Branchenbuch IT-Sicherheit

Größe: px
Ab Seite anzeigen:

Download "Branchenbuch IT-Sicherheit"

Transkript

1 Branchenbuch IT-Sicherheit 015

2 IT-SICHERHEIT Fachmagazin für Informationssicherheit und Compliance Sonderausgabe: Branchenbuch IT-Sicherheit 2015 Verlag: DATAKONTEXT Verlagsgruppe Hüthig Jehle Rehm GmbH Augustinusstraße 9d, Frechen Tel.: / Fax: / Vertrieb: Jürgen Weiß Chefredaktion: Jan von Knop Stellvertretender Chefredakteur: Stefan Mutschler Redaktion: Faatin Hegazi Thomas Reinhard-Rief Herausgeber: Bernd Hentschel Layout: Britta Happel Anzeigen- & Objektleiter: Thomas Reinhard-Rief Druck: AZ Druck und Datentechnik GmbH, Kempten DATAKONTEXT Mit Namen gekennzeichnete Beiträge stellen nicht unbedingt die Meinung der Redaktion oder des Verlages dar. Für unverlangt eingeschickte Manuskripte übernehmen wir keine Haftung. Mit der Annahme zur Veröffentlichung erwirbt der Verlag vom Verfasser alle Rechte, einschließlich der weiteren Vervielfältigung zu gewerblichen Zwecken. Die Zeitschrift und alle in ihr enthaltenen Beiträge und Abbildungen sind urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Titelbild: Spectral-Design fotolia.com Fotos: Firmenbilder; DATAKONTEXT; (Antonio Gravante, grandaded, ktsdesign, Gina Sanders, vladgrin, lassedesignen, Clemens Schüßler, blacksock, massimo, Franz Pfluegl, Giuseppe Porzani, Jürgen Priewe, olly, Andrey_Kuzmin, blobbotronic, high_resolution, elypse, alphaspirit, karelnoppe, M. Schuppich, Maksim Kabakou, drik, kange_one, Creativeapril, Photocreo Bednarek, Lars Christensen) fotolia.com 3. Jahrgang 2015 ISSN: Anzeige einfach anschaulich vielseitig Müthlein/Semmler/Kränke Datenschutzeinführung für Mitarbeiter und Führungskräfte Sofort einsetzbares PowerPoint-Folienpackage zur Datenschutzschulung zielgruppenspezifisch aufbereitet und mit Referentenleitfaden Version 2.0, 2013 auf CD-ROM + Online-Update 129,95 inkl. 19 % MwSt. ISBN Nutzen Sie die vortragsfertigen PowerPoint-Sets für folgende Zielgruppen: Führungskräfte Mitarbeiter Fachbereich IT Fachbereich HR Call-Center Verlagsgruppe Hüthig Jehle Rehm GmbH Standort Frechen Tel / Fax 02234/

3 Mit Herzblut ins Verderben? Liebe Leserinnen und Leser, im Bereich der Internetkriminalität sind mittlerweile sämtliche Grenzen gefallen, wie uns das letzte Jahr gelehrt hat. Cyberangriffe haben eine neue Dimension erreicht, sie werden zielgerichteter und komplexer und treffen Unternehmen zunehmend genau dort, wo es richtig schmerzhaft ist. Ein paar Beispiele? Anfang April letzten Jahres ist ein schwerwiegender Programmierfehler im Open-SSL-Protokoll öffentlich geworden es war die Geburtsstunde des sogenannten Heartbleed -Bugs. Heartbleed ermöglichte es, das RAM eines Remote-Rechners Stück für Stück auszulesen, um so an Usernamen und -Passwörter zu gelangen die Folgen konnten durchaus dazu beitragen, dem Betroffenen das Herz bluten zu lassen Im September 2014 wurde bekannt, dass durch eine fatale Sicherheitslücke in der Unix-Shell Bash Linux- und MAC OS X-Betriebssysteme remote gesteuert und somit kontrolliert werden konnten. Das NIST (National Institute of Standards and Technology) bewertete das Schadenspotenzial dieser Sicherheitslücke mit 10 was dem Maximum entspricht. Heartbleed und Shellshock nur zwei Sicherheitslücken, die uns deutlich unsere Grenzen aufzeigen und den Beginn einer neuen Ära begründen. Mit dem Branchenbuch IT-Sicherheit haben Sie jedoch die Möglichkeit, das Zepter wieder in die Hand zu nehmen und die für Ihr Unternehmen passende Technologie oder IT-Sicherheitsberatung zu finden. In 27 Rubriken rund um das Thema IT-Sicherheit gegliedert, finden Sie nebst einem herstellerneutralen Einleitungstext zu der jeweiligen Security-Sparte eine Zusammenstellung von Unternehmen, die in diesem Sektor Spezialisten sind und Lösungen anbieten. Zu guter Letzt empfehlen wir Ihnen, Ihre IT-Sicherheitsinfrastruktur einer gründlichen Prüfung, wenn nicht sogar Kernsanierung, zu unterziehen. Gehen Sie Ihren Admin ruhig mal im Keller besuchen (und bringen Sie Kaffee mit), denn in der Regel ist er es, der von Berufs wegen Ihre IT- Sicherheitslandschaft sehr gut kennt und Sie beraten kann, an welchem Punkt Sie optimalerweise ansetzen sollten, um Ihr unternehmenseigenes System auf Herz und Nieren prüfen zu lassen. Passen Sie auf sich auf! Ihre Inhalt: Impressum...2 Abhörschutz...4 Akten-/Datenträgervernichtung, Datenlöschung...6 Authentifizierung/Identity Management/IAM...8 Backup & Restore...10 Business Continuity...12 Cloud Security...14 Compliance/GRC...16 Data Leakage Prevention...18 Datenbanksicherheit...20 Datenschutz...22 Disaster Recovery Sicherheit...26 Firewall-Systeme...28 IT-Sicherheitsberatung...30 Kryptografie...32 Malware/Virenschutz...34 Managed Security Services...36 Mobile Device Management...38 Netzwerk-Monitoring...40 Remote Access...42 Risikomanagement...44 Rechenzentrumssicherheit...46 Faatin Hegazi Thomas Reinhard-Rief Security Awareness...48 Sicherung mobiler Endgeräte...50 USV-Systeme...52 Web Application Security...54 Zugriffskontrolle/NAC Firmenporträts A-Z...58

4 Abhörschutz Dr. Hans-Christoph Quelle, Secusmart GmbH Schutz der Privatsphäre Das Pferd frisst keinen Gurkensalat. Das war der erste Satz, der vor über 150 Jahren über den Vorläufer eines Telefons gesprochen wurde. Philipp Reis, der Erfinder dieser Apparatur, hatte vielleicht sogar geahnt, dass diese Innovation zur Übertragung von Sprache oder Musik die Weltgeschichte verändern würde. Und tatsächlich sorgte das Telefon, mit dem Worte plötzlich weite Strecken zurücklegen konnten, für ein unvorstellbares Ausmaß an neuen Möglichkeiten und Chancen. Es war eine Erfindung, die das gesamte menschliche Kommunikationsverhalten beschleunigte und damit entscheidend veränderte. B ei allem Neuen blieb anderes allerdings gleich: Der Mensch will noch immer Dinge von anderen erfahren und Informationen sammeln. Und das auch dann wenn der Gesprächspartner damit nicht einverstanden ist. Wissen gibt schließlich dem Einzelnen Macht und sorgt auch in Politik und Wirtschaft für Vorteile und den schnellen Fortschritt. Das Gegenüber, der Belauschte, hat natürlich kein Interesse daran, dass ein anderer sein Wissen und seine Innovationen nutzt. Er plant also den Schutz und die Sicherheit des gesprochenen Wortes. Der telefonische Abhörschutz hat die große Aufgabe, diesen Interessenkonflikt zu lösen, und trägt die Verantwortung dafür, die Privatsphäre zu schützen. Von der Sprachübertragung zur Wissenschaft Noch bevor allerdings auch nur eine einzige Person daran dachte, telefonische Gespräche zu schützen, beeindruckte die Erfindung des Telefons an sich. Tatsächlich muss das erste Festnetztelefon eindrucksvoll gewesen sein. Ähnlich wie bei der ersten bewegten Bildsequenz, als der Zug auf das erschrockene Publikum zuraste, schien es unglaublich, dass Sprache losgelöst vom Menschen an anderer Stelle hörbar gemacht werden konnte. Es dauerte ein ganzes Jahrhundert, bis das Mobiltelefon seinen ersten Auftritt hatte und die Revolution des Telefons fortführte. Jetzt war Kommunikation nicht mehr gebunden, sondern konnte von beinahe überall geführt werden. In einem nächsten Evolutionsschritt ging es um die Verbindung von Internet und Mobilfunk. Damit trat das Smartphone in den Alltag ein und begann, Kommunikation, Unterhaltung und Leben zu vermischen. Mit jedem weiteren Meilenstein der Erfindungen wurde Neues möglich, wie etwa Gespräche zu speichern und erst später abzurufen durch den Anrufbeantworter. Doch genau solche Vorteile öffnen auch dem Missbrauch Tür und Tor. Indem Gespräche gespeichert werden 4

5 können, kann auch ihr Inhalt verändert und neu genutzt werden. Und wie so ein Missbrauch funktioniert, kann jeder Neugierige ganz einfach im Internet erfahren. Der Interessierte erfährt dabei auch schnell, dass es immer spannender wird, das Ohr an den inzwischen unverzichtbaren, smarten Begleiter Smartphone zu halten. Inzwischen werden Daten jeglicher Art über die Geräte abgewickelt, von Telefonaten über s bis hin zu Bankverbindungen. Alles Informationen, die für Dritte interessant sein könnten. Im großen Stil geht es um Industriespionage und politische Querelen. Im Einzelfall geht es für die einzelne Person um nichts Geringeres als um ihre eigene Identität. Diese kann, ebenso wie ein Gespräch, gespeichert, verändert und anderweitig genutzt werden. Welche Ausmaße die Entwicklung des Abhörens und Beobachtens angenommen hatte, das wurde spätestens durch die Enthüllungen von Edward Snowden und die NSA-Abhöraffäre öffentlich. Politik, Wirtschaft und jeder Einzelne Der Skandal, mit dem Snowden die Welt erschütterte, gab Anbietern von Sicherheitslösungen neuen Auftrieb. Es ist ein weiteres Beispiel dafür, wie die Meilensteine der telefonischen Kommunikation begleitet wurden von der parallelen Geschichte der Ver- und Entschlüsselung. Die Verschlüsselung begann im Kleinen mit manuellen Versuchen, die Informationen in geheime Schriften zu übersetzen, die das Gegenüber wieder von Hand entzifferte. Ein Verfahren, das automatisiert wurde, um schneller Geheimnisse zu erschaffen und Rätsel sofort lösen zu können. Bekannte Verschlüsselungsmaschinen wie die Enigma übernahmen solche Aufgaben. Jahr für Jahr wurde es wichtiger, informiert zu sein. Und Jahr für Jahr wurde aufs Neue versucht, Mitteilungen geheim zu halten. Und so wurde die Kryptologie Schritt für Schritt zur Wissenschaft. Kryptologie sollte im Auftrag der Informationssicherheit dafür sorgen, dass der Feind im Krieg weder Marschbefehle noch die Standorte von U-Booten erfährt. In der Politik sollte sie verhindern, dass ganze Telefonate mit angehört, aufgezeich- net und der Öffentlichkeit zugänglich gemacht werden können. Die Kryptologie wirkt auch der Industriespionage entgegen. Für die Wirtschaft geht es um viel Geld. Bisher beläuft sich beispielsweise der jährliche finanzielle Schaden allein in Deutschland laut der aktuelle Corporate- Trust-Studie Cybergeddon auf knapp 12 Milliarden Euro. Sicherheitslösungen brauchen den Einzelnen Viele Hersteller bieten Möglichkeiten an, die vor solchen Angriffen schützen. Politische Institutionen und Behörden weltweit sichern ihre Kommunikation bereits mit einer Abhörschutzlösung. Doch alle Angriffe und auch die Enthüllungen von Edward Snowden, die eine Welle der Entrüstung ausgelöst hatten, haben es bisher noch nicht geschafft, auch jeden Einzelnen davon zu überzeugen, seine Daten zu schützen. Nur ein Schutz, der jeder einzelnen Anspruchsgruppe individuell begegnet, kann an dieser Stelle Abhilfe schaffen. Es gibt bereits komfortable Abhörschutzlösungen. Sie lösen den Konflikt auf zwischen dem Schutz einzelner Geräte und den Wünschen der Mitarbeiter, jedwede App oder das mobile Internet zu nutzen. Sicherheit wird zum Standard werden, die jeder Nutzer so wählt, wie er sie haben möchte. Abhörsicheres Telefonieren ist das Recht jedes Einzelnen auf Privatsphäre und das ist eine Frage der Selbstbestimmung. Produktanbieter:... Seite 94 5

6 Akten-/Datenträgervernichtung, Datenlöschung Thomas Wirth, Blancco Central Europe Daten revisionssicher entsorgen Das richtige Handling der immer schneller anwachsenden digitalen Datenmengen entscheidet in Zukunft unternehmerischen Erfolg wesentlich mit, vor allem wenn es sich um sensible Geschäfts- und Personendaten handelt. Das Datenmanagement geht dabei bereits heute weit über das reine Speichern und Verwaltung der Daten während ihres Lebenszyklus hinaus und betrifft, unter anderem aus rechtlichen Gründen, auch Endof-Life-Szenarien, also alles rund um die nachweisbare und rechtskonforme Löschung der Daten. Schätzungen zufolge werden sich die digitalen Datenmengen von derzeit etwa einem Zettabyte bis 2020 vervierzigfachen. Vor diesem Hintergrund gesellt sich zu der Herausforderung, wie sensible Daten gespeichert und geschützt werden können, immer dringlicher die Frage, wie sich diese Daten nach ihrer Verwendung wieder zuverlässig löschen lassen. Das Problem ist: Unternehmen und Behörden sammeln immer mehr Daten, müssen diese aber irgendwann auch wieder sicher und nachweislich löschen. Branchenübergreifend stehen Unternehmen und Organisationen beim Datenlösch-Management vor ähnlichen Problemen: Die IT-Technologien verändern sich und verlangen nach neuen Strategien und Lösungen. Ob auf Smartphones, SSD-Speichern (USB-Sticks, SD-Cards etc.) oder in der virtuellen Cloud viele sensible Unternehmensdaten, und dazu gehören auch personenbezogene Daten, befinden sich längst nicht mehr nur auf der Festplatte des Büro-Rechners, sondern sind auf viele Speicher-Orte verteilt. Das stellt neue Anforderungen an die Datenlöschung, ebenso wie zunehmend schärfere nationale und EU-weite Datenschutzverordnungen und -gesetze. Auch wenn die technischen Möglichkeiten der Gesetzgebung meistens voraus sind, werden bei unbefugter Datennutzung mittlerweile sehr viel höhere Strafen verhängt als noch vor einigen Jahren. Verschärft wird die Datenlösch-Problematik durch den Umstand, dass dieses Thema noch gar nicht vollumfänglich ins Bewusstsein vieler Unternehmen gedrungen ist. Die Datenlöschung erfolgt häufig unstrukturiert und neue Technologien wie Cloud- Dienste oder Mobile Devices nutzt man einfach mal drauf los ohne Konzepte parat zu haben, wie man die dort gespeicherten Daten wieder zuverlässig und gesetzeskonform löschen kann. 6

7 Die Erfassung und Verarbeitung riesiger Datenmengen in sehr kurzer Zeit Stichwort Big Data ist heute ohne Probleme machbar. Neue technologische Entwicklungen und immer effizientere Speichermedien machen es möglich. Sowohl für Unternehmen, Behörden als auch für Dienstleister ergeben sich daraus ganz neue Perspektiven und Geschäftsfelder. Oft jedoch wird die Frage nach der Datenlöschung zu spät gestellt. Dabei sollte schon bei der Entwicklung eines Konzepts, welches die Erfassung und Verarbeitung großer Datenmengen betrifft, an die Löschung der Daten gedacht werden nicht zuletzt wegen rechtlicher Bestimmungen. So sind etwa Anbieter von Cloud-Diensten gesetzlich verpflichtet, im Falle einer Kündigung seitens eines Kunden sämtliche seiner Daten sicher und endgültig aus der Cloud zu löschen. Gezieltes Datenlöschmanagement ist zudem auch aus einem ganz anderen Grund von unternehmensstrategischer Bedeutung: Denn vor dem Hintergrund zahlreicher, die Öffentlichkeit immer wieder alarmierender Skandale von Datenklau und -missbrauch kann ein Imageschaden bei Kunden oder Geschäftspartnern über kurz oder lang zu finanziellen Einbußen führen und sich damit letztendlich konkret auf den Erfolg und die Wettbewerbsfähigkeit von Unternehmen auswirken. Professionelles Datenlöschmanagement liegt damit im ureigenen Interesse von Unternehmen. Produktanbieter:... Seite 74 Berater/Dienstleister:... Seite Seite 74 Dreh- und Angelpunkt bei der Entwicklung von Datenlösch- Strategien ist eine ganzheitliche Sicht auf das Vorhaben bei gleichzeitiger Berücksichtigung der jeweiligen unternehmensspezifischen Anforderungen und Datenstrukturen. Nach Analyse der Ist-Situation (Was muss wann gelöscht werden?) wird ein Plan beziehungsweise eine Strategie für die Soll-Situation mit Blick auf die Einhaltung von gesetzlichen Bestimmungen, Anforderungen der Security Policy des Unternehmens und andere Faktoren erstellt. Bisweilen gilt es im Rahmen einer solchen Strategieentwicklung, das Bewusstsein für das Thema Datenlöschung unternehmensintern zu schärfen beziehungsweise überhaupt erst zu schaffen. So hält etwa der Löschbutton bei Windows mitnichten das, was er verspricht gelöscht wird hier nicht wirklich. Der Befehl Löschen oder Entfernen verändert lediglich die File Allocation Table (FAT). Die Daten bleiben auf der Festplatte und lassen sich mit geringem Aufwand wieder auslesen. Entscheidend bei der Umsetzung der Datenlösch-Strategie ist die Auswahl der richtigen Lösung. Wichtig ist eine wirklich sichere Löschung der Daten, denn Löschung ist nicht gleich Löschung: Häufig werden geschützte Bereiche der Festplatte überhaupt nicht gelöscht. Die eingesetzten Produkte sollten von unabhängiger Seite zertifiziert und getestet sein. Neben der richtigen Löschtechnologie, Bedienkomfort und Einhaltung gesetzlicher Richtlinien zählt dabei die Qualität des Berichtswesens: Nur wenn umfassende Löschprotokolle nachweisen, dass der Datenlöschprozess erfolgreich war, können Unternehmen in Prüfaudits bestehen. Die Wahl sollte deshalb immer auf einen zertifizierten Anbieter fallen. Modifizierter Auszug aus einem Beitrag von Thomas Wirth, Blancco Central Europe, erschienen in der IT-SICHERHEIT 4/

8 Authentifizierung/IdM/IAM Norbert Pohlmann Wer bin ich? Mehrmals täglich müssen wir uns gegenüber einem Großrechner, einem Server, unserem PC, unserem Notebook, unserem Smartphone oder einem Online-Dienst identifizieren. Doch woher wissen Computer und Internet-Dienstleister wie Facebook, Amazon oder Google, dass der Zugreifende auch derjenige ist, mit dem eine Interaktion gewünscht ist? die Eindeutigkeit der Identität von den Standesämtern garantiert. Eine Identifikation muss innerhalb eines Systems (einer Organisation) abgesprochen sein, damit sie eindeutig ist. Oft werden gültige -Adressen als Identifikation verwendet, weil diese immer und auch weltweit eindeutig sind. Als Erstes muss sich der Nutzer gegenüber dem Computer oder dem Internet-Dienst identifizieren und authentifizieren. Diese Identifikation ist die Angabe eines kennzeichnenden Merkmals, zum Beispiel des Benutzernamens. Im täglichen Leben wird eine Person eindeutig durch die Angabe von Vorname, Nachname, Geburtsort und Geburtstag identifiziert. In den meisten Ländern wird Die Authentifizierung ist die Überprüfung der angegebenen Identität oder die Überprüfung, ob jemand echt oder berechtigt ist. Für die Authentifizierung von Benutzern sind unterschiedliche Authentisierungsverfahren möglich: Einfache Passwortverfahren, Einmal-Passwort-, 8

9 Biometrie- und Challenge-Response-Verfahren. Besonders sicher sind kryptographische Verfahren, die mit Hilfe von Security-Token arbeiten. Das heute noch meist verwendet, aber gleichzeitig auch das am wenigsten geeignete Authentifizierungsverfahren ist das Passwortverfahren. Denn der Einsatz eines einfachen Passwortmechanismus bringt zahlreiche Sicherheitsprobleme mit sich. Mit der steigenden Anzahl von genutzten Computern und Internet-Diensten wird die Sammlung an verschiedenen Passwörtern der Nutzer immer größer. Probleme, die hier in der Breite auftreten, sind die Verwendung von qualitativ schlechten Passwörtern, die Verwendung eines guten Passworts für unterschiedliche Dienste oder die Übertragung von Passwörtern im Klartext in Http-Sessions oder in s. Häufig vorkommende Angriffsmethoden auf den einfachen Passwortmechanismus sind Trojanische Pferde mit Key-Logger-Funktionen auf den Zugangs-Computern (PC, Notebook, Smartphone, Internet-Cafe-Rechner ), Phishing-Webseiten und/oder Social Engineering. Bei Einmal-Passwörtern wird jedes Passwort nur einmal verwendet. Hier gibt es im Prinzip zwei unterschiedliche Methoden: Passwörter werden im Vorfeld bestimmt und verteilt oder der Benutzer kann sie nach einem definierten Verfahren berechnen. Biometrie ist die Identifikation und Authentisierung mittels biologischer Merkmale. Biometrische Authentisierung verwendet physiologische oder verhaltenstypische, also personengebundene Charakteristika. Der Vorteil liegt darin, dass biometrische Merkmale nicht gestohlen und im Allgemeinen nur schwer kopiert werden können. Dabei können biometrische Merkmale auf viele Arten gemessen werden. Die unterschiedlichen Verfahren messen zum Beispiel das Tippverhalten an einer Tastatur, die Fingergeometrie, das Fingerlängenverhältnis oder die Handgeometrie. Weitere Möglichkeiten sind die Stimmanalyse, die Gesichtserkennung, die Erfassung der Unterschriftendynamik, des Netzhautmusters, des Irismusters oder des genetischen Fingerabdrucks. Produktanbieter:... Seite Seite Seite Seite Seite Seite Seite 98 Berater/Dienstleister:... Seite Seite Seite Seite 84 Bei dem Challenge-Response-Verfahren muss sich der Nutzer spontan kryptographisch beweisen. Dazu braucht er einen geheimen Schlüssel und ein kryptographisches Verfahren. Ein Security-Token ist eine sichere Hardwarekomponente zur Identifizierung und Authentifizierung von Nutzern. Wichtig ist, dass der Nutzer zwingend das Security-Token besitzen muss, damit er sich authentisieren kann. Neben Security-Token, mit eigenem Display und evtl. auch eigener Eingabemöglichkeit, die weit verbreitet sind, spielen Smartcards auch eine wichtige Rolle. So gibt es in Deutschland mit dem neuen Personalausweis (npa) die Möglichkeit für jeden Bürger, sich damit sicher identifizieren und authentifizieren zu lassen. Die eigentliche Verifikation erfolgt über ein sicheres Kryptografie-Protokoll. Ein weiterer und wichtiger Vorteil ist, dass mit dem neuen Personalausweis auch die überprüfende Stelle mit Hilfe eines notwendigen Berechtigungszertifikats von den Bürgern überprüft wird und damit eine gegenseitige Identifizierung und Authentifizierung durchgeführt wird. 9

10 Backup & Restore Stefan Mutschler Backup & Restore im Zeitalter der Cloud Schnelle Rückkehr zum Business Datensicherung und -Wiederherstellung (Restore/Recovery) haben sich im Laufe der Jahre zur umfassenden Disziplin für das Datenmanagement entwickelt. Entsprechend vielfältig ist das Angebot der verfügbaren Lösungen. Einige Backup-Software-Pakete lassen sich modular für unterschiedliche Aufgaben nachrüsten. Datenmanagement-Suiten, die tatsächlich alle Speicheraufgaben eines Unternehmens abdecken, sind jedoch trotzdem bis heute eher rar. Die Virtualisierung von Rechenzentren beziehungsweise die Nutzung von Cloud-Services stellt vielmehr sogar die Basisfunktionen des Backups und Restore vor neue Aufgaben. In IT-Systemen gespeicherte Daten haben eine magische Eigenschaft: Ihr Umfang und damit auch der benötigte Speicherplatz wächst exponentiell. Das liegt zum Beispiel daran, dass der Anteil multimedial angereicherter Daten im Vergleich zu traditionellen, tabellarisch darstellbaren und rein Zeichen-basierten Informationen immer größer wird. Eine weitere Ursache ist, dass Applikationen in Unternehmen so gut wie nie ausrangiert werden, selbst wenn sie längst nicht mehr aktiv genutzt werden. Geht der Platz aus, werden einfach neue Speichersysteme angeschafft. Was dabei unter den Tisch fällt: Die neuen Speichersysteme beanspruchen Raum im Rechenzentrum, verbrauchen Energie für Betrieb und Kühlung, blähen die Verwaltung inklusive Backup auf, beanspruchen Rechenkapazität, mindern damit die Leistung und vieles mehr. Das umfassende Ausmisten gegebenenfalls mit Konsolidierung von Daten unterschiedlicher Quellen auf einer neuen Plattform gehört zu den hei- 10

11 kelsten und wahrscheinlich von daher am stärksten vernachlässigten Speichermanagement-Aufgaben schlechthin. Eine gangbare Datensicherungsstrategie muss aber nicht nur das deutlich vergrößerte Speichervolumen berücksichtigen, sondern auch den dafür nötigen Transportweg zwischen Primär- und Sicherungsspeichern. Das gilt umso mehr, wenn Speichersysteme künftig verstärkt in die Cloud wandern und der Backup-Speicher über WAN-Schnittstellen bedient werden muss. Eine moderne Backup-Software muss daher viel mehr leisten, als einen zeitgesteuerten Sicherungsjob anzustoßen und bei Bedarf Daten wiederherzustellen. Das heißt aber nicht, dass die Grundaufgaben weniger wichtig geworden wären. Im Gegenteil besonders beim Recovery stellt das moderne Business heute verschärfte Anforderungen. Je nach Bedeutung für das Unternehmen sind für unterschiedliche Daten verschiedene Zeitvorgaben für die Wiederherstellung vorgegeben. Bei Servern liegen sie in der Regel im Stundenbereich bei kleineren wichtigen Dateien oft nur bei wenigen Minuten. Ein wichtiger Aspekt bei Backup-Software ist in diesem Zusammenhang die Skalierbarkeit. Die Vorgaben für die zulässige Recovery-Dauer müssen auch bei wachsenden Datenmengen eingehalten werden. Vieles spricht dafür, dass Speichersysteme künftig verstärkt in die Cloud wandern: Es entstehen keine Investitionskosten, der Speicher ist sofort nutz- und bei Bedarf nahezu beliebig erweiterbar. Wer gezielt auf ein Enterprise-Cloud-Storage- Konzept setzt, kann im Idealfall auch hinsichtlich Datensicherheit sowie Backup, Restore und Desaster Recovery handfeste Vorteile abgreifen: Ein entsprechendes Dienstangebot beim Provider vorausgesetzt, lassen sich über die Cloud Instant Offsite-Backups zu vergleichsweise niedrigen Kosten ziehen von überall zugreifbar. Ein Grundmanko der Cloud bleibt jedoch auch in Sachen Backup und vor allem Restore bestehen: Verabschiedet sich die Internet-Verbindung, lassen sich in diesem Moment Daten weder sichern noch wiederherstellen. Gerade Letzteres ist als kritischer Faktor zu sehen. Auch bei der Kostenrechnung sieht man schnell, dass CloudStorage im Vergleich zu lokalen Disks und noch mehr im Vergleich zu den Bändern meist noch relativ teuer ist. Das liegt zum einen am rein Disk-basierten Service in der Cloud, zum anderen am teuren Transportweg über öffentliche WAN-Verbindungen. Letzteres gilt bei jeder Form des offsite-backups, also auch bei Backup-Speicherung in einer anderen Niederlassung. In einigen Branchen wie etwa bei Banken ist die geografische Trennung der Original- und Backup-Daten sogar gesetzlich vorgeschrieben. Der Schlüssel, um Cloud Storage im Enterprise- Maßstab konkurrenzfähig zu machen beziehungsweise verteilte Datensicherung kosteneffizient zu realisieren liegt also darin, die zu transportierenden Daten so weit als möglich zu reduzieren. Neben der Konsolidierung beziehungsweise Archivierung von aktiv beziehungsweise passiv genutzten Daten gehören dazu die Beseitigung von Dubletten (jede Information sollte organisationsweit nur genau einmal gespeichert sein) und die Kompression (algorithmische Verdichtung). Deduplikation und Kompression gehören heute zu den wichtigen Standardaufgaben einer Backup-Software, wobei sich die Hersteller derzeit in der Ratio der damit möglichen Datenreduktion zu überbieten versuchen. Leider sind die Angaben nicht immer transparent die Möglichkeiten sowohl der Deduplikation als auch der Kompression hängen stark von der Art der Ausgangsdaten ab, und die publizierten Durchschnittswerte basieren oft auf einem nicht näher spezifizierten Datenmix. Mit den wachsenden Durchsatzanforderungen gehen nun langsam auch die Tage des Magnetbands (Tape) ihrem Ende entgegen. Nach wie vor gibt es zwar kein preisgünstigeres Backup-Medium, aber der Abstand zu Disk-basierten Systemen wird zusehends kleiner. Auf der anderen Seite etablieren sich Flash-Speicher mehr und mehr als Primärspeicher die Disk wird quasi das neue Band. Mit der Cloud geht der Trend bei der Backup-Software allmählich in Richtung eines hybriden und modular aufgebauten Backup & Recovery mit zentralen Funktionen für das Datenmanagement. Produktanbieter:... Seite Seite Seite Seite Seite Seite 98 Berater/Dienstleister:... Seite Seite Seite Seite Seite 81 11

12 Business Continuity Aidan Gogarty, HOB GmbH & Co. KG Regeln für eine umfassende Business Continuity In der modernen Arbeitswelt darf es keinen Stillstand geben. Betriebsstörungen, die dazu führen, dass Arbeit und Produktion ruhen, ziehen oft schlimme Konsequenzen nach sich. Um solche Ausfall-Situationen zu vermeiden und im Notfall betriebsfähig zu sein, sind Business-Continuity- und Desaster-Recovery-Planungen unabdingbar. Z wischen Business Continuitiy und Desaster Recovery gibt es grundlegende Unterschiede. Desaster Recovery beschäftigt sich mit der Wiederherstellung der Ressourcen. Es beschreibt den Prozess, über den der Betrieb nach einer Störung wieder aufgenommen wird. Business- Continuity-Planung ist ein umfassenderer Ansatz, welcher sich nicht nur auf die Wiederherstellung der Ressourcen bezieht, sondern auch alle anderen Unternehmensfunktionen einbezieht von Mitarbeitern und Gebäuden bis hin zur IT. Daher Unternehmen und Organisationen mit einer umfassenden Business-Continuity- Planung können nach einem Notfall den Betrieb schneller und effektiver wiederaufnehmen als solche, die hier geschluist Desaster-Recovery-Planung lediglich ein wichtiger Bestandteil einer umfassenden Business-Continuity-Konzeption. In der Business-Continuity-Planung wird definiert, welche Geschäftsabläufe und -verfahren im Katastrophenfall aufrechtzuerhalten sind und wie dies erreicht werden soll. Dies betrifft unter anderem: technische und IT-Systeme Gebäude Personal Lieferanten/Partner Warum beschäftigen sich manche Unternehmen immer noch ungern und nicht intensiv genug damit, ihre Abläufe und Systeme so aufzustellen, dass Business Continuity garantiert ist? Zum einen vielleicht, weil Unternehmen und Unternehmer sich lieber mit ihren Chancen als mit Risiken beschäftigen. Zum anderen mag auch nicht jedem immer klar sein, wie stark sich die Risiken in einer globalisierten Welt erhöht haben. Und zu guter Letzt: Business-Continuity- und Desaster- Recovery-Planungen sind hoch komplex. Eine Business-Continuity-Planung muss gut durchdacht sein und alle Geschäftsbereiche berücksichtigen. 12

13 dert haben. Um Unternehmen Richtlinien und Best-Practice-Ansätze zur Vorbereitung auf Betriebsstörungen an die Hand zu geben, wurde die internationale Norm ISO für Business Continuity-Management ins Leben gerufen. Sie gibt klare Anleitungen und Rahmenkonzepte zur Erstellung von unternehmensspezifischen Business-Continuity-Plänen. Was gehört grundlegend zu einer richtigen Business-Continuity-Planung und welche Schritte sollten beachtet werden? Unternehmen müssen beispielsweise ihre Budgets und Markteintrittsstrategien langfristig planen und darlegen. Warum? Wenn ein Unternehmen seine Ziele nicht definiert, den Unternehmenszweck und seine Pläne nicht darlegt, kann es auch nicht entscheiden, welche Prozesse und Systeme besonders kritisch für die Erreichung und Einhaltung dieser Ziele und Pläne sind. Somit fehlt es an der Basis zur Entscheidungsfindung: Welche Systeme und Abläufe müssen besonders ausfallsicher gestaltet werden, welche Ausfälle kann das Unternehmen in einer Notsituation verkraften? Darüber hinaus gehen alle Business-Continuity-Pläne auch ins Detail: Welche Mitarbeiter müssen im Notfall weiterhin miteinander kommunizieren können, wo werden sie arbeiten und ihre Arbeit weiter durchführen? Business-Continuity-Experten raten zu einem Business-Continuity-Management- Lebenszyklus, welcher in folgende fünf Phasen aufgeteilt wird: 1. Schritt: Risikoanalyse Um den Lebenszyklus einer Business Continuity-Planung zu starten, definiert die Managementebene aus allen Geschäftsbereichen Business-Continuity-Ziele und den Planungsrahmen. Das ernannte Business-Continuity-Management-Team muss als ersten Schritt eine Risikoanalyse durchführen. Bei deren Umsetzung gibt es verschiedene Methoden, etwa die Business Impact Analysis zur Ermittlung des Einflusses bestimmter Gefahren und Störungen auf die Betriebsfähigkeit. 2. Schritt: Strategiedefinition Auf Basis der Risikoanalyse sollte das Management passende Strategien für Ereigniseintritte entwickeln. Dabei werden die Prioritäten der einzelnen Strategien defi- niert. Für diese Strategien wird auch eine passende Planstruktur entwickelt. 3. Schritt: Lösungsgestaltung und Implementierung Für die Lösungsgestaltung müssen verschiedene Rollen, Prozesse und Technologien definiert werden. Dies beinhaltet nicht nur ein Krisenmanagement-Team, sondern auch eine Auflistung von Mitarbeiterressourcen und Aufgaben. Zudem muss ein Konzept für Backup und Wiederherstellung aufgestellt werden. 4. Schritt: Testen Testen ist einer der wichtigsten Punkte, bevor ein Business Continuity-Plan finalisiert wird. Der Plan muss mit verschiedenen Szenarien getestet werden. Dabei ist es wichtig, den Testprozess übersichtlich und nachvollziehbar im Testreport zu dokumentieren. Danach können die Testergebnisse anhand des Reports ausgewertet werden. Aber ein guter Plan und ein ausgereiftes Konzept sind nichtig, wenn die Mitarbeiter das Vorgehen nicht nachvollziehen können. Deshalb gehört zu diesem Schritt unbedingt auch die Sensibilisierung und Schulung der Mitarbeiter. 5. Schritt: Verwaltung und Instandhaltung Im Lebenszyklus des Business Continuity- Plans können neue Risikofaktoren für den Geschäftsbetrieb entstehen. Möglicherweise ändern sich Unternehmensstrukturen nachhaltig. Deshalb gilt es, den Plan in regelmäßigen Abständen zu prüfen und eventuell zu überarbeiten. Natürlich muss auch hier eine Änderung des Plans nochmals getestet werden. Business-Continuity-Planungen sind essenziell für die Zukunftssicherung eines Unternehmens. Sie sollten darum auch sehr sorgfältig vorgenommen werden. ISO-Zertifizierungen können diese Planungen sinnvoll strukturieren und begleiten. Ein besonders kritischer Faktor für die Aufrechterhaltung des Betriebs im Notfall sind die IT-Systeme eines Unternehmens. Modifizierter Auszug aus einem Beitrag von Aidan Gogarty, HOB GmbH & Co. KG, erschienen in der IT-SICHERHEIT 1/2014. Produktanbieter:... Seite Seite Seite Seite Seite 80 Berater/Dienstleister:... Seite Seite Seite Seite Seite Seite Seite 97 13

14 Cloud Security Prof. Dr. Norbert Pohlmann, Institut für Internet-Sicherheit Wolkenstimmung Cloud Computing ist mittlerweile in der Mitte unserer modernen Gesellschaft angekommen und ein wichtiger Teil der IT und des Internets. Nach der Vielzahl an Vorfällen der letzten Monate gilt aber mehr denn je: Die Aspekte IT-Sicherheit und Vertrauenswürdigkeit entscheiden darüber, wie schnell und wie tief Cloud-Dienste den IT-Markt in Deutschland weiter durchdringen werden. Daten werden bei Cloud-Diensten innerhalb einer externen IT-Infrastruktur generiert, gespeichert, verarbeitet und gelöscht. Die Preis-Effizienz eines hohen Sicherheitslevels der zugrundeliegenden IT-Infrastruktur erhöht sich prinzipiell. Trotzdem stellen Cloud-Dienste neue Herausforderungen an die IT-Sicherheit und die Vertrauenswürdigkeit der Anbieter. Die Sicherheitsvorteile bei größeren Cloud-Dienst-Anbietern liegen im Bereich Verfügbarkeit, Ausfallsicherheit, Elastizität, Toleranz und Business Continuity. Außerdem kann eine physikalische Sicherheit der IT-Infrastruktur bei großen Cloud-Anbietern einfacher und insgesamt kostengünstiger umgesetzt werden. Eine einheitliche Härtung von IT- 14

15 Systemen sowie eine optimale Umsetzung von Patch-Management lassen sich beispielsweise ebenfalls von zentraler Stelle sicher und nachhaltig umsetzen. Die zusätzlichen Angriffsvektoren von Cloud-Diensten liegen aus Nutzersicht unter anderem in der notwendigen öffentlichen Vernetzung, die dauerhaft einen attraktiven und zentralen Angriffspunkt darstellt. Außerdem kennen Nutzer nicht die Orte, an denen ihre Daten gespeichert sind. Sie können sich auch nicht sicher sein, dass ihre Daten überhaupt noch existieren. Prinzipiell gibt es Schwachstellen bei Shared Services, die dafür verantwortlich sind, dass Angreifer auf unsere Daten zugreifen können. Bei Cloud-Dienst-Anbietern spielt die Vertrauenswürdigkeit eine herausragende Rolle, da die Verlagerung von Daten und Diensten in die Cloud mit einem Kontrollverlust der Nutzer einhergeht. Daher müssen Nutzer Zeit in die Auswahl des richtigen, vertrauenswürdigen Dienstleisters investieren. Außerdem sollte jedem Unternehmen klar sein, dass amerikanische Cloud-Dienstleister laut Patriot Act dazu verpflichtet sind, Daten an ihre Regierung weiterzugeben auch wenn die Rechenzentren des Cloud-Dienstes in Europa stehen. Entscheidend für die Auswahl sind demnach sowohl Standort des Rechenzentrums als auch Herkunft des Cloud-Dienstleisters. Viele Cloud-Dienst-Anbieter, wie zum Beispiel Dropbox, legen vor allem Wert auf Marktanteile und weniger auf IT-Sicherheit. In Folge werden sie langfristig keine Vertrauenswürdigkeit bei den Nutzern aufbauen können, selbst wenn der Cloud-Dienst sehr gut und einfach zu bedienen ist. In diesem Bereich spielen auch kulturelle Aspekte eine Rolle. Deutsche Unternehmen haben einen sehr viel höheren Anspruch an IT-Sicherheit und Datenschutz als beispielsweise amerikanische, die aber weltweit Marktführer im Bereich von Cloud-Diensten sind. Aktuell besteht die Herausforderung darin, wie die IT-Sicherheit und Vertrauenswürdigkeit von Cloud-Diensten geschaffen, gemessen und aufrechterhalten werden kann. Weitere Innovationen im Bereich Cloud Computing werden hinzukommen, aber die Verantwortung für die eigenen Daten und die IT-Sicherheit werden die Nutzer auch in Zukunft nicht auf die Anbieter übertragen können. Nutzer sollten die Cloud- Dienstanbieter sorgfältig auswählen und Verträge aushandeln, die unsere IT-Sicherheits- und Vertrauenswürdigkeitsbedürfnisse widerspiegeln. Denn insgesamt gibt es noch einen sehr großen Handlungsbedarf, dem wir in den nächsten Jahren mit den passenden IT-Sicherheits-, Datenschutz- und Vertrauenswürdigkeitsmaßnahmen gerecht werden müssen. Produktanbieter:... Seite Seite Seite Seite Seite Seite Seite Seite Seite Seite Seite 99 Berater/Dienstleister:... Seite Seite Seite Seite Seite Seite Seite 99 15

16 Compliance/GRC Philipp Schöne, Axway Das Damoklesschwert der IT: Compliance IT-Compliance ist ein ungeliebtes Thema: Unzählige Anforderungen von unterschiedlichen Seiten sollen umgesetzt und auditiert werden. Die meisten Unternehmen wissen um die Problematik, setzen Compliance- Vorgaben aber nur zögerlich um. Das ist riskant. Z wei übergreifende Entwicklungen sorgen für immer mehr Komplexität in der IT-Infrastruktur: Kaum ein Unternehmens-Prozess kommt nunmehr ohne die Unterstützung der IT aus, inklusive der Verarbeitung geschäftskritischer Daten. Zudem sorgt nicht zuletzt die öffentliche Diskussion für ein wachsendes Sicherheitsbewusstsein und noch mehr Compliance-Regeln. Wie lässt sich die Einhaltung dauerhaft umsetzen? Jeder Partner hat eigene Regeln Jede Geschäftsbeziehung, die ein Unternehmen eingeht, unterliegt bestimmten Compliance-Regeln. Diese sollen Datenmissbrauch auf möglichst jeglicher Ebene verhindern. Alle Unternehmens-Prozesse unterliegen dabei Regularien von Behörden, Verbänden, Produktionspartnern und natürlich Kunden. Diese reichen von übergeordneten Vorschriften wie dem Bundesdatenschutzgesetz bis hin zu speziellen Ablaufregeln, einen bestimmten Datenaustauschprozess mit einem einzelnen Kunden betreffend. Das Problem in der Praxis besteht nicht nur darin, dass man all diese Regularien kennen und umsetzen muss, sondern dass diese auch von unterschiedlichen Stellen geprüft werden: Jeder Partner führt eigene Audits durch, benötigt verschiedene Daten, bereitgestellt auf die Art und Weise, die er verarbeiten kann. Das zieht beträchtlichen Aufwand nach sich. Je größer ein Unternehmen, umso schwieriger wird es, die verschiedenen Abteilungen aufeinander abzustimmen. Es ist deshalb notwendig, dass es einen Verantwortlichen gibt, der den Überblick bewahrt und die Unterstützung des Managements genießt. Denn es nützt wenig, wenn alle internen Prozesse die 16

17 Compliance-Vorgaben erfüllen, wenn sensible Daten bei einem Zulieferer oder Sublieferanten nicht gesichert verarbeitet werden. Die Sicherheit des gesamten Prozesses ist dann gefährdet. Große Defizite bei den Unternehmen Die IT-Infrastrukturen in den Unternehmen wachsen über Jahre hinweg und werden nach Bedarf neuen Bedingungen angepasst oder erweitert. Soll heißen: Sie werden normalerweise nicht rund um Compliance-Regeln gebaut, sondern entstehen im Business-Alltag. Punkt- Lösungen und Silo-Bildung sind die Folge den Gesamtüberblick über zutreffende Compliance-Regularien und deren Einhaltung erschwert das immens. Eine kürzlich erschienene Studie des auf den IT-Markt spezialisierten Analystenhauses Ovum und des Software- und IT-Dienstleistungsunternehmens Axway bestätigt dies: Viele Unternehmen erfüllen die Anforderungen an die Datensicherheit und IT-Compliance nicht und haben Probleme mit komplexen Integrationen. Es wurden rund 450 IT-Führungskräfte aus Europa, Nordamerika und Asien nach ihren Herausforderungen in Bezug auf die zunehmende Komplexität und die damit verbundene erschwerte Umsetzung von Compliance-Initiativen befragt. 23 Prozent der Befragten gaben an, in den letzten drei Jahren mindestens ein Sicherheit-Audit nicht bestanden zu haben. 17 Prozent glauben nicht, dass ihr Unternehmen im Moment ein Compliance-Audit bestehen würde, oder können dies nicht beurteilen. Das sind alarmierende Zahlen. Die Studie ist deshalb interessant, weil sie auch nach Gründen sucht, warum sich Unternehmen mit der Compliance so schwertun. So gibt es den Angaben zufolge bei gut 71 Prozent der Unternehmen kaum Synergien zwischen der Integrationsstrategie und der Datensicherheit sowie den Compliance-Richtlinien. Mehr als die Hälfte der Unternehmen nutzt Insellösungen in den Bereichen On-Premise- Application-Integration sowie B2B- und Cloud-Integration. Da heutzutage immer mehr Unternehmensressourcen, wie z. B. Anwendungen, Dienste und Daten, externen Partnern und Kunden zur Verfügung gestellt werden, setzt der weitaus größte Teil der befragten Unternehmen auf API- Programme: 78 Prozent arbeiten bereits damit oder planen den Einsatz. Compliance langfristig etablieren Compliance ist kein Projekt, das irgendwann zu Ende ist. Vielmehr benötigen Unternehmen einen fest etablierten, dauerhaft begleitenden Prozess dafür, denn Compliance-Regularien ändern sich ständig und deren Einhaltung muss regelmäßig auditiert werden. Nicht zuletzt kann die Verletzung von Compliance- Vorschriften auch Auswirkungen auf das Management haben, insbesondere, wenn es um die Geschäftsführerhaftung geht. Die beste Basis ist ein dediziert Verantwortlicher, beispielsweise aus dem IT- Security-Bereich. Dieser sollte sich einen Überblick über die einzuhaltenden Vorschriften verschaffen und die vorhandene IT-Landschaft daraufhin überprüfen. Daraus lassen sich Aktionen ableiten, die zu einer umfassenden Compliance führen. Dieser Anfangsaufwand ist hoch, doch dringend notwendig. Hat sich der Prozess erst etabliert, sind weniger Ressourcen nötig. Externe Audits und Prüfungen können schneller bewertet und durch diese zentrale Übersicht unterstützt werden. Denn wenn das Thema Compliance stets in alle Geschäftsprozesse einbezogen und damit ein entsprechend sicheres Niveau erreicht wird, müssen bei Bedarf nur noch kleinere Anpassungen gemacht werden. Und dies lässt sich langfristig planen: Denn neue Compliance-Vorschriften treten nicht über Nacht in Kraft. Produktanbieter:... Seite Seite Seite Seite Seite Seite Seite 99 Berater/Dienstleister:... Seite Seite Seite Seite Seite Seite Seite 99 17

18 Data Leakage Prevention Andrew Ladouceur, Clearswift DLP-Strategie richtig aufsetzen Vor der Implementierung von DLP gilt es zunächst, mit allen Stakeholdern zu kommunizieren. Während viele IT-Projekte von der IT betrieben und in die Organisation ausgerollt werden, kommt es bei DLP darauf an, dass die Organisation gemeinsam mit der IT agiert. Denn das Verständnis der darin enthaltenen Information und deren Relevanz liegt bei der Organisation nicht bei der IT. Eine Handlungsanweisung in acht Schritten. Schritt 1: Die meisten Organisationen sind sich nicht über den Wert ihrer Informationen im Klaren. Daher müssen alle Stakeholder in diesen Identifikationsprozess eingebunden werden und danach muss die Information priorisiert werden. Hier kann man einteilen in Informationen, die aufgrund rechtlicher Vorgaben abgesichert werden müssen, wie Kreditkartenund Bankinformationen. Ferner gibt es solche Informationen, die unmittelbaren Schaden anrichten, wenn sie in die Hände der Konkurrenz fallen, wie Angebote an Kunden oder Finanzreports oder auch geistiges Eigentum, Firmenstrategien oder M&A-Pläne. Schritt 2: Manche Applikationen sitzen auf Datenbanken, die sehr viele wertvolle Informationen enthalten. Trotzdem gibt es auch für diese Informationsquellen Reports, die ausgeführt werden, um die In- formationen zu extrahieren, und die dann heruntergeladen und per Ausschneiden und Kopieren in Reports verpackt, an E- Mails angehängt und vielleicht sogar ins Netz gestellt werden. Für eine kostengünstige Planung müssen diese Informationen zuerst lokalisiert werden. Sind alle Informationen innerhalb der Organisation auf Geräten, die den Perimeter nicht verlassen, reicht eine Netzwerk-DLP-Lösung aus. Müssen die Informationen jedoch auch auf Laptops, Tablet-Rechnern und Smartphones geschützt werden, ist zusätzlich eine Endpoint-DLP-Lösung erforderlich. Schritt 3: Im nächsten Schritt geht es darum, festzustellen, wer Zugriff auf diese Informationen benötigt und wer vielleicht nicht. Handelt es sich um Einzelpersonen oder Gruppen, und werden diese geographisch oder nach Rollen organisiert? Zur effektiven Integration der 18

19 DLP-Lösung muss die Organisationsstruktur im Identity and Access Management (IAM)-System abgebildet werden, zum Beispiel im LDAP oder im Active Directory. Schritt 4: Vor dem Aufbau der Policy sollte man feststellen und priorisieren, wie die Informationen kommuniziert werden. Für die meisten Organisationen liegt die Hauptpriorität dabei auf dem internen -Verkehr, und das Netz kommt erst an zweiter Stelle. Organisationen mit Laptops sollten auch Schutzmaßnahmen gegen das nicht sichere Kopieren von Informationen auf abnehmbare Medien ergreifen (USB-Sticks, CDs etc.). Für viele Geräte sind auch Maßnahmen zum Schutz vor Datenverlust zu ergreifen, wenn die Daten sich außerhalb des Unternehmensnetzwerks befinden und Mitarbeiter beispielsweise von zu Hause oder vom Café aus arbeiten. Schritt 5: Sind diese Schritte erfolgt, kann eine einheitliche Policy über Netzwerk, Endpoints, und Web hinweg aufgesetzt werden. Dabei besteht die Gefahr des Datenverlusts, wenn man nur die s absichert, aber trotzdem den Zugang zum Internet erlaubt. Ebenso besteht ein Risiko für Daten, wenn Informationen zwar im Netzwerk als streng geheim, auf dem Endpunkt jedoch nur als zur Information eingestuft werden. Auch wenn man erst einmal klein anfangen will, erscheint diese Aufgabe immens umfangreich. Durch Priorisierung der Informationen, Speicherorte, Mitarbeiter und Kommunikationskanäle lässt sich der Umfang eingrenzen. Auch wenn viele Organisationen unterschiedlich sind, legen die meisten die erste Priorität auf das Thema und konzentrieren sich dabei zu Anfang auf Informationen, die bei einem Problem zu rechtlichen Konsequenzen führen können, wie zum Beispiel Kreditkartendetails. s lassen sich am einfachsten mittels einer Netzwerk- DLP-Lösung absichern. Der Vorteil netzwerkbasierter Lösungen liegt darin, dass alle Geräte abgesichert werden, die ans Netzwerk angebunden werden, und somit kein separater Agent auf allen Endpoints erforderlich ist. Somit ergibt sich hier der logische Anfangspunkt. Ist der Bereich erfolgreich abgesichert, erfolgt die Absicherung des Netzwerks und zu guter Letzt der Endpoints. Auf jeder Stufe können hierbei die Policies überarbeitet und verfeinert werden. Schritt 6: Erstellen Sie nun einen Umsetzungsplan und denken Sie dabei an die Folgen fürs Geschäft, wenn Sie Aktionen durchführen. Überprüfen Sie die Policies und richten sie diese am Zweck des Einsatzes aus. Minimieren Sie Fehlalarme durch Feinabstimmung der Policies, bevor diese ausgerollt werden. Stimmen Sie sich mit den Mitarbeitern im IT-Support bezüglich der neuen Policy und der neuen Technologie ab, damit diese vorbereitet sind, falls Anrufe kommen. Die Aktivitäten können mit der Zeit ausgebaut werden. So kann zum Beispiel zunächst eine Warnung erfolgen, bevor drakonische Maßnahmen ergriffen und die Inhalte gestoppt und geblockt werden. Schritt 7: Eine DLP-Policy braucht konstante Anpassung, da sich ständig die Gesetzgebung, Geschäftsprozesse, Informationen, Speichergeräte bis hin zur Belegschaft ändern. Die DLP-Policy muss diese Veränderungen abbilden, um den Geschäftsbetrieb zu unterstützt und das bedeutet regelmäßige Überprüfung und Aktualisierung. Sowohl die IT-Mitarbeiter als auch die Mitarbeiter im Unternehmen sollten hierbei eingebunden werden. Schritt 8: Ein Datenverlust ist sehr wahrscheinlich und für einige Industriebereiche gilt eine Selbstoffenlegungspflicht. Deshalb ist ein Prozess extrem wichtig, und zum anderen spart ein solcher Prozess im Fall des Falles Zeit, Aufwand und Verwirrung. Klären Sie, was zu tun ist, wenn ein Verstoß geschieht und Informationen verloren gehen. Die Planung eines solchen Szenarios hilft beim Aufbau eines entsprechenden Prozesses, und auch wenn man sich in den Medien ansieht, welche anderen Maßnahmen ergriffen werden, erhält man wertvollen Input. Die Möglichkeit, dies in einem theoretischen Szenario durchzuspielen, erlaubt eine ruhige und logische Planung, anstatt unter Druck wie im Ernstfall was durchaus zu schlechten Entscheidungen bei den erforderlichen Maßnahmen führen kann. Der Schlüssel liegt darin, ein Team mit klar definierten Verantwortlichkeiten zu haben, insbesondere beim Umgang mit Medien und Kunden. Somit wird das wohl eher der CEO oder der Geschäftsführer sein als irgendjemand aus dem Marketing. Produktanbieter:... Seite Seite Seite Seite Seite Seite Seite Seite 98 Berater/Dienstleister:... Seite Seite Seite Seite 81 19

20 Datenbanksicherheit Franz Huell, McAfee GmbH Datenbanksicherung als geschäftskritische Notwendigkeit Es vergeht kaum ein Tag, an dem nicht der Verlust von Passwörtern und Kundendaten für Schlagzeilen in den Medien sorgt. Daraus lässt sich zweierlei ablesen: ein oft zu leichtfertiger Umgang mit unternehmenskritischen Daten und die Verletzlichkeit moderner Infrastrukturen in Unternehmen. Worauf es beim Erarbeiten einer Sicherheitsstrategie ankommt, verrät folgender Beitrag. Die Schlagzeilen rund um erfolgreiche Hacks in die IT-Infrastruktur eines Unternehmens vermitteln oft das romantisierende Bild eines jugendlichen Computerfreaks, der aus Abenteuerlust in einen Server eindringt. Dieses aus Romanen und Filmen nachhallende Klischee hat mit der skrupellosen kriminellen Energie moderner Cyber-Terroristen nichts mehr zu tun. Ihnen geht es manch- mal nicht einmal um den Diebstahl von Daten, sondern um deren Zerstörung. Datenbankschäden können Existenzen gefährden Während der Sicherheitsanalyse der eigenen IT-Landschaft denken die Verantwortlichen üblicherweise an naheliegende Bedrohungen und besonders exponierte Systeme. Online-Shop und ECM-Systeme landen fast automatisch auf der Agenda, so wie auch die Sicherung von Routern, Hubs oder Drucker-Servern. Angriffe auf diese Systeme können den Geschäftsbetrieb beeinträchtigen, keine Frage. Ein längerfristiger Ausfall eines Datenbank- Servers oder gar der Verlust der darauf gespeicherten Informationen trifft das Unternehmen aber in seinem Kern. Nur selten kann ein Verlust so schnell wie benötigt und vollständig durch ein Backup kompensiert werden, zumal das Einspielen der Daten einen funktionierenden Server und eine unbeschädigte Datenbank voraussetzt. Datenbanken sind geschäftskritisch und deren Sicherheit sollte von CTO, CIO und auch Datenschutzbeauftragten gemeinsam mit hoher Priorität untersucht werden. 20

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

THEMA: CLOUD SPEICHER

THEMA: CLOUD SPEICHER NEWSLETTER 03 / 2013 THEMA: CLOUD SPEICHER Thomas Gradinger TGSB IT Schulung & Beratung Hirzbacher Weg 3 D-35410 Hungen FON: +49 (0)6402 / 504508 FAX: +49 (0)6402 / 504509 E-MAIL: info@tgsb.de INTERNET:

Mehr

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor.

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor. Cloud Computing im Gesundheitswesen Cloud Computing ist derzeit das beherrschende Thema in der Informationstechnologie. Die Möglichkeit IT Ressourcen oder Applikationen aus einem Netz von Computern zu

Mehr

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR.

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. Hans Joachim von Zieten DATEN DAS WICHTIGSTE GUT Daten und Informationen sind ein wichtiges, ja sogar

Mehr

Mobile Device Management

Mobile Device Management Mobile Device Management Ein Überblick über die neue Herausforderung in der IT Mobile Device Management Seite 1 von 6 Was ist Mobile Device Management? Mobiles Arbeiten gewinnt in Unternehmen zunehmend

Mehr

Richtlinie zur Informationssicherheit

Richtlinie zur Informationssicherheit Richtlinie zur Informationssicherheit Agenda Einführung Gefahrenumfeld Warum benötige ich eine Richtlinie zur IT-Sicherheit? Grundlagen Datenschutz Best-Practice-Beispiel Vorgehensweise Richtlinie zur

Mehr

Kann Big Data Security unsere IT-Sicherheitssituation verbessern?

Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

EINFACH SICHER KOMPETENT. Die Genossenschaft Der unternehmerischen Kompetenzen

EINFACH SICHER KOMPETENT. Die Genossenschaft Der unternehmerischen Kompetenzen EINFACH SICHER KOMPETENT EINFACH SICHER Das Jetzt die Technik das Morgen In der heutigen Zeit des Fortschritts und Globalisierung, ist es für jedes Unternehmen unbedingt erforderlich, dass es effektiv

Mehr

Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich

Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Seit Microsoft Exchange Server 2010 bieten sich für Unternehmen gleich zwei mögliche Szenarien an, um eine rechtskonforme Archivierung

Mehr

Das Plus an Unternehmenssicherheit

Das Plus an Unternehmenssicherheit Out-of-The-Box Client Security Das Plus an Unternehmenssicherheit ic Compas TrustedDesk Logon+ Rundum geschützt mit sicheren Lösungen für PC-Zugang, Dateiverschlüsselung, Datenkommunikation und Single

Mehr

Mitarbeiterinformation

Mitarbeiterinformation Datenschutz & Gesetzliche Regelungen Praktische Hinweise Kontakt zu Ihrem Datenschutzbeauftragten Elmar Brunsch www.dbc.de Seite 1 von 5 Einleitung In den Medien haben Sie sicher schon häufig von Verstößen

Mehr

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte UNTERNEHMENSVORSTELLUNG Wir schützen Ihre Unternehmenswerte Wir schützen Ihre Unternehmenswerte Wer sind wir? Die wurde 1996 als klassisches IT-Systemhaus gegründet. 15 qualifizierte Mitarbeiter, Informatiker,

Mehr

Datensicherheit und Backup

Datensicherheit und Backup Beratung Entwicklung Administration Hosting Datensicherheit und Backup Dipl.-Inform. Dominik Vallendor & Dipl.-Inform. Carl Thomas Witzenrath 25.05.2010 Tralios IT Dipl.-Inform. Dominik Vallendor und Dipl.-Inform.

Mehr

Dunkel Cloud Storage. Der sichere Cloud-Speicher für Unternehmen

Dunkel Cloud Storage. Der sichere Cloud-Speicher für Unternehmen Dunkel Cloud Storage Der sichere Cloud-Speicher für Unternehmen Was ist Dunkel Cloud Storage? Dunkel Cloud Storage (DCS) stellt Ihnen Speicherplatz nach Bedarf zur Verfügung, auf den Sie jederzeit über

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Network Access Control für Remote Access: Best Practice Technical Paper

Network Access Control für Remote Access: Best Practice Technical Paper Network Access Control für Remote Access: Best Practice Technical Paper Stand Mai 2010 Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden und

Mehr

Compass Security AG [The ICT-Security Experts]

Compass Security AG [The ICT-Security Experts] Compass Security AG [The ICT-Security Experts] Live Hacking: Cloud Computing - Sonnenschein oder (Donnerwetter)? [Sophos Anatomy of an Attack 14.12.2011] Marco Di Filippo Compass Security AG Werkstrasse

Mehr

Beispielrichtlinie zur Sicherheit mobiler Geräte

Beispielrichtlinie zur Sicherheit mobiler Geräte Beispielrichtlinie zur Sicherheit mobiler Geräte Anwenden der Richtlinie Eine besondere Herausforderung für IT-Abteilungen ist heute die Sicherung von mobilen Geräten, wie Smartphones oder Tablets. Diese

Mehr

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter Senior Sales Engineer 1 Das Szenario 2 Früher Auf USB-Sticks Auf Netzlaufwerken Auf CDs/DVDs Auf Laptops & PCs 3 Jetzt Im Cloud Storage

Mehr

Whitepaper: Mobile IT-Sicherheit

Whitepaper: Mobile IT-Sicherheit Whitepaper: Mobile IT-Sicherheit Wie sicher sind Ihre Daten unterwegs? Kontaktdaten: Dr. Thomas Jurisch, Steffen Weber Telefon: +49 (0)6103 350860 E-Mail: it-risikomanagement@intargia.com Webseite: http://www.intargia.com

Mehr

Mindtime Online Backup

Mindtime Online Backup Mindtime Online Backup S e r v i c e L e v e l A g r e e m e n t Inhaltsangabe Service Definition... 3 1) Datenverschlüsselung... 3 2) Gesicherte Internetverbindung... 3 3) Datencenter... 4 4) Co- Standort...

Mehr

mobile Geschäftsanwendungen

mobile Geschäftsanwendungen Virenschutz & mobile Geschäftsanwendungen Roman Binder Security Consultant, Sophos GmbH Agenda Die Angreifer Aktuelle Bedrohungen Malware-Trends Die Zukunft Schutzmaßnahmen Die Angreifer Professionalisierung

Mehr

... 64 bit Televaulting

... 64 bit Televaulting Next Generation Backup und Recovery Software... 64 bit Televaulting Kronberg, 07. Mai 2007 Asigra, der Technologieführer im Bereich agentless Backup und Recovery- für Unternehmen und Service Provider,

Mehr

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem 1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem Management, Access Management a. Event Management b. Service Desk c. Facilities Management d. Change Management e. Request Fulfilment

Mehr

Spotlight 5 Gründe für die Sicherung auf NAS-Geräten

Spotlight 5 Gründe für die Sicherung auf NAS-Geräten Spotlight 5 Gründe für die Sicherung auf NAS-Geräten NovaStor Inhaltsverzeichnis Skalierbar. Von klein bis komplex.... 3 Kein jonglieren mehr mit Wechselmedien... 3 Zentralisiertes Backup... 4 Datensicherheit,

Mehr

IT-Security und Datenschutz für die Praxis it-sa, Messe Nürnberg, Halle12, Raum Lissabon

IT-Security und Datenschutz für die Praxis it-sa, Messe Nürnberg, Halle12, Raum Lissabon 11. Oktober 2011 12. Oktober 2011 13. Oktober 2011 09:30 09:45 Begrüßung Begrüßung Begrüßung 09:45 11:00 Kurz-Audit Datenschutz Kurz-Audit Business Continuity Management Kurz-Audit Informationssicherheit

Mehr

Cloud-Computing. Selina Oertli KBW 28.10.2014

Cloud-Computing. Selina Oertli KBW 28.10.2014 2014 Cloud-Computing Selina Oertli KBW 0 28.10.2014 Inhalt Cloud-Computing... 2 Was ist eine Cloud?... 2 Wozu kann eine Cloud gebraucht werden?... 2 Wie sicher sind die Daten in der Cloud?... 2 Wie sieht

Mehr

E-Interview mit Herrn Dr. Winokur, CTO von Axxana

E-Interview mit Herrn Dr. Winokur, CTO von Axxana E-Interview mit Herrn Dr. Winokur, CTO von Axxana Titel des E-Interviews: Kostengünstige Datenrettung ohne Verlust und über alle Distanzen hinweg wie mit Enterprise Data Recording (EDR) von Axxana eine

Mehr

Datenschutz und Datensicherung

Datenschutz und Datensicherung Datenschutz und Datensicherung UWW-Treff am 26. September 2011 Über die WorNet AG Datenschutz im Unternehmen Grundlagen der Datensicherung Backuplösungen WorNet AG 2011 / Seite 1 IT-Spezialisten für Rechenzentrums-Technologien

Mehr

Bring Your Own Device

Bring Your Own Device Bring Your Own Device Was Sie über die Sicherung mobiler Geräte wissen sollten Roman Schlenker Senior Sales Engineer 1 Alles Arbeit, kein Spiel Smartphones & Tablets erweitern einen Arbeitstag um bis zu

Mehr

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos Bring Your Own Device Roman Schlenker Senior Sales Engineer Sophos Der Smartphone Markt Marktanteil 2011 Marktanteil 2015 Quelle: IDC http://www.idc.com Tablets auf Höhenflug 3 Bring Your Own Device Definition

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

IDC-Studie: Abwehr neuer Angriffsszenarien, Cloud und Mobile Security sind die Top 3 Prioritäten deutscher IT Security Verantwortlicher

IDC-Studie: Abwehr neuer Angriffsszenarien, Cloud und Mobile Security sind die Top 3 Prioritäten deutscher IT Security Verantwortlicher Pressemeldung Frankfurt, 01. August 2011 IDC-Studie: Abwehr neuer Angriffsszenarien, Cloud und Mobile Security sind die Top 3 Prioritäten deutscher IT Security Verantwortlicher Die Bedrohungsszenarien

Mehr

Risiken kann man eingehen. Oder man kann sie meistern.

Risiken kann man eingehen. Oder man kann sie meistern. IBM Global Technology Services Risiken kann man eingehen. Oder man kann sie meistern. Einsichten und Erkenntnisse aus der IBM Global IT Risk Study. 2 IBM Global IT Risk Study Wie steht es mit dem Sicherheitsbewusstsein

Mehr

Mobile Sicherheit & Schutz von konvergierten Daten

Mobile Sicherheit & Schutz von konvergierten Daten Mobile Sicherheit & Schutz von konvergierten Daten Sichere mobile Lösungen mit Die Datenrevolution bewältigen Die mobilen Geräte haben die Arbeitsweise der Unternehmen und ihrer Mitarbeiter revolutioniert.

Mehr

Prüfbericht. EgoSecure ENDPOINT. Version: Ladenburg, 28.03.2014 Ersteller: Holger Vier, Sachverständiger

Prüfbericht. EgoSecure ENDPOINT. Version: Ladenburg, 28.03.2014 Ersteller: Holger Vier, Sachverständiger Prüfbericht EgoSecure ENDPOINT Version: Ladenburg, 28.03.2014 Ersteller: Holger Vier, Sachverständiger Das Unternehmen EgoSecure verspricht mit seinem Produkt, EgoSecure Endpoint, die Implementierung von

Mehr

Vodafone Cloud. Einfach A1. A1.net/cloud

Vodafone Cloud. Einfach A1. A1.net/cloud Einfach A1. A1.net/cloud Ihr sicherer Online-Speicher für Ihre wichtigsten Daten auf Handy und PC Die Vodafone Cloud ist Ihr sicherer Online-Speicher für Ihre Bilder, Videos, Musik und andere Daten. Der

Mehr

DATA CENTER GROUP WE PROTECT IT KOMPROMISSLOS. WEIL ES UM DIE SICHERHEIT IHRER IT GEHT. We protect IT

DATA CENTER GROUP WE PROTECT IT KOMPROMISSLOS. WEIL ES UM DIE SICHERHEIT IHRER IT GEHT. We protect IT DATA CENTER GROUP WE PROTECT IT KOMPROMISSLOS. WEIL ES UM DIE SICHERHEIT IHRER IT GEHT. We protect IT DIE ANFORDERUNGEN AN EINEN UMFASSENDEN IT-SCHUTZ ERHÖHEN SICH STÄNDIG. Grund dafür sind immer größer

Mehr

COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien. Haftungsfragen bei Sicherheitslücken

COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien. Haftungsfragen bei Sicherheitslücken COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien Haftungsfragen bei Sicherheitslücken Dr. Johannes Juranek, Partner bei CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH, Gauermanngasse 2-4, 1010 Wien

Mehr

Symantec Protection Suite Advanced Business Edition Mehr als nur Viren- und Endgeräteschutz

Symantec Protection Suite Advanced Business Edition Mehr als nur Viren- und Endgeräteschutz Datenblatt: Endpoint Security Mehr als nur Viren- und Endgeräteschutz Überblick Symantec Protection Suite Advanced Business Edition ist ein Komplettpaket, das kritische Unternehmensressourcen besser vor

Mehr

IT-Compliance Management und Identity Management Aktuelle Trends

IT-Compliance Management und Identity Management Aktuelle Trends IT-Compliance Management und Identity Management Aktuelle Trends Kurzbefragung Deutschland, April 2009 Matthias Zacher Senior Advisor matthias.zacher@experton-group.com Inhalt Themenabgrenzung Stichprobencharakteristika

Mehr

yourcloud Mobile Überall mit Ihrem Business verbunden: yourcloud von perdata Neue Maßstäbe für eine moderne Arbeitsplatzumgebung

yourcloud Mobile Überall mit Ihrem Business verbunden: yourcloud von perdata Neue Maßstäbe für eine moderne Arbeitsplatzumgebung yourcloud Mobile PC Überall mit Ihrem Business verbunden: yourcloud von perdata Neue Maßstäbe für eine moderne Arbeitsplatzumgebung perdata IT nach Maß: individuell beraten vorausschauend planen zukunftssicher

Mehr

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager TÜV SÜD Management Service GmbH Sicherheit, Verfügbarkeit und Zuverlässigkeit von Informationen stehen

Mehr

ikb Data Experten für sensible Daten

ikb Data Experten für sensible Daten ikb Data Experten für sensible Daten Die ikb Data GmbH gehört zu den führenden deutschen Dienstleistungsunternehmen im Bereich IT-Infrastruktur und Datensicherheit. Im Jahr 2004 als Shared-Service-Center

Mehr

CSR und Risikomanagement

CSR und Risikomanagement CSR und Risikomanagement Bedeutung der Risiken aus ökologischen und sozialen Sachverhalten im Rahmen der Prüfung des Risikoberichts und des Risikomanagements XX. April 2010 Risk Management Solutions Agenda

Mehr

OASIS on-call Contact Center aus der Cloud

OASIS on-call Contact Center aus der Cloud OASIS on-call Contact Center aus der Cloud OASIS on-call Contact Center Die perfekte ACD für Ihr Geschäft Medienübergreifend und leistungsstark Medienübergreifend, schnell im Einsatz und direkt aus der

Mehr

eg e s c h ä f t s p r o z e s s MEHR ZEIT FÜR IHR GESCHÄFT SHD managed Ihre IT-Services

eg e s c h ä f t s p r o z e s s MEHR ZEIT FÜR IHR GESCHÄFT SHD managed Ihre IT-Services eg e s c h ä f t s p r o z e s s erfahrung service kompetenz it-gestützte MEHR ZEIT FÜR IHR GESCHÄFT SHD managed Ihre IT-Services erfolgssicherung durch laufende optimierung Als langjährig erfahrenes IT-Unternehmen

Mehr

Erhöhung der Schutzstufe nach Datenschutz durch den Einsatz von Endpoint-Security

Erhöhung der Schutzstufe nach Datenschutz durch den Einsatz von Endpoint-Security Erhöhung der Schutzstufe nach Datenschutz durch den Einsatz von Endpoint-Security Aktuelle Änderungen des Bundesdatenschutzgesetzes vom 3.7.2009. July 2009 WP-DE-20-07-2009 Einführung Die am 3. Juli 2009

Mehr

Die Zukunft der IT-Sicherheit

Die Zukunft der IT-Sicherheit Die Zukunft der IT-Sicherheit Was wir aus dem IT-SiG und Co. so alles für die Zukunft lernen können! 20.03.2015 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

Studie,,IT-Sicherheit und Datenschutz 2015. Nationale Initiative für Internetund Informations-Sicherheit e.v.

Studie,,IT-Sicherheit und Datenschutz 2015. Nationale Initiative für Internetund Informations-Sicherheit e.v. Studie,,IT-Sicherheit und Datenschutz 2015 Nationale Initiative für Internetund Informations-Sicherheit e.v. Studiendesign Zielgruppe: Fach- und Führungskräfte Stichprobe: N = 100 Befragungszeitraum: 7.

Mehr

Die SAP Business One Cloudplattform auf SQL und HANA. Preise und Details zum Angebot Oktober 2015. www.cloudiax.de

Die SAP Business One Cloudplattform auf SQL und HANA. Preise und Details zum Angebot Oktober 2015. www.cloudiax.de Die SAP Business One Cloudplattform auf SQL und HANA Preise und Details zum Angebot Oktober 2015 www.cloudiax.de Cloudiax Preisliste Detaillierte Informationen zum Angebot finden Sie auf den nachfolgenden

Mehr

Tablets im Business: Gadget oder sicheres Werkzeug?

Tablets im Business: Gadget oder sicheres Werkzeug? Tablets im Business: Gadget oder sicheres Werkzeug? Daten- und Policy-Management Renato Zanetti CSI Consulting AG, Partner 12.09.2012 Agenda Einleitung, Trends Einsatzkonzepte Anforderungen Lösungsvorschläge

Mehr

Incident Response und Forensik

Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Der Einbruch eines Hackers in die Web-Applikation des Unternehmens, ein Mitarbeiter, der vertrauliche Daten

Mehr

Handbuch Version 1.02 (August 2010)

Handbuch Version 1.02 (August 2010) Handbuch Version 1.02 (August 2010) Seite 1/27 Inhaltsverzeichnis 1. Einleitung 1.1. Begrüßung 03 1.2. Was ist PixelX Backup FREE / PRO 03 1.3. Warum sollten Backups mittels einer Software erstellt werden?

Mehr

Executive Briefing. Big Data und Business Analytics für Kunden und Unternehmen. In Zusammenarbeit mit. Executive Briefing. In Zusammenarbeit mit

Executive Briefing. Big Data und Business Analytics für Kunden und Unternehmen. In Zusammenarbeit mit. Executive Briefing. In Zusammenarbeit mit Big Data und Business Analytics für Kunden und Unternehmen Umfangreiche und ständig anwachsende Datenvolumen verändern die Art und Weise, wie in zahlreichen Branchen Geschäfte abgewickelt werden. Da immer

Mehr

Cloud Computing Risiken und Massnahmen

Cloud Computing Risiken und Massnahmen Cloud Computing und Massnahmen Marc Ruef www.scip.ch Datenschutz-Forum 22. November 2011 Zürich, Schweiz Agenda Cloud Computing Einführung 2 min Was ist Cloud Computing 2 min Implementierungen 5 min Sicherheitsprobleme

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

IT-Service IT-Security IT-Infrastruktur Internet. Herzlich Willkommen zu unserem BARBECUE-On.NET Schatten-IT

IT-Service IT-Security IT-Infrastruktur Internet. Herzlich Willkommen zu unserem BARBECUE-On.NET Schatten-IT IT-Service IT-Security IT-Infrastruktur Internet Herzlich Willkommen zu unserem BARBECUE-On.NET Schatten-IT Woran haben wir heute gedacht? Quelle: www. badische-zeitung.de Vorstellung der heutigen Themen

Mehr

Die maßgeschneiderte IT-Infrastruktur aus der Südtiroler Cloud

Die maßgeschneiderte IT-Infrastruktur aus der Südtiroler Cloud Die maßgeschneiderte IT-Infrastruktur aus der Südtiroler Cloud Sie konzentrieren sich auf Ihr Kerngeschäft und RUN AG kümmert sich um Ihre IT-Infrastruktur. Vergessen Sie das veraltetes Modell ein Server,

Mehr

DATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher

DATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher DATENSCHUTZBERATUNG vertrauensvoll, qualifiziert, rechtssicher SIND SIE WIRKLICH SICHER? Wer sorgt in Ihrem Unternehmen dafür, dass die rechtlichen Anforderungen des Datenschutzes und der Datensicherheit

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

IT SERVICE MANAGEMENT IN DEUTSCHLAND 2013

IT SERVICE MANAGEMENT IN DEUTSCHLAND 2013 Fallstudie: REALTECH IDC Market Brief-Projekt IT SERVICE MANAGEMENT IN DEUTSCHLAND 2013 Die cloud als herausforderung realtech Unternehmensdarstellung Informationen zum Unternehmen www.realtech.de Die

Mehr

Herausforderungen und Massnahmenaus Sicht eines grossenproviders

Herausforderungen und Massnahmenaus Sicht eines grossenproviders Herausforderungen und Massnahmenaus Sicht eines grossenproviders 23. Juni 2015 Christian Greuter, CEO Health Info Net AG Agenda Einführung und Vorstellung HIN Trends als Herausforderung Grenzen der Machbarkeit

Mehr

Unternehmensdaten rundum sicher mobil bereitstellen

Unternehmensdaten rundum sicher mobil bereitstellen im Überblick SAP-Technologie SAP Mobile Documents Herausforderungen Unternehmensdaten rundum sicher mobil bereitstellen Geschäftsdokumente sicher auf mobilen Geräten verfügbar machen Geschäftsdokumente

Mehr

Sicherheitsanalyse von Private Clouds

Sicherheitsanalyse von Private Clouds Sicherheitsanalyse von Private Clouds Alex Didier Essoh und Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik 12. Deutscher IT-Sicherheitskongress 2011 Bonn, 10.05.2011 Agenda Einleitung

Mehr

Mobile Security Worauf Sie beim Einsatz von mobilen Geräten in Ihrem Unternehmen achten sollten

Mobile Security Worauf Sie beim Einsatz von mobilen Geräten in Ihrem Unternehmen achten sollten Siemens Enterprise Communications Group Volker Burgers, Consultant Mobile Security Worauf Sie beim Einsatz von mobilen Geräten in Ihrem Unternehmen achten sollten Version 1 Seite 1 BS MS Consulting & Design

Mehr

IT-Security Herausforderung für KMU s

IT-Security Herausforderung für KMU s unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Integrität: Garantie der Korrektheit (unverändert,

Mehr

CLOUD APPS IM UNTERNEHMEN VERWALTEN. So meistern Sie die Herausforderungen. Whitepaper

CLOUD APPS IM UNTERNEHMEN VERWALTEN. So meistern Sie die Herausforderungen. Whitepaper CLOUD APPS IM UNTERNEHMEN VERWALTEN So meistern Sie die Herausforderungen Whitepaper 2 Die Herausforderungen bei der Verwaltung mehrerer Cloud Identitäten In den letzten zehn Jahren haben cloudbasierte

Mehr

Modellierung von Informationsverbünden mit Consumer-Endgeräten und BYOD

Modellierung von Informationsverbünden mit Consumer-Endgeräten und BYOD Modellierung von Informationsverbünden mit Consumer-Endgeräten und BYOD Erfahrungen und Empfehlungen für Zertifizierungen nach ISO 27001 auf der Basis von IT-Grundschutz Jonas Paulzen Bundesamt für Sicherheit

Mehr

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen. Philosophie & Tätigkeiten Wir sind ein Unternehmen, welches sich mit der Umsetzung kundenspezifischer Softwareprodukte und IT-Lösungen beschäftigt. Wir unterstützen unsere Kunde während des gesamten Projektprozesses,

Mehr

expect more Verfügbarkeit.

expect more Verfügbarkeit. expect more Verfügbarkeit. Erfolgreiche Managed-Hostingund Cloud-Projekte mit ADACOR expect more Wir wollen, dass Ihre IT-Projekte funktionieren. expect more expect more Verlässlichkeit.. Seit 2003 betreiben

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH Übersicht IT-Security Technisch Prozesse Analysen Beratung Audits Compliance Bewertungen Support & Training

Mehr

Security in BYOD-Szenarien

Security in BYOD-Szenarien P R Ä S E N T I E R T Security in BYOD-Szenarien Wie viel BYOD kann man sich wirklich leisten? Ein Beitrag von Martin Kuppinger Founder and Principal Analyst KuppingerCole Ltd. www.kuppingercole.com 2

Mehr

ISSS Security Lunch - Cloud Computing

ISSS Security Lunch - Cloud Computing ISSS Security Lunch - Cloud Computing Technische Lösungsansätze Insert Andreas Your Kröhnert Name Insert Technical Your Account Title Manager Insert 6. Dezember Date 2010 The Cloud Unternehmensgrenzen

Mehr

IT-Sicherheit und Compliance. Dr. Oliver Hornung SKW Schwarz Rechtsanwälte Dr. Michael Kollmannsberger Protea Networks Michael Seele Protea Networks

IT-Sicherheit und Compliance. Dr. Oliver Hornung SKW Schwarz Rechtsanwälte Dr. Michael Kollmannsberger Protea Networks Michael Seele Protea Networks IT-Sicherheit und Compliance Dr. Oliver Hornung SKW Schwarz Rechtsanwälte Dr. Michael Kollmannsberger Protea Networks Michael Seele Protea Networks Agenda 1. Auftragsdatenverarbeitung 2. Änderung Bedrohungsverhalten

Mehr

Permanente Datenverfügbarkeit ist überlebensnotwendig!

Permanente Datenverfügbarkeit ist überlebensnotwendig! : Lösungsbeschreibung Permanente Datenverfügbarkeit ist überlebensnotwendig! Das Erreichen kürzerer Backup-Zeiten und eine schnellere Datenwiederherstellung sind laut einer Studie* zwei der wichtigsten

Mehr

Sicherheit für Ihre Daten. Security Made in Germany

Sicherheit für Ihre Daten. Security Made in Germany Sicherheit für Ihre Daten Security Made in Germany Auf einen Blick. Die Sicherheitslösung, auf die Sie gewartet haben. Sicherheitslösungen müssen transparent sein; einfach, aber flexibel. DriveLock bietet

Mehr

(früher: Double-Take Backup)

(früher: Double-Take Backup) (früher: Double-Take Backup) Eine minutengenaue Kopie aller Daten am Standort: Damit ein schlimmer Tag nicht noch schlimmer wird Double-Take RecoverNow für Windows (früher: Double-Take Backup) sichert

Mehr

Microsoft Cloud Ihr Weg in die Cloud

Microsoft Cloud Ihr Weg in die Cloud Microsoft Cloud Ihr Weg in die Cloud Komfort Informationen flexibler Arbeitsort IT-Ressourcen IT-Ausstattung Kommunikation mobile Endgeräte Individualität Mobilität und Cloud sind erfolgsentscheidend für

Mehr

Kundenzentrierte Geschäftsprozesse sicher gestalten

Kundenzentrierte Geschäftsprozesse sicher gestalten Platzhalter für Logo Agenda 1.Vorstellung des MECK Kundenzentrierte Geschäftsprozesse sicher gestalten 2.Aufbau und Konzeption einer IT- Sicherheits-Strategie 3.Wie erkenne ich die relevanten Geschäftsprozesse?

Mehr

Data Leakage ein teures Leiden

Data Leakage ein teures Leiden Data Leakage ein teures Leiden Agenda Die C&L Unternehmensgruppe Unterschied zwischen»data Loss Prevention«und»Data Leakage Prevention«Rechtliche Rahmenbedingungen Gefühlte und wirkliche Bedrohung Die

Mehr

Authentisierung in Unternehmensnetzen

Authentisierung in Unternehmensnetzen in Unternehmensnetzen Problemstellung und Lösungsansätze >>> Seite Martin 1 Seeger NetUSE AG, Dr.-Hell-Straße, 24017 Kiel ms@netuse.de - Agenda - Inhalt Problemstellung Was ist starke Authentisierung Biometrie

Mehr

Andy Kurt Vortrag: 7.11.14. OSX - Computeria Meilen

Andy Kurt Vortrag: 7.11.14. OSX - Computeria Meilen Andy Kurt Vortrag: 7.11.14 OSX - Computeria Meilen 1 von 10 Andy Kurt Vortrag: 7.11.14 Screen IT & Multimedia AG Webseite: www.screen-online.ch Link Fernwartung: http://screen-online.ch/service/fernwartung.php

Mehr

TELEKOM CLOUD COMPUTING. NEUE PERSPEKTIVEN. Dietrich Canel Telekom Deutschland GmbH 03/2013 1

TELEKOM CLOUD COMPUTING. NEUE PERSPEKTIVEN. Dietrich Canel Telekom Deutschland GmbH 03/2013 1 TELEKOM CLOUD COMPUTING. NEUE PERSPEKTIVEN. Dietrich Canel Telekom Deutschland GmbH 03/2013 1 DIE TELEKOM-STRATEGIE: TELCO PLUS. 2 AKTUELLE BEISPIELE FÜR CLOUD SERVICES. Benutzer Profile Musik, Fotos,

Mehr

Rechtssichere E-Mail-Archivierung

Rechtssichere E-Mail-Archivierung Rechtssichere E-Mail-Archivierung Rechtliche Sicherheit für Ihr Unternehmen Geltende rechtliche Anforderungen zwingen Unternehmen in Deutschland, Österreich und der Schweiz, E-Mails über viele Jahre hinweg

Mehr

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW Datenschutz in der Cloud Stephan Oetzel Teamleiter SharePoint CC NRW Agenda Definitionen Verantwortlichkeiten Grenzübergreifende Datenverarbeitung Schutz & Risiken Fazit Agenda Definitionen Verantwortlichkeiten

Mehr

UNTERNEHMENSBROSCHÜRE

UNTERNEHMENSBROSCHÜRE UNTERNEHMENSBROSCHÜRE Sicherer Schutz für Ihre Daten Outpost24 bietet eine hochmoderne Vulnerability Management-Technologie sowie Dienstleistungen an, die die komplexen Sicherheitsbedürfnisse moderner

Mehr

Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH

Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH Version 1.1 2012-07-11 Personenbezogene Daten Die Flughafen Berlin Brandenburg GmbH im Folgenden FBB genannt erhebt, verarbeitet,

Mehr

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012 ISi Ihr Berater in Sachen Datenschutz und IT-Sicherheit 01 Berlin, August 2012 Vorstellung ISiCO 02 Die ISiCO Datenschutz GmbH ist ein spezialisiertes Beratungsunternehmen in den Bereichen IT-Sicherheit,

Mehr

Mobile Technologien in der Assekuranz: Wie sie effektiv genutzt und im Rahmen einer Mobile- Strategie umgesetzt werden können.

Mobile Technologien in der Assekuranz: Wie sie effektiv genutzt und im Rahmen einer Mobile- Strategie umgesetzt werden können. Studienabschlussarbeit / Bachelor Thesis Marcel Altendeitering Manuskript Mobile Technologien in der Assekuranz: Wie sie effektiv genutzt und im Rahmen einer Mobile- Strategie umgesetzt werden können.

Mehr

T.I.S.P. Community Meeting 2013. ISMS: Arbeitsplatz der Zukunft. Alfons Marx Teamleiter Security, DQS-Auditor Materna GmbH, Dortmund

T.I.S.P. Community Meeting 2013. ISMS: Arbeitsplatz der Zukunft. Alfons Marx Teamleiter Security, DQS-Auditor Materna GmbH, Dortmund T.I.S.P. Community Meeting 2013 ISMS: Arbeitsplatz der Zukunft Chancen, Potentiale, Risiken, Strategien Alfons Marx Teamleiter Security, DQS-Auditor Materna GmbH, Dortmund so könnte der Arbeitsplatz der

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr