Einführung in das Nachmittagsprogramm. Prof. Dr. B. M. Hämmerli

Ähnliche Dokumente
IT-Sicherheit. Eine wichtige Erfolgsvoraussetzung. Norbert Pohlmann. Vorstand Utimaco Safeware AG. Internet. Security. Mobile/Desktop.

SolutionContract BladeFrame

Schnittstellen und Abgrenzungen ohne Mauern 1

Outsourcing virtueller Infrastrukturen. IT-Trends-Sicherheit

Blick über den Tellerand Erfahrungen der EVU

Cloud Security. Compliance in der Cloud sicherstellen. Managed Hosting Cloud Hosting Managed Services

Workloads kennen und verstehen

IT-Sicherheitsmanagement /IT- Sicherheitsarchitekturen / Risikoanalysen / Softwareentwicklung / Public Key Infrastruktur /Verzeichnisdienste

Managed Infrastructure Service (MIS) Schweiz

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014

EINE AN DIE BEDÜRFNISSE DER BETRIEBSTECHNIK ANGEPASSTE GESAMTLÖSUNG INDUSTRIESICHERHEIT NETWORK SECURITY I ENDPOINT SECURITY I DATA SECURITY

Vertrauen als Basis für die Zusammenarbeit

IT-Compliance im Krankenhaus Industrialisierung der IT oder Individualität bis zum bitteren Ende?

COLT Managed Services & Solutions

Was jetzt zu tun ist.

WAGNER IT SYSTEMS MANAGED CLOUD-SPACE

Datensicherung ist Chefsache.

System i Monitoring & Automation

Enterprise standard. Enterprise premium. Enterprise flex. Features. Laufzeit 12 / 36 / 60 Monate flexibel 60 Monate. Useranzahl ab 10 ab 1 ab 50

Beispiele zu den Arbeitsgebieten. Applikationsentwicklung OO Applikationsentwicklung prozedural

10 IT-Gebote. Burkhard Kirschenberger Tel: Fax: Version Okt.

Wo fängt IT-Sicherheit an oder wo hört sie auf?

Neues deutsches IT-Sicherheitsgesetz Was bedeutet das für die Kunden? Wie können wir helfen?

Cloud Computing die fünfte Generation TA-SWISS Workshop über Cloud Computing

Bin ich wirklich der Benutzer für den Sie mich halten? 7. Oktober 2014 // Christian Doppelhofer

IT-Sicherheit für KMUs

Erfahrungen in der Netzwerksicherheit. Torsten Krüger Lead Security Consultant

ech & PricewaterhouseCoopers E-Government Chancen und Risiken für die öffentliche Verwaltung* 6. Dezember 2006

Scale your IT. DevOps und Netzwerk für IPv6. Wie DevOps den Röstigraben zwischen Systemen und Netzwerk überwindet

Virtual Private Networks

An der Cloud führt kein Weg vorbei. Darauf sollten Sie sich vorbereiten! Dieter Rehfeld Bremen

Die ideale Sicherheitsorganisation?

Informations-Sicherheitsmanagement und Compliance

Antrag auf Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) gem. ISO/IEC 27001:2013 und Fragebogen

Business Continuity Management

Medizinprodukte in IT-Netzwerken

Der Nutzen und die Entscheidung für die private Cloud. Martin Constam Rechenpower in der Private Cloud 12. Mai 2014

1 Servicebeschreibung

DeskCenter. Dynamic Asset Intelligence. Wir maximieren die Wertschöpfung Ihrer IT Investitionen & Infrastruktur.

Grundlagen des Datenschutzes. Gliederung zur Vorlesung im Sommersemester 2008 an der Universität Ulm von Bernhard C. Witt

Erkennung von Angriffen auf Industrieanlagen Alternative Ansätze vs. Methoden der Office-IT

Start-up Session IT-Sicherheitsgesetz: Risikomanagement, Compliance und Governance in einer cloudbasierten Wissensdatenbank umsetzen

Veeam V10 & DSGVO. Pascal SETHALER. Partner Manager

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443

Modernes, systemunabhängiges Deployment. mit Docker. bei der Deutschen Bahn AG

Das elektronische Personenstandsbuch

Migration in die Cloud

Sichere und integre IT-Systeme

Kostenoptimierte Cloud-Administration mit Solaris Container Technologie

Systems to communicate. Effiziente Daten- und Systemkommunikation

Auswahl und Einführung von Cloud-Lösungen

Industrial Security. Sicherheit im industriellen Umfeld. Frei verwendbar Siemens AG 2018

Profitieren Sie von einer offenen und flexiblen Clouddienstplattform

Checkliste I Auswahl SIK-Vertragsvorlage

Automation meets IT. Industrial Security Heinrich Homann Security Specialist Plant Security Services

Die Anforderungen der DIN EN ISO 9001:2015 Eine erste Einschätzung

Red Hat On-Premise und in der Public Cloud. Michael Heß Business Development Manager Red Hat

IKT-Schlüsselprojektprüfungen der EFK und HERMES. Martin Schwaar Prüfungsexperte für IKT-Schlüsselprojekte des Bundes

ISIS12 als Informationssicherheitsmanagementsystem Wenn weniger manchmal mehr ist! Ralf Wildvang

IT-Sicherheit in der Produktion

Wege zur Hochverfügbarkeit. Christian Affolter High Availability 08. Mai 2015

Hackerangriffe verursachen Millionenschäden: Wie können sich Unternehmen schützen?

IT-Dienstleistungszentrum Berlin

Pressekonferenz zur CeBIT 2016 Prof. Dr.-Ing. Udo Ungeheuer, Präsident des VDI Dieter Westerkamp, Leiter Technik und Wissenschaft im VDI Olaf

IT-Security für Autonomik. Dr. Carsten Rudolph Abteilungsleitung Trust and Compliance

(IT) Notfallmanagement im Unternehmen und in der Behörde Planung und Umsetzung gemäß BSI-Standard und ISO 22301

Swisscom Dialog Arena 2017 Driving Change.

SaaS aber sicher! Eine Einführung in die Cloud-Computing-Sicherheit

Separierung/Isolation Steffen Heyde secunet

Backup Recovery Grundlagen

Managed Service Providing. Infinigate Deutschland GmbH

Qualitätsmanagement nach DIN EN ISO 9000ff

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014

Managed Cloud Services. Christian Affolter Managed Cloud Services 11. Mai 2012

Informations-Sicherheits- Management DIN ISO/IEC 27001: einfach und sinnvoll -

ARS. DevOps-Berater/ Ingenieur (m/w) ARS Computer und Consulting GmbH /

Zürcher Tagung Mensch und Technik im Brennpunkt aktueller Sicherheitsbestrebungen

NGO Tag - Sicherheit und Datenschutz in der Cloud Microsoft Deutschland GmbH Unter den Linden 17, Berlin

Ganzheitliches Supportmodell - Ein Benefit für EVU? Referent: Norbert Rosebrock

CLOUD-DIENSTE UND DATENSCHUTZ IN UNTERNEHMEN LERNEINHEIT 5

ITSM Beratung. Der Trainerstab der Mannschaft. Christian Stilz, Project Manager

SmartMX, NFC & Arygon. Ralf Kretschmann, Achim Kretschmann, Bernd Fleischmann

DER CONFIGURATION MANAGEMENT PROZESS

Management von Informationssicherheit und Informationsrisiken Februar 2016

Zusammenstellung der erforderlichen Aufgabenbereiche für ein integriertes Werkzeug zu den Bereichen: IT-Betrieb, IT-Sicherheit und IT-Revision

ISI INDIVIDUAL SOFTWARE INTEGRATION. Produktinformation

Software EMEA Performance Tour Berlin, Germany June

Strukturierte Verbesserung der IT-Sicherheit durch den Aufbau eines ISMS nach ISO 27001

Providermanagement bei Multisourcing. Hamburg, 12. September 2018

Pressekonferenz zur CEBIT 2018

Integration im Enterprise Umfeld

Beratung, Betrieb und Service für Einrichtungen im Gesundheitswesen INFORMATIONS- TECHNOLOGIE

Pro Kostenkontrolle und Kostentransparenz

Mit Sicherheit erfolgreich.

Hardware-basierte Sicherheit für Kommunikationsinfrastrukturen

Bastian Nowak. Warum? Wie? Wer? Wann? Handlungsempfehlungen für Ihre it-sicherheit. Roadshow: "Cybercrime Eine Bedrohung auch für KMUs"

Cloud Computing Chancen und Risiken für KMUs.

Transkript:

Einführung in das Nachmittagsprogramm Prof. Dr. B. M. Hämmerli E-Mail: bmhaemmerli@hta.fhz.ch

Inhalt Begrüssung Zusammenarbeitsmodell Wer ist der Akteur Was ist Sicherheit Verantwortung und Komplexität Verschiedene Lösungsansätze für IT-Security Delegieren von Sicherheitsaufgaben Schlussfolgerungen Fragen 02.06.2003 Prof. Dr. B. M. Hämmerli Seite 2

Begrüssung I Weshalb diese Tagung? Motivation für IT Security, Driver = (Versicherer und Recht) Wer ist der Akteur dieser Tagung? AG Haftung iur. Tagung (für Grundlagenerarbeitung) Wer hat all die Arbeit geleistet? Vorstand + Feen im Hintergrund Übersicht Nachmittagsprogramm? Nächste Seite 02.06.2003 Prof. Dr. B. M. Hämmerli Seite 3

Begrüssung II Einführung, Ing. B. Hämmerli IT Risiken beim Bund, Ing. P. Trachsel Diskussionsforen zur Haftung Produkte HW- & SW Dienstleistungen Versicherung Risk Controlling Erarbeitete Resultate aus den Foren 02.06.2003 Prof. Dr. B. M. Hämmerli Seite 4

Zusammenarbeitsmodell I HW-Lieferer SW-Lieferer Diensterbringer Weitere Zwischendienstleister Konsument Engineering Programmierung Versicherer Versicherer Beteiligte Parteien bei IT Dienstleistungen 02.06.2003 Prof. Dr. B. M. Hämmerli Seite 5

Zusammenarbeitsmodell II Prozesskette für Dienstleistungserbringung Beteiligte Parteien bei IT Dienstleistungen Dienstleistungskette 1..n Konsument Kanton, Gemeinden Private Internationale Gemeinschaft Wirtschaftspartner HW- & SW Lieferant Versicherung Restrisiko 02.06.2003 Prof. Dr. B. M. Hämmerli Seite 6

Zusammenarbeitsmodell III Fragen und Risiken in der Prozesskette Spezifikation von Dienstleistungen Dienstqualität (SLA Service Level Agreement) Analyse der Risiken Regelung der Haftung bei Verlusten an: Produktionszeit nicht gemachten Geschäften (Opportunität) Wiederherstellung etc. 02.06.2003 Prof. Dr. B. M. Hämmerli Seite 7

Wer ist der Akteur? Grundsätze aus Ingenieursicht Jeder sollte für sein Handeln verantwortlich sein Daraus ergibt sich ein System aus der Summe der Teile Das System ist mehr als die Summe aller Teile! Schnittstellen Vollumfassendes Testen und Prüfen komplexer schlecht strukturierter Systeme nicht möglich Integration und Kombinationen von Dienstleistungen: HW->OS->Communication->Middleware->Applikationen im verteilten Netzwerk Personen, die das System bedienen Organisationsformen Vertrauen vs. Verantwortung, Enabling vs.kontrolle Schluss: Akteuransatz versagt! 02.06.2003 Prof. Dr. B. M. Hämmerli Seite 8

Was ist Sicherheit? Betroffene Eigenschaften: Verfügbarkeit, ok. Vertraulichkeit,?? Integrität, heute nur punktuell ein Thema Authentizität, die Herausforderung Verbindlichkeit, endlich nachvollziehbar, beweisbar und revidierbar! Produktion der Sicherheit: Minimieren von Verlusten mit minimalem Einsatz, mit Technologien, Weisungen, Organisation/Strukturierungen, Verantwortlichkeiten, Ausbildung/Sensibilisierung 02.06.2003 Prof. Dr. B. M. Hämmerli Seite 9

Verantwortung und Komplexität Komplexität: Sicherheit in komplex strukturierten Systemen (technisch, organisatorisch, personell, örtlich) kann nicht vollumfassend geregelt werden. Verschiedene Ansätze: Abstreiten des Themas (aus Investionsgründen) Best Pratice -> COP -> ISO 17799 Techniker / Organisatoren / Chefs / Prozessowner / Sicherheitsverantwortliche / Revisoren / Controller Schluss: Ab einer bestimmten Komplexität kann es nur individuelle und spezifische Lösungen geben! Analogien und Beispiele sind hilfreich! Flexibilität für die Erneuerung ist gefragt. 02.06.2003 Prof. Dr. B. M. Hämmerli Seite 10

Verschiedene Lösungsansätze für IT-Security I 1. IT-Security kann mit Technologien gelöst werden. (zu Beginn der 90-er Jahre falliert) 2. Lösung mit einem Sicherheitsbeauftragten (organisatorische Lösung, ist OK, löst aber das Problem nicht ganz vollständig, Kompetenz, Ressourcen und Weisungsproblem in der Ausführung) 3. Sicherheit ist Chefsache! (stimmt, löst aber das Problem auch nicht vollständig. Besser als 2., weil Geld und Verantwortung klar sind) 4. Businessprozesse müssen gesichert werden. (Guter Ansatz für eine adäquate Sicherheit. Problem: die Verknüpfung und Abhängigkeiten zwischen Prozessen.) 5. 1-4 kombiniert mit einer Sicherheitsarchitektur 02.06.2003 Prof. Dr. B. M. Hämmerli Seite 11

Verschiedene Lösungsansätze für IT-Security II Businessprozessmodell: Kernprozesse Leitsystem Workflow- Prozess Back-Office Informationsinfrastruktur Anwendungen Leitsystem- Software Spezial-Software ERP-Anwendung Back-Office Anwendungen Betriebssysteme Proprietäre Betriebssysteme Linux VMS Unix Windows Energieversorgung Hardware Proprietäre Hardware Host xy Microcontroller xy Kommunikation (intern) Telekommunikation (extern) Provider X Switch PC xy Provider Y Router Übertragungsstrecken Server xy Provider Z 02.06.2003 Prof. Dr. B. M. Hämmerli Seite 12

Verschiedene Lösungsansätze für IT-Security III Businessprozessmodell: Erfordert sehr viele Abmachungen (Verträge) (Jeweils zwischen jeder zuständigen Stelle) Sehr geeignet für existentielle kritische Infrastrukturen Komplexität kann mit einer Gesamtsicherheitsarchitektur teilweise gelöst werden Prozessverantwortliche brauchen Prozesskenntnisse (Muss Risiken kenn (vom Fach sein), allgemeiner Manager genügt nicht! Unternehmergeist) 02.06.2003 Prof. Dr. B. M. Hämmerli Seite 13

Delegieren von Sicherheitsaufgaben Kann die Produktion von Sicherheit ausgelagert werden? Beispiele: Feuerwehr, Polizei, Armee, Securitas Telefon, Strom, Strassenverkehr Trends für KMU: Sicherheit in einigen Sparten ist zu komplex, um diese selbst herzustellen, Managed Security Services Sicherheit aus der Box (die Forschung strengt sich in bestimmten Bereichen für Vereinfachungen an! Heute gibt es externe Sicherheitslösungen für: Firewall, Intrusion Detection, Viren etc. Zur Authentisierung (Zertifikate) Zur Verfügbarkeit (Backuprechenzentren) weitere Bereiche werden kommen www.fgsec.ch Tagung vom 18. Nov. 03 02.06.2003 Prof. Dr. B. M. Hämmerli Seite 14

Schlussfolgerung I Risk Assessment in komplexen Systemen muss architekturell und prozessorientiert angegangen werden, und sollte in ein Haftungsassessment führen. Verschiedene Lösungsansätze für IT-Security sind ergänzend und aufbauend zueinander Zeittrends gewesen und müssen in eine Gesamtarchitektur integriert werden. Delegieren von Sicherheitsaufgaben wird aus Kostengründen in verschiedenen Bereichen unumgänglich. Sicherheit wird entscheidend im Wettbewerb der Zukunft sein! 02.06.2003 Prof. Dr. B. M. Hämmerli Seite 15

Schlussfolgerungen II Mein Wunsch: Klarheit auf dem Weg vom Risk Assessment zum Haftungsassessment. Dadurch Förderung der Sicherheit auf allen Ebenen in eine zweckorientierte, lösungsangepasste und bedarfsgerechte Sicherheit. Vermeiden von Konfliktfällen 02.06.2003 Prof. Dr. B. M. Hämmerli Seite 16

Fragen W e r f r a g t d e r l e r n t! 02.06.2003 Prof. Dr. B. M. Hämmerli Seite 17

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback