Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 6. Übung im SoSe 2018: Einführung in IT-Sicherheit

Ähnliche Dokumente
Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 6. Übung im SoSe 2015: Einführung in IT-Sicherheit

Grundlagen des Datenschutzes

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2013: Mehrseitige IT-Sicherheit & Risikomanagement

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 5. Übungsblattes Bedrohungen der IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 4. Übung im SoSe 2010: Datenschutz & IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 4. Übung im SoSe 2013: Einführung in IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2014: Einführung in IT-Sicherheit

Grundlagen des Datenschutzes

Grundlagen des Datenschutzes. Musterlösung zur 4. Übung im SoSe 2011: IT-Sicherheit (1)

Grundlagen des Datenschutzes und der IT-Sicherheit

Informationssicherheit an der RWTH

Die praktische Umsetzung der EU- DSGVO mit IT-Sicherheitsprodukten. Sascha Paris Snr. Sales Engineer, Sophos

STATUS QUO IT-SICHERHEIT IN DEUTSCHEN UNTERNEHMEN

WEBINAR: HTTPS, ZERTIFIKATE, GRÜNE URLS. Trügerische Sicherheit im Internet

Grundlagen des Datenschutzes und der IT-Sicherheit

Grundlagen des Datenschutzes. Musterlösung zur 7. Übung im SoSe 2008: Vergleich Fehlerbaum und Angriffsbaum

Grundlagen des Datenschutzes und der IT-Sicherheit

Amtliche Bekanntmachung der Universität Konstanz

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Cyber Security 4.0. Aktuelle Angriffs- Methoden & Gegenmaßnahmen

ICT-Sicherheitsleitlinie vom 11. August 2015

Grundlagen des Datenschutzes. Gliederung zur Vorlesung im Sommersemester 2008 an der Universität Ulm von Bernhard C. Witt

Grundsätze zur Informationssicherheit an der Universität Leipzig

Technisch-organisatorische Maßnahmen

FireWall Möglichkeiten und Grenzen

Grundlagen des Datenschutzes und der IT-Sicherheit (Teil 2c) Vorlesung im Sommersemester 2010 an der Universität Ulm von Bernhard C.

IT-Sicherheit. Eine wichtige Erfolgsvoraussetzung. Norbert Pohlmann. Vorstand Utimaco Safeware AG. Internet. Security. Mobile/Desktop.

DE 098/2008. IT- Sicherheitsleitlinie

Automation meets IT. Industrial Security Heinrich Homann Security Specialist Plant Security Services

Security und Privacy im Smart Home aus Sicht des Nutzers. Dr. Siegfried Pongratz ITG Workshop, 23. Oktober 2015, Offenbach

WIE SICHER IST DER INHALT IHRER S? Sicher mit Secure -as-a-Service

How to hack your critical infrastructure

Agenda 2019 für Service Management: Integration mit Datenschutz macht den Unterschied

Leitlinie zur Informationssicherheit

Datensicherheit. Inhalt. Allgemeines zur Datensicherheit Malware (Viren, Würmer, Trojanische Pferde) Firewalls Verena Novak 1

_isms_27001_fnd_de_sample_set01_v2, Gruppe A

_isms_27001_fnd_de_sample_set01_v2, Gruppe A

WIR VERFÜGEN ÜBER EIN LANGJÄHRIGES KNOW-HOW

Grundlagen des Datenschutzes und der IT-Sicherheit (6) Vorlesung im Sommersemester 2005 von Bernhard C. Witt

Informationsrisikomanagement

Sicherheitslücken in Webanwendungen -

Next Generation IT Security Synchronized Security vs. Best-of-Breed. Christoph Riese Manager Sales Engineering

Cloud Security. Compliance in der Cloud sicherstellen. Managed Hosting Cloud Hosting Managed Services

Grundlagen des Datenschutzes und der IT-Sicherheit (8)

Wie sichert man APEX-Anwendungen gegen schädliche Manipulationen und unerwünschte Zugriffe ab?

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2012 an der Universität Ulm von Bernhard C. Witt

Sicherheit am Strand. Netzwerksicherheit. Risiken und Schutzmöglichkeiten

1) Was trifft trifft auf Prozesse im Kontext der ISO/IEC Standardfamilie zu?

Prüfaspekte zur Wirksamkeit eines ISMS. Schicht 1. Sicherheitsorganisation

Ausfüllhilfe Technische und organisatorische Maßnahmen. Hinweis:

Technische und organisatorische Maßnahmen (TOM) des Auftragnehmers i.s.d. Art. 32 DSGVO der Firma blau direkt GmbH & Co. KG

- Design hochverfügbarer Server- und Storage-Umgebungen - Server- und Storage-Assessments Datenanalyse und -klassifizierung

Der modernisierte BSI IT- Grundschutz Baustein für Datenbanken. Manuel Atug, Senior Manager

Das IT Sicherheitsgesetz kritische Infrastrukturen im Zugzwang. - Made in Germany

Sicherheit im Internet Typische Angriffsszenarien

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Janotta und Partner. Projekt DEFENSE

Grundlagen des Datenschutzes und der IT-Sicherheit (12)

Infoveranstaltung IT-Sicherheit für KMU: Angriffe auf und Schutzmaßnahmen für mobile Endgeräte

Einstieg in die Cybersicherheit: Introduction to Cybersecurity und Cybersecurity Essentials

GELSEN-NET Cloud Day

IT-Security-Symposium 2019 IT- Security im Fokus

IT Security Awareness

EINE UNTERSUCHUNG ZEIGT, DASS DRUCKER NICHT VOR CYBER-ANGRIFFEN GESCHÜTZT WERDEN

Lernprogramm IT-Sicherheit in Unternehmen und im Privatbereich

DS-GVO und IT-Grundschutz

IT-SECURITY. Für den industriellen Mittelstand in Deutschland effizient und kostengünstig. TimeLine Business Solutions Group

IT-Security Herausforderung für KMU s

KASPERSKY INTERNET SECURITY 2011 UND KASPERSKY ANTI-VIRUS 2011 COPY POINTS

Technisch-organisatorische Maßnahmen, Stand Seite 1 von 5. Technisch-organisatorische Maßnahmen

Verbindliche Prüfthemen für die IS-Kurzrevision

ANHANG 17-G FRAGENKATALOG ZU NACHWEISEN INTERNATIONALER NORMEN UND ZERTIFIZIERUNGEN

Audits und Penetrationstests

IT Sicherheit und Datenschutz

Aufgepasst IT-Leiter! Kennen Sie Ihre Pflichten aus der neuen EU DSGVO?

Checkliste. Technische und organisatorische Maßnahmen der Datensicherheit (TOMs)

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 7. Übungsblattes IT-Grundschutzhandbuch

Anforderungen an die IT-Sicherheit in vernetzten IP-Infrastrukturen im Krankenhaus. Björn Baumann

Reale Angriffsszenarien - Überblick

Sicherheitshinweise für IT-Benutzer. - Beispiel -

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Kompetenzteam Security. persönlich. /// kompetent. /// ein Team.

Schützen Sie Ihre Fertigung

Informationssicherheit in Unternehmen Worum geht es und worauf kommt es an?

Nur für den internen Dienstgebrauch. Freie Universität Berlin. FU Directory and Identity Service FUDIS der ZEDAT. Fragenkatalog des Sicherheits-Audit

IT-Security als Voraussetzung für Digitalen Wandel Hausaufgaben für Industrie 4.0 und Digitales Business

SECURITY & COMPLIANCE

Neues deutsches IT-Sicherheitsgesetz Was bedeutet das für die Kunden? Wie können wir helfen?

interface systems GmbH Sophos Synchronized Security Marco Herrmann Channel Account Executive Zeljko Milicevic Sales Engineering

IT-Sicherheit für KMUs

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement

IT-Sicherheit. Jun.-Prof. Dr. Gábor Erdélyi. Siegen, 18. Oktober 2017 WS 2017/2018

Der Informationssicherheitsprozess in der Niedersächsischen Landesverwaltung

Grundlagen des Datenschutzes

Grundlagen des Datenschutzes. Musterlösung zur 5. Übung im SoSe 2012: Konzepte zur IT-Sicherheit

FSKB IT Guideline Ausgabe 2018

Compliance mit der DSGVO Stand der Technik - Wie gehen wir mit Artikel 32 der DSGVO um?

Transkript:

und der IT-Sicherheit Musterlösung zur 6. Übung im SoSe 2018: Einführung in IT-Sicherheit

Aufgabe: 6.1 Organisation von IT- Sicherheit Bei einem Unternehmen ist unter Verwendung des RACI-Modells festzulegen, welche Stelle welche Aufgabe im Rahmen der Gewährleistung von Informationssicherheit zu erfüllen hat. Erstellen Sie eine Übersicht, in der Sie typische Aufgaben zur Gewährleistung von Informationssicherheit folgenden Stellen zuweisen: Geschäftsführer (in der Funktion als Chief Information Officer) IT-Leiter (als Verantwortlicher für alle Aufgaben mit IT-Bezug) IT-Sicherheitsbeauftragter (Manager von Informationssicherheit) Systemadministrator (ausführender IT-Mitarbeiter) Berücksichtigen Sie in Ihrer Lösung nur die Kernprozesse zur Gewährleistung von Informationssicherheit, bestehend aus: Einrichtung eines Informationssicherheitsmanagements (generelle Funktionsweise) Umgang mit Sicherheitsvorfällen (Störungsmeldung und beseitigung) Konzentrieren Sie sich dabei auf das Wesentliche und gehen Sie bei Ihrer Lösung von einer einfachen IT-Infrastruktur aus, weisen Sie also nur grundlegende Aufgaben zu. Beachten Sie bei Ihrer Lösung, dass niemand eine Aufgabe umzusetzen hat, der diese Aufgabe zugleich zu genehmigen hat. 2

Aufgabe: 6.1 Organisation von IT- Sicherheit Hinweis: Beim RACI-Modell gibt es vier Rollen, nämlich R = Responsible Umsetzung einer Aufgabe A = Accountable Genehmigung einer Aufgabe C = Consulted Anhörungsinstanz bei einer Aufgabe I = Informed Mitteilungsempfangsinstanz bei einer Aufgabe 3

6.1 Organisation von IT- Sicherheit (1) Planung des Aufbaus eines Informationssicherheitsmanagements Baustein ISMS.1 des IT-Grundschutzkompendiums (Sicherheitsmanagement) Umgang mit Sicherheitsvorfällen Baustein DER2.3 des IT- Grundschutzkompendiums (Bereinigung weitreichender Sicherheitsvorfälle bedarf jedoch einer Verallgemeinerung, da derzeit nur APT darin behandelt werden) Wesentlich: Basis-Maßnahmen, siehe https://www.bsi.bund.de/de/themen/itgrundschutz/itgrundsc hutzkompendium/itgrundschutzkompendium_node.html 4

6.1 Organisation von IT- Sicherheit (2) Aufbau Sicherheitsmanagement GF/CIO IT-Leiter IT-SiBe Sysadmin Festlegung der Sicherheitsziele und -strategie A C R I Erstellung der Leitlinie zur Informationssicherheit A C R I Aufbau der Organisationsstruktur für Informationssicherheit A C R Festlegung von Sicherheitsmaßnahmen A C R I Integration der Mitarbeiter in den Sicherheitsprozess I R A I Integration der Informationssicherheit in Abläufe & Prozesse I R A I 5

6.1 Organisation von IT- Sicherheit (3) Umgang mit Sicherheitsvorfällen GF/CIO IT-Leiter IT-SiBe Sysadmin Einrichtung Organisation zum Umgang mit Sicherheitsvorfällen A C R Entscheidung über anzuwendende Bereinigungsstrategie A C R I Behebung des Sicherheitsvorfalls (u.a. Isolierung betroffener Netzabschnitte, Sperrung/Änderung von Zugangsdaten) A C R Rückführung in den Produktivbetrieb nach Sicherheitsvorfällen A C R 6

Aufgabe: 6.2 Bedrohungen & Verwundbarkeiten I Die mehrseitige IT-Sicherheit bestimmt sich anhand der Einhaltung der Sicherheitsziele: Verfügbarkeit Integrität Vertraulichkeit Zurechenbarkeit (im Sinne von Authentizität) Rechtsverbindlichkeit (im Sinne von Nachweisbarkeit) a) Konstruieren Sie je ein Beispiel für eine Bedrohung der einzelnen Sicherheitsziele und begründen Sie, warum die von Ihnen angegebene Bedrohung für die Gewährleistung des betreffenden Sicherheitszieles gefährlich ist! 7

Aufgabe: 6.2 Bedrohungen & Verwundbarkeiten II b) Geben Sie für ein frei gewähltes IT-System eine potentielle Verwundbarkeit an, über die die unter a) angegebene Bedrohung jeweils zu einer erfolgreichen Schädigung des IT-Systems bzw. der dort gespeicherten Daten führen kann! Hinweis zu 6.2: Ein Vermögenswert (asset), hierzu zählen u.a. IT-Systeme als Support Assets (primary assets stellen dagegen die zu schützenden Informationen dar), kann von einer Bedrohung (threat) erfolgreich geschädigt werden, wenn die Bedrohung eine bestehende Verwundbarkeit (vulnerability) des Vermögenswertes ausnutzen kann. Sicherheitsmaßnahmen (safeguards) verhindern die Ausnutzbarkeit entsprechender Verwundbarkeiten. Als Verwundbarkeit kann insoweit auch eine unterlassene Schutzmaßnahme angesehen werden. 8

Bedrohung der Verfügbarkeit: 6.2 Bedrohungen & Verwundbarkeiten (1) Denial-of-Service-Angriff kann IT-System zur Überlastung bringen, so dass der auszuführende Dienst nicht mehr seiner eigentlichen Funktion nachkommen kann Bedrohung der Integrität: Virenangriff kann dazu führen, dass beim Aufruf eines Files Daten verändert werden, so dass die gespeicherten Daten nicht mehr originalgetreu und unverfälscht sind Bedrohung der Vertraulichkeit: Network Analyzer (Sniffing) können dazu genutzt werden, dass eingehender Datenverkehr unbefugt mitprotokolliert wird, so dass die gespeicherten Daten für Dritte nicht mehr geheim sind 9

6.2 Bedrohungen & Verwundbarkeiten (2) Bedrohung der Zurechenbarkeit (Authentizität): Session Hijacking kann dazu führen, dass ein Angreifer eine bestehende Verbindung übernimmt und unbemerkt einen Kommunikationspartner ersetzt, so dass der Kommunikationspartner nicht korrekt erkannt wird Bedrohung der Rechtsverbindlichkeit: Web-Defacing kann dazu führen, dass einem Angreifer unbefugt Zugriffsrechte zugebilligt werden, da der Nutzer optisch den Eindruck hat, die korrekte Web-Site geladen zu haben, so dass tatsächlich die Identität eines Kommunikationspartners nicht sicher festgestellt werden kann 10

6.2 Bedrohungen & Verwundbarkeiten (3) Eine DoS-Attacke kann z.b. bei einem Web-Server zum Erfolg führen, wenn dieser ohne Firewall betrieben wird (oder diese keine sinnvollen Regeln aufweist) Verwundbarkeit: mangelhafter Firewall-Schutz oder die Verbindung zum Web-Server nicht hochverfügbar ausgelegt ist Verwundbarkeit: fehlende Hochverfügbarkeit oder kein adäquates Berechtigungskonzept auf dem Web-Server eingerichtet wurde, indem z.b. noch Default-Passwörter vorhanden sind Verwundbarkeit: schlechtes Passwort-Management 11

6.2 Bedrohungen & Verwundbarkeiten (4) Ein Virenangriff kann z.b. bei einem Web-Server zum Erfolg führen, wenn dieser ohne wirksamen Virenschutz betrieben wird (z.b. keine automatisierte tägliche Aktualisierung) Verwundbarkeit: unzureichender Virenschutz oder der Web-Server nicht vom LAN abgeschottet ist oder auf dem Web-Server selbst andere Tätigkeiten (z.b. Bearbeitung eingegangener Mails) ausgeführt werden Verwundbarkeit: unzureichende Netzwerksegregation 12

6.2 Bedrohungen & Verwundbarkeiten (5) Sniffing kann z.b. bei einem Web-Server zum Erfolg führen, wenn vertraulicher Datenverkehr unverschlüsselt oder nur mäßig verschlüsselt übertragen wird Verwundbarkeit: unzureichende Transportverschlüsselung oder der Raum, in dem der Web-Server steht, nicht wirksam unterbindet, dass man sich dort einstöpseln kann Verwundbarkeit: unzureichender Zutrittsschutz 13

6.2 Bedrohungen & Verwundbarkeiten (6) Ein Session Hijacking kann z.b. bei einem Web-Server zum Erfolg führen, wenn beim Verbindungsaufbau via TCP kein Pseudozufallszahlengenerator verwendet wird Verwundbarkeit: schwache Authentifizierung oder eine Session unbegrenzt ablaufen kann Verwundbarkeit: fehlende Timeout-Funktion 14

6.3 Gegenmaßnahmen Aufgabe: Geben Sie zu einem frei gewählten IT-System aufgrund der ermittelten Bedrohung und potenziellen Verwundbarkeit (= Gefahr) aus Aufgabe 6.2 geeignete Maßnahmen an, die dazu führen, dass das IT-System nicht mehr dieser Gefahr ausgesetzt ist. 15

6.3 Gegenmaßnahmen (1) Ein Website-Defacing kann z.b. bei einem Web-Server zum Erfolg führen, wenn ein Web-Server z.b. mittels Speicherüberlauf übernommen werden konnte Verwundbarkeit: Buffer-Overflow oder ein Web-Seiten-Aufruf gezielt umgeleitet wurde Verwundbarkeit: DNS-Cache-Poisoning (Anm.: i.d.r. zu aufwändig für Angreifer, da in vielen Fällen bereits eine Phishing-Mail ausreicht, dass auf eine manipulierte Adresse geklickt wird) 16

6.3 Gegenmaßnahmen (2) Maßnahmen gegen Bedrohungen der Verfügbarkeit: Denial-of-Service-Angriff durch mangelhaften Firewall-Schutz Web-Server in DMZ ansiedeln & Firewall-Regeln nach Stand der Technik formulieren Denial-of-Service-Angriff durch fehlende Hochverfügbarkeit Aufbau redundanter und parallelisierter Technik, die sich vorzugsweise in getrennten Räumen befindet Denial-of-Service-Angriff durch schlechtes Passwortmanagement Dienstanweisung erstellen, dass voreingestellte Start- Kennwörter stets abgeändert werden und dabei die Komplexitätsanforderungen erfüllt werden 17

6.3 Gegenmaßnahmen (3) Maßnahmen gegen Bedrohungen der Integrität: Virenangriff durch unzureichenden Virenschutz Einsatz eines mindestens tagesaktuellen Virenscanners, der automatisch vorhandene Updates von nachgewiesen vertrauenswürdigen Webseiten herunterlädt Virenangriff durch unzureichende Netzwerksegregation Einrichtung separierter Schutzzonen, die nicht durch Regellücken in Firewalls (oder aus Bequemlichkeit) umgangen werden können 18

6.3 Gegenmaßnahmen (4) Maßnahmen gegen Bedrohungen der Vertraulichkeit: Sniffing durch unzureichende Transportverschlüsselung Versand vertraulicher Dokumente ausschließlich unter Ausnutzung einer Verschlüsselung nach dem Stand der Technik Sniffing durch unzureichenden Zutrittsschutz Einrichtung einer Schutzzone für den Serverraum (und die jeweiligen Verteilerkästen/Patchschränke), so dass sichergestellt ist, dass lediglich befugte Personen Zutritt erlangen können 19

6.3 Gegenmaßnahmen (5) Maßnahmen gegen Bedrohungen der Zurechenbarkeit: Session Hijacking durch schwache Authentifizierung Sicherstellung, dass ein echter Pseudozufallszahlengenerator verwendet wird Session Hijacking durch fehlende Timeout-Funktion Einrichtung einer Timeout-Funktion in der genutzten Web-Applikation 20

6.3 Gegenmaßnahmen (6) Maßnahmen gegen Bedrohungen der Rechtsverbindlichkeit: Web-Defacing durch Buffer-Overflow Abfangen von Steuerungssymbolen bei Befehlsabarbeitung und Verwendung stabiler Bibliotheksfunktionen, die nicht durch längenbedingte Angaben zu einem Überschreiben unvorherbestimmter Speicherblöcken führen Web-Defacing durch DNS-Cache-Poisoning den eigenen DNS-Server als Secure Proxy (statt als Cache Proxy) konfiguieren 21

Aufgabe: 6.4 Richtlinien zur Informationssicherheit Zu welchen Themenbereichen sollte ein Unternehmen Richtlinien erlassen, um Informationssicherheit adressieren zu können? Gehen Sie bei Ihrer Lösung davon aus, dass das Unternehmen Mails und Webaccess nur zu dienstlichen Zwecken gestattet und keinerlei Tätigkeiten im Home-Office erbracht werden. In den Richtlinien sollen verbindliche Vorgaben festgeschrieben werden, die die Beschäftigten zu beachten haben. 22

6.4 Richtlinien zur Informationssicherheit (1) Oberste Richtlinie ist die Leitlinie zur Informationssicherheit (Information Security Policy) In dieser Richtlinie werden u.a. die Control Objectives (Kontrollziele) der themenspezifischen Richtlinien / Policies benannt, damit sich diese unmittelbar aus der obersten Richtlinie ableiten Die oberste Richtlinie beschreibt die strategischen Ziele, die hinsichtlich der Informationssicherheit verfolgt werden Die themenspezifischen Richtlinien / Policies definieren dagegen die taktischen Ziele Die oberste Richtlinie benötigt die Verabschiedung durch die Unternehmens-/Behördenleitung, themenspezifische Richtlinien / Policies können auch von Fachverantwortlichen verabschiedet werden 23

6.4 Richtlinien zur Informationssicherheit (2) Regelungsbedürftige Themen nach der ISO/IEC 27002:2013: 1. Access Control 2. Information Classification (and Handling) 3. Physical and Environmental Security 4. End User oriented Topics (= acceptable use of assets, clear desk & clear screen, information transfer, mobile devices & teleworking, restrictions on software installations & use) 5. Backup 6. Information Transfer 7. Protection from Malware 8. Management of Technical Vulnerabilities 9. Cryptographic Control 10. Communication Security 11. Privacy and Protection of personally identifiable Information 12. Supplier Relationships 24

6.5 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der IT-Infrastruktur gewährleisten soll, auf jeden Fall geregelt werden, um die gängigsten Schwachstellen abzudecken? Begründen Sie Ihre Antwort! 25

6.5 Sicherheitskonzept (1) Abwehr gängigster Schwachstellen durch folgende Controls: Sensibilisierung und Schulung der Mitarbeiter, da Fehlbedienungen einerseits und unzutreffende Reaktionen auf Sicherheitsvorfälle andererseits die IT-Infrastruktur gefährden können Authentisierung bei Zugang und Zugriff anhand Wissen / Besitz / Merkmal, damit ein unbefugter Zugang deutlich erschwert wird Aktueller Schutz vor Viren, Würmer, Trojanische Pferde etc., damit zumindest bereits bekannte Malware abgewehrt werden kann Protokollierung ( Überwachung der Technik & Datenströme; z.b. Netzwerkmonitoring, Intrusion Detection System), um feststellen zu können, welche Schwachstellen bisher angegriffen wurden Änderung von Produktivsystemen erst nach Erfolg bei Testsystemen, um Bugs rechtzeitig erkennen zu können 26

6.5 Sicherheitskonzept (2) Abwehr gängigster Schwachstellen durch folgende Controls: Dokumentation von Änderungen an Systemeinstellungen, damit rekonstruiert werden kann, ab wann kein sicherer Systemzustand mehr bestanden hat Einrichtung eines Vulnerability Managements, um systematisch Schwachstellen ermitteln und beheben zu können regelmäßige Kontrollen (z.b. durch Penetrationstests), um durch Angreifersicht ermitteln zu können, welche Sicherheitslücken ausgenutzt werden können Bei Verschränkung mit Datenschutzkonzept auch Orientierung an Gewährleistungsziele nach Art. 32 EU-DSGVO sinnvoll 27

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback