Whitepaper zum Thema Sicherheit Google Apps-Produkte im Bereich Messaging und Zusammenarbeit

Größe: px
Ab Seite anzeigen:

Download "Whitepaper zum Thema Sicherheit Google Apps-Produkte im Bereich Messaging und Zusammenarbeit"

Transkript

1 Whitepaper zum Thema Sicherheit Google Apps-Produkte im Bereich Messaging und Zusammenarbeit

2 Whitepaper zum Thema Sicherheit Google Apps-Produkte im Bereich Messaging und Zusammenarbeit Inhaltsverzeichnis Einführung... 2 Überblick... 3 Google-Sicherheitsrichtlinien... 3 Organisation der Sicherheitsmaßnahmen... 3 Datenklassifizierung und -kontrolle... 4 Standortsicherheit... 6 Betriebssicherheit... 7 Zugriffskontrolle... 9 Systementwicklung und -wartung Wiederherstellung im Notfall und Geschäftskontinuität Gesetzliche Vorschriften Benutzerdefinierte Sicherheitsfunktionen Fazit Weitere Informationen zu Google Apps finden Sie unter und Einführung Die Sicherheit der Online-Dienste ist für Unternehmen ein immer interessanter werdendes Thema, da die Anzahl der durch Dritte gehosteten Dienste in den letzten Jahren stark zugenommen hat. Das Aufkommen verschiedener Cloud Computing - Konzepte und -Definitionen hat nicht nur Fragen zur Eigentümerschaft an und dem Schutz von Daten aufgeworfen, sondern auch dazu, wie die verschiedenen Anbieter im Bereich der Cloud Computing-Technologien ihre Dienste entwickeln und implementieren. Sicherheitsexperten, Endnutzer und Unternehmen befassen sich gleichermaßen mit den Sicherheitsauswirkungen des Cloud Computing-Modells. Google Apps (bestehend aus Google Mail, Google Kalender, Google Text & Tabellen und anderen Webanwendungen) bietet gewohnte, nutzerfreundliche Produkte und Dienste für Unternehmen. Diese Dienste, die sich durch redundante Computer-Umgebungen und dynamische Ressourcenzuweisung auszeichnen, ermöglichen es den Kunden, jederzeit und überall mit internetfähigen Geräten auf ihre Daten zuzugreifen. Diese Computerumgebung - häufig auch als Cloud bezeichnet ermöglicht die Freigabe und Nutzung von CPU, Arbeitsspeicher und Speicherressourcen durch mehrere Kunden. Gleichzeitig bietet sie verschiedene Sicherheitsvorteile. Google stellt Cloud-Dienste aufgrund der Erfahrung mit dem eigenen Geschäftsbetrieb und dem Angebot von Kerndiensten wie der Google-Suche in ähnlicher Weise zuverlässig zur Verfügung. Die Sicherheitskontrollen, die Daten während der Verarbeitung in der Cloud isolieren, wurden von Anfang an zusammen mit der grundlegenden Technologie entwickelt. Sicherheit ist daher eine Schlüsselkomponente aller unserer Cloud Computing-Elemente, wie Server-Zuweisung, Datenspeicherung und Verarbeitung. Unternehmen A Anne Rechenzentrum 1 Google Grace Unternehmen A Andrew Google Gary Unternehmen B Becky Rechenzentrum 2 Verbraucher Carl Unternehmen B Ben Rechenzentrum 3 Verbraucher Carol Abbildung 1: Die verteilte Multi-Tenant-Umgebung von Google 2

3 Dieses Dokument erläutert, wie Google eine auf Sicherheit basierende Plattform für die Google Apps- Produkte erstellt, und behandelt dabei Themen wie Informationssicherheit, Standortsicherheit und Betriebssicherheit. Damit soll der Stellenwert der Sicherheit als zentrale Komponente des Cloud- Computing-Systems von Google und als Kernelement des Gestaltungs- und Entwicklungsprozesses verdeutlicht werden. Das Dokument bezieht sich auf die zum Zeitpunkt der Erstellung gültigen Richtlinien. Einige dieser Angaben können sich mit der Zeit ändern, da wir in regelmäßigen Abständen innovative Funktionen und Produkte in Google Apps einführen. Überblick Im Zentrum des Sicherheitskonzepts von Google steht eine komplexe Sicherheitsstrategie, die im Hinblick auf Datenspeicherung, Zugriff und Datentransfer Kontrollmöglichkeiten auf mehreren Ebenen bietet. Google-Sicherheitsrichtlinien Organisation der Sicherheitsmaßnahmen Datenklassifizierung und -kontrolle Mitarbeitersicherheit Standortsicherheit Betriebssicherheit Zugriffskontrolle Systementwicklung und -wartung Wiederherstellung im Notfall und Geschäftskontinuität Gesetzliche Vorschriften Google-Sicherheitsrichtlinien Google hat sich der Sicherheit aller Informationen verschrieben, die auf den Computer-Systemen des Unternehmens gespeichert sind. Dies ist auch im Google Code of Conduct beschrieben, den Sie auf der Google-Website unter finden (nur Englisch). Eine Beschreibung der Google-Sicherheitsphilosophie finden Sie auch auf der folgenden Seite: Die Sicherheitsstrategie von Google basiert auf einer Reihe von Sicherheitsrichtlinien zu den Bereichen Standort, Konten, Daten, Unternehmensdienste, Netzwerk- und Computersysteme, Anwendungsdienste, Systemdienste, Änderungsverwaltung, Reaktion auf Sicherheitsvorfälle und Sicherheit der Rechenzentren. Diese Richtlinien werden regelmäßig überprüft, um ihre dauerhafte Effektivität und Genauigkeit zu gewährleisten. Zusätzlich zu diesen Sicherheitsrichtlinien, die alle Mitarbeiter von Google erfüllen müssen, erhalten die Mitarbeiter auch ein Sicherheitshandbuch. Dieses Dokument erläutert die wichtigsten Aspekte der Richtlinie für die Informationssicherheit, wie die sichere Nutzung des Internets, das sichere Arbeiten an Remote-Standorten und die Kennzeichnung und Verarbeitung vertraulicher Daten. Weitere Hilfestellungen zu aktuellen Themen im Zusammenhang mit den Richtlinien werden den Mitarbeitern regelmäßig zur Verfügung gestellt, vor allem im Bereich neuer Technologien, z. B. zur sicheren Nutzung von Mobilgeräten und Peer-to-Peer-Software. Diese ergänzenden Richtliniendokumente werden gemäß der Mission von Google verfasst, Informationen auf möglichst einfache Weise zu vermitteln, da schriftliche Richtlinien nun mal nur dann effektiv sind, wenn die darin enthaltenen Informationen auch aufgenommen und befolgt werden. Organisation der Sicherheitsmaßnahmen Datensicherheit Google beschäftigt ein Information Security-Team in Vollzeit, das in die Google Software Engineering and Operations -Organisation integriert ist und aus einigen der weltbesten Experten für die Sicherheit von Informationen, Anwendungen und Netzwerken besteht. Dieses Team ist für die Wartung der Schutzsysteme des Unternehmens, die Entwicklung von Sicherheitsprüfungsprozessen und die Errichtung einer benutzerdefinierten Sicherheitsinfrastruktur verantwortlich. Es spielt auch eine Schlüsselrolle bei der Entwicklung, Dokumentation und Implementierung der Google-Sicherheitsrichtlinien und -standards. Insbesondere unternimmt das Google Information Security-Team die folgenden Aufgaben: Überprüfung von Sicherheitsplänen für Google-Netzwerke, -Systeme und -Dienste anhand eines strengen Prozesses mit mehreren Phasen Prüfung der entwickelten Sicherheitsvorkehrungen und ihrer Implementierung Kontinuierliche Beratung zu Sicherheitsrisiken bei Projekten und zu möglichen Lösungen bei etwaigen Sicherheitsbedenken 3

4 Überwachung verdächtiger Aktivitäten in Google-Netzwerken und Ausführung formaler Prozesse für die Reaktion auf Sicherheitsvorfälle zur schnellen Erkennung, Analyse und Behebung von Bedrohungen für die Datensicherheit Gewährleistung der Einhaltung bestehender Richtlinien über routinemäßige Sicherheitsanalysen und interne Audits Entwicklung und Durchführung von Mitarbeiterschulungen zur Erfüllung der Sicherheitsrichtlinien von Google, vor allem in den Bereichen Datenschutz und sichere Programmierung Beschäftigung externer Sicherheitsexperten zur Ausführung regelmäßiger Sicherheitsanalysen der Infrastruktur und -Anwendungen des Teams Ausführung eines Schwachstellenverwaltungsprogramms zur Erkennung von Problembereichen in den Netzwerken und zur Behebung bekannter Probleme innerhalb der vorgegebenen Zeitspanne Das Information Security-Team arbeitet in folgenden Bereichen auch öffentlich mit Sicherheitsexperten außerhalb von Google zusammen: Veröffentlichung neuer Techniken für die sichere Programmierung, um hinsichtlich modernster Sicherheitstrends und -probleme stets auf dem neuesten Stand zu bleiben Zusammenarbeit mit Software-Anbietern und -Verwaltern zum Auffinden und Beheben bestehender Schwachstellen in offener und geschlossener Quell-Software von Drittanbietern Entwicklung weltweiter Datenschutzstandards Bereitstellung von Infomaterial für die Öffentlichkeit zu Problemen mit der Datensicherheit, wie z. B. dem Browser-Schutz (http://code.google.com/p/browsersec/wiki/main) Teilnahme an und Organisation von Open Source-Projekten, wie z. B. Skipfish, einem vollständig automatisierten, aktiven Tool für die Analyse der Sicherheit von Webanwendungen (http://code.google.com/p/skipfish) Erstellung von Lehrplänen für Top-Universitäten Durchführung von und Teilnahme an akademischen Konferenzen Eine Liste der Veröffentlichungen von Google-Mitarbeitern zu den Themen Sicherheit und Datenschutz finden Sie unter Global Internal Audit und Global Compliance Zusätzlich zu den Mitarbeitern des Information Security-Teams unterhält Google auch verschiedene Stellen, die sich auf die Erfüllung von Vorschriften und Gesetzen weltweit konzentrieren. Google verfügt über eine Global Compliance-Stelle, verantwortlich für die Erfüllung rechtlicher und gesetzlicher Vorschriften, sowie über eine Global Internal Audit-Stelle, verantwortlich für die Durchführung der entsprechenden Überprüfungen und Audits zur Erfüllung dieser Vorschriften, z. B. Sarbanes-Oxley oder Payment Card Industry Standard (PCI). Standortsicherheit Google verfügt über ein weltweit angesiedeltes Mitarbeiterteam, das sich speziell um die Sicherheit der Google-Niederlassungen und -Rechenzentren bemüht. Unsere Sicherheitsmitarbeiter sind hochqualifiziert und wurden für den Schutz ähnlicher Infrastrukturtypen mit hohen Anforderungen an die Sicherheit geschult. Datenklassifizierung und -kontrolle Datenzugriff Google verfügt über zahlreiche Kontrollmöglichkeiten und Vorgehensweisen zum Schutz der Sicherheit von Kundeninformationen. Google-Anwendungen werden in einer verteilten, multi-tentant Umgebung ausgeführt. Anstatt alle Kundendaten auf einem einzelnen Computer oder einer Reihe von Computern zu segregieren, werden die Google Apps-Daten von allen Google-Kunden (Verbraucher, Unternehmen und sogar die Google unternehmenseigenen Daten) in einer gemeinsamen Infrastruktur verteilt, die sich aus den zahlreichen homogenen Computern in den vielen Google-Rechenzentren zusammensetzt. Google Apps verwendet ein verteiltes Dateisystem, in dem große Datenmengen auf einer Vielzahl von Computern gespeichert werden. Die strukturierten Daten werden in einer großen verteilten Datenbank gespeichert, die auf dem Dateisystem aufbaut. Die Daten werden in Stücke geteilt und über mehrere Systeme repliziert, sodass kein System eine Schwachstelle, auch Single Point of Failure, darstellt. Datenstücke erhalten dann nach dem Zufallsprinzip Dateinamen und werden nicht 4

