ich war hier: DSMassnahmen

Revision history for DSMassnahmen


Revision [96428]

Last edited on 2021-01-26 11:07:58 by WojciechLisiewicz
Additions:
CategoryDatensicherheit


Revision [96050]

Edited on 2021-01-12 19:18:18 by WojciechLisiewicz
Additions:
- Vertraulichkeit über öffentliche Netze => VPN
- Problem: Trusted Computing!
Deletions:
Zwischen Netzwerken und Verschlüsselung => VPN!
Zweifelhaft: Trusted Computing...


Revision [96049]

Edited on 2021-01-12 18:48:14 by WojciechLisiewicz
Additions:
Vor der Vorstellung einiger, wichtiger Ansätze ist allerdings ein systematischer Überblick über die Maßnahmen insgesamt erforderlich.
Deletions:
Vor der Vorstellung einiger, wichtiger Ansätze soll allerdings ein systematischer Überblick über die Maßnahmen insgesamt gegen werden.


Revision [95935]

Edited on 2020-12-13 17:20:23 by WojciechLisiewicz
Additions:
- Lücken minimieren - Security Updates


Revision [95933]

Edited on 2020-12-13 16:09:02 by WojciechLisiewicz
Additions:
Zweifelhaft: Trusted Computing...


Revision [95923]

Edited on 2020-12-11 20:31:18 by WojciechLisiewicz
Additions:
Zwischen Netzwerken und Verschlüsselung => VPN!


Revision [95922]

Edited on 2020-12-11 20:28:41 by WojciechLisiewicz
Additions:
Eine Auswahl der "Sicherheitstechnologien" oder schlicht derjenigen Werkzeuge, die bei digitaler Datenverarbeitung Sicherheit erhöhen können, wird nachstehend vorgestellt und in der Lehrveranstaltung - mit kleinen Beispielen - behandelt. Es handelt sich um keinen offiziellen Katalog oder Empfehlung offizieller Stellen - es sind Werkzeuge, deren Vorteile der Autor im praktischen Einsatz kennenlernen konnte.
- Heterogenität und Isolation
- Analyse und Überwachung
Deletions:
Eine Auswahl der "Sicherheitstechnologien" oder schlicht derjenigen Werkzeuge, die bei der


Revision [95918]

Edited on 2020-12-11 19:10:15 by WojciechLisiewicz
Additions:
- keine Maßnahmenkonflikte (die zum gegenseitigen Aushebeln von Mechanismen führen können)
- Praktikabilität (d. h. einfacher Einsatz, geringer Aufwand und keine Fehleranfälligkeit)
- Akzeptanz (keine Beeinträchtigung der betroffenen Beteiligten)
- Wirtschaftlichkeit (Kosten-Nutzen-Verhältnis)
- Angemessenheit (des Aufwands zur Bedeutung des geschätzten Prozesses)
Deletions:
-


Revision [95917]

Edited on 2020-12-11 19:05:04 by WojciechLisiewicz
Deletions:
- vertraglich / rechtlich
- organisatorische Regelungen


Revision [95916]

Edited on 2020-12-11 19:04:32 by WojciechLisiewicz
Additions:
((2)) Personal
Im Hinblick auf das eingesetzte Personal ist besonders darauf zu achten, dass
- hinreichend qualifizierte Personen - auch und insbesondere im Hinblick auf die datenverarbeitenden Systeme - eingesetzt werden,
- sie auch ungeachtet ihrer Grundausbildung auf die entsprechenden Sicherheitsthemen aufmerksam und sensibilisiert werden (Trainings? mindestens adressatengerechte Kommunikation)
((2)) Infrastruktur
Nicht nur die Datenverarbeitungsprozesse selbst als eine virtuelle Erscheinung müssen möglichst sicher ausgestaltet werden - auch die physikalische Infrastruktur hat enorme Bedeutung für die Datensicherheit. Zugang zu Räumen, sichere Verlegung von Leitungen, Brandschutz etc. müssen häufig genauso gewährleistet werden, wie eine Netzwerkabsicherung vor digitalen Angriffen.
((2)) Technik
Netzwerke sind abzusichern, die eingesetzte Hardware und Software muss Sicherheitsstandard entsprechen oder gemäß den Sicherheitsanforderungen eingesetzt und konfiguriert werden. Wenn nötig, sind spezielle Sicherheitsfunktionen einzusetzen.
((1)) Validierung
Bei der Frage, ob eine Maßnahme für ein konkretes Szenario eingesetzt werden sollte, kann bereits im Vorfeld ihres Einsatzes - also deduktiv - zumindest grob überprüft werden, ob sie sinnvoll ist. Diese Überprüfung, die **Validierung** genannt wird, kann in folgenden gedanklichen Schritten vollzogen werden:
- (prinzipielle) Eignung, der Bedrohung zu begegnen oder Schäden zu mindern
- (hinreichende) Wirksamkeit, d. h. Widerstandsfähigkeit gegenüber der Bedrohung


Revision [95915]

Edited on 2020-12-11 18:38:34 by WojciechLisiewicz
Additions:
Die Maßnahmen, die zur Sicherstellung der Datensicherheit eingesetzt werden können bzw. müssen, haben nicht nur technischen Charakter. Leider erscheinen viele von Ihnen, wie überflüssige Bürokratie und aus Sicht eines Praktikers vom eigentlichen Problem weit entfernt - Erfahrung lehrt aber, dass die rein technische Betrachtung definitiv nicht ausreichend ist, Datensicherheit optimal zu gewährleisten. Folgende Arten von Maßnahmen müssen stets in die Betrachtung einbezogen werden, wenn Daten- und IT-Sicherheit erfolgreich angegangen werden soll [1]:
- organisatorische Regelungen
-
-
((2)) Verträge und andere rechtliche Regelungen
In Arbeitsverträgen, Verpflichtungserklärungen, in Verträgen mit Lieferanten und Kunden können Regelungen getroffen werden, die für das Sicherheitssystem relevant sind. Insbesondere können sie dazu beitragen, dass bestimmte Verhaltensweisen als rechtliche Pflicht übernommen werden, so dass ihre Einhaltung zumindest wahrscheinlicher erscheint und für den Fall einer Zuwiderhandlung rechtliche Konsequenzen gezogen werden können. Damit tragen sie zur Steigerung des Sicherheitsniveaus bei.
((2)) Organisation
Werden Mitarbeiter, Vertragspartner und sonstige Mitglieder einer Organisation nicht dazu klar aufgefordert, bestimmte Regeln zu befolgen, ist die Wahrscheinlichkeit nicht groß, dass sie sie auch befolgen werden. Nicht aus böser Absicht, sondern aus Mangel an Bewusstsein und wegen Fokussierung auf ihre primären Aufgaben - das Thema der Daten- und IT-Sicherheit steht häufig einer schnellen Aufgabenerledigung im Wege...
Deshalb sollte man manche Regeln schlicht transparent festlegen, die für das Sicherheitssystem im konkreten Fall unabdingbar sind:
- welche Zugriffsrechte und daraus folgend Pflichten haben einzelne Personen?
- welche Verhaltensregeln sollen gelten, wenn Prozesse mit IT realisiert werden?
- welche Regeln sind bei einzelnen Vorgängen) einzuhalten (Beispiel: externe Besuche)?
- welche Vorgaben gelten bei Datenmitnahme oder privater Nutzung von IT-Systemen des Unternehmens bzw. bei Nutzung privater Geräte für dienstliche Zwecke - oder soll dies gänzlich verboten sein?
- welche Passwortregeln und andere Zugriffsvorgaben sind einzuhalten?
((1)) Beispiele von Techniken, Technologien, Lösungen
----
[1] Vgl. dazu Kersten / Klett: //Der IT Security Manager//, Kapitel 7.1.
Deletions:
Die Maßnahmen, die zur Sicherstellung der Datensicherheit eingesetzt werden können bzw. müssen, haben nicht nur technischen Charakter. Leider erscheinen viele von Ihnen, wie überflüssige Bürokratie und aus Sicht eines Praktikers vom eigentlichen Problem weit entfernt - Erfahrung lehrt aber, dass die rein technische Betrachtung definitiv nicht ausreichend ist, Datensicherheit optimal zu gewährleisten. Folgende Arten von Maßnahmen müssen stets in die Betrachtung einbezogen werden, wenn Daten- und IT-Sicherheit erfolgreich angegangen werden soll:
((1)) Techniken, Technologien, Lösungen


Revision [95914]

Edited on 2020-12-11 18:18:04 by WojciechLisiewicz
Additions:
Die Sicherstellung der (möglichst weitreichenden) Daten- und IT-Sicherheit erfordert den Einsatz unzähliger Instrumente und Werkzeuge, ebenso unzählige Maßnahmen können notwendig sein. Im Grunde genommen hängt der Umfang der einzusetzenden Maßnahmen davon ab, wie komplex die eingesetzten Datenverarbeitungssysteme selbst und wie einschneidend ihr Einsatz in einer Organisation sind. Es ist kaum möglich, alle Maßnahmen im Rahmen einer kleinen Lehrveranstaltung in hinreichendem Umfang vorzustellen, deshalb kann hier nur eine (willkürliche - bzw. auf der Erfahrung des Autors basierende) Auswahl getroffen und erläutert werden.
Vor der Vorstellung einiger, wichtiger Ansätze soll allerdings ein systematischer Überblick über die Maßnahmen insgesamt gegen werden.
((1)) Systematik
Deletions:
Die Sicherstellung der (möglichst weitreichenden) Daten- und IT-Sicherheit erfordert den Einsatz unzähliger Instrumente und Werkzeuge, ebenso unzählige Maßnahmen können notwendig sein. Im Grunde genommen ist die Palette der einzusetzenden Maßnahmen hängt damit zusammen, wie komplex die eingesetzten Datenverarbeitungssysteme selbst sind.
((1)) Klassifikation


Revision [95913]

The oldest known version of this page was created on 2020-12-11 18:11:01 by WojciechLisiewicz
Valid XHTML :: Valid CSS: :: Powered by WikkaWiki