Vorgehen Informations- und IT-Security, Umsetzung der Massnahmen

Größe: px
Ab Seite anzeigen:

Download "Vorgehen Informations- und IT-Security, Umsetzung der Massnahmen"

Transkript

1 STADT AARAU Stadtrat Rathausgasse Aarau Tel Fax Aarau, 25. Mai 2009 GV /402 Bericht und Antrag an den Einwohnerrat Vorgehen Informations- und IT-Security, Umsetzung der Massnahmen Sehr geehrte Frau Präsidentin Sehr geehrte Damen und Herren Seit 1. Juli 2008 gelten eine neue Verfassungsbestimmung ( 72 Abs. 1+2 KV) und ein neues Gesetz. Mit der Verfassungsbestimmung erhält jede Person das Recht auf Zugang zu amtlichen Dokumenten. Das neue Gesetz (IDAG) und die neue Verordnung zum Gesetz (VIDAG) regeln die Information der Öffentlichkeit, den Datenschutz und das Archivwesen. Im Leitfaden zum Gesetz und der Verordnung wird das Vorgehen aufgezeigt: "Das öffentliche Organ hat vorerst eine sorgfältige Risikoanalyse durchzuführen und darauf aufbauend ein Sicherheitskonzept zu entwickeln (im Detail: 4 Abs. 2 Satz 1 VIDAG)". Der ILA (Informatik-Lenkungsausschuss) hat sich anfangs 2008 bei der Behandlung von IT- Sicherheitsfragen und mit Blick auf das IDAG entschieden, eine Risikoanalyse "Informationsund IT-Sicherheit" mit einer externen Begleitung durchzuführen. Das vorliegende Ergebnis wurde dann vom Stadtrat behandelt und zu Handen des Einwohnerrates verabschiedet. 1 Ausgangslage Dieser Bericht zeigt auf, wie der ILA im Jahr 2008 vorgegangen ist und welche Schritte er im Bereich der Informations- und IT-Security unternommen resp. in Auftrag gegeben hat. Mit seiner Risikoanalyse und den daraus abgeleiteten Massnahmen, die jetzt angegangen werden sollen, ist die erste Phase abgeschlossen worden. 1.1 IST-Zustand Security-Überprüfung (2004) Im Jahre 2004 wurde die Firma terreactive AG, Aarau, beauftragt, eine Sicherheitsüberprüfung durchzuführen. Anlass war die geplante Produktivschaltung eines webbasierten Dienstes zur Nutzung des internen Systems durch Mitarbeiter von Einstellungen\Temp\GWViewer\E09-402bereinigt.doc /V1.0

2 2 aussen (Webmail Lösung). Hierbei wird erstmalig durch die Sektion OI ein allgemein vom Internet her erreichbarer Dienst angeboten. Vorrangiges Ziel des Audits war somit, sicherzustellen, dass hierdurch keine Gefahren für die Vertraulichkeit und Integrität des internen Netzwerks verursacht werden. Untersuchungsgegenstand des Audits waren neben dieser konkreten Webmail Lösung auch die sonstigen, für Aussenstehende sichtbaren Schnittstellen der IT Infrastruktur der Stadtverwaltung. Die wichtigste Massnahme war die Implementierung einer neuen Firewall Security-Überprüfung durch Cassarius (2007) Im Jahre 2007 wurde die Firma Cassarius AG, Bern, beauftragt, die von der Firma terreactive AG betriebene Firewall zu überprüfen. Der Anlass dazu war der Anschluss ans Netz der Kapo Aargau. Dabei wurden nur die Firewall und deren Implementierung überprüft. Das Fazit aus dem Abschlussbericht lautet: Die Firewall "aarau-fw0" wurde von der Firma terreactive gut implementiert. Einige kleinere Massnahmen wurden im Laufe der Überprüfung umgesetzt Technische Massnahmen (IST) Firewall Die Firewall wird nach wie vor durch die in Aarau ansässige Firma terreactive AG kompetent betreut. Geplante Änderungen werden auf Antrag ausgewählter Mitarbeiter der Sektion OI verifiziert und erst dann umgesetzt USB-Stick (Regelung) Private USB-Sticks sind nicht erlaubt. Von der Sektion OI werden USB-Sticks mit einem Passwort-Schutz abgegeben Antivirus-Schutz Der Schutz vor Viren, Trojanern, etc. wird auf den verschiedenen Systemen durch verschiedene Produkte gewährleistet. Es sind die folgenden Produkte im Einsatz: Firewall: clamav Arbeitsstationen: Antivir von Avira Windows-Server: Norton von Symantec Novell-Server: McAfee / Kaspersky (Umstellung auf Kaspersky für alle Novell-Server geplant) Spam-Schutz Die Spam-Mails werden auf der Firewall nach verschiedenen Kriterien überprüft und bei Spam-Erkennung in einen Quarantänen-Ordner auf der Firewall zurückbehalten. Der EDV- User erhält keine Nachricht. Die Algorithmen werden laufend den neuesten Gegebenheiten angepasst. Bis Ende Januar 2009 wurde eine stark verbesserte Version implementiert.

3 3 Aktuell werden durch den Spam- und Viren-Schutz ca. 90 % aller eingehenden s in die Quarantänen-Ordner verschoben und die restlichen ca. 10 % werden an die EDV-User weitergeleitet Attachment-Blocking Alle Mail-Beilagen werden auf Viren geprüft und zudem werden gewisse Beilagen, wie z.b. ausführbare Programme (EXE-Dateien), abgefangen. In ausführbaren Programmen verstecken sich häufig Viren. Es werden über 30 verschiedene Datei-Typen abgefangen Datensicherung Seit je her werden bei der Stadtverwaltung die Daten über Nacht in ein anderes Gebäude "kopiert" und dort auf Bänder (Tapes) gesichert. Diese Datensicherung (Hard- und Software) genügte den Anforderungen nicht mehr und war fehleranfällig. Zudem waren die Raumverhältnisse zu klein geworden und die eingesetzte Backup-Software wurde auf der eingesetzten Plattform nicht mehr weiterentwickelt. Daher wurde im Oktober 2008 eine neue Datensicherung mit neuer Hard- und Software installiert. Heute werden die letzten 15 Tagessicherungen aufbewahrt. Schliesslich werden die Monatssicherungen für die nächsten Jahre aufbewahrt. Zudem werden täglich die Datenbankund Server-Sicherungen zusätzlich auf verschiedenen Harddiskspeicher-Medien gesichert. Alle diese Datensicherungen lagern in einem Gebäude der Stadtverwaltung Aarau ausserhalb des Rathauses. Die GIS-Daten werden beim externen Betreiber gelagert und bewirtschaftet. Er erstellt täglich eine Datensicherung und hinterlegt diese einmal monatlich in einem Bank-Safe. Neu werden diese Daten quartalsweise auf einem USB-Stick der Stadtverwaltung geliefert und bei der Sektion OI gelagert (ab Ende 2008). Diese Daten stellen für die Stadtverwaltung Aarau einen sehr hohen Wert dar. Das gleiche Verfahren wird auch noch für die Daten, die auf der Website publiziert werden, angewendet. 1.2 Behandlungen im ILA (Informatik-Lenkungsausschuss) Der ILA hat im 2. Halbjahr 2008 in verschiedenen Sitzungen und einem Workshop das Thema unter der Federführung der Firma Swiss Infosec AG behandelt, eine Risikobeurteilung durchgeführt und Massnahmen ausgearbeitet. 1.3 IDAG Das IDAG, VIDAG und der Leitfaden wurden hinsichtlich möglicher Auswirkungen auf die Informatik analysiert und die Ergebnisse sind in den Massnahmenkatalog eingeflossen.

4 4 1.4 Beurteilung der Melde- und Analysestelle Informationssicherung MELANI Die Melde- und Analysestelle Informationssicherung MELANI wurde im Jahr 2004 durch das ISB (Informatikstrategieorgan Bund) im Auftrag des Bundesrates aufgebaut und wurde zu einer wichtigen Informationsquelle für Verwaltungen und Unternehmungen. (Quelle: Melde- und Analysestelle Informationssicherung MELANI Die Bedrohungslage hat sich stark verändert (Schwerpunkte Ausgabe 2008/I) Von der IT-Sicherheit zur Informationssicherung "Aktuelle gezielte IT-Angriffe lassen sich auch mit Hilfe technischer Sicherheitsvorkehrungen sowie einer gesunden Portion Menschenverstand nicht immer erfolgreich abwehren. Deshalb ist eine Neufokussierung nötig, welche den Schutz der Information ins Zentrum rückt und nicht nur den Schutz der Computer und Netzwerke berücksichtigt." Massenhacks legitimer Webseiten "Die Gefahr einer Infektion über Webseiten mittels Drive-By-Infektion wächst rasant. Seit Januar 2008 sind verschiedene Massenhacks von Webseiten beobachtet worden, welche beabsichtigt haben, deren Besucher zu infizieren. Darunter befinden sich auch Webseiten mit bestem Ruf und hohen Besucherzahlen." Politisch motiviertes Hacking "Cyber-Attacken können ein attraktives Mittel darstellen, um für ein politisches Anliegen Aufmerksamkeit zu erlangen. Im Bereich der Internet- Kriminalität rücken somit - nebst finanziellen Motiven - vermehrt politische Beweggründe in den Vordergrund. Jüngste Entwicklungen haben dazu beigetragen, dass politisch motiviertes Hacking, der so genannte «Hacktivismus», öffentlich diskutiert wird." Offene Funknetzwerke als Sicherheitsrisiko "Funknetzwerke (WLANs) sind heute auch privat weit verbreitet. Sind diese Netzwerke ungenügend geschützt, können Kriminelle einerseits auf interne Daten zugreifen und anderseits ermöglicht dies ihnen, bei einer IT-Straftat die wahre Urheberschaft zu verschleiern. Solche Missbräuche treten leider immer häufiger auf. Das Befolgen gewisser Grundregeln hilft, das eigene Netzwerk sauber zu halten." Der Einwohnerrat hat es im Herbst 2007 abgelehnt, ein flächendeckendes WLAN durch die Stadt aufzubauen Soziale Netzwerke und die Gefahr des Datenmissbrauchs "Soziale Netzwerke werden rege genutzt, denn sie bieten die Möglichkeit, sich mit relativ kleinem Aufwand auf dem Internet zu präsentieren. Die Veröffentlichung persönlicher Daten auf dem Internet birgt jedoch auch Gefahren: Sie hilft Cyber-Kriminellen, gezielte Angriffe zu lancieren."

5 5 Der AR (Abteilungsvorsteherrapport) hat sich im November 2008 für die Sperrung gewisser URL's (Internetadressen) ausgesprochen und hat angeregt, dass die Mitarbeiterinnen und Mitarbeiter über die Gefahren mit solchen Netzwerken informiert resp. instruiert werden Von der IT-Security (Informatik-Sicherheit) zur Informations- Sicherheit (Quelle: melani.admin.ch) "Vor rund 4 Jahren hat die Melde- und Analysestelle zur Informationssicherung Schweiz (MELANI) ihre Arbeit aufgenommen. Wie die meisten (Experten und Info-Stellen) propagierte MELANI von Beginn weg die klassischen technischen Schutzmassnahmen, wie Antivirensoftware, regelmässige Updates von Programmen und Betriebssystemen, den Einsatz von Firewalls und die Notwendigkeit von Backups. Dieses ABC der wichtigsten Schutzmassnahmen für Computer, sei es in einem privaten Haushalt oder in einem geschäftlichen Umfeld, sind noch immer gültig und unter allen Umständen weiterhin einzuhalten. Allerdings genügen sie heutzutage nicht mehr. Beim Auto gelten Sitzgurte, eine angepasste Geschwindigkeit und das Befolgen von Verkehrsregeln als Voraussetzungen für ein sicheres Fahren und dennoch können diese Sicherheitsvorkehrungen einen Unfall nicht immer verhindern. Genauso verhält es sich in der heutigen Welt der Bits und Bytes. Zwar liessen sich noch immer die überwiegende Mehrheit der Angriffe auf Computer und Netzwerke mit technischen Sicherheitsvorkehrungen und etwas gesundem Menschenverstand verhindern, doch wie im Verkehr, muss auch in der Welt der Informations- und Kommunikationstechnologien endgültig vom «absoluten Sicherheits- Gedanken» Abschied genommen werden. Bei den letzten, äusserst breit gestreuten - Wellen (siehe Kapitel 4.2) sind zwischen Versand und dem Zeitpunkt als die ersten Viren- Scanner die Malware erkannt haben, zwischen sechs und zwölf Stunden vergangen. Genügend Zeit also, um praktisch alle möglichen Opfer zu infizieren. Bei gezielten Angriffen über E- Mail, bei denen mehrere Hundert Empfänger angeschrieben werden, ist ohne Emergency-Patch seitens des Antivirenherstellers nicht mit einer Erkennung innerhalb von Stunden zu rechnen - sofern der Angriff überhaupt erkannt wird. Moderne Malware ist so konzipiert, dass sie möglichst lange nicht von Antivirensoftware erkannt wird. Zusätzlich zu den Limiten technischer Sicherheitsmassnahmen gesellen sich der teilweise unsorgsame und schon fast naive Umgang mit Informationen und Daten innerhalb des IT- Sicherheitsperimeters. Jede Firewall ist nutzlos, wenn Daten innerhalb eines Unternehmens offen herumliegen oder einfach aufgefunden werden können. Noch viel weniger können technische Schutzmassnahmen etwas dagegen ausrichten, wenn in der internen Post CD- ROMs mit ein paar Millionen Bankkontendaten, Steuerrechnungen und dergleichen einfach verloren gehen. Auch gegen eine unbedachte Platzierung persönlicher Informationen auf dem Internet, unter anderem auf sozialen Netzwerken (siehe Kapitel 3.2), sind technische Schutzmassnahmen machtlos. In diesem Sinne ist in naher Zukunft ein weiteres Zusammenspiel verschiedener Faktoren zu beobachten: Zum einen wird die Tatsache, dass die klassischen IT-Sicherheitsmassnahmen nur noch bedingten Schutz ermöglichen, ein Umdenken im übergeordneten Bereich der Informationssicherung auslösen müssen. Zum anderen wird der teils sorglose Umgang mit persönlichen, vertraulichen oder betrieblichen Informationen weiterhin ein Risiko bei Angriffen darstellen: Sei es zur Vorbereitung von Angriffen oder aber, weil nach einem

6 6 erfolgreichen Durchdringen der technischen Schutzwälle die Suche und der Zugriff nach Daten dem Angreifer leicht gemacht werden. Diese Entwicklung erfordert ein Umdenken: Neu muss der Fokus auf den Schutz der Information gelegt und vom ausschliesslichen Schutz der Computer und Netzwerke, auf denen die Informationen lagern, abgesehen werden. Dies wird ein verstärktes Informationsund Datenmanagement, Informationsklassifizierung und dergleichen nach sich ziehen. Zudem wird eine klare Risikoabwägung vorausgesetzt, die dazu führen muss, dass die Sicherheit von Verteilkanälen, Zugriffsrechten und Speicherorten dem tatsächlichen Wert einer Information angepasst werden. Nicht jeder Kanal oder Speicherort ist gleich sicher und nicht alle Dokumente sind in einem Betrieb gleich sensibel. Damit wird die Informationssicherung in den geschäftlichen und strategischen Risikomanagement-Prozess eingebunden. Ein solcher Ansatz kann allerdings nur dann Erfolg versprechend sein, wenn die Informationssicherung auch wirklich zu einem integralen Bestandteil des Sicherheitskonzeptes und somit auf der gleichen Stufe angesiedelt wird, wie beispielsweise Gebäude- und Personenschutz, Finanzcontrolling und andere." Der obige Bericht der MELANI zeigt auf, dass die Informationssicherung nicht nur Aufgabe der technischen IT-Security sein darf, sondern es sind zusätzliche Massnahmen notwendig und die Informations- und IT-Security ist als Chefsache wahrzunehmen. 1.5 Begriffe Begriff Abk. Beschreibung Informationssicherheit Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und -lagernden Systemen, welche die Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. IT-Security Teilmenge der Informationssicherheit, die sich in erster Linie mit reinen IT-Belangen und deren Sicherheit auseinandersetzt. IDAG IDAG Gesetz über die Information der Öffentlichkeit, den Datenschutz und das Archivwesen (IDAG) vom 24. Oktober 2006 (SAR ) VIDAG VIDAG Verordnung zum Gesetz über die Information der Öffentlichkeit, den Datenschutz und das Archivwesen (VIDAG) vom 26. September 2007 (SAR ) Melde- und Analysestelle MELANI Informationssicherung Soziale Netzwerke z.b. facebook myspace XING»Soziale Netzwerke Plattformen«sind internetbasierte Anwendungen, in die Nutzer ihre Beziehungen zu anderen Personen abbilden, um diese Daten für wesentliche Dienstfunktionen weiterzuverwenden.

7 7 Begriff Abk. Beschreibung Die verarbeiteten Daten sind fast ausschließlich personenbezogener Natur. Entsprechend hoch ist das Gefährdungspotential für die Nutzer, wenn Sicherheitsschwachstellen existieren und Schutzmechanismen fehlen. Swiss Infosec AG Awareness Business Continuity Planning Business Continuity Management BCP BCM Dies sind Plattformen wie myspace, facebook, studivz, werkenntwen, lokalisten, XING und LinkedIn Unabhängige Beratungsfirma in den Bereichen ITund Informationssicherheit Deutsch: "Sensibilisierung"; Aktivitäten zur Bewusstseinsbildung (in diesem Sinne gegenüber Gefahren und Verhalten bezgl. Informations- und IT-Sicherheit) Planungsgrundlagen für BCM, s. unten Betriebliches Kontinuitätsmanagement bezeichnet in der Betriebswirtschaftslehre Konzepte, Planungen und Maßnahmen zur Aufrechterhaltung der betrieblichen Kontinuität Disaster Recovery Planung DRP Der Begriff Disaster Recovery (englisch für Notfallwiederherstellung) bezeichnet Maßnahmen, die nach einem Unglücksfall in der Informationstechnik eingeleitet werden Recovery Point Objective RPO Bei der Recovery Point Objective handelt es sich um den Zeitraum, der zwischen zwei Datensicherungen liegen darf, das heißt, wie viele Daten/Transaktionen dürfen zwischen der letzten Sicherung und dem Systemausfall höchstens verloren gehen. Recovery Time Objective RTO Bei der Recovery Time Objective handelt es sich um die Zeit, die vom Zeitpunkt des Schadens bis zur vollständigen Wiederherstellung der Geschäftsprozesse (Wiederherstellung von: Infrastruktur - Daten - Nacharbeitung von Daten - Wiederaufnahme der Aktivitäten) vergehen darf. Sicherheitsbeauftragter SiBe Sicherheitsbeauftragter ist der Personalleiter und für den Bereich Informatik der Leiter der Sektion OI zuständig. Uniform Resource Locator URL URLs identifizieren und lokalisieren eine Ressource über das verwendete Netzwerkprotokoll (z.b. http oder ftp) und den Ort der Ressource in Computernetzwerken. In der Umgangssprache wird URL häufig als Synonym für Internetadresse verwendet. ist eine URL

8 8 2 Ziel des Antrags Es ist das Ziel, den Einwohnerrat über die vorgenommen Arbeiten im ILA und Entscheide im Stadtrat zu informieren und den Auftrag für das Umsetzen der vorgeschlagenen Massnahmen abzuholen. Mit den vorgeschlagenen Massnahmen sollen eine angemessene Sicherheit garantiert und die Finanzierung sichergestellt werden. 3 Abschlussbericht Risikoanalyse der Swiss Infosec AG 3.1 Ausgangslage Anfangs Juni 2008 beauftragte der ILA die Swiss Infosec AG mit einer Unterstützung im Bereich der Informationssicherheit. Ziel dieser Unterstützung war und ist es, die Sicherheit der bei der Stadt Aarau bearbeiteten und gespeicherten Informationen, die im Einsatz stehenden Geräten und angestellten Mitarbeiterinnen und Mitarbeiter zu erhöhen und geeignete Massnahmen zu erarbeiten um dies zu gewährleisten. Die Swiss Infosec AG schlug im Rahmen dieses Auftrages vor, als erstes konkretes Vorgehen zusammen mit dem Informatik-Lenkungsausschuss (ILA) eine Risikoanalyse durchzuführen, um zuerst die primär betroffenen Bereiche / Objekte festzustellen und in der Folge angemessene Massnahmen zur Erhöhung / Garantierung der Sicherheit dieser Bereiche festzulegen. Das Vorgehen der Risikoanalyse, die identifizierten Risiken und die gemeinsam erarbeiteten Massnahmen werden in diesem Bericht aufgezeigt. 3.2 Risikoanalyse Wie bei jeder Risikoabwägung im täglichen Leben wird bei der Analyse vermuteter oder konkret vorhandener Risiken eine Abschätzung der Eintretenswahrscheinlichkeit und des möglichen Schadensausmasses vorgenommen. Ein Risiko definiert sich in diesem Zusammenhang wie folgt: "Unter dem Begriff der operationellen Risiken versteht man die Gefahr von Verlusten, die infolge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder von externen Ereignissen eintreten können." Nach einem standardisierten Vorgehen werden mögliche "Angriffspunkte" in Form konkreter und vorgängig identifizierter Objekte (IT, Infrastruktur, Mitarbeiter/-innen, etc.) definiert und anhand einer Matrix dargestellt. Aus dieser Auswertung sind in der Folge all jene potentiellen Risiken zu identifizieren, deren Kombination von Eintretenswahrscheinlichkeit und Schadensausmass als inakzeptabel beschlossen (s. unten im roten Bereich) oder aber durch bereits getroffene Massnahmen als angemessen entschärft bzw. in Kauf genommen werden. Folgende Objekte wurden vorgängig in Zusammenarbeit zwischen der Stadtverwaltung Aarau, Sektion Organisation und Informatik, und der Swiss Infosec AG identifiziert:

9 9 Objekte / Objektarten Active-Directory Applikation Lobos Applikation VSoft Datenschutzrelevante Daten (extern, Einwohner, usw.) File-Server Adam Groupwise Internet-Anbindung IT-Mitarbeitende Lichtwellenleiter Anbindungen Personal-Informationen (Mitarbeiter/-innen) Rechenzentrum Redundante Rechenzentren Stockwerkverteiler (Netzwerk) Switches (Aussenstellen) Telefonie Übrige Verwaltungssysteme Vertrauliche Daten 3.3 Workshop Risikoanalyse Aus dem am 10. September 2008 mit dem ILA der Stadtverwaltung Aarau durchgeführten Workshop resultierten die in den folgenden Darstellungen zu behandelnden bzw. akzeptierten Risiken: Zum Schutz vertraulicher Informationen wurde diese Grafik entfernt. Grafik: "Rote", bzw. zu behandelnde Risiken Zum Schutz vertraulicher Informationen wurde diese Grafik entfernt. Grafik: "Grüne", bzw. akzeptierte Risiken Die beiden obigen Matrix-Darstellungen zeigen die Einschätzung des ILA bezüglich der auf die Objekte einwirkenden Risiken anhand der Eintretenswahrscheinlichkeit (Skala "1" bis "4") und des zu erwartenden Schadensausmasses (Skala "A" bis "D"). Diese Skalen wurden wie folgt definiert: Wahrscheinlichkeit: 4 = sehr hoch (sehr wahrscheinlich, häufig); mehr als einmal im Monat 3 = hoch (eher wahrscheinlich, gelegentlich); weniger als einmal pro Monat 2 = mittel (eher unwahrscheinlich, selten); weniger als einmal in einem Jahr 1 = tief (unwahrscheinlich, äusserst selten); weniger als einmal in zehn Jahren

10 10 Schadensausmass materiell/immateriell in EBIT über 3 Jahre: D = sehr hoch, sehr grosser Schaden über Fr. 1'000'000.- C = hoch, grosser Schaden Fr. 250'000.- bis Fr. 1'000'000.- B = mittel, bedeutender Schaden Fr. 20'000.- bis Fr. 250'000.- A = tief, geringer Schaden bis Fr. 20' Schlussfolgerung / Fazit Wie bereits ausgeführt liegt das Ziel der Risikoanalyse nicht in der völligen Ausräumung jeglicher Risiken, sondern vielmehr in der wirtschaftlich und aufwandsmässig angemessenen Reduktion der Ursachen und/oder der zu erwartenden Schäden. Beispielsweise kann durch die Ergreifung der Massnahme "Awareness/Ausbildung" das Risiko "Datendiebstahl/Datenmissbrauch" vom Quadranten B3, der bei der Risiko-Analyse mit einer hohen Eintretenswahrscheinlichkeit und einem mittleren, aber bedeutenden Schaden eingeschätzt wurde, in den "grünen Bereich" gebracht werden und somit auch das Risiko auf ein akzeptables Mass reduziert werden. Entsprechend reduzieren die vorgeschlagenen Massnahmen die dargestellten, nicht akzeptablen roten Risiken und erhöhen die Gesamtsicherheit der Informationen und IT- Infrastruktur. Der ILA empfiehlt, die identifizierten Risiken mit den nachfolgend aufgeführten Massnahmen zu reduzieren. 4 Massnahmendefinition & -behandlung Der nächste Schritt nach der Identifizierung der betroffenen Objekte bestand darin, geeignete und angemessene Massnahmen zu definieren, die im Rahmen der Zielvorgabe einzusetzen wären. Diese wurden wiederum im Zusammenspiel mit der Stadtverwaltung Aarau und der Swiss Infosec AG erarbeitet und am 22. Oktober 2008 von der Sektion OI dem ILA vorgelegt. Nebst den bereits in die Wege geleiteten Massnahmen wurden die Folgenden mit "Priorität A" erarbeitet: Nr. Beschreibung 1 Awareness; Ausbildung 3 Business Continuity Planning (BCP) / Disaster Recover Planning (DRP) anpassen 4 Benutzer-Richtlinien; Administrations-Richtlinien 5 Brandschutz prüfen, ggf. anpassen 8 Monatliche Auslagerung der GIS Daten 13 Zugriffsmechanismen überprüfen, ggf. anpassen

11 11 Die nachfolgende Tabelle zeigt alle Massnahmen auf, die von der Firma Swiss Infosec AG auf Grund der Risikoanalyse des ILA's vorgeschlagen wurden. Diese sind im ILA behandelt und als notwendig erachtet worden. Auf der Liste in der Aktenbeilage ist ersichtlich, welche Risiken durch diese Massnahmen reduziert werden sollen. Massnahmen Beschreibung Bemerkungen Nummer Priorität Aufwand PT Int. (grob geschätzt) Aufwand PT Ext. (grob geschätzt) 1 Awareness; Ausbildung 2 Backup-Mechanismen prüfen; ggf. anpassen 3 Business Continuity Planning (BCP) / Disaster Recover Planning (DRP) anpassen Mit stufengerechten Awareness- Kampagnen kann auf die Risiken und Verhaltenweisen aufmerksam gemacht werden. Applikations-spezifische Ausbildung, vor allem bei Veränderungen im Systemumfeld ist wichtig um neue Komponenten und deren Umgang zu schulen. Konkrete Massnahmen: Edutainments Merkblätter E-Learning Intranet-Publikationen Backup-Mechanismen können, ohne regelmässige Kontrollen und Tests unbemerkt fehlschlagen. Um dies zu vermeiden sind eine Abstimmung mit dem BCM- Framework, sowie Tests der Abläufe, der Hardware und der Backup-Medien unverzichtbar. Erarbeitung eines Business Continuity Management- Frameworks (inkl. Evakuationen/Alarmierung). Der Disaster Recovery Plan sollte überprüft und ggf. angepasst werden. Zudem sollte mittels periodischer Prüfung auf die Tauglichkeit dieser Pläne getestet werden. Konkrete Massnahmen (abgestimmt auf StaOs): Alarmsystem(e) überprüfen DRP für Applikationen & StaOs erarbeiten. Anbindung Aussenstationen ("Vermaschung"), Redundante Systeme Project "Roboter"; Massnahme kann als abgeschlossen erachtet werden. Thema Evakuation ist bei SiBe (PW) in Bearbeitung. Massnahme muss auf Standorte abgestimmt werden. Ausbau ESX-Server (Virtueller Server) für 2009 geplant. Anforderungen noch mit Fachabteilungen zu koordinieren. A Z 5 0 A 30 10

12 12 Massnahmen Beschreibung Bemerkungen Nummer Priorität Aufwand PT Int. (grob geschätzt) Aufwand PT Ext. (grob geschätzt) 4 Benutzer-Richtlinien; Administrations- Richtlinien 5 Brandschutz prüfen, ggf. anpassen Recovery Point Objective (RPO) & Recovery Time Objective (RTO) und gesetzliche/betriebliche Anforderungen Datensicherung/Datenarchivi erung mit Fachabteilungen aufnehmen und umsetzen Die Benutzer der Systeme und Applikationen sollten mittels entsprechender Richtlinien auf die geltenden Regeln aufmerksam gemacht werden. Die Einhaltung dieser Richtlinien wird in entsprechenden Einverständniserklärungen festgehalten. Brandschutzinstallationen sollten periodisch geprüft und werden. Produkteunabhängige Unterstützung kann ggf. helfen Schwachstellen aufzuzeigen und diese zu beseitigen. ca. 300 Mitarbeitende/Benutz er A 2 10 A 5 2 Konkrete Massnahmen: Temperaturfühler anbringen Begehung/Audit durchführen 6 Change Management Integritäts-Probleme, vor allem bei Interfaces, Konsequente Change-Management Prozesse und Kontrollen helfen dabei, Integritäts-Probleme bei Interfaces o.ä. zu beseitigen bevor sie in der Produktion auftreten. B Dokumentation beschaffen; zentral & sicher aufbewahren 8 Monatliche Auslagerung der GIS Konkrete Massnahmen: Administrationsrichtlinien überarbeiten (s. auch Massnahme Nr. 4) Nicht auffindbare und/oder veraltete Dokumentation sollte beim Hersteller bestellt und zentral verwaltet werden. Ein aktives Bearbeiten einer solchen Bibliothek hilft Mehrfach- Ablagen zu vermeiden. Die GIS Daten sollten monatlich an einen Ort ausgelagert ggf. als PDF speichern und sicher aufbewahren Die GIS-Daten werden beim externen Betreiber C 10 2 A 1 0

13 13 Massnahmen Beschreibung Bemerkungen Nummer Priorität Aufwand PT Int. (grob geschätzt) Aufwand PT Ext. (grob geschätzt) Daten 10 Redundante Internet- Anbindung 11 Verträge prüfen; ggf. andere Lieferanten als Backup prüfen 12 Vertragliche Regelungen mit (externem) Datenhalter 13 Zugriffsmechanismen überprüfen, ggf. anpassen werden, der geografisch und risikomässig unabhängig ist. Ausfallsichere Mechanismen, bzw. Anbindungen ans Internet sollten geprüft und wo nötig sichergestellt werden. Periodische Kontrollen der Support-Verträge sind notwendig um nicht von einem "End-of-Life" Problem betroffen zu werden. Gegebenenfalls sind andere Lieferanten zu prüfen, die den optimal(er)en Service erbringen können. Die Sicherheit der Daten sollte vertraglich so geregelt werden, dass der Datenhalter dazu verpflichtet wird deren Sicherheit zu gewährleisten. Überdies sollten periodische (ggf. externe) Audits zur Verifizierung dieser Sicherheit eingesetzt werden. Übergreifendes Rollen- und Berechtigungskonzept: die Mechanismen zur Erteilung, Veränderung und Löschung von Zugriffsrechten sollten periodisch überprüft und, wo nötig, angepasst werden. HR- Daten sind dabei zu berücksichtigen. Speziell sind hier privilegierte Accounts (Administratoren) zu berücksichtigen. gelagert und bewirtschaftet. Er erstellt täglich eine Datensicherung und hinterlegt diese einmal monatlich in einem Bank-Safe. Neu werden diese Daten quartalsweise auf einem USB-Stick der Stadtverwaltung geliefert und bei der Sektion OI gelagert (ab Ende 2008). C 4 4 C 5 0 C 2 2 A 20 5 Konkrete Massnahmen: Regeln/Abläufe optimieren Daten-Eigner definieren & ausbilden

14 14 Nummer Massnahmen Beschreibung Bemerkungen Priorität Aufwand PT Int. (grob geschätzt) Aufwand PT Ext. (grob geschätzt) 14 Zutrittsschutz überprüfen, ggf. anpassen Der Zutritt zu IT-Räumen soll, ggf. mit entsprechenden Umbaumassnahmen, den Schutz der Mitarbeiterinnen / Mitarbeiter und deren Informationswerten unterstützen. C 2 2 Konkrete Massnahmen: Zutrittsschutz-Konzept für alle Rechner-Räume & Standorte Total Personentage (PTs): Beurteilung des ILA s Bei der Behandlung dieser Massnahmen im ILA wurden unter anderem die nachfolgend aufgeführten Punkte festgehalten: Das IDAG und VIDAG geben Vorgaben, die zu erfüllen sind. Der Ausbildungsaufwand für die Mitarbeiterinnen und Mitarbeiter steigt, und es ist notwendig, dies immer wieder in regelmässigen Abständen (jährlich) zu tun. Bis jetzt wurden die EDV-User im Bereich der IT-Security und Informationssicherheit nicht ausgebildet. Das Bewusstsein muss gefördert werden. In der Sektion OI wurde bis jetzt schon viel für die IT-Security gemacht. Der ILA und der Stadtrat haben die Verantwortung wahrzunehmen und in diesem Bereich einen Schritt zu machen. Die Arbeiten für die IT-Security verursachen einen laufenden Aufwand in der Informatik, der noch zu ermitteln ist. Es sind auch die notwendigen Regelungen auszuarbeiten. 4.2 Kostenschätzung Aus Sicht der Firma Swiss Infosec AG und dem ILA fallen die aufgeführten Massnahmen im Jahr 2009 / 2010 an und die finanziellen Mittel sind bereitzustellen Interner Aufwand Der interne geschätzte Aufwand von 96 Personentagen ergibt bei 220 Arbeitstagen im ganzen Jahr eine Belastung der Sektion OI mit ca. 45 Stellenprozenten. Die Arbeiten verteilen sich auf verschiedene Wissensträger in der Sektion OI. Die höchste Belastung wird voraussichtlich beim Leiter der Sektion OI anfallen. Da viele Aufgaben von bestehenden Mitarbeiterinnen und Mitarbeitern (Wissensträger) der Sektion OI wahrgenommen werden, müssen einfachere Arbeiten an temporäre Mitarbeiter/-innen ausgelagert werden.

15 15 Dies verursacht Kosten in der Höhe von Fr. 60'000.- für die Umsetzung der Massnahmen. Für die zusätzlichen laufenden Aufgaben (regelmässige Kontrolle der Zugriffsberechtigungen in den verschiedensten Applikationen, Dokumentation aller Änderungen der Zugriffsberechtigungen, Durchsetzen der Massnahmen, vermehrte Instruktionen der EDV- User, automatische Aufzeichnungen analysieren, ) in der Sektion OI ist mit einem Aufwand in der Höhe von ca. 20 Stellenprozenten zu rechnen (ab 2010). Der effektive Aufwand ist heute noch schwierig abzuschätzen. Es ist mit wiederkehrenden Kosten in der Höhe von ca. 25' Franken zu rechnen. Die zusätzlichen Aufgaben erfordern ein fundiertes EDV- Wissen der Applikationen und der Berechtigungssteuerungen. Die 20 Stellenprozente sind im gleichen Gehaltsband 7, wie die anderen EDV-Mitarbeiterin und Mitarbeiter der Sektion OI einzureihen Externer Aufwand Der externe Aufwand liegt bei 59 Personentagen. Der grössere Anteil wird bei der Firma Swiss Infosec AG liegen, die ein profundes Wissen in diesem Bereich hat. Der kleinere Anteil wird von den bestehenden Software-Lieferanten, wie z.b. VEMAG AG, combyte AG und weiteren, erbracht werden müssen. Dies verursacht Kosten in der Höhe von Fr. 118'000.- (59 x 8 Stunden x Fr ). Als Basis wurde der Stundenansatz der Swiss Infosec AG verwendet Bauliche Anpassungen Bei der Begehung und beim Audit der EDV-Räume (Rechenzentrum, Netzwerkverteiler, Räume mit LWL-Leitern) werden die notwendigen Massnahmen ermittelt und damit die Kosten für die Umsetzung. Konkret geht es um die nachfolgenden Räume: Rechenzentrum Rathaus Einführung der LWL-Verbindungen (Lichtwellenleiter) von / zu den Aussenstationen ins Rathaus Backup-Raum (Datensicherung) im KuK Server-Raum (2. Rechenzentrum) in der Hauptpost Netzwerkraum Hauptpost 4 Netzwerkräume im Rathaus 6 Netzwerkräume in den Schulhäusern (Bezirkschulhaus, Aareschulhaus, Oberstufenschulhaus, Heilpädagogische Schule, Tellischulhaus, Gönhardschulhaus) Netzwerkräume in den Aussenstandorten: Gemeindehaus Rohr, Friedhof, Zollhaus, Reg. Zivilstandsamt, Golatti / Halde 64, Bibliothek, Schlössli, KuK, Jugendhaus, Forstwerkhof, Herosé, Feuerwehr, Werkhof, Schulsekretariat Als mögliche Massnahmen sind denkbar: Verbesserung des Schliess-Systems, automatische Feuerlöschung, feuersichere Abschottungen, Überwachungen (Temperatur, Wasser, Video, ). In einer ersten Annäherung wird von Fr. 50'000.- ausgegangen.

16 Hard- / Software-Beschaffungen Vorerst wird davon ausgegangen, dass keine oder nur kleinere Beschaffungen notwendig sind, die mit dem Globalbudget abgedeckt werden können. 4.3 Finanzierung Die Zusatzkosten in der Höhe von ca. 230'000 Franken können von der Sektion OI resp. der Sektion Liegenschaften (bauliche Massnahmen) nicht mit dem Globalbudget abgedeckt werden. Es ist zu beachten, dass mit diesen Massnahmen noch nicht alle Vorgaben aus dem IDAG abgedeckt sind. Die anderen haben eine längere Übergangsregelung. Der Stadtrat stellt dem Einwohnerrat wie folgt Antrag: Der Einwohnerrat möge einen Verpflichtungskredit von 230'000 Franken für die Umsetzung von Massnahmen im Bereich der Informations- und IT-Security und für die zusätzlichen EDV-Aufgaben 20 Stellenprozente bei der Sektion OI, PG 04, bewilligen. Mit freundlichen Grüssen IM NAMEN DES STADTRATES Der Stadtammann Dr. Marcel Guignard Der Vize-Stadtschreiber Stefan Berner Verzeichnis der aufliegenden Akten: PA Nr. 226 vom IDAG vom VIDAG vom Leitfaden IDAG / VIDAG Übersicht über die Aufgaben der Gemeinden gemäss Gesetz IDAG vom Diverse Projektunterlagen

Online IT Check Frech Michael 15.09.2011

Online IT Check Frech Michael 15.09.2011 Online IT Check Frech Michael 5.9. Hinweise zur Nutzung! Es handelt sich hier um einen Selbsttest, der die Bereiche Basissicherheit, organisatorische Sicherheit und Rechtssicherheit betrachtet. Bei jeder

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Anleitung A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Inhalt 1 Einleitung... 2 2 Zweck der Informationssicherheitsorganisation...

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

BCM Schnellcheck. Referent Jürgen Vischer

BCM Schnellcheck. Referent Jürgen Vischer BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

Amtliches Mitteilungsblatt

Amtliches Mitteilungsblatt Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................

Mehr

Was muss ich noch für meine Zertifizierung tun, wenn meine Organisation. organisiert

Was muss ich noch für meine Zertifizierung tun, wenn meine Organisation. organisiert ? organisiert Was muss ich noch für meine Zertifizierung tun, wenn meine Organisation ist? Sie müssen ein QM-System: aufbauen, dokumentieren, verwirklichen, aufrechterhalten und dessen Wirksamkeit ständig

Mehr

Was Kommunen beim Datenschutz beachten müssen

Was Kommunen beim Datenschutz beachten müssen Wiesbaden DiKOM am 08.05.2012 Was Kommunen beim Datenschutz beachten müssen Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Seit 1970 Oberste Landesbehörde Dem Hessischen Landtag zugeordnet Aufsichtsbehörde

Mehr

Bestimmungen zur Kontrolle externer Lieferanten. BCM (Business Continuity Management)

Bestimmungen zur Kontrolle externer Lieferanten. BCM (Business Continuity Management) Bestimmungen zur Kontrolle externer Lieferanten BCM (Business Continuity Management) BCM- Bestimmungen Beschreibung BCM-Tiers Recovery Time Objective Über die Bedeutung 1. Business- Continuity- Management-

Mehr

Informations- / IT-Sicherheit - Warum eigentlich?

Informations- / IT-Sicherheit - Warum eigentlich? Informations- / IT-Sicherheit - Warum eigentlich? Hagen, 20.10.2015 Uwe Franz Account Manager procilon IT-Solutions GmbH Niederlassung Nord-West Londoner Bogen 4 44269 Dortmund Mobil: +49 173 6893 297

Mehr

Weisungen des Bundesrates über die IKT-Sicherheit in der Bundesverwaltung

Weisungen des Bundesrates über die IKT-Sicherheit in der Bundesverwaltung Weisungen des Bundesrates über die IKT-Sicherheit in der Bundesverwaltung vom 14. August 2013 Der Schweizerische Bundesrat erlässt folgende Weisungen: 1 Allgemeine Bestimmungen 1.1 Gegenstand Diese Weisungen

Mehr

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet Moderne EDV im kleinen und mittelständischen Unternehmen EDV Sicherheit im Zeitalter des Internet Vortrag von Alexander Kluge-Wolf Themen AKWnetz, IT Consulting & Services Mir kann ja nichts passieren

Mehr

Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich

Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Seit Microsoft Exchange Server 2010 bieten sich für Unternehmen gleich zwei mögliche Szenarien an, um eine rechtskonforme Archivierung

Mehr

Sicherheitsaspekte der kommunalen Arbeit

Sicherheitsaspekte der kommunalen Arbeit Sicherheitsaspekte der kommunalen Arbeit Was ist machbar, finanzierbar, umzusetzen und unbedingt notwendig? Sicherheit in der Gemeinde Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen,

Mehr

Reglement über den Betrieb und die Sicherheit srs 183.1 der städtischen Informatik vom 2. Juli 2013 1. I. Allgemeine Bestimmungen

Reglement über den Betrieb und die Sicherheit srs 183.1 der städtischen Informatik vom 2. Juli 2013 1. I. Allgemeine Bestimmungen Reglement über den Betrieb und die Sicherheit srs 183.1 der städtischen Informatik vom 2. Juli 2013 1 Der Stadtrat erlässt als Reglement: I. Allgemeine Bestimmungen Zweck Art. 1 Das vorliegende Reglement

Mehr

Anleitung zur Entfernung von Schadsoftware

Anleitung zur Entfernung von Schadsoftware Eidgenössisches Finanzdepartement EFD Informatiksteuerungsorgan Bund ISB Melde- und Analysestelle Informationssicherung MELANI GovCERT.ch Anleitung zur Entfernung von Schadsoftware MELANI / GovCERT.ch

Mehr

Internetkriminalität

Internetkriminalität Informatikstrategieorgan Bund ISB Nachrichtendienst des Bundes NDB Internetkriminalität Aktuelle und zukünftige (mögliche) Bedrohungen Pascal Lamia, Leiter MELANI Bedrohungen Immer grössere Bedeutung der

Mehr

Strukturierte Informationssicherheit

Strukturierte Informationssicherheit Strukturierte Informationssicherheit Was muss getan werden ein kurzer Überblick. Donnerstag, 16.Juli 2009 Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de

Mehr

BSI-Grundschutzhandbuch

BSI-Grundschutzhandbuch IT-Sicherheit trotz Dipl.-Math. Jürgen Jakob Inhalt des Vortrags IT-Sicherheit trotz 1. These: IT-Sicherheit trotz 2. Beispiel AVG Sicherheitssystem 3. So erstellt man eine Policy 4. Sie wissen schon alles,

Mehr

Sicherheit - Dokumentation. Erstellt von James Schüpbach

Sicherheit - Dokumentation. Erstellt von James Schüpbach - Dokumentation Erstellt von Inhaltsverzeichnis 1Einleitung...3 1.1Definition der Sicherheit...3 1.2Mindmap Sicherheit...3 2Datenschutz in der Schweiz...3 2.1Zulässiger Umgang mit Personendaten...3 3Sicherheitskonzept...4

Mehr

Hypes und Alltägliches beherrschen: funktionierende Prozesse für den Datenschutz im Mittelstand oder im Konzern

Hypes und Alltägliches beherrschen: funktionierende Prozesse für den Datenschutz im Mittelstand oder im Konzern Hypes und Alltägliches beherrschen: funktionierende Prozesse für den Datenschutz im Mittelstand oder im Konzern Natascha Düren Forum Rot, it-sa 2013 Nürnberg, 10.10.2013 Besuchen Sie uns! it-sa 2013, Halle

Mehr

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. AT 9 der MaRisk Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 1 Outsourcing nach AT 9 der MaRisk

Mehr

Disaster Recovery Planung bei der NÖ Landesverwaltung

Disaster Recovery Planung bei der NÖ Landesverwaltung Disaster Recovery Planung bei der NÖ Landesverwaltung Alexander Miserka Abt. Landesamtsdirektion/Informationstechnologie Planung und Integration alexander.miserka@noel.gv.at 02742/9005/14781 Folie 1 ,

Mehr

Lifecycle der IT-Sicherheit Sichern Sie die Existenz Ihres Unternehmens

Lifecycle der IT-Sicherheit Sichern Sie die Existenz Ihres Unternehmens Lifecycle der IT-Sicherheit Sichern Sie die Existenz Ihres Unternehmens Thomas D. Schmidt Consulting IT-Security Enterprise Computing Networking & Security ADA Das SystemHaus GmbH Region West Dohrweg 59

Mehr

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Erstprüfung und Folgeprüfung Seite 1 von 12 1 Gesetzliche Grundlagen zu technisch organisatorischen Maßnahmen 1.1 9

Mehr

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich ISO 27001 im Kundendialog Informationssicherheit intern und extern organisieren Juni 2014 Was steckt hinter der ISO/IEC 27001:2005? Die internationale Norm ISO/IEC 27001:2005 beschreibt ein Modell für

Mehr

Bundesministerium für Gesundheit und Soziale Sicherung. Gefördert vom. Datenschutz und Datensicherheit. Aufgaben

Bundesministerium für Gesundheit und Soziale Sicherung. Gefördert vom. Datenschutz und Datensicherheit. Aufgaben Gefördert vom Bundesministerium für Gesundheit und Soziale Sicherung Datenschutz und Datensicherheit Inhaltsverzeichnis Vorwort... 4 1 zu Kapitel 1... 5 1.1 Aufgabe 1 Gefährdung von Daten...5 1.2 Aufgabe

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

Muster-Bearbeitungsreglement (öffentlich) für die Krankenversicherer des RVK

Muster-Bearbeitungsreglement (öffentlich) für die Krankenversicherer des RVK Muster-Bearbeitungsreglement (öffentlich) für die Krankenversicherer des RVK 1. BESCHREIBUNG DES UNTERNEHMENS Die sodalis gesundheitsgruppe ist eine Krankenversicherung gemäss KVG. Ausserdem werden diverse

Mehr

Konzept für eine Highperformance- und Hochverfügbarkeitslösung für. einen Anbieter von Krankenhaus Abrechnungen

Konzept für eine Highperformance- und Hochverfügbarkeitslösung für. einen Anbieter von Krankenhaus Abrechnungen Konzept für eine Highperformance- und Hochverfügbarkeitslösung für Anforderungen : einen Anbieter von Krankenhaus Abrechnungen Es soll eine Cluster Lösung umgesetzt werden, welche folgende Kriterien erfüllt:

Mehr

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG) Unternehmen: Branche: Ansprechpartner: Position: Straße: PLZ / Ort: Tel.: Mail: Website: Kontaktdaten Datenschutzbeauftragter: Fax: Sicherheitspolitik des Unternehmens JA NEIN 01. Besteht eine verbindliche

Mehr

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 53227 Bonn Copyright Scopevisio AG. All rights reserved. Seite 1 von 11 Copyright Scopevisio AG. All rights reserved. Seite 2 von 11 Inhalt

Mehr

Dunkel Mail Security

Dunkel Mail Security Dunkel Mail Security email-sicherheit auf die stressfreie Art Unser Service verhindert wie ein externer Schutzschild, dass Spam, Viren und andere Bedrohungen mit der email in Ihr Unternehmen gelangen und

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione Compliance-Reglement 1. Grundsätze und Ziele Compliance ist die Summe aller Strukturen und Prozesse, die sicherstellen, dass und ihre Vertreter/Vertreterinnen alle relevanten Gesetze, Vorschriften, Codes

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

Umsetzung des Datenschutzes mit Hilfe einer GRC Software. Simon Bislin Corporate Risk Manager / Betrieblicher Datenschutzbeauftragter

Umsetzung des Datenschutzes mit Hilfe einer GRC Software. Simon Bislin Corporate Risk Manager / Betrieblicher Datenschutzbeauftragter Umsetzung des Datenschutzes mit Hilfe einer GRC Software Simon Bislin Corporate Risk Manager / Betrieblicher Datenschutzbeauftragter Agenda Ivoclar Vivadent AG Zahlen und Fakten Corporate Governance Programm

Mehr

FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH

FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH Hosting, Application Management und Geschäftsprozess-Outsourcing Datenschutzbeauftragter: Jens Wiesner Seite 1 1.1 Hosting 1.1.1 Räumliche Voraussetzungen

Mehr

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers Anlage zum Vertrag zur Auftragsdatenverarbeitung Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers im Rahmen der Auftragsdatenverarbeitung? Wir helfen: www.activemind.de

Mehr

Account Information Security Programme - Allgemeine Informationen -

Account Information Security Programme - Allgemeine Informationen - Account Information Security Programme - Allgemeine Informationen - Neue Sicherheitsstandards für die Aufbewahrung und Weiterverarbeitung sensibler Karteninhaberdaten Kreditkartenzahlungen erfreuen sich

Mehr

Praktischer Datenschutz

Praktischer Datenschutz Praktischer Datenschutz Heiko Behrendt Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel ULD72@datenschutzzentrum.de Praktischer Datenschutz 1 Themen 1. Behördlicher und betrieblicher

Mehr

V N E T H A N D B U C H D A T E N S I C H E R S T E L L U N G

V N E T H A N D B U C H D A T E N S I C H E R S T E L L U N G Seite 1 Die Umfrage zur Informatiksicherheit in der Amtlichen Vermessung im Kanton Aargau vom 6. Dezember 2001 hat ergeben, dass die Datensicherstellugen gemäss den Vorgaben der SN 612010 ausgeführt werden.

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

Taxifahrende Notebooks und andere Normalitäten. Frederik Humpert

Taxifahrende Notebooks und andere Normalitäten. Frederik Humpert Taxifahrende Notebooks und andere Normalitäten Frederik Humpert Ein paar Zahlen Von September 2004 bis Februar 2005 wurden weltweit 11.300 Laptops 31.400 Handhelds 200.000 Mobiltelefone in Taxis vergessen

Mehr

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen Marc Schober Bundesamt für Sicherheit in der Informationstechnik Referat 112 Kritische Infrastrukturen und IT-Sicherheitsrevision Bundesamt

Mehr

Überlegungen zur Struktur eines Schulnetzes

Überlegungen zur Struktur eines Schulnetzes Überlegungen zur Struktur eines Schulnetzes Kurzbeschreibung Viele Schulen arbeiten heute mit einem Computernetzwerk, das unterschiedlichen Anforderungen genügen muss. Bereits durch eine entsprechende

Mehr

Betriebskonzept E-Mail Einrichtung

Betriebskonzept E-Mail Einrichtung Betriebskonzept E-Mail Einrichtung www.bolken.ch Klassifizierung öffentlich - wird an die E-Mail Benutzer abgegeben Versionenkontrolle Version Status Verantwortlich Datum 4.0 Genehmigt Gemeinderat 25.03.2015

Mehr

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI)

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Hinweise zur Vorabkontrolle nach dem Berliner Datenschutzgesetz (BlnDSG) Das am 30.7.2001 novellierte Berliner Datenschutzgesetz

Mehr

Penetration Test Zielsetzung & Methodik

Penetration Test Zielsetzung & Methodik Zielsetzung & Methodik : Ausgangslage Hacker und Cracker haben vielfältige Möglichkeiten, über öffentliche Netze unbefugt auf die IT-Systeme eines Unternehmens zuzugreifen Sie können vertrauliche Informationen

Mehr

Vorwort Organisationsrichtlinie IT-Sicherheit

Vorwort Organisationsrichtlinie IT-Sicherheit Vorwort Organisationsrichtlinie IT-Sicherheit Diese Richtlinie regelt die besonderen Sicherheitsbedürfnisse und -anforderungen des Unternehmens sowie die Umsetzung beim Betrieb von IT-gestützten Verfahren

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012 Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Systemlieferanten Peter Grünberger 07.03.2012 Vorstellung COMPAREX COMPAREX versteht sich als unabhängiger IT Lösungsanbieter 2000

Mehr

IT Services Support. Notebookkonzept für Studierende 2016/2017

IT Services Support. Notebookkonzept für Studierende 2016/2017 IT Services Support Werftestrasse 4, Postfach 2969, CH-6002 Luzern T +41 41 228 21 21 hslu.ch/helpdesk, informatikhotline@hslu.ch Luzern, 17. März 2016 Seite 1/5 Kurzbeschrieb: Dieses Dokument beschreibt

Mehr

Willkommen zum Livehacking

Willkommen zum Livehacking Willkommen zum Livehacking bei der Deutschen Bank Berlin mit Unterstützung des BVMW 23.10.2012 Da nachgefragt wurde: Ja! Antago steht Ihnen gerne mit Rat und Tat rund um Ihre Informationssicherheit zur

Mehr

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT STEINBUCH CENTRE FOR COMPUTING - SCC KIT University of the State of Baden-Wuerttemberg and National Research

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Aktuelle Bedrohungen im Internet

Aktuelle Bedrohungen im Internet Aktuelle Bedrohungen im Internet Max Klaus, MELANI Bedrohungen von Webanwendungen Reto Inversini, BIT Botnetze webreaders.de/wp-content/uploads/2008/01/botnetz.jpg ISB / NDB Melde- und Analysestelle Informationssicherung

Mehr

Aktuelle Bedrohungslage

Aktuelle Bedrohungslage Aktuelle Bedrohungslage Seite 1 Seite 2 Waltenhofen Neuss Wiesbaden Waltenhofen Neuss Wiesbaden Security Webinar Der Weg zu Ihrem ganzheitlichen Security-Konzept in 6 Schritten Die nachfolgende Ausarbeitung

Mehr

Bericht und Antrag an den Einwohnerrat

Bericht und Antrag an den Einwohnerrat STADT AARAU Stadtrat Rathausgasse 1 5000 Aarau Tel. 062 836 05 13/10 Fax 062 836 06 30 e-mail: kanzlei@aarau.ch Aarau, 6. März 2000 GV 1998-2001 / 193 Bericht und Antrag an den Einwohnerrat WOSA: Einführung

Mehr

Informatikleitbild der Kantonalen Verwaltung Zürich

Informatikleitbild der Kantonalen Verwaltung Zürich Informatikleitbild der Kantonalen Verwaltung Zürich Vom KITT verabschiedet am 26. Oktober 2006, vom Regierungsrat genehmigt am 20. Dezember 2006 Einleitung Zweck des Leitbildes Mit dem Informatikleitbild

Mehr

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Freigabedatum: Freigebender: Version: Referenz: Klassifikation: [Freigabedatum] Leitung 1.0 DSMS 01-02-R-01 Inhaltsverzeichnis 1 Ziel...

Mehr

MITsec. - Gelebte IT-Sicherheit in KMU - TÜV Thüringen Mit Sicherheit in guten Händen! IT - Sicherheitsforum Erfurt 2015 23.09.

MITsec. - Gelebte IT-Sicherheit in KMU - TÜV Thüringen Mit Sicherheit in guten Händen! IT - Sicherheitsforum Erfurt 2015 23.09. MITsec - Gelebte IT-Sicherheit in KMU - IT - Sicherheitsforum Erfurt 2015 23.09.2015 TÜV Thüringen Informationssicherheit Informationen sind das schützenswerte Gut ihres Unternehmens Definition: Eine Information

Mehr

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten Cloud Computing Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für 02.06.2015 1 Dozenten Katharina Wiatr Referentin für Beschäftigtendatenschutz (030) 13889 205; wiatr@datenschutz-berlin.de

Mehr

Projekt IT-Sicherheitskonzept.DVDV

Projekt IT-Sicherheitskonzept.DVDV Projekt IT-Sicherheitskonzept.DVDV Dokumentation.Sicherheitsrichtlinie.Server DVDV Dienstleister Bundesverwaltungsamt BIT 3 Barbarastr. 1 50735 Köln 10. Mai 2006 Dokumentinformationen Projekt IT-Sicherheitskonzept.DVDV

Mehr

Richtlinie für Verfahren für interne Datenschutz-Audits

Richtlinie für Verfahren für interne Datenschutz-Audits Richtlinie für Verfahren für interne Datenschutz-Audits Freigabedatum: Freigebender: Version: Referenz: Klassifikation: [Freigabedatum] Leitung 1.0 DSMS 01-01-R-05 Inhaltsverzeichnis 1 Ziel... 2 2 Anwendungsbereich...

Mehr

EINFACH SICHER KOMPETENT. Die Genossenschaft Der unternehmerischen Kompetenzen

EINFACH SICHER KOMPETENT. Die Genossenschaft Der unternehmerischen Kompetenzen EINFACH SICHER KOMPETENT EINFACH SICHER Das Jetzt die Technik das Morgen In der heutigen Zeit des Fortschritts und Globalisierung, ist es für jedes Unternehmen unbedingt erforderlich, dass es effektiv

Mehr

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern IT-Riskmanagement Strategie und Umsetzung Armin Furter TKH Informationmangement Bern Inhalte Einführung Allgemeines Risikomangement IT-Risikomanagement Mögliche Methoden Begriffe Bedrohung Schaden Schadensausmass

Mehr

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern Windows XP in fünf Schritten absichern Inhalt: 1. Firewall Aktivierung 2. Anwendung eines Anti-Virus Scanner 3. Aktivierung der automatischen Updates 4. Erstellen eines Backup 5. Setzen von sicheren Passwörtern

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Paul Petzold Firmengründer, Verwaltungsratspräsident und Delegierter der Mirus Software AG

Paul Petzold Firmengründer, Verwaltungsratspräsident und Delegierter der Mirus Software AG Cloud Lösung in der Hotellerie Die Mirus Software als Beispiel Paul Petzold Firmengründer, Verwaltungsratspräsident und Delegierter der Mirus Software AG Folie 1 SaaS (Software as a Service) in der Cloud

Mehr

Datensicherheit und Backup

Datensicherheit und Backup Beratung Entwicklung Administration Hosting Datensicherheit und Backup Dipl.-Inform. Dominik Vallendor & Dipl.-Inform. Carl Thomas Witzenrath 25.05.2010 Tralios IT Dipl.-Inform. Dominik Vallendor und Dipl.-Inform.

Mehr

Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken

Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken Informatiksteuerungsorgan des Bundes ISB Nachrichtendienst des Bundes NDB Melde- und Analysestelle Informationssicherung Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken Auswirkungen auf kritische

Mehr

1 GELTUNGSBEREICH UND ZWECK

1 GELTUNGSBEREICH UND ZWECK gültig ab: 25.11.2008 Version 01 Seite 1 von 6 Es ist ein Fehler passiert und Sie möchten dazu beitragen, dass derselbe Fehler nicht nochmals auftritt. Sie wollen eine Korrekturmaßnahme setzen! Es ist

Mehr

Penetrationtests: Praxisnahe IT-Sicherheit

Penetrationtests: Praxisnahe IT-Sicherheit Ihr Netzwerk aus der Angreiferperspektive jens.liebchen@redteam-pentesting.de http://www.redteam-pentesting.de 21. März 2007 Technologieforum Telekommunikation IHK Aachen Februar 2007: Agenda Verfassungsschutz:

Mehr

- Externe Unterstützung

- Externe Unterstützung I T S B - Externe Unterstützung Externe (modulare) Unterstützung des IT-Sicherheitsbeauftragten (IT-SB) Gliederung Seite 1. Ausgangssituation 3 2. Mögliche Outsourcing-Modelle 6 2.1 Welche Modelle gibt

Mehr

IGB IGB HANDBUCH. Qualitäts- Managementsystem des Bereiches Gebäudetechnik. Ingenieurbüro Katzschmann. PCK Systemhaus. Qualitätsmanagementsystem

IGB IGB HANDBUCH. Qualitäts- Managementsystem des Bereiches Gebäudetechnik. Ingenieurbüro Katzschmann. PCK Systemhaus. Qualitätsmanagementsystem Katzschmann + Katzschmann + Katzschmann + Katzschmann + Katzschmann HANDBUCH Qualitäts- Managementsystem des Bereiches Gebäudetechnik Ingenieurbüro Katzschmann Am Oberen Luisenpark 7 68165 Mannheim EDV-Technische

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für den Webshop RWE SmartHome Shop die Erfüllung aller Anforderungen

Mehr

Regelung zur Dokumentation

Regelung zur Dokumentation Regelung zur Dokumentation Zweck Die Dokumentation ist Nachweis und Maßstab für die Leistungsfähigkeit Ihres Managementsystems. Sie legt Ursachen und Ergebnisse betrieblichen Handelns offen. Genauigkeit,

Mehr

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security Zertifikatsprogramm der Österreichischen Computer Gesellschaft OCG IT-Security Syllabus Version 1.0 OCG Österreichische Computer Gesellschaft Wollzeile 1-3 A 1010 Wien Tel: +43 (0)1 512 02 35-50 Fax: +43

Mehr

Preise und Details zum Angebot

Preise und Details zum Angebot Die SAP Business One Cloud Plattform auf SQL und HANA Preise und Details zum Angebot Januar 2016 Cloudiax Preisliste Detaillierte Informationen zum Angebot finden Sie auf den nachfolgenden Seiten. Preis

Mehr

4 Planung von Anwendungsund

4 Planung von Anwendungsund Einführung 4 Planung von Anwendungsund Datenbereitstellung Prüfungsanforderungen von Microsoft: Planning Application and Data Provisioning o Provision applications o Provision data Lernziele: Anwendungen

Mehr

Überlegungen zur Effizienz bei der Umsetzung von it-sicherheits-maßnahmen für KMUs

Überlegungen zur Effizienz bei der Umsetzung von it-sicherheits-maßnahmen für KMUs Überlegungen zur Effizienz bei der Umsetzung von it-sicherheits-maßnahmen für KMUs Roadshow: Cybercrime eine Bedrohung auch für kleine und mittlere Unternehmen Tobias Rademann, Bochum, 19. November 2013

Mehr

Sicherheitshinweise für Administratoren. - Beispiel -

Sicherheitshinweise für Administratoren. - Beispiel - Sicherheitshinweise für Administratoren - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 VERANTWORTUNGSBEREICH... 2 3 VERWALTUNG DER IT-DIENSTE... 3 3.1 KONFIGURATION DER IT-DIENSTE...

Mehr

Die Phase 1 wurde mit dem Entscheid der beiden Exekutiven Brugg und Umiken, den Zusammenschluss zu prüfen, im Dezember 2005 abgeschlossen.

Die Phase 1 wurde mit dem Entscheid der beiden Exekutiven Brugg und Umiken, den Zusammenschluss zu prüfen, im Dezember 2005 abgeschlossen. EINWOHNERRAT BRUGG B e r i c h t und A n t r a g des Stadtrates an den Einwohnerrat betreffend Kredit für die Fusionsvorbereitungen für den Zusammenschluss der Einwohnergemeinden Brugg und Umiken 1. Ausgangslage

Mehr

WINDOWS 7. Druckerkonfiguration - Systemsteuerung - Sicherheit

WINDOWS 7. Druckerkonfiguration - Systemsteuerung - Sicherheit WINDOWS 7 Druckerkonfiguration - Systemsteuerung - Sicherheit Druckerverwaltung ab Seite 91 = Standarddrucker Druckaufträge verwalten ab Seite 96 Systemsteuerung ab Seite 97 System Information über das

Mehr

Rundschreiben 2008/7 Outsourcing Banken

Rundschreiben 2008/7 Outsourcing Banken Häufig gestellte Fragen (FAQ) Rundschreiben 2008/7 Outsourcing Banken (Letzte Änderung vom 6. Februar 2015) 1. Nach welchen Kriterien beurteilt sich die Anwendbarkeit des Rundschreibens 2008/7? Ein Outsourcing

Mehr

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden Dienstleistungen Externer Datenschutz Beschreibung der Leistungen, die von strauss esolutions erbracht werden Markus Strauss 14.11.2011 1 Dienstleistungen Externer Datenschutz Inhalt 1. Einleitung... 2

Mehr

Cyber-Sicherheits- Check

Cyber-Sicherheits- Check -MUSTER- -MUSTER- Muster-Beurteilungsbericht zum Cyber-Sicherheits- Check der Beispiel GmbH Januar 2014 1. Rahmendaten Beurteilungsgegenstand Beurteiler Anlass Grundlagen und Anforderungen Zeitlicher Ablauf

Mehr

Verfahrensanweisung Umgang mit Beschwerden.doc INHALT

Verfahrensanweisung Umgang mit Beschwerden.doc INHALT INHALT 1 Zweck und Anwendungsbereich 2 2 Begriffe / Definitionen 2 2.1 Definitionen 2 3 Zuständigkeiten 2 4 Verfahrensbeschreibung 3 4.1 Schematische Darstellung Fehler! Textmarke nicht definiert. 4.2

Mehr

Managementbewertung Managementbewertung

Managementbewertung Managementbewertung Managementbewertung Grundlagen für die Erarbeitung eines Verfahrens nach DIN EN ISO 9001:2000 Inhalte des Workshops 1. Die Anforderungen der ISO 9001:2000 und ihre Interpretation 2. Die Umsetzung der Normanforderungen

Mehr

Risikogrundsätze Version 2, Stand 10/2011

Risikogrundsätze Version 2, Stand 10/2011 Version 2, Stand 10/2011 1. RISIKOGRUNDSÄTZE 1.1 Verantwortung des Vorstandes Der Vorstand der Schoellerbank Invest AG ist für die ordnungsgemäße Geschäftsorganisation und deren Weiterentwicklung verantwortlich.

Mehr

Jump Project. Softwarelösungen für professionelles Projektmanagement

Jump Project. Softwarelösungen für professionelles Projektmanagement Jump Project Softwarelösungen für professionelles Projektmanagement Jump Project Office Übersichtliche Dokumentenstruktur und schneller Zugriff auf alle wichtigen Funktionen. Steuern Sie Ihre Projekte

Mehr

I n h a l t s v e r z e i c h n i s B e t r i e b s d o k u m e n t a t i o n

I n h a l t s v e r z e i c h n i s B e t r i e b s d o k u m e n t a t i o n Checkliste I n h a l t s v e r z e i c h n i s B e t r i e b s d o k u m e n t a t i o n Seite 02 1 Betriebskonzept 0. Allgemeines Der Gliederungspunkt «0 Allgemeines» soll nicht als Kapitel gestaltet

Mehr

Servicespezifikation. H&S IT Configuration Management Service. simplify your business. www.hs-reliablesolutions.com

Servicespezifikation. H&S IT Configuration Management Service. simplify your business. www.hs-reliablesolutions.com Servicespezifikation H&S IT Configuration Management Service simplify your business www.hs-reliablesolutions.com H&S reliable solutions GmbH 2010 H&S IT Configuration Management Service Eine der wichtigsten

Mehr