Vorgehen Informations- und IT-Security, Umsetzung der Massnahmen

Größe: px
Ab Seite anzeigen:

Download "Vorgehen Informations- und IT-Security, Umsetzung der Massnahmen"

Transkript

1 STADT AARAU Stadtrat Rathausgasse Aarau Tel Fax Aarau, 25. Mai 2009 GV /402 Bericht und Antrag an den Einwohnerrat Vorgehen Informations- und IT-Security, Umsetzung der Massnahmen Sehr geehrte Frau Präsidentin Sehr geehrte Damen und Herren Seit 1. Juli 2008 gelten eine neue Verfassungsbestimmung ( 72 Abs. 1+2 KV) und ein neues Gesetz. Mit der Verfassungsbestimmung erhält jede Person das Recht auf Zugang zu amtlichen Dokumenten. Das neue Gesetz (IDAG) und die neue Verordnung zum Gesetz (VIDAG) regeln die Information der Öffentlichkeit, den Datenschutz und das Archivwesen. Im Leitfaden zum Gesetz und der Verordnung wird das Vorgehen aufgezeigt: "Das öffentliche Organ hat vorerst eine sorgfältige Risikoanalyse durchzuführen und darauf aufbauend ein Sicherheitskonzept zu entwickeln (im Detail: 4 Abs. 2 Satz 1 VIDAG)". Der ILA (Informatik-Lenkungsausschuss) hat sich anfangs 2008 bei der Behandlung von IT- Sicherheitsfragen und mit Blick auf das IDAG entschieden, eine Risikoanalyse "Informationsund IT-Sicherheit" mit einer externen Begleitung durchzuführen. Das vorliegende Ergebnis wurde dann vom Stadtrat behandelt und zu Handen des Einwohnerrates verabschiedet. 1 Ausgangslage Dieser Bericht zeigt auf, wie der ILA im Jahr 2008 vorgegangen ist und welche Schritte er im Bereich der Informations- und IT-Security unternommen resp. in Auftrag gegeben hat. Mit seiner Risikoanalyse und den daraus abgeleiteten Massnahmen, die jetzt angegangen werden sollen, ist die erste Phase abgeschlossen worden. 1.1 IST-Zustand Security-Überprüfung (2004) Im Jahre 2004 wurde die Firma terreactive AG, Aarau, beauftragt, eine Sicherheitsüberprüfung durchzuführen. Anlass war die geplante Produktivschaltung eines webbasierten Dienstes zur Nutzung des internen Systems durch Mitarbeiter von Einstellungen\Temp\GWViewer\E09-402bereinigt.doc /V1.0

2 2 aussen (Webmail Lösung). Hierbei wird erstmalig durch die Sektion OI ein allgemein vom Internet her erreichbarer Dienst angeboten. Vorrangiges Ziel des Audits war somit, sicherzustellen, dass hierdurch keine Gefahren für die Vertraulichkeit und Integrität des internen Netzwerks verursacht werden. Untersuchungsgegenstand des Audits waren neben dieser konkreten Webmail Lösung auch die sonstigen, für Aussenstehende sichtbaren Schnittstellen der IT Infrastruktur der Stadtverwaltung. Die wichtigste Massnahme war die Implementierung einer neuen Firewall Security-Überprüfung durch Cassarius (2007) Im Jahre 2007 wurde die Firma Cassarius AG, Bern, beauftragt, die von der Firma terreactive AG betriebene Firewall zu überprüfen. Der Anlass dazu war der Anschluss ans Netz der Kapo Aargau. Dabei wurden nur die Firewall und deren Implementierung überprüft. Das Fazit aus dem Abschlussbericht lautet: Die Firewall "aarau-fw0" wurde von der Firma terreactive gut implementiert. Einige kleinere Massnahmen wurden im Laufe der Überprüfung umgesetzt Technische Massnahmen (IST) Firewall Die Firewall wird nach wie vor durch die in Aarau ansässige Firma terreactive AG kompetent betreut. Geplante Änderungen werden auf Antrag ausgewählter Mitarbeiter der Sektion OI verifiziert und erst dann umgesetzt USB-Stick (Regelung) Private USB-Sticks sind nicht erlaubt. Von der Sektion OI werden USB-Sticks mit einem Passwort-Schutz abgegeben Antivirus-Schutz Der Schutz vor Viren, Trojanern, etc. wird auf den verschiedenen Systemen durch verschiedene Produkte gewährleistet. Es sind die folgenden Produkte im Einsatz: Firewall: clamav Arbeitsstationen: Antivir von Avira Windows-Server: Norton von Symantec Novell-Server: McAfee / Kaspersky (Umstellung auf Kaspersky für alle Novell-Server geplant) Spam-Schutz Die Spam-Mails werden auf der Firewall nach verschiedenen Kriterien überprüft und bei Spam-Erkennung in einen Quarantänen-Ordner auf der Firewall zurückbehalten. Der EDV- User erhält keine Nachricht. Die Algorithmen werden laufend den neuesten Gegebenheiten angepasst. Bis Ende Januar 2009 wurde eine stark verbesserte Version implementiert.

3 3 Aktuell werden durch den Spam- und Viren-Schutz ca. 90 % aller eingehenden s in die Quarantänen-Ordner verschoben und die restlichen ca. 10 % werden an die EDV-User weitergeleitet Attachment-Blocking Alle Mail-Beilagen werden auf Viren geprüft und zudem werden gewisse Beilagen, wie z.b. ausführbare Programme (EXE-Dateien), abgefangen. In ausführbaren Programmen verstecken sich häufig Viren. Es werden über 30 verschiedene Datei-Typen abgefangen Datensicherung Seit je her werden bei der Stadtverwaltung die Daten über Nacht in ein anderes Gebäude "kopiert" und dort auf Bänder (Tapes) gesichert. Diese Datensicherung (Hard- und Software) genügte den Anforderungen nicht mehr und war fehleranfällig. Zudem waren die Raumverhältnisse zu klein geworden und die eingesetzte Backup-Software wurde auf der eingesetzten Plattform nicht mehr weiterentwickelt. Daher wurde im Oktober 2008 eine neue Datensicherung mit neuer Hard- und Software installiert. Heute werden die letzten 15 Tagessicherungen aufbewahrt. Schliesslich werden die Monatssicherungen für die nächsten Jahre aufbewahrt. Zudem werden täglich die Datenbankund Server-Sicherungen zusätzlich auf verschiedenen Harddiskspeicher-Medien gesichert. Alle diese Datensicherungen lagern in einem Gebäude der Stadtverwaltung Aarau ausserhalb des Rathauses. Die GIS-Daten werden beim externen Betreiber gelagert und bewirtschaftet. Er erstellt täglich eine Datensicherung und hinterlegt diese einmal monatlich in einem Bank-Safe. Neu werden diese Daten quartalsweise auf einem USB-Stick der Stadtverwaltung geliefert und bei der Sektion OI gelagert (ab Ende 2008). Diese Daten stellen für die Stadtverwaltung Aarau einen sehr hohen Wert dar. Das gleiche Verfahren wird auch noch für die Daten, die auf der Website publiziert werden, angewendet. 1.2 Behandlungen im ILA (Informatik-Lenkungsausschuss) Der ILA hat im 2. Halbjahr 2008 in verschiedenen Sitzungen und einem Workshop das Thema unter der Federführung der Firma Swiss Infosec AG behandelt, eine Risikobeurteilung durchgeführt und Massnahmen ausgearbeitet. 1.3 IDAG Das IDAG, VIDAG und der Leitfaden wurden hinsichtlich möglicher Auswirkungen auf die Informatik analysiert und die Ergebnisse sind in den Massnahmenkatalog eingeflossen.

4 4 1.4 Beurteilung der Melde- und Analysestelle Informationssicherung MELANI Die Melde- und Analysestelle Informationssicherung MELANI wurde im Jahr 2004 durch das ISB (Informatikstrategieorgan Bund) im Auftrag des Bundesrates aufgebaut und wurde zu einer wichtigen Informationsquelle für Verwaltungen und Unternehmungen. (Quelle: Melde- und Analysestelle Informationssicherung MELANI Die Bedrohungslage hat sich stark verändert (Schwerpunkte Ausgabe 2008/I) Von der IT-Sicherheit zur Informationssicherung "Aktuelle gezielte IT-Angriffe lassen sich auch mit Hilfe technischer Sicherheitsvorkehrungen sowie einer gesunden Portion Menschenverstand nicht immer erfolgreich abwehren. Deshalb ist eine Neufokussierung nötig, welche den Schutz der Information ins Zentrum rückt und nicht nur den Schutz der Computer und Netzwerke berücksichtigt." Massenhacks legitimer Webseiten "Die Gefahr einer Infektion über Webseiten mittels Drive-By-Infektion wächst rasant. Seit Januar 2008 sind verschiedene Massenhacks von Webseiten beobachtet worden, welche beabsichtigt haben, deren Besucher zu infizieren. Darunter befinden sich auch Webseiten mit bestem Ruf und hohen Besucherzahlen." Politisch motiviertes Hacking "Cyber-Attacken können ein attraktives Mittel darstellen, um für ein politisches Anliegen Aufmerksamkeit zu erlangen. Im Bereich der Internet- Kriminalität rücken somit - nebst finanziellen Motiven - vermehrt politische Beweggründe in den Vordergrund. Jüngste Entwicklungen haben dazu beigetragen, dass politisch motiviertes Hacking, der so genannte «Hacktivismus», öffentlich diskutiert wird." Offene Funknetzwerke als Sicherheitsrisiko "Funknetzwerke (WLANs) sind heute auch privat weit verbreitet. Sind diese Netzwerke ungenügend geschützt, können Kriminelle einerseits auf interne Daten zugreifen und anderseits ermöglicht dies ihnen, bei einer IT-Straftat die wahre Urheberschaft zu verschleiern. Solche Missbräuche treten leider immer häufiger auf. Das Befolgen gewisser Grundregeln hilft, das eigene Netzwerk sauber zu halten." Der Einwohnerrat hat es im Herbst 2007 abgelehnt, ein flächendeckendes WLAN durch die Stadt aufzubauen Soziale Netzwerke und die Gefahr des Datenmissbrauchs "Soziale Netzwerke werden rege genutzt, denn sie bieten die Möglichkeit, sich mit relativ kleinem Aufwand auf dem Internet zu präsentieren. Die Veröffentlichung persönlicher Daten auf dem Internet birgt jedoch auch Gefahren: Sie hilft Cyber-Kriminellen, gezielte Angriffe zu lancieren."

5 5 Der AR (Abteilungsvorsteherrapport) hat sich im November 2008 für die Sperrung gewisser URL's (Internetadressen) ausgesprochen und hat angeregt, dass die Mitarbeiterinnen und Mitarbeiter über die Gefahren mit solchen Netzwerken informiert resp. instruiert werden Von der IT-Security (Informatik-Sicherheit) zur Informations- Sicherheit (Quelle: melani.admin.ch) "Vor rund 4 Jahren hat die Melde- und Analysestelle zur Informationssicherung Schweiz (MELANI) ihre Arbeit aufgenommen. Wie die meisten (Experten und Info-Stellen) propagierte MELANI von Beginn weg die klassischen technischen Schutzmassnahmen, wie Antivirensoftware, regelmässige Updates von Programmen und Betriebssystemen, den Einsatz von Firewalls und die Notwendigkeit von Backups. Dieses ABC der wichtigsten Schutzmassnahmen für Computer, sei es in einem privaten Haushalt oder in einem geschäftlichen Umfeld, sind noch immer gültig und unter allen Umständen weiterhin einzuhalten. Allerdings genügen sie heutzutage nicht mehr. Beim Auto gelten Sitzgurte, eine angepasste Geschwindigkeit und das Befolgen von Verkehrsregeln als Voraussetzungen für ein sicheres Fahren und dennoch können diese Sicherheitsvorkehrungen einen Unfall nicht immer verhindern. Genauso verhält es sich in der heutigen Welt der Bits und Bytes. Zwar liessen sich noch immer die überwiegende Mehrheit der Angriffe auf Computer und Netzwerke mit technischen Sicherheitsvorkehrungen und etwas gesundem Menschenverstand verhindern, doch wie im Verkehr, muss auch in der Welt der Informations- und Kommunikationstechnologien endgültig vom «absoluten Sicherheits- Gedanken» Abschied genommen werden. Bei den letzten, äusserst breit gestreuten - Wellen (siehe Kapitel 4.2) sind zwischen Versand und dem Zeitpunkt als die ersten Viren- Scanner die Malware erkannt haben, zwischen sechs und zwölf Stunden vergangen. Genügend Zeit also, um praktisch alle möglichen Opfer zu infizieren. Bei gezielten Angriffen über E- Mail, bei denen mehrere Hundert Empfänger angeschrieben werden, ist ohne Emergency-Patch seitens des Antivirenherstellers nicht mit einer Erkennung innerhalb von Stunden zu rechnen - sofern der Angriff überhaupt erkannt wird. Moderne Malware ist so konzipiert, dass sie möglichst lange nicht von Antivirensoftware erkannt wird. Zusätzlich zu den Limiten technischer Sicherheitsmassnahmen gesellen sich der teilweise unsorgsame und schon fast naive Umgang mit Informationen und Daten innerhalb des IT- Sicherheitsperimeters. Jede Firewall ist nutzlos, wenn Daten innerhalb eines Unternehmens offen herumliegen oder einfach aufgefunden werden können. Noch viel weniger können technische Schutzmassnahmen etwas dagegen ausrichten, wenn in der internen Post CD- ROMs mit ein paar Millionen Bankkontendaten, Steuerrechnungen und dergleichen einfach verloren gehen. Auch gegen eine unbedachte Platzierung persönlicher Informationen auf dem Internet, unter anderem auf sozialen Netzwerken (siehe Kapitel 3.2), sind technische Schutzmassnahmen machtlos. In diesem Sinne ist in naher Zukunft ein weiteres Zusammenspiel verschiedener Faktoren zu beobachten: Zum einen wird die Tatsache, dass die klassischen IT-Sicherheitsmassnahmen nur noch bedingten Schutz ermöglichen, ein Umdenken im übergeordneten Bereich der Informationssicherung auslösen müssen. Zum anderen wird der teils sorglose Umgang mit persönlichen, vertraulichen oder betrieblichen Informationen weiterhin ein Risiko bei Angriffen darstellen: Sei es zur Vorbereitung von Angriffen oder aber, weil nach einem

6 6 erfolgreichen Durchdringen der technischen Schutzwälle die Suche und der Zugriff nach Daten dem Angreifer leicht gemacht werden. Diese Entwicklung erfordert ein Umdenken: Neu muss der Fokus auf den Schutz der Information gelegt und vom ausschliesslichen Schutz der Computer und Netzwerke, auf denen die Informationen lagern, abgesehen werden. Dies wird ein verstärktes Informationsund Datenmanagement, Informationsklassifizierung und dergleichen nach sich ziehen. Zudem wird eine klare Risikoabwägung vorausgesetzt, die dazu führen muss, dass die Sicherheit von Verteilkanälen, Zugriffsrechten und Speicherorten dem tatsächlichen Wert einer Information angepasst werden. Nicht jeder Kanal oder Speicherort ist gleich sicher und nicht alle Dokumente sind in einem Betrieb gleich sensibel. Damit wird die Informationssicherung in den geschäftlichen und strategischen Risikomanagement-Prozess eingebunden. Ein solcher Ansatz kann allerdings nur dann Erfolg versprechend sein, wenn die Informationssicherung auch wirklich zu einem integralen Bestandteil des Sicherheitskonzeptes und somit auf der gleichen Stufe angesiedelt wird, wie beispielsweise Gebäude- und Personenschutz, Finanzcontrolling und andere." Der obige Bericht der MELANI zeigt auf, dass die Informationssicherung nicht nur Aufgabe der technischen IT-Security sein darf, sondern es sind zusätzliche Massnahmen notwendig und die Informations- und IT-Security ist als Chefsache wahrzunehmen. 1.5 Begriffe Begriff Abk. Beschreibung Informationssicherheit Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und -lagernden Systemen, welche die Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. IT-Security Teilmenge der Informationssicherheit, die sich in erster Linie mit reinen IT-Belangen und deren Sicherheit auseinandersetzt. IDAG IDAG Gesetz über die Information der Öffentlichkeit, den Datenschutz und das Archivwesen (IDAG) vom 24. Oktober 2006 (SAR ) VIDAG VIDAG Verordnung zum Gesetz über die Information der Öffentlichkeit, den Datenschutz und das Archivwesen (VIDAG) vom 26. September 2007 (SAR ) Melde- und Analysestelle MELANI Informationssicherung Soziale Netzwerke z.b. facebook myspace XING»Soziale Netzwerke Plattformen«sind internetbasierte Anwendungen, in die Nutzer ihre Beziehungen zu anderen Personen abbilden, um diese Daten für wesentliche Dienstfunktionen weiterzuverwenden.

7 7 Begriff Abk. Beschreibung Die verarbeiteten Daten sind fast ausschließlich personenbezogener Natur. Entsprechend hoch ist das Gefährdungspotential für die Nutzer, wenn Sicherheitsschwachstellen existieren und Schutzmechanismen fehlen. Swiss Infosec AG Awareness Business Continuity Planning Business Continuity Management BCP BCM Dies sind Plattformen wie myspace, facebook, studivz, werkenntwen, lokalisten, XING und LinkedIn Unabhängige Beratungsfirma in den Bereichen ITund Informationssicherheit Deutsch: "Sensibilisierung"; Aktivitäten zur Bewusstseinsbildung (in diesem Sinne gegenüber Gefahren und Verhalten bezgl. Informations- und IT-Sicherheit) Planungsgrundlagen für BCM, s. unten Betriebliches Kontinuitätsmanagement bezeichnet in der Betriebswirtschaftslehre Konzepte, Planungen und Maßnahmen zur Aufrechterhaltung der betrieblichen Kontinuität Disaster Recovery Planung DRP Der Begriff Disaster Recovery (englisch für Notfallwiederherstellung) bezeichnet Maßnahmen, die nach einem Unglücksfall in der Informationstechnik eingeleitet werden Recovery Point Objective RPO Bei der Recovery Point Objective handelt es sich um den Zeitraum, der zwischen zwei Datensicherungen liegen darf, das heißt, wie viele Daten/Transaktionen dürfen zwischen der letzten Sicherung und dem Systemausfall höchstens verloren gehen. Recovery Time Objective RTO Bei der Recovery Time Objective handelt es sich um die Zeit, die vom Zeitpunkt des Schadens bis zur vollständigen Wiederherstellung der Geschäftsprozesse (Wiederherstellung von: Infrastruktur - Daten - Nacharbeitung von Daten - Wiederaufnahme der Aktivitäten) vergehen darf. Sicherheitsbeauftragter SiBe Sicherheitsbeauftragter ist der Personalleiter und für den Bereich Informatik der Leiter der Sektion OI zuständig. Uniform Resource Locator URL URLs identifizieren und lokalisieren eine Ressource über das verwendete Netzwerkprotokoll (z.b. http oder ftp) und den Ort der Ressource in Computernetzwerken. In der Umgangssprache wird URL häufig als Synonym für Internetadresse verwendet. ist eine URL

8 8 2 Ziel des Antrags Es ist das Ziel, den Einwohnerrat über die vorgenommen Arbeiten im ILA und Entscheide im Stadtrat zu informieren und den Auftrag für das Umsetzen der vorgeschlagenen Massnahmen abzuholen. Mit den vorgeschlagenen Massnahmen sollen eine angemessene Sicherheit garantiert und die Finanzierung sichergestellt werden. 3 Abschlussbericht Risikoanalyse der Swiss Infosec AG 3.1 Ausgangslage Anfangs Juni 2008 beauftragte der ILA die Swiss Infosec AG mit einer Unterstützung im Bereich der Informationssicherheit. Ziel dieser Unterstützung war und ist es, die Sicherheit der bei der Stadt Aarau bearbeiteten und gespeicherten Informationen, die im Einsatz stehenden Geräten und angestellten Mitarbeiterinnen und Mitarbeiter zu erhöhen und geeignete Massnahmen zu erarbeiten um dies zu gewährleisten. Die Swiss Infosec AG schlug im Rahmen dieses Auftrages vor, als erstes konkretes Vorgehen zusammen mit dem Informatik-Lenkungsausschuss (ILA) eine Risikoanalyse durchzuführen, um zuerst die primär betroffenen Bereiche / Objekte festzustellen und in der Folge angemessene Massnahmen zur Erhöhung / Garantierung der Sicherheit dieser Bereiche festzulegen. Das Vorgehen der Risikoanalyse, die identifizierten Risiken und die gemeinsam erarbeiteten Massnahmen werden in diesem Bericht aufgezeigt. 3.2 Risikoanalyse Wie bei jeder Risikoabwägung im täglichen Leben wird bei der Analyse vermuteter oder konkret vorhandener Risiken eine Abschätzung der Eintretenswahrscheinlichkeit und des möglichen Schadensausmasses vorgenommen. Ein Risiko definiert sich in diesem Zusammenhang wie folgt: "Unter dem Begriff der operationellen Risiken versteht man die Gefahr von Verlusten, die infolge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder von externen Ereignissen eintreten können." Nach einem standardisierten Vorgehen werden mögliche "Angriffspunkte" in Form konkreter und vorgängig identifizierter Objekte (IT, Infrastruktur, Mitarbeiter/-innen, etc.) definiert und anhand einer Matrix dargestellt. Aus dieser Auswertung sind in der Folge all jene potentiellen Risiken zu identifizieren, deren Kombination von Eintretenswahrscheinlichkeit und Schadensausmass als inakzeptabel beschlossen (s. unten im roten Bereich) oder aber durch bereits getroffene Massnahmen als angemessen entschärft bzw. in Kauf genommen werden. Folgende Objekte wurden vorgängig in Zusammenarbeit zwischen der Stadtverwaltung Aarau, Sektion Organisation und Informatik, und der Swiss Infosec AG identifiziert:

9 9 Objekte / Objektarten Active-Directory Applikation Lobos Applikation VSoft Datenschutzrelevante Daten (extern, Einwohner, usw.) File-Server Adam Groupwise Internet-Anbindung IT-Mitarbeitende Lichtwellenleiter Anbindungen Personal-Informationen (Mitarbeiter/-innen) Rechenzentrum Redundante Rechenzentren Stockwerkverteiler (Netzwerk) Switches (Aussenstellen) Telefonie Übrige Verwaltungssysteme Vertrauliche Daten 3.3 Workshop Risikoanalyse Aus dem am 10. September 2008 mit dem ILA der Stadtverwaltung Aarau durchgeführten Workshop resultierten die in den folgenden Darstellungen zu behandelnden bzw. akzeptierten Risiken: Zum Schutz vertraulicher Informationen wurde diese Grafik entfernt. Grafik: "Rote", bzw. zu behandelnde Risiken Zum Schutz vertraulicher Informationen wurde diese Grafik entfernt. Grafik: "Grüne", bzw. akzeptierte Risiken Die beiden obigen Matrix-Darstellungen zeigen die Einschätzung des ILA bezüglich der auf die Objekte einwirkenden Risiken anhand der Eintretenswahrscheinlichkeit (Skala "1" bis "4") und des zu erwartenden Schadensausmasses (Skala "A" bis "D"). Diese Skalen wurden wie folgt definiert: Wahrscheinlichkeit: 4 = sehr hoch (sehr wahrscheinlich, häufig); mehr als einmal im Monat 3 = hoch (eher wahrscheinlich, gelegentlich); weniger als einmal pro Monat 2 = mittel (eher unwahrscheinlich, selten); weniger als einmal in einem Jahr 1 = tief (unwahrscheinlich, äusserst selten); weniger als einmal in zehn Jahren

10 10 Schadensausmass materiell/immateriell in EBIT über 3 Jahre: D = sehr hoch, sehr grosser Schaden über Fr. 1'000'000.- C = hoch, grosser Schaden Fr. 250'000.- bis Fr. 1'000'000.- B = mittel, bedeutender Schaden Fr. 20'000.- bis Fr. 250'000.- A = tief, geringer Schaden bis Fr. 20' Schlussfolgerung / Fazit Wie bereits ausgeführt liegt das Ziel der Risikoanalyse nicht in der völligen Ausräumung jeglicher Risiken, sondern vielmehr in der wirtschaftlich und aufwandsmässig angemessenen Reduktion der Ursachen und/oder der zu erwartenden Schäden. Beispielsweise kann durch die Ergreifung der Massnahme "Awareness/Ausbildung" das Risiko "Datendiebstahl/Datenmissbrauch" vom Quadranten B3, der bei der Risiko-Analyse mit einer hohen Eintretenswahrscheinlichkeit und einem mittleren, aber bedeutenden Schaden eingeschätzt wurde, in den "grünen Bereich" gebracht werden und somit auch das Risiko auf ein akzeptables Mass reduziert werden. Entsprechend reduzieren die vorgeschlagenen Massnahmen die dargestellten, nicht akzeptablen roten Risiken und erhöhen die Gesamtsicherheit der Informationen und IT- Infrastruktur. Der ILA empfiehlt, die identifizierten Risiken mit den nachfolgend aufgeführten Massnahmen zu reduzieren. 4 Massnahmendefinition & -behandlung Der nächste Schritt nach der Identifizierung der betroffenen Objekte bestand darin, geeignete und angemessene Massnahmen zu definieren, die im Rahmen der Zielvorgabe einzusetzen wären. Diese wurden wiederum im Zusammenspiel mit der Stadtverwaltung Aarau und der Swiss Infosec AG erarbeitet und am 22. Oktober 2008 von der Sektion OI dem ILA vorgelegt. Nebst den bereits in die Wege geleiteten Massnahmen wurden die Folgenden mit "Priorität A" erarbeitet: Nr. Beschreibung 1 Awareness; Ausbildung 3 Business Continuity Planning (BCP) / Disaster Recover Planning (DRP) anpassen 4 Benutzer-Richtlinien; Administrations-Richtlinien 5 Brandschutz prüfen, ggf. anpassen 8 Monatliche Auslagerung der GIS Daten 13 Zugriffsmechanismen überprüfen, ggf. anpassen

11 11 Die nachfolgende Tabelle zeigt alle Massnahmen auf, die von der Firma Swiss Infosec AG auf Grund der Risikoanalyse des ILA's vorgeschlagen wurden. Diese sind im ILA behandelt und als notwendig erachtet worden. Auf der Liste in der Aktenbeilage ist ersichtlich, welche Risiken durch diese Massnahmen reduziert werden sollen. Massnahmen Beschreibung Bemerkungen Nummer Priorität Aufwand PT Int. (grob geschätzt) Aufwand PT Ext. (grob geschätzt) 1 Awareness; Ausbildung 2 Backup-Mechanismen prüfen; ggf. anpassen 3 Business Continuity Planning (BCP) / Disaster Recover Planning (DRP) anpassen Mit stufengerechten Awareness- Kampagnen kann auf die Risiken und Verhaltenweisen aufmerksam gemacht werden. Applikations-spezifische Ausbildung, vor allem bei Veränderungen im Systemumfeld ist wichtig um neue Komponenten und deren Umgang zu schulen. Konkrete Massnahmen: Edutainments Merkblätter E-Learning Intranet-Publikationen Backup-Mechanismen können, ohne regelmässige Kontrollen und Tests unbemerkt fehlschlagen. Um dies zu vermeiden sind eine Abstimmung mit dem BCM- Framework, sowie Tests der Abläufe, der Hardware und der Backup-Medien unverzichtbar. Erarbeitung eines Business Continuity Management- Frameworks (inkl. Evakuationen/Alarmierung). Der Disaster Recovery Plan sollte überprüft und ggf. angepasst werden. Zudem sollte mittels periodischer Prüfung auf die Tauglichkeit dieser Pläne getestet werden. Konkrete Massnahmen (abgestimmt auf StaOs): Alarmsystem(e) überprüfen DRP für Applikationen & StaOs erarbeiten. Anbindung Aussenstationen ("Vermaschung"), Redundante Systeme Project "Roboter"; Massnahme kann als abgeschlossen erachtet werden. Thema Evakuation ist bei SiBe (PW) in Bearbeitung. Massnahme muss auf Standorte abgestimmt werden. Ausbau ESX-Server (Virtueller Server) für 2009 geplant. Anforderungen noch mit Fachabteilungen zu koordinieren. A Z 5 0 A 30 10

12 12 Massnahmen Beschreibung Bemerkungen Nummer Priorität Aufwand PT Int. (grob geschätzt) Aufwand PT Ext. (grob geschätzt) 4 Benutzer-Richtlinien; Administrations- Richtlinien 5 Brandschutz prüfen, ggf. anpassen Recovery Point Objective (RPO) & Recovery Time Objective (RTO) und gesetzliche/betriebliche Anforderungen Datensicherung/Datenarchivi erung mit Fachabteilungen aufnehmen und umsetzen Die Benutzer der Systeme und Applikationen sollten mittels entsprechender Richtlinien auf die geltenden Regeln aufmerksam gemacht werden. Die Einhaltung dieser Richtlinien wird in entsprechenden Einverständniserklärungen festgehalten. Brandschutzinstallationen sollten periodisch geprüft und werden. Produkteunabhängige Unterstützung kann ggf. helfen Schwachstellen aufzuzeigen und diese zu beseitigen. ca. 300 Mitarbeitende/Benutz er A 2 10 A 5 2 Konkrete Massnahmen: Temperaturfühler anbringen Begehung/Audit durchführen 6 Change Management Integritäts-Probleme, vor allem bei Interfaces, Konsequente Change-Management Prozesse und Kontrollen helfen dabei, Integritäts-Probleme bei Interfaces o.ä. zu beseitigen bevor sie in der Produktion auftreten. B Dokumentation beschaffen; zentral & sicher aufbewahren 8 Monatliche Auslagerung der GIS Konkrete Massnahmen: Administrationsrichtlinien überarbeiten (s. auch Massnahme Nr. 4) Nicht auffindbare und/oder veraltete Dokumentation sollte beim Hersteller bestellt und zentral verwaltet werden. Ein aktives Bearbeiten einer solchen Bibliothek hilft Mehrfach- Ablagen zu vermeiden. Die GIS Daten sollten monatlich an einen Ort ausgelagert ggf. als PDF speichern und sicher aufbewahren Die GIS-Daten werden beim externen Betreiber C 10 2 A 1 0

13 13 Massnahmen Beschreibung Bemerkungen Nummer Priorität Aufwand PT Int. (grob geschätzt) Aufwand PT Ext. (grob geschätzt) Daten 10 Redundante Internet- Anbindung 11 Verträge prüfen; ggf. andere Lieferanten als Backup prüfen 12 Vertragliche Regelungen mit (externem) Datenhalter 13 Zugriffsmechanismen überprüfen, ggf. anpassen werden, der geografisch und risikomässig unabhängig ist. Ausfallsichere Mechanismen, bzw. Anbindungen ans Internet sollten geprüft und wo nötig sichergestellt werden. Periodische Kontrollen der Support-Verträge sind notwendig um nicht von einem "End-of-Life" Problem betroffen zu werden. Gegebenenfalls sind andere Lieferanten zu prüfen, die den optimal(er)en Service erbringen können. Die Sicherheit der Daten sollte vertraglich so geregelt werden, dass der Datenhalter dazu verpflichtet wird deren Sicherheit zu gewährleisten. Überdies sollten periodische (ggf. externe) Audits zur Verifizierung dieser Sicherheit eingesetzt werden. Übergreifendes Rollen- und Berechtigungskonzept: die Mechanismen zur Erteilung, Veränderung und Löschung von Zugriffsrechten sollten periodisch überprüft und, wo nötig, angepasst werden. HR- Daten sind dabei zu berücksichtigen. Speziell sind hier privilegierte Accounts (Administratoren) zu berücksichtigen. gelagert und bewirtschaftet. Er erstellt täglich eine Datensicherung und hinterlegt diese einmal monatlich in einem Bank-Safe. Neu werden diese Daten quartalsweise auf einem USB-Stick der Stadtverwaltung geliefert und bei der Sektion OI gelagert (ab Ende 2008). C 4 4 C 5 0 C 2 2 A 20 5 Konkrete Massnahmen: Regeln/Abläufe optimieren Daten-Eigner definieren & ausbilden

14 14 Nummer Massnahmen Beschreibung Bemerkungen Priorität Aufwand PT Int. (grob geschätzt) Aufwand PT Ext. (grob geschätzt) 14 Zutrittsschutz überprüfen, ggf. anpassen Der Zutritt zu IT-Räumen soll, ggf. mit entsprechenden Umbaumassnahmen, den Schutz der Mitarbeiterinnen / Mitarbeiter und deren Informationswerten unterstützen. C 2 2 Konkrete Massnahmen: Zutrittsschutz-Konzept für alle Rechner-Räume & Standorte Total Personentage (PTs): Beurteilung des ILA s Bei der Behandlung dieser Massnahmen im ILA wurden unter anderem die nachfolgend aufgeführten Punkte festgehalten: Das IDAG und VIDAG geben Vorgaben, die zu erfüllen sind. Der Ausbildungsaufwand für die Mitarbeiterinnen und Mitarbeiter steigt, und es ist notwendig, dies immer wieder in regelmässigen Abständen (jährlich) zu tun. Bis jetzt wurden die EDV-User im Bereich der IT-Security und Informationssicherheit nicht ausgebildet. Das Bewusstsein muss gefördert werden. In der Sektion OI wurde bis jetzt schon viel für die IT-Security gemacht. Der ILA und der Stadtrat haben die Verantwortung wahrzunehmen und in diesem Bereich einen Schritt zu machen. Die Arbeiten für die IT-Security verursachen einen laufenden Aufwand in der Informatik, der noch zu ermitteln ist. Es sind auch die notwendigen Regelungen auszuarbeiten. 4.2 Kostenschätzung Aus Sicht der Firma Swiss Infosec AG und dem ILA fallen die aufgeführten Massnahmen im Jahr 2009 / 2010 an und die finanziellen Mittel sind bereitzustellen Interner Aufwand Der interne geschätzte Aufwand von 96 Personentagen ergibt bei 220 Arbeitstagen im ganzen Jahr eine Belastung der Sektion OI mit ca. 45 Stellenprozenten. Die Arbeiten verteilen sich auf verschiedene Wissensträger in der Sektion OI. Die höchste Belastung wird voraussichtlich beim Leiter der Sektion OI anfallen. Da viele Aufgaben von bestehenden Mitarbeiterinnen und Mitarbeitern (Wissensträger) der Sektion OI wahrgenommen werden, müssen einfachere Arbeiten an temporäre Mitarbeiter/-innen ausgelagert werden.

15 15 Dies verursacht Kosten in der Höhe von Fr. 60'000.- für die Umsetzung der Massnahmen. Für die zusätzlichen laufenden Aufgaben (regelmässige Kontrolle der Zugriffsberechtigungen in den verschiedensten Applikationen, Dokumentation aller Änderungen der Zugriffsberechtigungen, Durchsetzen der Massnahmen, vermehrte Instruktionen der EDV- User, automatische Aufzeichnungen analysieren, ) in der Sektion OI ist mit einem Aufwand in der Höhe von ca. 20 Stellenprozenten zu rechnen (ab 2010). Der effektive Aufwand ist heute noch schwierig abzuschätzen. Es ist mit wiederkehrenden Kosten in der Höhe von ca. 25' Franken zu rechnen. Die zusätzlichen Aufgaben erfordern ein fundiertes EDV- Wissen der Applikationen und der Berechtigungssteuerungen. Die 20 Stellenprozente sind im gleichen Gehaltsband 7, wie die anderen EDV-Mitarbeiterin und Mitarbeiter der Sektion OI einzureihen Externer Aufwand Der externe Aufwand liegt bei 59 Personentagen. Der grössere Anteil wird bei der Firma Swiss Infosec AG liegen, die ein profundes Wissen in diesem Bereich hat. Der kleinere Anteil wird von den bestehenden Software-Lieferanten, wie z.b. VEMAG AG, combyte AG und weiteren, erbracht werden müssen. Dies verursacht Kosten in der Höhe von Fr. 118'000.- (59 x 8 Stunden x Fr ). Als Basis wurde der Stundenansatz der Swiss Infosec AG verwendet Bauliche Anpassungen Bei der Begehung und beim Audit der EDV-Räume (Rechenzentrum, Netzwerkverteiler, Räume mit LWL-Leitern) werden die notwendigen Massnahmen ermittelt und damit die Kosten für die Umsetzung. Konkret geht es um die nachfolgenden Räume: Rechenzentrum Rathaus Einführung der LWL-Verbindungen (Lichtwellenleiter) von / zu den Aussenstationen ins Rathaus Backup-Raum (Datensicherung) im KuK Server-Raum (2. Rechenzentrum) in der Hauptpost Netzwerkraum Hauptpost 4 Netzwerkräume im Rathaus 6 Netzwerkräume in den Schulhäusern (Bezirkschulhaus, Aareschulhaus, Oberstufenschulhaus, Heilpädagogische Schule, Tellischulhaus, Gönhardschulhaus) Netzwerkräume in den Aussenstandorten: Gemeindehaus Rohr, Friedhof, Zollhaus, Reg. Zivilstandsamt, Golatti / Halde 64, Bibliothek, Schlössli, KuK, Jugendhaus, Forstwerkhof, Herosé, Feuerwehr, Werkhof, Schulsekretariat Als mögliche Massnahmen sind denkbar: Verbesserung des Schliess-Systems, automatische Feuerlöschung, feuersichere Abschottungen, Überwachungen (Temperatur, Wasser, Video, ). In einer ersten Annäherung wird von Fr. 50'000.- ausgegangen.

16 Hard- / Software-Beschaffungen Vorerst wird davon ausgegangen, dass keine oder nur kleinere Beschaffungen notwendig sind, die mit dem Globalbudget abgedeckt werden können. 4.3 Finanzierung Die Zusatzkosten in der Höhe von ca. 230'000 Franken können von der Sektion OI resp. der Sektion Liegenschaften (bauliche Massnahmen) nicht mit dem Globalbudget abgedeckt werden. Es ist zu beachten, dass mit diesen Massnahmen noch nicht alle Vorgaben aus dem IDAG abgedeckt sind. Die anderen haben eine längere Übergangsregelung. Der Stadtrat stellt dem Einwohnerrat wie folgt Antrag: Der Einwohnerrat möge einen Verpflichtungskredit von 230'000 Franken für die Umsetzung von Massnahmen im Bereich der Informations- und IT-Security und für die zusätzlichen EDV-Aufgaben 20 Stellenprozente bei der Sektion OI, PG 04, bewilligen. Mit freundlichen Grüssen IM NAMEN DES STADTRATES Der Stadtammann Dr. Marcel Guignard Der Vize-Stadtschreiber Stefan Berner Verzeichnis der aufliegenden Akten: PA Nr. 226 vom IDAG vom VIDAG vom Leitfaden IDAG / VIDAG Übersicht über die Aufgaben der Gemeinden gemäss Gesetz IDAG vom Diverse Projektunterlagen

Online IT Check Frech Michael 15.09.2011

Online IT Check Frech Michael 15.09.2011 Online IT Check Frech Michael 5.9. Hinweise zur Nutzung! Es handelt sich hier um einen Selbsttest, der die Bereiche Basissicherheit, organisatorische Sicherheit und Rechtssicherheit betrachtet. Bei jeder

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Anleitung A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Inhalt 1 Einleitung... 2 2 Zweck der Informationssicherheitsorganisation...

Mehr

BCM Schnellcheck. Referent Jürgen Vischer

BCM Schnellcheck. Referent Jürgen Vischer BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet Moderne EDV im kleinen und mittelständischen Unternehmen EDV Sicherheit im Zeitalter des Internet Vortrag von Alexander Kluge-Wolf Themen AKWnetz, IT Consulting & Services Mir kann ja nichts passieren

Mehr

Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich

Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Seit Microsoft Exchange Server 2010 bieten sich für Unternehmen gleich zwei mögliche Szenarien an, um eine rechtskonforme Archivierung

Mehr

Was Kommunen beim Datenschutz beachten müssen

Was Kommunen beim Datenschutz beachten müssen Wiesbaden DiKOM am 08.05.2012 Was Kommunen beim Datenschutz beachten müssen Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Seit 1970 Oberste Landesbehörde Dem Hessischen Landtag zugeordnet Aufsichtsbehörde

Mehr

Bestimmungen zur Kontrolle externer Lieferanten. BCM (Business Continuity Management)

Bestimmungen zur Kontrolle externer Lieferanten. BCM (Business Continuity Management) Bestimmungen zur Kontrolle externer Lieferanten BCM (Business Continuity Management) BCM- Bestimmungen Beschreibung BCM-Tiers Recovery Time Objective Über die Bedeutung 1. Business- Continuity- Management-

Mehr

Dunkel Mail Security

Dunkel Mail Security Dunkel Mail Security email-sicherheit auf die stressfreie Art Unser Service verhindert wie ein externer Schutzschild, dass Spam, Viren und andere Bedrohungen mit der email in Ihr Unternehmen gelangen und

Mehr

Anleitung zur Entfernung von Schadsoftware

Anleitung zur Entfernung von Schadsoftware Eidgenössisches Finanzdepartement EFD Informatiksteuerungsorgan Bund ISB Melde- und Analysestelle Informationssicherung MELANI GovCERT.ch Anleitung zur Entfernung von Schadsoftware MELANI / GovCERT.ch

Mehr

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 53227 Bonn Copyright Scopevisio AG. All rights reserved. Seite 1 von 11 Copyright Scopevisio AG. All rights reserved. Seite 2 von 11 Inhalt

Mehr

Informations- / IT-Sicherheit - Warum eigentlich?

Informations- / IT-Sicherheit - Warum eigentlich? Informations- / IT-Sicherheit - Warum eigentlich? Hagen, 20.10.2015 Uwe Franz Account Manager procilon IT-Solutions GmbH Niederlassung Nord-West Londoner Bogen 4 44269 Dortmund Mobil: +49 173 6893 297

Mehr

Was muss ich noch für meine Zertifizierung tun, wenn meine Organisation. organisiert

Was muss ich noch für meine Zertifizierung tun, wenn meine Organisation. organisiert ? organisiert Was muss ich noch für meine Zertifizierung tun, wenn meine Organisation ist? Sie müssen ein QM-System: aufbauen, dokumentieren, verwirklichen, aufrechterhalten und dessen Wirksamkeit ständig

Mehr

BSI-Grundschutzhandbuch

BSI-Grundschutzhandbuch IT-Sicherheit trotz Dipl.-Math. Jürgen Jakob Inhalt des Vortrags IT-Sicherheit trotz 1. These: IT-Sicherheit trotz 2. Beispiel AVG Sicherheitssystem 3. So erstellt man eine Policy 4. Sie wissen schon alles,

Mehr

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI)

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Hinweise zur Vorabkontrolle nach dem Berliner Datenschutzgesetz (BlnDSG) Das am 30.7.2001 novellierte Berliner Datenschutzgesetz

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

Amtliches Mitteilungsblatt

Amtliches Mitteilungsblatt Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................

Mehr

Willkommen zum Livehacking

Willkommen zum Livehacking Willkommen zum Livehacking bei der Deutschen Bank Berlin mit Unterstützung des BVMW 23.10.2012 Da nachgefragt wurde: Ja! Antago steht Ihnen gerne mit Rat und Tat rund um Ihre Informationssicherheit zur

Mehr

Konzept für eine Highperformance- und Hochverfügbarkeitslösung für. einen Anbieter von Krankenhaus Abrechnungen

Konzept für eine Highperformance- und Hochverfügbarkeitslösung für. einen Anbieter von Krankenhaus Abrechnungen Konzept für eine Highperformance- und Hochverfügbarkeitslösung für Anforderungen : einen Anbieter von Krankenhaus Abrechnungen Es soll eine Cluster Lösung umgesetzt werden, welche folgende Kriterien erfüllt:

Mehr

Internetkriminalität

Internetkriminalität Informatikstrategieorgan Bund ISB Nachrichtendienst des Bundes NDB Internetkriminalität Aktuelle und zukünftige (mögliche) Bedrohungen Pascal Lamia, Leiter MELANI Bedrohungen Immer grössere Bedeutung der

Mehr

Reglement über den Betrieb und die Sicherheit srs 183.1 der städtischen Informatik vom 2. Juli 2013 1. I. Allgemeine Bestimmungen

Reglement über den Betrieb und die Sicherheit srs 183.1 der städtischen Informatik vom 2. Juli 2013 1. I. Allgemeine Bestimmungen Reglement über den Betrieb und die Sicherheit srs 183.1 der städtischen Informatik vom 2. Juli 2013 1 Der Stadtrat erlässt als Reglement: I. Allgemeine Bestimmungen Zweck Art. 1 Das vorliegende Reglement

Mehr

Weisungen des Bundesrates über die IKT-Sicherheit in der Bundesverwaltung

Weisungen des Bundesrates über die IKT-Sicherheit in der Bundesverwaltung Weisungen des Bundesrates über die IKT-Sicherheit in der Bundesverwaltung vom 14. August 2013 Der Schweizerische Bundesrat erlässt folgende Weisungen: 1 Allgemeine Bestimmungen 1.1 Gegenstand Diese Weisungen

Mehr

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security Zertifikatsprogramm der Österreichischen Computer Gesellschaft OCG IT-Security Syllabus Version 1.0 OCG Österreichische Computer Gesellschaft Wollzeile 1-3 A 1010 Wien Tel: +43 (0)1 512 02 35-50 Fax: +43

Mehr

Sicherheitsaspekte der kommunalen Arbeit

Sicherheitsaspekte der kommunalen Arbeit Sicherheitsaspekte der kommunalen Arbeit Was ist machbar, finanzierbar, umzusetzen und unbedingt notwendig? Sicherheit in der Gemeinde Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen,

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT STEINBUCH CENTRE FOR COMPUTING - SCC KIT University of the State of Baden-Wuerttemberg and National Research

Mehr

Strukturierte Informationssicherheit

Strukturierte Informationssicherheit Strukturierte Informationssicherheit Was muss getan werden ein kurzer Überblick. Donnerstag, 16.Juli 2009 Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de

Mehr

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG) Unternehmen: Branche: Ansprechpartner: Position: Straße: PLZ / Ort: Tel.: Mail: Website: Kontaktdaten Datenschutzbeauftragter: Fax: Sicherheitspolitik des Unternehmens JA NEIN 01. Besteht eine verbindliche

Mehr

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. AT 9 der MaRisk Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 1 Outsourcing nach AT 9 der MaRisk

Mehr

Hypes und Alltägliches beherrschen: funktionierende Prozesse für den Datenschutz im Mittelstand oder im Konzern

Hypes und Alltägliches beherrschen: funktionierende Prozesse für den Datenschutz im Mittelstand oder im Konzern Hypes und Alltägliches beherrschen: funktionierende Prozesse für den Datenschutz im Mittelstand oder im Konzern Natascha Düren Forum Rot, it-sa 2013 Nürnberg, 10.10.2013 Besuchen Sie uns! it-sa 2013, Halle

Mehr

Projekt IT-Sicherheitskonzept.DVDV

Projekt IT-Sicherheitskonzept.DVDV Projekt IT-Sicherheitskonzept.DVDV Dokumentation.Sicherheitsrichtlinie.Server DVDV Dienstleister Bundesverwaltungsamt BIT 3 Barbarastr. 1 50735 Köln 10. Mai 2006 Dokumentinformationen Projekt IT-Sicherheitskonzept.DVDV

Mehr

EINFACH SICHER KOMPETENT. Die Genossenschaft Der unternehmerischen Kompetenzen

EINFACH SICHER KOMPETENT. Die Genossenschaft Der unternehmerischen Kompetenzen EINFACH SICHER KOMPETENT EINFACH SICHER Das Jetzt die Technik das Morgen In der heutigen Zeit des Fortschritts und Globalisierung, ist es für jedes Unternehmen unbedingt erforderlich, dass es effektiv

Mehr

Bericht und Antrag an den Einwohnerrat

Bericht und Antrag an den Einwohnerrat STADT AARAU Stadtrat Rathausgasse 1 5000 Aarau Tel. 062 836 05 13/10 Fax 062 836 06 30 e-mail: kanzlei@aarau.ch Aarau, 6. März 2000 GV 1998-2001 / 193 Bericht und Antrag an den Einwohnerrat WOSA: Einführung

Mehr

Muster-Bearbeitungsreglement (öffentlich) für die Krankenversicherer des RVK

Muster-Bearbeitungsreglement (öffentlich) für die Krankenversicherer des RVK Muster-Bearbeitungsreglement (öffentlich) für die Krankenversicherer des RVK 1. BESCHREIBUNG DES UNTERNEHMENS Die sodalis gesundheitsgruppe ist eine Krankenversicherung gemäss KVG. Ausserdem werden diverse

Mehr

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern IT-Riskmanagement Strategie und Umsetzung Armin Furter TKH Informationmangement Bern Inhalte Einführung Allgemeines Risikomangement IT-Risikomanagement Mögliche Methoden Begriffe Bedrohung Schaden Schadensausmass

Mehr

Vorwort Organisationsrichtlinie IT-Sicherheit

Vorwort Organisationsrichtlinie IT-Sicherheit Vorwort Organisationsrichtlinie IT-Sicherheit Diese Richtlinie regelt die besonderen Sicherheitsbedürfnisse und -anforderungen des Unternehmens sowie die Umsetzung beim Betrieb von IT-gestützten Verfahren

Mehr

Sicherheit - Dokumentation. Erstellt von James Schüpbach

Sicherheit - Dokumentation. Erstellt von James Schüpbach - Dokumentation Erstellt von Inhaltsverzeichnis 1Einleitung...3 1.1Definition der Sicherheit...3 1.2Mindmap Sicherheit...3 2Datenschutz in der Schweiz...3 2.1Zulässiger Umgang mit Personendaten...3 3Sicherheitskonzept...4

Mehr

Betriebskonzept E-Mail Einrichtung

Betriebskonzept E-Mail Einrichtung Betriebskonzept E-Mail Einrichtung www.bolken.ch Klassifizierung öffentlich - wird an die E-Mail Benutzer abgegeben Versionenkontrolle Version Status Verantwortlich Datum 4.0 Genehmigt Gemeinderat 25.03.2015

Mehr

Netz16 GmbH Managed Service / Cloud Solutions. www.netz16.de Netz16 GmbH Firmenpräsentation / Stand 2014 S. 1

Netz16 GmbH Managed Service / Cloud Solutions. www.netz16.de Netz16 GmbH Firmenpräsentation / Stand 2014 S. 1 Netz16 GmbH Managed Service / Cloud Solutions www.netz16.de Netz16 GmbH Firmenpräsentation / Stand 2014 S. 1 Vorstellung Netz16 Eckdaten unseres Unternehmens Personal 80 60 40 20 0 2010 2011 2012 2013

Mehr

Die Phase 1 wurde mit dem Entscheid der beiden Exekutiven Brugg und Umiken, den Zusammenschluss zu prüfen, im Dezember 2005 abgeschlossen.

Die Phase 1 wurde mit dem Entscheid der beiden Exekutiven Brugg und Umiken, den Zusammenschluss zu prüfen, im Dezember 2005 abgeschlossen. EINWOHNERRAT BRUGG B e r i c h t und A n t r a g des Stadtrates an den Einwohnerrat betreffend Kredit für die Fusionsvorbereitungen für den Zusammenschluss der Einwohnergemeinden Brugg und Umiken 1. Ausgangslage

Mehr

Disaster Recovery Planung bei der NÖ Landesverwaltung

Disaster Recovery Planung bei der NÖ Landesverwaltung Disaster Recovery Planung bei der NÖ Landesverwaltung Alexander Miserka Abt. Landesamtsdirektion/Informationstechnologie Planung und Integration alexander.miserka@noel.gv.at 02742/9005/14781 Folie 1 ,

Mehr

FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH

FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH Hosting, Application Management und Geschäftsprozess-Outsourcing Datenschutzbeauftragter: Jens Wiesner Seite 1 1.1 Hosting 1.1.1 Räumliche Voraussetzungen

Mehr

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang IT Security Audit Beschreibung Die Informatik ist immer stärker verantwortlich für das Erstellen und die Abwicklung von geschäftskritischen Abläufen und wird dadurch zum unmittelbaren Erfolgsfaktor eines

Mehr

V N E T H A N D B U C H D A T E N S I C H E R S T E L L U N G

V N E T H A N D B U C H D A T E N S I C H E R S T E L L U N G Seite 1 Die Umfrage zur Informatiksicherheit in der Amtlichen Vermessung im Kanton Aargau vom 6. Dezember 2001 hat ergeben, dass die Datensicherstellugen gemäss den Vorgaben der SN 612010 ausgeführt werden.

Mehr

Paul Petzold Firmengründer, Verwaltungsratspräsident und Delegierter der Mirus Software AG

Paul Petzold Firmengründer, Verwaltungsratspräsident und Delegierter der Mirus Software AG Cloud Lösung in der Hotellerie Die Mirus Software als Beispiel Paul Petzold Firmengründer, Verwaltungsratspräsident und Delegierter der Mirus Software AG Folie 1 SaaS (Software as a Service) in der Cloud

Mehr

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Erstprüfung und Folgeprüfung Seite 1 von 12 1 Gesetzliche Grundlagen zu technisch organisatorischen Maßnahmen 1.1 9

Mehr

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen Marc Schober Bundesamt für Sicherheit in der Informationstechnik Referat 112 Kritische Infrastrukturen und IT-Sicherheitsrevision Bundesamt

Mehr

Bundesministerium für Gesundheit und Soziale Sicherung. Gefördert vom. Datenschutz und Datensicherheit. Aufgaben

Bundesministerium für Gesundheit und Soziale Sicherung. Gefördert vom. Datenschutz und Datensicherheit. Aufgaben Gefördert vom Bundesministerium für Gesundheit und Soziale Sicherung Datenschutz und Datensicherheit Inhaltsverzeichnis Vorwort... 4 1 zu Kapitel 1... 5 1.1 Aufgabe 1 Gefährdung von Daten...5 1.2 Aufgabe

Mehr

Praktischer Datenschutz

Praktischer Datenschutz Praktischer Datenschutz Heiko Behrendt Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel ULD72@datenschutzzentrum.de Praktischer Datenschutz 1 Themen 1. Behördlicher und betrieblicher

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Astaro Mail Archiving Service Version 1.0

Astaro Mail Archiving Service Version 1.0 Astaro Mail Archiving Service Version 1.0 Verfahrensdokumentation Inhaltsverzeichnis 1. Einleitung... 2 2. Übersicht... 2 2.1 Production-Cloud... 3 2.2 Backup-Cloud... 3 2.3 Control-Cloud... 3 2.4 Zugangsschutz...

Mehr

Aktuelle Bedrohungen im Internet

Aktuelle Bedrohungen im Internet Aktuelle Bedrohungen im Internet Max Klaus, MELANI Bedrohungen von Webanwendungen Reto Inversini, BIT Botnetze webreaders.de/wp-content/uploads/2008/01/botnetz.jpg ISB / NDB Melde- und Analysestelle Informationssicherung

Mehr

IT-Service Unsere Leistungen im Überblick

IT-Service Unsere Leistungen im Überblick IT-Service Unsere Leistungen im Überblick Bei uns arbeiten keine Fachleute sondern nur Experten. Täglich stellen wir fest, dass sich Menschen mit schlecht funktionierenden IT-Systemen abfinden und der

Mehr

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern Windows XP in fünf Schritten absichern Inhalt: 1. Firewall Aktivierung 2. Anwendung eines Anti-Virus Scanner 3. Aktivierung der automatischen Updates 4. Erstellen eines Backup 5. Setzen von sicheren Passwörtern

Mehr

Penetration Test Zielsetzung & Methodik

Penetration Test Zielsetzung & Methodik Zielsetzung & Methodik : Ausgangslage Hacker und Cracker haben vielfältige Möglichkeiten, über öffentliche Netze unbefugt auf die IT-Systeme eines Unternehmens zuzugreifen Sie können vertrauliche Informationen

Mehr

Account Information Security Programme - Allgemeine Informationen -

Account Information Security Programme - Allgemeine Informationen - Account Information Security Programme - Allgemeine Informationen - Neue Sicherheitsstandards für die Aufbewahrung und Weiterverarbeitung sensibler Karteninhaberdaten Kreditkartenzahlungen erfreuen sich

Mehr

Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken

Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken Informatiksteuerungsorgan des Bundes ISB Nachrichtendienst des Bundes NDB Melde- und Analysestelle Informationssicherung Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken Auswirkungen auf kritische

Mehr

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten Cloud Computing Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für 02.06.2015 1 Dozenten Katharina Wiatr Referentin für Beschäftigtendatenschutz (030) 13889 205; wiatr@datenschutz-berlin.de

Mehr

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Die Server von blau direkt werden in einem Nürnberger Rechenzentrum betrieben. Mit den beteiligten Dienstleistern wurden ordnungsgemäße

Mehr

Richtlinie für Verfahren für interne Datenschutz-Audits

Richtlinie für Verfahren für interne Datenschutz-Audits Richtlinie für Verfahren für interne Datenschutz-Audits Freigabedatum: Freigebender: Version: Referenz: Klassifikation: [Freigabedatum] Leitung 1.0 DSMS 01-01-R-05 Inhaltsverzeichnis 1 Ziel... 2 2 Anwendungsbereich...

Mehr

Testfragen PRINCE2 Foundation

Testfragen PRINCE2 Foundation Testfragen PRINCE2 Foundation Multiple Choice Prüfungsdauer: 20 Minuten Hinweise zur Prüfung 1. Sie sollten versuchen, alle 25 Fragen zu beantworten. 2. Zur Beantwortung der Fragen stehen Ihnen 20 Minuten

Mehr

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers Anlage zum Vertrag zur Auftragsdatenverarbeitung Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers im Rahmen der Auftragsdatenverarbeitung? Wir helfen: www.activemind.de

Mehr

Zusammenfassung des Berichts vom 15. Mai 2006 von RA Beat Badertscher an Frau Stadträtin Monika Stocker. Sperrfrist bis Montag, 22.

Zusammenfassung des Berichts vom 15. Mai 2006 von RA Beat Badertscher an Frau Stadträtin Monika Stocker. Sperrfrist bis Montag, 22. Time Out Platzierungen Zusammenfassung des Berichts vom 15. Mai 2006 von RA Beat Badertscher an Frau Stadträtin Monika Stocker Sperrfrist bis Montag, 22. Mai 2006 14 Uhr 2 1. Auftrag vom 7. April 2006

Mehr

Daten schützen und Daten sichern - wie geht das? (Teil 1) ***

Daten schützen und Daten sichern - wie geht das? (Teil 1) *** Daten schützen und Daten sichern - wie geht das? (Teil 1) *** Jürgen Thau Daten schützen und Daten sichern - wie geht das? (Teil 1) Jürgen Thau, 15.10.2006, Seite 1 Themen Welche Gefahren drohen meinen

Mehr

Taxifahrende Notebooks und andere Normalitäten. Frederik Humpert

Taxifahrende Notebooks und andere Normalitäten. Frederik Humpert Taxifahrende Notebooks und andere Normalitäten Frederik Humpert Ein paar Zahlen Von September 2004 bis Februar 2005 wurden weltweit 11.300 Laptops 31.400 Handhelds 200.000 Mobiltelefone in Taxis vergessen

Mehr

Preise und Details zum Angebot

Preise und Details zum Angebot Die SAP Business One Cloud Plattform auf SQL und HANA Preise und Details zum Angebot Januar 2016 Cloudiax Preisliste Detaillierte Informationen zum Angebot finden Sie auf den nachfolgenden Seiten. Preis

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

IT Services Support. Notebookkonzept für Studierende 2016/2017

IT Services Support. Notebookkonzept für Studierende 2016/2017 IT Services Support Werftestrasse 4, Postfach 2969, CH-6002 Luzern T +41 41 228 21 21 hslu.ch/helpdesk, informatikhotline@hslu.ch Luzern, 17. März 2016 Seite 1/5 Kurzbeschrieb: Dieses Dokument beschreibt

Mehr

Jump Project. Softwarelösungen für professionelles Projektmanagement

Jump Project. Softwarelösungen für professionelles Projektmanagement Jump Project Softwarelösungen für professionelles Projektmanagement Jump Project Office Übersichtliche Dokumentenstruktur und schneller Zugriff auf alle wichtigen Funktionen. Steuern Sie Ihre Projekte

Mehr

MITsec. - Gelebte IT-Sicherheit in KMU - TÜV Thüringen Mit Sicherheit in guten Händen! IT - Sicherheitsforum Erfurt 2015 23.09.