5 Benutzer 1 Benutzer 2 Benutzer 3 Benutzer 4 Tausende Dateien asdfasdf fljowiejf jwoieyto awefwoi caowefkj eaweflkja basfawe deasdflj fasdfjok Dateinamen sind anonym im Dateisystem ghlawefij ilijawefl hljlijawe idslkjwf mlkaswd jlkjasdfe owefjkas oasdfl nasdfjoi rwdfasdl raweflkj poiwefjkla taqwdefj xefsasdf yzweflkja zswefast zewfokjl zefojasl Rechenzentrum 1 Rechenzentrum 2 Rechenzentrum 3 Daten verteilt über mehrere Standorte Abbildung 2: Architektur des Google File System (GFS) im reinen Textformat gespeichert, damit sie nicht von Menschen gelesen werden können. Für weitere Informationen laden Sie bitte das Dokument unter herunter. Die verschiedenen Ebenen der Google-Anwendungen erfordern die Authentifizierung und Autorisierung von Anforderungen, die von anderen Komponenten stammen. Die Authentifizierung von Dienst zu Dienst basiert auf einem Sicherheitsprotokoll, das auf einem Google-System beruht, sodass authentifizierte Kanäle zwischen Anwendungsdiensten vermittelt werden. Das Vertrauen zwischen Instanzen dieser Authentifizierungsvermittlung wird im Gegenzug von x509-hostzertifikaten abgeleitet, die für jeden Google-Produktionshost von einer Google-internen Zertifikatstelle ausgestellt werden. Ein Google Mail-Web-Frontend-Dienst würde z. B. einen Remote Procedure Call an einen Google Mail- Backend-Dienst senden, um eine Nachricht aus dem Posteingang eines bestimmten Nutzers anzufordern. Das Google Mail-Backend würde diese Anforderung nur dann authentifizieren und verarbeiten, wenn sie tatsächlich von einem Dienst stammt, der unter einer Dienstidentität ausgeführt wird, die Zugriff auf Google Mail-Backends hat. Das Google Mail-Backend würde wiederum die Authentifizierung durchführen, um auf Dateien im verteilten Google-Dateisystem zuzugreifen. Wenn dieser Vorgang erfolgreich ist, wird der Zugriff nur gemäß den Zugriffssteuerungslisten für Dateien gewährt. Der Zugriff auf Produktionsumgebungen durch Administratoren wird in ähnlicher Weise gesteuert. Es wird ein zentralisiertes System für die Gruppen- und Rollenverwaltung verwendet, um den Zugriff der Ingenieure auf Produktionsdienste zu definieren und zu steuern. Hierfür wird eine Erweiterung des oben genannten Sicherheitsprotokolls verwendet, das Ingenieure über die Verwendung eines persönlichen x509-zertifikats authentifiziert, das für sie ausgestellt wird. Die Richtlinie erfordert, dass der Administratorzugriff auf die Produktionsumgebung zur Fehlerbehebung und Wartung auf über öffentliche Schlüssel authentifizierten Secure Shell-Verbindungen basieren muss. In beiden Szenarien werden Gruppenmitgliedschaften für den Zugriff auf Produktionsdienste oder Konten wie erforderlich eingerichtet. Die oben beschriebenen Sicherheitskontrollen basieren auf den Grundlagen der Integrität der Google- Produktionsplattform. Diese Plattform wiederum basiert auf: Maßnahmen für die Standortsicherheit der Google-Rechenzentren Integrität des Betriebssystems der Google-Produktionsumgebung Eingeschränkter Zugriff auf Systemadministratorebene (Stamm) auf Produktions-Hosts wird wie erforderlich einer spezifischen Mitarbeitergruppe gewährt, deren Zugriff überwacht wird Diese Aspekte der Google-Sicherheitsmaßnahmen werden in den folgenden Abschnitten dieses Dokuments genauer behandelt. 5

6 Gelöschte Daten Wenn ein Google Apps-Nutzer oder Google Apps-Administrator eine Nachricht, ein Konto, einen Nutzer oder eine Domain löscht und die Löschung dieses Elements bestätigt (z. B. durch Leeren des Papierkorbs), werden die entsprechenden Daten entfernt und sind nicht mehr über die Google Apps- Oberfläche dieses Nutzers verfügbar. Die Daten werden dann von den aktiven Google-Servern und Replikationsservern gelöscht. Verweise auf die Daten auf den aktiven Servern und Replikationsservern von Google werden entfernt. Die nicht mehr referenzierten Daten werden mit der Zeit mit anderen Kundendaten überschrieben. Entsorgung von Medien Bei der Entfernung aus den Google-Systemen werden Datenträger mit Kundendaten einem Prozess zur Zerstörung von Daten unterworfen, bevor sie den Unternehmensstandort verlassen. Zunächst erfordert die Richtlinie, dass der Datenträger logisch von einer autorisierten Person gelöscht wird. Diese Löschung besteht aus einer vollständigen Beschreibung des Laufwerks nur mit Nullen (0x00), gefolgt von einem vollständigen Auslesen des Laufwerks, um sicherzustellen, dass es leer ist. Anschließend muss eine andere autorisierte Person eine zweite Überprüfung vornehmen, um sich zu vergewissern, dass der Datenträger erfolgreich gelöscht wurde. Diese Löschungsergebnisse werden zur Nachverfolgung mit der Seriennummer des Laufwerks protokolliert. Schließlich wird das gelöschte Laufwerk zur Wiederverwendung und erneuten Bereitstellung in das Inventar übergeben. Falls das Laufwerk aufrund eines Hardware-Fehlers nicht gelöscht werden kann, muss es bis zu seiner Vernichtung sicher gelagert werden. Jeder Standort wird wöchentlich geprüft, um die Einhaltung der Richtlinie zur Löschung von Datenträgern zu gewährleisten. Mitarbeitersicherheit Die Google-Mitarbeiter müssen sich gemäß den Unternehmensrichtlinien verhalten, was Vertraulichkeit, Unternehmensethik, angemessene Verwendung und professionelle Standards angeht. Bei der Einstellung prüft Google den Bildungsweg und die vorherigen Anstellungen des Bewerbers und und führt interne sowie externe Prüfungen der Referenzen durch. Soweit dies die geltenden Arbeitsgesetze oder sonstigen gesetzlichen Regelungen vor Ort zulassen, kann Google auch Prüfungen hinsichtlich Straftaten, Kreditwürdigkeit und Sicherheit durchführen. Das Ausmaß der Hintergrundprüfungen hängt von der angestrebten Position ab. Nach Annahme einer Anstellung bei Google müssen alle Mitarbeiter eine Vertraulichkeitsvereinbarung unterzeichnen und den Erhalt und die Einhaltung aller Richtlinien im Google-Mitarbeiterhandbuch bestätigen. Die Vertraulichkeit und der Datenschutz von Kundeninformationen und -daten wird im Handbuch und während der Orientierungsveranstaltungen für neue Mitarbeiter besonders hervorgehoben. Neue Mitarbeiter erhalten als Teil der Orientierungsveranstaltungen ein Sicherheitstraining. Darüber hinaus sind Google-Mitarbeiter verpflichtet, den Google Code of Conduct zu lesen, sich damit auseinanderzusetzen und an einer entsprechenden Schulung teilzunehmen. Der Code legt die Erwartungen von Google dar, dass jeder Mitarbeiter seine Arbeit unter Einhaltung gesetzlicher und ethischer Vorschriften erledigt sowie Integrität und Respekt für seine Kollegen, die Nutzer, Partner und sogar Konkurrenten des Unternehmens zeigt. Der Google Code of Conduct ist öffentlich verfügbar unter In Abhängigkeit der Rolle eines Mitarbeiters sind möglicherweise weitere Sicherheitstrainings erforderlich und zusätzliche Richtlinien gültig. Die Google-Mitarbeiter, die Kundendaten verarbeiten, müssen die notwendigen Anforderungen gemäß dieser Richtlinien erfüllen. Das Training zu den Kundendaten hebt die angemessene Nutzung von Daten im Zusammenhang mit Geschäftsprozessen sowie die Konsequenzen im Falle von Verstößen hervor. Alle Google-Mitarbeiter sind dafür verantwortlich, Probleme hinsichtlich Sicherheit und Datenschutz an die zuständigen Google Security-Mitarbeiter zu melden. Das Unternehmen bietet vertrauliche Berichtsmechanismen, um zu gewährleisten, dass Mitarbeiter sämtliche beobachteten ethischen Verstöße anonym melden können. Standortsicherheit Sicherheitskontrollen Die Rechenzentren von Google sind geografisch verteilt und es wird dort eine Vielzahl von Sicherheitsmaßnahmen eingesetzt. Die in diesen Zentren angewendeten Technologie- und Sicherheitsmaßnahmen können in Abhängigkeit örtlicher Bedingungen variieren, wie der Standort des Gebäudes und regionale Risiken. Die standardmäßigen 6

7 Sicherheitskontrollen, die in den einzelnen Google-Rechenzentren implementiert sind, setzen sich aus bekannten Technologien zusammen und folgen allgemein akzeptierten Vorgehensweisen der Branche: benutzerdefinierte Kontrollsysteme für den Zutritt über elektronische Karten, Alarmsysteme, Kameras im Innen- und Außenbereich und Wachpersonal. Der Zutritt zu Bereichen, in denen Systeme oder Systemkomponenten installiert sind oder gespeichert werden, erfolgt nicht über die allgemeinen Büros und öffentlichen Bereiche wie Lobbys. Die Kameras und Alarmsysteme für die einzelnen Bereiche werden zentral auf verdächtige Aktivitäten überwacht und die Einrichtungen werden routinemäßig durch Wachpersonal patrouilliert, das Fahrräder, Segways und T3-Scooter verwenden kann. In den Google-Niederlassungen werden hochauflösende Kameras mit Videoanalyse und andere Systeme zur Erkennung und Verfolgung von Eindringlingen verwendet. Aktivitätsaufzeichnungen und Kamerabänder werden zur späteren Analyse herangezogen, sollte dies erforderlich werden. Es können, falls erforderlich, weitere Sicherheitskontrollen, wie Wärmebildkameras, Zäune und biometrische Daten zur Anwendung kommen. Der Zugang zu den Rechenzentren ist auf autorisierte Google-Mitarbeiter, autorisierte Besucher und autorisierte Dritte beschränkt, die das Rechenzentrum betreiben. Google verfügt über eine Richtlinie und festgelegte Vorgehensweise für den Zugang von Besuchern, die besagt, dass alle Besucher vorab eine Genehmigung des Rechenzentrumsleiters für den Besuch der jeweiligen internen Bereiche benötigen. Die Besucherrichtlinie gilt auch für Google-Mitarbeiter, die üblicherweise keinen Zutritt zu den Rechenzentren haben. Google prüft vierteljährlich, wer Zutritt zu seinen Rechenzentren hat, um sicherzustellen, dass nur die autorisierten Mitarbeiter Zutritt zu den einzelnen Stockwerken haben. Google beschränkt den Zutritt zu seinen Rechenzentren basierend auf der Rolle des Mitarbeiters, nicht auf der Position. Daher haben sogar die meisten Senior-Manager bei Google keinen Zutritt zu den Google-Rechenzentren. Umgebungskontrollen Die Computer-Cluster von Google wurden im Hinblick auf Resilienz und Redundanz entwickelt und helfen so dabei, einzelne Points of Failure und die Auswirkungen häufig auftretender Ausfälle der Geräte sowie Umgebungsrisiken zu minimieren. Zweikreissysteme, Switches, Netzwerke und andere erforderliche Geräte werden zur Gewährleistung der Redundanz eingesetzt. Die Gebäudeinfrastruktur in den Rechenzentren wurde so entwickelt, dass sie robust, fehlertolerant und parallel einsetzbar ist. Netzversorgung Um die kontinuierlichen Aktivitäten rund um die Uhr in den Google-Rechenzentren zu gewährleisten, umfassen die Rechenzentren eine elektrische Stromversorgung mit redundanten Systemen. Sie verfügen über eine primäre und eine alternative Stromquelle mit gleicher Kapazität für alle kritischen Komponenten im Rechenzentrum. Beim ersten Ausfall der primären Stromquelle z. B. aufgrund eines teilweisen oder vollständigen Stromausfalls, einer Überspannung oder Unterspannung oder von Frequenzen außerhalb des Toleranzbereichs soll eine unterbrechungsfreie Stromversorgung Strom liefern, bis die Backup-Generatoren übernehmen können. Die Diesel-Backup-Generatoren können ausreichend Notstrom liefern, um das Rechenzentrum für einen gewissen Zeitraum voll funktionsfähig zu halten. Klima und Temperatur Es ist eine Luftkühlung erforderlich, um eine konstante Betriebstemperatur für Server und andere Computer-Hardware aufrecht zu erhalten. Die Kühlung verhindert eine Überhitzung und reduziert die Möglichkeit eines Dienstausfalls. Die Klimaanlagen für die Computerräume werden sowohl durch normale als auch durch Notstromsysteme betrieben. Branderkennung und -unterdrückung Geräte für die automatische Branderkennung und -unterdrückung helfen dabei, Schäden an Computer-Hardware zu verhindern. Die Brandschutzsysteme verwenden Hitze-, Rauch- und Wassersensoren in den Decken des Rechenzentrums und unter dem Fußboden. Im Fall eines Brandes oder einer Rauchentwicklung löst das Erkennungssystem einen akustischen und visuellen Alarm in dem betreffenden Bereich, an der Sicherheitskonsole und am Remote-Überwachungs-Desk aus. Manuell zu betreibende Feuerlöscher sind überall in den Rechenzentren verteilt. Die Techniker der Rechenzentren erhalten Training zur Brandvermeidung und Löschung von Bränden im Anfangsstadium, einschließlich der Verwendung von Feuerlöschern. Weitere Informationen Weitere Informationen und eine Videotour durch die Google-Rechenzentren finden Sie unter Betriebssicherheit Malware-Prävention Malware stellt ein bedeutendes Risiko für die modernen IT-Umgebungen dar. Ein effektiver Malware- 7

8 Angriff kann zu Kontomissbrauch, Datendiebstahl und möglicherweise Zugriff auf ein Netzwerk durch Unbefugte führen. Google nimmt diese Bedrohungen für Netzwerke und Kunden sehr ernst und verwendet eine Vielzahl von Methoden zur Verhinderung, Erkennung und Vernichtung von Malware. Die Strategie beginnt mit der Infektionsprävention durch die Verwendung manueller und automatischer Scanner zur gründlichen Durchsuchung des Google-Suchindexes nach Websites, die möglicherweise genutzt werden, um Malware- oder Phishing-Angriffe durchzuführen. Weitere Informationen zu diesem Prozess finden Sie unter Die bei diesen Scans erstellten schwarzen Listen wurden in verschiedene Webbrowser und die Google Toolbar aufgenommen, um Internetnutzer vor verdächtigen Websites zu schützen und vor Websites, die möglicherweise missbraucht werden. Diese öffentlich verfügbaren Tools bieten auch Schutz für Google- Mitarbeiter. Zweitens nutzt Google verschiedene Antivirenmodule in Google Mail, auf Servern und Arbeitsstationen, um Malware abzufangen, die Antivirensignaturen möglicherweise nicht erfassen. Die Support-Mitarbeiter erhalten Training für die Identifizierung und Entfernung von Malware, die möglicherweise das Google- Netzwerk infiziert, und sie eskalieren außergewöhnliche Fälle über das Vorfallsreaktionsteam. Überwachung Das Programm zur Sicherheitsüberwachung von Google konzentriert sich auf Informationen, die vom internen Netzwerkverkehr, Mitarbeiteraktionen in Systemen und durch externe Erkenntnisse zu Schwachstellen gesammelt werden. An vielen Punkten in unserem globalen Netzwerk wird der interne Verkehr auf verdächtiges Verhalten überwacht, wie zum Beispiel das Vorliegen von Datenverkehr, der möglicherweise auf Botnet-Verbindungen hinweist. Diese Analyse erfolgte durch eine Kombination aus Open Source- und kommerziellen Tools für die Erfassung und Analyse von Datenverkehr. Ein proprietäres Korrelationssystem, das auf der Google- Technologie basiert, unterstützt diese Analyse ebenfalls. Netzwerkanalysen werden durch die Überprüfung von Systemprotokollen für die Identifizierung von ungewöhnlichem Verhalten ergänzt, wie unerwartete Aktivitäten in Konten früherer Mitarbeiter oder versuchte Zugriffe auf Kundendaten. Die Google Security-Ingenieure platzieren Suchwarnungen in öffentlichen Daten-Repositorys, um nach Sicherheitsvorfällen zu suchen, die möglicherweise Auswirkungen auf die Unternehmensinfrastruktur haben. Sie prüfen aktiv eingehende Sicherheitsberichte und überwachen öffentliche Mailinglisten, Blog- Posts und Web-Bulletin-Boardsysteme. Die automatisierte Netzwerkanalyse hilft dabei zu bestimmen, wann eine unbekannte Bedrohung vorliegt, und diese an die Google Security-Mitarbeiter zu eskalieren. Die Netzwerkanalyse wird durch die automatische Analyse von Systemprotokollen ergänzt. Schwachstellenverwaltung Google setzt ein Team in Vollzeit ein, das sicherstellen soll, dass Schwachstellen zeitnah verwaltet werden. Das Google Security-Team scannt Systeme auf Sicherheitslücken mithilfe kommerzieller Tools, intensiver automatischer und manueller Eindringtests, Prozessen zur Qualitätssicherung, Software-Sicherheitsprüfungen und externen Audits. Das Team für die Schwachstellenverwaltung ist für die Nachverfolgung von Schwachstellen verantwortlich. Wenn eine legitime Schwachstelle, die behoben werden muss, vom Google Security-Team identifiziert wurde, wird sie protokolliert, entsprechend ihres Schweregrads priorisiert und einem Eigentümer zugewiesen. Das Team für die Schwachstellenverwaltung verfolgt derartige Probleme nach und fasst mehrfach nach, bis bestätigt werden kann, dass die Schwachstelle behoben wurde. Google unterhält auch Beziehungen und Schnittstellen zu Experten für Sicherheitsanalyse und -forschung zur Nachverfolgung gemeldeter Probleme in Google-Diensten und Open Source-Tools. Weitere Informationen zum Melden von Sicherheitslücken finden Sie unter Verwaltung von Sicherheitsvorfällen Google verfügt über einen Prozess zur Verwaltung von Sicherheitsvorfällen, die Auswirkungen auf die Vertraulichkeit, Integrität oder Verfügbarkeit der Systeme oder Daten haben kann. Dieser Prozess gibt die Aktionen, Vorgehensweisen für die Benachrichtigung, Eskalation, Behebung und Dokumentation vor. Das Programm für die Verwaltung von Sicherheitsvorfällen von Google basiert auf den NIST-Richtlinien zur Bearbeitung von Vorfällen (NIST SP ). Die zuständigen Mitarbeiter erhalten mehrere Trainings in forensischer Analyse und Verarbeitung von Indizien für die Vorbereitung auf einen Sicherheitsvorfall, einschließlich der Verwendung von proprietären und Drittanbieter-Tools. Im Schlüsselbereichen, wie Systemen, auf denen vertrauliche Kundeninformationen gespeichert sind, werden Vorfallsreaktionspläne getestet. Diese Tests berücksichtigen eine Vielzahl von Szenarien, einschließlich Bedrohungen durch Insider und Software-Schwachstellen. 8

9 Um eine zügige Lösung von Sicherheitsvorfällen zu gewährleisten, steht das Google Security-Team allen Mitarbeitern rund um die Uhr zur Verfügung. Wenn ein Vorfall im Zusammenhang mit der Informationssicherheit auftritt, reagieren die Google Security-Mitarbeiter durch Protokollierung und Priorisierung des Vorfalls gemäß seines Schweregrads. Ereignisse, die direkte Auswirkungen auf die Kunden haben, werden mit der höchsten Priorität behandelt. Eine Einzelperson oder ein Team beschäftigt sich mit der Problemlösung und fordert die Hilfe von Experten bezüglich des Produkts und Themas wie erforderlich an. Weitere Verantwortlichkeiten werden zurückgestellt, bis das Problem behoben ist. Die Google Security-Ingenieure führen Post-Mortem-Analysen durch, wenn dies erforderlich ist, um die Ursache für einzelne Ereignisse oder Trends, die mehrere Ereignisse über einen längeren Zeitraum umfassen, zu ermitteln und neue Strategien gegen das erneute Auftreten ähnlicher Vorfälle zu entwickeln. Netzwerksicherheit Google setzt mehrere Schutzebenen ein, um das Netzwerk vor externen Angriffen zu sichern. Nur autorisierte Dienste und Protokolle, die die Google-Sicherheitsanforderungen erfüllen, dürfen in das Netzwerk des Unternehmens gelangen. Nicht autorisierte Pakete werden automatisch verweigert. Die Google-Netzwerksicherheitsstrategie setzt sich aus den folgenden Elementen zusammen: Kontrolle der Größe und Struktur des Netzwerks Erzwingung der Netzwerksegregation mithilfe branchenüblicher Firewall- und ACL-Technologie Systematische Verwaltung von Netzwerk-Firewall- und ACL-Regeln, die Änderungsverwaltung, Peer-Prüfung und automatische Tests verwenden Begrenzung des Zugriffs auf Netzwerk-Dienste auf autorisierte Mitarbeiter Weiterleitung des gesamten Datenverkehrs über benutzerdefinierte Frontend-Server, die böswillige Anfragen erkennen und stoppen Erstellung von internen Aggregationspunkten zur Ermöglichung einer besseren Überwachung Prüfung von Protokollen auf Ausnutzung von Programmierfehlern (z. B. Cross-Site-Skripting) und Generierung von Warnungen mit hoher Priorität im Falle der Erkennung eines Ereignisses Betriebssystemsicherheit Die von Grund auf intern entwickelten Google-Produktionsserver basieren auf einer abgespeckten und speziell angepassten Version von Linux, die modifiziert wurde, sodass sie nur die für die Ausführung der Google-Anwendungen erforderlichen Komponenten enthält, wie die für die Systemverwaltung und die Verarbeitung des Nutzerverkehrs erforderlichen Dienste. Das System wurde so für Google entwickelt, dass es die Kontrolle über die gesamte Hardware und Software behalten kann und eine sichere Anwendungsumgebung bereitstellt. Die Google-Produktionsserver basieren auf einem speziell entwickelten Betriebssystem und Sicherheits-Fixes werden einheitlich auf die gesamte Unternehmensinfrastruktur angewendet. Diese homogene Umgebung wird mithilfe von Software im Eigentum von Google verwaltet, die Systeme kontinuierlich auf binäre Veränderungen hin überwacht. Falls eine Veränderung gefunden wird, die vom standardmäßigen Google-Image abweicht, kehrt das System automatisch zu seinem offiziellen Status zurück. Diese automatischen Selbstheilungsmechanismen ermöglichen es Google, destabilisierende Ereignisse zu überwachen und zu beheben, Benachrichtigungen zu Vorfällen zu erhalten und einen möglichen Missbrauch des Netzwerks zu erschweren. Mithilfe eines leistungsfähigen Änderungsverwaltungssystems zur Bereitstellung eines zentralisierten Mechanismus für die Registrierung, Genehmigung und Nachverfolgung von Änderungen mit Auswirkungen auf alle Systeme ist Google in der Lage, die Risiken zu minimieren, die mit der Vornahme nicht autorisierter Änderungen am standardmäßigen Google-Betriebssystem verbunden sind. Zugriffskontrolle Authentifizierungskontrollen Google schreibt die Verwendung einer eindeutigen Nutzer-ID für jeden Mitarbeiter vor. Dieses Konto wird zur Identifizierung der Aktivitäten jeder einzelnen Person im Google-Netzwerk verwendet, einschließlich sämtlicher Zugriffe auf Mitarbeiter- oder Kundendaten. Dieses eindeutige Konto wird für jedes Google-System verwendet. Nach der Anstellung wird jedem Mitarbeiter von Human Resources eine Nutzer-ID zugewiesen und er erhält einen Standardsatz an Berechtigungen, die unten beschrieben sind. Wird das Arbeitsverhältnis beendet, erfordert die Richtlinie, dass der Kontozugriff auf das Google-Netzwerk über das HR-System deaktiviert wird. Sofern Passwörter oder -sätze für die Authentifizierung (z. B. die Anmeldung an Arbeitsstationen) erforderlich sind, werden die Richtlinien für starke Passwörter von Google erzwungen, einschließlich des Passwortablaufs, der Beschränkungen für die Wiederverwendung von Passwörtern und der ausreichenden Passwortstärke. 9

10 Google verwendet weitläufig Authentifizierungsmechanismen mit zwei Faktoren, wie Zertifikate und Generierung eines Passworts für die einmalige Verwendung. Autorisierungskontrollen Zugriffsrechte und -ebenen basieren auf der Funktion und Rolle eines Mitarbeiters. Unter Anwendung des Prinzips der geringst möglichen Privilegien und des Need-to-know-Prinzips werden die Zugriffsrechte an die definierten Verantwortungsbereiche angepasst. Die Google-Mitarbeiter erhalten nur einen begrenzten Satz von Standardberechtigungen für den Zugriff auf Unternehmensressourcen, wie z. B. s, das interne Google-Portal und HR-Informationen. Anfragen nach weiterem Zugriff folgen einem formalen Prozess, der eine Anfrage und die Genehmigung durch einen Daten- oder Systemeigentümer, einen Manager oder eine andere Führungskraft umfasst, wie in den Google-Sicherheitsrichtlinien festgelegt. Genehmigungen werden durch Workflow-Tools verwaltet, die Prüfaufzeichnungen aller Änderungen enthalten. Diese Tools kontrollieren sowohl die Änderungen von Autorisierungseinstellungen als auch den Genehmigungsprozess zur Sicherstellung einer konsequenten Anwendung der Genehmigungsrichtlinien. Die Autorisierungseinstellungen eines Mitarbeiters werden verwendet, um den Zugriff auf alle Ressourcen zu kontrollieren, einschließlich Daten und Systeme für Google Apps-Produkte. Buchhaltung Die Google-Richtlinien besagen, dass ein eventueller Administratorzugriff auf alle Google- Produktionssysteme und alle Daten protokolliert werden muss. Diese Protokolle können wie erforderlich von den Google- Sicherheitsmitarbeitern angezeigt werden. Systementwicklung und -wartung Laut den Google-Richtlinien müssen die Sicherheitseigenschaften und -implikationen von Anwendungen, Systemen und Diensten, die von Google verwendet oder bereitgestellt werden, während des gesamten Lebenszyklus des Projekts berücksichtigt werden. Die Google-Richtlinie Applications, Systems, and Services Security Policy ruft Teams und einzelne Mitarbeiter dazu auf, angemessene Sicherheitsmaßnahmen in Anwendungen, Systemen und Diensten bereitzustellen, die proportional zu identifizierten Sicherheitsrisiken und -bedenken sind. Die Richtlinie besagt, dass Google ein Sicherheitsteam einsetzen muss, das Hilfestellung im Zusammenhang mit der Sicherheit und Risikoanalyse bietet. Google setzt eine Vielzahl von Maßnahmen ein, um sicherzustellen, dass die Software-Produkte und -Dienstleistungen, die Google seinen Nutzern anbietet, hohe Standards bezüglich der Software-Sicherheit erfüllen. In diesem Abschnitt wird die aktuelle Strategie für die Software-Sicherheit erläutert. Diese kann in Zukunft angepasst und weiterentwickelt werden. Sicherheitsberatungen und -prüfungen Im Hinblick auf die Entwicklung, Bereitstellung und den Betrieb von Anwendungen und Diensten bietet das Google Security-Team folgende Hauptkategorien für Beratungsdienste für Google Product- und Engineering-Teams: Security Design Review: Bewertungen auf Entwicklungsebene der Sicherheitsrisiken eines Projekts und entsprechender Behebungskontrollen sowie deren Angemessenheit und Effizienz Implementation Security Review: Bewertungen auf Implementierungsebene von Code-Artefakten für die Analyse ihrer Widerstandsfähigkeit gegen relevante Sicherheitsbedrohungen Security Consulting: kontinuierliche Beratung zu Sicherheitsrisiken, die mit einem bestimmten Projekt verbunden sind, sowie mögliche Lösungen für Sicherheitsrisiken, häufig in Form einer Analyse der Entwicklung in frühen Stadien des Lebenszyklus eines Projekts Google ist sich bewusst, dass viele Arten von Sicherheitsrisiken auf der Entwicklungsebene des Produkts vorkommen und deshalb in der Entwicklungsphase eines Produkts oder Dienstes berücksichtigt und behandelt werden müssen. Die Berücksichtigung derartiger Überlegungen ist der Hauptzweck des Security Design Review. Daher hat der Security Design Review die folgenden Ziele: Bereitstellung einer genauen Bewertung der mit einem Projekt verbundenen Sicherheitsrisiken, basierend auf einer Analyse relevanter Bedrohungen Ausstattung der Entscheidungsträger eines Projekts mit den erforderlichen Informationen als Grundlage für Entscheidungen im Bereich Risikoverwaltung und Integration von Sicherheitsaspekten in Projektziele Hilfestellung bei der Auswahl und richtigen Implementierung geplanter Sicherheitskontrollen, z. B. Authentifizierungsprotokolle oder Verschlüsselung 10

11 Software-Design Security-Ingenieure analysieren Software-Design Vollständige Software Security-Ingenieure führen statische Inspektion des Codes durch Qualitätssicherung Security-Ingenieure führen dynamische Analyse der laufenden Anwendungen durch Bereitstellung Regelmäßige Überprüfung und schnelle Reaktion auf Problemberichte Abbildung 3: Die Google-Strategie für Systementwicklung und -wartung Vermittlung von Informationen an das Entwicklungsteam im Hinblick auf relevante Arten von Schwachstellen, Angriffsmustern und entsprechenden Lösungsstrategien In Fällen, in denen Projekte innovative Funktionen oder Technologien beinhalten, obliegt es dem Security Team, Sicherheitsbedrohungen, mögliche Angriffsmuster und für die Technologie spezifische Arten von Schwachstellen, die mit diesen Funktionen und Technologien verbunden sind, zu analysieren und zu erforschen. Wenn dies erforderlich erscheint, setzt Google Drittanbieter für die Beratung im Zusammenhang mit Sicherheitslücken ein, die das Google Security Team ergänzen und unabhängige Prüfungen zur Validierung der internen Sicherheitsprüfungen durchführen. Sicherheit im Kontext des Lebenszyklus der Google-Software Sicherheit ist ein zentrales Element unseres Entwicklungsprozesses. Das Engineering-Konzept von Google sieht nicht vor, dass die Produktentwickler spezifische Software-Entwicklungsprozesse befolgen. Stattdessen wählen die Teams diejenigen Prozesse aus, die den Anforderungen des Projekts entsprechen, und implementieren sie. So wird eine Vielzahl von Software-Entwicklungsprozessen bei Google verwendet, von Agile Software Development-Methodologien bis hin zu traditionelleren, mehrphasigen Prozessen. Die Google-Prozesse für Sicherheitsprüfungen sind so angepasst, dass sie im ausgewählten Framework angewendet werden können. Der Erfolg dieser Methode ist auf die qualitätsorientierte Engineering- Kultur von Google und einige Anforderungen zurückzuführen, die von der Engineering-Verwaltung für Projektentwicklungsprozesse definiert wurden: Peer-geprüfte Entwicklungsdokumentation Einhaltung der Richtlinien für den Codierungsstil Code-Prüfungen durch Peers Sicherheitstests auf mehreren Ebenen Die obenstehenden Prinzipien verkörpern die Software-Engineering-Kultur von Google mit Schlüsselzielen wie Software-Qualität, Leistungsfähigkeit und Verwaltbarkeit. Auch wenn es das vorrangige Ziel dieser Richtlinien ist, die Erstellung von Software-Artefakten zu fördern, die in allen Aspekten eine hervorragende Qualität aufweisen, sollten sie nach Erfahrung des Google Security-Teams auch wichtige und skalierbare Motoren für den Abbau von Sicherheitslücken und Fehlern in der Software-Entwicklung sein: Das Vorliegen einer entsprechend detaillierten Entwicklungsdokumentation ist eine Voraussetzung für den Prozess der Security Design Reviews, da sie in frühen Projektphasen im Allgemeinen das einzige verfügbare Element ist, auf dem Sicherheitstests basieren können. Viele, wenn nicht die meisten Arten von Sicherheitsschwachstellen auf Implementierungsebene unterscheiden sich nicht grundlegend von häufig auftretenden Funktionsdefekten mit geringem Risiko. Die meisten Schwachstellen auf Implementierungsebene entstehen durch recht einfache Entwicklerfehler. Im Falle von Entwicklern und Code-Prüfern, die im Hinblick auf anwendbare Schwachstellenmuster und ihre Vermeidung geschult wurden, ist eine auf Peer-Reviews basierende Entwicklungskultur, die die Erstellung qualitativ hochwertigen Codes betont, von großer Bedeutung und ein skalierbares Mittel zur Erstellung einer sicheren Code-Basis. Die Software-Ingenieure des Google Security-Teams arbeiten mit anderen Ingenieuren bei Google zum Zweck der Entwicklung und Untersuchung wiederverwendbarer Komponenten zusammen, die entwickelt und implementiert wurden, um dazu beizutragen, bei Software-Projekten bestimmte Arten von Schwachstellen zu vermeiden. Einige Beispiele hierfür sind Ebenen für den Datenbankzugriff, die widerstandsfähig im Bezug auf Schwachstellen sind, die von der Abfragesprache herrühren, oder HTML-Vorlagen-Frameworks mit integriertem Schutz vor Cross-Site-Skripting-Schwachstellen (wie z. B. der Auto Escape-Mechanismus in der Open Source-Google CTemplate-Bibliothek). 11

12 Sicherheitsschulungen Das Google Security-Team kennt die Bedeutung von im Hinblick auf sichere Codierungspraktiken gut ausgebildeten Ingenieuren und verfügt deshalb über ein Beratungs- und Schulungsprogramm für Ingenieure, das derzeit Folgendes umfasst: Sicherheitstraining für neue Ingenieure Die Erstellung und Verwaltung umfassender Dokumentation zu sicherer Gestaltung und Codierungspraktiken Zielgerichtete, kontextsensitive Referenzen auf Dokumentation und Trainingsmaterialien Automatische Tools für Schwachstellentests bieten Ingenieuren zum Beispiel Hinweise auf Trainings- und Hintergrunddokumentation im Zusammenhang mit spezifischen Bugs oder Arten von Bugs, die das Tool kennzeichnet. Technische Präsentationen zu Sicherheitsthemen Ein an alle Mitglieder des Engineering-Teams versandter Sicherheits-Newsletter soll die Google- Ingenieure stets über die neuesten Bedohungen, Angriffsmuster, Behebungstechniken, sicherheitsbezogenen Bibliotheken und Infrastrukturen sowie bewährte Vorgehensweisen und Richtlinien usw. informieren. Der Security Summit, eine regelmäßige Google-weite Konferenz, bringt alle Ingenieure aus verschiedenen Google-Teams zusammen, die in Bereichen der Sicherheit arbeiten. Er bietet detaillierte technische Präsentationen zu Sicherheitsthemen im Google Engineering im weitesten Sinne. Sichrheitstests und -prüfungen auf Implementierungsebene Google verwendet eine Reihe von Ansätzen zum weiteren Abbau des Vorkommens von Sicherheitslücken auf Implementierungsebene in Produkten und Diensten: Sicherheitsprüfungen auf Implementierungsebene: Diese werden von Mitgliedern des Google Security- Teams typischerweise in fortgeschritteneren Phasen der Produktentwicklung durchgeführt und bewerten, ob ein Software-Artefakt angesichts relevanter Sicherheitsbedrohungen tatsächlich widerstandsfähig genug ist. Diese Prüfungen bestehen typischerweise aus einer erneuten Bewertung von Bedrohungen und Gegenmaßnahmen, die während eines Security Design Reviews identifiziert wurden, zielgerichteten Sicherheitsprüfungen von sicherheitskritischem Code, selektiven Code-Prüfungen für die Bewertung der Code-Qualität aus Sicherheitsperspektive und zielgerichteten Sicherheitstests. Automatische Tests auf Lücken bei bestimmten relevanten Arten von Schwachstellen Wir verwenden für diese Tests sowohl intern entwickelte als auch kommerziell verfügbare Tools. Von Software Quality Engineers im Kontext der Analyse der Software-Qualität insgesamt durchgeführte und andere Sicherheitstests Wiederherstellung im Notfall und Geschäftskontinuität Um Dienstunterbrechungen durch Hardware-Fehler, Naturkatastrophen oder andere Katastrophen zu minimieren, implementiert Google ein Programm für die Wiederherstellung im Notfall für alle Rechenzentren. Dieses Programm umfasst mehrere Komponenten zur Minimierung von Risiken an den Single Points of Failure, einschließlich der folgenden: Datenreplizierung und -sicherung: Um die Verfügbarkeit im Falle einer Katastrophe sicherzustellen, werden die Google Apps-Daten auf mehreren Systemen innerhalb des Rechenzentrums und auch auf ein zweites Rechenzentrum repliziert. Google betreibt ein geografisch verteiltes Netz von Rechenzentren, das die Dienstkontinuität im Falle einer Katastrophe oder anderer Vorfälle in einer einzigen Region gewährleisten soll. Hochleistungsverbindungen zwischen Rechenzentren stellen schnelle Failovers sicher. Die Verwaltung der Rechenzentren ist auch darauf ausgelegt, standortunabhängige Abdeckung rund um die Uhr sowie Systemadministration zu ermöglichen. Zusätzlich zur Redundanz der Daten und den regional verteilten Rechenzentren verfügt Google außerdem über einen Geschäftskontinuitätsplan für seinen Hauptsitz in Mountain View, Kalifornien. Dieser Plan kommt im Fall von größeren Katastrophen, wie Erdbeben oder öffentliche Gesundheitskrisen, zur Anwendung, bei denen davon ausgegangen wird, dass Personen und Dienste möglicherweise für bis zu 30 Tage nicht verfügbar sind. Dieser Plan soll eine ununterbrochene Bereitstellung unserer Dienste für die Kunden ermöglichen. Wir testen unseren Plan für die Wiederherstellung im Notfall regelmäßig. Gesetzliche Vorschriften Zugriffsprozess auf rechtliche Informationen Google folgt standardmäßigen rechtlichen Prozessen für die Reaktion auf Anfragen von Dritten nach Nutzerinformationen. Informationen werden nur an Dritte herausgegeben, wenn dies aufgrund rechtlicher Schritte erforderlich ist, z. B. Durchsuchungsbefehle, gerichtliche Anordnungen, Zwangsmaßnahmen, über 12

13 eine gesetzlich vorgeschriebene Ausnahme oder bei Zustimmung des Nutzers. Bei Erhalt einer Anfrage nach Freigabe von Informationen prüft das Google Legal-Team die Anfrage auf Konformität mit geltenden regionalen Gesetzen. Falls die Anfrage rechtlich gültig ist, besagt die Google-Richtlinie, dass der einzelne Nutzer oder die Organisation, deren Informationen angefordert werden, benachrichtigt wird, außer im Notfall oder wenn gesetzlich verboten. Datenschutz Google folgt einer stringenten Datenschutzrichtlinie zum Schutz der Kundendaten. Details zu dieser Richtlinie finden Sie unter und die Richtlinie ist auch als Teil jeder Anwendung in Google Apps veröffentlicht. Weitere Informationen zu den Google-Datenschutzrichtlinien und Vorgehensweisen finden Sie im Google Datenschutz-Center unter Einfach gesagt, ist Google nicht der Eigentümer von Kundendaten. Google befolgt die folgenden Prinzipien im Hinblick auf Kundendaten: Google gibt keine Daten für andere Personen frei, außer wenn dies in den Google- Datenschutzrichtlinien angegeben ist. Google bietet Kunden mehrere Möglichkeiten, Daten mitzunehmen, falls sie externe Dienste zusammen mit Google Apps verwenden oder keine Google-Dienste mehr nutzen möchten. Der Content von Nutzern wird nur in folgenden Fällen gescannt oder indiziert, um Kunden einen qualitativ hochwertigen Dienst anbieten zu können: Einige Nutzerdaten, wie s und Dokumente, werden gescannt und indiziert, damit Nutzer in der Domain eines Kunden in ihren eigenen Google Apps-Konten nach Informationen suchen können. s werden gescannt, damit Google die Spam-Filterung und Virenerkennung durchführen kann. s werden unter bestimmten Umständen gescannt, damit Google für den Kontext relevante Werbeanzeigen schalten kann. Außer wenn Nutzer auswählen, Informationen zu veröffentlichen, sind die Google Apps-Daten kein Teil des allgemeinen Index auf google.com. Die Prozesse zum Scannen und Indizieren laufen automatisch ab und beinhalten kein menschliches Eingreifen. Safe Harbor Google hält sich an die Datenschutzgrundsätze der Informationspflicht, Wahlmöglichkeit, Weiterübermittlung, Sicherheit, Datenintegrität, an den Zugriff und die Durchsetzung, die in den US Safe Harbor-Bestimmungen festgelegt sind, und ist beim Safe Harbor-Programm des US-Handelsministeriums registriert. SAS 70 Google hat die SAS 70 Type II-Zertifizierung erhalten und strebt weiterhin nach ähnlichen Zertifizierungen für die Google Apps-Messaging und -Zusammenarbeitsprodukte sowie für unsere Sicherheits- und Compliance- Produkte von Postini. Ein SAS 70-Audit ist eine unabhängige Analyse durch eine außenstehende Audit- Firma, bei der die Einhaltung der definierten Kontrollen durch das betreffende Unternehmen untersucht und bestätigt wird, dass diese Kontrollen effektiv durchgeführt werden. Nach dem Abschuss stellt das Unternehmen, das die Prüfung durchgeführt hat, einen Bericht zur Verfügung, der die Erfüllung dieser Kontrollen durch das Unternehmen detailliert darlegt. Benutzerdefinierte Sicherheitsfunktionen Zusätzlich zu den verschiedenen oben beschriebenen Sicherheitskontrollen, die Google für die Sicherheit und den Datenschutz der Kundendaten anwendet, bietet Google Apps auch mehrere zusätzliche Sicherheitsoptionen, die von den Domain-Administratoren des Kunden verwendet werden können. Wir sind stets darum bemüht, Kunden mehr Wahlmöglichkeiten beim Verwalten von Sicherheitskontrollen für ihre Domain zu geben. Einmalanmeldung (SSO) Google Apps bietet Kunden mit Google Apps for Business, Google Apps for Education und Google Apps for ISPs den Einmalanmeldungsservice (SSO). Diese Google-Apps-Versionen verfügen über ein SAML-basiertes SSO API, das Administratoren in ihr LDAP oder ein anderes SSO-System integrieren können. Diese Funktion ermöglicht Administratoren die Verwendung ihres bevorzugten Authentifizierungsmechanismus, wie z. B. Zertifikate, Hardware-Token oder biometrische Daten. 13

14 Passwortlänge und -stärke Administratoren können Anforderungen für die Passwortlänge für ihre Domain festlegen und Indikatoren für die Passwortstärke anzeigen. Letztere identifizieren Passwörter, die zwar die Längenanforderung erfüllen, aber möglicherweise trotzdem noch nicht stark genug sind. Die Indikatoren für die Passwortstärke können die Passwortstärke in Echtzeit analysieren und Administratoren dabei helfen, Passwörter zu erkennen, die mit der Zeit basierend auf neu aufkommenden Angriffsmustern weniger sicher werden. Einmalabmeldung durch Administatoren Administratoren können die Anmelde-Cookies eines Nutzers zurücksetzen, um nicht autorisierte Zugriffe auf ihr Konto zu verhindern. Dadurch wird dieser Nutzer von allen aktuellen Browsersitzungen ausgeschlossen und muss sich neu authentifizieren, wenn er das nächste Mal versucht, auf Google Apps zuzugreifen. Zusammen mit der Möglichkeit zum Zurücksetzen von Nutzerpasswörtern, die Administratoren haben, verbessert diese Funktion zum Zurücksetzen der Anmelde-Cookies von Nutzern die Sicherheit in der Cloud im Fall eines Gerätediebstahls oder -verlusts. Sichere Browserverbindungen (HTTPS) Die Google Apps for Business, Education und ISPs bieten Domain-Administratoren die Möglichkeit, alle Nutzer in ihrer Domain zur Verwendung von Hypertext Transfer Protocol Secure (HTTPS) für Dienste wie Google Mail, Google Text & Tabellen, Google Kalender, Google Sites usw. zu zwingen. Über HTTPS gesendete Informationen werden ab dem Moment verschlüsselt, wenn sie Google verlassen, bis sie auf dem Computer des Empfängers eingehen. Durch Richtlinien erzwungener Secure Mail Transfer (TLS für SMTP) Mit dem durch Richtlinien erzwungenen Secure Mail Transfer (TLS für SMTP) für das Simple Mail Transfer Protocol (SMTP) können Administratoren Richtlinien für das sichere Senden und Empfangen von s zwischen spezifischen Domains erstellen. Ein Administrator könnte z. B. angeben, dass alle externen s, die vom Buchhaltungsteam des Unternehmens an die Bank gesendet werden, mit TLS gesichert sein müssen oder umgeleitet werden, falls TLS nicht verfügbar ist. In ähnlicher Weise könnte ein Administrator die Verwendung einer sicheren TLS-Verbindung zwischen seiner Domain und externen Anwälten, Auditoren oder anderen Partnern, an die Mitarbeiter möglicherweise vertrauliche Informationen weitergeben, vorschreiben. Archivsuche Google ist sich bewusst, dass Archivdienste Kunden bei der Erfüllung verschiedener branchenspezifischer Anforderungen behilflich sein können. Durch die Implementierung von Google Message Discovery von Postini können Kunden ein zentralisierter, durchsuchbares -Repository für ihre Organisation erstellen, wodurch Suchen im gesamten Archiv zum Finden und Exportieren von s ermöglicht werden. Das Produkt kann alle Nachrichten basierend auf vom Kunden definierten Speicherungsrichtlinien speichern und indizieren. Die Kunden können relevante Nachrichten identifizieren, Daten speichern, suchen und exportieren, um sie wie erforderlich für außenstehende Anbieter freizugeben. Fazit Google hat sich der Sicherheit aller Daten verschrieben, die in den unternehmenseigenen Computersystemen gespeichert sind. Alle zehn Komponenten der vielschichtigen Sicherheitsstrategie von Google finden im gesamten Unternehmen Anwendung und Unterstützung. Google Apps bietet Kontrollmöglichkeiten auf allen Ebenen der Datenspeicherung, des -zugriffs und der -übertragung. Millionen von Organisationen, einschließlich Google, führen ihre Unternehmen mithilfe von Google Apps und Google investiert tagtäglich in dieses Vertrauen. Mit Google Apps können die Nutzer sicher sein, dass Google den Datenschutz, die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Daten wahrt Google Inc. Alle Rechte vorbehalten. Google, YouTube, das Google-Logo und das YouTube-Logo sind Marken von Google Inc. Alle anderen Firmen- und Produktnamen sind möglicherweise Marken der jeweiligen Unternehmen, mit denen sie in Verbindung stehen. WP

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Reporting Services Dienstarchitektur

Reporting Services Dienstarchitektur Reporting Services Dienstarchitektur Reporting Services Dienstarchitektur In Reporting Services wird ein Berichtsserver als ein Windows - Dienst implementiert, der aus unterschiedlichen Featurebere i-

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN

INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN EINFÜHRUNG KURZE EINFÜHRUNG IN DIE ERSTELLUNG UND VERWALTUNG VON

Mehr

Sicherheit in der Cloud

Sicherheit in der Cloud y Sicherheit in der Cloud Professionelles Projektmanagement mit InLoox now! Ein InLoox Whitepaper Veröffentlicht: Juli 2013 Aktuelle Informationen finden Sie unter http://www.inloox.de Die in diesem Dokument

Mehr

Websense Secure Messaging Benutzerhilfe

Websense Secure Messaging Benutzerhilfe Websense Secure Messaging Benutzerhilfe Willkommen bei Websense Secure Messaging, einem Tool, das ein sicheres Portal für die Übertragung und Anzeige vertraulicher, persönlicher Daten in E-Mails bietet.

Mehr

Sie können uns auch über unsere Postadresse kontaktieren: Engelbrecht Medizin- und Labortechnik GmbH, Postfach 10, 34293 Edermünde.

Sie können uns auch über unsere Postadresse kontaktieren: Engelbrecht Medizin- und Labortechnik GmbH, Postfach 10, 34293 Edermünde. Datenschutzerklärung Engelbrecht Medizin- und Labortechnik GmbH respektiert das Recht auf Privatsphäre Ihrer Online-Besucher und ist verpflichtet, die von Ihnen erhobenen Daten zu schützen. In dieser Datenschutzerklärung

Mehr

Payment Card Industry (PCI) Datensicherheitsstandard. Änderungsübersicht von PCI-DSS Version 3.0 auf 3.1

Payment Card Industry (PCI) Datensicherheitsstandard. Änderungsübersicht von PCI-DSS Version 3.0 auf 3.1 Payment Card Industry (PCI) Datensicherheitsstandard Änderungsübersicht von PCI-DSS Version 3.0 auf 3.1 April 2015 Einleitung Dieses Dokument enthält eine Übersicht über die Änderungen von PCI-DSS Version

Mehr

Tableau Online Sicherheit in der Cloud

Tableau Online Sicherheit in der Cloud Tableau Online Sicherheit in der Cloud Autor: Ellie Fields Senior Director Product Marketing, Tableau Software Juni 2013 S. 2 Tableau Software ist sich bewusst, dass Daten zum strategischsten und wichtigsten

Mehr

Babelprojekt.com Datenschutzhinweise

Babelprojekt.com Datenschutzhinweise Babelprojekt.com Datenschutzhinweise Datenschutzrichtlinie runterladen Letzte Aktualisierung: 24. Apr. 2015 Willkommen zur Webseite des Babelprojekt Kft. Babelprojekt bittet Sie darum, vor der Nutzung

Mehr

Datenschutzrichtlinie für die Plattform FINPOINT

Datenschutzrichtlinie für die Plattform FINPOINT Datenschutzrichtlinie für die Plattform FINPOINT Die FINPOINT GmbH ( FINPOINT ) nimmt das Thema Datenschutz und Datensicherheit sehr ernst. Diese Datenschutzrichtlinie erläutert, wie FINPOINT die personenbezogenen

Mehr

Sicherheitskonzept für externe Datenbank. Erstellt von Alt Roman und Schüpbach James

Sicherheitskonzept für externe Datenbank. Erstellt von Alt Roman und Schüpbach James Sicherheitskonzept für externe Datenbank Erstellt von Alt Roman und Schüpbach James Inhaltsverzeichnis 1 Risikoanalyse...3 1.1 Intern...3 1.2 Extern...3 1.3 Physisch...3 2 Risiko Klassifizierung...4 3

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Microsoft Solutions Framework. Daniel Dengler CN7. Unterschied MSF - MOF Microsoft Solutions Framework

Microsoft Solutions Framework. Daniel Dengler CN7. Unterschied MSF - MOF Microsoft Solutions Framework Einführung MSF MOF Microsoft Solutions Framework Microsoft Operations Framework Daniel Dengler CN7 Agenda Unterschied MSF - MOF Microsoft Solutions Framework Elementare Komponenten grundlegende Richtlinien

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

Risikofragebogen Cyber-Versicherung

Risikofragebogen Cyber-Versicherung - 1 / 5 - Mit diesem Fragebogen möchten wir Sie und / oder Ihre Firma sowie Ihren genauen Tätigkeitsbereich gerne kennenlernen. Aufgrund der von Ihnen gemachten Angaben besteht für keine Partei die Verpflichtung

Mehr

E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation

E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation Dr. André Wittenburg, Vice President Architektur & Plattformstragie i2b, Bremen, Februar 2012 1 Der E-Postbrief: Ein kurzer Überflug 2 Sicherheit

Mehr

Neuigkeiten in Outpost Firewall Pro 2008

Neuigkeiten in Outpost Firewall Pro 2008 Outpost Firewall Pro 2008 Neuigkeiten Seite 1 [DE] Neuigkeiten in Outpost Firewall Pro 2008 Der Nachfolger der Outpost Firewall Pro 4.0, die neue Version, enthält eine Reihe innovativer Technologien, um

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

StorageCraft ImageManager ist eine voll ausgereifte Ergänzung zu

StorageCraft ImageManager ist eine voll ausgereifte Ergänzung zu Produktszenarien Was kann das Produkt für Sie tun? ist eine voll ausgereifte Ergänzung zu StorageCraft ShadowProtect, mit deren Hilfe Sie von einer einfachen Backup- und Wiederherstellungslösung zu einer

Mehr

BeamYourScreen Sicherheit

BeamYourScreen Sicherheit BeamYourScreen Sicherheit Inhalt BeamYourScreen Sicherheit... 1 Das Wichtigste im Überblick... 3 Sicherheit der Inhalte... 3 Sicherheit der Benutzeroberfläche... 3 Sicherheit der Infrastruktur... 3 Im

Mehr

Account Information Security Programme - Allgemeine Informationen -

Account Information Security Programme - Allgemeine Informationen - Account Information Security Programme - Allgemeine Informationen - Neue Sicherheitsstandards für die Aufbewahrung und Weiterverarbeitung sensibler Karteninhaberdaten Kreditkartenzahlungen erfreuen sich

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur.

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur. MIKOGO SICHERHEIT Inhaltsverzeichnis Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur Seite 2. Im Einzelnen 4 Komponenten der Applikation

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

PRIVILEGED ACCOUNT SECURITY EIN LEITFADEN FÜR DIE ERFOLGREICHE IMPLEMENTIERUNG

PRIVILEGED ACCOUNT SECURITY EIN LEITFADEN FÜR DIE ERFOLGREICHE IMPLEMENTIERUNG PRIVILEGED ACCOUNT SECURITY EIN LEITFADEN FÜR DIE ERFOLGREICHE IMPLEMENTIERUNG Inhalt Privilegierte Benutzerkonten im Überblick...3 Arten von privilegierten Konten...3 Schutz von privilegierten Accounts...4

Mehr

Steuerung der Terminaldienstelizenzierung im Hinblick auf den Informationsfluss zum und vom Internet

Steuerung der Terminaldienstelizenzierung im Hinblick auf den Informationsfluss zum und vom Internet Terminaldienstelizenzierung (Engl. Originaltitel: Terminal Services Licensing) Dieser Abschnitt enthält Informationen zu folgenden Themen: Aufgaben der Terminaldienstelizenzierung Kommunikation der Terminaldienstelizenzierung

Mehr

McAfee Security-as-a-Service -

McAfee Security-as-a-Service - Handbuch mit Lösungen zur Fehlerbehebung McAfee Security-as-a-Service - Zur Verwendung mit der epolicy Orchestrator 4.6.0-Software Dieses Handbuch bietet zusätzliche Informationen zur Installation und

Mehr

Astaro Mail Archiving Service Version 1.0

Astaro Mail Archiving Service Version 1.0 Astaro Mail Archiving Service Version 1.0 Verfahrensdokumentation Inhaltsverzeichnis 1. Einleitung... 2 2. Übersicht... 2 2.1 Production-Cloud... 3 2.2 Backup-Cloud... 3 2.3 Control-Cloud... 3 2.4 Zugangsschutz...

Mehr

Nachtrag zur Dokumentation

Nachtrag zur Dokumentation Nachtrag zur Dokumentation Zone Labs-Sicherheitssoftware Version 6.5 Dieses Dokument behandelt neue Funktionen und Dokumentaktualisierungen, die nicht in die lokalisierten Versionen der Online-Hilfe und

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Automatisiertes Informationsmanagement für Microsoft Exchange Server

Automatisiertes Informationsmanagement für Microsoft Exchange Server Windream Exchange Automatisiertes Informationsmanagement für Microsoft Exchange Server Facts: Zugriff auf E-Mails sowohl aus Microsoft Outlook als auch aus Windream Komfortable Recherche und Verwaltung

Mehr

Betriebskonzept E-Mail Einrichtung

Betriebskonzept E-Mail Einrichtung Betriebskonzept E-Mail Einrichtung www.bolken.ch Klassifizierung öffentlich - wird an die E-Mail Benutzer abgegeben Versionenkontrolle Version Status Verantwortlich Datum 4.0 Genehmigt Gemeinderat 25.03.2015

Mehr

Häufig gestellte Fragen Erfahren Sie mehr über Verified by Visa

Häufig gestellte Fragen Erfahren Sie mehr über Verified by Visa Informationen zu Verified by Visa 2 1. Was ist Verified by Visa? 2 2. Wie funktioniert Verified by Visa? 2 3. Wie schützt mich Verified by Visa? 2 4. Ist der Umgang mit Verified by Visa benutzerfreundlich?

Mehr

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure)

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure) Unterrichtseinheit 5: Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure) Verschlüsselung mit öffentlichen Schlüsseln ist eine bedeutende Technologie für E- Commerce, Intranets,

Mehr

Sophos Computer Security Scan Startup-Anleitung

Sophos Computer Security Scan Startup-Anleitung Sophos Computer Security Scan Startup-Anleitung Produktversion: 1.0 Stand: Februar 2010 Inhalt 1 Einleitung...3 2 Vorgehensweise...3 3 Scan-Vorbereitung...3 4 Installieren der Software...4 5 Scannen der

Mehr

Samsung Drive Manager-FAQs

Samsung Drive Manager-FAQs Samsung Drive Manager-FAQs Installation F: Meine externe Samsung-Festplatte ist angeschlossen, aber nichts passiert. A: Ü berprüfen Sie die USB-Kabelverbindung. Wenn Ihre externe Samsung-Festplatte richtig

Mehr

Code of Conduct FAQ. Was ist der Code of Conduct? Warum braucht B. Braun einen Code of Conduct?

Code of Conduct FAQ. Was ist der Code of Conduct? Warum braucht B. Braun einen Code of Conduct? Code of Conduct FAQ Was ist der Code of Conduct? Der Code of Conduct ist ein Verhaltenskodex, der für alle B. Braun-Mitarbeitenden weltweit gültig ist. Er umfasst zehn Prinzipien, die von den Mitarbeitenden

Mehr

IT-Grundschutzhandbuch: Stand Juli 1999 1

IT-Grundschutzhandbuch: Stand Juli 1999 1 1. Information Security Policy 1.1. Einleitung Die Firma/Behörde ist von Informationen abhängig. Informationen entscheiden über unseren Erfolg und den unserer Kunden. Von größter Wichtigkeit ist neben

Mehr

Cloud-Computing. Selina Oertli KBW 28.10.2014

Cloud-Computing. Selina Oertli KBW 28.10.2014 2014 Cloud-Computing Selina Oertli KBW 0 28.10.2014 Inhalt Cloud-Computing... 2 Was ist eine Cloud?... 2 Wozu kann eine Cloud gebraucht werden?... 2 Wie sicher sind die Daten in der Cloud?... 2 Wie sieht

Mehr

sascha.zinke@splone.com

sascha.zinke@splone.com Verteiltes Scannen in Industrie- Sascha Zinke sascha.zinke@.com Version 1.0 1 1 4 Zusammenfassung Industrielle Netzwerke stellen für die Sicherheit besondere Herausforderungen dar. War bis jetzt vor allem

Mehr

Kompatibilität von Microsoft Exchange Server mit den Microsoft Windows Server-Betriebssystemen

Kompatibilität von Microsoft Exchange Server mit den Microsoft Windows Server-Betriebssystemen Kompatibilität von Microsoft Exchange Server mit den Microsoft Windows Server-Betriebssystemen Whitepaper Veröffentlicht: April 2003 Inhalt Einleitung...2 Änderungen in Windows Server 2003 mit Auswirkungen

Mehr

FIRMENPROFIL. Virtual Software as a Service

FIRMENPROFIL. Virtual Software as a Service FIRMENPROFIL Virtual Software as a Service WER WIR SIND ECKDATEN Die ViSaaS GmbH & Co. KG ist Ihr professioneller Partner für den Bereich Virtual Software as a Service. Mit unseren modernen und flexiblen

Mehr

Konfigurieren eines Webservers

Konfigurieren eines Webservers Unterrichtseinheit 12: Konfigurieren eines Webservers Erleichterung der Organisation und des Verwaltens von Webinhalten im Intranet und Internet. Übersicht über IIS: Der IIS-Dienst arbeitet mit folgenden

Mehr

Informationssicherheit im Application Service Providing (ASP)

Informationssicherheit im Application Service Providing (ASP) Informationssicherheit im Application Service Providing (ASP) - Whitepaper - Mentopolis Consulting & Software Concepts GmbH Inhalt 1 Sicherer ASP-Betrieb als Out-Sourcer 1 2 Informationssicherheits-Management

Mehr

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung 5. November 2012 2012 ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2 Agenda Einführung Konzepte und Prinzipien

Mehr

Motion Computing Tablet PC

Motion Computing Tablet PC Motion Computing Tablet PC TRUSTED PLATFORM MODULE (TPM)-AKTIVIERUNG Benutzerhandbuch Trusted Platform Module-Aktivierung Mit den Infineon Security Platform-Tools und dem integrierten Trusted Computing

Mehr

Dunkel Mail Security

Dunkel Mail Security Dunkel Mail Security email-sicherheit auf die stressfreie Art Unser Service verhindert wie ein externer Schutzschild, dass Spam, Viren und andere Bedrohungen mit der email in Ihr Unternehmen gelangen und

Mehr

PARNDORF DESIGNER OUTLET Arbeits- und Gesundheitsschutz-Strategie Verbesserung des Kundenerlebnisses. Version 3 2012-2013

PARNDORF DESIGNER OUTLET Arbeits- und Gesundheitsschutz-Strategie Verbesserung des Kundenerlebnisses. Version 3 2012-2013 PARNDORF DESIGNER OUTLET Arbeits- und Gesundheitsschutz-Strategie Verbesserung des Kundenerlebnisses Version 3 2012-2013 Erklärung des Vorstands Die Herausforderung ist es, eine langfristige und nachhaltige

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

QI SERVICES. QI RISK.

QI SERVICES. QI RISK. QI SERVICES. QI RISK. 3/7/2014 1 Agenda QI Services Qi Risk Rechtliches Umfeld QI Risk Audit Auf einen Blick Ihr Nutzen Risk Scan 3/7/2014 2 QI Services Mit der Produktgruppe QI Services unterstützen wir

Mehr

FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH

FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH Hosting, Application Management und Geschäftsprozess-Outsourcing Datenschutzbeauftragter: Jens Wiesner Seite 1 1.1 Hosting 1.1.1 Räumliche Voraussetzungen

Mehr

Richtlinie für Verfahren für interne Datenschutz-Audits

Richtlinie für Verfahren für interne Datenschutz-Audits Richtlinie für Verfahren für interne Datenschutz-Audits Freigabedatum: Freigebender: Version: Referenz: Klassifikation: [Freigabedatum] Leitung 1.0 DSMS 01-01-R-05 Inhaltsverzeichnis 1 Ziel... 2 2 Anwendungsbereich...

Mehr

Bestimmungen zur Kontrolle externer Lieferanten. Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko

Bestimmungen zur Kontrolle externer Lieferanten. Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko 1. Ressourcenschutz und Systemkonfiguration 2. Änderungs- und Patchmanagement Die

Mehr

Ungenauigkeiten der Filterung

Ungenauigkeiten der Filterung A Ungenauigkeiten der Filterung Kein Filter ist perfekt. Mit Ihrer Hilfe strebt MailCleaner an, ein perfekter Filter zu werden. Die Filterung, die von MailCleaner durchgeführt wird, beruht auf automatischen

Mehr

Diese Privacy Policy gilt nur für in der Schweiz wohnhafte Personen. Wie wir Ihre persönlichen Daten verarbeiten und schützen

Diese Privacy Policy gilt nur für in der Schweiz wohnhafte Personen. Wie wir Ihre persönlichen Daten verarbeiten und schützen Datenschutz Bei Genworth Financial geniesst der Schutz Ihrer Privatsphäre einen hohen Stellenwert. Wir schätzen das Vertrauen, das Sie uns entgegenbringen. Mit diesen Informationen möchten wir Ihnen aufzeigen,

Mehr

Netzwerk- Prüfung Risikobericht

Netzwerk- Prüfung Risikobericht Netzwerk- Prüfung Risikobericht VERTRAULICHE Informationen: Die in diesem Bericht enthaltene Informationen sind ausschließlich für den Gebrauch des oben angegebenen Kunden und enthält unter Umständen vertrauliche,

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

I. Für Benutzer mit Wohnsitz in den Vereinigten Staaten von Amerika gelten die Bestimmungen dieses Absatzes I:

I. Für Benutzer mit Wohnsitz in den Vereinigten Staaten von Amerika gelten die Bestimmungen dieses Absatzes I: Datenschutz- und Sicherheitsrichtlinien Schutz und Sicherheit von personen- und gesundheitsbezogenen Daten haben für Outcome Sciences, Inc. d/b/a Outcome ( Outcome ) höchste Priorität. Outcome behandelt

Mehr

Compliance mit dem IEM Endpoint Manager durchsetzen

Compliance mit dem IEM Endpoint Manager durchsetzen Compliance mit dem IEM Endpoint Manager durchsetzen PPPvorlage_sxUKMvo-05.00.potx santix AG Mies-van-der-Rohe-Straße 4 80807 München www.santix.de santix AG 2 Sicherheit in der IT Was bedeutet Sicherheit

Mehr

Häufig gestellte Fragen Erfahren Sie mehr über MasterCard SecureCode TM

Häufig gestellte Fragen Erfahren Sie mehr über MasterCard SecureCode TM Informationen zu MasterCard SecureCode TM 3 1. Was ist der MasterCard SecureCode TM? 3 2. Wie funktioniert MasterCard SecureCode TM? 3 3. Wie schützt mich MasterCard SecureCode TM? 3 4. Ist der Umgang

Mehr

BSH-FX (File Exchange) Datenaustausch mit registrierten Mailbox-Usern

BSH-FX (File Exchange) Datenaustausch mit registrierten Mailbox-Usern BSH-FX (File Exchange) Dokumentation für BSH-Mitarbeiter und externe Partner für den Datenaustausch mit registrierten Mailbox-Usern Stand: 24.06.2015, Version 1.01 Inhalt Inhalt... 2 Allgemeines zum BSH-FX

Mehr

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Die Server von blau direkt werden in einem Nürnberger Rechenzentrum betrieben. Mit den beteiligten Dienstleistern wurden ordnungsgemäße

Mehr

Die Website oder unsere betreffenden Dienstleistungen können zeitweilig aus verschiedenen Gründen und ohne Vorankündigung nicht verfügbar sein.

Die Website oder unsere betreffenden Dienstleistungen können zeitweilig aus verschiedenen Gründen und ohne Vorankündigung nicht verfügbar sein. Nutzungsbedingungen Die Website Eislaufbörse ECZ-KLS (nachfolgend die "Website") gehört der Kunstlaufsektion ECZ (nachfolgend "KLS-ECZ.CH" oder "wir", "uns", etc.), welche sämtliche Rechte an der Website

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

Testfragen PRINCE2 Foundation

Testfragen PRINCE2 Foundation Testfragen PRINCE2 Foundation Multiple Choice Prüfungsdauer: 20 Minuten Hinweise zur Prüfung 1. Sie sollten versuchen, alle 25 Fragen zu beantworten. 2. Zur Beantwortung der Fragen stehen Ihnen 20 Minuten

Mehr

Schritt- für- Schritt Anleitung: Einrichten der Datenvererbung

Schritt- für- Schritt Anleitung: Einrichten der Datenvererbung Schritt- für- Schritt Anleitung: Einrichten der Datenvererbung Inhaltsverzeichnis Schritt- für- Schritt Anleitung: Einrichten der Datenvererbung 1 Überblick: Rollen bei der Datenvererbung 1 So aktivieren

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für den Webshop RWE SmartHome Shop die Erfüllung aller Anforderungen

Mehr

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers Anlage zum Vertrag zur Auftragsdatenverarbeitung Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers im Rahmen der Auftragsdatenverarbeitung? Wir helfen: www.activemind.de

Mehr

Mobile Device Management

Mobile Device Management Mobile Device Management Ein Überblick über die neue Herausforderung in der IT Mobile Device Management Seite 1 von 6 Was ist Mobile Device Management? Mobiles Arbeiten gewinnt in Unternehmen zunehmend

Mehr

den sicherheitskritischen Bereich Christoph Schmiedinger Frankfurter Entwicklertag 2015 24.02.2015

den sicherheitskritischen Bereich Christoph Schmiedinger Frankfurter Entwicklertag 2015 24.02.2015 Agile Methoden als Diagnose-Tool für den sicherheitskritischen Bereich Christoph Schmiedinger Frankfurter Entwicklertag 2015 24.02.2015 Über mich Berufliche Erfahrung 3 Jahre Projektabwicklung 2 Jahre

Mehr

Kurzpräsentation zum Thema Vulnerability Scanning. by WellComm AG, Lengnau Seite 1

Kurzpräsentation zum Thema Vulnerability Scanning. by WellComm AG, Lengnau Seite 1 Kurzpräsentation zum Thema Vulnerability Scanning by WellComm AG, Lengnau Seite 1 Januar 2005 IT Risk Management Prozess Prozessschritt 1. Informationsbeschaffung 2. Analyse 3. Umsetzung 4. Kontrolle Modul

Mehr

Microsoft SharePoint 2013 Designer

Microsoft SharePoint 2013 Designer Microsoft SharePoint 2013 Designer Was ist SharePoint? SharePoint Designer 2013 Vorteile SharePoint Designer Funktionen.Net 4.0 Workflow Infrastruktur Integration von Stages Visuelle Designer Copy & Paste

Mehr

Marcel Oberli Head of Confidence CASSARiUS AG 031 384 05 11 marcel.oberli@cassarius.ch

Marcel Oberli Head of Confidence CASSARiUS AG 031 384 05 11 marcel.oberli@cassarius.ch Unified Communications Security Marcel Oberli Head of Confidence CASSARiUS AG 031 384 05 11 marcel.oberli@cassarius.ch 2 Geschäftseinheiten CASSARiUS Fortune Business und Informatik im Einklang. CASSARiUS

Mehr

DATENBLATT. Deutsche IT-Monitoring Software. Fon: 0 68 81-9 36 29 77 Fax: 0 68 81-9 36 29 99. Koßmannstraße 7 66571 Eppelborn

DATENBLATT. Deutsche IT-Monitoring Software. Fon: 0 68 81-9 36 29 77 Fax: 0 68 81-9 36 29 99. Koßmannstraße 7 66571 Eppelborn DATENBLATT Datenblatt IT Monitoring mit bedeutet Monitoring von Hardware, Software, Netzwerke und Kommunikation. bietet Lösungsansätze, mit denen Partner die Anforderungen ihrer Kunden optimal bedienen

Mehr

Whitepaper. EDIFACT-Signatur-, Verschlüsselungs- und Mailcockpit

Whitepaper. EDIFACT-Signatur-, Verschlüsselungs- und Mailcockpit Whitepaper EDIFACT-Signatur-, Verschlüsselungs- und Mailcockpit Funktionsumfang: Plattform: Verschlüsselung, Signierung und email-versand von EDIFACT-Nachrichten des deutschen Energiemarktes gemäß der

Mehr

Bring Your Own Device

Bring Your Own Device Bring Your Own Device Was Sie über die Sicherung mobiler Geräte wissen sollten Roman Schlenker Senior Sales Engineer 1 Alles Arbeit, kein Spiel Smartphones & Tablets erweitern einen Arbeitstag um bis zu

Mehr

Solidpro Support- Richtlinien

Solidpro Support- Richtlinien Solidpro Support- Richtlinien Inhalt Support-Anfrage 2 Online-Übermittlung 2 Telefonische Übermittlung 4 Eskalation 5 Eskalation Erste Schritte 5 Wann und wie eskaliere ich eine Support-Anfrage? 5 Welche

Mehr

Diese Datenschutzbestimmungen gelten für alle Anwendungen (APPS) von SEMYOU.

Diese Datenschutzbestimmungen gelten für alle Anwendungen (APPS) von SEMYOU. Datenschutzbestimmungen von SEMYOU Letzte Aktualisierung: Mai 1st, 2015 Der Datenschutz ist eine der Grundlagen der vertrauenswürdigen Datenverarbeitung von SEMYOU. SEMYOU bekennt sich seit langer Zeit

Mehr

SHAREPOINT 2010. Überblick für Anwender

SHAREPOINT 2010. Überblick für Anwender SHAREPOINT 2010 Überblick für Anwender SHAREPOINT 2010 AGENDA 01 Was ist SharePoint? Basisinfrastruktur Funktionsbereiche Versionen 02 Datenmanagement Listen Bibliotheken Workflows 2 05.06.2012 Helena

Mehr

Sie tätigen mit uns oder einer anderen Tochtergesellschaft des Lindt Konzerns Handelsgeschäfte,

Sie tätigen mit uns oder einer anderen Tochtergesellschaft des Lindt Konzerns Handelsgeschäfte, Diese Datenschutzrichtlinie ist auf dem Stand vom 05. November 2012. Die vorliegende Datenschutzrichtlinie legt dar, welche Art von Informationen von Chocoladefabriken Lindt & Sprüngli GmbH ( Lindt ) erhoben

Mehr

Collax E-Mail Archive Howto

Collax E-Mail Archive Howto Collax E-Mail Archive Howto Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als E-Mail Archive eingerichtet werden kann, um Mitarbeitern Zugriff auf das eigene E-Mail Archiv

Mehr

Die Kunst, sicher die Effizienz zu steigern: Integration von smarten Endgeräten

Die Kunst, sicher die Effizienz zu steigern: Integration von smarten Endgeräten Die Kunst, sicher die Effizienz zu steigern: i GmbH Vorstellung des Unternehmens unabhängiges, privates Beratungsunternehmen seit 2002 Spezialisierung auf: Sicherheitsberatung Konzepterstellung und überprüfung

Mehr

2008 Nokia. Alle Rechte vorbehalten. Nokia, Nokia Connecting People und Nseries sind Marken oder eingetragene Marken der Nokia Corporation.

2008 Nokia. Alle Rechte vorbehalten. Nokia, Nokia Connecting People und Nseries sind Marken oder eingetragene Marken der Nokia Corporation. Laden! Ausgabe 1 2008 Nokia. Alle Rechte vorbehalten. Nokia, Nokia Connecting People und Nseries sind Marken oder eingetragene Marken der Nokia Corporation. Nokia tune ist eine Tonmarke der Nokia Corporation.

Mehr

CA Business Service Insight

CA Business Service Insight PRODUKTBLATT: CA Business Service Insight CA Business Service Insight agility made possible Mit CA Business Service Insight wissen Sie, welche Services in Ihrem Unternehmen verwendet werden. Sie können

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 53227 Bonn Copyright Scopevisio AG. All rights reserved. Seite 1 von 11 Copyright Scopevisio AG. All rights reserved. Seite 2 von 11 Inhalt

Mehr

KAPITEL 4: FALLSTUDIE DDOS-ANGRIFF AUF EINE WEBANWENDUNG DER GLOBAL THREAT INTELLIGENCE REPORT 2015 :: COPYRIGHT 2015 NTT INNOVATION INSTITUTE 1 LLC

KAPITEL 4: FALLSTUDIE DDOS-ANGRIFF AUF EINE WEBANWENDUNG DER GLOBAL THREAT INTELLIGENCE REPORT 2015 :: COPYRIGHT 2015 NTT INNOVATION INSTITUTE 1 LLC KAPITEL 4: FALLSTUDIE DDOS-ANGRIFF AUF EINE WEBANWENDUNG 1 DDOS-ANGRIFF AUF EINE WEBANWENDUNG LEHRE AUS DER FALLSTUDIE Im Falle eines Angriffs zahlt sich eine DoS-/DDoS-Abwehrstrategie aus. SZENARIO Das

Mehr

iphone und ipad im Unternehmen? Ja. Sicher.

iphone und ipad im Unternehmen? Ja. Sicher. iphone und ipad im Unternehmen? Ja. Sicher. Im aktivierten Smartcard-Modus ist der unautorisierte Zugriff auf Geschäftsdaten in SecurePIM nach heutigem Stand der Technik nicht möglich. Ihr Upgrade in die

Mehr

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand.

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand. PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand. SERVICES appsphere ist spezialisiert auf Sicherheitsanalysen und Lösungsentwicklungen für den zuverlässigen Schutz von Web-Applikationen

Mehr

Überwachung und Überprüfung privilegierter Benutzer mit IBM Tivoli Compliance Insight Manager

Überwachung und Überprüfung privilegierter Benutzer mit IBM Tivoli Compliance Insight Manager Lösungen für Security Information and Event Management Zur Unterstützung Ihrer Geschäftsziele Überwachung und Überprüfung privilegierter Benutzer mit IBM Tivoli Compliance Insight Manager Unbefugte Aktivitäten

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

McAfee Email Gateway Blade Server

McAfee Email Gateway Blade Server Schnellstart Handbuch Revision B McAfee Email Gateway Blade Server Version 7.x In diesem Schnellstart Handbuch erhalten Sie einen allgemeinen Überblick über die Einrichtung des McAfee Email Gateway Blade

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Microsoft-Sicherheitstools: Fragen und Antworten zum Microsoft Baseline Security Analyzer Version 1.1

Microsoft-Sicherheitstools: Fragen und Antworten zum Microsoft Baseline Security Analyzer Version 1.1 Microsoft-Sicherheitstools: Fragen und Antworten zum Microsoft Baseline Security Analyzer Version 1.1 (Engl. Originaltitel: Microsoft Baseline Security Analyzer (MBSA) Version 1.1 Q&A) Inhalt F: Welche

Mehr

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG) Unternehmen: Branche: Ansprechpartner: Position: Straße: PLZ / Ort: Tel.: Mail: Website: Kontaktdaten Datenschutzbeauftragter: Fax: Sicherheitspolitik des Unternehmens JA NEIN 01. Besteht eine verbindliche

Mehr