auch nicht vernetzte IT-Systeme und IT-Systeme, die nicht im Netzplan enthalten sind, zu berücksichtigen. 19
20 IT-Strukturanalyse Beispiel: Gruppenbildung Internet S2: Primärer Domänen- Controller (Windows NT) S3: Exchange- Server (Windows NT) S4: File- Server (Novell Netware) S5: Kommunikations- Server (Unix) S6: Backup Domänen- Controller (Windows NT) N1: Router S1: Server für Personalverwaltung (Windows NT) Liegenschaft Bonn N2: Firewall N4: Switch C1: 5 Client- Computer für Personalverwaltung (Windows NT) N3: Switch C2: 10 Client- Computer für Verwaltung (Windows NT) IP N5: Router Standleitung C3: 75 Client- Computer für Fachabteilungen (Windows NT) N6: Router IP Liegenschaft Berlin N7: Switch C4: 40 Client-Computer (Windows NT) 20
21 IT-Strukturanalyse Darstellung der IT-Systeme notwendige Informationen Nr. Beschreibung Plattform Anz. Standort Status Anwender/ Admin. S1 Server für Personalverwaltung Windows NT Server 1 Bonn, R 1.01 in Betrieb Personalreferat S2 C6 N1 T1 Windows NT Server Laptop unter Windows XP Router Primärer Domänen- Controller Gruppe der Laptops für den Standort Berlin Router zum Internet-Zugang TK-Anlage für Bonn ISDN-TK- Anlage 1 Bonn, R Berlin, R Bonn, R Bonn, B.02 in Betrieb in Betrieb in Betrieb in Betrieb alle IT-Anwender alle IT-Anwender in Berlin alle IT-Anwender alle Mitarb. in Bonn 21
22 IT-Strukturanalyse Erfassen der IT-Anwendungen Erfassung der IT-Anwendungen und der zugehörigen Informationen (Tabelle) Diejenigen IT-Anwendungen des jeweiligen IT-Systems, deren Daten bzw. Informationen und Programme den höchsten Bedarf an Geheimhaltung (Vertraulichkeit) besitzen, deren Daten bzw. Informationen und Programme den höchsten Bedarf an Korrektheit und Unverfälschtheit (Integrität) besitzen, die die kürzeste tolerierbare Ausfallzeit (höchster Bedarf an Verfügbarkeit) haben, müssen erfasst werden. Es ist nicht sinnvoll, alle IT-Anwendungen zu erfassen. 22
23 IT-Strukturanalyse Darstellung der IT-Anwendungen Auszug aus der Liste der IT-Anwendungen Beschreibung der IT-Anwendungen Anw.- Nr. A1 A4 IT-Anwendung/ Informationen Personaldatenverarbeitung Benutzer- Authentisierung Pers.- bez. Daten A5 Systemmanagement X A7 zentrale Dokumentenverwaltung X IT-Systeme S1 S2 S3 S4 S5 S6 S7 X X X X X 23
24 IT-Strukturanalyse Ergebnisdokument 24
25 Schutzbedarfsfeststellung Übersicht Definition der Schutzbedarfskategorien Schutzbedarfsfeststellung für IT-Anwendungen einschließlich ihrer Daten IT-Systeme Kommunikationsverbindungen IT-Räume anhand von typischen Schadensszenarien Dokumentation der Ergebnisse 25
26 Schutzbedarfsfeststellung Schutzbedarfskategorien Schutzbedarfsfeststellung erfolgt immer bezüglich der Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit. Betrachtung von typischen Schadensszenarien aus Sicht der Anwender ("Was wäre, wenn...?") Verstoß gegen Gesetze, Vorschriften, Verträge Beeinträchtigung des informationellen Selbstbestimmungsrechts Beeinträchtigung der persönlichen Unversehrtheit (Leib & Leben) Beeinträchtigung der Aufgabenerfüllung negative Außenwirkung finanzielle Auswirkungen 26
27 Schutzbedarfsfeststellung Schutzbedarfskategorien Schutzbedarf ist meist nicht quantifizierbar. Beschränkung auf drei Kategorien Beispiel: finanzielle Auswirkungen (Mittelstand) niedrig bis mittel hoch sehr hoch Schutzbedarfskategorie Die Schadensauswirkungen sind begrenzt und überschaubar Die Schadensauswirkungen können beträchtlich sein Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen Individualisierung der Zuordnungstabelle! 27
28 Schutzbedarfsfeststellung Beispiel: IT-Anwendungen IT-Anwendung Nr. Bezeichnung pers. Daten Grundwert Schutzbedarfsfeststellung Schutzbedarf Begründung A1 Personaldatenverarbeitung Vertr. hoch schutzbedürft., personenbez. Daten, Gehaltsinformationen A2 Beihilfeabwicklung Integr. mittel Fehler werden rasch erkannt und korrigiert. Verf. mittel Ausfälle bis zu einer Woche können mittels manueller Verfahren überbrückt werden. Vertr. hoch schutzbedürft., personenbez. Daten, z.t. Hinweise auf Erkrankungen etc. Integr. mittel Fehler werden rasch erkannt und korrigiert. Verf. mittel Ausfälle bis zu einer Woche können mittels manueller Verfahren überbrückt werden. 28
29 Schutzbedarfsfeststellung Erreichbares Sicherheitsniveau Schutzwirkung von Standard-Sicherheitsmaßnahmen nach IT-Grundschutz sind für die Schutzbedarfskategorie "niedrig bis mittel" im Allgemeinen ausreichend und angemessen, für die Schutzbedarfskategorie "hoch" Basisschutz, unter Umständen nicht ausreichend, zusätzliche Sicherheitsmaßnahmen, können durch ergänzende Sicherheitsanalyse ermittelt werden, für die Schutzbedarfskategorie "sehr hoch" Basisschutz, im Allgemeinen nicht ausreichend, so dass eine ergänzende Sicherheitsanalyse notwendig ist. 29
30 Schutzbedarfsfeststellung Ergebnis 30
31 Modellierung nach IT-Grundschutz Nachbildung des IT-Verbunds durch Bausteine des IT-Grundschutzhandbuchs 31
32 Struktur des IT-Grundschutzhandbuchs Kapitel ("Bausteine") Gefährdungskataloge Höhere Gewalt Organisatorische Mängel Menschliche Fehlhandlungen Technisches Versagen Vorsätzliche Handlungen Maßnahmenkataloge Infrastruktur Organisation Personal Hardware/Software Kommunikation Notfallvorsorge 32
33 IT-Grundschutzhandbuch Bausteine (Auswahl) IT-Systeme Unix-Server Novell Netw. Windows 2k TK-Anlage Telearbeit Anwendungen WWW-Server Datenbanken IIS/ Apache Exchange/ Outlook Archivierung 33
34 Basis-Sicherheitscheck Übersicht IT-Grundschutz-Modell Internet Exchange- Server (Windows NT) Primärer Domänen- Controller (Windows NT) File-Server (Novell Netware) Kommunikations - Server (Unix) Backup Domänen- Controller (Windows NT) Router Switch IP IP Switch Firewall Router Standleitung Router Switch Server für Personalverwaltun g (Windows NT) 15 Client- Computer (Windows NT) 75 Client- Computer (Windows NT) Liegenschaft Bonn Liegenschaft Berlin 40 Client- Computer (Windows NT) Maßnahmenempfehlungen Soll-/Ist-Vergleich umzusetzende Maßnahmen Realisierte Maßnahmen 34
35 Basis-Sicherheitscheck Umsetzungsstatus Möglicher Umsetzungsstatus einzelner Maßnahmen: "entbehrlich" "ja" Umsetzung ist nicht notwendig, da Gefährdungen durch andere adäquate Maßnahmen entgegengewirkt wird. nicht relevant, weil z. B. Dienste nicht aktiv Risiko-Übernahme (Akzeptanz des Risikos) Risiko-Transfer (Versicherungsschutz oder Outsourcing) Alle Empfehlungen sind vollständig und wirksam umgesetzt. "teilweise" "nein Maßnahmen müssen umgesetzt werden. 35
36 Priorisierung der Sicherheitsmängel und -maßnahmen Schutzbedarfsstufe // Bedrohung Dringend Dringend Sicherheitslücken Don't Don't forget forget Wichtig Wichtig Eintrittswahrscheinlichkeit Risiko 36
37 Ergänzende Sicherheitsanalyse Ist durchzuführen, wenn Schutzbedarfskategorie "hoch" oder sehr hoch" in mindestens einem der drei Grundwerte vorliegt, zusätzlicher Analysebedarf besteht (z.b. bei besonderem Einsatzumfeld) oder wenn für bestimmte Komponenten oder Aspekte kein geeigneter Baustein im IT-Grundschutzhandbuch existiert. Mögliche Vorgehensweisen sind: Risikoanalyse - relevante Bedrohungen ermitteln - Eintrittswahrscheinlichkeiten schätzen Penetrationstest - Verhalten eines Angreifers simulieren - Blackbox- und Whitebox-Ansatz unterscheiden Grundschutzmaßnahmen IT-Grundschutzanalyse Konsolidierung der Maßnahmen ergänzende Sicherheitsanalyse höherwertige Maßnahmen Gesamtheit zu realisierender IT-Sicherheitsmaßnahmen 37
38 Realisierung von IT- Sicherheitsmaßnahmen Schritt 1: Sichtung der Untersuchungsergebnisse Welche Maßnahmen sind nicht oder nur teilweise umgesetzt? Schritt 2: Konsolidierung der Maßnahmen Welche IT-Grundschutzmaßnahmen werden durch höheroder gleichwertige Maßnahmen ersetzt? Schritt 3: Kosten- und Aufwandsschätzung Welche einmaligen/wiederkehrenden Investitions- bzw. Personalkosten entstehen? Schritt 4: Festlegung der Umsetzungsreihenfolge Welche fehlenden Maßnahmen sollten zuerst umgesetzt werden? Schritt 5: Festlegung der Verantwortlichkeit Wer setzt welche Maßnahme bis wann um? Stehen die erforderlichen Ressourcen zur Verfügung? Schritt 6: Realisierungsbegleitende Maßnahmen Werden die Mitarbeiter geschult und sensibilisiert, so dass die IT-Sicherheitsmaßnahmen akzeptiert werden? 38
39 Fazit IT-Grundschutz bedeutet... Wissen Systeme, Anwendungen, Kommunikationsverbindungen, Räume Schutzbedarf Management und Organisation Sicherheitsmanagement Sicherheitskonzept Organisation Personal Notfallvorsorge Technik Sicherung der Infrastruktur Standardsicherheitsmaßnahmen für Standardkomponenten 39
40 IT-Grundschutz Grundschutz-Zertifizierung Was bringt es mir??? gültig bis
41 IT-Grundschutz Grundschutz-Zertifizierung Überblick Das IT-Grundschutz-Zertifikat bescheinigt die Umsetzung der Vorgehensweise gemäß IT-Grundschutzhandbuch seit 2002 Zertifizierungsverfahren veröffentlicht Schemadokumente zum Download: seit Januar 2004 auch auf Englisch erhältlich seit Anfang 2006 IT-Grundschutz-Zertifikat des BSI nach ISO
42 IT-Grundschutz Zertifizierung Zielgruppen Für wen lohnt eine IT-Grundschutz Zertifizierung? Allgemein: Als Nachweis eines funktionierenden IT-Sicherheitsmanagements Für Unternehmen gegenüber Kunden Geschäftspartnern Geldgebern (Stichwort Basel II) Aufsichtsorganen Für Behörden gegenüber Bürgern oder Unternehmen E-Government 42
43 IT-Grundschutz Zertifizierung Anwendungsbereiche Was kann zertifiziert werden? Ein oder mehrere Geschäftsprozesse Eine oder mehrere Fachaufgaben Eine oder mehrere Organisationseinheiten Es braucht nicht gleich das gesamte Unternehmen zu sein! Bedingung: IT-Verbund muss eine sinnvolle Mindestgröße haben! 43
44 IT-Grundschutz Grundschutz-Zertifizierung Ablauf (vereinfacht) Prüfung erfolgt durch einen vom BSI lizensierten IT-Grundschutz- Auditor Auditor prüft die Umsetzung von IT-Grundschutz und erstellt den Auditreport Prüfung der vorhandenen Dokumente Prüfung von Stichproben vor Ort Unternehmen stellt Zertifizierungsantrag beim BSI BSI prüft den Auditreport Falls Prüfung positiv: Zertifikat wird erteilt Kosten für BSI: ca Zertifikat wird veröffentlicht (Internet und Zeitschrift <kes>) 44
45 IT-Grundschutz Grundschutz-Zertifizierung Erfahrungen des BSIs IT-GS-Zertifizierung ist sowohl für kleine Unternehmen als auch für große Rechenzentren geeignet! Umsetzung: 6-12 Monate Aufwand des Auditors: ca. 10 Tage Erfolgsfaktoren: Unterstützung durch die Geschäftsleitung Verständnis, Kooperationsbereitschaft und aktive Unterstützung durch die IT- und TK-Verantwortlichen Tool-Unterstützung 45
46 Investment & Wirtschaftlichkeit Das liebe Geld... 46
47 IT-Sicherheitsrisiko und -Investment Investment ( ) Risiko Investment Schritt n Reduzierte Risiken << Investment Schritt 1 Reduzierte Risiken >> Investment Reduzierte Risiken Schritt - 1 Reduzierte Risiken Schritt - n Investment zur Risikominderung Investment????? Verbleibende Risiken Grad der IT-Security Implementation 47
48 Investment zur Risikominimierung Grundschutz Pareto-Prinzip (80:20 Regel) 20% der möglichen IT-Sicherheitsmechanismen richtig eingesetzt liefern 80% Schutz vor potentiellen Bedrohungen Das bedeutet, dass mit dem Einsatz der richtigen IT-Sicherheitsma Sicherheitsmaßnahmen mit einem relativ geringen Aufwand, ein vernünftiger nftiger Grundschutz für IT-Systeme hergestellt werden kann. Die Wirtschaftlichkeit von IT-Sicherheitsmaßnahmen ist ein zunehmend wichtiger und sehr komplexer Punkt, mit dem sich die Verantwortlichen in Unternehmen, Behörden, aber auch die Regierungen, in einer gesellschaftlichen Verantwortung auseinandersetzen müssen. 48
49 Investment zur Risikominimierung Spezieller Schutz Wenn ein Grundschutz bereits implementiert ist, wird notwendiges weiteres Investment in Sicherheit sehr groß und ist wirtschaftlich isoliert betrachtet, i.d.r. nicht mehr sinnvoll. Es kann aber andere Gründe außer der Wirtschaftlichkeit geben, ein solches Investment dennoch durchzuführen. Ist im Gesamtzusammenhang besonders wichtig kritische Infrastruktur besonders sensibler Bereich Gesetzliche Notwendigkeiten Im militärischen Bereich, zum Schutz der Gesellschaft Wenn es um die Sicherheit von Menschen geht Angst Übertriebenes Sicherheitsgefühl 49
50 Wirtschaftlichkeit RoI = Return on Investments Nutzen den Kosten gegenübergestellt Was nützt ein Investment bezüglich Kostenminimierung und/oder Umsatzsteigerung? Wann hat sich eine Investition amortisiert, d.h. die Anschaffung für die Investition wird durch den mit der Investition erwirtschafteten Ertrag gedeckt? Problem bei IT-Sicherheit: Quantitativer Nachweis von Schäden ist sehr schwierig! (Mittelbare und unmittelbare finanzielle Schäden; Renommeeverlust, Vertrauensverlust,...) Return on Security Investment (RoSI( RoSI) 50
51 Return on Security Investment RoSI Beispiel: Notebookverluste In diesem Beispiel soll anhand der Verluste von Notebooks exemplarisch eine Return on Security Investment (RoSI( RoSI) durchgeführt werden. Ablauf: Festlegung der Wahrscheinlichkeit des Verlustes eines Notebooks. Festlegung des Schadens (Recovery Cost - R), wenn die Daten, die auf einem Notebook gespeichert sind, von Dritten missbräuchlich verwendet werden. Total Cost of Ownership (TCO) für die Anschaffung eines Sicherheitssystems (Tool Cost - T) für die Sicherung der Daten auf dem Notebook. RoSI - Berechnung R Kosten eines Schadens T Kosten für f r eine Sicherheitssystems 51
52 RoSI-Beispiel Beispiel: Notebookverluste Wahrscheinlichkeit des Verlustes? Jeder der die Verantwortung von Notebooks im Unternehmen hat, müsste wissen wie viele Notebooks jährlich aus nachvollziehbaren und nicht nachvollziehbaren Gründen verschwinden! Einschätzung (Erfahrungen anderer) 5% of the company s laptops were stolen over the past year. Head of the MIS Department at the Advisory Board Company many as one in every 14 laptops sold in the US was stolen last year. Newsweek, 05/2002, One in every 14 laptops is stolen (= 7%) World Security Corporation, in 10 notebooks are stolen Tech Republic survey, Annual notebook theft rate rising to 5% and more through 2002 Gartner Group, Durchschnitt: gestohlene Notebooks 6% 52
53 RoSI-Beispiel Beispiel: Notebookverluste Wie hoch ist der Schaden? Dies kann der Besitzer des Notebooks am besten bemessen. Problem: der Schaden ist oft nicht genau zu analysieren, sondern durch Reduktion des Umsatzes und des Gewinns nur schwer zu beziffern. Einschätzung (Erfahrungen anderer) Average losses top $40,000 per Computer Stolen Over four years, the average reported loss related to notebook computer theft topped $40,000, and the highest reported single loss $1.2 million. FBI/Computer Security Institute Survey, Computer Security Issues and Trends Computer Security Institute, June 2000 The average financial loss resulting from a laptop theft grew by 44% from 2000 to 2001 ($62.000) Only a small percentage of the sum actually relates to the hardware costs Source: 2001 and 2002 Computer Security Institute/FBI Computer Crime & Security Survey Im November 1996 wurde ein Notebook von Visa International gestohlen. Darauf befanden sich über Kreditkartennummern. Kosten für den Austausch pro Kreditkarte ca. 23 Euro. Insgesamt also ca. 7 Millionen Euro Schaden. Deutsche Ausgabe PKI, e-security implementieren, Nash, Duane, Joseph, Brink, mitp-verlag, Bonn: Annahme Wert der Daten
54 Notebook Verschlüsselung sselung Beispielberechnung Berechnung Notebook Verschlüsselung für 500 Nutzer (TCO): Einmalige Lizenzkosten: (1 Lizenz = 110) Jährliche Kosten: 1. Jahr , dann 5.000/Jahr Vermiedener Schaden: (= 30 Notebooks * ) (= Reduced costs per year) Annahme Wert der Daten Durchschnitt: gestohlene Notebooks 6% Calculation Time span Initial costs Implementation/ Roll-out, Admin Reduced costs?? Value of no losses from security breaches ROI 1 st year ROI 2 nd year ROI 3 rd year ROI 4 th year 1 st year nd year rd year th year In total 4 years
55 Notebook Verschlüsselung sselung 2. Berechnung Notebook Verschlüsselung für 500 Nutzer: Einmalige Lizenzkosten: (1 Lizenz = 110) Jährliche Kosten: 1. Jahr , dann 5.000/Jahr Vermiedener Schaden (= 15 Notebooks * 5.000) (= Reduced costs per year) Annahme Wert der Daten Durchschnitt: gestohlene Notebooks 3% Calculation Time span Initial costs Implementation/ Roll-out, Admin Reduced costs?? Value of no losses from security breaches ROI 1 st year ROI 2 nd year ROI 3 rd year ROI 4 th year 1 st year nd year rd year th year In total 4 years
56 Notebook Verschlüsselung sselung 3. Berechnung Notebook Verschlüsselung für 500 Nutzer: Einmalige Lizenzkosten: (1 Lizenz = 110) Jährliche Kosten: 1. Jahr , dann 5.000/Jahr Vermiedener Schaden (= 5 Notebooks * 5.000) (= Reduced costs per year) Annahme Wert der Daten Durchschnitt: gestohlene Notebooks 1% Calculation Time span Initial costs Implementation/ Roll-out, Admin Reduced costs?? Value of no losses from security breaches ROI 1 st year ROI 2 nd year ROI 3 rd year ROI 4 th year 1 st year nd year rd year th year In total 4 years
57 RoSI-Berechnung Herausforderungen Die RoSi-Berechnung kann ein sehr komplexer Prozess sein Berechnung/Abschätzung des Schadens Berechnung/Abschätzung der Reduzierung des Schadens durch Sicherheitsmechanismen Komplexe Zusammenhänge zwischen Bedrohung und Schaden Komplexe Zusammenhänge zwischen Bedrohung und Wirkung von Sicherheitsmechanismen usw. 57
58 RoSI-Berechnung weitere einfache Beispiele Weitere Beispiele, bei denen eine RoSI-Berechnung in der Regel einfach durchgeführt werden kann, sind: Viren-Scanner Hier haben die meisten Unternehmen in den letzten Jahre selber Zahlen über die Kosten (S), die durch Schäden bei Virenbefall aufgetreten sind, zur Verfügung. ID-Management Management: SingleSignOn (SSO) oder Authentifizierung mit biometrischen Verfahren Hier kann der Einspareffekt durch Helpdesk Kosten sehr gut nachgewiesen werden (100 bis 200 /Jahr pro Benutzer). Elektronische Rechnungen mit digitaler Signatur Elektronische Rechnungen mit digitaler Signatur In diesem Bereich gibt es Studien, die aufzeigen, dass mit Hilfe einer elektronischen Rechnung sehr viel Geld gespart werden kann. Statt 1,40 für eine normale Papierrechnung mit handgeschriebener Unterschrift versendet, oder 0,40 für eine elektronische Rechnung mit digitaler Signatur, z.b. per versendet. 58
59 Weitere Informationen den Wald vor lauter Bäumen nicht... 59
60 Weitere Informationen Der IT-Sicherheitsleitfaden Norbert Pohlmann, Hartmut Blumberg Reichhaltiges, kostenloses Informationsangebot vom Bundesamt für Sicherheit in der Informationstechnik (BSI) Kataloge Online-Schulungen Leitfaden Themen: IT-Sicherheit, RoSI-Berechnung Gebundene Ausgabe: 523 Seiten Verlag: Mitp-Verlag; Auflage: 2 (September 2006) ISBN-10: ISBN-13: Preis: 59,95 60
61 GSTOOL Überblick Das GSTOOL ist eine Software zur Unterstützung bei der Anwendung des IT-Grundschutzhandbuches. Informationen und Preise unter Bezugsquelle: Download, Tool-CD und BSI-CD 30 Tage Testversion Funktionalität Erfassung von IT-Systemen, Anwendungen usw. Schutzbedarfsfeststellung Auswahl der Bausteine (Modellierung) Basis-Sicherheitscheck unterstützt die IT-Grundschutz-Zertifizierung Kostenauswertung, Revisionsunterstützung Berichterstellung 61
62 Beratungsangebot zum Thema Wirtschaftsspionage 62
63
64 IT-Grundschutz für Entscheider & Manager Vielen Dank für Ihre Aufmerksamkeit Fragen? Malte Hesse Institut für Internet-Sicherheit Fachhochschule Gelsenkirchen
IT-Grundschutzhandbuch
IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,
MehrIT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007
IT-Grundschutz Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutzhandbuch Agenda Ziel der IT-Sicherheit Das IT-Grundschutzhandbuch Umsetzung des IT-Grundschutzhandbuchs Ausbaustufen
MehrIT-Grundschutz praktisch im Projekt Nationales Waffenregister
IT-Grundschutz praktisch im Projekt Nationales Waffenregister Günther Ennen Bundesamt für Sicherheit in der Informationstechnik 19. Berliner Anwenderforum E-Government am 19. und 20. Februar 2013 Fachforum
MehrIT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach
IT-Grundschutz IT-Grundschutz modellieren modellieren Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz / Überblick IT- Grundschutzhandbuch (GSHB) betrachtet im Allgemeinen folgende Merkmale: Infrastruktur
MehrLeitfaden zum sicheren Betrieb von Smart Meter Gateways
Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-
MehrWie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner
MehrIT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen
IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag
MehrZertifizierung IT-Sicherheitsbeauftragter
Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben
MehrSecuritykosten ermitteln: Gibt es einen RoSI?
Securitykosten ermitteln: Gibt es einen RoSI? Prof. Dr. Norbert Pohlmann Institut für Internet-Sicherheit Fachhochschule Gelsenkirchen http://www.internet-sicherheit.de Inhalt Einführung IT-Sicherheitsrisiko
MehrLösungen die standhalten.
Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen
MehrIT-Grundschutz - der direkte Weg zur Informationssicherheit
IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik
MehrI n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000
Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an
MehrInitiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie -Einrichten eines IT-Sicherheitsmanagements
Cloud Security (Minimal-)vorgaben des BSI Kai Wittenburg, Geschäftsführer & ISO27001-Auditor (BSI) neam IT-Services GmbH Vorgehensweise Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie
MehrSecurity. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.
Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch
MehrDie Umsetzung von IT-Sicherheit in KMU
Informatik Patrick Düngel / A. Berenberg / R. Nowak / J. Paetzoldt Die Umsetzung von IT-Sicherheit in KMU Gemäß dem IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik Wissenschaftliche
MehrInternational anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz
AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz
MehrIT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen
IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz IT-Grundschutz-Tag 09.10.2013
MehrInformationssicherheit (k)eine Frage für Ihr Unternehmen?
Ziele Informationssicherheit (k)eine Frage für Ihr Unternehmen? SSV bei connect Schnelligkeit, Sicherheit, Verfügbarkeit Vortrag von Ingrid Dubois, dubois it-consulting gmbh Informationssicherheit: Ziele
MehrNachweisbare Sicherheit durch Zertifizierung nach BSI Grundschutz
Nachweisbare Sicherheit durch Zertifizierung nach BSI Grundschutz DECUS Symposium 8.-10. April 2003 Jürgen Bachinger Senior Consultant HP Services - Consulting & Integration BSI-Auditor: BSI-GSL-0001-2002
MehrPraktizierter Grundschutz in einem mittelständigen Unternehmen
Praktizierter Grundschutz in einem mittelständigen Unternehmen Adolf Brast, Leiter Informationsverarbeitung Bochum-Gelsenkirchener Straßenbahnen AG auf dem 4. Stuttgarter IT-Sicherheitstag, 16.02.06 Überblick
MehrISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz
ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit
MehrIT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen
IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition
MehrIT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen
IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2014 20.03.2014
MehrIT-Revision als Chance für das IT- Management
IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT
MehrRisikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014
Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement Eine Einführung Risikomanagement ist nach der Norm ISO 31000 eine identifiziert, analysiert
MehrAspekte der Informationssicherheit bei der Einführung von SAP an der TU Dresden. Vorgehen, Werkzeuge, Erfahrungen-
Aspekte der Informationssicherheit bei der Einführung von SAP an der TU Dresden Vorgehen, Werkzeuge, Erfahrungen- BSI IT-Grundschutz-Tag Berlin 13. Februar 2014 Jens Syckor IT-Sicherheitsbeauftragter Matthias
MehrAgenda: Richard Laqua ISMS Auditor & IT-System-Manager
ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit
MehrInformationssicherheit als Outsourcing Kandidat
Informationssicherheit als Outsourcing Kandidat aus Kundenprojekten Frankfurt 16.06.2015 Thomas Freund Senior Security Consultant / ISO 27001 Lead Auditor Agenda Informationssicherheit Outsourcing Kandidat
MehrMuster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz
Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Antragsteller: Zertifizierungskennung: BSI-XXX-XXXX Der Inhalt
MehrNeu erstellen!!! Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter
und Nutzung der Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter Neu erstellen!!! I3 - Gruppe IT-Sicherheit und Cyber Defence IT-Sicherheit in der Folie 1 und Nutzung in der Bundesamt
MehrEinstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)
32.Forum Kommunikation und Netze 25. und 26. März 2015 in Rotenburg a. d. Fulda Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) Stefan Wojciechowski IT-Sicherheitsbeauftragter
MehrEinführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)
Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem
MehrIT-Grundschutz-Zertifizierung von ausgelagerten Komponenten
Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,
MehrBSI Technische Richtlinie
Seite 1 von 8 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: Kürzel: De-Mail Dokumentenablage IT-Sicherheit BSI TR 01201 Anwendungsbereich: Version:
MehrIT-Grundschutz für mittelständische Unternehmen
IT-Grundschutz für mittelständische Unternehmen Randolf Skerka SRC Security Research & Consulting GmbH Bonn - Wiesbaden IT-Grundschutzhandbuch Agenda Ein wenig über SRC Das IT-Grundschutzhandbuch Umsetzung
MehrStaatlich geprüfte IT-Sicherheit
Bild: Lampertz GmbH & Co.KG Staatlich geprüfte IT-Sicherheit Dr.-Ing. Christian Scharff Lizenziert vom Bundesamt für Sicherheit in der Informationstechnik (BSI) Accuris Consulting / EGT InformationsSysteme
MehrTaxifahrende Notebooks und andere Normalitäten. Frederik Humpert
Taxifahrende Notebooks und andere Normalitäten Frederik Humpert Ein paar Zahlen Von September 2004 bis Februar 2005 wurden weltweit 11.300 Laptops 31.400 Handhelds 200.000 Mobiltelefone in Taxis vergessen
MehrDer Schutz von Patientendaten
Der Schutz von Patientendaten bei (vernetzten) Software-Medizinprodukten aus Herstellersicht 18.09.2014 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt Spezialisiert
MehrIT-Sicherheitsmanagement bei der Landeshauptstadt München
IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung
MehrIT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein
der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule
MehrSicherheit im IT Umfeld
Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen
MehrIT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS
IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit
MehrCloud Computing mit IT-Grundschutz
Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung
MehrGPP Projekte gemeinsam zum Erfolg führen
GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.
MehrIT-Grundschutz: Cloud-Bausteine
IT-Grundschutz: Cloud-Bausteine Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 12.09.2013 Was sind die Risiken? (Public
MehrSystemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5
Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat
MehrIT-Sicherheit in der Energiewirtschaft
IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens
MehrIT Security Investments 2003
Grafische Auswertung der Online-Befragung IT Security Investments 2003 1) Durch welche Vorfälle wurde die IT-Sicherheit Ihres Unternehmens / Ihrer Organisation im letzten Jahr besonders gefährdet beziehungsweise
MehrRisikoanalyse mit der OCTAVE-Methode
Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte
MehrDirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen
Dirk Loomans, Micha-Klaus Müller Bedrohungs- und Schwachstellenanalysen Übersicht über die Arbeitshilfen risikoanalyse.doc Das Klammersymbol Checkliste zur Durchführung einer Risikoanalyse im Text verweist
MehrInformationssicherheitsmanagement
Informationssicherheitsmanagement nach ISO 27001 und BSI Grundschutz Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und
MehrITIL & IT-Sicherheit. Michael Storz CN8
ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung
MehrInformationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG. Torsten Hemmer Berlin, 15.
Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG Torsten Hemmer Berlin, 15. September 2015 Agenda Vorstellung der GDV Dienstleistungs-GmbH (GDV-DL) Die Informationssicherheit
MehrC R I S A M im Vergleich
C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799
MehrCompliance und IT-Sicherheit
Compliance und IT-Sicherheit Isabel Münch Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Agenda Das BSI Compliance-Anforderungen und IT-Sicherheit Risikomanagement
MehrDieter Brunner ISO 27001 in der betrieblichen Praxis
Seite 1 von 6 IT-Sicherheit: die traditionellen Sichtweise Traditionell wird Computer-Sicherheit als technisches Problem gesehen Technik kann Sicherheitsprobleme lösen Datenverschlüsselung, Firewalls,
MehrISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand
ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand Cloud- und Informationssicherheit -praktisch umgesetzt in KMU- IHK München (27. Februar 2014)
MehrDatenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA
Datenschutz und IT-Sicherheit in Smart Meter Systemen Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA Smart, sicher und zertifiziert Das Energiekonzept der Bundesregierung sieht
MehrBSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH
zum Phoenix Videokonferenzsystem der Phoenix Software GmbH BSI - Bundesamt für Sicherheit in der Informationstechnik, Postfach 20 03 63, D-53133 Bonn Telefon +49 (0)228 9582-0, Fax +49 (0)228 9582-5477,
MehrSicherheitsanalyse von Private Clouds
Sicherheitsanalyse von Private Clouds Alex Didier Essoh und Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik 12. Deutscher IT-Sicherheitskongress 2011 Bonn, 10.05.2011 Agenda Einleitung
MehrDr. Martin Meints, ULD 29. August 2005
Infobörse 2 Dr. Martin Meints Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Sommerakademie, 29. August 2005 Agenda Datensicherheit / Datenschutz wo liegen die Unterschiede? Welche Bedeutung
MehrBSI Technische Richtlinie
Seite 1 von 9 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: De-Mail Postfach- und Versanddienst IT-Sicherheit Anwendungsbereich: Kürzel: BSI De-Mail
MehrRechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.
NetworkedAssets GmbH Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. Dezember 2006 Rechtliche Aspekte Administration Gliederung Praktische
Mehr3 Juristische Grundlagen
beauftragter - Grundlagen Ziele: Einführung in das recht Kennen lernen der grundlegenden Aufgaben des beauftragten (DSB) Praxishinweise für die Umsetzung Inhalte: Ziele des es Zusammenarbeit mit Datensicherheit/IT-Sicherheit
MehrSchulungsunterlagen IT-Grundschutz nach BSI. Robert M. Albrecht Creative Commons by-nc-sa
Schulungsunterlagen IT-Grundschutz nach BSI Robert M. Albrecht Creative Commons by-nc-sa The audience is listening. IT-Grundschutz nach BSI Robert M. Albrecht Agenda Was ist das BSI? Warum IT-Grundschutz?
MehrInformationssicherheit
Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,
MehrRudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz
Rudolf Schraml Beratung und Vertrieb IT-Security und Datenschutz Effektives IT-Risikomanagement Chance oder Risiko Was vor einiger Zeit nur für die großen Unternehmen galt, ist jetzt auch im Mittelstand
MehrNeues aus dem IT-Grundschutz Ausblick und Diskussion
Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 1. IT-Grundschutz-Tag 2013 27.02.2013 Inhalte
MehrOptimieren Sie Ihre Speicherinfrastruktur mit intelligenter Storage Management Software
EXPERTENTREFFEN NETWORKING BEST PRACTICE KNOW HOW Optimieren Sie Ihre Speicherinfrastruktur mit intelligenter Storage Management Software Referent: Thomas Thalmann, Manager Products & Services Die Herausforderungen.
MehrFreifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234
IT Sicherheitskonzept Registernummer bei der Bundesnetzagentur: 14/234 1. Geltungsbereich 1.Dieses IT-Sicherheitskonzept gilt strukturell für Systemkomponenten des Freifunknetzes, welche vom selbst betrieben
MehrInformationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter
Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem
MehrIT-Grundschutz und Zertifizierung
IT-Grundschutz und Zertifizierung Gliederung Was macht das BSI? Standardsicherheit nach IT-Grundschutz Qualifizierung nach IT-Grundschutz Zertifizierungsschema Verhältnis zu ISO 17799 in der Informationstechnik
MehrManagements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY
Grundlagen des Change Managements Anforderungen und Möglichkeiten für einen sauberen Änderungsprozess Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Hauptrisikofaktoren für IT-Sicherheit Patches
MehrBSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement
BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE Alternative Ansätze im Sicherheitsmanagement Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration
MehrTechnische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg
Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik
Mehr4Brain IT-Netzwerke IT-Sicherheit
4Brain IT-Netzwerke IT-Sicherheit Markus Hannemann Geschäftsführer IT-Counsultant 4Brain IT-Netzwerke IT-Sicherheit Essener Straße 59 46047 Oberhausen 0208 307791-81 info@4brain.de 1 Firmenportrait März
MehrIT-Sicherheitskonzepte für die digitale Archivierung
IT-Sicherheitskonzepte für die digitale Archivierung unter Berücksichtigung der Anforderungen der Wirtschafts- und Betriebsprüfer und des IT-Grundschutzes des BSI. Rheiner Archivtage 07./08. Dezember 2006,
MehrNeues aus dem IT-Grundschutz Ausblick und Diskussion
Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2013 09.10.2013 Agenda
MehrAusgewählte Rechtsfragen der IT-Security
Ausgewählte Rechtsfragen der IT-Security Steht man als Verantwortlicher für IT-Security bereits mit einem Bein im Gefängnis? Dr. Markus Junker, Rechtsanwalt markus.junker@de.pwc.com HEUSSEN Rechtsanwaltsgesellschaft
MehrMUSTER-IT-SICHERHEITSKONZEPTE DER EKD
KONFORMITÄTSBESTÄTIGUNG MUSTER-IT-SICHERHEITSKONZEPTE DER EKD Version 1.0 Datum: Mittwoch, 30.07.2014 Kunde: EVANGELISCHE KIRCHE IN DEUTSCHLAND (EKD) INHALTSVERZEICHNIS 1 ERGEBNISZUSAMMENFASSUNG 2 1.1
MehrInformations- / IT-Sicherheit Standards
Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für
MehrInformationssicherheit in handlichen Päckchen ISIS12
Informationssicherheit in handlichen Päckchen ISIS12 Der praxistaugliche Sicherheitsstandard für kleine und mittelgroße Unternehmen IT-Trends Sicherheit, 20. April 2016 Referentin Claudia Pock Sales Managerin
MehrBSI Technische Richtlinie
BSI Technische Richtlinie Bezeichnung: Accountmanagement IT-Sicherheit Anwendungsbereich: De-Mail Kürzel: BSI TR 01201 Teil 2.3 Version: 1.2 Bundesamt für Sicherheit in der Informationstechnik Postfach
MehrDas IT-Verfahren TOOTSI
Das IT-Verfahren TOOTSI Toolunterstützung für IT- Sicherheit (TOOTSI) Motivation und Ziele der Nationale Plan (UP Bund) Herausforderungen Umsetzung in der Bundesfinanzverwaltung in der Bundesverwaltung
MehrIT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management
IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen
MehrLizenzierung von System Center 2012
Lizenzierung von System Center 2012 Mit den Microsoft System Center-Produkten lassen sich Endgeräte wie Server, Clients und mobile Geräte mit unterschiedlichen Betriebssystemen verwalten. Verwalten im
MehrVon Perimeter-Security zu robusten Systemen
Von Perimeter-Security zu robusten Systemen Prof. Dr. Norbert Pohlmann Institut für Internet-Sicherheit if(is) Fachhochschule Gelsenkirchen http://www.internet-sicherheit.de Inhalt Motivation Perimeter
MehrKompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance
Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance Mobile IT-Infrastrukturen in Unternehmen sicher und erfolgreich managen Kurzbeschreibung Mobilität der
MehrIT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen
IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen Marc Schober Bundesamt für Sicherheit in der Informationstechnik Referat 112 Kritische Infrastrukturen und IT-Sicherheitsrevision Bundesamt
MehrIT-Sicherheit betrifft alle
IT-Sicherheit betrifft alle Vorgehensweise nach IT-Grundschutz Angelika Jaschob Bundesamt für Sicherheit in der Informationstechnik Das BSI... ist eine unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit
MehrTiered Storage und Archivierung
PoINT Software & Systems GmbH Tiered Storage und Archivierung mit dem PoINT Storage Manager PoINT Software & Systems GmbH PoINT Storage Manager Herausforderungen Tiered Storage Musterkonfiguration Vorteile
MehrDATEV eg, 90329 Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity
Z E R T I F I K A T Die Zertifizierungsstelle der T-Systems bestätigt hiermit der, für den Betrieb der DATEV Rechenzentren (Standorte DATEV I, II und III) die erfolgreiche Umsetzung und Anwendung der Sicherheitsmaßnahmen
Mehr1.3 MDM-Systeme KAPITEL 1 ZAHLEN UND FAKTEN
KAPITEL ZAHLEN UND FAKTEN.3 MDM-Systeme MDM-Systeme sind in Unternehmen und Organisationen noch nicht flächendeckend verbreitet, ihr Einsatz hängt unmittelbar mit dem Aufbau von mobilen Infrastrukturen
MehrUmsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit
Umsetzungsverfahren KMU-Zertifizierung Informationssicherheit Inhalt Umsetzungsverfahren... 1 Umsetzungsverfahren zur KMU-Zertifizierung nach OVVI Summary... 2 1. Information Security Policy / IT-Sicherheitsleitlinie...
MehrBPMN 2.0, SCOR und ISO 27001. oder anders gesagt. BPMN is sexy?
BPMN 2.0, SCOR und ISO 27001 oder anders gesagt. BPMN is sexy? Seite 1 SCOR (Supply-Chain Operations Reference-model) Das SCOR-Modell ist ein Prozess- Referenzmodell für die Unternehmens- und Branchenübergreifende
MehrDatenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand
Datenschutz und Synergieeffekte Verimax GmbH Autor:Stefan Staub Stand Blatt 1 Nicht weil es schwer ist, wagen wir es nicht, sondern weil wir es nicht wagen, ist es schwer. Lucius Annaeus Seneca röm. Philosoph,
MehrDFN-AAI Sicherheitsaspekte und rechtliche Fragen
DFN-AAI Sicherheitsaspekte und rechtliche Fragen Ulrich Kähler, DFN-Verein kaehler@dfn.de Seite 1 Gliederung Sicherheitsaspekte Rechtliche Fragen Seite 2 Sicherheit Die Sicherheit in der DFN-AAI ist eine
MehrBSI Technische Richtlinie
Seite 1 von 13 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: De-Mail Sicherheit Modulübergreifend Anwendungsbereich: Kürzel: BSI De-Mail TR 01201
MehrFORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager
FORUM Gesellschaft für Informationssicherheit mbh ForumBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? ForumBankSafe-IT einführen ForumBankSafe-IT bietet ein
Mehrrepostor möchte Ihre TCO senken
repostor möchte Ihre TCO senken In diesem Dokument informieren wir Sie über unsere Leistungen in folgenden Bereichen: ROI (Return on Investment = Kapitalerträge) Bis zu 43-fache Platzersparnis TCO (Total
Mehr