MITsec. - Gelebte IT-Sicherheit in KMU - TÜV Thüringen Mit Sicherheit in guten Händen! IT - Sicherheitsforum Erfurt 2015 23.09. MITsec - Gelebte IT-Sicherheit in KMU - IT - Sicherheitsforum Erfurt 2015 23.09.2015 TÜV Thüringen Informationssicherheit Informationen sind das schützenswerte Gut ihres Unternehmens Definition: Eine Information

Mehr

WINDOWS 7. Druckerkonfiguration - Systemsteuerung - Sicherheit

WINDOWS 7. Druckerkonfiguration - Systemsteuerung - Sicherheit WINDOWS 7 Druckerkonfiguration - Systemsteuerung - Sicherheit Druckerverwaltung ab Seite 91 = Standarddrucker Druckaufträge verwalten ab Seite 96 Systemsteuerung ab Seite 97 System Information über das

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

IT-Sicherheit im Betrieb Das Angebot der IT-Sicherheitsbotschafter. 19. Mai 2014 Handwerkskammer OWL zu Bielefeld

IT-Sicherheit im Betrieb Das Angebot der IT-Sicherheitsbotschafter. 19. Mai 2014 Handwerkskammer OWL zu Bielefeld IT-Sicherheit im Betrieb Das Angebot der IT-Sicherheitsbotschafter 19. Mai 2014 Handwerkskammer OWL zu Bielefeld Begriffsklärungen zur IT-Sicherheit Informationssicherheit -> Schutzziele für Daten hinsichtlich

Mehr

IT Services Support. Allgemeines Benutzungsreglement für Informatikmittel

IT Services Support. Allgemeines Benutzungsreglement für Informatikmittel IT Services Support Werftestrasse 4, Postfach 2969, CH-6002 Luzern T +41 41 228 21 21 hslu.ch/helpdesk, informatikhotline@hslu.ch Luzern, 2. Juni 2014 Seite 1/5 Kurzbeschrieb: Hinweis für PHLU-Kunden:

Mehr

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich ISO 27001 im Kundendialog Informationssicherheit intern und extern organisieren Juni 2014 Was steckt hinter der ISO/IEC 27001:2005? Die internationale Norm ISO/IEC 27001:2005 beschreibt ein Modell für

Mehr

Preise und Details zum Angebot

Preise und Details zum Angebot Die SAP Business One Cloudplattform auf SQL und HANA Preise und Details zum Angebot Dezember 2015 v2 www.cloudiax.de Cloudiax Preisliste Detaillierte Informationen zum Angebot finden Sie auf den nachfolgenden

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

Lifecycle der IT-Sicherheit Sichern Sie die Existenz Ihres Unternehmens

Lifecycle der IT-Sicherheit Sichern Sie die Existenz Ihres Unternehmens Lifecycle der IT-Sicherheit Sichern Sie die Existenz Ihres Unternehmens Thomas D. Schmidt Consulting IT-Security Enterprise Computing Networking & Security ADA Das SystemHaus GmbH Region West Dohrweg 59

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement und der IT-Sicherheit Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement 7.1 Risikoportfolio Vertraulichkeit Aufgabe: Gegeben seien folgende Werte einer Sicherheitsanalyse eines IT-Systems hinsichtlich

Mehr

IT-Grundschutzhandbuch: Stand Juli 1999 1

IT-Grundschutzhandbuch: Stand Juli 1999 1 1. Information Security Policy 1.1. Einleitung Die Firma/Behörde ist von Informationen abhängig. Informationen entscheiden über unseren Erfolg und den unserer Kunden. Von größter Wichtigkeit ist neben

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Datensicherheit und Backup

Datensicherheit und Backup Beratung Entwicklung Administration Hosting Datensicherheit und Backup Dipl.-Inform. Dominik Vallendor & Dipl.-Inform. Carl Thomas Witzenrath 25.05.2010 Tralios IT Dipl.-Inform. Dominik Vallendor und Dipl.-Inform.

Mehr

Penetrationtests: Praxisnahe IT-Sicherheit

Penetrationtests: Praxisnahe IT-Sicherheit Ihr Netzwerk aus der Angreiferperspektive jens.liebchen@redteam-pentesting.de http://www.redteam-pentesting.de 21. März 2007 Technologieforum Telekommunikation IHK Aachen Februar 2007: Agenda Verfassungsschutz:

Mehr

Penetrationstest Intern Leistungsbeschreibung

Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Referat: Jan Pape Mai 2003 Internetsicherheit mit Norton Internet Security

Referat: Jan Pape Mai 2003 Internetsicherheit mit Norton Internet Security Referat: Jan Pape Mai 2003 Internetsicherheit mit Norton Internet Security 1. Einführung Im folgenden wird die Handhabung des Programmes Norton Internet Security erklärt. NIS ist ein umfassendes Programm,

Mehr

ShadowProtect 4 Backup Fast, Recover Faster

ShadowProtect 4 Backup Fast, Recover Faster ShadowProtect 4 Backup Fast, Recover Faster Schnelles und zuverlässiges Disaster Recovery, Datenschutz, System Migration und einfachere Verwaltung von Microsoft Systemen Üebersicht Nutzen / Vorteile Wie

Mehr

Umsetzung des Datenschutzes mit Hilfe einer GRC Software. Simon Bislin Corporate Risk Manager / Betrieblicher Datenschutzbeauftragter

Umsetzung des Datenschutzes mit Hilfe einer GRC Software. Simon Bislin Corporate Risk Manager / Betrieblicher Datenschutzbeauftragter Umsetzung des Datenschutzes mit Hilfe einer GRC Software Simon Bislin Corporate Risk Manager / Betrieblicher Datenschutzbeauftragter Agenda Ivoclar Vivadent AG Zahlen und Fakten Corporate Governance Programm

Mehr

4 Planung von Anwendungsund

4 Planung von Anwendungsund Einführung 4 Planung von Anwendungsund Datenbereitstellung Prüfungsanforderungen von Microsoft: Planning Application and Data Provisioning o Provision applications o Provision data Lernziele: Anwendungen

Mehr

Präventive Planung - Ereignisbewältigung und Rückführung. Brandschutz/ Inspektionsstelle. Arbeitssicherheit/ Security. Umweltsicherheit/ Naturgefahren

Präventive Planung - Ereignisbewältigung und Rückführung. Brandschutz/ Inspektionsstelle. Arbeitssicherheit/ Security. Umweltsicherheit/ Naturgefahren Präventive Planung - Ereignisbewältigung und Rückführung Blanche Schlegel, Swissi AG 11. September 2014 Workshop "Integriertes Risikomanagement in der Prozessindustrie" 11.09.2014 Swissi AG 2 Fachbereiche

Mehr

Kurzpräsentation zum Thema Vulnerability Scanning. by WellComm AG, Lengnau Seite 1

Kurzpräsentation zum Thema Vulnerability Scanning. by WellComm AG, Lengnau Seite 1 Kurzpräsentation zum Thema Vulnerability Scanning by WellComm AG, Lengnau Seite 1 Januar 2005 IT Risk Management Prozess Prozessschritt 1. Informationsbeschaffung 2. Analyse 3. Umsetzung 4. Kontrolle Modul

Mehr

IT Service Management

IT Service Management IT Service IT Service : Seminarvortrag von Annegret Schnell im Rahmen der Lehrveranstaltung Netzmanagement SS 2003, Prof. Dr. Leischner, FH-Bonn-Rhein-Sieg Annegret Schnell Seminar Netzmanagement 1 Vortrag

Mehr