Entwicklung eines Zellen-basierten Frameworks für Industrial Information Security DIPLOMARBEIT

Größe: px
Ab Seite anzeigen:

Download "Entwicklung eines Zellen-basierten Frameworks für Industrial Information Security DIPLOMARBEIT"

Transkript

1 Entwicklung eines Zellen-basierten Frameworks für Industrial Information Security eingereicht von Ing. Dipl.-Ing. (FH) Herbert Dirnberger DIPLOMARBEIT zur Erlangung des akademischen Grades Master of Arts in Business (MA) an der Ferdinand Porsche FernFH Studienrichtung Wirtschaftsinformatik Begutachter: Univ.-Prof. Dipl.-Ing. DDr. Gerald Quirchmayr Universität Wien Institut für Multimedia Information Systems Wien, Juni 2011

2 Copyright 2011 Ing. Dipl.-Ing. (FH) Herbert Dirnberger Alle Rechte vorbehalten ii

3 Erklärung Hiermit erkläre ich an Eides statt, dass ich die vorliegende Arbeit selbstständig und ohne fremde Hilfe verfasst, andere als die angegebenen Quellen und Hilfsmittel nicht benutzt und die aus anderen Quellen entnommenen Stellen als solche gekennzeichnet habe. Mit der Einstellung dieser Arbeit in die Bibliothek bin ich einverstanden. Der Veröffentlichung dieser Arbeit im Internet stimme ich zu. Wien, am 12. Juni 2011 Ing. Dipl.-Ing. (FH) Herbert Dirnberger iii

4 Widmung und Danksagung Diese Arbeit widme ich in erster Linie meiner Familie. Euer Sohn, Bruder und Onkel hatte in den vergangenen zwei Jahren wenig Zeit für euch. Von ganzem Herzen möchte ich mich bei meiner Frau Elisabeth bedanken. Danke, dass du mich während meines Studiums unterstützt und mich immer wieder motiviert hast. Mein Dank gilt auch Herrn Studiengangsleiter Mag. Dr. Oliver Jorns (Ferdinand Porsche FernFH) für die aktive Unterstützung während des Studiums. Besonderer Dank gebührt dem Betreuer meiner Diplomarbeit, Univ.-Prof. Dipl.-Ing. DDr. Gerald Quirchmayr, welcher einen wesentlichen Beitrag für das Gelingen der Diplomarbeit geleistet hat. Vielen Dank für die gute und wertvolle Zusammenarbeit. Allgemeine Anmerkung: Der Verfasser der Arbeit hat sich bei der Verwendung von eingedeutschten Fachbegriffen dazu entschieden, die neue deutsche Rechtschreibung anzuwenden. Der starke Einfluss der englischen Sprache im Anwendungsbereich der Wirtschaftsinformatik erfordert die Verwendung von englischen Fachbegriffen, da diese nicht eindeutig in die deutsche Sprache übersetzt werden können. Als Beispiel sei das Wort Framework erwähnt, dass in dieser Arbeit als eingedeutschte Version verwendet wird. iv

5 Inhaltsverzeichnis Erklärung Widmung und Danksagung Kurzfassung Abstract iii iv viii ix 1 Einleitung Motivation Konkretisierung des allgemeinen Problems Abgrenzung Zielsetzung Vorgehensweise Information Security Sicherheit, Security und Safety Cyberspace, -war, -crime und -security Definition Information Security Konzept: Enterprise Information Security Risikomanagement Business Continuity Management Incident Management and Response Industrial Automation and Control Systems Definition und Anwendungsfälle Grundaufgaben Komponenten Systemanforderungen Systemaufbau I2S Framework Development Framework Requirements Modelle, Designmuster, Standards und Frameworks v

6 Inhaltsverzeichnis vi 4.3 Framework Konzeption und Architektur Ausgangssituation und Verbesserungspotentiale Ziele Architekturgrundsätze Entwicklung des Grundgerüsts Entwicklung des Frameworks Mapping zu vorhandenen Standards Fallstudie: RECPLAST GmbH Ausgangssituation Aufgabenstellung und Ziele Unternehmensanalyse Anwendung des I2S Frameworks anhand der Fallstudie Governance, Risk and Compliance Governance Risk Management Compliance Strategy Leitlinie zur Informationssicherheit Business Strategy IACS/ITS Service Strategy Information Security Strategy Information Security Baseline Programmentwicklung Planung der Systemlandschaft Gebäude und Infrastruktur ITS: IT-Infrastruktur und Netzwerk ITS: Informations- und Kommunikationssysteme (Office) IACS: Spritzgussanlagen inkl. externe Fernwartung ITS: Gabelstapler, Mobile PC, RFID RECPLAST I2S Programm Ergebnisse 81 8 Diskussion und Ausblick 84 A Ergänzende Informationen zu IS und IACS 87 B Ergänzende Abbildungen zu IS und IACS 91 C I2S Entwicklungsrahmen 97 D Dokumente zur Fallstudie RECPLAST GmbH 100

7 Inhaltsverzeichnis vii E Open Security Architecture / COBIT Process Maturity 111 Abbildungsverzeichnis 116 Tabellenverzeichnis 118 Literaturverzeichnis 119

8 Kurzfassung Die industrielle Steuerungs- und Automatisierungstechnik entwickelt sich immer mehr in Richtung Informationstechnologie, und die Anforderungen an die produzierende Industrie erfordern überbetriebliche, intelligente Prozesse. In der Fertigungs-, Gebäude- und Prozessautomation sind die existierenden IT-Sicherheitsansätze nur bedingt anwendbar. Eine Untersuchung von aktueller Literatur, Standards und Normen in den Themengebieten Information Security und industrielle Automatisierungs- und Steuerungssysteme unter Berücksichtigung von Empirie soll ein unterstützendes Framework für die Planung, Koordination, Inbetriebnahme, Instandsetzung und Optimierung von Informationssystemen entwickeln. Als Zielsetzung werden praxisnahe Vorgangsweisen und ein Framework entwickelt, welche helfen, die Anforderungen an Sicherheit erfüllbar zu machen. Die Geschäftsprozesse werden aktiv unterstützt durch eine strategische Interaktion zwischen Produktion, Service, Information Security und Informationssystem. Anhand einer exemplarischen Fallstudie wurden die Möglichkeiten und Grenzen des Frameworks untersucht. Schlagwörter: Industrie, Steuerungstechnik, Automatisierungstechnik, Information Security, Informationssicherheit, IT-Security, IT-Sicherheit, Framework viii

9 Abstract Industrial Automation and Control Systems develop towards Information Technology and the requirements on manufacturing industries involve collaborative and intelligent business processes. In the field of Industrial Automation existing IT security approaches are only partially applicable in these areas. A study of current literature, standards and norms on the subjects of Information Security and Industrial Automation and Control Systems, taking empiricism into consideration, develops a supporting framework for the planning, coordination, implementation, maintenance and optimization of Information Systems. The objectives are to develop practical architectures, procedures and a framework, which will help to fulfill the security requirements. The business processes are actively supported through a strategic interaction between production, service, Information Security and Systems. Exemplified in a theoretical Case Study Keywords: Industry, Control Systems, Information Technologies, Information Security, Information Assurance, IT Security, Framework ix

10 Kapitel 1 Einleitung Wesentliche Bestandteile von kritischer Infrastruktur, Fertigungs-, Gebäude- und Prozessautomatisierung sind Kommunikationslösungen, die auf Informationstechnologie basieren. Klassische Ansätze der IT-Sicherheit sind in diesen Bereichen nur bedingt anwendbar. Für die herkömmlichen Officeund Back-Office-Programme kommt oft eine zentrale Betrachtungsweise in Anwendung. Die Kernkomponenten bestehen aus IT-Infrastruktur, Rechenzentrum, Applikations- und Datenbankservern und vielen verteilten Clients. Mittels einer IT-Policy werden die notwendigen Sicherheitsaspekte und Services in Richtlinien und Standards an die Endbenutzer bzw. Systeme übertragen, um die Geschäftsprozesse zu unterstützen. Im Bereich der Automatisierung 1 kommen klassische dezentrale Zellenstrukturen zum Einsatz. Jede Zelle führt autonom z.b. ihre Mess-, Steuerund Regelungsaufgabe durch und wird als eigenständige Einheit gesehen. Dem zentralen Ansatz der klassischen Informationstechnologie kommt in diesem Aspekt keine oder wenig Bedeutung hinzu. Aus den verschiedenen Sichtweisen werden auch verschiedene Handlungsempfehlungen je Anwendungsbereich abgeleitet. Somit kommt es, dass Patch Management 2 in den unterschiedlichen Bereichen anders angewendet wird - "never touch a running system" versus "install all critical updates". In vielen Unternehmungen stehen somit zwei unterschiedliche Gedankenwelten für die Anwendungsbereiche gegenüber. Es scheint naheliegend, diese zwei Domänen unterschiedlich zu behandeln. In Folge werden beide Bereiche abgegrenzt, und es wird mit verschiedenen Methoden gearbeitet. Langfristig kommt es dadurch zu keinen einheitlichen Informationsstrukturen, da beide Bereiche versuchen, sich weiter abzugrenzen oder dem anderen Bereich die ihr bekannten Vorgehensweisen und Paradigmen vorzuschreiben. In dieser Diplomarbeit wird versucht, ein ganzheitliches Framework für die Aspekte 1 In diesen Zusammenhang die Gesamtheit von kritischer Infrastruktur-, Fertigungs-, Gebäude- und Prozessautomatisierung. 2 Verwaltung von Korrekturen und Nachbesserungen für Softwareprobleme 1

11 1. Einleitung 2 Industrie, Information Security und Information Services zu bauen. Es soll helfen, die Welten aus Informationstechnologie, IT-Sicherheit, IT-Service, Automatisierungstechnik, Produktion, Instandhaltung und Management näher zusammenzubringen und effektiver zu arbeiten. 1.1 Motivation Betrachtet man allgemein, durch welche Ursachen technische Systeme funktionsuntüchtig werden, wird man oft feststellen, dass nicht fehlerhaftes Design oder die mangelhafte Implementierung die Hauptgründe dafür sind. Einfache Engpässe an Energie, mangelnde Wartung, falscher Systemeinsatz oder auch höhere Gewalt wie Blitzschlag sind mögliche Ursachen. Bei komplexen technischen Systemen wie Smart-Grids oder verteilten Steuerungssystemen ist man als Betreiber, Konstrukteur aber auch als Instandhalter laufend damit konfrontiert, auf eine Vielzahl von Gefährdungen mit den richtigen Mitteln zu reagieren. Die Informationstechnologie ist speziell gefährdet durch eine Unmenge von Bedrohungen aus dem World Wide Web. Spam, Phishingattacken, Trojaner und Viren sind fast jedem Endbenutzer bekannt, und durch den Kauf eines Schutzschildes wie Virenscanner glaubt man, allgemein sicher zu sein. So wie in der Consumerwelt hat sich auch in der Industrie ein großes Unwissen rund um Information Security verbreitet. Es werden sehr oft die falschen Maßnahmen gegen Bedrohungen eingesetzt. So zeigte im Juni 2010 z.b. der Computervirus Stuxnet, dass mit simplen Systemen wie USB 3 -Sticks hochsichere Systeme gefährdet werden können, obwohl diese mit vielfachen Schutzfunktionen ausgestattet wurden. Die große Frage, die sich viele Experten stellen, lautet daher, wie man sich gegen Bedrohungen und Schwachstellen schützen kann, die man nicht kennt. Dadurch resultiert eine laufende Anpassung der Information Security durch diese neuen Gegebenheiten. Bei einer Untersuchung der theoretischen Grundlagen des komplexen Themengebiets stellt man fest, dass eine intensive wissenschaftliche Betrachtung noch nicht stattgefunden hat. Auch die Begutachtung der praktischen Anwendungen zeigt, dass sehr viele unterschiedlich geeignete, aber nicht passende Handlungsweisen und Werkzeuge in Verwendung sind. Die laufende Evolution, wie der Mensch mit Technologie, Daten, Informationen und Wissen umgeht, verändert auch die Leitbilder in der Informationstechnologie, aber auch in der Automation - von der technologisch orientierten Denkweise zum Serviceanbieter und Business-Unterstützer. Aber auch Anpassungen in der Planung, Projektierung und Instandhaltung von Industrieanlagen und kritischer Infrastruktur sind notwendig. Die Nutzung von Designmustern für wiederkehrende Aufgaben würde enorme Kosteneinsparungen nach sich ziehen. Ein Erfolgsgeheimnis für die Entwicklung der 3 Universal Serial Bus

12 1. Einleitung 3 Muster liegt in der Einfachheit und praktischen Anwendbarkeit. Keep it simple ist das Motto, um komplexe Zusammenhänge zu lösen. 1.2 Konkretisierung des allgemeinen Problems Der aktuelle Forschungsstand im Bereich Industrial Information Security gliedert sich in viele unterschiedliche Bereiche. Eine gewisse Divergenz und Heterogenität der Forschungsinhalte ist zu beobachten. Ein übergreifendes Rahmenwerk für Industrial Information Security könnte ein Schritt sein, die Forschungsarbeiten wieder zusammenzuführen. Ein weiterer wichtiger Ansatz ist es, die Themengebiete IT-Service und Security in Verbindung zu setzen. Das Framework soll eine Verallgemeinerung der Theorie abbilden und durch Deduktion in die Empirie übergeführt werden. Die praktische Umsetzung mittels einer Fallstudie gibt Aufschluss über die Anwendbarkeit des Modells. Im Rahmen einer Bewertung werden konkrete Ergebnisse abgegeben. Konkret kann aus der genannten Problemstellung und den beschriebenen Lösungsansatz folgende Forschungsfrage abgeleitet werden: Zentrale Aufgabenstellung dieser Diplomarbeit ist es, die Zusammenarbeit der Domänen Informationstechnologie und Automatisierungstechnik zu fördern, um industrielle Informationssicherheit zu ermöglichen. Dazu ist es nötig zu klären, welche Gemeinsamkeiten die beiden Technikbereiche verbinden, und welche Vorgehensweisen notwendig sind, um die gemeinsame Aufgabe Informationssicherheit zu erfüllen. Die praktische Anwendung der Strategien und operativer Tätigkeiten anhand einer Fallstudie soll allgemeine Erkenntnisse für das Wissensgebiet der Informationssicherheit liefern. 1.3 Abgrenzung Die Forschungsarbeit wird in Hinblick auf folgende Kriterien abgegrenzt: 1. Anwendung auf mittlere Unternehmensgrößen mit Produktionsstandorten von 50 bis Mitarbeitern 2. regionale Verwendbarkeit im europäischen oder nordamerikanischen Umfeld 3. Nichtbetrachtung von militärischen oder ähnlichen Systemen 4. Vorhandensein von Schnitt- und Nahtstellen zwischen Informationstechnologie und Automation

13 1. Einleitung Zielsetzung Als Kernziel der Arbeit wird ein praxisnahes Framework für Industrial Information Security entwickelt, aufbauend auf den aktuellen Anforderungen der Prozessindustrie, Automatisierungstechnik und Informationstechnologie. Industrial Information Security Services sollen mit effektiven Handlungsweisen plan-, mess-, steuer- und regelbar werden und es soll gezeigt werden, wie eine übergreifende Sichtweise aller Belange von Herstellern, Betreibern und Auditoren geschaffen wird. Mittels einer Fallstudie wird die Anwendung des Frameworks dargestellt. Durch die Arbeit soll ein gewisser Grundstein für die Weiterentwicklung von Industrial Information Security geschaffen werden. Das Rahmenwerk und die Erkenntnisse über die praktische Anwendung werden der öffentlichen Entwicklergemeinde aber auch potentiellen Anwendern zur Verfügung gestellt. 1.5 Vorgehensweise Die theoretische Untersuchung von aktueller Literatur, Standards und Normen bildet eine Einführung zu den Themengebieten Automatisierungstechnik, Prozessautomation und Information Security. Aufgrund von praktischen Erfahrungen des Autors und der Einarbeitung von bewährten Vorgehensmodellen wird ein Framework entwickelt, welches das Themengebiet Industrial Information Security behandelt und vor allem als Kommunikationsgrundlage zwischen den Fachbereichen Informationstechnologie und Automatisierungstechnik dienen soll. Die praktische Anwendung des Frameworks wird mit einer Fallstudie untersucht. Die Ergebnisse der Fallstudie bilden eine Diskussionsgrundlage der Wirksamkeit des Frameworks und geben Ausblick über die zukünftigen Entwicklungen des Modells.

14 Kapitel 2 Information Security Mit dem Artikel The Computer for the 21st Century hat Mark Weiser 1988 die Idee Ubiquitous Computing vorgestellt. Durch die Allgegenwart von Computern wird eine neue Ära in der Informationstechnologie eingeläutet. Computer sollen durch intelligente Gegenstände ersetzt werden, die den Menschen bei den Tätigkeiten des Alltags unterstützen. Die vorgestellten Innovationen wie Active Badge, Computer Scratchpads and Live Boards sind schon am Anfang des 21. Jahrhunderts beispielsweise durch RFID 1, Tablet PC 2 und Beamer umgesetzt worden [65]. Auch industrielle Anwendungsfälle der Automatisierungstechnik werden durch Ubiquitous Computing wie RFID, Wireless Networks und Grid Computing unterstützt. Die Automatisierungstechnik ist historisch gesehen eine junge Disziplin. Ab 1970 wurden die ersten Steuerungen eingesetzt, um fest verdrahtete Schaltungen zu ersetzen. Heute ist der Funktionsumfang von Steuerungen von herkömmlichen Personal Computern nicht mehr zu unterscheiden. Personal Computer werden in Form von Industriecomputern mit angepassten Betriebssystemen als Soft-PLC 3 betrieben. Die Komplexität von IT-Systemen in der Automatisierungstechnik übersteigt zum Teil herkömmliche IT-Anforderungen. Ethernet hat zum Beispiel mit Profinet, Ethercat und Device Net begonnen, diverse Feldbusse wie Profibus, Interbus und CAN 4 abzulösen. Jedoch wird aus jetziger Sicht klar, dass sich durch die Vormachtstellung der großen Anbieter kein System als Standardsystem etablieren wird. Eine ähnliche Ausgangssituation war bei Beginn des Feldbuskrieges vorzufinden. Weltweit gibt es nur wenige Hersteller, die die Entwicklungen beeinflussen. Um die eigenen Produktstärken hervorzuheben und nicht durch andere Hersteller ausgetauscht werden zu können, wurden die Bemühungen, globale Standards zu schaffen, in den Hintergrund gestellt. 1 Radio-Frequency Identification 2 Personal Computer 3 Programmable Logic Controller 4 Controller Area Network 5

15 2. Information Security 6 Da die meisten Feldbusprotokolle von Protokollen von Punkt-zu-Punkt- Verbindungen abstammen und die Automatisierungstechnik-Netzwerke meist nur in segmentierten Netzwerken betrieben werden, wurde das Thema IT- Security meist nicht beachtet und in Folge nicht implementiert. Von der Konzeption sind meist die Systeme hierarchisch ausgebildet. Eine Steuerung beeinflusst mithilfe der Informationen von vielen Sensoren die Prozesse mit Aktoren. Der Aufbau gleicht dem menschlichen Nervensystem. Mit der Verwendung von RFID in industriellen Prozessen wurde klar, dass sich Ubiquitous Computing auch in der Automatisierungstechnik etabliert hat. Vergleicht man den Aufbau von industriellen Sensorsystemen mit Ubiquitous Computing Systemen, so wird man feststellen, dass sie sehr ähnlich sind und zum Teil die gleichen Aufgaben erfüllen. Durch den Einzug von Ubiquitous Computing in die Informationstechnologie entstehen aber auch sehr viele neue Herausforderungen. Die Migration wird speziell von der Entwicklung folgender Kernfragen abhängen: Hierarchie Prozessabläufe erfordern in den meisten Fällen streng hierarchische Regeln. Um den Einsatz von Ubiquitous Computing zu ermöglichen, braucht es übergeordnete Instanzen von Automaten, die viele einzelne Systeme leiten. Globale Standards Viele Systeme können sich erst erfolgreich durchsetzen, nachdem globale Standards geschaffen werden. Jedoch besteht die Gefahr, dass mehrere Standards durch die großen Anbieter definiert werden. Technologie Speziell die Themen Latenzzeiten bzw. Echtzeit sind die technologischen Herausforderungen von heutigen Informationssystemen. Informationssicherheit Nicht zu vernachlässigen ist auch der enorme Aufwand, um Menschen, Systeme und Informationen zu schützen. In Weisers Leitartikel wird jedoch nur auszugsweise auf die Gefahren der Allgegenwart der Informationstechnologie hingewiesen. Privacy Protection, Kryptographie für sichere Datenübertragung, Datenschutz, Data-Mining von Kundendaten, Informationsüberflutung aber auch krimineller Missbrauch von Informationen sind zu beachtende Elemente [65]. Speziell die neu gebildeten Abhängigkeiten zwischen Informationen, Technik und dem sozialen Wesen Mensch sind die neuen gesellschaftlichen und interdisziplinären Aufgabengebiete für wissenschaftliche Disziplinen der Informations- und Sicherheitstechnologie aber auch der Wirtschafts- und Sozialwissenschaften.

16 2. Information Security Sicherheit, Security und Safety In der englischen Sprache wird der deutsche Begriff Sicherheit in die Ausdrücke Safety und Security differenziert. Safety 5 wird herkömmlich mit Betriebs- und Ausfallsicherheit assoziiert und Security 6 mit dem Schutz vor kriminellen, böswilligen, internen oder externen Angriffen [43, S153f]. In den folgenden Absätzen werden die wesentlichen Unterschiede zwischen Safety und Security gegenübergestellt. Safety Oberstes Ziel von Safety ist es, den Schutz von Leben, Gesundheit und Umwelt vor dem betrachteten System zu gewährleisten und Unfälle durch umfassende Maßnahmen zu vermeiden. Fehler (=Failures) und Zufälle (=Hazards) dürfen das System nicht in einen unsicheren Zustand bringen. Es gibt einen sicheren Zustand, der erreicht oder garantiert werden kann. Security Ziel von Security ist es, Werte vor Diebstahl, unberechtigter Nutzung und Zerstörung zu schützen oder etwas geheimzuhalten 7 und das Auftreten von einzelnen Gefährdungen (=Threads) gezielt zu vermindern sowie Notfälle (=Incidents) zu vermeiden, deren Auswirkungen zu mildern oder auf Krisen, die durch Nichtbewältigbarkeit von Notfällen entstehen, richtig zu reagieren. Das Schutzniveau hängt vom Wert der zu schützenden Vermögenswerte oder Informationen ab. Der absolut sichere Zustand kann nie erreicht werden. Beide Sicherheitsansätze verfolgen jedoch sehr ähnliche Konzepte und verwenden die gleichen Werkzeuge wie Risikoanalyse, FMEA 8, Fehlerbäume und Ursachen-Wirkungsdiagramme. Zuverlässigkeit und Verfügbarkeit von Systemen sind klassisch der Ausfallsicherheit (=Safety) zuzuordnen, haben aber auch beim Schutz von Vermögenswerten (=Security) enorme Bedeutung. Zutrittskontrollen schützen nicht nur vor unberechtigtem Zugang, sondern können auch Schutzfunktionen vor Unfällen wahrnehmen. Die beiden verschiedenen Sicherheitsdefinitionen verfolgen unterschiedliche Primärziele, bewirken jedoch in den meisten Fällen ähnliche Ergebnisse. Im Sinne der Informationssicherheit steht der Schutz von Vermögenswerten und Informationen im Vordergrund - in speziellen Fällen werden auch Safety-Aspekte behandelt [62]. Beim Schutz kritischer Infrastruktur wird hauptsächlich der Safety-Approach angewendet. Der All-Hazard-Ansatz des Katastrophenschutzes beinhaltet die Verringerung der Verletzlichkeit von Gefährdungen durch kriminel- 5 safety=drop-out prevention 6 security=drop-in prevention 7 Im Sinne von Informationssicherheit wäre dies die Gewährleistung von Vertraulichkeit, Richtigkeit und Verfügbarkeit. 8 Failure Modes and Effects Analysis

17 2. Information Security 8 le Akte, terroristische Anschläge, Naturkatastrophen, durch Menschen verursachte Krisen, technisches Versagen und deren direkte Auswirkungen auf Mensch und Umwelt [32]. Die Verflechtungen von Safety und Security sind beim Bedrohungsszenario Cyberwar gemeinsam zu betrachten. Beim Schutz vor Cybercrime wird allgemein der Security-Ansatz betrachtet. 2.2 Cyberspace, -war, -crime und -security Die Verwendung des Wortes CYBER geht auf Nobert Wiener zurück. Mit dem richtungsweisenden Werk 1948 Cybernetics hat er die Grundlage für die moderne Informationstechnologie und Automation gelegt. Die folgenden Erklärungen rund um die CYBER-Begriffe dienen zur Begriffsabgrenzung zum Thema Information Security. Cyperspace Kritische Infrastruktur besteht aus öffentlichen und privaten Organisationen im Sektor Landwirtschaft, Lebensmittel, Wasser, Gesundheit, Regierung, Verteidigung, Telekommunikation, Transport, Finanz und Post. Die Gesamtheit ist als ein sehr komplexes und globales Steuerungssystem zu sehen, welches aus Tausenden von Workstations, Servern, Routern und Switches aufgebaut ist, die miteinander verbunden sind. Die nicht sichtbare Vernetzung und die vorhandene Gesamtintelligenz des Systems (=der Cyberspace) ist von enormer Bedeutung für die nationale und globale Sicherheit[23, S7]. Diese künstliche Struktur, meist Netzwerkinfrastruktur, kann in vielen Fällen nicht mehr eindeutig vom globalen Kommunikationssystem Internet getrennt werden. Cybercrime ist der Überbegriff für kriminelle Handlungen im Cyberspace bzw. Internet. Dazu zählen Hacking, Internetbetrug, Informationsdiebstahl, Kinderpornographie, organisiertes Verbrechen und Terrorismus. Die größten Bedrohungen durch Cybercrime sind laut einer Studie von CSI 9 Virusattacken, unerlaubter Zugriff auf Netzwerke, verlorene und gestohlene Laptops und Mobilgeräte, allgemeiner Informationsverlust und Informationsdiebstahl [10, S15f]. Cyberwar Man geht davon aus, dass Terroristen oder kriminelle Organisationen mit ausgeprägten Fähigkeiten für Attacken modernste Informationstechnologie verwenden. Das primäre Angriffsziel ist die Gefährdung von Mensch, Informationssystemen, Umwelt oder die Zerstörung von Vermögenswerten. In 2007 wurden weit gestreute Cyberattacken mittels weltweiten 9 Computer Security Institute

18 2. Information Security 9 Bot-Netzen auf die Infrastruktur des Staates Estland durchgeführt [10, S17]. Manche Sicherheitsexperten sind der Meinung, dass die Angriffe durch den Computerwurm Stuxnet auf das Iranische Atomprogramm durch zielgerichtete und speziell für den Angriffsfall entwickelte Cyberwaffen durchgeführt wurden [36]. Cybersecurity ist der Ansatz, den Cyberspace zu schützen. Durch koordinierte Aktionen werden Schutzschilde für kritische Infrastrukturen bewerkstelligt. Die Ziele sind, robuste und unverwüstliche Systeme zu schaffen, um Angriffe durch Cyberwar und -crime zu verhindern und deren Auswirkungen zu minimieren [47]. 2.3 Definition Information Security Die Evolution des modernen Information Security-Approach wurde maßgeblich durch die Entwicklung der Informationstechnologie beeinflusst. Die angewendete Informationstechnologie hat sich wesentlich von der reinen technologischen Ausrichtung zur Bereitstellung von Services gewandelt, die für den Betreiber einen wesentlichen Nutzen darstellen. Die Information Security hat sich aus den Entwicklungsschritten Computer Security, Sicherheit als Zustand, Schutz von Informationssystemen, C.I.A. 10 und Derivate entwickelt. Computer Security Nach dem Zitat von Dr. Eugene Spafford 11 ist ein Computer sicher, wenn man sich verlassen kann, dass sich seine Software so verhält wie man erwartet. Diese Aussage trifft die anfänglichen Ansätze des Sicherheitsgedanken sehr gut und beschreibt auch, dass man sich mit geeigneten Maßnahmen schützen kann. Im Sinne von Software- oder Hardwareentwicklung ist diese Denkweise auch heute noch gültig. Bruce Schneier argumentiert jedoch gegen diesen Ansatz mit dem Kerngedanken Security is a process not a product [30, S10][11]. Sicherheit ist ein Zustand Sicherheit kann auch als Qualität oder Zustand sicher zu sein, definiert werden. Das bedeutet frei von Gefahren oder Schutz vor Schaden durch Angreifer. Der Schutz wird durch verschiedene Aspekte wie physische Sicherheit, Personensicherheit, operative Sicherheit, Kommunikationssicherheit, Netzwerksicherheit und Informationssicherheit erreicht [67, S8]. Sicherheit kann auch als Qualität gesehen werden. Sicher zu sein bedeutet einen vorausgesagter Fortbestand. Diese Konzeption entstammt aus dem Safety-Gedanken und wird auch für den Schutz von 10 Confidentiality, Integrity, Availability 11 Professor an Purdue University Center for Education and Research in Information Assurance and Security (CERIAS), USA

19 2. Information Security 10 Notfällen und Katastrophen im Safety, Security and Continuity Engineering angewendet [43, S47]. Aus praktischer Sicht ist der Zustand der vollkommener Sicherheit nicht erreichbar. Weiters stellt sich die Frage, gegen welche Bedrohungen der Sicherheitszustand gerichtet ist [11]. Dieser Ansatz deckt nicht die heutigen umfassenden Anforderungen der Information Security ab, jedoch ist er für viele Teilaspekte gültig. Schutz von Informationssystemen Ein wesentlicher Paradigmenwechsel wurde durch die Änderung der Betrachtung der Sicherheitselemente vollzogen. Im CNSS 12 -Modell wird unter Information Systems Security beschrieben, dass nicht der Schutz der Technologie die Basis der Bemühungen ist, sondern die Gesamtheit des Systems und dessen Komponenten für Speicherung, Benützung und Transport [46] [67, S8]. C.I.A. und Derivate Eine markante Festlegung wurde beschrieben mit Information Systems Security ist der Schutz von Geheimhaltung, Integrität (im Sinne von richtig und vollständig) und Verfügbarkeit von Informationssystemen [33, S1] oder analog mit Information Security ist der Schutz von Informationen und deren kritischen Aspekten (Geheimhaltung, Integrität und Verfügbarkeit) durch die Anwendung von Leitlinien, Training, Bewusstseinsprogrammen und Technologien [67, S4]. Die Verwendung der einprägsamen Schutzziele Vertraulichkeit (confidentiality), Integrität (integrity), Verfügbarkeit (availability) geht auf Voydock/Kent aus dem Jahre 1983 [64] zurück [16]. Dieser Ansatz baut auf die drei Elemente confidentiality, integrity, availability (C.I.A.) auf. Die Geheimhaltung sichert, dass Informationen nicht an unautorisierte Prozesse oder Personen weitergegeben werden. Integrität ist Sicherheit vor Modifikation der Information durch unbefugte Benutzer oder die unbefugte Änderung durch autorisierte Benutzer und die Erhaltung von Konsistenz. Verfügbarkeit ist Sicherheit, dass ein befugter Benutzer zeitlich und ununterbrochen Zugang zur Information hat und das System aktiv ist, wenn es gebraucht wird [33, S2]. Der C.I.A. Ansatz gilt heute als eine Definition der Information Security. Information Security/Assurance als Prozess Information Security kann auch als Gesamtheit von Leitlinien und Maßnahmen in Informationssystemen zur Sicherstellung von Vertraulichkeit und Integrität von Informationen und Informationssystemen gesehen werden [38, S1017]. In Kombination mit 12 Committee on National Security Systems

Industrial Information Security

Industrial Information Security Umdasch AG 11. November 2011 1 Einleitung 2 Information Security 3 Industrial Automation and Control Systems 4 Entwicklung des I2S Frameworks 5 Praktische Anwendung 6 Zukünftige Entwicklungen Inhalt 1

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt Vorlesung im Sommersemester 2011 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr

Standards für den Notfall ein Widerspruch? Der Business Continuity Standard BS25999-1:2006

Standards für den Notfall ein Widerspruch? Der Business Continuity Standard BS25999-1:2006 Standards für den Notfall ein Widerspruch? Der Business Continuity Standard BS25999-1:2006 Axept für Kunden und Partner AX After Hours Seminar ISACA Switzerland Chapter 29.5. V1.0_2006 Seite 1 Agenda Die

Mehr

Wahlpflichtkatalog mit Zuordnung der Wahlpflichtmodule zu den Profilrichtungen

Wahlpflichtkatalog mit Zuordnung der Wahlpflichtmodule zu den Profilrichtungen Wahlpflichtkatalog mit Zuordnung der Wahlpflichtmodule zu den Profilrichtungen Profilrichtungen Englische Übersetzung Beschreibung Informationssicherheit Information Security Diese Profilrichtung behandelt

Mehr

IT Sicherheitsleitlinie der DATAGROUP

IT Sicherheitsleitlinie der DATAGROUP IT Sicherheitsleitlinie der DATAGROUP Dezember 2011 Dr. Tobias Hüttner Version 2.0 Seite 1 von 5 Änderungshistorie IT Sicherheitsleitlinie der DATAGROUP In der nachfolgenden Tabelle werden alle Änderungen

Mehr

Disaster Recovery Planning. Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0

Disaster Recovery Planning. Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0 Disaster Recovery Planning Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0 Agenda Einführung in Disaster Recovery Planning Problemstellung in Organisationen Vorgehensmodell

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

BCM Schnellcheck. Referent Jürgen Vischer

BCM Schnellcheck. Referent Jürgen Vischer BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Mobile Technologien in der Assekuranz: Wie sie effektiv genutzt und im Rahmen einer Mobile- Strategie umgesetzt werden können.

Mobile Technologien in der Assekuranz: Wie sie effektiv genutzt und im Rahmen einer Mobile- Strategie umgesetzt werden können. Studienabschlussarbeit / Bachelor Thesis Marcel Altendeitering Manuskript Mobile Technologien in der Assekuranz: Wie sie effektiv genutzt und im Rahmen einer Mobile- Strategie umgesetzt werden können.

Mehr

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006 Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF Mai 2009 > Vorstellung des BMF / IT-Sektion Gründe für die Einführung des Standards Projektumfang

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

Zusammenfassung IT SEC + MAN

Zusammenfassung IT SEC + MAN Zusammenfassung IT SEC + MAN Zusammenfassung aus den Vorlesungen Sicherheitswahrnehmung Sicherheitsrelease Ausbreitung Funktionalität-Sicherheit Post-Incident-Verhalten (Das Verhalten nach dem Vorfall)

Mehr

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Entwicklung und Evaluation eines Vorgehensmodells zur Optimierung des IT-Service im Rahmen eines IT-Assessment Framework Oliver

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Industrial IT Security in Embedded Systems - was leistet die Norm IEC 62443? von Dipl.-Ing. (FH) Sebastian Schmidt

Industrial IT Security in Embedded Systems - was leistet die Norm IEC 62443? von Dipl.-Ing. (FH) Sebastian Schmidt Industrial IT Security in Embedded Systems - was leistet die Norm IEC 62443? von Dipl.-Ing. (FH) Sebastian Schmidt Die Vernetzung von Computer Systemen macht auch vor industriellen Systemen nicht halt.

Mehr

Cloud Computing in Industrie 4.0 Anwendungen: Potentiale und Herausforderungen

Cloud Computing in Industrie 4.0 Anwendungen: Potentiale und Herausforderungen Cloud Computing in Industrie 4.0 Anwendungen: Potentiale und Herausforderungen Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftsingenieur der Fakultät

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

BCM Business Continuity Management

BCM Business Continuity Management BCM Business Continuity Management Dipl. Ing. Dr.Dr. Manfred Stallinger, MBA manfred.stallinger@calpana.com calpana business consulting gmbh IT-Risikomanagement Unsicherheit der Zukunft heute managen 1.

Mehr

Befragung und empirische Einschätzung der Praxisrelevanz

Befragung und empirische Einschätzung der Praxisrelevanz Befragung und empirische Einschätzung der Praxisrelevanz eines Vorgehensmodells zur Auswahl von CRM-Systemen D I P L O M A R B E I T zur Erlangung des Grades eines Diplom-Ökonomen der Wirtschaftswissenschaftlichen

Mehr

IT-Sicherheitsmanagement bei der Landeshauptstadt München

IT-Sicherheitsmanagement bei der Landeshauptstadt München IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung

Mehr

Xpert.press ITIL. Das IT-Servicemanagement Framework. von Peter Köhler. überarbeitet

Xpert.press ITIL. Das IT-Servicemanagement Framework. von Peter Köhler. überarbeitet Xpert.press ITIL Das IT-Servicemanagement Framework von Peter Köhler überarbeitet ITIL Köhler schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG Thematische Gliederung: SAP Springer

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7 xv 1 Einleitung 1 2 Einführung und Grundlagen 7 2.1 Die neue Rolle der IT...................................... 7 2.2 Trends und Treiber........................................ 8 2.2.1 Wertbeitrag von

Mehr

Risiken kann man eingehen. Oder man kann sie meistern.

Risiken kann man eingehen. Oder man kann sie meistern. IBM Global Technology Services Risiken kann man eingehen. Oder man kann sie meistern. Einsichten und Erkenntnisse aus der IBM Global IT Risk Study. 2 IBM Global IT Risk Study Wie steht es mit dem Sicherheitsbewusstsein

Mehr

GRC-Modell für die IT Modul GRC-Organisation 1

GRC-Modell für die IT Modul GRC-Organisation 1 GRC-Modell für die IT Modul GRC-Organisation 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt () Die

Mehr

Information Security Awareness

Information Security Awareness Information Security Awareness Marcus Beyer Senior Security Awareness Architect Hewlett-Packard (Schweiz) GmbH Sarah Ahmed Junior Security Awareness Consultant Hewlett-Packard (Schweiz) GmbH Copyright

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN 1 Bayerischer IT-Sicherheitscluster e.v. 09.10.2015 REFERENT Claudia Pock Sales Managerin IT Security Applied Security

Mehr

Sicherheit und Qualität digitaler Leittechnik eine wesentliche Voraussetzung für Kraftwerke der Zukunft

Sicherheit und Qualität digitaler Leittechnik eine wesentliche Voraussetzung für Kraftwerke der Zukunft Sicherheit und Qualität digitaler Leittechnik eine wesentliche Voraussetzung für Kraftwerke der Zukunft Dr. Guido Rettig Chairman of the Board TÜV NORD AG 1 Vertikale und horizontale Kommunikation in der

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

Abbildung 1: Titelbild (Quelle: http://www.oobject.com/algorithmic-architecture/follymorph-continuum-group-finalpresentation/3267/)

Abbildung 1: Titelbild (Quelle: http://www.oobject.com/algorithmic-architecture/follymorph-continuum-group-finalpresentation/3267/) Abbildung 1: Titelbild (Quelle: http://www.oobject.com/algorithmic-architecture/follymorph-continuum-group-finalpresentation/3267/) Enterprise Continuum Wiederverwendung von Unternehmensarchitekturen Modul

Mehr

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin Software EMEA Performance Tour 2013 17.-19 Juni, Berlin In 12 Schritten zur ISo27001 Tipps & Tricks zur ISO/IEC 27001:27005 Gudula Küsters Juni 2013 Das ISO Rennen und wie Sie den Halt nicht verlieren

Mehr

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Roadshow INDUSTRIAL IT SECURITY Dr. Thomas Störtkuhl 18. Juni 2013 Folie 1 Agenda Einführung: Standard IEC 62443

Mehr

Inhaltsverzeichnis. Inhaltsverzeichnis

Inhaltsverzeichnis. Inhaltsverzeichnis 1 Qualitätssichernde Prozesse 1 1.1 Was war die alte ISO 9000:1994?... 3 1.2 ISO 9000:2000... 4 1.3 ITIL und ISO 9000: 2000... 10 1.4 Six Sigma (6)... 12 1.4.1 Fachbegriffe unter Six Sigma... 17 1.4.2

Mehr

4. Stuttgarter Sicherheitskongress: IT-Sicherheit in industriellen Anlagen

4. Stuttgarter Sicherheitskongress: IT-Sicherheit in industriellen Anlagen 4. Stuttgarter Sicherheitskongress: IT-Sicherheit in industriellen Anlagen Henning Sandfort Siemens AG, Sector Industry SIMATIC Produkt- & Systemmanagement Allgemeine Security-Bedrohungen in der Automatisierung

Mehr

Sicherheit der industriellen Automatisierung in österreichischen Unternehmen

Sicherheit der industriellen Automatisierung in österreichischen Unternehmen Sicherheit der industriellen Automatisierung in österreichischen Unternehmen Ing. DI(FH) Herbert Dirnberger, MA, CISM Leiter der Arbeitsgruppe Sicherheit der industriellen Automation Verein zur Förderung

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai 2014. Burkhard Kesting

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai 2014. Burkhard Kesting Resilien-Tech Resiliente Unternehmen Security Consulting 08. Mai 2014 Burkhard Kesting Internationales Netzwerk KPMG International KPMG International KPMG ELLP KPMG in Deutschland Audit Tax Consulting

Mehr

Dr. Andreas Gabriel Ethon GmbH 24.09.2015

Dr. Andreas Gabriel Ethon GmbH 24.09.2015 Wie meistern Sie nachhaltig die Kann Ihnen eine Zertifizierung ISO 27001 helfen? Dr. Andreas Gabriel Ethon GmbH KURZE VORSTELLUNG 2 Profil der Ethon GmbH; Ulm Über die Ethon GmbH Informationssicherheit

Mehr

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach COBIT Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach Gliederung Motivation Komponenten des Frameworks Control Objectives Goals Prozesse Messen in CobiT Maturity Models Outcome

Mehr

Implementierung eines Risikomanagementsystems bei der EADS BU DE. Jan Eickmann Mathias Wernicke

Implementierung eines Risikomanagementsystems bei der EADS BU DE. Jan Eickmann Mathias Wernicke Implementierung eines Risikomanagementsystems bei der EADS BU DE Jan Eickmann Mathias Wernicke 03.02.2009 Dipl.-Ing. Mathias Wernicke, Jan Eickmann 1 Vision2020 Entwicklung der EADS [ ] mit größerem Anteil

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

IT-Sicherheit. IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen. Informationsrechtstag 2006 / Seite 1 von 22

IT-Sicherheit. IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen. Informationsrechtstag 2006 / Seite 1 von 22 IT-Sicherheit IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen Informationsrechtstag 2006 / Seite 1 von 22 BASF IT Services Wir stellen uns vor Gründung einer europaweiten IT-Organisation

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

Automatisierung eines ISMS nach ISO 27001 mit RSA Archer

Automatisierung eines ISMS nach ISO 27001 mit RSA Archer Automatisierung eines ISMS nach ISO 27001 mit RSA Archer Wilhelm Suffel Senior Consultant Computacenter AG & Co ohg Hörselbergstraße 7, 81677 München, Germany Tel.: +49 89 45712 446 Mobile: +49 172 8218825

Mehr

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009 Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen IT Profis Berlin, 24.06.2009 Leistungsspektrum Trigonum GmbH Geschäftsprozess- und Organisationsmanagement Erfolgreich Prozesse und

Mehr

Consulting Services Effiziente Sicherheitsprozesse nach Mass.

Consulting Services Effiziente Sicherheitsprozesse nach Mass. Consulting Services Effiziente Sicherheitsprozesse nach Mass. Angemessene, professionelle Beratung nach internationalen Sicherheitsstandards. Effektive Schwachstellenerkennung und gezielte Risikominimierung.

Mehr

Kapitel 2: Grundlagen. Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1

Kapitel 2: Grundlagen. Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1 Kapitel 2: Grundlagen Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1 Kapitel 2: Inhalt 1. Grundlegende Ziele der IT-Sicherheit 2. Kategorisierung von Sicherheitsmaßnahmen 3. Standards der

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

IT-Risiko- Management mit System

IT-Risiko- Management mit System Hans-Peter Königs 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. IT-Risiko- Management mit System Von den Grundlagen

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

59 markets and 36 languages. 76 markets and 48 languages 200+ CLOUD SERVICES

59 markets and 36 languages. 76 markets and 48 languages 200+ CLOUD SERVICES 2 59 markets and 36 languages 76 markets and 48 languages 200+ CLOUD SERVICES Informations-Sicherheit Risiken kennen Informations-Sicherheit ist eine Risiko-Management Disziplin des Geschäftsbereich und

Mehr

I T I L. ITIL ein systematisches und professionelles Vorgehen für. das Management von IT Dienstleistungen. Andreas Henniger.

I T I L. ITIL ein systematisches und professionelles Vorgehen für. das Management von IT Dienstleistungen. Andreas Henniger. I T I L ITIL ein systematisches und professionelles Vorgehen für das Management von IT Dienstleistungen. 1 ITIL Was ist ITIL? ITIL wurde von der Central Computing and Telecommunications Agency (CCTA) entwickelt,

Mehr

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring Mit Service-Level DDoS Application Security Monitoring Die Umsetzung meiner Applikations-Security-Strategie war nicht immer einfach. AppSecMon konnte mich in wesentlichen Aufgaben entlasten. Kontakt zu

Mehr

IT-Sicherheit - Sicherheit vernetzter Systeme -

IT-Sicherheit - Sicherheit vernetzter Systeme - IT-Sicherheit - Sicherheit vernetzter Systeme - Kapitel 2: Grundlagen Folienversion: 18.10.2013 Wolfgang Hommel, Helmut Reiser, LRZ, WS 13/14 IT-Sicherheit 1 Kapitel 2: Inhalt 1. Grundlegende Ziele der

Mehr

IT Security @ EGGER. ISMS- und IKS-Implementierung: Informationssicherheit im produzierenden Gewerbe

IT Security @ EGGER. ISMS- und IKS-Implementierung: Informationssicherheit im produzierenden Gewerbe IT Security @ EGGER ISMS- und IKS-Implementierung: Informationssicherheit im produzierenden Gewerbe Michael Danzl, IT Security Officer, Fritz Egger GmbH und Co.OG Inhalt Die EGGER Gruppe Die EGGER OrgIT

Mehr

Security in der industriellen Automatisierung im aktuellen Kontext

Security in der industriellen Automatisierung im aktuellen Kontext Anna Palmin, Dr. Pierre Kobes /18 November 2014, KommA 2014 Security in der industriellen Automatisierung im aktuellen Kontext Restricted Siemens AG 20XX All rights reserved. siemens.com/answers Security

Mehr

Der gesamte Capacity Management Prozess versucht kontinuierlich kosteneffektiv die IT Ressourcen und Kapazitäten auf den sich fortwährend ändernden

Der gesamte Capacity Management Prozess versucht kontinuierlich kosteneffektiv die IT Ressourcen und Kapazitäten auf den sich fortwährend ändernden Der gesamte Capacity Management Prozess versucht kontinuierlich kosteneffektiv die IT Ressourcen und Kapazitäten auf den sich fortwährend ändernden Bedarf und die Anforderungen des Business anzupassen.

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

CAS E-Commerce & Online-Marketing. Lukas Fässler MA Public Adminstration & Management

CAS E-Commerce & Online-Marketing. Lukas Fässler MA Public Adminstration & Management CAS E-Commerce & Online-Marketing Recht im Internet Lukas Fässler MA Public Adminstration & Management CAS ECOM Kick Off Martina Dalla Vecchia 2009 Hochschule für Wirtschaft 1 1 CAS E-Commerce & Online-Marketing

Mehr

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen Peter T.Köhler 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. ITIL Das IT-Servicemanagement Framework Mit 209 Abbildungen

Mehr

Erfolgsfaktor Proaktives IT-Sicherheitsmanagement

Erfolgsfaktor Proaktives IT-Sicherheitsmanagement 1. Dezember 2004 Seite: 1 / 5 Erfolgsfaktor Proaktives IT-Sicherheitsmanagement Christian Peter Global Services Executive, IBM Österreich 1. Dezember 2004 1 Abstract IT-Sicherheitsmanagement: unverzichtbares

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Eine ISO-Norm für Wissensmanagement?

Eine ISO-Norm für Wissensmanagement? Eine ISO-Norm für Wissensmanagement? 09.12.2014 von Christian Katz Die aktuelle Revision der ISO 9001 (Qualitätsmanagementsysteme) lädt ein, über die Harmonisierung aller Managementsystem-Normen nachzudenken:

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

Schutz sensibler Personendaten im e-government-umfeld. Christian Spörer Juni 2013 Chief Information Officer Total Security & Quality Management

Schutz sensibler Personendaten im e-government-umfeld. Christian Spörer Juni 2013 Chief Information Officer Total Security & Quality Management Schutz sensibler Personendaten im e-government-umfeld Christian Spörer Juni 2013 Chief Information Officer Total Security & Quality Management OeSD im Überblick Gründung: 1804 Mitarbeiter: 180 Produktion:

Mehr

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz Rudolf Schraml Beratung und Vertrieb IT-Security und Datenschutz Effektives IT-Risikomanagement Chance oder Risiko Was vor einiger Zeit nur für die großen Unternehmen galt, ist jetzt auch im Mittelstand

Mehr

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik.

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik. Forderungen zur Unternehmenspolitik aus diversen Normen und Regelwerken Feststellung und Dokumentation der Forderungen zur Unternehmenspolitik verschiedener Normen und Regelwerke. Schritt 1: Hier auszugsweise

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

Risikomanagement für IT-Netzwerke mit Medizinprodukten. FH-Prof. Dipl.-Ing. Alexander Mense, CISSP Ing. Franz Hoheiser-Pförtner, MSc, CISSP

Risikomanagement für IT-Netzwerke mit Medizinprodukten. FH-Prof. Dipl.-Ing. Alexander Mense, CISSP Ing. Franz Hoheiser-Pförtner, MSc, CISSP Risikomanagement für IT-Netzwerke mit Medizinprodukten FH-Prof. Dipl.-Ing. Alexander Mense, CISSP Ing. Franz Hoheiser-Pförtner, MSc, CISSP Agenda Ausgangssituation Herausforderungen Der erste Schritt als

Mehr

ITIL IT Infrastructure Library

ITIL IT Infrastructure Library ITIL IT Infrastructure Library Einführung in das IT-Service-Management Andreas Linhart - 2009 Agenda IT-Service-Management Der ITIL-Ansatz Lizenzen & Zertifizierungen ITIL-Prozessmodell (v2) Service Support

Mehr

Ubiquitous Computing in Automatisierung und Industrial IT

Ubiquitous Computing in Automatisierung und Industrial IT 24.2.2015 CMG AE - WIEN Ubiquitous Computing in Automatisierung und Industrial IT Ing. DI(FH) Herbert Dirnberger, MA herbert.dirnberger@cybersecurityaustria.at Herbert Dirnberger Automatisierung/Mechatronik

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Q_PERIOR AG 2014 www.q-perior.com Einführung Die Herausforderungen an die Compliance in der Informationssicherheit steigen Neue Technologien Fraud und Industriespionage

Mehr

Aus Liebe zu Sicherheit und Qualität.

Aus Liebe zu Sicherheit und Qualität. Aus Liebe zu Sicherheit und Qualität. ECO Verband Frankfurt 30.01.2015 1 2013 - Auf allen Kontinenten zuhause. Überblick TÜV Rheinland Ca. 600 Standorte in 65 Ländern ca. 1,6 Mrd. Umsatz ca. 18.000 Mitarbeiter

Mehr

Secure SDLC für die Masse dank OpenSAMM? OWASP 17.11.2011. The OWASP Foundation. Dr. Bruce Sams. http://www.owasp.org

Secure SDLC für die Masse dank OpenSAMM? OWASP 17.11.2011. The OWASP Foundation. Dr. Bruce Sams. http://www.owasp.org Secure SDLC für die Masse dank OpenSAMM? Dr. Bruce Sams 17.11.2011 Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the License. The Foundation

Mehr

Zertifikatsstudiengang Certified Security Manager (CSM)

Zertifikatsstudiengang Certified Security Manager (CSM) Zertifikatsstudiengang Certified Security Manager (CSM) Mit Security Management sind Sie gut vorbereitet Das Thema Sicherheit im Unternehmen wird meist in verschiedene Bereiche, Unternehmenssicherheit,

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr