UMGANG MIT SICHERHEITSRISIKEN
|
|
- Markus Fromm
- vor 6 Jahren
- Abrufe
Transkript
1 UMGANG MIT SICHERHEITSRISIKEN BEIM BETRIEB KRITISCHER INFRASTRUKTUREN Dr. Dominik Herrmann Universität Siegen & Universität Hamburg Folien:
2 Inzwischen gibt es zahlreiche gut dokumentierte Sicherheitsvorfälle bei kritischen Infrastrukturen
3 Kritische Infrastrukturen gibtes in vielenbranchen. KPMG (2016): IT-Sicherheit gesetzeskonform? Die Umsetzung des IT-Sicherheitsgesetzes in Kritischen Infrastrukturen 3
4 Kritische Infrastrukturen gibtes in vielenbranchen. KPMG (2016): IT-Sicherheit gesetzeskonform? Die Umsetzung des IT-Sicherheitsgesetzes in Kritischen Infrastrukturen 4
5 Autonome Fahrzeuge werden vielleicht bald zu einer kritischen Infrastruktur. Kritische Infrastrukturen IT-Sicherheitsgesetz (DE, 2015) Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeintra chtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Sto rungen der o ffentlichen Sicherheit oder andere dramatische Folgen eintreten wu rden. Kriterium: > Betroffene Transport/Verkehr: noch nicht geregelt Betreiber müssen Mindestsicherheitsstandards umsetzen und erhebliche IT-Vorfa lle melden. Bundesministerium des Innern: Nationale Strategie zum Schutz Kritischer Infrastrukturen 5
6 Aktuelle Sicherheitsvorfälle bei autonomen Fahrzeugen Tesla Jeep VW 6
7 Aktuelle Sicherheitsvorfälle bei autonomen Fahrzeugen Tesla Jeep VW 7
8 Aktuelle Sicherheitsvorfälle bei autonomen Fahrzeugen 8
9 Aktuelle Sicherheitsvorfälle bei herkömmlichen Fahrzeugen 9
10 Wie werden Sicherheitsrisiken in kritischen Infrastrukturen behandelt? Bundesministerium des Innern: Nationale Strategie zum Schutz Kritischer Infrastrukturen 10
11 Zur strukturierten Behandlung von Sicherheitsrisiken orientieren sich die meisten Standards am Risikomanagement-Kreislauf. Identifikation Überwachung Bewertung Steuerung 11
12 1. Identifikation von Bedrohungen: Welche Bedrohungen sind für das jeweilige Schutzobjekt relevant? Methoden & Werkzeuge Checklisten und Workshops Fehler- und Angriffsbäume Best Practices und Historische Daten Fahrzeugkamera stören Datenkabel trennen Stromzufuhr unterbrechen Software manipulieren mit Laserpointer blenden gezielte Manipulation Bedienfehler über CAN-Bus über das Mobilfunknetz 12
13 1. Identifikation von Bedrohungen: Welche Bedrohungen sind für das jeweilige Schutzobjekt relevant? Methoden & Werkzeuge Checklisten und Workshops Fehler- und Angriffsbäume Best Practices und Historische Daten Fahrzeugkamera stören Datenkabel trennen Stromzufuhr unterbrechen Software manipulieren mit Laserpointer blenden gezielte Manipulation Bedienfehler über CAN-Bus über das Mobilfunknetz 13
14 Die drei grundlegenden Schutzziele berücksichtigen die wesentlichen Risiken, die durch regelwidriges Verhalten entstehen. Vertraulichkeit Integrität Verfügbarkeit Schutz vor unbefugter Modifikation J. Anderson: Information Security in a Multi-User Computer Environment, Advances in Computers, V12, 1973, 1 35; Voydock & Kent: Security Mechanisms in High- Level Network Protocols, ACM Comp. Surveys 1983, ; NIST Computer Security Handbook (1995). 14
15 Die drei grundlegenden Schutzziele berücksichtigen die wesentlichen Risiken, die durch regelwidriges Verhalten entstehen. Vertraulichkeit Integrität Schutz vor unbefugter Modifikation Verfügbarkeit Schutz vor unbefugter Beeinträchtigung der Funktionalität J. Anderson: Information Security in a Multi-User Computer Environment, Advances in Computers, V12, 1973, 1 35; Voydock & Kent: Security Mechanisms in High- Level Network Protocols, ACM Comp. Surveys 1983, ; NIST Computer Security Handbook (1995). 15
16 Die drei grundlegenden Schutzziele berücksichtigen die wesentlichen Risiken, die durch regelwidriges Verhalten entstehen. Schutz vor unbefugtem Informationsgewinn Vertraulichkeit Integrität Schutz vor unbefugter Modifikation Verfügbarkeit Schutz vor unbefugter Beeinträchtigung der Funktionalität 16
17 Die meisten Bedrohungen gefährden die Safety, nur wenige die Security. SAFETY SECURITY Bundesministerium des Innern: Nationale Strategie zum Schutz Kritischer Infrastrukturen 17
18 Systematisierung von Bedrohungen Bedrohungen natürliche Ursache menschliche Ursache z.b. Feuer, Stromausfall gutartige Absicht böswillige Absicht menschl. Versagen zufällig gezielt z.b. Schadcode auf einer Webseite Social Engineering 18
