Managementaufgaben

• besteht aus Führung, Organisationsstrukturen und Prozessen:

  —>sicherstellen, dass die IT die Unternehmensstrategie und –ziele unterstützt.

  
  

- Sind kritische Anwendungen bekannt?

- Sind Risiken identifiziert?

- Vorkehrungen gegen Viren und Trojaner?

—————-

- Sind die Sicherheitsmaßnahmen noch aktuell?

- Sind Mitarbeiter und Führungskräfte ausreichend sensibilisiert und trainiert?

—————-

- Risikokontrolle gemäß Anforderungen des KonTraG (Gesetz zur Kontrolle und

Transparenz im Unternehmen)

• Allgemeine Sicherheitsmaßnahmen

  - Regelmäßige Software-Updates und Sicherheits-Patches

  - Vertragliche Verpflichtung von Werbedienstleistern zu Schutzmaßnahmen

  - Anwendung sicherer Verschlüsselungs- und Authentifizierungsverfahren

• Für Webseitenbetreiber

  - Sicherstellen, dass kein unerlaubter Zugriff auf technische Einrichtungen möglich ist

  - Schutz personenbezogener Daten und Störungssicherung

  - Maßnahmen müssen technisch möglich und wirtschaftlich zumutbar sein

  - Gesetz gibt keine konkreten Maßnahmen vor

  
  

- Schutz der Privatsphäre durch ICT-Maßnahmen, die persönliche Daten reduzieren oder unnötige Verarbeitung verhindern, ohne die Funktionalität des Systems zu beeinträchtigen.

- Maßnahmen: Verschlüsselung, sichere/anonyme Kommunikation, attributbasierte Berechtigungsnachweise, private Recherchemöglichkeiten.

- Reduzierung der IKT-Risiken.

—————-

- Entwicklung datenschutzfreundlicher Systeme und Dienste

- Kombination technischer und organisatorischer Ansätze sowie Geschäftsmodelle

- Trotz EU-DSGVO unklare Implementierungsanforderungen

• Methoden und Anforderungen an ein leistungsfähiges Managementsystem für

  IT-Sicherheit

• Sicherheitsmaßnahmen und Checklisten für deren Implementierung

—> - Kostensenkung durch praxiserprobte Modelle (z.B. BSI-Grundschutz)

- Angemessenes Sicherheitsniveau durch aktuelle Standards und Technik

- Wettbewerbsvorteile durch IT-Sicherheitszertifikate in Vergabeverfahren

Informationskategorien

• (0) Öffentlich

  - Intern/Kunden/Partner

  - Finanzieller Verlust: 0 - 5.000€

  - Möglicher Bruch von Gesetzes- oder Vertragsbedingungen

• (1) Externer Gebrauch

  - Intern/Kunden/Partner

  - Finanzieller Verlust: ??? - ???

  - Möglicher Bruch von Gesetzes- oder Vertragsbedingungen

• (2) Interner Gebrauch

  - Nur intern

  - Finanzieller Verlust: ??? - ???

  - Hoher finanzieller Schaden bei Gesetzes-/Vertragsbruch

  - Vertrauensbruch kann Personenschäden verursachen

• (3) Vertraulich

  - Finanzieller Verlust: mehr als ???

  - Gesetzesbruch kann zu Strafverfolgung/Gefängnis führen

  - Informationsverlust kann zu schweren Verletzungen oder Todesfällen führen

Schweregrade

• (0) Keine:

  Finanzieller Verlust unter ???.

• (1) Normal:

  Finanzieller Verlust zwischen ??? und ???. Gesetzes- oder Vertragsbruch mit finanzieller Auswirkung möglich. Mögliche Personenschäden.

• (2) Hoch:

  Finanzieller Verlust über ???. Gesetzesbruch kann Haftstrafe nach sich ziehen. Mögliche Personenschäden oder Verlust von Menschenleben.hren

Verfügbarkeit

1. Basis (0)

- Finanzieller Verlust: gering

- RTO: > 1 Woche

2. Normal (1)

- Finanzieller Verlust: gering bis mittel

- RTO: < 1 Woche

- Möglicher Imageschaden

3. Hoch (2)

- Finanzieller Verlust: mittel

- RTO: < 1 Woche

- Möglicher Schaden für Image oder Kundenbeziehungen

4. Sehr hoch (3)

- Finanzieller Verlust: mittel bis hoch

- RTO: < 1 Woche

- Ernsthafter Imageschaden oder Kundenverlust

5. Außergewöhnlich (4)

- Spezielle Kundenvereinbarungen außerhalb der obigen Kategorien

• Schwachstelle:

  Verwundbarer (vulnerable) Punkt eines IT-System, durch den Sicherheitsziele

  umgangen werden können

• Bedrohung:

  liegt vor, wenn darauf abgezielt wird, eine oder mehrere Schwachstellen eines

  IT-Systems zu nutzen, die zu einem Verlust der Authentizität, der Verfügbarkeit,

  der Vertraulichkeit oder der Integrität führen

• Risikoszenario (nach ISO 27001/27005) oder Gefährdung (nach BSIGrundschutz):

  liegt vor, wenn eine Bedrohung auf eine Schwachstelle trifft

• - Für "Threat Modeling" entwickelt

  - Erkennung von Systembedrohungen

  - Analyse von Prozessen, Datenspeichern, Datenflüssen und Vertrauensgrenzen

• - Spoofing: Identitätsverschleierung (Bruch der Authentizität)

  - Tampering: Manipulation (Bruch der Integrität)

  - Repudiation: Abstreiten/Verleugnung (Bruch der Nichtabstreitbarkeit/Nachvollziehbarkeit)

  - Information Disclosure: Datenpanne/Offenlegung (Bruch der Vertraulichkeit)

  - Denial of Service: Dienstverweigerung (Bruch der Verfügbarkeit)

  - Elevation of Privilege: Rechteausweitung (Bruch der Autorisierung)

Wichtige Aufgaben eines ISMS sind:

- die Formulierung von (Sicherheits-)Zielen

- die Bestimmung der Assets

- die Risikobeurteilung

- die Risikobehandlung

- die kontinuierliche Verbesserung

ISO2700X oder BSI-200-X

- Dokumentation von Zielen, Zuständigkeiten, Ressourcen, etc.

- Abstraktes „Management-Dokument“

- Sicherheitsziele: Vertraulichkeit, Integrität, Verfügbarkeit

- Vertraulichkeit: Nur autorisierte Personen haben Zugang zu Informationen

- Integrität: Nur autorisierte Änderungen an Daten erlaubt

- Verfügbarkeit: Daten, Systeme und Dienste müssen schnell und für autorisierte Zwecke verfügbar sein, akzeptable Verzögerungen erlaubt

———————————————————————-

Assets: Alles von Wert für eine Organisation (z.B. Grundstücke, Gebäude, Maschinen, Geschäftsprozesse, Daten, Systeme, Anwendungen, IT-Services, Image, Kreditwürdigkeit).

Ereignis (Event): Änderung des Zustands in der Informationsverarbeitung im Rahmen der Risikobeurteilung.

Sicherheitsereignis (Security Event): Hat Auswirkungen auf die Sicherheit.

Sicherheitsvorfall (Security Incident): Ereignis mit hoher Wahrscheinlichkeit für Sicherheitsauswirkungen.

Sicherheits-Notfall: Sicherheitsvorfall mit gravierenden oder katastrophalen Auswirkungen auf die Sicherheit.

———————————————————————-

Risiko:

- Eintritt von Sicherheitsereignissen in der Informationssicherheit.

- Kombination aus Eintrittswahrscheinlichkeit und Schadenhöhe.

- Tritt auf, wenn Schwachstellen durch fehlende, ungeeignete oder fehlerhafte Sicherheitsmaßnahmen vorhanden sind.

Risikoidentifizierung:

- Ermittlung von Risiken für Informationswerte im Anwendungsbereich des ISMS.

- Durchführung in Zusammenarbeit mit Verantwortlichen (Asset/Risk Owner).

Risikoanalyse:

- Abschätzung von Schadenhöhe und Eintrittshäufigkeit für jedes Risiko.

- Einordnung in Risikoklassen.

Risikobewertung:

- Bewertung der Auswirkungen eines Risikos auf die Organisation.

- Einstufung der Risiken (z.B. TOLERABEL, MITTEL, HOCH, KATASTROPHAL).

- Umfasst Risikoidentifizierung, Risikoanalyse und Risikobewertung.

————————————————————————

Typische Optionen zur Risikobehandlung sind:

- Risikoakzeptanz: Man übernimmt das Risiko ohne Maßnahmen.

- Risikoverlagerung: Verlagerung an einen sicheren Ort oder Versicherung.

- Risikoreduktion: Einsatz von Sicherheitsmaßnahmen.

- Risikobeseitigung: Änderung oder Einstellung des risikoreichen Prozesses.

—————————————————————

Kontrollanforderungen und Vorgehensweise:

- Organisationen müssen alle relevanten Sicherheitsanforderungen erfüllen.

- Wenn eine Anforderung als irrelevant betrachtet wird, muss dies begründet werden.

Praktische Schritte:

1. Erstellen einer Tabelle mit 114 Controls in der ersten Spalte.

2. Hinzufügen einer Spalte für jedes Top-Level-Asset.

3. Eintragen der Relevanz jedes Controls für jedes Asset.

4. Dient als zentraler Baustein für die Risikobehandlung.

5. Kostenschätzungen für geplante Maßnahmen werden in den Genehmigungsprozess integriert.

6. Zusammenfassung der Daten im Statement of Applicability (SoA).

- Physische Absicherung von Gebäuden

- Technische Absicherung von Netzschnittstellen

- Umgang mit klassifizierten Informationen

- Identitäts- und Berechtigungsmanagement

- Kryptographische Maßnahmen

- Datensicherung

- Erkennung und Abwehr von Schadsoftware

- Integration bietet Synergien: Sensibilisierungsmaßnahmen, Dokumentation von TOMs, einheitliche Prozesse.

- ISMS deckt Rechenschaftspflichten nach Art. 5 Abs. 2 EU-DSGVO: Zuständigkeiten, Qualifikationen, Richtlinien, Berichtswesen.

- Trennung verursacht doppelte Funktionen und Dokumentationsaufwände.

- Integration von Datenschutzmaßnahmen wirtschaftlicher bei bestehendem ISMS.

- Nachweisbares Managementsystem stärkt Vertrauen von Geschäftspartnern und Kunden.

das Recht des Einzelnen, grundsätzlich selbst über die Preisgabe und die Verwendung

seiner personenbezogenen Daten zu bestimmen

—>Jede(r) entscheidet selbst, welche persönlichen Daten in welcher Form

verwendet werden dürfen

—>Einschränkungen von diesem Grundrecht bedürfen einer gesetzlichen

Grundlage

Personenbezogene Daten:

Daten, die eine Person identifizieren (z.B. Kontaktdaten, Standort, IP-Adressen).

Datenverarbeitung:

Jede Tätigkeit mit persönlichen Daten (z.B. Erhebung, Speicherung, Nutzung, Löschung).

Datensubjekt/Betroffener:

Die identifizierbare Person, auf die die Daten sich beziehen.

Verantwortlicher/Controller:

Person oder Einrichtung, die über Zwecke und Mittel der Datenverarbeitung entscheidet.

Verarbeiter/Processor:

Person oder Einrichtung, die Daten im Auftrag des Verantwortlichen verarbeitet.

Einwilligung:

Einwilligung nach DSGVO ist eine freiwillige, informierte und unmissverständliche Zustimmung zur Verarbeitung personenbezogener Daten durch eine klare Handlung oder Erklärung.

Incident Response Management:

Die EU-DSGVO fordert die Dokumentation und Meldung von Datenschutzvorfällen an die Aufsichtsbehörde innerhalb von 72 Stunden bei Risiko für Betroffene. Hohe Risiken müssen den Betroffenen unverzüglich mitgeteilt werden.