ISMS/Umsetzungsbereiche: Unterschied zwischen den Versionen

Aus Foxwiki
K Textersetzung - „z. B. “ durch „z. B. “
K Textersetzung - „Kurzbeschreibung“ durch „Beschreibung“
 
(15 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
== Beschreinung ==
'''topic''' - Beschreibung
== Beschreibung ==
Zur Sensibilisierung für die Gefahren im Bereich der IT-Sicherheit und um mögliche Gegenmaßnahmen aufzuzeigen, existieren in Deutschland einige Initiativen.  
Zur Sensibilisierung für die Gefahren im Bereich der IT-Sicherheit und um mögliche Gegenmaßnahmen aufzuzeigen, existieren in Deutschland einige Initiativen.  
* Dazu zählen der Cyber-Sicherheitsrat Deutschland e. V., der Verein [[Deutschland sicher im Netz]], die Allianz für Cyber-Sicherheit und die [[Sicherheitskooperation Cybercrime]].
* Dazu zählen der Cyber-Sicherheitsrat Deutschland e. V., der Verein [[Deutschland sicher im Netz]], die Allianz für Cyber-Sicherheit und die [[Sicherheitskooperation Cybercrime]].
Zeile 20: Zeile 21:
* Allzu oft gelingt es [[Hacker]]n, durch Ausnutzung eines zu schwachen [[Passwort|Kennworts]] oder durch sogenanntes [[Social Engineering (Sicherheit)|Social Engineering]] Zugang zu sensiblen Daten zu erlangen.
* Allzu oft gelingt es [[Hacker]]n, durch Ausnutzung eines zu schwachen [[Passwort|Kennworts]] oder durch sogenanntes [[Social Engineering (Sicherheit)|Social Engineering]] Zugang zu sensiblen Daten zu erlangen.


== IT-Sicherheit bei Sparkassen und Banken ==
== Sparkassen und Banken ==
Zur Beschleunigung des Prozesses und Hervorhebung der Wichtigkeit haben unter anderem die Ergebnisse von [[Basel II]], die Vorschriften von [[Bundesanstalt für Finanzdienstleistungsaufsicht|BaFin]] und des [[Kreditwesengesetz|KWG]] sowie der einzelnen Verbandsrevisionen der [[Sparkasse]]n und [[Bank]]en beigetragen.  
Zur Beschleunigung des Prozesses und Hervorhebung der Wichtigkeit haben unter anderem die Ergebnisse von [[Basel II]], die Vorschriften von [[Bundesanstalt für Finanzdienstleistungsaufsicht|BaFin]] und des [[Kreditwesengesetz|KWG]] sowie der einzelnen Verbandsrevisionen der [[Sparkasse]]n und [[Bank]]en beigetragen.  
* Verstärkt werden sowohl externe als auch interne Prüfungen auf dieses Thema ausgelegt.  
* Verstärkt werden sowohl externe als auch interne Prüfungen auf dieses Thema ausgelegt.  
Zeile 28: Zeile 29:
  Siehe auch|Krisenreaktionszentrum für IT-Sicherheit der Deutschen Versicherungswirtschaft
  Siehe auch|Krisenreaktionszentrum für IT-Sicherheit der Deutschen Versicherungswirtschaft


== IT-Sicherheit bei anderen Unternehmen ==
== Unternehmen ==
Auch wenn die Gesetzgebungen und Prüfungen in anderen Sektoren der Wirtschaft weniger Vorgaben macht, behält die IT-Sicherheit ihren hohen Stellenwert.  
Auch wenn die Gesetzgebungen und Prüfungen in anderen Sektoren der Wirtschaft weniger Vorgaben macht, behält die IT-Sicherheit ihren hohen Stellenwert.  
* Hilfestellungen gewähren die kostenfreien [[IT-Grundschutz-Kataloge]] des [[Bundesamt für Sicherheit in der Informationstechnik|BSI]].
* Hilfestellungen gewähren die kostenfreien [[IT-Grundschutz-Kataloge]] des [[Bundesamt für Sicherheit in der Informationstechnik|BSI]].
Zeile 35: Zeile 36:
* Durch die Datenübertragung aus einem internen, geschlossenen Netzwerk über eine externe, öffentliche Verbindung zum anderen Standort entstehen risikobehaftete Situationen.
* Durch die Datenübertragung aus einem internen, geschlossenen Netzwerk über eine externe, öffentliche Verbindung zum anderen Standort entstehen risikobehaftete Situationen.


Die Auswirkungen für Unternehmen sind u. a.:
; Die Auswirkungen für Unternehmen sind u. a.
* Verlust von Daten
* Manipulation von Daten
* unzuverlässiger Empfang von Daten
* verspätete Verfügbarkeit von Daten
* Abkopplung von Systemen für das operative Geschäft
* unzulässige Verwertung von Daten
* fehlende Entwicklungsfähigkeit der eingesetzten Systeme


* Verlust von Daten,
; Die Gefahr liegt nicht nur im firmeninternen Datenaustausch
* Manipulation von Daten,
* unzuverlässiger Empfang von Daten,
* verspätete Verfügbarkeit von Daten,
* Abkopplung von Systemen für das operative Geschäft,
* unzulässige Verwertung von Daten,
* fehlende Entwicklungsfähigkeit der eingesetzten Systeme.
 
Die Gefahr liegt nicht nur im firmeninternen Datenaustausch.
* Zunehmend werden Anwendungen direkt zu den Nutzern übertragen, oder externe Mitarbeiter und outgesourcte Dienstleister können auf interne Daten zugreifen und diese bearbeiten und verwalten.  
* Zunehmend werden Anwendungen direkt zu den Nutzern übertragen, oder externe Mitarbeiter und outgesourcte Dienstleister können auf interne Daten zugreifen und diese bearbeiten und verwalten.  
* Dies erfordert entsprechende Zugriffsberechtigungen ([[Authentifizierung]]) sowie eine Dokumentation der getätigten Aktionen wie Datenabruf oder Datenänderungen.
* Dies erfordert entsprechende Zugriffsberechtigungen ([[Authentifizierung]]) sowie eine Dokumentation der getätigten Aktionen wie Datenabruf oder Datenänderungen.
Zeile 60: Zeile 60:
* Dies beinhaltet nicht nur die eingesetzten Technologien, sondern auch konzeptionelle Aspekte wie Zuständigkeiten, Berechtigungen, Kontrollinstanzen oder Mindestanforderungen für bestimmte Sicherheitsmerkmale.
* Dies beinhaltet nicht nur die eingesetzten Technologien, sondern auch konzeptionelle Aspekte wie Zuständigkeiten, Berechtigungen, Kontrollinstanzen oder Mindestanforderungen für bestimmte Sicherheitsmerkmale.


So werden nun an die EDV besondere Anforderungen gestellt:
; So werden nun an die EDV besondere Anforderungen gestellt
 
# Verhinderung von Manipulationen
# Verhinderung von Manipulationen
# Nachweis von Eingriffen
# Nachweis von Eingriffen
Zeile 80: Zeile 79:
* Risikofaktor Zeit
* Risikofaktor Zeit


== IT-Sicherheit in öffentlichen Einrichtungen und Behörden ==
== Öffentlichen Einrichtungen und Behörden ==
Im Bereich öffentliche Einrichtungen und Behörden sind die [[IT-Grundschutz-Kataloge]] des [[Bundesamt für Sicherheit in der Informationstechnik|Bundesamtes für Sicherheit in der Informationstechnik (BSI)]] Standardwerke.  
Im Bereich öffentliche Einrichtungen und Behörden sind die [[IT-Grundschutz-Kataloge]] des [[Bundesamt für Sicherheit in der Informationstechnik|Bundesamtes für Sicherheit in der Informationstechnik (BSI)]] Standardwerke.  
* In großem Maße erhalten diese Stellen das zugehörige [[GSTOOL]], welches die Durchführung deutlich vereinfacht, kostenlos.


[[Kategorie:Informationssicherheit/Umsetzungsbereiche]]
<noinclude>
 
== Anhang ==
=== Siehe auch ===
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
==== Links ====
===== Weblinks =====
 
[[Kategorie:ISMS/Umsetzungsbereiche]]
</noinclude>

Aktuelle Version vom 19. Oktober 2024, 13:33 Uhr

topic - Beschreibung

Beschreibung

Zur Sensibilisierung für die Gefahren im Bereich der IT-Sicherheit und um mögliche Gegenmaßnahmen aufzuzeigen, existieren in Deutschland einige Initiativen.

Privathaushalte

Programmierfehler in fast jeder Software machen es quasi unmöglich, Sicherheit vor jeder Art von Angriffen zu erreichen.

Aber auch in anderen Bereichen besteht in privaten Haushalten weiterhin ein Defizit.

Viele private Benutzer haben noch nicht verstanden, dass es wichtig ist, die Konfiguration der genutzten Software an die jeweiligen Bedürfnisse anzupassen.

  • So ist es bei vielen an das Internet angeschlossenen Rechnern nicht nötig, dass auf ihnen Server-Programme laufen.
  • Server-Dienste werden von vielen Betriebssystemen in der Standardinstallation geladen; mit deren Deaktivierung schließt man eine Reihe wichtiger Angriffspunkte.

Sicherheitsaspekte wie zum Beispiel die Einrichtung von Zugriffsbeschränkungen sind vielen Benutzern ebenfalls fremd.

  • Außerdem ist es von Bedeutung, sich über Schwachstellen in der eingesetzten Software zu informieren und regelmäßig Aktualisierungen einzuspielen.

Zur Computersicherheit gehört nicht nur der präventive Einsatz technischer Werkzeuge wie beispielsweise Firewalls, Intrusion-Detection-Systeme etc., sondern auch ein organisatorischer Rahmen in Form durchdachter Grundsätze (Policy, Strategie), die den Menschen als Anwender der Werkzeuge in das System einbezieht.

Sparkassen und Banken

Zur Beschleunigung des Prozesses und Hervorhebung der Wichtigkeit haben unter anderem die Ergebnisse von Basel II, die Vorschriften von BaFin und des KWG sowie der einzelnen Verbandsrevisionen der Sparkassen und Banken beigetragen.

  • Verstärkt werden sowohl externe als auch interne Prüfungen auf dieses Thema ausgelegt.
  • Gleichzeitig entstand ein umfangreiches Dienstleistungsangebot zur Durchführung verschiedener Projekte, die einen IT-Sicherheitsprozesses in Unternehmen etablieren sollen.
  • Anbieter sind sowohl innerhalb der jeweiligen Unternehmensgruppe als auch auf dem externen Markt zu finden.
  • Bei anderen Finanzdienstleistungsinstituten, Versicherungsunternehmen und den Unternehmen des Wertpapierhandels wird das Konzept im Allgemeinen identisch sein, wobei hier zum Beispiel auch andere Gesetze eine Rolle spielen können.
Siehe auch|Krisenreaktionszentrum für IT-Sicherheit der Deutschen Versicherungswirtschaft

Unternehmen

Auch wenn die Gesetzgebungen und Prüfungen in anderen Sektoren der Wirtschaft weniger Vorgaben macht, behält die IT-Sicherheit ihren hohen Stellenwert.

Durch die zunehmende Vernetzung verschiedener Niederlassungen z. B. bei Firmenzukäufen gewinnt eine Absicherung der IT-Systeme größere Bedeutung.

  • Durch die Datenübertragung aus einem internen, geschlossenen Netzwerk über eine externe, öffentliche Verbindung zum anderen Standort entstehen risikobehaftete Situationen.
Die Auswirkungen für Unternehmen sind u. a.
  • Verlust von Daten
  • Manipulation von Daten
  • unzuverlässiger Empfang von Daten
  • verspätete Verfügbarkeit von Daten
  • Abkopplung von Systemen für das operative Geschäft
  • unzulässige Verwertung von Daten
  • fehlende Entwicklungsfähigkeit der eingesetzten Systeme
Die Gefahr liegt nicht nur im firmeninternen Datenaustausch
  • Zunehmend werden Anwendungen direkt zu den Nutzern übertragen, oder externe Mitarbeiter und outgesourcte Dienstleister können auf interne Daten zugreifen und diese bearbeiten und verwalten.
  • Dies erfordert entsprechende Zugriffsberechtigungen (Authentifizierung) sowie eine Dokumentation der getätigten Aktionen wie Datenabruf oder Datenänderungen.

Dieser Thematik folgend entstehen neue Anforderungen an die bestehenden Sicherheitskonzepte.

  • Hinzu kommen die gesetzlichen Vorgaben, die ebenfalls in das IT-Sicherheitskonzept mit integriert werden müssen.
  • Die entsprechenden Gesetze werden von externen und internen Prüfern kontrolliert.
  • Da keine Methoden definiert worden sind, um diese Ergebnisse zu erreichen, wurden hier für die jeweiligen Bereiche verschiedenen „Best Practice“-Methoden entwickelt, wie zum Beispiel ITIL, COBIT, ISO oder Basel II.

Hier gilt der Ansatz, ein Unternehmen so zu führen und zu kontrollieren, dass die relevanten und möglichen Risiken abgedeckt sind (IT-Governance).

  • Grundlagen dafür sind sowohl die zwingenden Standards, also Gesetze (HGB, AO, GOB) und Fachgutachten (Sarbanes-Oxley Act, 8. EU-Audit-Richtlinie), als auch die unterstützenden Standards (Best Practice).

Die Risiken müssen identifiziert, analysiert und bewertet werden, um ein ganzheitliches Sicherheitskonzept aufbauen zu können.

  • Dies beinhaltet nicht nur die eingesetzten Technologien, sondern auch konzeptionelle Aspekte wie Zuständigkeiten, Berechtigungen, Kontrollinstanzen oder Mindestanforderungen für bestimmte Sicherheitsmerkmale.
So werden nun an die EDV besondere Anforderungen gestellt
  1. Verhinderung von Manipulationen
  2. Nachweis von Eingriffen
  3. Installation von Frühwarnsystemen
  4. Interne Kontrollsysteme

Dabei ist zu beachten, dass die Daten der Automation derart gespeichert werden, dass sie jederzeit lesbar, nachvollziehbar und konsistent sind.

  • Dazu müssen diese Daten vor Manipulation und Löschung geschützt werden.
  • Jegliche Änderung soll ein Versionsmanagement auslösen und die Reporte und Statistiken über die Prozesse und deren Änderungen müssen direkt zentral abrufbar sein.

Eine Abhilfe können hier hochentwickelte Automatisierungslösungen sein.

  • Dadurch, dass weniger manuelle Eingriffe notwendig sind, werden potenzielle Gefahrenquellen ausgeschlossen.
  • Die RZ-Automation umfasst somit folgende Gebiete:
  • Risikofaktor Prozessablauf
  • Risikofaktor Ressourcen
  • Risikofaktor Technologie
  • Risikofaktor Zeit

Öffentlichen Einrichtungen und Behörden

Im Bereich öffentliche Einrichtungen und Behörden sind die IT-Grundschutz-Kataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) Standardwerke.


Anhang

Siehe auch

Links

Weblinks