IT Security Risikoanalyse vermeidet Kosten
|
|
- Steffen Holzmann
- vor 6 Jahren
- Abrufe
Transkript
1 IT-SECURITY IT Security Risikoanalyse vermeidet Kosten Vielleicht widersprechen Sie der Überschrift jetzt, denn oft verbindet man mit Risikoanalysen zur IT Security hohen Analyseaufwand und als Ergebnis stehen dann aufwändige und teure Maßnahmen im Raum. Dass das nicht so sein muss, sondern sogar Kosten vermieden werden können, zeigt das folgende Beispiel aus einem Kundenprojekt der Adiccon. Konkret ging es dabei um ein privates mit Verschlüsselungskomponenten betriebenes VPN für dessen Aufbau und Betrieb der Versand dieser Geräte von einer Zentralstelle zu den einzelnen Lokationen erforderlich ist (Erstinbetriebnahme am VPN sowie HW Tausch aus betrieblichen Gründen). Dabei ging es um die Frage, ob für das nötige Sicherheitsniveau der Standardversand per Logistikdienstleister ausreichend ist oder es vielmehr notwendig ist, einen versiegelten Versand durchzuführen. Die Durchführung einer Risikoanalyse führte zunächst zu den bereits erwähnten Bedenken bezüglich des hohen Analyseaufwands, da solche Risikoanalysen doch die vollständige Erfassung und Bewertung aller Objekte im Unternehmen (z.b. alle IT Services) zu Grunde legen. Das muss aber nicht zwingend so sein. So wurde in diesem Fall eine vereinfachte Risikoanalyse vorgeschlagen, mit der der genannte Einzelfall so weit wie möglich isoliert bewertet wurde. Es wurden also nur die Seite 1 von 5
2 unmittelbaren Gefährdungen, die beim Versand dieser Verschlüsselungskomponenten für die Netzsicherheit bestehen, betrachtet. Eine Kurzdarstellung der Vorgehensweise zeigt die nachfolgende Grafik: Zur Vereinfachung wurde bei der Risikoanalyse mit einem Stufenmodell gearbeitet, das jeweils Rubriken für die einzelnen Bewertungen festlegte. Kernstück ist die Risikomatrix, die die Risikokategorie jeder Gefährdung als Kombination von Schadenspotential und Eintrittswahrscheinlichkeit definiert. Jeder Risikokategorie wurde eine Schutzbedarfsklasse zugeordnet. In diesem Fall konnte der Kunde für sein VPN mindestens den Grundschutz gemäß BSI sicherstellen, was somit der Schutzbedarfsklasse normal entsprach und im Umkehrschluss bedeutete, dass für Objekte mit dieser Schutzbedarfsklasse keine weiteren Maßnahmen erforderlich waren. Gefährdungen Es wurden im Wesentlichen zwei Gefährdungen identifiziert: Verlust / Diebstahl Verlust der Verschlüsselungskomponente oder Diebstahl der Ladung des Versandfahrzeugs. Manipulation während Versand Eine Verschlüsselungskomponente kommt auf dem Versandweg temporär in die Hände von Angreifern, wird von diesen manipuliert und wieder in das Versandfahrzeug verbracht, so das ein manipuliertes Gerät vor Ort installiert wird. Jeder Gefährdung wurde ein Schadenspotential und eine Eintrittswahrscheinlichkeit zugewiesen. Zur Vereinfachung wurden diese in definierte Stufen eingeteilt. Schadenspotential Für das Schadenspotential wurden die Stufen normal, hoch und sehr hoch festgelegt. Seite 2 von 5
3 Für die Zuordnung der Schadensstufen wurde sich an einem Beispiel aus dem BSI Dokument Managementsysteme zur Informationssicherheit gem. BSI Standard orientiert. Die Schadenshöhen müssen generell von jedem Unternehmen individuell festgelegt werden (durch Geschäftsführung oder Risikomanagement), in diesem Fall waren die im BSI Beispiel genannten Werte passend und wurden daher übernommen. normal hoch sehr hoch begrenzt und überschaubar: bis beträchtlich: bis 1 Mio. existenziell bedrohlich und katastrophal: ab 1 Mio. Schadenspotential Gefährdung 1) Verlust / Diebstahl Sollte jemand eine beim Versand verloren gegangene Verschlüsselungskomponente finden, kann er damit keinen weiteren Schaden anrichten. Selbst bei gezieltem Diebstahl ist damit kein Eindringen in das VPN möglich. Der Schaden beläuft sich nur auf die HW und den Zeitverlust für die Installation vor Ort. Das Schadenspotential wurde als gering eingestuft. Schadenspotential Gefährdung 2) Manipulation während Versand In diesem Fall wäre ein unbemerktes Eindringen in das VPN und das Ausschleusen von verschlüsselten Daten aus dem VPN möglich. Art, Menge, Schutzbedarf der Daten und die Dauer des Datenabflusses sind hier nicht überschaubar. Eine Einstufung hoch oder sehr hoch steht damit zur Diskussion. Sollte die Einstufung sehr hoch hier gelten, müsste also ein für den Kunden existenziell bedrohlicher und katastrophaler Schaden auftreten. Um sich hier orientieren zu können, wurden Bedrohungsszenarien betrachtet, die unter sehr hoch einzustufen sind. Ein Szenario wäre zum Beispiel das Eindringen von Angreifern in die Schlüsselverwaltung und Kompromittierung der Schlüssel, so dass die übertragenen Daten auf allen Verbindungen z.b. nicht mehr lesbar sind. Dies wäre ein durchaus existenzielles Schadenspotential. Nach intensiver Diskussion kam man jedoch zu dem Schluss, dass es sich bei Gefährdung 2) um ein zwar nicht überschaubares aber nicht um ein existenziell bedrohliches Schadenspotential handelt. Seite 3 von 5
4 Das Schadenspotential wurde damit als hoch eingestuft. Hinweis an dieser Stelle: Die Erfahrung zeigt, dass generell eine Tendenz zu überhöhten Bewertungen besteht. Es ist daher immer wichtig, einen Blick auf das Gesamtsystem zu werfen und den Einzelfall mit anderen extremen Gefährdungen aus dem Gesamtumfeld zu vergleichen. Die Bewertung von Gefährdungen sollte daher am besten mit Beteiligten möglichst unterschiedlicher fachlicher Orientierung erfolgen. Eintrittswahrscheinlichkeiten Bei der Stufung der Eintrittswahrscheinlichkeiten war es sehr wichtig, belastbare Kennwerte zu finden. Ausgehend von der Gefährdung 1) (Verlust/Diebstahl) wurden Informationen über die Anzahl verloren gegangener Pakete auf dem Versandweg aus öffentlich zugänglichen Quellen erhoben. Mit den ermittelten Zahlen, ergab sich eine Wahrscheinlichkeit von 0,08% für Verlust/Diebstahl von Paketen. Konkret heißt das, von 1250 Pakten geht statistisch eins verloren. Bezogen auf die Anzahl der vom Kunden pro Jahr versendeten Pakete ergab sich eine Zahl von ein bis zwei Paketen pro Jahr. Die Eintrittswahrscheinlichkeit wurde damit als gering eingestuft. Für die Einstufung der Gefährdung 2) (Manipulation während Versand), die ein gezielter Angriff auf den Versandweg darstellte, war klar, dass dies eine deutlich geringere Eintrittswahrscheinlichkeit hat. Hier wurde von einem Schadensereignis in mehr als 10 Jahren ausgegangen. Dies führte dazu, dass die Stufe sehr gering als vierte Stufe für die Eintrittswahrscheinlichkeiten definiert wurde und diese der Gefährdung 2) zugewiesen wurde. Risikomatrix In der unten stehenden Risikomatrix wurden alle Kombinationen aus Schadens- und Eintrittswahrscheinlichkeitsstufen grafisch dargestellt. Die Farben kennzeichnen die Risikokategorien, die für das Sicherheitsniveau des Kunden festgelegt wurden und die daraus resultierenden Schutzbedarfsklassen. In die Matrix eingezeichnet sind die beiden Gefährdungen. Man sieht, dass aufgrund der Eintrittswahrscheinlichkeit sehr gering die Gefährdung B noch den Schutzbedarf normal hat, was bedeutet, dass hierfür keine weiteren Maßnahmen zur Sicherstellung des geforderten Sicherheitsniveaus erforderlich sind. Seite 4 von 5
5 Fazit Ein versiegelter Versand der Verschlüsselungskomponenten ist nicht erforderlich. Die Risikoanalyse hat damit eine in der Diskussion befindliche Maßnahme, die nicht unerheblichen logistischen und finanziellen Aufwand zur Folge gehabt hätte, vermieden. Zusammengefasst hier nochmals die wichtigsten Erkenntnisse aus dieser Analyse: Sie lässt eine strukturierte Diskussion der Gefährdungen mit Beteiligten möglichst unterschiedlicher fachlicher Orientierung zu und hilft dabei, den Blick auf das Gesamtsystem zu bewahren und aus dem Vergleich jeder einzelnen Gefährdung mit anderen Gefährdungen aus dem Gesamtumfeld ein objektiveres Bild über die Schadens- und Eintrittswahrscheinlichkeitspotentiale zu erhalten und keine überhöhten Bewertungen vorzunehmen. Sie kann, wie hier geschehen, auch in vereinfachter Form und dediziert auf einen bestimmen Einzelfall erfolgen, wenn das übrige Umfeld weiterhin mit berücksichtigt wird. Sie schafft Klarheit und Sicherheit in Bezug auf die erforderlichen Maßnahmen und sichert das für den Kunden benötigte Sicherheitsniveau objektiv ab. Hierbei können durchaus auch Aufwände vermieden werden, wie das hier geschilderte Beispiel zeigt. Wenn Sie Fragen haben oder weitere Informationen wünschen, sind wir gerne für Sie da. Nehmen Sie Kontakt zu uns auf wir freuen uns auf Sie! Veröffentlicht am Montag, AUTOR Dieter Maul-Burton Vielen Dank für Ihr Interesse. Weitere Blog Beiträge finden Sie unter adiccon.de Seite 5 von 5
1. IT-Grundschutz-Tag 2014
1. IT-Grundschutz-Tag 2014 ISO 31000 i. V. m. IT-Grundschutz 13.02.2014 Michael Pravida, M.A. Agenda Einführung Risk assessments nach ISO 31000 Anknüpfungspunkte zw. ISO 31000 und IT-GS Anwendungshinweise
MehrBerufsprüfung ICT System und Netzwerktechnik. Betrieb von ICT Systemen und Netzwerken planen
Berufsprüfung ICT System und Netzwerktechnik Betrieb von ICT Systemen und Netzwerken planen Informationen zur Prüfung Bei jeder Aufgabe sind die Punktzahlen angegeben, die Sie für die korrekte Beantwortung
Mehrsplone Penetrationstest Leistungsübersicht
splone Penetrationstest Leistungsübersicht 3. November 2016 Penetrationstest Whoever is first in the field and awaits the coming of the enemy, will be fresh for the fight - Sun Tzu, The Art of War Jedes
MehrIT-Grundschutz nach BSI 100-1/-4
IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management
MehrErgänzung zum BSI-Standard 100-3, Version 2.5
Ergänzung zum BSI-Standard 100-3, Version 2.5 Verwendung der elementaren Gefährdungen aus den IT-Grundschutz-Katalogen zur Durchführung von Risikoanalysen Stand: 03. August 2011 Bundesamt für Sicherheit
MehrNeues vom IT-Grundschutz: Ausblick und Modernisierung
Neues vom IT-Grundschutz: Ausblick und Modernisierung Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz it-sa Agenda Weiterentwicklung
MehrWillkommen bei DATEV. it-sa 2013: Forum Rot. PRISM - Gerade deswegen ist Datenschutz noch wichtiger!
Willkommen bei DATEV it-sa 2013: Forum Rot PRISM - Gerade deswegen ist Datenschutz noch wichtiger! Wer ist DATEV? Softwarehaus und IT-Dienstleister mit über 40 Jahren Erfahrung mit Software, Services und
MehrTechnisches Risikomanagement 2009 Matthias Herold
Technisches Risikomanagement 2009 Matthias Herold TÜV SÜD Industrie Service GmbH Managementverantwortung Risikomanagement heißt Verlustgefahren hinsichtlich ihrer Schadenshöhe und Eintrittswahrscheinlichkeit
MehrErmittlung Hochwasserschadenspotentials und KNU von Hochwasserschutzbauten am Beispiel Radkersburg
Ermittlung Hochwasserschadenspotentials und KNU von Hochwasserschutzbauten am Beispiel Radkersburg Gabriele Harb Technische Universität Graz, Institut für Wasserbau und Wasserwirtschaft Stremayrgasse 10/II,
MehrSeminar Notfallmanagement. Teil 5: Risikoanalyse
Seminar Notfallmanagement Teil 5: Risikoanalyse Der Weg zum Schutzkonzept Gefährdungen durch Naturereignisse, Terror oder Sabotage Risikobewertung Überprüfung Risikoanalyse Festlegen der Schutzziele Schutzkonzept
Mehr12 Systemsicherheitsanalyse
Bundesamt für Informationsmanagement und Informationstechnik der Bundeswehr 12 Systemsicherheitsanalyse V-Modell XT Anwendung im Projekt
MehrBSI TR (RESISCAN) Ersetzendes Scannen einfach und sicher
BSI TR-03138 (RESISCAN) Ersetzendes Scannen einfach und sicher Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0 E-Mail: resiscan@bsi.bund.de Internet:
Mehrsplone SCADA Audit Leistungsübersicht
splone SCADA Audit Leistungsübersicht 3. November 2016 SCADA Audit To ensure that your whole host may withstand the brunt of the enemy s attack and remain unshaken - this is effected by maneuvers direct
MehrSchulungsunterlagen IT-Grundschutz nach BSI. Robert M. Albrecht Creative Commons by-nc-sa
Schulungsunterlagen IT-Grundschutz nach BSI Robert M. Albrecht Creative Commons by-nc-sa The audience is listening. IT-Grundschutz nach BSI Robert M. Albrecht Agenda Was ist das BSI? Warum IT-Grundschutz?
MehrDirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen
Dirk Loomans, Micha-Klaus Müller Bedrohungs- und Schwachstellenanalysen Übersicht über die Arbeitshilfen risikoanalyse.doc Das Klammersymbol Checkliste zur Durchführung einer Risikoanalyse im Text verweist
MehrHinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz. Version 1.
Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Version 1.0 Bundesamt für Sicherheit in der Informationstechnik Postfach
MehrGrundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 7. Übungsblattes IT-Grundschutzhandbuch
und der IT-Sicherheit Lösungen des 7. Übungsblattes IT-Grundschutzhandbuch 7.1 Bausteine des IT-GSHB (1) Nach Kapitel 1.4 des IT-GSHB gibt es folgende Bausteine: 3.0 IT-Sicherheitsmanagement 3.1 Organisation
MehrRegelwerk der Informationssicherheit: Ebene 1
Regelwerk der Informationssicherheit: Ebene 1 Definition Sicherheitsmanagement Durchsetzung, Sanktionen Definition des Regelwerks der Informationssicherheit gemäß der Empfehlungen des ISO-17799 mit Detaillierungen
MehrDie Fachgruppe sieht ihre Arbeit nicht als Konkurrenz, sondern als Ergänzung zu bestehenden Regelwerken und Normen.
Fachgruppe Projektmanagement im Mittelstand März 2014 Fachgruppe Projektmanagement im Mittelstand Die Fachgruppe Projektmanagement im Mittelstand hat sich zum Ziel gesetzt, den besonderen Bedürfnissen
MehrSecurity Assessments und Security-by-Design
Erfahrungen bei der Anwendung von Risikoabschätzungsverfahren in RFID-Anwendungen Security Assessments und Security-by-Design PIA Experten-Symposium am 25.11.2011 Bernd Kowalski Rolle des BSI bei RFID-Anwendungen
MehrISMS Teil 3 Der Startschuss
ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS
MehrLeitfaden zum sicheren Betrieb von Smart Meter Gateways
Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-
MehrScannen Sie schon oder blättern Sie noch?
Scannen Sie schon oder blättern Sie noch? Martin Steger Geschäftsführer intersoft certification services GmbH intersoft mc sec certification 2014 services GmbH mentana-claimsoft.de Agenda Scannen Sie schon
MehrRisikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014
Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement Eine Einführung Risikomanagement ist nach der Norm ISO 31000 eine identifiziert, analysiert
MehrImmer noch nicht sicher? Neue Strategien und Lösungen!
Immer noch nicht sicher? Neue Strategien und Lösungen! Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de
MehrDie Pflegereform 2017 Fragen und Antworten
Die Pflegereform 2017 Fragen und Antworten 1. Warum ist eine Pflegereform notwendig? Die Beurteilung der Pflegebedürftigkeit orientiert sich heute vor allem an den körperlichen Einschränkungen des Betroffenen
MehrIT-Sicherheitsmanagement bei der Landeshauptstadt München
IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung
MehrOWASP Frankfurt, The OWASP Foundation Wirtschaftlichkeitsbetrachtungen von IT-Sicherheitsmaßnahmen
Germany 2008 Conference http://www.owasp.org/index.php/germany Wirtschaftlichkeitsbetrachtungen von IT-Sicherheitsmaßnahmen Frankfurt, 25.11.08 Maximilian Dermann Mitglied Germany IT-Security Architect
MehrExa.stat Die Klausuren werden hinsichtlich der NDZ Kriterien bewertet und die Verteilung grafisch dargestellt.
Exa.stat.1.0 Instrument für die schulinterne Evaluation der schriftlichen Examensprüfung in der Gesundheits- und Krankenpflege /- Kinderkrankenpflege auf der Basis der Empfehlungen der 2. Norddeutschen
MehrISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller
ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen
MehrPraxis-WORKSHOP. IT-Sicherheits-Management. Umsetzung des IT-Sicherheits-Prozess MODUL 2. nach BSI Standard 100. Zielgruppen:
Praxis-WORKSHOP IT-Sicherheits-Management Umsetzung des Zielgruppen: Führungskräfte und verantwortliche Personen aus den Bereichen Informations-Sicherheit, Informationstechnologie, Netzwerkadministration,
MehrInitiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie -Einrichten eines IT-Sicherheitsmanagements
Cloud Security (Minimal-)vorgaben des BSI Kai Wittenburg, Geschäftsführer & ISO27001-Auditor (BSI) neam IT-Services GmbH Vorgehensweise Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie
MehrSicherheitsaspekte beim Mobile Computing
Sicherheitsaspekte beim Mobile Computing Horst Flätgen Bundesamt für Sicherheit in der Informationstechnik (BSI) Bonn, 9. Mai 2012 www.bsi.bund.de Aufbrechen der Sicherheitsstruktur durch mobile Endgeräte
MehrPilotierung der Unterrichtsbeispiele im Schuljahr 2007/2008. Naturwissenschaften
Pilotierung der Unterrichtsbeispiele im Schuljahr 2007/2008 Naturwissenschaften Im Schuljahr 2007/2008 wurde die Pilotierung der Unterrichtsbeispiele für die Naturwissenschaften durchgeführt. Insgesamt
MehrEin Beispiel für die Anwendung des Risikographen
Ein Beispiel für die Anwendung des Risikographen Birgit Milius 1 Der Risikograph Von jedem System geht ein Risiko aus. Das Risiko darf nicht unzulässig groß sein; es muss tolerierbar sein. Der Risikograph
MehrSanierung von Hauptkanälen: Risikoanalyse eines Mischwasserkanals Fallbeispiel Arnheim
Fallbeispiel Arnheim IKT-Praxistage Neubau, Sanierung und Reparatur 10. September 2015 Dr. Götz Vollmann (Ruhr-Universität Bochum) Ing. Erik Laurentzen (Gemeente Arnhem) Trassenverlauf Zentrum Rhein 20.000
MehrRegulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden
Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse
MehrVerbindungsnetz. Stellungnahme zur Umsetzung der Vorgaben nach den Anschlussbedingungen an das Verbindungsnetz für kommunale Anschlussnehmer
STELLUNGNAHME Verbindungsnetz Stellungnahme zur Umsetzung der Vorgaben nach den Anschlussbedingungen an das Verbindungsnetz für kommunale Anschlussnehmer Stand: 10. Januar 2017 VITAKO e.v. Markgrafenstr.
Mehr2. Wie wird Risikomanagement angewendet? Der Risikomanagement-Prozess Die Schritte des Risikomanagements Die Einbettung in Managementsysteme
2. Wie wird Risikomanagement angewendet? Der Risikomanagement-Prozess Die Schritte des Risikomanagements Die Einbettung in Managementsysteme Seite 27 Der Risikomanagement-Prozess Im Vorfeld: (Erst-)Definition
MehrWebapplikations - Audit
splone Webapplikations - Audit Leistungsübersicht 3. November 2016 Webapplikations - Audit We all need people who will give us feedback. That s how we improve. - Bill Gates Starker Anstieg der Internet-Kriminalität
MehrPressekonferenz zu Cybercrime
Pressekonferenz zu Cybercrime Jörg Ziercke, BKA-Präsident Prof. Dieter Kempf, BITKOM-Präsident Berlin, 27.August 2014 Angst vor Ausspähung nimmt zu Wodurch sich Internetnutzer beim Surfen bedroht fühlen*
MehrIT Security Investments 2003
Auswertung der Online-Befragung: IT Security Investments 2003 Viele Entscheidungsträger sehen die IT fast nur noch als Kostenträger, den es zu reduzieren gilt. Unter dieser Fehleinschätzung der Bedeutung
MehrDas neue Einstufungsverfahren für Stoffe in Wassergefährdungsklassen
Das neue Einstufungsverfahren für Stoffe in Wassergefährdungsklassen im Rahmen der Informationsveranstaltung 10./11. Oktober 2013 in Berlin Die neue Bundesverordnung über Anlagen zum Umgang mit wassergefährdenden
MehrIT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007
IT-Grundschutz Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutzhandbuch Agenda Ziel der IT-Sicherheit Das IT-Grundschutzhandbuch Umsetzung des IT-Grundschutzhandbuchs Ausbaustufen
MehrISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de
ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor
MehrDas Secure E-Mail-System der Hamburger Sparkasse
Das Secure E-Mail-System der Hamburger Sparkasse Die Absicherung Ihrer E-Mails von und an die Haspa Kundeninformation und Kurzanleitung Bei Problemen mit Secure E-Mail wenden Sie sich bitte an das Service-Center
MehrIT Security Investments 2003
Grafische Auswertung der Online-Befragung IT Security Investments 2003 1) Durch welche Vorfälle wurde die IT-Sicherheit Ihres Unternehmens / Ihrer Organisation im letzten Jahr besonders gefährdet beziehungsweise
MehrAE1 Schuljahr 2010/11
Posten 1 Sachmittel der Telematik (Lehrmittel Bürokommunikation: Seiten 14, 15, 17 22 und 27 28) Aufträge 1. Lesen Sie die Seite 14 «2.1 Begriffe der Telematik». Erklären Sie den Begriff Telematik in eigenen
MehrInformationssicherheit-Managementsystems (ISMS) mehr als IT-Sicherheit
Informationssicherheit-Managementsystems (ISMS) mehr als IT-Sicherheit ONTRAS Netzforum 25.10.2016 Dr. Marlen Hofmann Referentin Informationssicherheit Marlen.hofmann@ontras.com Agenda Informationssicherheit
MehrLeitlinie für die Informationssicherheit
Informationssicherheit Flughafen Köln/Bonn GmbH Leitlinie für die Informationssicherheit ISMS Dokumentation Dokumentenname Kurzzeichen Leitlinie für die Informationssicherheit ISMS-1-1-D Revision 2.0 Autor
MehrFORUM Gesellschaft für Informationssicherheit mbh. GenoBankSafe-IT Der IT-Sicherheitsmanager
FORUM Gesellschaft für Informationssicherheit mbh GenoBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? GenoBankSafe-IT bietet ein vollständiges IT-Sicherheitskonzept
MehrHilfe SRAdoc /SRA24 Report. Der SRAdoc /SRA24 Report setzt sich aus folgenden Bereichen zusammen:
Hilfe SRAdoc /SRA24 Report Der SRAdoc /SRA24 Report setzt sich aus folgenden Bereichen zusammen: 1. Adresse - kann über den persönlichen Bereich der SRA Plattform geändert werden. 2. Datums-Informationen
MehrRM vs. ISMS. Integration von IT-Risiken in das ganzheitliche Risikomanagement. it-sa, 8. Oktober Seite 1 AXA Konzern AG
RM vs. ISMS Integration von IT-Risiken in das ganzheitliche Risikomanagement it-sa, 8. Oktober 2013 Seite 1 Inhalt 1. Neuartige IT-Risiken 2. Risikomanagementprozess 3. Bedrohungsanalyse 4. Business Impact
MehrUnerhört sicher! Schutz mobiler Business Apps bei maximaler Userfreiheit!
Unerhört sicher! Schutz mobiler Business Apps bei maximaler Userfreiheit! Stefan Gieseler Tel. 0234-610071-117 stefan.gieseler@sirrix.com Die Herausforderung Flexibilität und Sicherheit auf hohem Niveau
MehrBegriffe zum Risiko. Quelle: ONR 49000:2008. Risikomanagement 2011 Projekt Ragus / Sojarei Mag. Michael Forstik Unternehmensberatung 7210 Mattersburg
Begriffe zum Risiko Quelle: ONR 49000:2008 Grundlegende Begriffe Quelle / Ursache Geschehen Exposition Beschreibung Bedeutung/Effekt Bedrohung Chance Entwicklung (allmählich) Mensch Sache Szenario Auswirkung
MehrFORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager
FORUM Gesellschaft für Informationssicherheit mbh ForumBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? ForumBankSafe-IT einführen ForumBankSafe-IT bietet ein
MehrArbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse
Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse Verfasser: BSI Ref. 113 Version: 1.0 Stand: 26. Januar 2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20
MehrDossierbewertung A14-01 Version 1.0 Trastuzumab Emtansin Nutzenbewertung gemäß 35a SGB V
2 Nutzenbewertung 2.1 Kurzfassung der Nutzenbewertung Hintergrund Der G-BA hat das IQWiG mit der Nutzenbewertung des Wirkstoffs Trastuzumab Emtansin gemäß 35a SGB V beauftragt. Die Bewertung erfolgte auf
MehrSicherheitsrevision - Praktische Erfahrungen des BSI und theoretische Ansätze
Kurzfassung Sicherheitsrevision - Praktische Erfahrungen des BSI und theoretische Ansätze Isabel Münch 1 Ziel einer Sicherheitsrevision ist es, zu überprüfen, ob die eingesetzten IT-Systeme und IT-Verfahren
MehrQualitätssicherung an Gemeinschaftsschulen
Qualitätssicherung an Gemeinschaftsschulen Schulen sind dann dauerhaft erfolgreich, wenn sie ihre Qualität evaluieren und stetig weiterentwickeln. Dazu brauchen sie Leitlinien für die zentralen Aspekte
MehrSicherheits-Audit-Erkenntnisse / Software-as-a-Service TeFo10, World Trade Center Zürich, 21. September 2010
Sicherheits-Audit-Erkenntnisse / Software-as-a-Service TeFo10, World Trade Center Zürich, 21. September 2010 Christoph Koch, ckoch@koch-is.ch, Geschäftsführer, Koch IS GmbH Agenda Schadenfälle Audit, Sicherheit,
MehrCloud für Verwaltung - Vertrauen braucht Sicherheit
Cloud für Verwaltung - Vertrauen braucht Sicherheit Wege und Erfahrungen des krz Wolfgang Scherer Stellv. Geschäftsführer Effizienter Staat Berlin, 05. Mai 2015 Wir integrieren Innovationen Agenda krz
MehrSmart Grids Security Assessment im Bereich der Netzführung
Einleitung Die Stadtwerke Schwäbisch Hall führen für zahlreiche Kunden Netzführungen als Dienstleistung zentral durch und schlagen diesen Wachstumspfad erfolgreich weiter ein. Deshalb entschlossen sich
MehrKundeninfo Anbindung externer Standorte an die Uptime Cloud
Kundeninfo Anbindung externer Standorte an die Uptime Cloud 1 Einleitung Uptime IT bietet seinen Kunden Infrastructure as a Service (IaaS) Leistungen auf Basis der Uptime Cloud an 2 Standorten an. Für
MehrGrundlagen des Datenschutzes und der IT-Sicherheit
und der IT-Sicherheit Musterlösung zur 7. Übung im SoSe 2007: Risiko-Bewertung & -Behandlung 7.1 Risikotabelle Rg. Bedrohung Auftreten Schaden Risiko 1 Computer-Viren 9 6 54 2 Trojanische Pferde 4 6 24
MehrElektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit
Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit
MehrKonsolidierte Gefährdungsmatrix mit Risikobewertung 2015
Konsolidierte Gefährdungsmatrix mit Risikobewertung 2015 Die Bereitstellung von Internet-Dienstleistungen ist mit einer Vielzahl wechselnder Gefährdungen verbunden. Einige betreffen unmittelbar die eigene
MehrProfessionelles Projektmanagement in der Praxis. Veranstaltung 6 Teil 4 (16.06.2003):
Professionelles Projekt-Management in der Praxis Veranstaltung 6 Teil 4 (16.06.2003): Prof. Dr. Phuoc Tran-Gia, FB Informatik, Prof. Dr. Margit Meyer, FB Wirtschaftswissenschaften, Dr. Harald Wehnes, AOK
MehrIT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main
Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com
MehrZertifizierung von IT-Standards
Zertifizierung von IT-Standards Dozent Aykut Bader Datum 18. Oktober 2016 Ort Nürnberg Akkreditierung & Zertifizierung Internationale Akkreditierungsforen (IAF) Nationale Akkreditierungsstellen (z.b. DAkkS,
MehrKryptographie und Fehlertoleranz für Digitale Magazine
Stefan Lucks Kryptographie und Fehlertoleranz für digitale Magazine 1 Kryptographie und Fehlertoleranz für Digitale Magazine Stefan Lucks Professur für Mediensicherheit 13. März 2013 Stefan Lucks Kryptographie
MehrSicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann
Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann Bundesamt für Sicherheit in der Informationstechnik (BSI) Connected Living 2013 Agenda Studie: Integrierte
MehrCAFM-Studie 2016 Management Summary
CAFM-Studie 2016 Management Summary Advising corporations for sustainable success. Adcosus IT Consulting GmbH in Kooperation mit Prof. Dr. Julia Hornstein (Hochschule Ruhr West) Berlin, März 2016 Management-System
MehrIT-Sicherheit: Unternehmen betrachten die Themen zu technisch
IT-Sicherheit: Unternehmen betrachten die Themen zu technisch Keyfacts über IT-Sicherheit - IT-Sicherheit wird zu spät berücksichtigt - Risikobewertung erfolgt zu technisch - Fachbereiche aktiv einbinden
MehrDynamisches Huffman-Verfahren
Dynamisches Huffman-Verfahren - Adaptive Huffman Coding - von Michael Brückner 1. Einleitung 2. Der Huffman-Algorithmus 3. Übergang zu einem dynamischen Verfahren 4. Der FGK-Algorithmus 5. Überblick über
MehrSächsisches Altlastenkataster - Statistische Auswertung 2014
Sächsisches Altlastenkataster - Statistische Auswertung 2014 Auswertung Sachsen Im Sächsischen Altlastenkataster sind derzeit (Stand April 2014) 22.223 Altablagerungen, Altstandorte und Militärische Altlasten
MehrGefährdungsbeurteilung mit ALGEBRA Kurzübersicht
Gefährdungsbeurteilung mit ALGEBRA Kurzübersicht Stellen Sie sich ein Software-Tool vor...» das so leicht zu handhaben ist, dass die Verantwortlichen selbst und nicht die Sicherheitsfachkraft die Gefährdungsbeurteilung
MehrListe der Wissensträger
Hinweise zum Tool Dieses Hilfsmittel soll Ihnen bzw. Ihren Mitarbeitern ermöglichen, die folgenden Fragen zu beantworten: Welche Kompetenzen hat ein bestimmter im Unternehmen? Wer sind die für ein bestimmtes
MehrSicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke
Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen, IDEAS Übersicht # 1 Einleitung # 2 IT-Sicherheit wozu denn? # 3 IT-Sicherheit die Grundpfeiler # 4 IT-Sicherheit ein
MehrInhalt. Inhalt... 1. 1. Voraussetzungen... 2. 2. Liegenschaften und Adressen auswählen... 2. 3. Abgleich mit Internet-Office... 5. 4. Dokumente...
Erstellt: 19.08.2010 Geändert am: 15.08.2011 Autor: Matthias Frey Version: Kunden Package plus 2.1 Anleitung für UNO Inhalt Inhalt... 1 1. Voraussetzungen... 2 2. Liegenschaften und Adressen auswählen...
MehrKonformitätsbewertung 3.9 A 3
Antworten und Beschlüsse des EK-Med Konformitätsbewertung 3.9 A 3 Reihenfolge bei der Durchführung von Konformitätsbewertungsverfahren Artikel 11 der Richtlinie 93/42/EWG legt fest, welche Konformitätsbewertungsverfahren
MehrIT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach
IT-Grundschutz IT-Grundschutz modellieren modellieren Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz / Überblick IT- Grundschutzhandbuch (GSHB) betrachtet im Allgemeinen folgende Merkmale: Infrastruktur
MehrWie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner
MehrNeues aus dem IT-Grundschutz Ausblick und Diskussion
Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 1. IT-Grundschutz-Tag 2013 27.02.2013 Inhalte
MehrDatenaustausch über öffentliche Netze aber nur verschlüsselt!
it-sa 2014 Auditorium Bundesverband IT-Sicherheit e.v. Nürnberg, 08.10.2014 Datenaustausch über öffentliche Netze aber nur verschlüsselt! Marieke Petersohn, TeleTrusT (Projektkoordinatorin) Peter Hansemann,
MehrZeit: 10:30 11:15 Ort: Raum 3 Bereich: Methodik Please Titel: Das Priorisieren von Anforderungen für die Evaluation von IT-Lösungen (de) Referent:
Zeit: 10:30 11:15 Ort: Raum 3 Bereich: Methodik Please Titel: Das Priorisieren von Anforderungen für die Evaluation von IT-Lösungen (de) Referent: Dr. Thomas Strösslin, APP Unternehmensberatung AG & Berthold
MehrSTARTINSURANCE. Mehr Sicherheit für den Aufbau der eigenen Firma
STARTINSURANCE Mehr Sicherheit für den Aufbau der eigenen Firma Die Ausgangslage Risikobewusst, kreativ, kommunikativ, zielorientiert und mutig sind nur einige der herausragenden Charaktereigenschaften
MehrSmartphones, Pads, Apps, Socialnetworks und Co
@-yet GmbH Wolfgang Straßer Geschäftsführer Dipl.-Kfm. Smartphones, Pads, Apps, Socialnetworks und Co Neue Gefahren für die Informationssicherheit @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen +49
MehrWie lange dauert das Praktikum?
Praktikum im ersten Ausbildungsabschnitt der Fachoberschule Sozialwesen FOS Technik Wirtschaftsinformatik Wirtschaft & Verwaltung Wie lange dauert das Praktikum? Neu: Das Praktikum beginnt am 1. August
MehrGefahrenermittlung, Risikoanalyse Ist Messen «Arbeiten unter Spannung» oder nur eine einfache Routinearbeit?
10/1013 Gefahrenermittlung, Risikoanalyse Ist Messen «Arbeiten unter Spannung» oder nur eine einfache Routinearbeit? Immer wieder hört man, dass elektrisches Messen nur eine einfache Routinearbeit sei.
MehrAufbau und Beurteilung der Prüfung (Gültig für Prüfungstermine vor dem 1.1.2016)
Aufbau und Beurteilung der Prüfung (Gültig für Prüfungstermine vor dem 1.1.2016) Die Prüfung zur VO Rechnungswesen findet in EDV-gestützter Form unter Verwendung des Softwaretools Questionmark Perception
MehrArbeitgeber geben der Ausgleichskasse Schwyz erneut die Note Gut
Arbeitgeber geben der Ausgleichskasse Schwyz erneut die Note Gut Zweite Firmenkundenbefragung der Ausgleichskasse Schwyz November / Dezember 2013: Auswertung und Handlungsansätze Inhalt 1. Einleitung...
MehrRisikomanagement. Ein Vortrag von Katharina Schroer. Juristisches IT-Projektmanagement WS 2013/2014
Risikomanagement Ein Vortrag von Katharina Schroer Juristisches IT-Projektmanagement WS 2013/2014 Inhalt 1. Einleitung 2. Risikomanagementprozess 3. Juristische Hintergründe 4. Fazit Inhalt - Risikomanagement
MehrGrundlagen des Datenschutzes und der IT-Sicherheit (Teil 2c) Vorlesung im Sommersemester 2010 an der Universität Ulm von Bernhard C.
Vorlesung im Sommersemester 2010 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche
MehrSemester: -- Workload: 300 h ECTS Punkte: 10
Modulbezeichnung: Modulnummer: IWSM IT-Servicemanagement Semester: -- Dauer: Minimaldauer 1 Semester Modultyp: Wahlpflicht Regulär angeboten im: WS, SS Workload: 300 h ECTS Punkte: 10 Zugangsvoraussetzungen:
MehrInformationssicherheitsmanagement
Informationssicherheitsmanagement nach ISO 27001 und BSI Grundschutz Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und
Mehr