Schlagwort: ISO 27001

Viadesk zertifiziert nach ISO 27001 und NEN 7510

Datensicherheit im Digital Workplace

Als Anbieter digitaler Plattformen wie Social Intranet und Lernmanagementsystemen misst Viadesk dem Datenschutz einen hohen Stellenwert bei. Innerhalb der Europäischen Union sind die Rechtsvorschriften zu personenbezogenen Daten in den letzten Jahren verschärft worden, unter anderem durch die DSGVO-Gesetzgebung. Seither arbeitet Viadesk daran, Datensicherheit nach Anforderungen der ISO 27001 und NEN 7510 zu überprüfen und zu zertifizieren. Mit dem Erhalt der beiden Zertifikate ist es nunmehr für Kunden und Interessenten nachvollziehbar, nach welchen Sicherheitsprotokollen und Prozessen Viadesk arbeitet.

Um ein Zertifikat der international anerkannten Prüfinstanz ISO zu erhalten, werden teilnehmende Unternehmen von einer externen Audit Institution bezüglich der Ordnungsmäßigkeit und Anwendung der Qualitätsstandards geprüft. Im Fall von Viadesk wurde diese Aufgabe durch die unabhängige Akkreditierungsinstanz KIWA übernommen. Mit dem Erhalt des ISO 27001-Zertifikats gewährleistet Viadesk u. a. die folgenden Punkte:

-sorgfältigen Umgang mit Daten auf sämtlichen Ebenen
-Übereinstimmung mit Gesetzen und Regulierungen
-Begrenzung von möglichen Risiko- und Störfaktoren

Neben der Datensicherheit wurde die Transparenz im Viadesk-Zertifizierungsprozess deutlich erhöht. Dazu Rick Tigelaar, Manager Operations und Datenschutzbeauftragter bei Viadesk:

„Intern mussten einige Problemstellungen besser organisiert werden. Viadesk gibt es schon seit 20 Jahren, aber wir sind noch immer ein kleines und flexibles Team mit Niederlassungen in den Niederlanden und in Deutschland. Manchmal führte dies zu Unklarheiten darüber, wer für was zuständig ist. Im letzten Jahr habe wir große Schritte getan, um Prozesse aufeinander abzustimmen und Qualitätsanforderungen in Informations- und Datensicherheit zu integrieren.“

Neben dem internationalen ISO 27001-Zertifikat erfüllt Viadesk auch die NEN 7510-Zertifizierung. NEN ist hauptsächlich auf dem niederländischen Markt bekannt, gibt jedoch auch für internationale Kunden einen zuverlässiger Hinweis auf Datensicherheit, mit besonderem Hinblick auf den Schutz medizinischer Daten. „Die Kombination beider Zertifizierungen ist durchaus üblich. Mit Kunden wie HAweb, einem nationalen Hausärzteverband, haben wir akuten Handlungsbedarf, um nachvollziehbar zuverlässig mit speziellen Patientendaten umzugehen. Deswegen sahen wir uns in der Verantwortung, auch mit diesen Richtlinien konform zu sein“, erklärt Rick Tigelaar.

Eine weitere Herausforderung für Software-Unternehmen wie Viadesk ist, dass sich Datenschutztechnologien ständig ändern. Die Aufrechterhaltung der ISO- und NEN-Zertifikate erfordert daher kontinuierliche Anstrengungen. Die Zertifikate umfassen jeweils einen Zyklus von drei Jahren. Dazwischen findet ein jährliches Audit statt, um festzustellen, ob Viadesk die Anforderungen noch erfüllt. Außerdem wird Viadesk weiterhin große Anstrengungen unternehmen, um die Sicherheit seiner Benutzer zu gewährleisten und arbeitet bereits am nächsten Zertifikat. „Das ISO 9001-Qualitätszeichen wird unser nächstes Ziel sein“, sagt Rick Tigelaar. „Während dieser Zertifizierungsphase betrachten wir die Qualitätsmanagementsysteme unseres Unternehmens. Damit zeigt Viadesk erneut, dass es die Qualität seiner Produkte steigern kann. Eine gute und sichere Plattform, die alle Benutzer ohne Bedenken nutzen können.“

Seit 1997 entwickelt Viadesk Digital Workplace Lösungen, die Unternehmen und ihre Mitarbeiter beim modernen Informationsaustausch unterstützen. Vom Social Intranet bis zum Learning Management System hat Viadesk die passenden Tools für Wissensmanagement und Zusammenarbeit im Online-Bereich. Große Organisationen und Bistümer, Verlage und Unternehmen wenden die Plattformen täglich mit mehreren Tausend Mitarbeitern an.

Viadesk begleitet Organisationen auf ihrem Weg zum digitalen Arbeitsplatz, der alle Mitarbeiter und Prozesse zusammenführt. Als europäischer Anbieter mit Sitz in Amsterdam und Köln, überzeugt Viadesk neben vielseitigen Anwendungsmöglichkeiten und besonderer Nutzerfreundlichkeit vor allem mit ISO-zertifizierter Sicherheit und Kundennähe. Als Software-as-a-Service Lösungen sind die Tools sofort einsatzbereit, werden dabei aber ständig weiterentwickelt. Damit sind sie zukunftssicher einsetzbar und unterstützen digitale Zusammenarbeit langfristig.

Kontakt
Viadesk GmbH
Annika Willers
Brüsseler Str. 25
50674 Köln
022182829364
info@viadesk.de
http://www.viadesk.de

Permanentlink zu diesem Beitrag: https://pflumm.de/viadesk-zertifiziert-nach-iso-27001-und-nen-7510/

Knipp Medien und Kommunikation GmbH: ISO 27001-Zertifikat verlängert

Informationssicherheit nach höchsten internationalen Standards

Die ISO 27001-Zertifizierung der Knipp Medien und Kommunikation GmbH wurde erfolgreich verlängert. Damit wird dem IT-Dienstleister aus Dortmund erneut bestätigt, dass das Konzept zur Informationssicherheit und der Umgang mit zu verarbeitenden Daten in allen Geschäftsbereichen höchsten internationalen Sicherheitsanforderungen entsprechen.

Die erste Zertifizierung nahm Knipp 2016 vor. Das ISO 27001-Team hatte damals ein umfassendes Sicherheitskonzept entwickelt, das nach dem Full-Scope-Ansatz sämtliche Dienstleistungen, Infrastrukturen und Prozesse umfasst. „Wichtig ist, die bestehenden Strukturen kontinuierlich zu hinterfragen und das Sicherheitskonzept fortzuführen“, erklärt Damian Lusiewicz, Chief Information Security Officer (CISO) bei Knipp, „wir beobachten immer aktuelle Entwicklungen und setzen diese für uns um, wie zum Beispiel die Datenschutzgrundverordnung, die letztes Jahr im Mai in Kraft getreten ist.“ Mitarbeiter werden permanent geschult und für aktuelle Anforderungen der Informationssicherheit sensibilisiert. Nach dreijähriger Gültigkeit des Zertifikats und jährlichen Zwischenaudits wurde Knipps Sicherheitskonzept nun in einem umfangreichen Audit erneut bestätigt.

Die ISO 27001 ist der führende internationale Standard für Informationssicherheit. Er garantiert ein Höchstmaß an IT Sicherheit. Dies ist relevant für Firmen wie Knipp, deren Kernbusiness im Umgang mit Informationen liegt. Mit der erfolgreichen Rezertifizierung wird Knipp nun von unabhängiger Stelle bescheinigt, dass nach hohen internationalen Standards für die Informationssicherheit gesorgt ist. „Dies bestärkt das Vertrauen unserer langjährigen Kunden aus unseren Dienstleistungsbereichen Rechenzentrum, individuelle Softwareentwicklung und Druckproduktion“, erläutert Damian Lusiewicz. Unter die ISO 27001 Zertifizierung fallen ebenso Knipps Produkte: das Registry Backend TANGO Registry Services®, die Nameserver-Infrastruktur ironDNS® und das Domainportfolio Analysetool mambo.

Weitere Informationen finden Sie auf unserer ISO 27001-Seite: https://www.knipp.de/company/iso27001

Die Knipp Medien und Kommunikation GmbH ist ein Internet-Service-Provider aus Dortmund, der innovative Softwarelösungen für die Domainindustrie entwickelt und diese im eigenen Rechenzentrum betreibt. Knipp ist dabei vor allem auf die Entwicklung von Lösungen für systemkritische Komponenten spezialisiert.

Kontakt
Knipp Medien und Kommunikation GmbH
Sandra Ükermann
Martin-Schmeisser-Weg 9
44227 Dortmund
+49 231 9703-0
Sandra.Uekermann@knipp.de
http://www.knipp.de

Permanentlink zu diesem Beitrag: https://pflumm.de/knipp-medien-und-kommunikation-gmbh-iso-27001-zertifikat-verlaengert/

Warum ist die ISO 27001 gut für Sie?

Und über was sollten Sie sich im Klaren sein, wenn Sie die ISO 27001 implementieren?

Warum ist die ISO 27001 gut für Sie?

www.lrqa.de

Egal ob Sie interne Informationsmanagementsysteme leiten oder für die Informationssicherheit verantwortlich sind oder ob Sie IT – Produkte und Dienstleistungen für Ihre Kunden entwickeln – effektive Informationssicherheitssysteme ( ISMS) sind wichtig. Sie helfen Ihnen die richtigen Kontrollen, Systeme und Produkte zu entwickeln, um die ständig steigenden Anforderungen Ihrer Kunden und Partner erfüllen zu können. Die ISO 27001 stellt sicher, dass die Daten von „interessierten Dritten“ wie zum Beispiel ihre Kunden, Mitarbeiter, Handelspartner und ganz allgemein die Gesellschaft durch adäquate Kontrollmechanismen geschützt sind. Ihre Anforderungen zu verstehen- das ist der Schlüssel für die Implementierung Ihres Managementsystems. Eine ISMS Zertifizierung nach ISO 27001 kann Ihnen helfen Ihren Handelspartnern und Kunden zu verdeutlichen, dass Sie Informationssicherheit ernst nehmen. Es ist ein deutlicher Beweis, dass eine Organisation ihr Commitment zur Informationssicherheit ernst nimmt. Dieser Artikel möchte Hilfestellung und Ratgeber für diejenigen sein, die sich mit der Zertifizierung ihres Unternehmens hinsichtlich eines ISMS – Systems befassen. Die Artikel wurde von Jonathan Alsop, LRQA ISO 27001 Lead Auditor und Rob Acker, LRQA ICT Technical Manager verfasst.
Einführung zur Implementierung eines ISMS – Systems.
Die UK FSA ( Financial Services Authority – die Finanzaufsicht ) bezieht sich in ihrer Veröffentlichung „Operational risk systems and controls“ (Kapitel 142, Seite 57) auf die ISO 27001 wie folgt: Eine Firma sollte sich mit der Wirksamkeit Ihrer Systeme und Kontrollmechanismen, die für die Datenverarbeitung und Informationssicherheit vorgesehen sind, beschäftigen. Zusätzlich zu den normalen geschäftlichen Anforderungen an vertrauliche Informationen, wie Vertrags- und Preisinformationen, Urheberrechte, etc. gibt es seit kurzem weitergehende Anforderungen ( wie zum Beispiel Sarbanes-Oxley, Cobit etc. ) im Bereich der Regulierung und Corporate Governance, die wesentlich fordernder hinsichtlich der Integrität Ihrer Unternehmens – und Finanzinformationen sind. Indem man ein Information Security Management System ( ISMS ) implementiert, bekommt man die Sicherheit, dass die unternehmenseigenen Sicherheitsvorkehrungen auf dem zur Zeit besten Stand der Technik basieren. Wenn man sein Management System nach ISO 27001 durch eine aussenstehende Zertifizierungsgesellschaft ( wie zum Beispiel LRQA ) zertifizieren lässt, dann erhält man einen unabhängigen und unvoreingenommenen Blick auf den tatsächliche Wirksamkeitsumfang und die Effektivität des ISMS – Systems. Dadurch wird auch der Aussenwelt signalisiert, wie sich der Stand der Sicherheitssysteme darstellt.
Die OECD Richtlinien
Die OECD ( Organisation für wirtschaftliche Zusammenarbeit und Entwicklung )
Die OECD – Richtlinien sollen die Aufmerksamkeit auf die Gefahr für Informationssysteme und Netzwerke lenken. Weiterhin sollen die Vorschriften, Anwendungen, Prozesse angesprochen werden, die auf diese Risiken ausgerichtet sind. Weiterhin soll die Notwendigkeit verdeutlicht werden, sich mit diesen Maßnahmen zu beschäftigen und diese zu implementieren. Die neun Regeln der Richtlinien beziehen sich auf alle regelnden und operativen Hierachien, die die Sicherheit der Informationssysteme und Netzwerke gewährleisten. ISO 27001 stellt einen ISMS – Rahmen zur Verfügung, der diese Regeln unter Nutzung des PDCA – Kreises und von Managementprozessen implementiert:
-Bewusstsein: Die Teilnehmer sollten sich der Notwendigkeit von Informations – und Netzwerksicherheit im Klaren sein. Ausserdem sollten sie sich darüber im Klaren sein, was sie für die Sicherheit dieser Systeme tun können.
-Verantwortung: Alle Teilnehmer sind für die Sicherheit der Informationssysteme und Netzwerke verantwortlich.
-Reaktion: Teilnehmer sollten zeitnah und kooperativ handeln, um Sicherheitsvorfällen vorzubeugen, Vorfälle zu entdecken, und auf Vorfälle zu reagieren.
-Risiko Audits: Die Teilnehmer sollten Risiko Audits durchführen.
-Sicherheitskonfiguration und -implementierung: Die Teilnehmer sollen Sicherheit als ein wesentliches Element der Informationssysteme und Netzwerke leben.
-Sicherheitsmanagement: Die Teilnehmer sollten einen umfassenden Ansatz für das Sicherheitsmanagement wählen.
-Neubewertung: Die Teilnehmer sollten die Sicherheit der Informationssysteme und – netzwerke überarbeiten und neu bewerten. Ausserdem sollten sie angemessene Modifizierungen der Sicherheitspolicies, Arbeitsabläufe, Maßnahmen und Prozesse durchführen.
-Es geht los: Wie auch immer der aktuelle Organisationsgrad Ihrer Organisation zu Zeit ist – der erste Schritt der Implementierung eines ISMS – System ist immer die Zustimmung und Unterstützung durch das Management. Motivation und Führung muss jetzt durch das Topmanagement geleistet werden. Das Management muss sich in dieser Phase aktiv engagieren und die Richtung für das ISMS – System angeben. Das System muss mit dem strategischen Ansatz der Organisation kompatibel sein. Ausserdem sollte das Management Schlüselbegriffe wie Policies und Ziele als Führungsinstrumente nutzen. Der Erfolg wird eintreten wenn das Management die Gründe für die Implementierung eines ISMS – Systems nachvollziehen kann und die Implementierung und den Betrieb voll und ganz unterstützt.

Die Planung,die den Erfolg sicherstellt

Wie bei jedem anderen Projekt auch, wird der Erfolg umso wahrscheinlicher, je realistischer und überlegter man vorgeht. Wichtig ist, die tatsächliche Performance mit den Planvorgaben abzugleichen und auf unvorhergesehene Ereignisse angemessen reagieren zu können. Der Plan sollte unter Berücksichtigung des Zeitfaktors und der knappen Resource erstellt werden. Das Top – Management sollte die erforderlichen Resourcen bereitstellen. Die Gesamtverantwortung liegt immer beim Top – Management und oft auch bei der IT – Abteilung. Allerdings hat die IT – Sicherheit einen durchaus weiteren Ansatz als nur IT – Systeme. Darüber hinaus berührt sie das Personal, die Sicherheit, physische Sicherheit und rechtliche Regelungen. Wenn in Ihrem Unternehmen bereits ein Qualitätsmanagementsystem vorhanden ist, dann kann man ISO 27001 mit der ISO 9001:2015 kombinieren und als Basis für das ISMS – System nutzen. Handelsorganisationen und Verbände, die die Zertifizierung bereits absolviert haben, können gute Quellen für Informationen und Erfahrungen sein. Man kann bei ihnen erfahren wie man am besten startet bzw. man kann seine Erfahrungen mit ihren abgleichen. Vielleicht möchten Sie auch erstmal einen LRQA Training besuchen? Dort können Sie mit anderen Teilnehmern oder Ihrem über IT – Sicherheit diskutieren.

Die Norm verstehen

Der erste Schritt sollte sein, sich mit der neuen Norm zu befassen. Man sollte die Kriterien, die es zu beachten gilt, nachvollziehen können. Auch die Struktur der Norm und die Struktur des eigenen zukünftigen ISMS – Systems und der dazu gehörigen Dokumentation sollte nachvollzogen worden sein. Die Norm weist zwei Teile auf:
-ISO 27002 selber ist keine Norm, sondern eine Handlungsanweisung, die Sicherheits – und Überwachsungsziele beschreibt, die man auswählen und implementieren kann, um bestimmte Risiken der IT – Sicherheit auszuschließen.
-ISO 27001 ist die Management System Norm, die die Anforderungen an die Zertifizierung des ISMS – System definiert. Diese Norm umfasst alle gemeinsamen Elemente eines Management Systems: Policy, Leadership, Planung, Betriebsablauf ( operations ), Management Review und Verbesserungswesen ( impovement ).
-Sie enthält ein Kapitel, das sich speziell mit der Identifizierung von Risiken des Informationssystems beschäftigt und einer Auswahl von passenden Kontrollmechanismen, die man mit der Norm abgleichen kann ( Annex A )

Was kommt als nächstes?

Es gibt zwei Hauptelemente in einem ISMS – System. Diese Hauptelemente können als zwei unterschiedliche Aktivitäten behandelt werden. ISO 27001 fordert die Implementierung eines ISMS – Systems, um die Sicherheitsanforderungen Ihres spezifischen Geschäfts zu identifizieren und zu dokumentieren. Die Norm fordert auch, dass die Managementprozesse definierte Vereinbarungen, Verantwortlichkeiten und Überprüfbarkeit beinhalten. D.h. Führung, Kontext, Management Review und Verbesserungswesen.

Management Prozesse

Diese Prozesse sind hinsichtlich der effektiven Implementierung eines ISMS – Systems als kritisch zu bezeichnen. Wenn Ihre Organisation bereits mit einem Qualitätsmanagementsystem wie der ISO 9001:2015 arbeitet, dann werden Ihnen diese Prozesse bekannt vorkommen. Wenn das der Fall ist, dann ist die Integration des Forderungskataloges des neuen ISMS – Systems in das vorhandene Management System, die ideale Vorgehensweise. Denn das stellt sicher, dass die Sicherheitsexpertise dort verfügbar ist, wann und wo sie gebraucht wird. Wenn Sie diese Prozesse zum ersten Mal implementieren, dann denken Sie bitte an die ganzheitliche Absicht dieser Managementsystemanforderungen. Stellen Sie sicher, dass das Topmanagement sich der Thematik annimmt, denn das Topmanagement hat die Verantwortung für die Effektivität des Management Systems und das ISMS soll von Ihm „betrieben“ werden. Adäquate Resources ( Personal, Ausrüstung, Zeit und Geld ) sollten in die Entwicklung, Implementierung und Überwachung des ISMS – Systems investiert werden. Ein internes Audit überprüft, ob das ISMS – Management System wie geplant funktioniert und auch Verbesserungsmöglichkeiten aufzeigt. Durch das Management Review hat das Top Management erstmals die Möglichkeit der Auditierung und kann feststellen wie gut das System funktioniert und wie es die Geschäftstätigkeit unterstützt. Vielleicht finden Sie es sinnvoll, diese Managementprozesse mit den Überwachungszielen in Annex A zu verbinden, denn viele dieser Überwachungsmechanismen komplettieren die Managementanforderungen der ISO 27001.
Definieren Sie den Umfang
Es ist sehr wichtig, dass Sie den logischen und geographischen Umfang des ISMS – Systems so genau bestimmen, dass die Grenzen und die Verantwortlichkeiten Ihres ISMS – Systems klar sichtbar werden. Der Umfang sollte die Personen, Räume und Informationen identifizieren, die von der Einführung des ISMS – Systems betroffen sind. Sobald Sie den Umfang definiert und dokumentiert haben, können Sie die betroffenen Informationsbereiche identifizieren. Dann können Sie ebenfalls ihren Wert und „Owner“ festlegen.

ISMS Vorschriften ( Policy )

Die Anforderungen, die sich auf die ISMS Vorschriften ( Policies ) beziehen, sind in beiden Normen ISO 27001 (5.2) und ISO 27002 vorhanden. Es gibt auch Referenzen, die die Policy betreffen, die sich in anderen Forderungen der ISO 27001 oder im Annex A befinden. Das wiederum liefert weitere Hinweise darauf, was die Policy beinhalten sollte. Zum Beispiel sollten die ISMS – Ziele mit den ISMS – Richtlinien ( Policy ) konsistent sein (6.2). Andere Richtlinien (Policies) werden erforderlich sein, um einige Überwachungsziele zu erreichen.

Risiko – Auditierung und Risikomanagement

Die Risiko – Auditierung ist das Fundament, auf dem jedes ISMS – System errichtet wurde. Es liefert den Focus für die Implementierung der Sicherheitsüberwachung und stellt sicher, dass sie dort angewendet werden, wo es am nötigsten ist. Außerdem müssen sie kosteneffizient sein und dürfen nicht dort angewendet werden, wo sie am wenigsten nützen. Die Risiko – Auditierung hilft die Antwort auf die Frage zu liefern: Wieviel Sicherheit brauchen wir? Eine der Hauptbetrachtungsweisen ist, dass man Risiko in einem positiven wie auch negativem Licht sehen kann. Risiko wird als Unsicherheit über Ziele definiert. Deswegen ist es sehr wichtig, dass man die Chancen, die sie nutzen wollen, ebenfalls betrachtet. Der Risiko – Audit umfasst alle „owners“ von Informationsbestände. Man wird ohne sie kein effektives Risiko-Audit durchführen können. Der erste Schritt ist es eine Risiko Audit – Methode festzulegen und zu dokumentieren. Es gibt passende Methoden, die meist computerbasiert sind, wie z.B. CRAMM. ISO 31000 enthält weitere Informationen darüber, wie man die richtige und passende Methode für die spezifische Struktur und Komplexität des eigenen Informationssystems findet. Der Risiko Auditierungsprozess umfasst die Identifizierung- und Bewertung der Informationsbestände. Die Bewertung muss nicht finanziell sein und kann auch Reputationsschäden und einen Kompromiss der regulierenden Vorschriften umfassen. ( das ist dann genau da, wo Ihr Kontext einen wichtigen Einfluss hat ) Dieser Prozess sollte alle Bedrohungen und Unsicherheiten umfassen und jede Chance, die mit den Informationsbeständen und deren Nutzung zu tun hat. Schließlich muss man die Höhe des Risikos festlegen und die entsprechenden Überwachungsmechanismen implementieren. Zum Beispiel ist die Bedrohung durch Verweigerung des Zugangs für ein industriell geprägtes Unternehmen in der Nähe eines petrochemischen Unternehmens wesentlich grösser als die gleiche Bedrohung für ein Büro in einem städtischen Büropark. Andersrum ist die Bedrohung von Kreditkartendatendiebstahl grösser als der Diebstahl von Produktionsdaten einer kleinen Engineeringfirma.

Risiko Behandlung

Das Risiko Audit identifiziert Risiko Levels, die dann mit dem akzeptierten Risikolevel der Sicherheitspolicy des Unternehmens abgeglichen werden müssen. Bei Risiken, die oberhalb des akzeptierten Risikolevels liegen, müssen angemessene Maßnahmen getroffen werden. Mögliche Maßnahmen wären hier zum Beispiel: Die Implementierung von Sicherheitskontrollen aus dem Annex A, die den Risikolevel auf ein akzeptables Niveau reduzieren. Der Risikiolevel sollte neu kalkuliert werden, um zu bestätigen, dass das Restrisiko unter dem akzeptablen Level ist. Die ausgewählten Überwachungsinstrumente werden in das „Statement of Applicabillity“ aufgenommen. Dieses enthält die Begründung für die Aufnahme oder den Ausschluss jedes Überwachungsinstruments. Außerdem zeigt es den Status an und ermöglicht die Nachvollziehbarkeit durch den Risiko Audit.

Das Risiko in Übereinstimmung mit der Management Policy und den Kriterien für Risiko Akzeptanz akzeptieren.

Es kann sein, dass es Fälle gibt, bei denen das Restrisiko trotz der eingeleiteten Maßnahmen höher als das akzeptable Risiko ist. In diesem Fall sollte das Restrisiko Teil des Risikoakzeptanzprozesses werden. Eine Aufzeichnung der „managements acceptance of risks“ sollte ebenfalls vorgehalten werden.

Das Risiko eliminieren, indem man die Sicherheitsumgebung ändert

Zum Beispiel, indem man sichere Anwendungen installiert, bei denen Schwachstellen, die man während des Datenverarbeitungsprozesses entdeckt hat, ausgemerzt sind; oder indem man physische Gegenstände in ein höheres Stockwerk transportiert, wenn zum Beispiel die Gefahr von Überschwemmungen droht. Solche Entscheidungen müssen geschäftliche und finanzielle Betrachtungen in Erwägung ziehen. Noch einmal – das Restrisiko sollte nochmal entsprechend den Risikovermeidungsmaßnahmen re- kalkuliert werden.

Verschiebung des Risikos durch Herausnahme einer angemessenen Versicherung oder Outsourcing des Managements von physischen Anlagen oder Businessprozessen.

Die Organisation, die das Risiko akzeptiert, sollte sich dessen bewusst sein und damit einverstanden sein, ihre Verpflichtungen zu erfüllen. Verträge mit Organisationen, die Leistungen outsourcen, sollten die spezifisch passenden Sicherheitsanforderungen erfüllen. Der Risikoplan wird dafür eingesetzt, die Risiken zu managen, indem man die geplanten und durchgeführten Maßnahmen identifiziert. Darüber hinaus sind die Zeitpläne für die Vervollständigung der ausstehenden Maßnahmen zu berücksichtigen. Die Planung sollte die Maßnahmen priorisieren und alle Verantwortlichkeiten und detaillierten Maßnahmenpläne enthalten.

Zertifizierung

Nicht alle Zertifizierungsunternehmen sind gleich. Wenn Sie mit einem Zertifizierungsunternehmen zusammenarbeiten, dann möchten Sie sichergehen, dass es durch eine nationale Akkreditierungsorganisation akkreditiert ist. Bei Lloyd´s ist das die UKAS ( United Kingdom Accreditation Service ). Besuchen Sie die Website ( www.ukas.com ), wenn Sie weitere Informationen über die Akkreditierung benötigen. Zertifizierung ist eine externe Bewertung Ihres Managementsystems. Sie bescheinigt, dass sie die Anforderungen der ISO 27001:2013- der internationalen Informationssicherheitsmanagement-Norm, gerecht werden. Die Wahl Ihrer Zertifizierungsgesellschaft wird ebenfalls eine Menge darüber aussagen, wie wichtig Sie Managementsysteme halten. Sie sollten eine Zertifizierungsgesellschaft auswählen, die Ihnen helfen kann Ihr Managementsystem so zu entwickeln, dass es sein ganzes Potential ausschöpfen kann. Alle LRQA – Auditoren durchlaufen einen rigorosen Auswahlprozess und Trainingsprogramm, dass von einem kontinuierlichen, permanenten persönlichen Entwicklungsplan begleitet wird. Das gibt Ihnen die Sicherheit, dass wenn Sie LRQA als Ihre Zertifizierungsgesellschaft auswählen, Sie die Sicherheit haben, einen gründlichen aber auch fairen Zertifizierungsprozess zu durchlaufen. Darüber hinaus unterstützen Sie damit den fortlaufenden Entwicklungsprozess Ihres Managementssystems. Darüber hinaus, da die LRQA Marke weltweit anerkannt ist, wird Ihre LRQA – Zertifizierung dafür sorgen, dass Einkäufer weltweit Vertrauen in Ihre ISO 27001 Zertifizierung und Ihr Managementsystem haben werden.

Warum sollte man LRQA wählen?

LRQA kann Sie bei der Verbesserung Ihrer Systeme und dem Management von Risiken unterstützen. LRQA hilft Ihnen Ihre jetzige und zukünftige Leistung der Organisation zu verbessern. Durch das Verständnis was wichtig für Ihre Organisation und Ihre Stakeholders ist, helfen wir Ihnen Ihr Managementsystem und Ihr Business zum selben Zeitpunkt zu verbessern.

Gedankliche Führung

Unsere Experten sind anerkannte Stimmen in der Industrie und nehmen regelmässig an Sitzungen technischer Kommitees teil, die Normen verbessern und entwickeln.

Technische Expertise

Das technische know – how und die Projektmanagement Expertise unserer weltweit anerkannten und hochausgebildeten ISMS – Experten stellt sicher, dass unsere Dienstleistungen an Ihre Geschäftsanforderungen anpassen.
Wir verbinden internationale Expertise, tiefe Einsicht in die Informationssicherheit mit“ first Class“ Projektmanagement – und Kommunikationsfähigkeit. Wir sind keine Aktiengesellschaft und daher unabhängig und unteilbar in Allem was wir tun. Wir sind dazu verpflichtet, zu jeder Zeit, integer und objektiv zu handeln. Weitere Informationen erhalten Sie unter Carl.Ebelshaeuser@lrqa.com oder +49 (0)221 96757700 oder http://www.lrqa.de/kontakt-und-info/anfrage-an-lrqa.aspx

Lloyd´s Register Deutschland GmbH ( http://www.lrqa.de ) wurde 1985 gegründet und ist eine der international führenden Gesellschaften für die Auditierung von Managementsystemen und Risikomanagement. LRQA bietet Schulungen und Zertifizierung von Managementsystemen mit Schwerpunkten in folgenden Bereichen: Qualität, Umweltschutz, Arbeitssicherheit, Energiemanagement, Auditierung von Lieferketten. Mit mehr als 45 Akkreditierungen und Niederlassungen in 40 Ländern kann LRQA Auditierungen in 120 Ländern durchführen. Weltweit betreuen 2.500 Auditoren mehr als 45.000 Kunden. LRQA gehört zur Lloyd´s Register Gruppe. Lloyd“s Register wurde 1760 als erste Gesellschaft zur Schiffsklassifizierung gegründet und bietet heute Dienstleistungen im Bereich Risikomanagement. Die Lloyd´s Register Gruppe ist ein gemeinnütziges Unternehmen gemäß englischem Charity-Recht, d.h. die Gewinne werden für eine gemeinnützige Stiftung verwendet bzw. wieder direkt ins Unternehmen investiert. Hierdurch ist LRQA wirtschaftlich unabhängig. Weiter Information erhalten Sie durch info@lrqa.de oder 0221- 96757700. Den LRQA-Newsletter erhalten Sie unter: http://www.lrqa.de/kontakt-und-info/news-abonnieren.aspx Weitere Infos unter: http://www.lrqa.de/standards-und-richtlinien/angebot-anfordern.aspx

Kontakt
Lloyd´s Register Deutschland GmbH
Carl Ebelshäuser
Adolf Grimme Allee 3
50829 Köln
+49 (0)221 96757700
info@lrqa.de
http://www.lrqa.de

Permanentlink zu diesem Beitrag: https://pflumm.de/warum-ist-die-iso-27001-gut-fuer-sie/

9.Stuttgarter Sicherheitskongress

18.Juli 2017 – Industrie – und Handelskammer Stuttgart

9.Stuttgarter Sicherheitskongress

18.07.2017 – 09:30 Uhr bis 16:00 Uhr – Industrie – und Handelskammer Stuttgart

Veranstaltungsdetails
Die Bedrohungslagen für Unternehmen und ganze Wirtschaftsstandorte haben sich in den letzten Jahren in Hinsicht auf Häufigkeit, Ausmaß und Grad der Existenzgefährdung dramatisch verändert.

Mit der Klimaerwärmung einhergehende Phänomene wie Starkregen, Hagel oder Wirbelstürme sind längst keine Einzelfälle mehr. Das Erliegen des öffentlichen Lebens aufgrund von Terrorlagen, ist mittlerweile auch in Deutschland bittere Realität geworden und die Sabotage beispielsweise von Energie- oder Wasserversorgung sind keine abstrakten Planspiele mehr. Wie verwundbar eine global vernetzte Wirtschaft geworden ist, hat uns jüngst die groß angelegte Cyberattacke im Mai 2017 gezeigt.

Bei entsprechenden Krisensituationen Schaden abzuwenden und den Fortbestand eines Unternehmens oder gar eines ganzen Wirtschaftsstandortes zu sichern, ist angesichts der Größe und Komplexität der Lage eine ganz besondere Herausforderung. Ein zentraler Punkt hierbei ist der Schutz der sogenannten „Kritischen Infrastrukturen“.

Schnell wird klar, dass nur im Zusammenspiel aller relevanten Akteure, wie Behörden, Institutionen, Verbänden und Unternehmen ein wirksamer Schutz gelingen kann.

Die Veranstaltung ist kostenfrei.

Veranstalter
IHK Region Stuttgart
Jägerstraße 30
70174 Stuttgart
0711 2005-1306
0711 2005-1383 (Fax)
zvm@stuttgart.ihk.de

Kontakt
Holger Triebsch
0711 2005-1328
0711 2005-1429 (Fax)
zvm-online@stuttgart.ihk.de

Lloyd´s Register Deutschland GmbH , www.lrqa.de, ( LRQA ) wird vor Ort sein und freut sich auf Ihr Kommen. Bei Fragen im Vorfeld an Lloyd´s Register wenden Sie sich bitte an : Carl.Ebelshaeuser@lrqa.com oder +49 (0)221 96757700

Lloyd´s Register Deutschland GmbH ( http://www.lrqa.de ) wurde 1985 gegründet und ist eine der international führenden Gesellschaften für die Auditierung von Managementsystemen und Risikomanagement. LRQA bietet Schulungen und Zertifizierung von Managementsystemen mit Schwerpunkten in folgenden Bereichen: Qualität, Umweltschutz, Arbeitssicherheit, Energiemanagement, Auditierung von Lieferketten. Mit mehr als 45 Akkreditierungen und Niederlassungen in 40 Ländern kann LRQA Auditierungen in 120 Ländern durchführen. Weltweit betreuen 2.500 Auditoren mehr als 45.000 Kunden. LRQA gehört zur Lloyd´s Register Gruppe. Lloyd“s Register wurde 1760 als erste Gesellschaft zur Schiffsklassifizierung gegründet und bietet heute Dienstleistungen im Bereich Risikomanagement. Die Lloyd´s Register Gruppe ist ein gemeinnütziges Unternehmen gemäß englischem Charity-Recht, d.h. die Gewinne werden für eine gemeinnützige Stiftung verwendet bzw. wieder direkt ins Unternehmen investiert. Hierdurch ist LRQA wirtschaftlich unabhängig. Weiter Information erhalten Sie durch info@lrqa.de oder 0221- 96757700. Den LRQA-Newsletter erhalten Sie unter: http://www.lrqa.de/kontakt-und-info/news-abonnieren.aspx Weitere Infos unter: http://www.lrqa.de/standards-und-richtlinien/angebot-anfordern.aspx

Kontakt
Lloyd´s Register Deutschland GmbH
Carl Ebelshäuser
Adolf Grimme Allee 3
50829 Köln
+49 (0)221 96757700
info@lrqa.de
http://www.lrqa.de

Permanentlink zu diesem Beitrag: https://pflumm.de/9-stuttgarter-sicherheitskongress/

ISO 27001 und die Einführung eines ISMS

Die Einführung eines Information Security Management Systems (ISMS) ist eine wichtige Voraussetzung für die Zertifizierung nach ISO/IEC 27001. Ein praxisnahes Seminar der IBS-Akademie vermittelt dazu die notwendigen Kenntnisse.

ISO 27001 und die Einführung eines ISMS

Praxisseminar zur ISO 27001 und der Einführung eines ISMS

Hamburg, 27. April 2017 – Die IBS Schreiber GmbH, ein führender Anbieter von Beratung, Schulung und Software für die Prüfung und Auditierung von SAP-Systemen, unterstützt Unternehmen bei der Einführung eines ISMS und der Zertifizierung nach ISO 27001. Im Rahmen eines praxisnahen Seminars erfolgt eine fundierte Einführung in die Anforderungen, außerdem werden zahlreiche Best-Practice-Tipps vermittelt und Hinweise zur Durchführung einer eigenständigen Risikoanalyse gegeben.

ISMS – Informationssicherheit als ganzheitlicher Ansatz

Die Informationssicherheit hat nicht nur den Schutz von Daten in IT-Systemen zum Ziel, sondern die Sicherheit aller Informationen, also auch Informationen, die beispielsweise nur auf Papier oder nur im Kopf eines Mitarbeiters gespeichert sind. Die Grundwerte der Informationssicherheit sind dabei die Verfügbarkeit, die Vertraulichkeit und die Integrität der Informationen.

Durch die Einführung eines Information Security Management Systems (ISMS) wird die Informationssicherheit im Unternehmen dauerhaft definiert, kontrolliert, aufrechterhalten und fortlaufend verbessert. Zu diesem Zweck beinhaltet ein ISMS eine Aufstellung von Verfahren und Regeln, an denen sich das Unternehmen auszurichten hat. Die Norm ISO/IEC 27001 spezifiziert die Anforderungen an ein ISMS. Sie betrachtet die Herstellung, den Betrieb, die Überwachung, die Wartung und die Verbesserung des ISMS.

Umsetzung der ISO 27001 und Risikomanagement zentrale Themen

Die Teilnehmer erlernen in diesem Seminar, wie ein ISMS nach ISO 27001 für ihr Unternehmen aufgebaut sein sollte und wie sie es prüfen und bewerten können. Dazu werden nicht nur Hintergründe der Informationssicherheit beleuchtet und die Struktur, Ziele und Anwendungsbereiche der Normenreiche 2700x, insbesondere der ISO/IEC 27001:2013, erläutert, sondern auch der Zweck und die Einführung eines ISMS anhand von Best-Practice-Beispielen dargestellt. Praxisnahe Tipps zur Organisation der Informationssicherheit und der Formulierung von Policies (Richtlinien) und Prozessen im ISMS sowie Einblick in die Kombination mit einem Business Continuity Management runden diesen Teil des Seminars ab.

Einen weiteren Schwerpunkt bildet Information Security Risk Management. Nach einer Einführung in das Risikomanagement werden insbesondere die Anforderungen an und Best Practices für das IS-Risikomanagement gemäß ISO/IEC 27001:2013 und anderen Vorgaben besprochen. Dabei wird der Risikomanagement-Prozess (Asset-Inventarisierung, Schutzbedarf, Gefährdungen, Risiko, Maßnahmen) behandelt und ein Best-Practice-Vorgehen für Information Security Risiko-Assessments vorgestellt. Viele Fallbeispiele aus der Praxis machen das Seminar besonders wertvoll für die Teilnehmer.

Das zweitägige Seminar findet am 8. und 9. Juni in der IBS-Akademie in Hamburg statt. Als Referenten konnten mit Alexander Clemm und Matthias Wehrhahn zwei ausgewiesene Experten für ISMS-Projekte gewonnen werden. Herr Alexander Clemm hat als Prüfungsleiter bei Ebner Stolz langjährige Erfahrung im Bereich der Durchführung und Leitung von zahlreichen IT-Compliance-Prüfungen (CISA). Zudem führt er als zertifizierter ISO 27001 Lead Auditor und zertifizierter IT-Sicherheitsmanager (CISM) IT-Risikoanalysen und ISMS-Implementierungen durch. Darüber hinaus kann Herr Clemm als zertifizierter ISO 22301 Lead Auditor auf erfolgreiche Implementierungsprojekte im Bereich Business Continuity Management zurückblicken. Herr Matthias Wehrhahn ist Consultant im Bereich der Informationssicherheit bei der Veritas Management Group GmbH & Co. KG. Als CISA und zertifizierter ISO 27001 Lead Auditor führt er unter anderem ISO 27001 und IT-Grundschutz Implementierungen durch. Zudem ist er als Berater im Bereich von Internen Kontrollsystemen und der Prozessoptimierung tätig.

„Die Einführung eines ISMS ist ein wichtiger Meilenstein für jedes Unternehmen, umso mehr im Zuge der unaufhaltsamen Digitalisierung. Legislative Änderungen erfordern zudem in zunehmendem Maße Zertifizierungen nach ISO/IEC 27001. Mit unserem Seminar können Unternehmen eine solide Basis für eine entsprechende Initiative im eigenen Haus legen und von unserem Praxiswissen profitieren“, sagt Alexander Clemm, Referent der IBS-Akademie und Prüfungsleiter bei Ebner Stolz.

„Die Zertifizierung nach ISO 27001 kristallisiert sich immer mehr zu einem wichtigen Qualitäts- und Differenzierungsmerkmal für Unternehmen heraus“, ergänzt Sebastian Schreiber, Geschäftsführer von IBS Schreiber.

Eine detaillierte Beschreibung des Seminars findet sich auf der Website unter:
https://www.ibs-schreiber.de/akademie/seminare/iso-27001-und-einfuehrung-eines-isms/

Das Akademieprogramm von IBS Schreiber bietet zudem mehr als einhundert Seminarthemen für Prüfung, Revision und Sicherheit von IT- und SAP®-Systemen: https://www.ibs-schreiber.de/akademie/

Über IBS Schreiber und CheckAud® for SAP® Systems
Die 1979 gegründete IBS Schreiber GmbH bietet ein einzigartiges Service- und Produktangebot für IT- und speziell SAP-Sicherheit, Datenschutz und Data Sciences an. Dabei kombiniert IBS Beratungs-, Prüfungs- und Serviceleistungen mit der Entwicklung spezieller Prüfsoftware und einem umfassenden Weiterbildungsangebot. Durch die Kombination von technischem, organisatorischem und fachlichem Know-how kann IBS alle Aspekte einer fundierten Governance, Risk & Compliance-Strategie (GRC) und IT-Sicherheitskonzeption aus einer Hand planen, prüfen und umsetzen.
Im Service- und Prüfungsgeschäft gehört das Unternehmen zu den führenden Experten für gesetzeskonforme und Compliance-gerechte Sicherheitskonzepte mit speziellem Fokus auf das Berechtigungsmanagement. IBS prüft IT- und SAP-Systeme auf ihre technische Sicherheit sowie die gesetzes- und regelkonforme Umsetzung von Berechtigungen, Zugriffsrechten und Prozessen. IBS bietet Datenschutz als Prüfungspaket, Beratung oder steht auch als externer Datenschutzbeauftragter zur Verfügung, mit langjähriger Erfahrung in der organisatorischen und technischen Beratung, Prüfung und Softwareerstellung. Als externer IT-Sicherheitsbeauftragter (ITSiBe) kann IBS seine Kunden in diesem speziellen Know-how auch operativ entlasten.
Mit mehr als einhundert Seminarthemen und vier jährlichen Fachkonferenzen ist IBS einer der größten und erfolgreichsten Anbieter von Schulungen, Seminaren und anderen Weiterbildungsformen für IT-Sicherheit, SAP-Sicherheit, Revision, Datenschutz und Datenanalyse im deutschsprachigen Raum. Durch die Synergien mit dem Prüfungs- und Beratungsgeschäft zeichnen sich die Veranstaltungen durch besonders hohe Praxisnähe und Anschaulichkeit aus. Mit dem Fachjournal Revisionspraxis PRev fördert IBS den Erfahrungsaustausch zwischen Revisoren, Wirtschaftsprüfern, IT-Sicherheits- und Datenschutzbeauftragten.
Zu den Kunden der IBS im Service- und Prüfungsgeschäft gehören u.a. das Technologieunternehmen Basler, Beiersdorf, die Ergo-Gruppe sowie die Schweizer Post. Weitere Informationen zum Unternehmen IBS Schreiber und dem Service- und Schulungsangebot unter www.ibs-schreiber.de
Die GRC-Software CheckAud® for SAP® Systems ist ein professionelles Werkzeug zur umfassenden, effizienten und effektiven Prüfung von komplexen Zugriffsberechtigungen in SAP®-Systemen. Einzigartig ist der in der Software enthaltene ausgedehnte Katalog von mehreren Hundert vorkonfigurierten Prüfungen, für die IBS auch einen Aktualisierungsservice anbietet, der sowohl Veränderungen durch SAP®-seitige-Updates als auch durch geänderte gesetzliche Anforderungen umfasst.
Zu den Nutzern von CheckAud® for SAP® Systems gehören u.a. die ARAG Versicherung, die Berliner Wasserbetriebe, Emil Frey, Knauf, MVV Energie und die Universität Graz. Weitere Informationen zum Produkt CheckAud® for SAP® Systems unter www.checkaud.de

Firmenkontakt
IBS Schreiber GmbH
Lisa Niekamp
Zirkusweg 1
D-20359 Hamburg
+49 40 696985-68
lisa.niekamp@ibs-schreiber.de
http://www.ibs-schreiber.de

Pressekontakt
bloodsugarmagic GmbH & Co. KG
Bernd Hoeck
Gerberstr. 63
78050 Villingen-Schwenningen
0049 7721 9461 220
bernd.hoeck@bloodsugarmagic.com
http://www.bloodsugarmagic.com

Permanentlink zu diesem Beitrag: https://pflumm.de/iso-27001-und-die-einfuehrung-eines-isms/

Aon Hewitt: Erfolgreiche Zertifizierung nach ISO 27001

Optimale Sicherheit für Kundendaten

Als eines der ersten Unternehmen der Branche wurde Aon Hewitt nach der internationalen Norm ISO 27001 Informationssicherheit zertifiziert. Der TÜV Rheinland hat die Bereiche Retirement, Pension Administration und Business Technology an den Standorten Hamburg und Mülheim/Ruhr unter die Lupe genommen und mit dem Prüfsiegel versehen. Um den ISO-Anforderungen zu entsprechen war ein monatelanger Vorbereitungsprozess im Unternehmen erforderlich. Mit der Zertifizierung verfügt Aon Hewitt nachweislich über ein Managementsystem, das Sicherheit und Integrität der Daten auf hohem Niveau gewährleistet.

Aon Hewitt verarbeitet für zahlreiche Unternehmen und in großem Umfang vertrauliche und personenbezogene Daten im Rahmen der betrieblichen Altersversorgung. Vor allem werden versicherungsmathematische Gutachten erstellt und Verwaltungsaufgaben übernommen. Auf diese Unternehmen kommen erhöhte Anforderungen zu, etwa durch die neue Europäische Datenschutzgrundverordnung. Sie wird 2018 in Kraft treten und verpflichtet unter anderem dazu, die Lieferantenkette auf Informationssicherheit zu überprüfen. Durch die Zertifizierung erfüllt Aon Hewitt schon heute die entsprechenden Anforderungen, Kunden müssen keine weiteren Nachweise führen.

„Die Verwaltungsaufgaben in der bAV haben in den letzten Jahren deutlich zugenommen. Immer mehr Unternehmen prüfen, ob sich ein Outsourcing an einen externen Spezialisten anbietet“, erläutert Aon Hewitt-Geschäftsführer Fred Marchlewski. „Deshalb sind wir bewusst sehr früh den Weg der Zertifizierung gegangen, um unsere Kunden nicht nur bei der Verwaltung zu entlasten, sondern auch bei den organisatorischen Anforderungen. Das Projekt wurde bereits 2015 gestartet und hat mit der Zertifizierung einem erfolgreichen Abschluss gefunden“, so Marchlewski.

Das zertifizierte System zum Management der Informationssicherheit wird jährlich überprüft. Alle drei Jahre wird der gesamte Prozess wiederholt. „Informationssicherheit ist eine ständige Aufgabe, die immer wieder Anpassungen an neue Technologien und Arbeitsweisen erfordert. Da werden wir immer ganz vorne dabei sein“, stellt Maik Kohlbus, Director Business Technology bei Aon Hewitt und federführend im Zertifizierungsprojekt, abschließend fest.

Über Aon Hewitt
Aon Hewitt ist weltweit einer der führenden Berater und Dienstleister im Bereich Human Resources. Das Unternehmen ermöglicht Kunden eine bessere Sicherung ihrer Zukunftsfähigkeit durch vielfältige und umfassende Vorsorge-, Talent- und Gesundheitslösungen. In Deutschland wird ein breites Spektrum an Lösungen mit den Schwerpunkten Betriebliche Altersversorgung, Vergütung und Talentmanagement angeboten. Weltweit ist Aon Hewitt mit fast 34.000 Mitarbeitern in 90 Ländern vertreten. In Deutschland arbeiten etwa 450 Mitarbeiter an den Standorten Hamburg, Mülheim an der Ruhr, München, Stuttgart, Wiesbaden. Weitere Informationen zu Aon Hewitt finden Sie unter www.aonhewitt.de

Über Aon
Aon ist ein führender globaler Anbieter für Risikomanagement, Versicherungs- und Rückversicherungsmakler sowie Berater und Dienstleister für Human Resources Lösungen und Outsourcing-Services. Weltweit arbeiten für Aon mehr als 72.000 Mitarbeiter in über 120 Ländern. Weitere Informationen zu Aon finden Sie unter www.aon.com
Unter www.aon.com/manutd können Sie sich zudem über die globale Partnerschaft zwischen Aon und Manchester United informieren.

Firmenkontakt
Aon Hewitt GmbH
Viola Mueller-Thuns
Luxemburger Allee 4
45481 Mülheim a.d. Ruhr
+49 208 70062620
pressegermany@aonhewitt.com
http://www.aonhewitt.com

Pressekontakt
ECCO Düsseldorf/EC Public Relations GmbH
Lutz Cleffmann
Heinrichstr. 73
40239 Düsseldorf
0211 23944921
lutz.cleffmann@ecco-duesseldorf.de
http://www.ecco-duesseldorf.de

Permanentlink zu diesem Beitrag: https://pflumm.de/aon-hewitt-erfolgreiche-zertifizierung-nach-iso-27001/

Permanentlink zu diesem Beitrag: https://pflumm.de/m-files-konform-mit-gobd-und-iso-27001/

Typische Stolpersteine in ISMS-Projekten

Praxisbewährte Tipps der TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA für den Aufbau eines Informationssicherheits-Managementsystems

In immer mehr Unternehmen steht der Aufbau eines Informationssicherheits-Managementsystems nach der internationalen Norm ISO 27001 ganz vorne auf der strategischen Agenda. Das IT-Sicherheitsgesetz und neue regulative Anforderungen in verschiedenen Branchen unterstützen diese Entwicklung zusätzlich. Allerdings gestalten sich viele ISMS-Projekte schwieriger als erwartet, was nach den Erkenntnissen der TÜV TRUST IT häufig ähnliche Ursachen hat. Deshalb hat die TÜV TRUST IT typische Stolpersteine zusammengestellt.

1. Kein Management Commitment: Nur wenn sich das Top-Management als Befürworter eines ISMS bekennt, kann ein ISMS intern die notwendige und nachhaltige Bedeutung erlangen. Deshalb muss die Geschäftsleitung nicht nur von Beginn an in die Planung einbezogen werden, sondern das Projekt in seinen verschiedenen Etappen auch aktiv begleiten.

2.Unternehmens- und Sicherheitsziele nicht aufeinander abgestimmt: Die Einführung eines ISMS erfolgt nicht in einem freien Raum, sondern muss die spezifischen Sicherheitsanforderungen des Unternehmens abbilden. Demzufolge gilt es zu Beginn die Frage zu klären, welche Unternehmensziele verfolgt werden. Denn daraus leiten sich die konkreten Sicherheitsziele ab, die dann den maßgeblichen Rahmen für den Aufbau des ISMS bilden. Dieser Zusammenhang klingt fast zu logisch, als dass er unbedingt betont werden müsste. Tatsächlich jedoch sieht die Praxis anders aus und viele Projektprobleme haben ihren Ursprung in einer unzureichenden Zielbestimmung.

3. Der ISMS-Scope ist unklar definiert: Der Umfang des Managementsystems leitet sich daraus ab, welche Informationen und Werte eines Unternehmens geschützt werden müssen. Dabei sind nicht nur die an dem oder den Firmenstandorten gespeicherten Daten relevant, sondern ebenso solche, die sich beispielsweise in der Cloud befinden.

Oft werden die Geltungsbereiche von ISMS nach den Erfahrungen der TÜV TRUST IT auch im Vorhinein zu groß gewählt. Die daraus resultierenden Probleme sind vor allem unnötig lange Projektzeiten mit entsprechend höheren Kosten und ein schleichender Motivationsverlust durch fehlende Teilerfolge.

4. Bestandsaufnahme und GAP-Analyse sind nicht präzise genug: Auch Unternehmen ohne ISMS haben typischerweise bereits eine Reihe von Sicherheitsmaßnahmen umgesetzt. In einer differenzierten IST-Aufnahme in Bezug auf das ISMS werden diejenigen Bereiche identifiziert, die für eine Zertifizierung gemäß ISO/IEC 27001 unzureichend aufgestellt sind. Somit wird das Unternehmen darüber in die Lage versetzt, sowohl die notwendigen Aufwände und Kosten abzuschätzen, als auch den benötigten Zeitraum für die erforderlichen Optimierungen ermitteln zu können. Erfolgen diese Bestandsaufnahmen nicht angemessen genug, kann dies dazu führen, dass der Projektstart auf falschen Annahmen basiert und somit zu verfälschten Ergebnissen führt.

5. Keine passende Methodik für das Management von Informationssicherheitsrisiken: Das Management von Informationssicherheitsrisiken ist ein elementarer Bestandteil des ISMS. Es gilt hierfür eine angemessene Methodik zu entwickeln und diese umzusetzen. Ist diese nicht korrekt formuliert, werden potentielle Risiken ggf. nicht erkannt und Maßnahmen nicht angemessen genug umgesetzt, um die Informationssicherheit der zu schützenden Werte des Unternehmens sicherzustellen.

6. Es fehlt an fachlich passenden Ressourcen: Oft werden Mitarbeitern im Rahmen der ISMS-Einführung Aufgaben zugeordnet, ohne die Mehrbelastung und auch fachliche Qualifikation für diese Personen zu berücksichtigen. Doch wer keine Zeit hat, wird diese Rollen nicht in der erforderlichen Weise ausfüllen können. Dies bedeutet, dass nicht nur die personellen Verantwortlichkeiten innerhalb der ISMS-Prozesse definiert werden müssen, sondern dass sie durch eine realistische Ressourcenplanung und auch Ausbildung ergänzt werden müssen.

7. Zu granulare Maßnahmenumsetzung: Für die Umsetzung vom Sicherheitsmaßnahmen dient der Anhang A der Norm. Dieser bietet insgesamt 114 Referenzmaßnahmen aus verschiedenen Bereichen. Unternehmen sollten diese innerhalb des Risikomanagements auswählen und angemessen umsetzen. Wer einen Anspruch hat, sämtliche Maßnahmen zu 100 % umzusetzen, wird sich sehr schnell im Detail verlieren. Es gilt, alle Maßnahmen immer im Rahmen einer angemessenen Umsetzungstiefe zu definieren.

8. Zu aufwändige Dokumentation: Ein zu aufwändiges Dokumentenmanagement belastet die administrativen Ressourcen unnötig stark. Besser ist es, auf bestehende Vorlagen zurückzugreifen, wie sie etwa das ISMS-Framework der TÜV TRUST IT bietet. Es enthält sämtliche für den Aufbau und Betrieb eines ISMS notwendigen Dokumentenvorlagen sowie darüberhinausgehende Formulare und Tools, die als Nachweis der Wirksamkeit eingesetzt werden können. Außerdem sind inhaltliche Strukturvorgaben für Nachweisdokumente des Annex A sowie ein Benutzerleitfaden zum Aufbau von Dokumenteninhalten enthalten.

9. Es wird auf Awareness-Programme verzichtet: Das Informationssicherheits-Managementsystem funktioniert letztlich nur so gut, wie es von allen Prozessbeteiligten akzeptiert und gelebt wird. Insofern sind Awareness-Maßnahmen notwendig, die der aktiven Mitwirkung dienen. Wikis und andere Aktivitäten können zum internen ISMS-Marketing gehören. Zu den Adressaten gehören aber nicht nur die Mitarbeiter, sondern auch die Führungskräfte in den Fachabteilungen als Multiplikatoren.

10. Unzureichende Kennzahlen: Die Wirksamkeit des ISMS muss mit geeigneten Kennzahlen gemessen werden. Wer dieses Thema jedoch als nebensächlich bewertet, wird erfahrungsgemäß unzureichende oder gar falsche Kennzahlen nutzen. Und dies führt zu der Konsequenz, dass falsche Sicherheitsmaßnahmen beschlossen werden, was wiederum einen kontinuierlichen Verbesserungsprozess verhindert, der zu den Grundgedanken der ISO/IEC 27001:2013 gehört. Der notwendige kontinuierliche Verbesserungsprozess ist gleichzeitig auch ein Hinweis darauf, dass der Aufbau eines ISMS kein Projekt mit definiertem Ende ist, sondern einen Prozess mit kontinuierlichem Optimierungsbedarf darstellt.

Über:

TÜV TRUST IT GmbH
Frau Christina Münchhausen
Waltherstraße 49-51
51069 Köln
Deutschland

fon ..: +49 )0)221 96 97 89 – 0
fax ..: +49 )0)221 96 97 89 – 12
web ..: http://www.it-tuv.com
email : info@it-tuv.com

Die TÜV TRUST IT GmbH ist bereits seit vielen Jahren erfolgreich als IT-TÜV tätig und gehört zur Unternehmensgruppe TÜV AUSTRIA. Von ihren Standorten Köln und Wien aus fungiert das Unternehmen als der neutrale, objektive und unabhängige Partner der Wirtschaft. Im Vordergrund stehen dabei die Identifizierung und Bewertung von IT-Risiken. Die Leistungen konzentrieren sich auf die Bereiche Management der Informationssicherheit, Mobile Security, Cloud Security, Sicherheit von Systemen, Applikationen und Rechenzentren, IT-Risikomanagement und IT-Compliance.

Pressekontakt:

denkfabrik groupcom GmbH
Herr Wilfried Heinrich
Pastoratstraße 6
50354 Hürth

fon ..: 02233 / 6117 – 72
web ..: http://www.denkfabrik-group.com
email : wilfried.heinrich@denkfabrik-group.com

Permanentlink zu diesem Beitrag: https://pflumm.de/typische-stolpersteine-in-isms-projekten/

Arvato Financial Solutions erhält ISO-Zertifizierung für geprüfte Informationssicherheit

Arvato Financial Solutions erhält ISO-Zertifizierung für geprüfte Informationssicherheit

Arvato Financial Solutions – einem führenden global tätigen Finanzdienstleister – wurde kürzlich durch ein unabhängiges Audit attestiert, dass das Managementsystem zur Informationssicherheit die Anforderungen der internationalen Norm ISO 27001 erfüllt. Damit dokumentiert das Unternehmen die hohe Qualität und Sicherheit beim sorgsamen Umgang mit Informationen.

In einem strengen Audit prüfte die „Deutsche Gesellschaft zur Zertifizierung von Managementsystemen“ (DQS) bei Arvato Financial Solutions, ob das Informationssicherheits-Managementsystem (ISMS) den Anforderungen der ISO-Norm entspricht. Die Auditoren führten vor Ort eingehende Interviews und prüften u.a. die Dokumentation. Dabei spielen Punkte wie der Umgang mit vertraulichen Dokumenten, Sensibilisierungsmaßnahmen gegenüber den Mitarbeitern und die Absicherung von IT-Systemen eine Rolle.

Michael Rautert, Director Standards & Compliance (Information Security) bei Arvato Financial Solutions, erklärt: „Die Zertifizierung nach ISO 27001 bestätigt unser Verständnis vom sorgsamen und professionellen Umgang mit Kundendaten sowie betrieblichen Informationen. Wir stellen fest, dass die Anforderungen von Kunden, vom Gesetzgeber sowie durch den technischen Fortschritt fortlaufend steigen. Diese Zertifizierung stärkt das Vertrauen auf Seiten unserer Kunden und verbessert unsere Position gegenüber den Marktbegleitern. Dank der exzellenten Arbeit der beteiligten Kollegen ist Arvato Financial Solutions in Sachen Informationssicherheit hervorragend aufgestellt.“

Die aktuellen Themen wie Internationalisierung und neue Technologien erfordern verstärkt eine unabhängige Zertifizierung, um Kunden die notwendige Sicherheit zu signalisieren. Die Norm ISO 27001 als internationaler Standard zum Management von Informationssicherheit ist dafür eine sehr gute Referenz. Die Zertifizierung bei AFS wird nun jährlich von der DQS überprüft. Dies gewährleistet ein gleichbleibendes hohes Niveau an Informationssicherheit. Die professionell gemanagte Informationssicherheit unterstützt Arvato Financial Solutions auch auf seinem Wachstumskurs.

Arvato Financial Solutions ist ein global tätiger Finanzdienstleister und als Tochterunternehmen von Arvato zur Bertelsmann SE & Co. KGaA zugehörig.

Rund 7.000 Mitarbeiterinnen und Mitarbeiter bieten in 22 Ländern mit starker Präsenz in Europa, Amerika und Asien flexible Komplettlösungen für ein effizientes, internationales Management von Kundenbeziehungen und Zahlungsflüssen. Arvato Financial Solutions steht für professionelle Outsourcing-Dienstleistungen (Finance BPO) rund um den Zahlungsfluss in allen Phasen des Kundenlebenszyklus – vom Risikomanagement über Rechnungsstellung, Debitorenmanagement, Verkauf von Forderungen und bis zum Inkasso. Dabei steht die Minimierung von Ausfallquoten in der Geschäftsanbahnung und während des Beitreibungsprozesses im Fokus. Zu den Leistungen gehört deshalb auch die Optimierung der Zahlartenauswahl über Ländergrenzen hinweg.

Als Financial Solutions Provider betreut das Unternehmen fast 10.000 Kunden, u. a. aus den Schwerpunktbranchen Handel/E-Commerce, Telekommunikation, Versicherungen, Kreditwirtschaft und Gesundheit und ist damit Europas Nummer 3 unter den integrierten Finanzdienstleistern.

Kontakt
Arvato infoscore GmbH
Nicole Schieler
Rheinstraße 99
76532 Baden-Baden
+49/(0)7221/5040-1130
presse.afs@arvato.com
http://finance.arvato.com

Permanentlink zu diesem Beitrag: https://pflumm.de/arvato-financial-solutions-erhaelt-iso-zertifizierung-fuer-gepruefte-informationssicherheit/

Datenschutz und IT-Sicherheit halten Einzug beim Smart Metering – Energieversorger müssen sich für die strengen Anforderungen rüsten

Datenschutz und IT-Sicherheit halten Einzug beim Smart Metering - Energieversorger müssen sich für die strengen Anforderungen rüsten

Smart Meter in Deutschland kommen. Die intelligente Mess- und Zähltechnik der Zukunft stellt Energieversorger jedoch vor große Herausforderungen. Sie müssen nachweisen, dass der Datenaustausch im Rahmen des Smart Meterings strengen Sicherheitsanforderungen genügt. So schreibt es das Anfang September in Kraft getretene Gesetz zur Digitalisierung der Energiewende vor. Energieversorger müssen sich demnach auf die strengen Anforderungen, die an IT, Sicherheitsstrukturen und Personal gestellt werden, vorbereiten.

Alle Energieversorgungsunternehmen müssen ab 2017 klassische Energiezähler durch moderne Smart Meter ersetzen. Mit sogenannten Gateways kombiniert, entstehen intelligente Messsysteme, die digitale Messwerte an Netzbetreiber, Energielieferanten und weitere berechtigte Marktteilnehmer als Empfänger weiterleiten. Bei den Messwerten, die im Rahmen des Smart Meterings erhoben, übertragen und verarbeitet werden, handelt es sich um personenbezogene Daten. Das Thema Datenschutz wird daher groß geschrieben. Hinzu kommen IT-Sicherheitsrisiken durch mögliche Angriffe von außen, zum Beispiel durch Hacker, die die Stabilität der Energieversorgung gefährden können.

Daher ist laut Gesetz eine eigene Funktion als Sicherheitsinstanz, die sogenannte Smart Meter Gateway Administration, vorgesehen. Zu ihren Kernaufgaben gehören der Schutz der Daten und der Schutz vor unbefugtem Zugriff. Die strengen Regeln dafür wurden vom Bundesamt für Sicherheit in der Informationstechnik (BSI) genauestens beschrieben.

Energieversorger sind dazu verpflichtet, die Aufgabe der Smart Meter Gateway Administration wahrzunehmen, was eine erforderliche Zertifizierung nach sich zieht – bisher sind nur sehr wenige Rechenzentren von Netzgesellschaften nach ISO 27001 zertifiziert.

Zur Umsetzung der gesamten IT-Landschaft brauchen die Energieversorger demzufolge einen zertifizierten Partner. GISA als Branchenexperte für die Energiewirtschaft erfüllt dafür alle Voraussetzungen. Geprüft durch den TÜV NORD hat GISA als bundesweit erstes Unternehmen, zusätzlich zur ISO 27001, erfolgreich das Audit TR3109-6, eine technische Richtlinie basierend auf BSI Grundschutz ISO 27001, zur BSI-konformen Smart Meter Gateway Administration absolviert.

GISA kann damit Energieversorgern in Deutschland den Zugang zur Smart Meter Gateway Administration mit allen erforderlichen Sicherheitsvorgaben gewähren. Die entsprechenden IT-Systeme hält das Unternehmen im eigenen BSI-zertifizierten Rechenzentrum vor. Darüber hinaus begleitet GISA die Versorger bis zur eigenen Zertifizierung als Smart Meter Gateway Administrator.

Michael Krüger, Geschäftsführer der GISA:

„GISA hat schon sehr früh angefangen, das Geschäftsfeld Smart Metering zu entwickeln. Als IT-Komplettdienstleister für die Energiebranche sind wir in Bezug auf die Smart Meter Gateway Administration Marktführer. Das ist ein echter Wettbewerbsvorteil, der uns deutschlandweit als Experte für die Energiewirtschaft große Chancen eröffnet.“

GISA ist IT-Komplettdienstleister sowie Branchenspezialist für die Energiewirtschaft und öffentliche Auftraggeber. Durch langjährige Erfahrung verfügt GISA über ein exzellentes Marktverständnis. Das Leistungsspektrum des Unternehmens reicht von der Prozess- und IT-Beratung über die Entwicklung und Implementierung von innovativen IT-Lösungen bis hin zum Outsourcing kompletter Geschäftsprozesse und IT-Infrastrukturen. GISA beschäftigt deutschlandweit mehr als 660 Mitarbeiter an sieben Standorten.
www.gisa.de

Firmenkontakt
GISA GmbH
Mandy Hofmann
Leipziger Chaussee 191a
06112 Halle (Saale)
0345-585 2097
mandy.hofmann@gisa.de
www.gisa.de

Pressekontakt
GISA GmbH
Ina Skrzypszak
Leipziger Chaussee 191a
06112 Halle (Saale)
0345 585 2653
Ina.Skrzypszak@gisa.de
www.gisa.de

Permanentlink zu diesem Beitrag: https://pflumm.de/datenschutz-und-it-sicherheit-halten-einzug-beim-smart-metering-energieversorger-muessen-sich-fuer-die-strengen-anforderungen-ruesten/

Sichere und lizenzkonforme Cloud-Services in der Pfalzcloud

Enterprise-Kommunikation für kleine und mittelständische Unternehmen

Sichere und lizenzkonforme Cloud-Services in der Pfalzcloud

Das Unternehmen maxIT Consulting GmbH bietet mit der Pfalzcloud.de Kommunikations- und Telefonie-Services für kleine und mittelständische Unternehmen an, die in Skype for Business und Office 365 integriert sind. Um alle lizenz- und datenschutzrechtlichen Verpflichtungen nachzukommen, hat sich der Cloud-Service-Provider einem Assessment für Software- und Lizenzmanagement unterzogen, um eine korrekte Lizenznutzung zu gewährleisten und etwaige Unsicherheiten bei Kunden zu vermeiden.

Externes Software Assessment

Das externe Software Assessment führte das auf Lizenzmanagement spezialisierte IT-Dienstleistungsunternehmen SecuLink durch. SecuLink ist unter anderem Microsoft Gold Certified Partner, Microsoft Inner Circle Member für Security und zählt zu den Top-30-Partnern von Microsoft im Bereich Consulting-Services. Im Rahmen dieses Software Assessments prüfte SecuLink, ob alle Prozesse sowie die eingesetzten Lösungen und Lizenzen den geforderten Vorgaben des Softwareherstellers Microsoft sowie den Datenschutzgesetzen entsprechen. Dies umfasst die Software, die die Kunden in der Cloud nutzen, sowie den Softwareeinkauf und -verkauf. Obgleich Kunden für die Nutzung der Cloud-Services Direktverträge mit Microsoft abschließen, muss die Pfalzcloud als Cloud-Service-Provider zu jedem Zeitpunkt sicherstellen, dass die Lizenzen für die Software korrekt eingesetzt werden. Zudem sind auch die Nutzer von Cloud-Services heute dazu verpflichtet, ihre Lizenznutzung gegenüber dem Softwareanbieter offenzulegen.

„Dank der Software Assessments durch SecuLink können wir heute sicherstellen, dass wir alle Compliance-Vorgaben ordnungsgemäß erfüllen und unsere Kunden eine rechtskonforme Plattform nutzen. Dies umfasst wohl die Services von Microsoft sowie die ergänzenden Services der Pfalzcloud. Wir können jetzt garantieren, dass jeder Kunde zu jedem Zeitpunkt korrekt lizenziert ist, die Benutzerzahlen stets aktuell sind und er das finanziell optimale Vertragsmodell für seine Anforderungen nutzt. SecuLink hat uns als IT-Beratungsunternehmen mit langjähriger Erfahrung optimal in diesem Software Assessment unterstützt“, erklärt Marc-Sebastian Marggraf, Geschäftsführer maxIT-Consulting GmbH und Betreiber der Pfalzcloud.de.

„Die Business Software Alliance hat in einer aktuellen Studie festgestellt, dass 22 Prozent der Software in Deutschland nicht oder nicht korrekt lizenziert sind. Dies kann hohe finanzielle Risiken bergen und schwere rechtliche Folgen nach sich ziehen. Softwareanbieter engagieren sich heute verstärkt dafür, die unkorrekte Nutzung von Softwarelizenzen zu verfolgen. Deshalb sollte sich jedes Unternehmen und jeder Cloud-Service-Provider Software-Asset-Management-Prozessen unterziehen“, ergänzt Harald Domeier, Geschäftsführer der SecuLink aus Leinfelden-Echterdingen.

Datenschutz und Datensicherheit

Als Cloud-Service-Provider mit zwei Data Centern in Deutschland unterliegt maxIT Consulting mit der Pfalzcloud dem deutschen Datenschutzgesetz und zudem dem Landesdatenschutzgesetz der Rheinland-Pfalz. Die umfassende Begutachtung des externen Beraters SecuLink umfasste auch die Konformität zu den Datenschutzgesetzen und zum Standard ISO 27001. Zu dieser Überprüfung zählte die korrekte Erhebung und Speicherung der Metadaten zur Telefonie und Kommunikation (Anrufer, Angerufener, Telefonnummern, Dauer der Telefonate).

maxIT Consulting GmbH
Die maxIT Consulting GmbH ist ein Cloud-Service-Provider. Das Unternehmen aus Rheinland-Pfalz wurde im Jahr 2003 gegründet und beschäftigt heute acht Mitarbeiter. maxIT Consulting betreibt die Pfalzcloud.de und stellt sichere und zuverlässige Cloud-Services für Kommunikation und Telefonie auf Basis von Skype for Business und Office365 von Microsoft für Unternehmenskunden bereit. So können kleine und mittelständische Unternehmen auf den Aufbau einer eigenen, kostenintensiven Infrastruktur und Server-Umgebung verzichten, moderne Lösungen für die Kommunikation und Zusammenarbeit nutzen und neue Arbeitsmodelle wie Home Office oder Elternzeit sehr einfach abbilden. Zu den mehr als 150 Kunden des Unternehmens zählen die HOMAG Group, Kondima Engelhardt GmbH & Co.KG, die Raber + Märcker Gruppe und Revacom. Weitere Informationen: www.pfalzcloud.de.

Firmenkontakt
maxIT-Consulting GmbH / Pfalzcloud.de
Sebastian Marggraf
Am Bauernwald 3
76764 Rheinzabern
+49 727 394 94 67-0
+49 727 394 94 67-930
marggraf@maxit-con.de
http://www.pfalzcloud.de

Pressekontakt
griffity GmbH
Evi Garabed
Hanns-Schwindt-Str. 8
81829 München
+49 89 43 66 92-0
+49 89 43 66 92-66
evi.garabed@griffity.de
http://www.griffity.de

Permanentlink zu diesem Beitrag: https://pflumm.de/sichere-und-lizenzkonforme-cloud-services-in-der-pfalzcloud/

Datenschutz: Ab in die Cloud, aber mit Sicherheit

Worauf jedes Unternehmen achten sollte, wenn es die Cloud verwendet

Datenschutz: Ab in die Cloud, aber mit Sicherheit

Cloud-Checkliste

Cloud Computing bietet Datenverarbeitung per Internet und über Netzwerke von Unternehmen und ebenso natürlich von Verwaltungen.

Software-as-a-Service
Software-as-a-Service (SaaS) und weitere Nutzungsmodelle lassen Anwender bestimmte skalierbare Leistungen nutzen und zahlen. Dabei differieren Umfang und Art sowie Ort und Infrastruktur der jeweiligen Leistung. Datenschutz und Informationssicherheit hängen ebenfalls von veränderlichen Faktoren der jeweiligen cloudbasierten Verarbeitung ab. Wirtschaftliche Vorteile für Anwender resultieren aus reduzierter Infrastruktur und kleinerem IT-Personal bei besserem Kostenüberblick. Eine Situation, die im eigenen Rechenzentrum zu gleichen Preisen oft nicht zu realisieren wäre.

Platform-as-a-Service
Gleiches gilt neben SaaS auch für Platform-as-a-Service (PaaS), das cloudbasierte Plattformen für Webentwickler bietet. Dazu zählen zügig verfügbare Laufzeitumgebungen für Anwendung und Entwicklung. In der Cloud entfallen hoher Verwaltungsaufwand und Kosten für Hard- wie Software. Davon profitieren Software-Lebenszyklen, vom Entwurf über Development und Test zum Roll-out. Auch der Betrieb von Webapplications im Internet gelingt per Cloud Computing. Obige Cloudvorteile entspringen auch Infrastructure-as-a-Service (IaaS) als mietbare Rechen- bzw. Serverleistung.

Cloud-Checkliste
Im Cloud Computing gilt Compliance zu Kontrollierbarkeit und Transparenz sowie Beeinflussbarkeit als starke Herausforderung an Anbieter genauso wie für die Anwender. Speziell müssen Verantwortliche von Unternehmen ihre Datenverarbeitung angemessen verantworten. Dazu gehört
a) die richtige Wahl von Anbietern: Public, Private, Community oder Hybrid Clouds,
b) die transparente Technik, inkl. zertifizierter Infrastrukturen wie beispielsweise ISO 27001, Sicherheitskonzepte,
c) Organisation wie Software as a Service, Platform as a Service oder Infrastructure as a Service,
d) Rechtslage speziell zu persönlichen Daten in Clouds und
e) Sicherheit ihres Cloud Computing gewährleisten.
Vor diesen Abhängigkeiten fällt die prinzipielle Entscheidung zum Einsatz von Cloud Computing. Zu jenen Bedingungen zählt auch
f) die Möglichkeit der unterbrechungsfreien Cloud dank eines Neuanbieters bei Insolvenz des bisherigen.

Wer schreibt, der bleibt
Zudem stimmen Anbieter und Anwender ihre Sicherheitsmaßnahmen ab Mai 2018 in Form einer Auftragsverarbeitung nach Artikel 26 der EU-Datenschutzgrundverordnung ab. Öffentliche Stellen nutzen Clouds mit Sitz in Drittstaaten besonders umsichtig: Gerade außereuropäische Behördenstellen greifen oft umfänglich, ohne Anlass und ohne direkten Bedarf auf persönliche Daten zu. Dies interessiert speziell Unternehmen in Deutschland, die Daten an US-Stellen senden. EU-Standardvertragsklauseln oder BCR bei Cloud-Anbieter, die außerhalb der EU/des EWR ihren Sitz haben, müssen verwendet werden.

Vorsicht Geheimdienste
Der Zugriff ausländischer Nachrichtendienste auf Informationen von Menschen in Deutschland verläuft derzeit nicht sonderlich begrenzt. Entsprechend zurückhaltend erteilen Datenschutzbehörden neue Erlaubnis zur Datensendung in Drittstaaten, etwa während der Cloud-Nutzung. Zugleich prüfen diese Stellen das mögliche Aussetzen solcher Übermittlungen, speziell wegen des EU-US Privacy Shields Abkommens.

suhling management consulting bietet externe Datenschutzbeauftragung, Managementberatung, Datenschutzaudits, Begleitung zur Zertifizierung und Siegelerteilung durch Implementierung von ISO 9001, ISO 14001, ISO 27001, BDSG, EU-DSGVO und Datenschutzstandards, Integration von Managementsystemen und Auditierung von Managementsystemen.

Kontakt
suhling management consulting – Datenschutz intelligent integriert
Peter Suhling
Nördliche Hauptstraße 1
69469 Weinheim
+49 6201 8725124
info@suhling.biz
http://suhling.biz

Permanentlink zu diesem Beitrag: https://pflumm.de/datenschutz-ab-in-die-cloud-aber-mit-sicherheit/

Sicherheit auf neuen Wegen: ITENOS bietet zukunftsfähige Übertragungslösungen für die Sicherheitsbranche an.

Sicherheit auf neuen Wegen: ITENOS bietet zukunftsfähige Übertragungslösungen für die Sicherheitsbranche an.

www.itenos.de

Das Geschäft mit der Sicherheit boomt – doch in der Branche gibt es auch etliche „Baustellen“. Eine davon ist die Signalübertragungstechnik: Der Wegfall von ISDN, der anstehende Umbau der Netze sowie neue Verordnungen bezüglich der Kommunikationssicherheit stellen Leitstellenbetreiber, Konzessionäre und Alarmdienstleister vor große Herausforderungen. Sie müssen ihre Übertragungsnetze auf IP-Technik umstellen – das erfordert in vielen Fällen auch eine Umrüstung der Wählgeräte. ITENOS stellt Sicherheitsunternehmen eine zukunftsfähige IP-Infrastruktur für die Anbindung und die Vernetzung von Alarmsystemen zur Verfügung.

ITENOS ist bereits seit über 20 Jahren als zuverlässiger Anbieter von Kommunikationslösungen für die Sicherheitsbranche etabliert und steht Security-Dienstleistern beim Umstieg auf IP-Technik hilfreich zur Seite. Insbesondere Security-Dienstleister, zu deren Kunden filialisierte Unternehmen – wie z.B. Banken, Handel oder Tankstellenbetreiber – zählen, können Ihre Alarmnetze mit Hilfe der ITENOS auf zukunftsfähige IP-Technik umstellen.

Maßgeschneiderte Übertragungsnetze
Die Kommunikationslösungen von ITENOS basieren auf der modular aufgebauten IP-Plattform „ProtectService“ und zeichnen sich durch folgende Merkmale aus: Sie ermöglichen die Realisierung von autonomen, IP-basierten Übertragungsnetzen mit erstweg- und zweitwegbewehrter Anbindung der Alarmanlagen. Die Umsetzung eines reinen Backup-Netzes, z.B. auf Basis von Mobilfunk ist ebenfalls möglich. Die Kommunikation auf Erst- und Zweitweg wird über feste IP-Adressen geführt.

Die Zentralanbindung an die Leitstellen erfolgt redundant sowie proaktiv gemanagt und wird ebenfalls auf der Basis von IP-fähigen Anschlüssen realisiert.

Bei der Umstellung der Übertragungsnetze unterstützt ITENOS seine Kunden und koordiniert in Abstimmung mit dem Kunden den Umbau von Anschluss und die Installation der erforderlichen Router. Bei Bedarf wird auch zeitgleich das Wählgerät der Alarmanlage durch qualifiziertes Personal umgebaut.

Zertifizierte Qualitätssicherung
Die hochverfügbaren autonomen Übertragungsnetze, die sich über ProtectService realisieren lassen, arbeiten mit den neuen IP-basierten Zugangstechnologien, wie z. B ADSL, VDSL oder LTE. Die Anbindung erfolgt auf VdS-konformen bzw. VdS-zertifizierten Übertragungswegen Die Kommunikationsplattform für die Sicherheitsbranche ist gemäß VdS 2471 zertifiziert.

Das Einhalten von Qualitätssicherungsvorgaben wie ISO 27001, ISO 20000 und ISO 9001 wird dabei jährlich von unabhängiger Stelle überprüft. Alle Services werden in Deutschland erbracht und unterliegen den deutschen Datenschutzbestimmungen. Der ITENOS eigene ServiceDesk steht den Kunden rund um die Uhr im Störungsfall zur Verfügung.

Über ITENOS
Die ITENOS GmbH mit Hauptsitz in Bonn plant und realisiert kundenspezifische Lösungen in den Bereichen IT/Cloud, Housing und Networks und betreibt die entsprechenden Systeme in eigenen Rechenzentren. ITENOS ist ein eigenständiges Unternehmen, das zum Konzernverbund der Deutschen Telekom AG gehört. Der Kundenstamm besteht vorwiegend aus mittelständischen Unternehmen; ihnen steht ITENOS seit über 20 Jahren als kompetenter Partner in IT- und Telekommunikationsfragen zur Seite.
www.itenos.de
www.itenos.de

Firmenkontakt
ITENOS GmbH
Rainer Stolle
Lievelingsweg 125
53119 Bonn
Telefon: 0228/7293-4270
rainer.stolle@itenos.de
http://www.itenos.de

Pressekontakt
Presse und Redaktionsbüro Danielle Schoof
Pierre Schoof
Lindemannstrasse 13
40237 Düsseldorf
Telefon:0211-6790089
info@schoof-pr.de
http://www.schoof-pr.de

Permanentlink zu diesem Beitrag: https://pflumm.de/sicherheit-auf-neuen-wegen-itenos-bietet-zukunftsfaehige-uebertragungsloesungen-fuer-die-sicherheitsbranche-an/

Neue Anforderungen durch das IT-Sicherheitsgesetz

Management der IT-Sicherheit und der Business Continuity

Kreuzlingen, Schweiz, 13. April 2016 – Die Vereon AG startet am 14. und 15. Juni 2016 in Frankfurt am Main mit einer neuen Veranstaltung zum Thema IT-Sicherheit. Anlass ist das im vergangenen Jahr verabschiedete Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme – eine Reaktion der Bundesregierung auf die steigende Gefahr durch Cyberangriffe.

Die wenigsten Unternehmen sind sich der Lücken in ihren IT-Sicherheitssystemen und dem dadurch entstehenden potentiellen Schaden durch Hacker bewusst. Die neu eingeführte und verbindliche Beurteilung der IT-Sicherheit soll davor schützen. Sie beruht auf einer Kombination aus Risikoanalyse und -bewertung, wobei die betroffenen Unternehmen alle zwei Jahre durch ein Audit nachweisen müssen, dass sie die aus der Risikobewertung abgeleiteten Anforderungen erfüllen. Die verordnete Meldepflicht betrifft v. a. Unternehmen aus den Branchen Informationstechnik, Telekommunikation, Energie und Gesundheit sowie dem Finanz- und Versicherungswesen. Unzählige Unternehmer stehen nun vor der Frage, wie Neuregelungen zeitnah umgesetzt werden können und welche Anforderungen und Sanktionen damit verbunden sind.

Hier setzt der Intensivkurs IT-Sicherheitsgesetz der Vereon AG an und widmet sich an zwei Terminen im Juni und November 2016 u. a. diesen Themen:

-Aktueller Stand der Gesetzgebung und der Rechtsprechung
-Sicherheitsmanagement nach Stand der Technik
-Anwendung von IT-Grundschutz bzw. ISO 27001
-Übersicht der Pflichten, denen Unternehmen sich gegenübersehen
-Effektive Vorbereitung und Durchführung von Audits
-Einsatz von Branchenkatalogen
-Integration von Cloud Services und mobiler IT

Der Kurs findet unter der Leitung hochkarätiger Referenten statt und richtet sich insbesondere an IT-Leiter, IT-Sicherheitsbeauftragte, Auditoren und Revisoren.

Weitere Informationen unter www.vereon.ch/isg

Kontakt und Akkreditierung
Vereon AG | Pressestelle | Hauptstrasse 54 | CH-8280 Kreuzlingen
Tel. +41 71 677 87 00 | presse@vereon.ch | www.vereon.ch/presse

Die Vereon AG veranstaltet hochkarätige Tagungen, Konferenzen und Workshops zu aktuellen Themen aus Wirtschaft und Wissenschaft. Ausgewiesene Experten aus Forschung, Wissenschaft, Praxis und Politik präsentieren regelmässig pragmatische Lösungsansätze und wegweisende Trends. Führungs- und Fachkräfte aller Branchen schätzen diese Informationsplattformen zum Wissensausbau, Erfahrungsaustausch und zur Gewinnung wertvoller neuer Kontakte.

Firmenkontakt
Vereon AG
Annabell Schlensog
Hauptstrasse 54
8280 Kreuzlingen
+41 71 677 8717
annabell.schlensog@vereon.ch
http://www.vereon.ch/

Pressekontakt
Vereon AG
Annabell Schlensog
Hauptstrasse 54
8280 Kreuzlingen
+41 71 677 8700
marketing@vereon.ch
http://www.vereon.ch/

Permanentlink zu diesem Beitrag: https://pflumm.de/neue-anforderungen-durch-das-it-sicherheitsgesetz/

Knipp Medien und Kommunikation GmbH erhält ISO 27001-Zertifikat

Knipp Medien und Kommunikation GmbH erhält ISO 27001-Zertifikat

Von links: Elmar Knipp, Erol Pektas, Damian Lusiewicz, Linda Müller

Mit dem enormen Anstieg verfügbarer Daten in allen Bereichen des Lebens stellt sich für viele mehr und mehr die Frage nach der Sicherheit der verarbeiteten Informationen. Um IT-Sicherheit dauerhaft garantieren zu können, wurde der internationale Standard ISO 27001 entwickelt. Für ihre umfassenden Sicherheitskonzepte wurde dem Dortmunder Internet-Systemhaus Knipp Medien und Kommunikation GmbH nun das DIN ISO/IEC 27001:2015-Zertifikat überreicht.

Die ISO 27001-Norm spezifiziert Vorgaben und Verfahren, welche die Verfügbarkeit, Integrität und Vertraulichkeit von Informationen dauerhaft aufrechterhalten. Dazu gehören zum Beispiel technische und physikalische Maßnahmen wie Datenverschlüsselung und Redundanz kritischer Systemkomponenten. Darüber hinaus ist das Sicherheitsbewusstsein der Mitarbeiter von zentraler Bedeutung. Eine permanente Risikoanalyse der geschäftskritischen Prozesse gewährleistet zudem, dass Bedrohungen frühzeitig erkannt und geeignete Maßnahmen getroffen werden.

Bei Knipp ist die Sicherheit der verarbeiteten Informationen schon immer integraler Bestandteil der Unternehmenskultur. Das ISO 27001-Zertifikat belegt nun, dass die bei Knipp etablierten Sicherheitsmaßnahmen die anspruchsvollen internationalen Standards erfüllen. Die Zertifizierung von Knipp erfolgte nach dem sogenannten Full-Scope-Ansatz und umfasst sämtliche Dienstleistungen, Infrastrukturen und Prozesse. Das bestätigt das jahrelange Vertrauen, dass Knipp-Kunden wie alltours, Daimler, Evonik, SAP oder die Telekom in die Dienstleistungen rund um das Rechenzentrum, die individuelle Softwareentwicklung und die Druckproduktion aufgebaut haben.

Neben den unmittelbaren Kunden von Knipp profitieren auch viele Internetnutzer vom herausragenden Sicherheitsniveau: Knipp ist mit ihren Produkten TANGO Registry Services® und dem Nameserver-Dienst ironDNS® technischer Betreiber einer Vielzahl von Top-Level-Domains und wichtiger Infrastrukturkomponenten für das Internet.

„Wir sehen Informationssicherheit und Datenschutz seit jeher als hohe Güter an und haben entsprechend in die notwendigen technischen und organisatorischen Voraussetzungen investiert. Mit der ISO 27001-Zertifizierung haben wir nun die offizielle Bestätigung, dass sich dieses Engagement auszahlt. Das ist für uns eine schöne Anerkennung und für die Nutzer unserer Dienstleistungen die Versicherung, dass ihre Daten bei Knipp bestens geschützt sind.“ (Elmar Knipp, Geschäftsführender Gesellschafter)

Knipp Medien und Kommunikation GmbH ist ein Internet-Service-Provider aus Dortmund, der innovative Softwarelösungen für die Domainindustrie entwickelt und betreibt. Knipp ist dabei vor allem auf die Entwicklung von Lösungen für systemkritische Komponenten spezialisiert.

Kontakt
Knipp Medien und Kommunikation GmbH
Linda Müller
Martin-Schmeisser-Weg 9
44227 Dortmund
+49 231 9703-0
Linda.Mueller@knipp.de
http://www.knipp.de/go/presse

Permanentlink zu diesem Beitrag: https://pflumm.de/knipp-medien-und-kommunikation-gmbh-erhaelt-iso-27001-zertifikat/

Fit für Integrierte Managementsysteme (Einführung) – Mannheim 2016

Fit für Integrierte Managementsysteme (Einführung) - Mannheim 2016

Abendakademie Mannheim: Seminar Integrierte Managementsysteme

Seminar zum Aufbau und Auditierung von integrierten Managementsystemen mit ISO 9001, ISO 14001, ISO 27001, OHSAS 18001 und Datenschutzgesetze. Integrierte Managementsysteme fassen Methoden und Instrumente zur Einhaltung von Anforderungen aus verschiedenen Bereichen zusammen, die in der Leitung und Überwachung von Organisationen dienen. Wie diese Normen und Gesetze schlank, verständlich und rechtskonform aufgebaut werden und was bei der Zertifizierung zu beachten ist, wird erklärt. Lernen Sie, wie Sie durch Nutzung von Synergien und die Bündelung von Ressourcen ein schlankeres, effizienteres Managemensystem ermöglichen.

Nummer: K44500, Leitung: Peter Suhling von suhling management consulting, http://suhling.biz
Termin: 19.03.2016, Samstag, 09:00 – 16:00 Uhr
Ort: Abendakademie, U 1, 16 – 19, 68161 Mannheim-Innenstadt, Seminarraum 504, Gebühr 120,00 EUR
Tel.: 0621 1076-0, Fax: 0621 1076-172,
E-Mail: info@abendakademie-mannheim.de, https://www.abendakademie-mannheim.de
Quelle: http://bit.ly/1P1LPkZ

suhling management consulting bietet externe Datenschutzbeauftragung, Managementberatung, Datenschutzaudits, Begleitung zur Zertifizierung und Siegelerteilung durch Implementierung von ISO 9001, ISO 14001, ISO 27001, BDSG und Datenschutzstandards, Integration von Managementsystemen und Auditierung von Managementsystemen.

Kontakt
suhling management consulting – Datenschutz intelligent integriert
Peter Suhling
Nördliche Hauptstraße 1
69469 Weinheim
+49 6201 8725124
info@suhling.biz
http://suhling.biz

Permanentlink zu diesem Beitrag: https://pflumm.de/fit-fuer-integrierte-managementsysteme-einfuehrung-mannheim-2016/

Auf 20 Quadratmetern wird aus einem Besprechungszimmer ein Serverraum

CWD-Solution erreicht Umnutzung ohne nennenswerte Eingriffe in bestehende Strukturen

Auf 20 Quadratmetern wird aus einem Besprechungszimmer ein Serverraum

Das für den Umbau vorbereitete Besprechungszimmer / Fertiger Kaltgang

Einsbach/Rethwisch, 19. November 2015 – Die CWD-Solution GmbH entwickelt individuell auf den Kunden zugeschnittene IT-Lösungen. Individuell auf die eigenen Anforderungen zugeschnitten werden sollte auch der neue Serverraum. Das bestehende Rechenzentrum mit seiner technischen Ausstattung entpuppte sich als nicht mehr zeitgemäß. Problematisch war allerdings der fehlende Platz. Doch die als Berater hinzugezogene Conect Kommunikationssysteme GmbH fand eine Lösung: Ein Besprechungszimmer mit 20 qm Grundfläche wurde mit dem IT Compact-System zum modernen Datacenter mit 5.000 virtuellen Servern – inklusive weltweit erster Ankopplung von Microsoft SCOM an das integrierte Monitoring-System.

Starker Kundenzuwachs und die damit einhergehende Notwendigkeit, alle Dienste weiterhin professionell bereitstellen zu können, machten die Einrichtung eines professionellen Serverraums für Test- und Schulungssysteme nebst Hosting von Private Clouds nötig. Außerdem hätten mit dem bestehenden System weder die ISO 27001-Richtlinien eingehalten werden können, noch bestand die gewünschte sach- und fachgerechte Klimatisierung nach Kriterien des Siegels „Blauer Engel“.

Modulprinzip für mehr Individualität
Vier Anbieter verglich Jan Obes, Geschäftsführer und Solution Architect bei CWD-Solution. Ausschlaggebend für die Entscheidung war, dass Conect der einzige Anbieter europaweit ist, der die Dichte der geforderten Racks auf kleinstem Raum erreichen konnte. Außerdem überzeugten die Besonderheiten der verbauten Elektronik, das Design sowie die Installation an sich. Als Standort des neuen RZ schlug Conect einen bisherigen Besprechungsraum vor, da dies kaum Eingriffe in die Räumlichkeiten verlangte und ggf. einen einfachen Rückbau ermöglicht. Ausgestattet wurde der Raum mit dem IT Compact-System von Conect, das auf einem schlüsselfertigen Modulprinzip fußt. So konnte eine auf die vorhandenen Flächen zugeschnittene Lösung entstehen, die die Verteilung der Deckentraglast auf den gesamten Raum ermöglichte.

Die Implementierung nahm weniger als fünf Projekttage in Anspruch, ohne den laufenden Betrieb zu stören. Auf etwa 4,6 x 5,5 Metern entstand der Serverraum mit Kalt- und Warmgang, sechs Racks auf jeweils 660 mm Breite und drei Top-Coolern oberhalb der Racks – eine Eigenentwicklung von Conect. Dieses Kühlsystem spart Platz und erreicht sehr niedrige PUE-/EUE-Werte im Bereich von nur etwa 1,2 bis 1,4. Um diesen Wert noch zu verringern und der gewünschten Umweltfreundlichkeit Rechnung zu tragen, wurden die Fensterflächen umgebaut und isoliert.

Weltpremiere: Alarmmeldungen werden zentral gemeldet
Zwei Besonderheiten weist die Installation auf: Zum einen wurde als weltweit erstes System dieser Art ein Conect-eigenes PS-E-Monitoring in den Microsoft System Center Operations Manager (SCOM) integriert. Durch die erfolgreiche Kopplung werden Alarmmeldungen wie Wassereinbrüche, Stromschwankungen/-ausfälle etc. nun zentral gemeldet. Detaillierte Warnungen, wo welche Störung vorliegt, ermöglichen die weitestgehende Verhinderung von Ausfällen und die Aufrechterhaltung von Services sowie Testumgebungen. Zum anderen erhielt CWD-Solution einen individuell für ihre Belange angefertigten Windschutz für die auf dem Dach angebrachten Rückkühler.

„Die Zusammenarbeit mit Conect war mehr als zufriedenstellend. Von der Planung über die Installation bis zum Support ist alles einwandfrei gelaufen“, lobt Jan Obes. „Aus diesem Grund planen wir eine Ausweitung der Kooperation. Erstens möchten wir unser Schatten-RZ bei Conect abbilden und zweitens ein weiteres Dieselaggregat aufstellen, das die Redundanz der Stromversorgung gewährleistet.“

Weitere Informationen finden sich auf der Conect-Website .

Hochauflösendes Bildmaterial kann unter conect@sprengel-pr.com angefordert werden.

Über Conect Kommunikationssysteme GmbH:
Das im Jahr 2000 gegründete Unternehmen Conect mit Sitz in Rethwisch entwirft, plant und realisiert Projekte im Bereich hocheffiziente Datacenterlösungen und Modernisierung von Rechenzentren bzw. Serverräumen – inklusive professioneller Kundenbetreuung. Im Rahmen dessen hat sich Conect auf die Entwicklung kompakter Server-Center-Lösungen spezialisiert. Beispielsweise entwirft Conect schlüsselfertige IT-Serverräume im Kompaktformat entweder als Container oder für die Integration in den vorhandenen Serverraum. Kunden profitieren dabei vor allem von niedrigeren Raum- und Betriebskosten, geringerem technischem Aufwand in Infrastrukturen und einer gesteigerten Verfügbarkeit durch moderne Sicherheits- und Kühlkonzepte. Dabei setzt Conect in vielen Bereichen auf Produkte aus der hauseigenen Fertigung, was wiederum kurze Wege und Reaktionszeiten ermöglicht. Conect verfügt im Unternehmensverbund über Fertigungs-, Planungs- und Konzeptionsmöglichkeit. Damit adressiert das Unternehmen in erster Linie KMU, Konzerne, Verwaltungen und RZ-Betreiber, aber auch Hochschulen, Verwaltungsstellen oder Krankenhäuser. Weitere Informationen unter www.conect-online.de.

Firmenkontakt
Conect Kommunikationssysteme GmbH
Karl-Heinrich Spiering
Königstraße 6a
23847 Rethwisch
+49 (0) 45 39-18 05-0
info@conect.de
www.conect-online.de

Pressekontakt
Sprengel & Partner GmbH
Marius Schenkelberg
Nisterstraße 3
56472 Nisterau
+49 (0)2661-912600
conect@sprengel-pr.com
www.sprengel-pr.com

Permanentlink zu diesem Beitrag: https://pflumm.de/auf-20-quadratmetern-wird-aus-einem-besprechungszimmer-ein-serverraum/

Datenschutz: Wenn der Chef die E-Mails mitliest

Pflicht zum korrekten Umgang mit vertraulichen Informationen

Datenschutz: Wenn der Chef die E-Mails mitliest

Pflicht zum korrekten Umgang mit vertraulichen Informationen

Einen Ansprechpartner im Unternehmen zum Thema Datenschutz zu haben ist Gold wert. Dies ist in der Regel der betriebliche Datenschutzbeauftragte. Er hat in Sachen Datenschutz eine neutrale Position einzunehmen und steht für alle Beteiligten zur Verfügung: der Geschäftsleitung, den Mitarbeitern, dem Betriebsrat, den Kunden, den Lieferanten, den Aufsichtsbehörden, und allen Betroffenen.

Damit sich alle beteiligten Gruppen vertraulich an ihn wenden können, muss eine sichere Kommunikation geschaffen werden. Dazu gehört nicht nur ein Büro, in dem man sich vertraulich unter vier Augen unterhalten kann. Dazu gehört auch ein Briefkasten, der an den Datenschutzbeauftragten adressiert ist. Post an den Beauftragten für den Datenschutz sollte nur von diesem geöffnet werden. Das gleiche gilt für die elektronische Kommunikation – dem E-Mail-Postfach. E-Mails, die an den Datenschutzbeauftragten gesendet werden, unterliegen der Vertraulichkeit und sollten demnach entsprechend abgesichert werden. Technisch sollte es die Möglichkeit geben, ihm eine E-Mail verschlüsselt zu übermitteln. Ebenso sollte auch er die Möglichkeit haben, verschlüsselte E-Mail zu versenden oder auf empfangene zu antworten.

Organisatorisch muss das E-Mail-Postfach des Beauftragten für den Datenschutz ebenfalls wie der Briefkasten nur von ihm zu lesen sein. Umleitungen oder Weiterleitungen sollten zuvor auf Sicherheit und Vertraulichkeit geprüft werden, unabhängig davon, ob es sich um einen internen Datenschutzbeauftragten oder einen externen Datenschutzbeauftragten handelt. Von sogenannten Sammelkonten ist abzuraten, bei denen beispielsweise die Geschäftsleitung automatisch eine E-Mail-Kopie erhält. Mitarbeiter die sich vertraulich an den Datenschutzbeauftragten wenden, würden damit das Vertrauen in den Datenschutz des Unternehmens verlieren. Vergleichbar ist demnach das E-Mail-Postfach des Datenschutzbeauftragten wie das eines Betriebsrats oder der Geschäftsleitung.

Fazit: Um einen korrekten Umgang mit vertraulichen Informationen an den Datenschutzbeauftragten zu gewähren, sollte er der einzige Empfänger sein. Weitere Fragen zum Umgang mit vertraulichen Informationen und zum Datenschutz können vom Datenschutzexperten Peter Suhling von suhling management consulting ( http://suhling.biz ) beantwortet werden.

suhling management consulting bietet externe Datenschutzbeauftragung, Managementberatung, Datenschutzaudits, Begleitung zur Zertifizierung und Siegelerteilung durch Implementierung von ISO 9001, ISO 14001, ISO 27001, BDSG und Datenschutzstandards, Integration von Managementsystemen und Auditierung von Managementsystemen.

Firmenkontakt
suhling management consulting – Datenschutz intelligent integriert
Peter Suhling
Nördliche Hauptstraße 1
69469 Weinheim
+49 6201 8725124
info@suhling.biz
http://suhling.biz

Pressekontakt
Blogsupport
Peter Suhling
Nördl. Hauptstr.1
69469 Weinheim
+4932121240862
blogsupport@me.com
http://blogsupport.me

Permanentlink zu diesem Beitrag: https://pflumm.de/datenschutz-wenn-der-chef-die-e-mails-mitliest/

GAI NetConsult veröffentlicht aktuelle ICS-Schwachstellen

Als Service für Hersteller und Nutzer von Industrial Control Systems (ICS) recherchiert der Sicherheits-Spezialist Schwachstellen und gibt Lösungshinweise.

BildBerlin, 16.09.2015 – In der aktuellen Ausgabe ihres Security Journals zeigt die GAI NetConsult erneut Schwachstellen in der Absicherung von Steuerungs- und Automatisierungssystemen (Industrial Control Systems – ICS) auf. Aktuell wird auf Schwachstellen in Geräten und Komponenten von Siemens (SICAM MIC, RuggedCom und SIPROTEC), OSIsoft (PI Data Archive) und Schneider Electric (Modicom) hingewiesen.

Die Informationen über Schwachstellen im ICS-Bereich sind nirgendwo zentral abzurufen, weshalb die Verantwortlichen vor enormen Problemen stehen und kaum den Überblick über alle bekannt gewordenen Schwachstellen behalten können. Als Spezialist für ICS-Sicherheit beobachtet und bewertet die GAI NetConsult deshalb seit einiger Zeit aktuelle Schwachstellen, Sicherheitsvorfa?lle und Nutzerhinweise der ICS-Hersteller. Hierzu werden regelmäßig unter Leitung des anerkannten ICS-Experten Dr. Stephan Beirer viele öffentlich zugängliche Quellen gesichtet und ausgewertet.

In der dezidierten Kolumne „ICS Security News“ ihres Security Journals fasst die GAI NetConsult deshalb für Hersteller und Betreiber von Industrial Control Systems die aus ihrer Sicht wichtigsten Schwachstellen und Neuigkeiten aus dem ICS-Bereich zusammen. Dabei werden die Sicherheitsrisiken nicht nur detailliert beschrieben und erklärt, sondern auch – sofern vorhanden – konkrete Tipps zur Abhilfe angeboten. Den davon betroffenen Betreibern wird nahegelegt, auf diese Hinweise möglichst schnell zu reagieren.

Im aktuellen Security Journal #80 werden folgende Schwachstellen beleuchtet:

Authentisierungs-Schwachstelle in Siemens SICAM MIC
Ein Angreifer mit physischem Zugang zum Netzwerk des Siemens MIC-Controllers (ehem. TM 1703 MIC) kann eine Authentisierung-Schwachstelle in der Webanwendung über Netzwerkport 80 ausnutzen und administrative Funktionen ohne Authentisierung ausführen.

„TLS POODLE“-Schwachstelle in Siemens RuggedCom (ROS-/ROX- basiert)
Trotz der Verwendung von TLS über Netzwerkport 443 sind die betroffenen Produkte anfällig für die POODLE-Schwachstelle, die grundsätzlich für die SSL-Version 3 existiert. Der Grund dafür ist, dass die TLS-Implementierung entgegen der TLS-Spezifikation Fu?ll-Bytes nicht vollständig auf Korrektheit verifiziert und sich somit in diesem Punkt nicht von der SSL-Version 3 unterscheidet. Die Schwachstelle POODLE ermöglicht die teilweise Extraktion von sensiblen Daten einer SSL-Verbindung, z.B. von administrativen Zugangsdaten.

Denial-of-Service-Schwachstelle in Siemens SIPROTEC
Ein Angreifer kann durch speziell präparierte TCP-Netzwerkpakete auf Port 50000/UDP das System zum Stillstand bringen (Denial-of-Service-Angriff).

Mehrere Schwachstellen in OSIsoft PI Data Archive
Es wurden insgesamt 56 Schwachstellen identifiziert, darunter unter anderem: Unzureichende Validierung von Eingabedaten; die Software wird nicht mit minimalen Rechten ausgeführt; Preisgabe sensibler Informationen; Denial-of-Service Schwachstellen/ NULL Pointer Dereference; Schwachstellen im Session Management.

Unbestätigte Schwachstellen in Schneider Electric Modicon M340 PLC Station P34 Modul
Es existieren öffentliche Berichte zu mehreren Schwachstellen in den betroffenen Produkten, die allerdings vom Hersteller Schneider Electric noch nicht bestätigt wurden. Die folgenden Schwachstellen werden genannt: Hartkodierte Zugangsdaten in der Software, so dass ein Angreifer diese auslesen und zur Ausführung von beliebigem Programmcode auf dem betreffenden System nutzen kann; „Local file inclusion“-Schwachstelle, die es einem Angreifer erlaubt, ohne eine Authentisierung auf beliebige Dateien des Systems zuzugreifen (Directory Traversal) oder beliebige Dateien zu manipulieren; „Remote file inclusion“-Schwachstelle, die es einem Angreifer erlaubt, beliebigen Programmcode aus der Ferne auf dem System auszuführen oder das Gerät zum Absturz zu bringen.

Zusammen mit Lösungsempfehlungen sind diese Schwachstellen im aktuellen Security Journal der GAI NetConsult detaillierter beschrieben. Gerne stehen die Experten auch für individuelle Rückfragen zur Verfügung. „Die ständige Beobachtung und Bewertung von Schwachstellen, Sicherheitsvorfällen und Nutzerhinweisen gehören zu unserer täglichen Arbeit“, sagt Detlef Weidenhammer, Geschäftsführender Gesellschafter von GAI NetConsult. „Durch die wachsende Bedrohungslage wird auch mit Blick auf Industrie 4.0 eine schnelle Weitergabe dieser Informationen immer wichtiger. Aus diesem Grund haben wir die Rubrik ICS Security News in unserem kostenlosen Security-Journal ins Leben gerufen.“

Das Security Journal der GAI NetConsult erscheint alle zwei Monate mit aktuellen, sorgfältig recherchierten Informationen aus der Welt der Informationssicherheit. Es bündelt die Erfahrungen aus vielen Security-Projekten in Form von tiefgreifenden Fachartikeln sowie aktuellen Tipps zum Thema Informationssicherheit. In der regelmäßig erscheinenden Kolumne „ICS Security News“ werden wichtige Sicherheitsinformationen speziell aus dem Bereich der Steuerungs- und Automatisierungssysteme weitergegeben. Das Journal kann kostenlos online im Abo bezogen werden. Die Anmeldung erfolgt hier: https://www.gai-netconsult.de/journal

Details zu den Beratungsangeboten der GAI NetConsult bei den Themen Informationssicherheit im Bereich Kritischer Infrastrukturen, sichere Prozessdatenverarbeitung und Industrie 4.0 mit Dienstleistungen wie Sicherheitsaudits, Umsetzung des bdew Whitepapers oder der ISO 27001 sowie ISMS-Einführungen finden Sie hier: https://www.gai-netconsult.de/index.php?id=12

Über:

GAI NetConsult GmbH
Herr Detlef Weidenhammer
Am Borsigturm 58
13507 Berlin
Deutschland

fon ..: +49 30 / 41 78 98 – 0
web ..: http://www.gai-netconsult.de
email : info@gai-netconsult.de

Die GAI NetConsult ist ein unabhängiges Software- und Consulting-Unternehmen mit besonderer Expertise in der Erstellung von umfassenden Lösungen zur Informationssicherheit und der Entwicklung sicherer eBusiness-Anwendungen.
In der Informationssicherheit wird der gesamte „Security Life Cycle“ von der Analyse über Konzeption, Realisierung und Betrieb bis hin zur Überprüfung bestehender Sicherheitsmaßnahmen abgedeckt. Zu den angebotenen Dienstleistungen gehören Sicherheitsaudits (BSI, ISO), Penetrationstests, Notfallmanagement und die ISMS-Einführung nach ISO/IEC 27001. Ein Schwerpunkt liegt in der Sicherung von Kontroll- und Automatisierungssystemen (ICS, SCADA), insbesondere im Bereich Kritischer Infrastrukturen wie z.B. der Energieversorgung. Dabei werden die Anforderungen aus dem BDEW Whitepaper – von der Projektplanung über die Ausschreibung und Systemkonzeption bis zur Abnahme – begleitet. Mitarbeiter der GAI NetConsult gehören zu den Top-Know-how-Trägern für ICS-Sicherheit und arbeiten in Fachgremien wie DIN, ISO maßgeblich an wichtigen Industriestandards wie der DIN ISO/IEC 27019 mit.
Prozessintegration mit modernen EAI- und ESB-Plattformen sowie agile Softwareentwicklung nach Scrum bei Umsetzung des Security Development Life Cycles (SDL) sind die Basis für die kundenindividuellen Integrations- und Branchenlösungen der GAI NetConsult. Diese Lösungen beinhalten auch die Umsetzung der jeweils relevanten Sicherheitsanforderungen, z.B. aus dem Sozialgesetzbuch (SGB) im Gesundheitswesen oder bzgl. der gesicherten Kommunikation, die im eGovernment gefordert ist.
Zum Kundenstamm der GAI NetConsult gehören mittlere und große Unternehmen vorwiegend aus den Branchen Energieversorgung, Finanzdienstleistung, Gesundheitswesen, Chemie/Pharma sowie Öffentliche Verwaltungen. Weitere Informationen über GAI NetConsult finden Sie unter www.gai-netconsult.de.

Pressekontakt:

bloodsugarmagic GmbH & Co. KG
Herr Bernd Hoeck
Gerberstr. 63
78050 Villingen-Schwenningen

fon ..: +49 7721 94 61 220
web ..: http://www.bloodsugarmagic.com
email : bernd.hoeck@bloodsugarmagic.com

Permanentlink zu diesem Beitrag: https://pflumm.de/gai-netconsult-veroeffentlicht-aktuelle-ics-schwachstellen/