Vorgehen Informations- und IT-Security, Umsetzung der Massnahmen

Größe: px
Ab Seite anzeigen:

Download "Vorgehen Informations- und IT-Security, Umsetzung der Massnahmen"

Transkript

1 STADT AARAU Stadtrat Rathausgasse Aarau Tel Fax Aarau, 25. Mai 2009 GV /402 Bericht und Antrag an den Einwohnerrat Vorgehen Informations- und IT-Security, Umsetzung der Massnahmen Sehr geehrte Frau Präsidentin Sehr geehrte Damen und Herren Seit 1. Juli 2008 gelten eine neue Verfassungsbestimmung ( 72 Abs. 1+2 KV) und ein neues Gesetz. Mit der Verfassungsbestimmung erhält jede Person das Recht auf Zugang zu amtlichen Dokumenten. Das neue Gesetz (IDAG) und die neue Verordnung zum Gesetz (VIDAG) regeln die Information der Öffentlichkeit, den Datenschutz und das Archivwesen. Im Leitfaden zum Gesetz und der Verordnung wird das Vorgehen aufgezeigt: "Das öffentliche Organ hat vorerst eine sorgfältige Risikoanalyse durchzuführen und darauf aufbauend ein Sicherheitskonzept zu entwickeln (im Detail: 4 Abs. 2 Satz 1 VIDAG)". Der ILA (Informatik-Lenkungsausschuss) hat sich anfangs 2008 bei der Behandlung von IT- Sicherheitsfragen und mit Blick auf das IDAG entschieden, eine Risikoanalyse "Informationsund IT-Sicherheit" mit einer externen Begleitung durchzuführen. Das vorliegende Ergebnis wurde dann vom Stadtrat behandelt und zu Handen des Einwohnerrates verabschiedet. 1 Ausgangslage Dieser Bericht zeigt auf, wie der ILA im Jahr 2008 vorgegangen ist und welche Schritte er im Bereich der Informations- und IT-Security unternommen resp. in Auftrag gegeben hat. Mit seiner Risikoanalyse und den daraus abgeleiteten Massnahmen, die jetzt angegangen werden sollen, ist die erste Phase abgeschlossen worden. 1.1 IST-Zustand Security-Überprüfung (2004) Im Jahre 2004 wurde die Firma terreactive AG, Aarau, beauftragt, eine Sicherheitsüberprüfung durchzuführen. Anlass war die geplante Produktivschaltung eines webbasierten Dienstes zur Nutzung des internen Systems durch Mitarbeiter von Einstellungen\Temp\GWViewer\E09-402bereinigt.doc /V1.0

2 2 aussen (Webmail Lösung). Hierbei wird erstmalig durch die Sektion OI ein allgemein vom Internet her erreichbarer Dienst angeboten. Vorrangiges Ziel des Audits war somit, sicherzustellen, dass hierdurch keine Gefahren für die Vertraulichkeit und Integrität des internen Netzwerks verursacht werden. Untersuchungsgegenstand des Audits waren neben dieser konkreten Webmail Lösung auch die sonstigen, für Aussenstehende sichtbaren Schnittstellen der IT Infrastruktur der Stadtverwaltung. Die wichtigste Massnahme war die Implementierung einer neuen Firewall Security-Überprüfung durch Cassarius (2007) Im Jahre 2007 wurde die Firma Cassarius AG, Bern, beauftragt, die von der Firma terreactive AG betriebene Firewall zu überprüfen. Der Anlass dazu war der Anschluss ans Netz der Kapo Aargau. Dabei wurden nur die Firewall und deren Implementierung überprüft. Das Fazit aus dem Abschlussbericht lautet: Die Firewall "aarau-fw0" wurde von der Firma terreactive gut implementiert. Einige kleinere Massnahmen wurden im Laufe der Überprüfung umgesetzt Technische Massnahmen (IST) Firewall Die Firewall wird nach wie vor durch die in Aarau ansässige Firma terreactive AG kompetent betreut. Geplante Änderungen werden auf Antrag ausgewählter Mitarbeiter der Sektion OI verifiziert und erst dann umgesetzt USB-Stick (Regelung) Private USB-Sticks sind nicht erlaubt. Von der Sektion OI werden USB-Sticks mit einem Passwort-Schutz abgegeben Antivirus-Schutz Der Schutz vor Viren, Trojanern, etc. wird auf den verschiedenen Systemen durch verschiedene Produkte gewährleistet. Es sind die folgenden Produkte im Einsatz: Firewall: clamav Arbeitsstationen: Antivir von Avira Windows-Server: Norton von Symantec Novell-Server: McAfee / Kaspersky (Umstellung auf Kaspersky für alle Novell-Server geplant) Spam-Schutz Die Spam-Mails werden auf der Firewall nach verschiedenen Kriterien überprüft und bei Spam-Erkennung in einen Quarantänen-Ordner auf der Firewall zurückbehalten. Der EDV- User erhält keine Nachricht. Die Algorithmen werden laufend den neuesten Gegebenheiten angepasst. Bis Ende Januar 2009 wurde eine stark verbesserte Version implementiert.

3 3 Aktuell werden durch den Spam- und Viren-Schutz ca. 90 % aller eingehenden s in die Quarantänen-Ordner verschoben und die restlichen ca. 10 % werden an die EDV-User weitergeleitet Attachment-Blocking Alle Mail-Beilagen werden auf Viren geprüft und zudem werden gewisse Beilagen, wie z.b. ausführbare Programme (EXE-Dateien), abgefangen. In ausführbaren Programmen verstecken sich häufig Viren. Es werden über 30 verschiedene Datei-Typen abgefangen Datensicherung Seit je her werden bei der Stadtverwaltung die Daten über Nacht in ein anderes Gebäude "kopiert" und dort auf Bänder (Tapes) gesichert. Diese Datensicherung (Hard- und Software) genügte den Anforderungen nicht mehr und war fehleranfällig. Zudem waren die Raumverhältnisse zu klein geworden und die eingesetzte Backup-Software wurde auf der eingesetzten Plattform nicht mehr weiterentwickelt. Daher wurde im Oktober 2008 eine neue Datensicherung mit neuer Hard- und Software installiert. Heute werden die letzten 15 Tagessicherungen aufbewahrt. Schliesslich werden die Monatssicherungen für die nächsten Jahre aufbewahrt. Zudem werden täglich die Datenbankund Server-Sicherungen zusätzlich auf verschiedenen Harddiskspeicher-Medien gesichert. Alle diese Datensicherungen lagern in einem Gebäude der Stadtverwaltung Aarau ausserhalb des Rathauses. Die GIS-Daten werden beim externen Betreiber gelagert und bewirtschaftet. Er erstellt täglich eine Datensicherung und hinterlegt diese einmal monatlich in einem Bank-Safe. Neu werden diese Daten quartalsweise auf einem USB-Stick der Stadtverwaltung geliefert und bei der Sektion OI gelagert (ab Ende 2008). Diese Daten stellen für die Stadtverwaltung Aarau einen sehr hohen Wert dar. Das gleiche Verfahren wird auch noch für die Daten, die auf der Website publiziert werden, angewendet. 1.2 Behandlungen im ILA (Informatik-Lenkungsausschuss) Der ILA hat im 2. Halbjahr 2008 in verschiedenen Sitzungen und einem Workshop das Thema unter der Federführung der Firma Swiss Infosec AG behandelt, eine Risikobeurteilung durchgeführt und Massnahmen ausgearbeitet. 1.3 IDAG Das IDAG, VIDAG und der Leitfaden wurden hinsichtlich möglicher Auswirkungen auf die Informatik analysiert und die Ergebnisse sind in den Massnahmenkatalog eingeflossen.

4 4 1.4 Beurteilung der Melde- und Analysestelle Informationssicherung MELANI Die Melde- und Analysestelle Informationssicherung MELANI wurde im Jahr 2004 durch das ISB (Informatikstrategieorgan Bund) im Auftrag des Bundesrates aufgebaut und wurde zu einer wichtigen Informationsquelle für Verwaltungen und Unternehmungen. (Quelle: Melde- und Analysestelle Informationssicherung MELANI Die Bedrohungslage hat sich stark verändert (Schwerpunkte Ausgabe 2008/I) Von der IT-Sicherheit zur Informationssicherung "Aktuelle gezielte IT-Angriffe lassen sich auch mit Hilfe technischer Sicherheitsvorkehrungen sowie einer gesunden Portion Menschenverstand nicht immer erfolgreich abwehren. Deshalb ist eine Neufokussierung nötig, welche den Schutz der Information ins Zentrum rückt und nicht nur den Schutz der Computer und Netzwerke berücksichtigt." Massenhacks legitimer Webseiten "Die Gefahr einer Infektion über Webseiten mittels Drive-By-Infektion wächst rasant. Seit Januar 2008 sind verschiedene Massenhacks von Webseiten beobachtet worden, welche beabsichtigt haben, deren Besucher zu infizieren. Darunter befinden sich auch Webseiten mit bestem Ruf und hohen Besucherzahlen." Politisch motiviertes Hacking "Cyber-Attacken können ein attraktives Mittel darstellen, um für ein politisches Anliegen Aufmerksamkeit zu erlangen. Im Bereich der Internet- Kriminalität rücken somit - nebst finanziellen Motiven - vermehrt politische Beweggründe in den Vordergrund. Jüngste Entwicklungen haben dazu beigetragen, dass politisch motiviertes Hacking, der so genannte «Hacktivismus», öffentlich diskutiert wird." Offene Funknetzwerke als Sicherheitsrisiko "Funknetzwerke (WLANs) sind heute auch privat weit verbreitet. Sind diese Netzwerke ungenügend geschützt, können Kriminelle einerseits auf interne Daten zugreifen und anderseits ermöglicht dies ihnen, bei einer IT-Straftat die wahre Urheberschaft zu verschleiern. Solche Missbräuche treten leider immer häufiger auf. Das Befolgen gewisser Grundregeln hilft, das eigene Netzwerk sauber zu halten." Der Einwohnerrat hat es im Herbst 2007 abgelehnt, ein flächendeckendes WLAN durch die Stadt aufzubauen Soziale Netzwerke und die Gefahr des Datenmissbrauchs "Soziale Netzwerke werden rege genutzt, denn sie bieten die Möglichkeit, sich mit relativ kleinem Aufwand auf dem Internet zu präsentieren. Die Veröffentlichung persönlicher Daten auf dem Internet birgt jedoch auch Gefahren: Sie hilft Cyber-Kriminellen, gezielte Angriffe zu lancieren."

5 5 Der AR (Abteilungsvorsteherrapport) hat sich im November 2008 für die Sperrung gewisser URL's (Internetadressen) ausgesprochen und hat angeregt, dass die Mitarbeiterinnen und Mitarbeiter über die Gefahren mit solchen Netzwerken informiert resp. instruiert werden Von der IT-Security (Informatik-Sicherheit) zur Informations- Sicherheit (Quelle: melani.admin.ch) "Vor rund 4 Jahren hat die Melde- und Analysestelle zur Informationssicherung Schweiz (MELANI) ihre Arbeit aufgenommen. Wie die meisten (Experten und Info-Stellen) propagierte MELANI von Beginn weg die klassischen technischen Schutzmassnahmen, wie Antivirensoftware, regelmässige Updates von Programmen und Betriebssystemen, den Einsatz von Firewalls und die Notwendigkeit von Backups. Dieses ABC der wichtigsten Schutzmassnahmen für Computer, sei es in einem privaten Haushalt oder in einem geschäftlichen Umfeld, sind noch immer gültig und unter allen Umständen weiterhin einzuhalten. Allerdings genügen sie heutzutage nicht mehr. Beim Auto gelten Sitzgurte, eine angepasste Geschwindigkeit und das Befolgen von Verkehrsregeln als Voraussetzungen für ein sicheres Fahren und dennoch können diese Sicherheitsvorkehrungen einen Unfall nicht immer verhindern. Genauso verhält es sich in der heutigen Welt der Bits und Bytes. Zwar liessen sich noch immer die überwiegende Mehrheit der Angriffe auf Computer und Netzwerke mit technischen Sicherheitsvorkehrungen und etwas gesundem Menschenverstand verhindern, doch wie im Verkehr, muss auch in der Welt der Informations- und Kommunikationstechnologien endgültig vom «absoluten Sicherheits- Gedanken» Abschied genommen werden. Bei den letzten, äusserst breit gestreuten - Wellen (siehe Kapitel 4.2) sind zwischen Versand und dem Zeitpunkt als die ersten Viren- Scanner die Malware erkannt haben, zwischen sechs und zwölf Stunden vergangen. Genügend Zeit also, um praktisch alle möglichen Opfer zu infizieren. Bei gezielten Angriffen über E- Mail, bei denen mehrere Hundert Empfänger angeschrieben werden, ist ohne Emergency-Patch seitens des Antivirenherstellers nicht mit einer Erkennung innerhalb von Stunden zu rechnen - sofern der Angriff überhaupt erkannt wird. Moderne Malware ist so konzipiert, dass sie möglichst lange nicht von Antivirensoftware erkannt wird. Zusätzlich zu den Limiten technischer Sicherheitsmassnahmen gesellen sich der teilweise unsorgsame und schon fast naive Umgang mit Informationen und Daten innerhalb des IT- Sicherheitsperimeters. Jede Firewall ist nutzlos, wenn Daten innerhalb eines Unternehmens offen herumliegen oder einfach aufgefunden werden können. Noch viel weniger können technische Schutzmassnahmen etwas dagegen ausrichten, wenn in der internen Post CD- ROMs mit ein paar Millionen Bankkontendaten, Steuerrechnungen und dergleichen einfach verloren gehen. Auch gegen eine unbedachte Platzierung persönlicher Informationen auf dem Internet, unter anderem auf sozialen Netzwerken (siehe Kapitel 3.2), sind technische Schutzmassnahmen machtlos. In diesem Sinne ist in naher Zukunft ein weiteres Zusammenspiel verschiedener Faktoren zu beobachten: Zum einen wird die Tatsache, dass die klassischen IT-Sicherheitsmassnahmen nur noch bedingten Schutz ermöglichen, ein Umdenken im übergeordneten Bereich der Informationssicherung auslösen müssen. Zum anderen wird der teils sorglose Umgang mit persönlichen, vertraulichen oder betrieblichen Informationen weiterhin ein Risiko bei Angriffen darstellen: Sei es zur Vorbereitung von Angriffen oder aber, weil nach einem

6 6 erfolgreichen Durchdringen der technischen Schutzwälle die Suche und der Zugriff nach Daten dem Angreifer leicht gemacht werden. Diese Entwicklung erfordert ein Umdenken: Neu muss der Fokus auf den Schutz der Information gelegt und vom ausschliesslichen Schutz der Computer und Netzwerke, auf denen die Informationen lagern, abgesehen werden. Dies wird ein verstärktes Informationsund Datenmanagement, Informationsklassifizierung und dergleichen nach sich ziehen. Zudem wird eine klare Risikoabwägung vorausgesetzt, die dazu führen muss, dass die Sicherheit von Verteilkanälen, Zugriffsrechten und Speicherorten dem tatsächlichen Wert einer Information angepasst werden. Nicht jeder Kanal oder Speicherort ist gleich sicher und nicht alle Dokumente sind in einem Betrieb gleich sensibel. Damit wird die Informationssicherung in den geschäftlichen und strategischen Risikomanagement-Prozess eingebunden. Ein solcher Ansatz kann allerdings nur dann Erfolg versprechend sein, wenn die Informationssicherung auch wirklich zu einem integralen Bestandteil des Sicherheitskonzeptes und somit auf der gleichen Stufe angesiedelt wird, wie beispielsweise Gebäude- und Personenschutz, Finanzcontrolling und andere." Der obige Bericht der MELANI zeigt auf, dass die Informationssicherung nicht nur Aufgabe der technischen IT-Security sein darf, sondern es sind zusätzliche Massnahmen notwendig und die Informations- und IT-Security ist als Chefsache wahrzunehmen. 1.5 Begriffe Begriff Abk. Beschreibung Informationssicherheit Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und -lagernden Systemen, welche die Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. IT-Security Teilmenge der Informationssicherheit, die sich in erster Linie mit reinen IT-Belangen und deren Sicherheit auseinandersetzt. IDAG IDAG Gesetz über die Information der Öffentlichkeit, den Datenschutz und das Archivwesen (IDAG) vom 24. Oktober 2006 (SAR ) VIDAG VIDAG Verordnung zum Gesetz über die Information der Öffentlichkeit, den Datenschutz und das Archivwesen (VIDAG) vom 26. September 2007 (SAR ) Melde- und Analysestelle MELANI Informationssicherung Soziale Netzwerke z.b. facebook myspace XING»Soziale Netzwerke Plattformen«sind internetbasierte Anwendungen, in die Nutzer ihre Beziehungen zu anderen Personen abbilden, um diese Daten für wesentliche Dienstfunktionen weiterzuverwenden.

7 7 Begriff Abk. Beschreibung Die verarbeiteten Daten sind fast ausschließlich personenbezogener Natur. Entsprechend hoch ist das Gefährdungspotential für die Nutzer, wenn Sicherheitsschwachstellen existieren und Schutzmechanismen fehlen. Swiss Infosec AG Awareness Business Continuity Planning Business Continuity Management BCP BCM Dies sind Plattformen wie myspace, facebook, studivz, werkenntwen, lokalisten, XING und LinkedIn Unabhängige Beratungsfirma in den Bereichen ITund Informationssicherheit Deutsch: "Sensibilisierung"; Aktivitäten zur Bewusstseinsbildung (in diesem Sinne gegenüber Gefahren und Verhalten bezgl. Informations- und IT-Sicherheit) Planungsgrundlagen für BCM, s. unten Betriebliches Kontinuitätsmanagement bezeichnet in der Betriebswirtschaftslehre Konzepte, Planungen und Maßnahmen zur Aufrechterhaltung der betrieblichen Kontinuität Disaster Recovery Planung DRP Der Begriff Disaster Recovery (englisch für Notfallwiederherstellung) bezeichnet Maßnahmen, die nach einem Unglücksfall in der Informationstechnik eingeleitet werden Recovery Point Objective RPO Bei der Recovery Point Objective handelt es sich um den Zeitraum, der zwischen zwei Datensicherungen liegen darf, das heißt, wie viele Daten/Transaktionen dürfen zwischen der letzten Sicherung und dem Systemausfall höchstens verloren gehen. Recovery Time Objective RTO Bei der Recovery Time Objective handelt es sich um die Zeit, die vom Zeitpunkt des Schadens bis zur vollständigen Wiederherstellung der Geschäftsprozesse (Wiederherstellung von: Infrastruktur - Daten - Nacharbeitung von Daten - Wiederaufnahme der Aktivitäten) vergehen darf. Sicherheitsbeauftragter SiBe Sicherheitsbeauftragter ist der Personalleiter und für den Bereich Informatik der Leiter der Sektion OI zuständig. Uniform Resource Locator URL URLs identifizieren und lokalisieren eine Ressource über das verwendete Netzwerkprotokoll (z.b. http oder ftp) und den Ort der Ressource in Computernetzwerken. In der Umgangssprache wird URL häufig als Synonym für Internetadresse verwendet. ist eine URL

8 8 2 Ziel des Antrags Es ist das Ziel, den Einwohnerrat über die vorgenommen Arbeiten im ILA und Entscheide im Stadtrat zu informieren und den Auftrag für das Umsetzen der vorgeschlagenen Massnahmen abzuholen. Mit den vorgeschlagenen Massnahmen sollen eine angemessene Sicherheit garantiert und die Finanzierung sichergestellt werden. 3 Abschlussbericht Risikoanalyse der Swiss Infosec AG 3.1 Ausgangslage Anfangs Juni 2008 beauftragte der ILA die Swiss Infosec AG mit einer Unterstützung im Bereich der Informationssicherheit. Ziel dieser Unterstützung war und ist es, die Sicherheit der bei der Stadt Aarau bearbeiteten und gespeicherten Informationen, die im Einsatz stehenden Geräten und angestellten Mitarbeiterinnen und Mitarbeiter zu erhöhen und geeignete Massnahmen zu erarbeiten um dies zu gewährleisten. Die Swiss Infosec AG schlug im Rahmen dieses Auftrages vor, als erstes konkretes Vorgehen zusammen mit dem Informatik-Lenkungsausschuss (ILA) eine Risikoanalyse durchzuführen, um zuerst die primär betroffenen Bereiche / Objekte festzustellen und in der Folge angemessene Massnahmen zur Erhöhung / Garantierung der Sicherheit dieser Bereiche festzulegen. Das Vorgehen der Risikoanalyse, die identifizierten Risiken und die gemeinsam erarbeiteten Massnahmen werden in diesem Bericht aufgezeigt. 3.2 Risikoanalyse Wie bei jeder Risikoabwägung im täglichen Leben wird bei der Analyse vermuteter oder konkret vorhandener Risiken eine Abschätzung der Eintretenswahrscheinlichkeit und des möglichen Schadensausmasses vorgenommen. Ein Risiko definiert sich in diesem Zusammenhang wie folgt: "Unter dem Begriff der operationellen Risiken versteht man die Gefahr von Verlusten, die infolge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder von externen Ereignissen eintreten können." Nach einem standardisierten Vorgehen werden mögliche "Angriffspunkte" in Form konkreter und vorgängig identifizierter Objekte (IT, Infrastruktur, Mitarbeiter/-innen, etc.) definiert und anhand einer Matrix dargestellt. Aus dieser Auswertung sind in der Folge all jene potentiellen Risiken zu identifizieren, deren Kombination von Eintretenswahrscheinlichkeit und Schadensausmass als inakzeptabel beschlossen (s. unten im roten Bereich) oder aber durch bereits getroffene Massnahmen als angemessen entschärft bzw. in Kauf genommen werden. Folgende Objekte wurden vorgängig in Zusammenarbeit zwischen der Stadtverwaltung Aarau, Sektion Organisation und Informatik, und der Swiss Infosec AG identifiziert:

9 9 Objekte / Objektarten Active-Directory Applikation Lobos Applikation VSoft Datenschutzrelevante Daten (extern, Einwohner, usw.) File-Server Adam Groupwise Internet-Anbindung IT-Mitarbeitende Lichtwellenleiter Anbindungen Personal-Informationen (Mitarbeiter/-innen) Rechenzentrum Redundante Rechenzentren Stockwerkverteiler (Netzwerk) Switches (Aussenstellen) Telefonie Übrige Verwaltungssysteme Vertrauliche Daten 3.3 Workshop Risikoanalyse Aus dem am 10. September 2008 mit dem ILA der Stadtverwaltung Aarau durchgeführten Workshop resultierten die in den folgenden Darstellungen zu behandelnden bzw. akzeptierten Risiken: Zum Schutz vertraulicher Informationen wurde diese Grafik entfernt. Grafik: "Rote", bzw. zu behandelnde Risiken Zum Schutz vertraulicher Informationen wurde diese Grafik entfernt. Grafik: "Grüne", bzw. akzeptierte Risiken Die beiden obigen Matrix-Darstellungen zeigen die Einschätzung des ILA bezüglich der auf die Objekte einwirkenden Risiken anhand der Eintretenswahrscheinlichkeit (Skala "1" bis "4") und des zu erwartenden Schadensausmasses (Skala "A" bis "D"). Diese Skalen wurden wie folgt definiert: Wahrscheinlichkeit: 4 = sehr hoch (sehr wahrscheinlich, häufig); mehr als einmal im Monat 3 = hoch (eher wahrscheinlich, gelegentlich); weniger als einmal pro Monat 2 = mittel (eher unwahrscheinlich, selten); weniger als einmal in einem Jahr 1 = tief (unwahrscheinlich, äusserst selten); weniger als einmal in zehn Jahren

10 10 Schadensausmass materiell/immateriell in EBIT über 3 Jahre: D = sehr hoch, sehr grosser Schaden über Fr. 1'000'000.- C = hoch, grosser Schaden Fr. 250'000.- bis Fr. 1'000'000.- B = mittel, bedeutender Schaden Fr. 20'000.- bis Fr. 250'000.- A = tief, geringer Schaden bis Fr. 20' Schlussfolgerung / Fazit Wie bereits ausgeführt liegt das Ziel der Risikoanalyse nicht in der völligen Ausräumung jeglicher Risiken, sondern vielmehr in der wirtschaftlich und aufwandsmässig angemessenen Reduktion der Ursachen und/oder der zu erwartenden Schäden. Beispielsweise kann durch die Ergreifung der Massnahme "Awareness/Ausbildung" das Risiko "Datendiebstahl/Datenmissbrauch" vom Quadranten B3, der bei der Risiko-Analyse mit einer hohen Eintretenswahrscheinlichkeit und einem mittleren, aber bedeutenden Schaden eingeschätzt wurde, in den "grünen Bereich" gebracht werden und somit auch das Risiko auf ein akzeptables Mass reduziert werden. Entsprechend reduzieren die vorgeschlagenen Massnahmen die dargestellten, nicht akzeptablen roten Risiken und erhöhen die Gesamtsicherheit der Informationen und IT- Infrastruktur. Der ILA empfiehlt, die identifizierten Risiken mit den nachfolgend aufgeführten Massnahmen zu reduzieren. 4 Massnahmendefinition & -behandlung Der nächste Schritt nach der Identifizierung der betroffenen Objekte bestand darin, geeignete und angemessene Massnahmen zu definieren, die im Rahmen der Zielvorgabe einzusetzen wären. Diese wurden wiederum im Zusammenspiel mit der Stadtverwaltung Aarau und der Swiss Infosec AG erarbeitet und am 22. Oktober 2008 von der Sektion OI dem ILA vorgelegt. Nebst den bereits in die Wege geleiteten Massnahmen wurden die Folgenden mit "Priorität A" erarbeitet: Nr. Beschreibung 1 Awareness; Ausbildung 3 Business Continuity Planning (BCP) / Disaster Recover Planning (DRP) anpassen 4 Benutzer-Richtlinien; Administrations-Richtlinien 5 Brandschutz prüfen, ggf. anpassen 8 Monatliche Auslagerung der GIS Daten 13 Zugriffsmechanismen überprüfen, ggf. anpassen

11 11 Die nachfolgende Tabelle zeigt alle Massnahmen auf, die von der Firma Swiss Infosec AG auf Grund der Risikoanalyse des ILA's vorgeschlagen wurden. Diese sind im ILA behandelt und als notwendig erachtet worden. Auf der Liste in der Aktenbeilage ist ersichtlich, welche Risiken durch diese Massnahmen reduziert werden sollen. Massnahmen Beschreibung Bemerkungen Nummer Priorität Aufwand PT Int. (grob geschätzt) Aufwand PT Ext. (grob geschätzt) 1 Awareness; Ausbildung 2 Backup-Mechanismen prüfen; ggf. anpassen 3 Business Continuity Planning (BCP) / Disaster Recover Planning (DRP) anpassen Mit stufengerechten Awareness- Kampagnen kann auf die Risiken und Verhaltenweisen aufmerksam gemacht werden. Applikations-spezifische Ausbildung, vor allem bei Veränderungen im Systemumfeld ist wichtig um neue Komponenten und deren Umgang zu schulen. Konkrete Massnahmen: Edutainments Merkblätter E-Learning Intranet-Publikationen Backup-Mechanismen können, ohne regelmässige Kontrollen und Tests unbemerkt fehlschlagen. Um dies zu vermeiden sind eine Abstimmung mit dem BCM- Framework, sowie Tests der Abläufe, der Hardware und der Backup-Medien unverzichtbar. Erarbeitung eines Business Continuity Management- Frameworks (inkl. Evakuationen/Alarmierung). Der Disaster Recovery Plan sollte überprüft und ggf. angepasst werden. Zudem sollte mittels periodischer Prüfung auf die Tauglichkeit dieser Pläne getestet werden. Konkrete Massnahmen (abgestimmt auf StaOs): Alarmsystem(e) überprüfen DRP für Applikationen & StaOs erarbeiten. Anbindung Aussenstationen ("Vermaschung"), Redundante Systeme Project "Roboter"; Massnahme kann als abgeschlossen erachtet werden. Thema Evakuation ist bei SiBe (PW) in Bearbeitung. Massnahme muss auf Standorte abgestimmt werden. Ausbau ESX-Server (Virtueller Server) für 2009 geplant. Anforderungen noch mit Fachabteilungen zu koordinieren. A Z 5 0 A 30 10

12 12 Massnahmen Beschreibung Bemerkungen Nummer Priorität Aufwand PT Int. (grob geschätzt) Aufwand PT Ext. (grob geschätzt) 4 Benutzer-Richtlinien; Administrations- Richtlinien 5 Brandschutz prüfen, ggf. anpassen Recovery Point Objective (RPO) & Recovery Time Objective (RTO) und gesetzliche/betriebliche Anforderungen Datensicherung/Datenarchivi erung mit Fachabteilungen aufnehmen und umsetzen Die Benutzer der Systeme und Applikationen sollten mittels entsprechender Richtlinien auf die geltenden Regeln aufmerksam gemacht werden. Die Einhaltung dieser Richtlinien wird in entsprechenden Einverständniserklärungen festgehalten. Brandschutzinstallationen sollten periodisch geprüft und werden. Produkteunabhängige Unterstützung kann ggf. helfen Schwachstellen aufzuzeigen und diese zu beseitigen. ca. 300 Mitarbeitende/Benutz er A 2 10 A 5 2 Konkrete Massnahmen: Temperaturfühler anbringen Begehung/Audit durchführen 6 Change Management Integritäts-Probleme, vor allem bei Interfaces, Konsequente Change-Management Prozesse und Kontrollen helfen dabei, Integritäts-Probleme bei Interfaces o.ä. zu beseitigen bevor sie in der Produktion auftreten. B Dokumentation beschaffen; zentral & sicher aufbewahren 8 Monatliche Auslagerung der GIS Konkrete Massnahmen: Administrationsrichtlinien überarbeiten (s. auch Massnahme Nr. 4) Nicht auffindbare und/oder veraltete Dokumentation sollte beim Hersteller bestellt und zentral verwaltet werden. Ein aktives Bearbeiten einer solchen Bibliothek hilft Mehrfach- Ablagen zu vermeiden. Die GIS Daten sollten monatlich an einen Ort ausgelagert ggf. als PDF speichern und sicher aufbewahren Die GIS-Daten werden beim externen Betreiber C 10 2 A 1 0

13 13 Massnahmen Beschreibung Bemerkungen Nummer Priorität Aufwand PT Int. (grob geschätzt) Aufwand PT Ext. (grob geschätzt) Daten 10 Redundante Internet- Anbindung 11 Verträge prüfen; ggf. andere Lieferanten als Backup prüfen 12 Vertragliche Regelungen mit (externem) Datenhalter 13 Zugriffsmechanismen überprüfen, ggf. anpassen werden, der geografisch und risikomässig unabhängig ist. Ausfallsichere Mechanismen, bzw. Anbindungen ans Internet sollten geprüft und wo nötig sichergestellt werden. Periodische Kontrollen der Support-Verträge sind notwendig um nicht von einem "End-of-Life" Problem betroffen zu werden. Gegebenenfalls sind andere Lieferanten zu prüfen, die den optimal(er)en Service erbringen können. Die Sicherheit der Daten sollte vertraglich so geregelt werden, dass der Datenhalter dazu verpflichtet wird deren Sicherheit zu gewährleisten. Überdies sollten periodische (ggf. externe) Audits zur Verifizierung dieser Sicherheit eingesetzt werden. Übergreifendes Rollen- und Berechtigungskonzept: die Mechanismen zur Erteilung, Veränderung und Löschung von Zugriffsrechten sollten periodisch überprüft und, wo nötig, angepasst werden. HR- Daten sind dabei zu berücksichtigen. Speziell sind hier privilegierte Accounts (Administratoren) zu berücksichtigen. gelagert und bewirtschaftet. Er erstellt täglich eine Datensicherung und hinterlegt diese einmal monatlich in einem Bank-Safe. Neu werden diese Daten quartalsweise auf einem USB-Stick der Stadtverwaltung geliefert und bei der Sektion OI gelagert (ab Ende 2008). C 4 4 C 5 0 C 2 2 A 20 5 Konkrete Massnahmen: Regeln/Abläufe optimieren Daten-Eigner definieren & ausbilden

14 14 Nummer Massnahmen Beschreibung Bemerkungen Priorität Aufwand PT Int. (grob geschätzt) Aufwand PT Ext. (grob geschätzt) 14 Zutrittsschutz überprüfen, ggf. anpassen Der Zutritt zu IT-Räumen soll, ggf. mit entsprechenden Umbaumassnahmen, den Schutz der Mitarbeiterinnen / Mitarbeiter und deren Informationswerten unterstützen. C 2 2 Konkrete Massnahmen: Zutrittsschutz-Konzept für alle Rechner-Räume & Standorte Total Personentage (PTs): Beurteilung des ILA s Bei der Behandlung dieser Massnahmen im ILA wurden unter anderem die nachfolgend aufgeführten Punkte festgehalten: Das IDAG und VIDAG geben Vorgaben, die zu erfüllen sind. Der Ausbildungsaufwand für die Mitarbeiterinnen und Mitarbeiter steigt, und es ist notwendig, dies immer wieder in regelmässigen Abständen (jährlich) zu tun. Bis jetzt wurden die EDV-User im Bereich der IT-Security und Informationssicherheit nicht ausgebildet. Das Bewusstsein muss gefördert werden. In der Sektion OI wurde bis jetzt schon viel für die IT-Security gemacht. Der ILA und der Stadtrat haben die Verantwortung wahrzunehmen und in diesem Bereich einen Schritt zu machen. Die Arbeiten für die IT-Security verursachen einen laufenden Aufwand in der Informatik, der noch zu ermitteln ist. Es sind auch die notwendigen Regelungen auszuarbeiten. 4.2 Kostenschätzung Aus Sicht der Firma Swiss Infosec AG und dem ILA fallen die aufgeführten Massnahmen im Jahr 2009 / 2010 an und die finanziellen Mittel sind bereitzustellen Interner Aufwand Der interne geschätzte Aufwand von 96 Personentagen ergibt bei 220 Arbeitstagen im ganzen Jahr eine Belastung der Sektion OI mit ca. 45 Stellenprozenten. Die Arbeiten verteilen sich auf verschiedene Wissensträger in der Sektion OI. Die höchste Belastung wird voraussichtlich beim Leiter der Sektion OI anfallen. Da viele Aufgaben von bestehenden Mitarbeiterinnen und Mitarbeitern (Wissensträger) der Sektion OI wahrgenommen werden, müssen einfachere Arbeiten an temporäre Mitarbeiter/-innen ausgelagert werden.

15 15 Dies verursacht Kosten in der Höhe von Fr. 60'000.- für die Umsetzung der Massnahmen. Für die zusätzlichen laufenden Aufgaben (regelmässige Kontrolle der Zugriffsberechtigungen in den verschiedensten Applikationen, Dokumentation aller Änderungen der Zugriffsberechtigungen, Durchsetzen der Massnahmen, vermehrte Instruktionen der EDV- User, automatische Aufzeichnungen analysieren, ) in der Sektion OI ist mit einem Aufwand in der Höhe von ca. 20 Stellenprozenten zu rechnen (ab 2010). Der effektive Aufwand ist heute noch schwierig abzuschätzen. Es ist mit wiederkehrenden Kosten in der Höhe von ca. 25' Franken zu rechnen. Die zusätzlichen Aufgaben erfordern ein fundiertes EDV- Wissen der Applikationen und der Berechtigungssteuerungen. Die 20 Stellenprozente sind im gleichen Gehaltsband 7, wie die anderen EDV-Mitarbeiterin und Mitarbeiter der Sektion OI einzureihen Externer Aufwand Der externe Aufwand liegt bei 59 Personentagen. Der grössere Anteil wird bei der Firma Swiss Infosec AG liegen, die ein profundes Wissen in diesem Bereich hat. Der kleinere Anteil wird von den bestehenden Software-Lieferanten, wie z.b. VEMAG AG, combyte AG und weiteren, erbracht werden müssen. Dies verursacht Kosten in der Höhe von Fr. 118'000.- (59 x 8 Stunden x Fr ). Als Basis wurde der Stundenansatz der Swiss Infosec AG verwendet Bauliche Anpassungen Bei der Begehung und beim Audit der EDV-Räume (Rechenzentrum, Netzwerkverteiler, Räume mit LWL-Leitern) werden die notwendigen Massnahmen ermittelt und damit die Kosten für die Umsetzung. Konkret geht es um die nachfolgenden Räume: Rechenzentrum Rathaus Einführung der LWL-Verbindungen (Lichtwellenleiter) von / zu den Aussenstationen ins Rathaus Backup-Raum (Datensicherung) im KuK Server-Raum (2. Rechenzentrum) in der Hauptpost Netzwerkraum Hauptpost 4 Netzwerkräume im Rathaus 6 Netzwerkräume in den Schulhäusern (Bezirkschulhaus, Aareschulhaus, Oberstufenschulhaus, Heilpädagogische Schule, Tellischulhaus, Gönhardschulhaus) Netzwerkräume in den Aussenstandorten: Gemeindehaus Rohr, Friedhof, Zollhaus, Reg. Zivilstandsamt, Golatti / Halde 64, Bibliothek, Schlössli, KuK, Jugendhaus, Forstwerkhof, Herosé, Feuerwehr, Werkhof, Schulsekretariat Als mögliche Massnahmen sind denkbar: Verbesserung des Schliess-Systems, automatische Feuerlöschung, feuersichere Abschottungen, Überwachungen (Temperatur, Wasser, Video, ). In einer ersten Annäherung wird von Fr. 50'000.- ausgegangen.

16 Hard- / Software-Beschaffungen Vorerst wird davon ausgegangen, dass keine oder nur kleinere Beschaffungen notwendig sind, die mit dem Globalbudget abgedeckt werden können. 4.3 Finanzierung Die Zusatzkosten in der Höhe von ca. 230'000 Franken können von der Sektion OI resp. der Sektion Liegenschaften (bauliche Massnahmen) nicht mit dem Globalbudget abgedeckt werden. Es ist zu beachten, dass mit diesen Massnahmen noch nicht alle Vorgaben aus dem IDAG abgedeckt sind. Die anderen haben eine längere Übergangsregelung. Der Stadtrat stellt dem Einwohnerrat wie folgt Antrag: Der Einwohnerrat möge einen Verpflichtungskredit von 230'000 Franken für die Umsetzung von Massnahmen im Bereich der Informations- und IT-Security und für die zusätzlichen EDV-Aufgaben 20 Stellenprozente bei der Sektion OI, PG 04, bewilligen. Mit freundlichen Grüssen IM NAMEN DES STADTRATES Der Stadtammann Dr. Marcel Guignard Der Vize-Stadtschreiber Stefan Berner Verzeichnis der aufliegenden Akten: PA Nr. 226 vom IDAG vom VIDAG vom Leitfaden IDAG / VIDAG Übersicht über die Aufgaben der Gemeinden gemäss Gesetz IDAG vom Diverse Projektunterlagen

Bericht und Antrag an den Einwohnerrat

Bericht und Antrag an den Einwohnerrat STADT AARAU Stadtrat Rathausgasse 1 5000 Aarau Tel. 062 836 05 13/10 Fax 062 836 06 30 e-mail: kanzlei@aarau.ch Aarau, 6. März 2000 GV 1998-2001 / 193 Bericht und Antrag an den Einwohnerrat WOSA: Einführung

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010 IT-Sicherheit Abteilung IT/2 Informationstechnologie Dr. Robert Kristöfl 1 3. Dezember 2010 Begriffsdefinitionen Safety / Funktionssicherheit: stellt sicher, dass sich ein IT-System konform zur erwarteten

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

EINFACH SICHER KOMPETENT. Die Genossenschaft Der unternehmerischen Kompetenzen

EINFACH SICHER KOMPETENT. Die Genossenschaft Der unternehmerischen Kompetenzen EINFACH SICHER KOMPETENT EINFACH SICHER Das Jetzt die Technik das Morgen In der heutigen Zeit des Fortschritts und Globalisierung, ist es für jedes Unternehmen unbedingt erforderlich, dass es effektiv

Mehr

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang IT Security Audit Beschreibung Die Informatik ist immer stärker verantwortlich für das Erstellen und die Abwicklung von geschäftskritischen Abläufen und wird dadurch zum unmittelbaren Erfolgsfaktor eines

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

Zusammenfassung IT SEC + MAN

Zusammenfassung IT SEC + MAN Zusammenfassung IT SEC + MAN Zusammenfassung aus den Vorlesungen Sicherheitswahrnehmung Sicherheitsrelease Ausbreitung Funktionalität-Sicherheit Post-Incident-Verhalten (Das Verhalten nach dem Vorfall)

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

BCM Schnellcheck. Referent Jürgen Vischer

BCM Schnellcheck. Referent Jürgen Vischer BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz

Mehr

Willkommen zum Livehacking

Willkommen zum Livehacking Willkommen zum Livehacking bei der Deutschen Bank Berlin mit Unterstützung des BVMW 23.10.2012 Da nachgefragt wurde: Ja! Antago steht Ihnen gerne mit Rat und Tat rund um Ihre Informationssicherheit zur

Mehr

Herausforderungen und Massnahmenaus Sicht eines grossenproviders

Herausforderungen und Massnahmenaus Sicht eines grossenproviders Herausforderungen und Massnahmenaus Sicht eines grossenproviders 23. Juni 2015 Christian Greuter, CEO Health Info Net AG Agenda Einführung und Vorstellung HIN Trends als Herausforderung Grenzen der Machbarkeit

Mehr

Mobile Device Management

Mobile Device Management Mobile Device Management Ein Überblick über die neue Herausforderung in der IT Mobile Device Management Seite 1 von 6 Was ist Mobile Device Management? Mobiles Arbeiten gewinnt in Unternehmen zunehmend

Mehr

Informationssicherheit in der Praxis. Risikoverantwortung und Know-How Schutz im Unternehmen. @-yet GmbH Hans-Peter Fries Business Security

Informationssicherheit in der Praxis. Risikoverantwortung und Know-How Schutz im Unternehmen. @-yet GmbH Hans-Peter Fries Business Security Informationssicherheit in der Praxis @-yet GmbH Hans-Peter Fries Business Security Risikoverantwortung und Know-How Schutz im Unternehmen @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen +49 (02175) 16

Mehr

Konzept für eine Highperformance- und Hochverfügbarkeitslösung für. einen Anbieter von Krankenhaus Abrechnungen

Konzept für eine Highperformance- und Hochverfügbarkeitslösung für. einen Anbieter von Krankenhaus Abrechnungen Konzept für eine Highperformance- und Hochverfügbarkeitslösung für Anforderungen : einen Anbieter von Krankenhaus Abrechnungen Es soll eine Cluster Lösung umgesetzt werden, welche folgende Kriterien erfüllt:

Mehr

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG Datensicherheit bei gem. 9 BDSG Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung nachfolgender technischer und organisatorischer Maßnahmen, die zur Einhaltung der anzuwendenden

Mehr

Die Phase 1 wurde mit dem Entscheid der beiden Exekutiven Brugg und Umiken, den Zusammenschluss zu prüfen, im Dezember 2005 abgeschlossen.

Die Phase 1 wurde mit dem Entscheid der beiden Exekutiven Brugg und Umiken, den Zusammenschluss zu prüfen, im Dezember 2005 abgeschlossen. EINWOHNERRAT BRUGG B e r i c h t und A n t r a g des Stadtrates an den Einwohnerrat betreffend Kredit für die Fusionsvorbereitungen für den Zusammenschluss der Einwohnergemeinden Brugg und Umiken 1. Ausgangslage

Mehr

Dunkel Mail Security

Dunkel Mail Security Dunkel Mail Security email-sicherheit auf die stressfreie Art Unser Service verhindert wie ein externer Schutzschild, dass Spam, Viren und andere Bedrohungen mit der email in Ihr Unternehmen gelangen und

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

Kauf Aktien Busbetrieb Aarau (BBA) von Nachbargemeinden

Kauf Aktien Busbetrieb Aarau (BBA) von Nachbargemeinden STADT AARAU Stadtrat Rathausgasse 1 5000 Aarau Tel.062 836 05 13 Fax 062 836 06 30 kanzlei@aarau.ch Aarau, 25. Mai 2010 GV 2010-2013 /54 Bericht und Antrag an den Einwohnerrat Kauf Aktien Busbetrieb Aarau

Mehr

Storage as a Service im DataCenter

Storage as a Service im DataCenter Storage as a Service im DataCenter Agenda Definition Storage as a Service Storage as a Service und IT-Sicherheit Anwendungsmöglichkeiten und Architektur einer Storage as a Service Lösung Datensicherung

Mehr

Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich

Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Seit Microsoft Exchange Server 2010 bieten sich für Unternehmen gleich zwei mögliche Szenarien an, um eine rechtskonforme Archivierung

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2-4

Mehr

Praktizierter Grundschutz in einem mittelständigen Unternehmen

Praktizierter Grundschutz in einem mittelständigen Unternehmen Praktizierter Grundschutz in einem mittelständigen Unternehmen Adolf Brast, Leiter Informationsverarbeitung Bochum-Gelsenkirchener Straßenbahnen AG auf dem 4. Stuttgarter IT-Sicherheitstag, 16.02.06 Überblick

Mehr

Investitionsbudget 2015; Darlehen an die Stadion Aarau AG (SAAG); Umwandlung in einen Verpflichtungskredit

Investitionsbudget 2015; Darlehen an die Stadion Aarau AG (SAAG); Umwandlung in einen Verpflichtungskredit STADT AARAU Stadtrat Rathausgasse 1 5000 Aarau Tel. 062 836 05 13 Fax 062 836 06 30 kanzlei@aarau.ch Aarau, 2. März 2015 GV 2014-2017 / 121 Bericht und Antrag an den Einwohnerrat Investitionsbudget 2015;

Mehr

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7 BSI-Veröffentlichungen zur Cyber-Sicherheit ANALYSEN Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen Auswirkungen der Konfiguration auf den Schutz gegen aktuelle Drive-by-Angriffe Zusammenfassung

Mehr

Sozioökonomische Dienstleistungsinfrastrukturen

Sozioökonomische Dienstleistungsinfrastrukturen Das IT-Sicherheitsgesetz Am 12. Juni 2015 hat der deutsche Bundestag in 2. und 3. Lesung das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) beschlossen. Die Zustimmung

Mehr

CAFM als SaaS - Lösung

CAFM als SaaS - Lösung CAFM als SaaS - Lösung cafm (24) - Deutschlands erste Plattform für herstellerneutrales CAFM-Hosting Inhaltsübersicht Inhaltsübersicht... 1 Die eigene CAFM-Software in der Cloud... 2 Vorteile... 3 Wirtschaftliche

Mehr

BSI-Leitfaden Bedrohung der Informationssicherheit durch den gezielten Einsatz von Schadprogrammen Kurztest zur Einschätzung der eigenen

BSI-Leitfaden Bedrohung der Informationssicherheit durch den gezielten Einsatz von Schadprogrammen Kurztest zur Einschätzung der eigenen BSI-Leitfaden Bedrohung der Informationssicherheit durch den gezielten Einsatz von Schadprogrammen Teil 3: Kurztest zur Einschätzung der eigenen Bedrohungslage Änderungshistorie Datum Änderung.01.007 Version

Mehr

Penetration Test Zielsetzung & Methodik

Penetration Test Zielsetzung & Methodik Zielsetzung & Methodik : Ausgangslage Hacker und Cracker haben vielfältige Möglichkeiten, über öffentliche Netze unbefugt auf die IT-Systeme eines Unternehmens zuzugreifen Sie können vertrauliche Informationen

Mehr

Gesamtverzeichnis für gemeinsame Verfahren nach 15 HDSG

Gesamtverzeichnis für gemeinsame Verfahren nach 15 HDSG Gesamtverzeichnis für gemeinsame Verfahren nach 15 HDSG lfd. Nr. neues Verfahren Änderung Das Verzeichnis ist zur Einsichtnahme bestimmt ( 15 Abs. 2 Satz 2 HDSG) Das Verzeichnis ist nur teilweise zur Einsichtnahme

Mehr

FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH

FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH Hosting, Application Management und Geschäftsprozess-Outsourcing Datenschutzbeauftragter: Jens Wiesner Seite 1 1.1 Hosting 1.1.1 Räumliche Voraussetzungen

Mehr

Schutz sensibler Personendaten im e-government-umfeld. Christian Spörer Juni 2013 Chief Information Officer Total Security & Quality Management

Schutz sensibler Personendaten im e-government-umfeld. Christian Spörer Juni 2013 Chief Information Officer Total Security & Quality Management Schutz sensibler Personendaten im e-government-umfeld Christian Spörer Juni 2013 Chief Information Officer Total Security & Quality Management OeSD im Überblick Gründung: 1804 Mitarbeiter: 180 Produktion:

Mehr

WINDOWS 7. Druckerkonfiguration - Systemsteuerung - Sicherheit

WINDOWS 7. Druckerkonfiguration - Systemsteuerung - Sicherheit WINDOWS 7 Druckerkonfiguration - Systemsteuerung - Sicherheit Druckerverwaltung ab Seite 91 = Standarddrucker Druckaufträge verwalten ab Seite 96 Systemsteuerung ab Seite 97 System Information über das

Mehr

Lifecycle der IT-Sicherheit Sichern Sie die Existenz Ihres Unternehmens

Lifecycle der IT-Sicherheit Sichern Sie die Existenz Ihres Unternehmens Lifecycle der IT-Sicherheit Sichern Sie die Existenz Ihres Unternehmens Thomas D. Schmidt Consulting IT-Security Enterprise Computing Networking & Security ADA Das SystemHaus GmbH Region West Dohrweg 59

Mehr

Risiken kann man eingehen. Oder man kann sie meistern.

Risiken kann man eingehen. Oder man kann sie meistern. IBM Global Technology Services Risiken kann man eingehen. Oder man kann sie meistern. Einsichten und Erkenntnisse aus der IBM Global IT Risk Study. 2 IBM Global IT Risk Study Wie steht es mit dem Sicherheitsbewusstsein

Mehr

Was Kommunen beim Datenschutz beachten müssen

Was Kommunen beim Datenschutz beachten müssen Wiesbaden DiKOM am 08.05.2012 Was Kommunen beim Datenschutz beachten müssen Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Seit 1970 Oberste Landesbehörde Dem Hessischen Landtag zugeordnet Aufsichtsbehörde

Mehr

Bestimmungen zur Kontrolle externer Lieferanten. BCM (Business Continuity Management)

Bestimmungen zur Kontrolle externer Lieferanten. BCM (Business Continuity Management) Bestimmungen zur Kontrolle externer Lieferanten BCM (Business Continuity Management) BCM- Bestimmungen Beschreibung BCM-Tiers Recovery Time Objective Über die Bedeutung 1. Business- Continuity- Management-

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

SECURITY AWARENESS HANDBUCH SICHERHEITSBEWUSSTSEIN IN DER STADTVERWALTUNG USTER

SECURITY AWARENESS HANDBUCH SICHERHEITSBEWUSSTSEIN IN DER STADTVERWALTUNG USTER Version V02-public / 2011 SECURITY AWARENESS HANDBUCH SICHERHEITSBEWUSSTSEIN IN DER STADTVERWALTUNG USTER www.uster.ch Seite 2 / 8 INHALTSVERZEICHNIS 1. Einleitung 1.1. Vorbemerkungen 1.2. Security Awareness

Mehr

RITOP CLOUD. Leittechnik aus der Cloud hohe Servicequalität, passgenau dimensioniert

RITOP CLOUD. Leittechnik aus der Cloud hohe Servicequalität, passgenau dimensioniert RITOP CLOUD Leittechnik aus der Cloud hohe Servicequalität, passgenau dimensioniert «RITOP CLOUD STELLT IMMER DIE RICHTIGE INFRASTRUKTUR FÜR DIE LEITTECHNIK BEREIT. DAS BEWAHRT DIE FLEXIBILITÄT UND SPART

Mehr

USERGATE MAIL SERVER. Mail Server für kleine und mittelständische Unternehmen:

USERGATE MAIL SERVER. Mail Server für kleine und mittelständische Unternehmen: USERGATE MAIL SERVER Mail Server für kleine und mittelständische Unternehmen: - Bequeme Konfiguration und Bedienung - Größtmögliche Stabilität - Totale Sicherheit - Starke Antispam-Filter 7 Gründe um ausgerechnet

Mehr

Bundesministerium für Gesundheit und Soziale Sicherung. Gefördert vom. Datenschutz und Datensicherheit. Aufgaben

Bundesministerium für Gesundheit und Soziale Sicherung. Gefördert vom. Datenschutz und Datensicherheit. Aufgaben Gefördert vom Bundesministerium für Gesundheit und Soziale Sicherung Datenschutz und Datensicherheit Inhaltsverzeichnis Vorwort... 4 1 zu Kapitel 1... 5 1.1 Aufgabe 1 Gefährdung von Daten...5 1.2 Aufgabe

Mehr

Datenschutzkonforme Nutzung sozialer Medien durch öffentliche Organe

Datenschutzkonforme Nutzung sozialer Medien durch öffentliche Organe MERKBLATT Datenschutzkonforme Nutzung sozialer Medien durch öffentliche Organe I. Einleitung Dieses Merkblatt richtet sich an öffentliche Organe, welche der kantonalen Datenschutzgesetzgebung unterstehen

Mehr

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung Use-Cases Bruno Blumenthal und Roger Meyer 17. Juli 2003 Zusammenfassung Dieses Dokument beschreibt Netzwerk-Szenarios für den Einsatz von NetWACS. Es soll als Grundlage bei der Definition des NetWACS

Mehr

Überlegungen zur Effizienz bei der Umsetzung von it-sicherheits-maßnahmen für KMUs

Überlegungen zur Effizienz bei der Umsetzung von it-sicherheits-maßnahmen für KMUs Überlegungen zur Effizienz bei der Umsetzung von it-sicherheits-maßnahmen für KMUs Roadshow: Cybercrime eine Bedrohung auch für kleine und mittlere Unternehmen Tobias Rademann, Bochum, 19. November 2013

Mehr

OCG IT-Security. OCG IT-Security 2.0. Lernzielkatalog. Syllabus Version

OCG IT-Security. OCG IT-Security 2.0. Lernzielkatalog. Syllabus Version OCG IT-Security OCG IT-Security Lernzielkatalog 2.0 Syllabus Version Österreichische Computer Gesellschaft Wollzeile 1-3, 1010 Wien Tel: + 43 1 512 02 35-0 Fax: + 43 1 512 02 35-9 E-Mail: ocg@ocg.at Web:

Mehr

Gute Beratung wird verstanden

Gute Beratung wird verstanden Gute Beratung wird verstanden Sehr geehrte Damen und Herrn! Wüssten Sie gern, ob die in Ihrem Unternehmen angewandten Maßnahmen zur Sicherheit der Informationstechnik noch ausreichen? Wenn Sie sicher sein

Mehr

Vorlage des Gemeinderates Beringen vom 5. Januar 2015. Bericht und Antrag des Gemeinderates an den Einwohnerrat "Informatik Schule Beringen"

Vorlage des Gemeinderates Beringen vom 5. Januar 2015. Bericht und Antrag des Gemeinderates an den Einwohnerrat Informatik Schule Beringen Vorlage des Gemeinderates Beringen vom 5. Januar 2015 Bericht und Antrag des Gemeinderates an den Einwohnerrat "Informatik Schule Beringen" Sehr geehrter Herr Präsident Sehr geehrte Damen und Herren Hiermit

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

Gültigkeitsmodell der elektronischen Arztausweise und Laufzeit der Zertifikate

Gültigkeitsmodell der elektronischen Arztausweise und Laufzeit der Zertifikate Seite 1 von 6 Autor: G. Raptis Gültigkeitsmodell der elektronischen Arztausweise und Laufzeit der Zertifikate Gültigkeitsmodelle beschreiben den Algorithmus nach dem ein Client oder Dienst entscheidet,

Mehr

Kurzpräsentation zum Thema Vulnerability Scanning. by WellComm AG, Lengnau Seite 1

Kurzpräsentation zum Thema Vulnerability Scanning. by WellComm AG, Lengnau Seite 1 Kurzpräsentation zum Thema Vulnerability Scanning by WellComm AG, Lengnau Seite 1 Januar 2005 IT Risk Management Prozess Prozessschritt 1. Informationsbeschaffung 2. Analyse 3. Umsetzung 4. Kontrolle Modul

Mehr

Netz16 GmbH Managed Service / Cloud Solutions. www.netz16.de Netz16 GmbH Firmenpräsentation / Stand 2014 S. 1

Netz16 GmbH Managed Service / Cloud Solutions. www.netz16.de Netz16 GmbH Firmenpräsentation / Stand 2014 S. 1 Netz16 GmbH Managed Service / Cloud Solutions www.netz16.de Netz16 GmbH Firmenpräsentation / Stand 2014 S. 1 Vorstellung Netz16 Eckdaten unseres Unternehmens Personal 80 60 40 20 0 2010 2011 2012 2013

Mehr

Gefahren aus dem Internet 1 Grundwissen April 2010

Gefahren aus dem Internet 1 Grundwissen April 2010 1 Grundwissen Voraussetzungen Sie haben das Internet bereits zuhause oder an der Schule genutzt. Sie wissen, was ein Provider ist. Sie wissen, was eine URL ist. Lernziele Sie wissen, was es braucht, damit

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Tobias Rademann, M.A.

Tobias Rademann, M.A. Roadshow: "Cybercrime Eine Bedrohung auch für KMUs" EDV im Mittelstand: praxisnahe Strategien für effektive it-sicherheit Tobias Rademann, M.A. Roadshow: "Cybercrime" 2015 Transport Layer Security Hacker

Mehr

Reglement über die dienstliche Benutzung von srs 183.3 Informatikmitteln vom 2. Juli 2013 1

Reglement über die dienstliche Benutzung von srs 183.3 Informatikmitteln vom 2. Juli 2013 1 Reglement über die dienstliche Benutzung von srs 183.3 Informatikmitteln vom 2. Juli 2013 1 Der Stadtrat erlässt gestützt auf Art. 6 des Personalreglements vom 21. Februar 2012 2 : I. Allgemeine Bestimmungen

Mehr

Informationssicherheit für SSGI-Mitglieder Konsequente Risikominimierung dank standardisierten Massnahmen!

Informationssicherheit für SSGI-Mitglieder Konsequente Risikominimierung dank standardisierten Massnahmen! Informationssicherheit für SSGI-Mitglieder Konsequente Risikominimierung dank standardisierten Massnahmen! Proaktive Verifizierung, Bewertung und Behebung von Sicherheitsrisiken. Aufwandminimierung durch

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

Tablets im Business: Gadget oder sicheres Werkzeug?

Tablets im Business: Gadget oder sicheres Werkzeug? Tablets im Business: Gadget oder sicheres Werkzeug? Daten- und Policy-Management Renato Zanetti CSI Consulting AG, Partner 12.09.2012 Agenda Einleitung, Trends Einsatzkonzepte Anforderungen Lösungsvorschläge

Mehr

Datensicherheit und Backup

Datensicherheit und Backup Beratung Entwicklung Administration Hosting Datensicherheit und Backup Dipl.-Inform. Dominik Vallendor & Dipl.-Inform. Carl Thomas Witzenrath 25.05.2010 Tralios IT Dipl.-Inform. Dominik Vallendor und Dipl.-Inform.

Mehr

Paul Petzold Firmengründer, Verwaltungsratspräsident und Delegierter der Mirus Software AG

Paul Petzold Firmengründer, Verwaltungsratspräsident und Delegierter der Mirus Software AG Cloud Lösung in der Hotellerie Die Mirus Software als Beispiel Paul Petzold Firmengründer, Verwaltungsratspräsident und Delegierter der Mirus Software AG Folie 1 SaaS (Software as a Service) in der Cloud

Mehr

Live Hacking auf eine Citrix Umgebung

Live Hacking auf eine Citrix Umgebung Live Hacking auf eine Citrix Umgebung Ron Ott + Andreas Wisler Security-Consultants GO OUT Production GmbH www.gosecurity.ch GO OUT Production GmbH Gegründet 1999 9 Mitarbeiter Dienstleistungen: 1 Einleitung

Mehr

Präventive Planung - Ereignisbewältigung und Rückführung. Brandschutz/ Inspektionsstelle. Arbeitssicherheit/ Security. Umweltsicherheit/ Naturgefahren

Präventive Planung - Ereignisbewältigung und Rückführung. Brandschutz/ Inspektionsstelle. Arbeitssicherheit/ Security. Umweltsicherheit/ Naturgefahren Präventive Planung - Ereignisbewältigung und Rückführung Blanche Schlegel, Swissi AG 11. September 2014 Workshop "Integriertes Risikomanagement in der Prozessindustrie" 11.09.2014 Swissi AG 2 Fachbereiche

Mehr

Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter

Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter Goethestraße 27 18209 Bad Doberan Telefon: 038203/77690 Telefax: 038203/776928 Datenschutzbeauftragter Schütte, Goethestraße 27, 18209 Bad Doberan

Mehr

Informationen zur Risikoanalyse für die Verwendung von Sitzgurten mit verschiedenen Liftertypen. 25. November 2010

Informationen zur Risikoanalyse für die Verwendung von Sitzgurten mit verschiedenen Liftertypen. 25. November 2010 Informationen zur Risikoanalyse für die Verwendung von Sitzgurten mit verschiedenen Liftertypen. 25. November 2010 In den grundlegenden Anforderungen im Anhang 1 der Richtlinie über Medizinprodukte, EG-Richtlinie

Mehr

COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien. Haftungsfragen bei Sicherheitslücken

COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien. Haftungsfragen bei Sicherheitslücken COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien Haftungsfragen bei Sicherheitslücken Dr. Johannes Juranek, Partner bei CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH, Gauermanngasse 2-4, 1010 Wien

Mehr

Data Leakage ein teures Leiden

Data Leakage ein teures Leiden Data Leakage ein teures Leiden Agenda Die C&L Unternehmensgruppe Unterschied zwischen»data Loss Prevention«und»Data Leakage Prevention«Rechtliche Rahmenbedingungen Gefühlte und wirkliche Bedrohung Die

Mehr

Muster-Bearbeitungsreglement (öffentlich) für die Krankenversicherer des RVK

Muster-Bearbeitungsreglement (öffentlich) für die Krankenversicherer des RVK Muster-Bearbeitungsreglement (öffentlich) für die Krankenversicherer des RVK 1. BESCHREIBUNG DES UNTERNEHMENS Die sodalis gesundheitsgruppe ist eine Krankenversicherung gemäss KVG. Ausserdem werden diverse

Mehr

Sicherheitslage Schweiz. Cyberangriffe: aktuelle Bedrohungslage in der Schweiz

Sicherheitslage Schweiz. Cyberangriffe: aktuelle Bedrohungslage in der Schweiz Informatikstrategieorgan Bund ISB Nachrichtendienst des Bundes NDB Sicherheitslage Schweiz Cyberangriffe: aktuelle Bedrohungslage in der Schweiz Max Klaus, stv. Leiter MELANI Inhalt 1. : Auftrag, Organisation,

Mehr

Leitfaden zur Unterstützung der Einführung von Cloud Computing

Leitfaden zur Unterstützung der Einführung von Cloud Computing . R G m b H Leitfaden zur Unterstützung der Einführung von Cloud Computing Organisationshilfe und Certification Grundsätzliche Fragen zur Zielbestimmung Festlegung von Verantwortlichkeiten Interne Anforderung

Mehr

DER INTERNET-TREUHÄNDER

DER INTERNET-TREUHÄNDER PERSÖNLICH, MOBIL UND EFFIZIENT DER INTERNET-TREUHÄNDER Webbasierte Dienstleistungen für KMU Der Internet-Treuhänder 3 das ist der internet-treuhänder Flexible Lösung für Ihre Buchhaltung Der Internet-Treuhänder

Mehr

Überlegungen zur Struktur eines Schulnetzes

Überlegungen zur Struktur eines Schulnetzes Überlegungen zur Struktur eines Schulnetzes Kurzbeschreibung Viele Schulen arbeiten heute mit einem Computernetzwerk, das unterschiedlichen Anforderungen genügen muss. Bereits durch eine entsprechende

Mehr

restore-it Managed Offsite Backup Service

restore-it Managed Offsite Backup Service restore-it Managed Offsite Backup Service Unser Name verpflichtet «restore-it», zusammengesetzt aus den beiden Begriffen «restore» und «it»: «restore» Englisch/Deutsch: wiederherstellen «it» Englisch/Detusch:

Mehr

1 Ratgeber und Praxis

1 Ratgeber und Praxis 1 Ratgeber und Praxis Nicht nur große, sondern zunehmend auch mittlere und kleine Unternehmen sind Zielscheibe von Cyberkriminellen. Dieses Kapitel gibt IT-Verantwortlichen und Administratoren einen praxisrelevanten

Mehr

Thema: Risikomanagement

Thema: Risikomanagement 1.1. Risikomanagement Eine der elementarsten Anforderungen an die Projektplanung ist, durch zielgerichtete Planung mögliche Risiken, die den Projekterfolg in Frage stellen, zu identifizieren und präventiv

Mehr

Zeugnisse und Datenschutz

Zeugnisse und Datenschutz Departement Bildung, Kultur und Sport Abteilung Volksschule Dezember 2010 Zeugnisse und Datenschutz Tipps, wie Daten im Umgang mit den neuen elektronischen Beurteilungsinstrumenten geschützt werden können.

Mehr

(IT - Dienstleistungsvertrag)

(IT - Dienstleistungsvertrag) (IT - Dienstleistungsvertrag) Seite 1 von 5 Auftraggeber (nachfolgend Kunde genannt) Auftragnehmer (nachfolgend Provider genannt) Transoffice GmbH Industriestrasse 27 61381 Friedrichsdorf 1. Präambel Das

Mehr

Bericht und Antrag Ausbau Personenunterführung Oberzollikofen; Verpflichtungskredit

Bericht und Antrag Ausbau Personenunterführung Oberzollikofen; Verpflichtungskredit Gemeinde Grosser Gemeinderat Sitzung vom 27. Juni 2012 / Geschäft Nr. 4 Bericht und Antrag Ausbau Personenunterführung Oberzollikofen; Verpflichtungskredit 1. Ausgangslage Zwischen der Gemeinde Zollikofen

Mehr

Checkliste IT-Sicherheit

Checkliste IT-Sicherheit Ist die Administration organisatorisch angemessen aufgebaut? Wie werden die Bereiche Benutzerverwaltung, Rechteverwaltung, Protokollauswertung sowie Netzwerk- und Systemsicherheit abgedeckt? Sind die Bereiche

Mehr

BSI-Grundschutzhandbuch

BSI-Grundschutzhandbuch IT-Sicherheit trotz Dipl.-Math. Jürgen Jakob Inhalt des Vortrags IT-Sicherheit trotz 1. These: IT-Sicherheit trotz 2. Beispiel AVG Sicherheitssystem 3. So erstellt man eine Policy 4. Sie wissen schon alles,

Mehr

Reglement über den Datenschutz (Datenschutzreglement) 6. Januar 2015/me

Reglement über den Datenschutz (Datenschutzreglement) 6. Januar 2015/me GEMEINDE METTAUERTAL KANTON AARGAU Reglement über den Datenschutz (Datenschutzreglement) 6. Januar 2015/me Inhaltsverzeichnis A. Zugang zu amtlichen Dokumenten... 3 1 Anwendbares Recht... 3 2 Entgegennahme

Mehr

Dunkel Cloud Storage. Der sichere Cloud-Speicher für Unternehmen

Dunkel Cloud Storage. Der sichere Cloud-Speicher für Unternehmen Dunkel Cloud Storage Der sichere Cloud-Speicher für Unternehmen Was ist Dunkel Cloud Storage? Dunkel Cloud Storage (DCS) stellt Ihnen Speicherplatz nach Bedarf zur Verfügung, auf den Sie jederzeit über

Mehr

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik.

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik. Forderungen zur Unternehmenspolitik aus diversen Normen und Regelwerken Feststellung und Dokumentation der Forderungen zur Unternehmenspolitik verschiedener Normen und Regelwerke. Schritt 1: Hier auszugsweise

Mehr

ShadowProtect 4 Backup Fast, Recover Faster

ShadowProtect 4 Backup Fast, Recover Faster ShadowProtect 4 Backup Fast, Recover Faster Schnelles und zuverlässiges Disaster Recovery, Datenschutz, System Migration und einfachere Verwaltung von Microsoft Systemen Üebersicht Nutzen / Vorteile Wie

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

Reglement über den Datenschutz in der Gemeindeverwaltung Würenlos

Reglement über den Datenschutz in der Gemeindeverwaltung Würenlos Reglement über den Datenschutz in der Gemeindeverwaltung Würenlos vom 1. Juni 2015 Inhaltsverzeichnis I. Zugang zu amtlichen Dokumenten 1 Anwendbares Recht 2 Entgegennahme des Gesuches 3 Gesuchsbehandlung

Mehr

Datensicherheit und Co. IHK Potsdam, 22.05.2013

Datensicherheit und Co. IHK Potsdam, 22.05.2013 Datensicherheit und Co. IHK Potsdam, 22.05.2013 Aktuelles 25.04.2013/ 17:18 Gefälschte Bank-Mails verteilen Trojaner für Android Hacker-Angriff Bonn (dpa/tmn) - Android-Smartphones stehen gerade im Visier

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI)

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Hinweise zur Vorabkontrolle nach dem Berliner Datenschutzgesetz (BlnDSG) Das am 30.7.2001 novellierte Berliner Datenschutzgesetz

Mehr

Lehrgang Information Security Management

Lehrgang Information Security Management Lehrgang Security Management Das Zeitalter der Datenkommunikation bietet ungeahnte Möglichkeiten der, Kommunikation, der Vereinfachung, Beschleunigung von Arbeitsabläufen, Geschäftsabschlüssen. Geschäftsprozesse

Mehr

... Datensicherungskonzept mit 22 Sicherungsbändern. Datensicherungskonzept mit 22 Sicherungsbändern

... Datensicherungskonzept mit 22 Sicherungsbändern. Datensicherungskonzept mit 22 Sicherungsbändern Datensicherungskonzept mit 22 Sicherungsbändern 1 Sicherungskonzept Datenverluste sind meist nicht mit finanziellen Beträgen zu beziffern. Dennoch schmerzt es ein produktives Unternehmen sehr, wenn plötzlich

Mehr

05.06.2008 Amtliche Mitteilungen / 27. Jahrgang 2/2008 67

05.06.2008 Amtliche Mitteilungen / 27. Jahrgang 2/2008 67 05.06.2008 Amtliche Mitteilungen / 27. Jahrgang 2/2008 67 Dienstvereinbarung zur Einführung und Anwendung von helpline zwischen der Universität Oldenburg (Dienststelle) und dem Personalrat der Universität

Mehr

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen Marc Schober Bundesamt für Sicherheit in der Informationstechnik Referat 112 Kritische Infrastrukturen und IT-Sicherheitsrevision Bundesamt

Mehr

Prozessbeschreibung des Trackings zur Firmenerkennung

Prozessbeschreibung des Trackings zur Firmenerkennung Prozessbeschreibung des Trackings zur Firmenerkennung Überblick Nach 1 Abs.1 des Datenschutzgesetzes soll der Einzelne davor geschützt werden, durch den Umgang mit seinen personenbezogenen Daten in seinem

Mehr