19 Systematisierung möglicher Angreifer Außenstehende, Benutzer des Systems, Kommunikationspartner, Betreiber des Systems, Wartungsdienst Produzenten des Systems, Entwerfer des Systems, Produzenten der Entwurfs- und Produktionshilfsmittel, Entwerfer der Entwurfs- und Produktionshilfsmittel, Produzenten der Entwurfs- und Produktionshilfsmittel der Entwurfs- und Produktionshilfsmittel, Entwerfer der... 19
20 1. Identifikation von Bedrohungen: Welche Bedrohungen sind für das jeweilige Schutzobjekt relevant? Herausforderung: Vollständige Erfassung aller Bedrohungen STRIDE Threat Model (und weitere) Spoofing: Tampering: Repudiation: Information disclosure: Denial of service: Elevation of privilege: Fälschen der eigenen Identitaẗ Fälschen oder Verändern von Daten Anwenden von Verschleierungstaktiken Unbefugte Preisgabe vertraulicher Informationen Unbefugte Beeinträchtigung der Funktionalität Unbefugtes Erlangen von Berechtigungen 20
21 2. Bewertung von Risiken: Wie groß sind Eintrittswahrscheinlichkeit und Schadenshöhe eines Schadensereignisses? Herausforderung: fundierte Bewertung Bewertung seltener Risiken und Risiken mit extremen Schäden erfolgt oft irrational. Überschätzung bei geringer Vertrautheit, fehlender Erfahrung oder hohen Schäden (Terrorismus, Flugzeugabsturz) Unterschätzung bei großer Vertrautheit mit dem Schaden (Bluthochdruck, Rauchen, Unfälle im Straßenverkehr, UV-Strahlung) Schadenshöhe Schadenswahrscheinlichkeit low med high low med high Risiko 21
22 3. Steuerung der Risiken: Welche Risiken sollen wie behandelt werden? Gesamtrisiko Risikovermeidung Schutzmaßnahmen Risikoanalyse Schadensbegrenzung Sicherheitsarchitektur Überwälzung Katastrophenplan Versicherungen Restrisiko nach Schaumüller-Bichl (1992) 22
23 Mechanismen gängiger Schutzmaßnahmen verhindern prevent Firewalls, Kryptographie, abschrecken deter drohende Strafverfolgung PRÄVENTIV ablenken deflect Attraktivität anderer steigern abschwächen mitigate Schadenshöhe verringern erkennen detect währenddessen oder danach REAKTIV erholen recover Notfallplan, Krisenmanagement 23
24 Die Priorisierung von Sicherheitsmaßnahmen sollte die Kosten möglicher Angriffe berücksichtigen. 24
25 3. Steuerung der Risiken: Welche Risiken sollen wie behandelt werden? Gesamtrisiko Risikovermeidung Schutzmaßnahmen Risikoanalyse Schadensbegrenzung Sicherheitsarchitektur Überwälzung Katastrophenplan Versicherungen Restrisiko nach: Schaumüller-Bichl (1992) 25
26
27 4. Überwachung der Risiken und Maßnahmen: Waren die Maßnahmen effektiv und effizient? Methode: Kennzahlen, Scorecards jährliche Verlusterwartung Reduktionsfaktor durch Schutzmechanismus Return on Security Investment 0,5 4 1 Mio. Mio. 50% 50% Mio Mio. Herausforderungen die richtigen Kennzahlen verwenden Kennzahlen richtig ermitteln Kennzahlen aktuell halten 27
28 Detaillierte Regulierung autonomer Fahrzeuge ist notwendige Voraussetzung für gewünschtes (?) Datenschutz- und Sicherheitsniveau. aber nicht hinreichend! 28
29 Wunsch: Verpflichtung zum Einsatz von Mechanismen des sog. technischen Datenschutzes zur Berücksichtigung aller Interessen. Beispiel: System zur Erkennung von Innentätern 29
30 Erkennung von Anomalien in Log-Daten :06: pmeier User logged in :06: pmeier User mounted share \\server\buchhaltung :07: pmeier User copied bytes (8 files) :07: pmeier User logged out. Alert pmeier hat Urlaub! Alert ungewöhnliche IP-Adresse für pmeier! Alert große Datenmenge! Ziel: zuverlässige Erkennung von Innentätern, aber keine vollständige Überwachung aller Mitarbeiter. 30
31 Alternative 1: Verschlüsselung der Log-Daten :06: pmeier User logged in :06: pmeier User mounted share \\server\buchhaltung :07: pmeier User copied bytes (8 files) :07: pmeier User logged out. Anwendung eines geeigneten kryptographischen Verfahrens (z.b: RSA + AES) vpkmvvgargt4b93u42h+vtb7lystc/9qakzzkqdjgxtzbq legozip5jipib4l98x2gofpfuhmegcftjaddbx2axxhherqotqh8aytkoectqsot8ftm KpbuyaqIep95+7fBpQN6+fiHvo0/pdx1OSCEgYAM69HV6XySIzDXBI2iDwyxg Y7DQEZ+jzQ6IlwX7iNHd6k3evdkg0qHP+jX4TVY+2hhm0i Deterministische Verschlüsselung einzelner Felder :06: U42h User logged in :06: U42h User mounted share \\server\buchhaltung :07: U42h User copied bytes (8 files) :07: U42h User logged out. 31
32 Alternative 2: Pseudonymisierung Eva sieht: Peter meldet sich um 9:15 Uhr an. Pseudonym Identifier :06:11 08:06:40 08:07:10 08:07: pmeier pmeier pmeier pmeier User logged in. IP User mountedip2 share \\server\buchhaltung User copied bytes (8 files). User16 pmeier User logged out. User84 mrichter :06:11 08:06:40 08:07:10 08:07:23 IP1 IP1 IP1 IP1 User16 User16 User16 User16 User logged in. User mounted share \\server\buchhaltung. User copied bytes (8 files). User logged out :15:11 IP1 User16 User logged in :17:23 IP1 User16 User mounted share \\server\peters-home Herausforderung: Inferenzangriffe durch den Betreiber verhindern 32
33 Alternative 3: Verschleierung user staff Aug 17:14 results.xlsx user staff Jan 2016 rltutorial.pdf user staff Mai v2-1.pdf user staff Mär 2015 sensorik.pdf user staff Jul 20:17 shmat_www15ar.pdf user staff Jul 12:09 sorted-graphs.txt user staff Jul 12:10 datensatz.pdf user staff Aug 13:47 worksheets2015.zip Summe ist oft charakteristisch Mittwoch 08:06:11 06:00:00 IP1 User16 User logged in :06:40 IP1 User16 User mounted share \\server\buchhaltung :07:10 IP1 User16 User copied ca bytes (8 files) :07:23 IP1 User16 User logged out. Aber ganz so einfach ist es nicht: Wenn Administratorin Eva weiß, dass sich Peter am Montag um 6 Uhr, am Dienstag um 12 Uhr, aber am Mittwoch überhaupt nicht angemeldet hat, kann sie inferieren, welches Pseudonym zu Peter gehört. 33
34 UMGANG MIT SICHERHEITSRISIKEN BEIM BETRIEB KRITISCHER INFRASTRUKTUREN Verletzlichkeitsparadoxon: In dem Maße, in dem ein Land in seinen Versorgungsleistungen weniger sto ranfa llig ist, wirkt sich jede Sto rung umso sta rker aus. Dr. Dominik Herrmann Folien:
Cyberspionage, Cyberwarfare und Cyberabwehr
Cyberspionage, Cyberwarfare und Cyberabwehr Mit Sicherheit mehr Sicherheit? Perspektiven der Sicherheitspolitik fu r die Welt in 2035 Dr. Dominik Herrmann Universität Siegen Folien: https://dhgo.to/cyber2035
MehrTechnische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg
Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik
MehrGrundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 5. Übungsblattes Bedrohungen der IT-Sicherheit
und der IT-Sicherheit Lösungen des 5. Übungsblattes Bedrohungen der IT-Sicherheit 5.1 Beispiele für Bedrohungen der IT-Sicherheit (1) Bedrohungen der Verfügbarkeit: Höhere Gewalt (z.b. Unwetter) kann zum
MehrIT-Sicherheitsgesetz: Haben Sie was zu melden?
https://klardenker.kpmg.de/it-sicherheitsgesetz-haben-sie-was-zu-melden/ IT-Sicherheitsgesetz: Haben Sie was zu melden? KEYFACTS - Sicherheit als Gütesiegel - Reputationsschäden werden unterschätzt - Cyberangriffe
MehrDas Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement
Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag
MehrSeminar: RFID. B3: Security- und Privacy-Aspekte bei RFID. Inhalt. Gottlieb Duttweiler Institut, Rüschlikon, 26. Januar 2005
Seminar: RFID B3: Security- und Privacy-Aspekte bei RFID ROMAN Consulting & Engineering AG Dr. I. ROMAN, CISSP info@roman.ch, www.roman.ch Gottlieb Duttweiler Institut, Rüschlikon, 26. Januar 2005 RFID-Seminar,
MehrSelbstdatenschutz - Tools und Technik
Selbstdatenschutz - Tools und Technik Prof. Dr. Hannes Federrath Sicherheit in verteilten Systemen (SVS) http://svs.informatik.uni-hamburg.de Sommerakademie des Unabhängigen Landeszentrums für Datenschutz
MehrIT-Sicherheit Kosten vs. Nutzen
IT-Sicherheit Kosten vs. Nutzen Prof. Dr. Hannes Federrath Sicherheit in Verteilten Systemen (SVS) http://svs.informatik.uni-hamburg.de 20. Berliner Anwenderforum E- Government, Berlin, 20. Februar 2014
MehrIT Security The state of the onion
IT Security The state of the onion Security-Herausforderungen in Industrie 4.0 und IoT 13.10.2016 Thomas Bleier t@b-sec.net +43 664 3400559 B-SEC better secure KG https://www.b-sec.net/ office@b-sec.net
MehrRolf von Rössing. Sicherheit aus der Sicht der Hersteller
Rolf von Rössing Sicherheit aus der Sicht der Hersteller 14. Sicherheitskonferenz Krems 20.10.2016 1 Übersicht Wachsende Fähigkeiten und Möglichkeiten Trade-Off mit Sicherheitsrisiken (Safety & Security)
MehrGrundlagen des Datenschutzes und der IT-Sicherheit (Teil 2c) Vorlesung im Sommersemester 2010 an der Universität Ulm von Bernhard C.
Vorlesung im Sommersemester 2010 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche
MehrDefinitionen Schwachstellen und Bedrohungen von IT-Systemen Sicherheitsmanagement Katastrophenmanagement Trends und Entwicklungen bei IT-Bedrohungen
10 IT-Sicherheit Definitionen Schwachstellen und Bedrohungen von IT-Systemen Sicherheitsmanagement Katastrophenmanagement Trends und Entwicklungen bei IT-Bedrohungen http://www.bsi.de 10-10 Definitionen
MehrSicherheit und Risikomanagement - Auswahl von Sicherheitsmechanismen: Sicherheit / Kosten / Risiko -
Sicherheit und Risikomanagement - Auswahl von Sicherheitsmechanismen: Sicherheit / Kosten / Risiko - U. Hübner (HIS GmbH) / M. Pattloch (DFN-Verein) huebner@his.de / pattloch@dfn.de DFN-Nutzergruppe Hochschulverwaltung
MehrBedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann
Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann Zur Person Frank Broekman IT-Security Auditor (TÜV) Geschäftsführer der dvs.net IT-Service
MehrDer IT-Security Dschungel im Krankenhaus. Ein möglicher Ausweg
Der IT-Security Dschungel im Krankenhaus Ein möglicher Ausweg Der IT-Security Dschungel im Krankenhaus Gliederung Einleitung, Motivation und Fragestellung Material, Methoden und Werkzeuge Beschreibung
MehrGrundlagen des Datenschutzes und der IT-Sicherheit
und der IT-Sicherheit Musterlösung zur 7. Übung im SoSe 2007: Risiko-Bewertung & -Behandlung 7.1 Risikotabelle Rg. Bedrohung Auftreten Schaden Risiko 1 Computer-Viren 9 6 54 2 Trojanische Pferde 4 6 24
MehrIT-Grundschutz nach BSI 100-1/-4
IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management
MehrDas IT-Sicherheitsgesetz Pflichten und aktueller Stand Rechtsanwalt Dr. Michael Neupert
Das IT-Sicherheitsgesetz Pflichten und aktueller Stand Rechtsanwalt Dr. Michael Neupert 6. Essener Gespräche zur Infrastruktur, 10. März 2016 Das IT-Sicherheitsgesetz Ergänzung BSI-Gesetz und mehrerer
MehrInterne Strukturen des DRK
Interne Strukturen des DRK Der DRK Planungsstab Risiko- und Krisenkommunikation Der DRK Planungsstab - Der Katastrophenschutzbeauftragte bildet einen Planungsstab zur Vorbereitung der Maßnahmen der Krisenbewältigung
MehrDas Vorsorgeprinzip in der öffentlichen Sicherheit
Das Vorsorgeprinzip in der öffentlichen Sicherheit... eine Betrachtung am Beispiel eines Stromausfalls Lutz Diwell Staatssekretär a.d. Rechtsanwalt Unternehmensberater 4. BfR StKonf 2.11. Diwell 1 Öffentliche
MehrKostenfaktor IT-Sicherheit
Kostenfaktor IT-Sicherheit Was muss/darf IT-Sicherheit kosten?... oder wie beziffert man Imageschäden? Prof. Dr. Hannes Federrath Sicherheit in verteilten Systemen (SVS) http://svs.informatik.uni-hamburg.de/
MehrDas neue it-sicherheitsgesetz - segen oder fluch? Jens Marschall Deutsche Telekom AG, Group Security Governance
Das neue it-sicherheitsgesetz - segen oder fluch? Jens Marschall Deutsche Telekom AG, Group Security Governance überblick die Themen 1. Eckdaten 2. Zielsetzungen 3. Kritische Sektoren 4. Pflichten für
MehrMessbare Sicherheit?
Messbare Sicherheit? 15.9.2009 1 Was heisst Sicherheit? [www.wikipedia.de] Sicherheit bezeichnet einen Zustand, der frei von unvertretbaren Risiken der Beeinträchtigung ist oder als gefahrenfrei angesehen
MehrSoftware-Qualität Ausgewählte Kapitel
Martin Glinz Software-Qualität Ausgewählte Kapitel Kapitel 9 Verlässlichkeit 2009-2010 Martin Glinz. Alle Rechte vorbehalten. Speicherung und Wiedergabe für den persönlichen, nicht kommerziellen Gebrauch
MehrITIL & IT-Sicherheit. Michael Storz CN8
ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung
MehrSicherheitsdomänen im Energieinformationsnetz
Sicherheitsdomänen im Energieinformationsnetz Claudia Eckert Fraunhofer AISEC und TU München Fachkonferenz Bürgernahe Sicherheitskommunikation für Städte & Gemeinden 13.6. 2012, Berlin C. Eckert, AISEC
MehrSecurity for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443
Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Roadshow INDUSTRIAL IT SECURITY Dr. Thomas Störtkuhl 18. Juni 2013 Folie 1 Agenda Einführung: Standard IEC 62443
MehrEinführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)
Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem
MehrGrundlagen des Datenschutzes und der IT-Sicherheit
und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2007: Einführung in die IT-Sicherheit 5.1 Beispiele für Bedrohungen der IT-Sicherheit (1) Bedrohungen der Verfügbarkeit: Höhere Gewalt (z.b. Unwetter)
MehrInhaltsverzeichnis. Abbildungsverzeichnis. Tabellenverzeichnis. Abkürzungsverzeichnis
Inhaltsübersicht Inhaltsübersicht Inhaltsverzeichnis Abbildungsverzeichnis Tabellenverzeichnis Abkürzungsverzeichnis IX XI XVII XIX XXI 1 Einleitung 1 1.1 Problemstellung 1 1.2 Zielsetzung und Forschungsfragen
MehrImmer noch nicht sicher? Neue Strategien und Lösungen!
Immer noch nicht sicher? Neue Strategien und Lösungen! Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de
MehrDigitale Wirtschaftsspionage, Sabotage und Datendiebstahl
Digitale Wirtschaftsspionage, Sabotage und Datendiebstahl Prof. Dieter Kempf, BITKOM-Präsident Berlin, 16. April 2015 Spionage, Sabotage, Datenklau trifft jedes zweite Unternehmen War Ihr Unternehmen innerhalb
MehrAuf dem Weg zu Industrie 4.0 - Safety, Security und Privacy in Produktionsnetzen
Software Factory www.sf.com - Safety, Security und Privacy in Produktionsnetzen Thomas Trägler, traegler@sf.com Software Factory - Geschäftsfelder CAD/CAM process automation with PTC Creo PLM process automation
MehrErste Hilfe für die IT - Incident Response
Erste Hilfe für die IT - Incident Response Franz Lantenhammer Oberstleutnant Dipl.-Ing., CISSP Leiter CERTBw Zentrum für Informationstechnik der Bundeswehr 2 Quelle: http://www.sicherheitstacho.eu/statistics
MehrCyber Security 4.0. Aktuelle Angriffs- Methoden & Gegenmaßnahmen
Cyber Security 4.0 Aktuelle Angriffs- Methoden & Gegenmaßnahmen Michael Hochenrieder Senior Information Security Consultant HvS-Consulting AG Einige prominente Fälle Restricted: for project use only 2
MehrDie erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT
Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT SK-Consulting Group GmbH Donnerstag, 29. September 2016 Vorstellung Alexander Jung Diplom-Jurist (Univ.) Senior Consultant Datenschutz
MehrSicherheitsprofil SaaS-CRM
Sicherheitsprofil SaaS-CRM Dr. Clemens Doubrava Referat B22 Informationssicherheit und Digitalisierung Jahreskongress Trusted Cloud 2014 Strategische Aspekte des Cloud Computing CC-BY 2.0, Eugene Regis
MehrBig Data, Open Data und Informationssicherheit
Vortrag Die Senatorin für Finanzen Big Data, Open Data und Informationssicherheit Regionaler Fachtag GIS und Geodaten Harald Krause/Thomas Rehbohm Big Data: Daten sind der neue Rohstoff, aus dem bisher
MehrLeitlinie für die Informationssicherheit
Informationssicherheit Flughafen Köln/Bonn GmbH Leitlinie für die Informationssicherheit ISMS Dokumentation Dokumentenname Kurzzeichen Leitlinie für die Informationssicherheit ISMS-1-1-D Revision 2.0 Autor
MehrSicherheit im IT Umfeld
Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen
MehrSchwachstellen der Unternehmens-IT aufdecken Planung und Durchführung von Penetrationstests
Schwachstellen der Unternehmens-IT aufdecken Planung und Durchführung von Penetrationstests Wie sicher ist Ihre IT wirklich? Nur der neutrale Blick und die fundierte Analyse geben Auskunft. 1. Einleitung
MehrWenn Gebäudetechnik perfekte Orte schafft das ist Ingenuity for life. Weder zu kalt noch zu warm. Immer sicher. Immer beschützt.
Wenn Gebäudetechnik perfekte Orte schafft das ist Ingenuity for life. Weder zu kalt noch zu warm. Immer sicher. Immer beschützt. Mit unserem Wissen und unserer Technologie, unseren Produkten, unseren Lösungen
MehrRisikomanagement - Prozessmodelle im Kontext von Verträgen Nutzen und Standards
- Prozessmodelle im Kontext von Verträgen Nutzen und Standards CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH Gauermanngasse, 00 Wien 5. September 05 Referentin: Claudia Gerlach Willkommen Seit 03/04 selbstständige
MehrRisikoanalyse. Projektrisiken... 5 Managementrisiken... 5 Umsetzungsrisiken... 5 Soziale Risiken... 5
Risikoanalyse Risiko-Analyse... 2 Risiko-Management... 2 Grafik Risiko-Analyse... 2 Risiko-Identifikation... 2 Risiko-Katalog... 2 Risikofelder... 2 Schadensausmass... 2 Eintrittswahrscheinlichkeit...
MehrSicherheitsaspekte der kommunalen Arbeit
Sicherheitsaspekte der kommunalen Arbeit Was ist machbar, finanzierbar, umzusetzen und unbedingt notwendig? Sicherheit in der Gemeinde Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen,
MehrCarsten Eilers / www.ceilers-it.de. Sicherheit von Anfang an
Carsten Eilers / www.ceilers-it.de Sicherheit von Anfang an Vorstellung Berater für IT-Sicherheit Web Security (Pentests, Beratung,...)... Autor PHP Magazin, Entwickler Magazin Blog: www.ceilers-news.de...
MehrUnerhört sicher! Schutz mobiler Business Apps bei maximaler Userfreiheit!
Unerhört sicher! Schutz mobiler Business Apps bei maximaler Userfreiheit! Stefan Gieseler Tel. 0234-610071-117 stefan.gieseler@sirrix.com Die Herausforderung Flexibilität und Sicherheit auf hohem Niveau
MehrTeleTrusT Bundesverband IT-Sicherheit e.v.
TeleTrusT Bundesverband IT-Sicherheit e.v. TeleTrusT-Workshop "Industrial Security" 2015 München, 11.06.2015 KMU-fokussierte Handlungsvorschläge zur Steigerung der IT-Sicherheit auf dem Weg zu Industrie
Mehr12 Systemsicherheitsanalyse
Bundesamt für Informationsmanagement und Informationstechnik der Bundeswehr 12 Systemsicherheitsanalyse V-Modell XT Anwendung im Projekt
MehrGrundlagen des Datenschutzes. Musterlösung zur 6. Übung im SoSe 2012: Risikomanagement
und der IT-Sicherheit Musterlösung zur 6. Übung im SoSe 2012: Risikomanagement 6.1 Fehlerbaum Aufgabe: Erstellen Sie eine Fehlerbaum (Fault Tree Analysis) zu dem Fehlerereignis "mangelnde Verfügbarkeit
MehrIT-Sicherheit in der Produktion
IT-Sicherheit in der Produktion Zentrale Handlungsempfehlungen zur IT-Sicherheit in der Industrie 4.0 24.06.2015 Michael Gröne Sirrix AG security technologies 2015 ı Classification: PUBLIC Ursprünge in
MehrINFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS
INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS WAS SIND INFORMATIONEN? Informationen sind essentiellen Werte einer Arztpraxis. müssen angemessen geschützt werden. 2 WAS IST INFORMATIONSSICHERHEIT?
MehrGrundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement
und der IT-Sicherheit Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement 7.1 Risikoportfolio Vertraulichkeit Aufgabe: Gegeben seien folgende Werte einer Sicherheitsanalyse eines IT-Systems hinsichtlich
MehrAllianz für Cyber-Sicherheit
Allianz für Cyber-Sicherheit Dirk Häger Bundesamt für Sicherheit in der Informationstechnik Bonn, 13. November 2012 1 Nationales CyberSicherheitsprogramm (BSI) Folie aus 2011 Ziele: die Risiken des Cyber-Raums
MehrLagebild zur Internet-Sicherheit Internet-Kennzahlen
Seit dem WS1011 Master Internet-Sicherheit Lagebild zur Internet-Sicherheit Internet-Kennzahlen Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Fachhochschule Gelsenkirchen http://www.internet-sicherheit.de
MehrDatenschutz und Datensicherheit im Kontext intelligenter Messsysteme
Datenschutz und Datensicherheit im Kontext intelligenter Messsysteme Dr. Christian Hofmann, Spreitenbach, 26.09.2014 Die Software Datenbank-Spezialisten. mit Energie. Datenschutz vs. Datensicherheit Datenschutz
MehrIT-Einsatz in den RoMed Kliniken
IT-Einsatz in den RoMed Kliniken Bad Aibling Prien Wasserburg Rosenheim IT-Einsatz Kliniken ein paar Kennzahlen Grundversorgung bis Versorgungsstufe II mit Schwerpunktversorgung und Lehrkrankenhaus der
MehrDatensicherheit und -schutz aus informationstechnischer Sicht
1 Datensicherheit und -schutz aus informationstechnischer Sicht Andreas Pfitzmann TU Dresden, Fakultät Informatik, D-01062 Dresden Nöthnitzer Str. 46, Raum 3071 Tel.: 0351/ 463-38277, e-mail: pfitza@inf.tu-dresden.de,
MehrInformationssicherheit-Managementsystems (ISMS) mehr als IT-Sicherheit
Informationssicherheit-Managementsystems (ISMS) mehr als IT-Sicherheit ONTRAS Netzforum 25.10.2016 Dr. Marlen Hofmann Referentin Informationssicherheit Marlen.hofmann@ontras.com Agenda Informationssicherheit
MehrZiel erfaßt Die Schutzziele der IT-Sicherheit
Mitglied der Helmholtz-Gemeinschaft Ziel erfaßt Die Schutzziele der IT-Sicherheit 8. Oktober 2013 gon Grünter Inhalt Warum Sicherheit? Was ist Sicherheit? Bedrohungen Schutzziele Schutzmaßnahmen Fragen
MehrRonny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom
Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom +423 392 28 78 2 Ziel Einführung eines angemessenen, auf Ihre Unternehmung angepassten
MehrDokumentensicherheit in multimedialen klinischen Informationssystemen
Dokumentensicherheit in multimedialen klinischen Informationssystemen Peter Pharow (Regensburg) Martin Steinebach (Darmstadt) Bernd Blobel (Regensburg) Einführung in die Problematik Vielschichtige Landschaft
Mehrindustrial engineering Safety & Security integrierte Entwicklung www.ics-ag.de 1
industrial engineering Safety & Security integrierte Entwicklung 1 industrial engineering Profitieren Sie von unserer Erfahrung Sparen Sie sich teure und langwierige Ausbildungsprogramme und starten Sie
MehrMedizintechnik und IT
Medizintechnik und IT Risikomanagement DIN EN 80001-1 Bedeutung Vorgehensweise St.-Marien-Hospital Lünen 10.12.2013 1 Arzt im Hintergrunddienst - Bereitschaftsdienst Entscheidung über Kaiserschnitt Arzt
MehrIT-Security Summer School 2014
ArbeitsForum IT-Security Summer School 2014 Grundlagen, Rechtliche Herausforderungen und Erfahrungen der IT-Forensik Mittwoch, 30. und Donnerstag, 31.07.2014 an der Hochschule Augsburg, Gebäude M, Friedberger
MehrIT - Sicherheit und Firewalls
IT - Sicherheit und Firewalls C. Lenz, B. Schenner, R. Weiglmaier 24. Jänner 2003 IT-Sicherheit & Firewalls C. Lenz, B. Schenner, R. Weiglmaier Seite 1 TEIL 1 o Grundlegendes o Cookies o Web-Log o Spoofing
MehrAktuelle Probleme der IT Sicherheit
Aktuelle Probleme der IT Sicherheit DKE Tagung, 6. Mai 2015 Prof. Dr. Stefan Katzenbeisser Security Engineering Group & CASED Technische Universität Darmstadt skatzenbeisser@acm.org http://www.seceng.de
MehrInternet-Sicherheit Sicherer Umgang mit dem Internet
Internet-Sicherheit Sicherer Umgang mit dem Internet Vortrag im Senioren-Freizeit-Treff, Flora Marzina 11.09.2012 Deborah Busch busch (at) internet-sicherheit.de Institut für Internet-Sicherheit if(is)
MehrSysteme II. 13. Vorlesungswoche 14.07. 18.07.2008
13. Vorlesungswoche 14.07. 18.07.2008 Institut für Informatik 1 1 Sicherheitsrisiken für Netzwerke 2 2 SANS Institut Top 20 Internet Security Risks Web-Anwendungen Datendiebstahl und Einbruch in verbundene
MehrGrundlagen des Datenschutzes und der IT-Sicherheit (Teil 2d) Vorlesung im Sommersemester 2014 an der Universität Ulm von Bernhard C.
Vorlesung im Sommersemester 2014 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche
MehrFood & Beverage Plant Security Services - Produktivität umfassend schützen
Food & Beverage Plant Security Services - Produktivität umfassend schützen Osnabrück am 09.06.2016 Industrial Security Die intelligente Wahl für mehr Sicherheit in der Industrie-Automatisierung Informationstechnologien
MehrSicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller
MehrErfahrungen in Bezug auf Usability bei der Analyse nicht-funktionaler Anforderungen mit MOQARE
in Bezug auf nicht-funktionaler Anforderungen mit Institut für Informatik Neuenheimer Feld 326 D-69120 Heidelberg, Germany http://www-swe.informatik.uni-heidelberg.de herrmann@informatik.uni-heidelberg.de
MehrTechnischer Schutz von Bezahlinhalten
Technischer Schutz von Bezahlinhalten Prof. Dr. Lehrstuhl Management der Informationssicherheit Uni Regensburg http://www-sec.uni-regensburg.de/ Schutzziele Bedrohungen unbefugter Informationsgewinn Schutz
MehrWo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?
Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.
MehrIT-Sicherheit BS 2008/09 IAIK 1
IT-Sicherheit BS 2008/09 IAIK 1 Motivation Rechner enthalten Informationen Informationen haben Wert Manche Firmen: gesamter Wert in elektronischer Form Aufgabe von Betriebssystemen: Information vor unautorisierter
MehrGrundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 7. Übungsblattes IT-Grundschutzhandbuch
und der IT-Sicherheit Lösungen des 7. Übungsblattes IT-Grundschutzhandbuch 7.1 Bausteine des IT-GSHB (1) Nach Kapitel 1.4 des IT-GSHB gibt es folgende Bausteine: 3.0 IT-Sicherheitsmanagement 3.1 Organisation
MehrSynergien im Management von Datenschutz und Datensicherheit Annäherung der Industriestandards Prof. Dr. Hannes Federrath Universität Regensburg
Synergien im Management von Datenschutz und Datensicherheit Annäherung der Industriestandards Prof. Dr. Hannes Federrath Universität Regensburg Datenschutz Informationsveranstaltung Gliederung des Vortrags
MehrSicherheit durch und Sicherheit bei SmartCards
Sicherheit durch und Sicherheit bei SmartCards CeBIT 2010, Hannover ix CeBIT Forum, Software & Systems 06.03.2010 Sebastian Feld Markus Hertlein [feld hertlein] @ internet-sicherheit. de Institut für Internet-Sicherheit
MehrGrundlagen des Datenschutzes
Vorlesung im Sommersemester 2009 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche
MehrSecurity 2.0: Tipps und Trends rund um das Security Information und Event Management (SIEM)
Security 2.0: Tipps und Trends rund um das Security Information und Event Management (SIEM) Manuela Martin, Telekom Competence Center Security & IT Solutions Warum Security 2.0? Cloud + SaaS + Big Data
MehrKoSSE-Tag 2013 Software-Qualitätssicherung
KoSSE-Tag 2013 Software-Qualitätssicherung Jan Setzer Wirt. Inf. BA Leiter SoftwareLab EnergieSystemeNord Power für Ihr Business www.esn.de ESN auf einen Blick Als Partner der Energie-, Wasserund Abwasserwirtschaft
MehrÜbersicht. Inhalte der DIN EN Ziele der DIN EN Notwenigkeit
Übersicht Inhalte der DIN EN 80 001 Ziele der DIN EN 80 001 Notwenigkeit Umsetzung im UKF Beispiel: Zentrales Pumpeninformationssystem Verankerung der Anwendung Resümee M.Daneshzadeh 08.12.2014 HOST GmbH/
MehrNext Generation Firewall: Security & Operation Intelligence
Next Generation Firewall: Security & Operation Intelligence Umfassend über unterschiedliche Infrastrukturbereiche (P, DC, RA) Flexible Umsetzung: unterschiedliche Topologien & Plattformen Eine Richtlinie:
MehrRisikoanalyse mit der OCTAVE-Methode
Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte
MehrEffizienter Staat. Sicherheit und Opensource? Christoph Herrmann science + computing ag Friedrichstr. 50 10117 Berlin
Effizienter Staat Sicherheit und Opensource? Christoph Herrmann science + computing ag Friedrichstr. 50 10117 Berlin smtp: C.Herrmann@science computing.de http://www.science computing.de Wir über uns gegründet
MehrSicherheit in der Datenkommunikation Wie viel Sicherheit ist möglich und nötig? Christoph Sorge Universität Paderborn
Sicherheit in der Datenkommunikation Wie viel Sicherheit ist möglich und nötig? Christoph Sorge Universität Paderborn Fachgebiet Codes & Kryptographie, Prof. Dr. Johannes Blömer Zentrum für Informations-
MehrMythen des Cloud Computing
Mythen des Cloud Computing Prof. Dr. Peter Buxmann Fachgebiet Wirtschaftsinformatik Software Business & Information Management Technische Universität Darmstadt 12.09.2012 IT-Business meets Science Prof.
MehrAutos der Zukunft. Dr. Dominik Herrmann Universität Hamburg. Folien zum Download:
Autos der Zukunft Dr. Dominik Herrmann Universität Hamburg Folien zum Download: http://dhgo.to/autosderzukunft Themen des Vortrags Einblick in die Technik Safety (unbeabsichtigte Ereignisse) Security (beabsichtigte
MehrMichael Kretschmer Managing Director DACH
Michael Kretschmer Managing Director DACH Information Value Protection Schützen Sie die Informationswerte Ihres Unternehmens! Clearswift 350+ Mitarbeiter: HQ in UK und Niederlassungen in Australien, Deutschland,
MehrRM vs. ISMS. Integration von IT-Risiken in das ganzheitliche Risikomanagement. it-sa, 8. Oktober Seite 1 AXA Konzern AG
RM vs. ISMS Integration von IT-Risiken in das ganzheitliche Risikomanagement it-sa, 8. Oktober 2013 Seite 1 Inhalt 1. Neuartige IT-Risiken 2. Risikomanagementprozess 3. Bedrohungsanalyse 4. Business Impact
MehrRmCU V 4.0 DIN Rail RmCU V 3.4 DIN Rail / Compact
RmCU V 4.0 DIN Rail RmCU V 3.4 DIN Rail / Compact IT- Sicherheitsgesetz / BSI IT- Grundschutz ISO 27001 Zertifizierung August 2016, Draft V00 1 von 6 Inhaltsverzeichnis August 2016, Draft V00... 1 1 Einleitung...
MehrPasswort: Kein Dadada
Passwort: Kein Dadada Keyfacts über IT-Sicherheit - Identity-Access-Management sorgt für mehr Sicherheit - Schatten-IT ist ein wachsendes Problem - Bedarf an Mitarbeiterschulung ist groß 28. Juni 2016
Mehr5 Jahre Computer Emergency Response Team der Bundeswehr (CERTBw) eine Bilanz
5 Jahre Computer Emergency Response Team der Bundeswehr (CERTBw) eine Bilanz Oberstleutnant Elk Rohde IT-Zentrum Bundeswehr Fachgruppenleiter IT-Sicherheit Folie 1 Schutz der Informationen Informationen
MehrIEC Grundlagen und Praxis Dipl.-Ing. Peter Knipp. 8. Augsburger Forum für Medizinprodukterecht 13. September 2012
IEC 80001-1 Grundlagen und Praxis Dipl.-Ing. Peter Knipp 8. Augsburger Forum für Medizinprodukterecht 13. September 2012 Head Office Aachen Im Süsterfeld 6 52072 Aachen Office Bonn Oberdorfstr. 7 53859
MehrIT-Sicherheit und Datenschutzmanagement
IT-Sicherheit und Datenschutzmanagement Gemeinsamkeiten und Unterschiede Prof. Dr. Lehrstuhl Management der Informationssicherheit Universität Regensburg http://www-sec.uni-regensburg.de/ 1 Gliederung
MehrInternational anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz
AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz
Mehr12. Symposium on Privacy and Security Datenschutz und Informationssicherheit in die Prozesse integrieren
Unterschiedliche Ansätze 12. Symposium on Privacy and Security Datenschutz und in die Prozesse integrieren Die Herausforderung der Umsetzung Dr. Bruno Porro The Geneva Association Rüschlikon, 6. November
Mehr