IT-Projektmanagement
Ich mache Ihre Organisation wieder beweglich!
Organisationen benötigen heutzutage einen zuverlässigen Partner, der sie in Fragen der Informationssicherheit kompetent berät und mit Hilfe pragmatischer Maßnahmen bei der Umsetzung unterstützt. Gemeinsam mit meinem Team helfe ich Unternehmen dabei, den individuellen Anforderungen aus Governance, Risk und Compliance gerecht zu werden. Dazu gehören zum Beispiel die Umsetzung von Maßnahmen im Rahmen der DSGVO oder die Entwicklung von Konzepten zum Aufbau eines Informationssicherheits-managementsystems (ISMS) gemäß den ISO-Normen sowie dem BSI IT-Grundschutz.
Ich gewährleiste aktuelles Wissen und hochwertige Expertise:
#Werbung:) Von Null auf Homeoffice
Masterplan für kollaboratives Arbeiten von überall
Die aktuelle Corona Krise zwingt die Menschen von jetzt auf gleich ins Homeoffice zu gehen. Für einige ist es normaler Alltag. Für andere eine Umstellung. Dabei finden schon jetzt die Hälfte aller Jobs am Computer statt. Eine Studie der US-Eliteuniversität Stanford hat sogar herausgefunden, dass Mitarbeiter von Zuhause aus deutlich produktiver sind.
Dieses Praxisbuch: „Von Null auf Homehoffice – Masterplan für kollaboratives Arbeiten von Überall“ unterstützt Führungskräfte und Mitarbeitende optimal für das Miteinander von Zuhause aus. Ob im Selbst- und Aufgabenmanagement, dem kollaborativen Arbeiten im Team oder im Rahmen von Online-Meetings. Zu allem finden Leserinnen und Leser handfeste Lösungen und Checklisten sowie den Zugang zu weiteren Online-Hilfestellungen.
Die 5 wichtigsten Tipps um im Homeoffice durchzustarten
Vertiefende Informationen und Methoden, die die online Zusammenarbeit vereinfachen
Vergleichende Übersicht über gängige Tools und deren Funktionen für die Zusammenarbeit
Checklisten zur Überprüfung des eigenen Standes und Zusatzmaterialien
Ulrike und Andreas Dolle sind ausgewiesene Experten für Veränderungsgestaltung, Unternehmenserfolg und für relevante Zukunftsthemen. Sie führen als geschäftsführende Gesellschafter das Bildungs- und Beratungsunternehmen ADM, sowie die „commumo, the digital vision company“. Seit 2014 sind sie mit Ihren Unternehmen vollständig digitalisiert und leben Mobilität, Agilität und Innovation im digitalen Raum mit Ihrem Team und allen Partnern. Das Buch „Von Null auf Homeoffice“ ist ein konsequenter Praxisratgeber der das Management, die Führung, sowie auch die Mitarbeitenden nachhaltig bei der Umsetzung dieser zeitgemäßen Arbeitsform unterstützt und Tempo in eine verlässliche Umsetzung bringt.
Mehr Infos unter: https://von-null-auf-homeoffice.de/
Der Experte für Ihre zeitkritischen Geschäftsprozesse
Der Business Continuity Manager
Business Continuity Management (BCM) bezeichnet zusammenfassend eine Managementmethode, die anhand eines Lebenszyklus-Modells die Fortführung der Geschäftstätigkeit unter Krisenbedingungen oder zumindest unvorhersehbar erschwerten Bedingungen absichert. Darunter fallen auch Angriffe auf die Informationssicherheit, denn die meisten unternehmenskritischen Prozesse sind digitalisiert oder beruhen auf automatisierten Prozessen. Gemeinsam mit meinem Team helfe ich Unternehmen dabei Strategien zu entwickeln, die Ihre Geschäftsprozesse schützen und somit ein Höchstmaß an Verfügbarkeit zu erreichen.
IT-Notfallplanung
Business Impact Analyse (BIA)
Schadensanalyse und Schadensklassen
Risikomanagement
Notfallvorsorge und Notfallbewältigung
Kontinuierliche Verbesserung des BCM
Geschäftsleitung
Management / Führungskreise
Leitung IT / Administratoren
IT-Sicherheitsbeauftragte / Chief Information Security Officer (CISO)
Chief Information Security Officer
Datenschutzbeauftragte
Agiles Projektmanagement
Schneller Ergebnisse sehen
Wer am weitesten plant, wird am härtesten bestraft? Kennen Sie das nicht auch aus einem Ihrer letzten Projekte? Wenn Sie nach sorgfältigster Planung feststellen, dass es doch teurer wird als geplant? Das „auf einmal“ und „ganz plötzlich“ neue Anforderungen auftauchen, die das Budget sprengen? Fast schon selbstverständlich werden diese Eventualitäten vorher mit eingeplant und verteuern das Projekt bereits vor dem Beginn erheblich. Häufig wird dann der Rotstift angesetzt und wichtige Maßnahmen werden schon vor der ersten Umsetzung wieder gestrichen.
Der Ansatz moderner PMM-Methoden lautet: „Beweglich bleiben“.
Die meisten Projekte definieren sich aus Zeit und einem festgelegten Budget. Viel zu selten findet der „echte“ Nutzen am Produkt und die „wahre“ Kundenzufriedenheit ausreichende Beachtung. Aber nur durch ein frühzeitiges erstes Feedback der Kunden, erhalten wir doch die aufschlussreichen Hinweise für wichtige Verbesserungen. Einer der Gründe, warum im Silicon Valley Unternehmen so schnell erfolgreich werden, ist die Tatsache, dass die ersten kaufbaren Produkte zwar keinem deutschen Qualitätsanspruch genügen würden, aber dafür wertvolle Informationen über das Produkt im Einsatz liefern. Ich zeige Ihnen, wie Sie bereits in der Planungsphase Ihres Projektes, die Sammlung wichtiger digitaler Daten entsprechend berücksichtigen.
Häufig beobachte ich in Organisationen, dass sich die Projektmitglieder in Ihrer Rolle nicht vollständig wohl fühlen und damit keine Bestleistung bringen können. Sie identifizieren sich nicht ausreichend mit ihrer Aufgabe und lösen damit eine Kettenreaktion aus. Oftmals sind diese Personen einfach nicht für diese Aufgabe geeignet und sie verschwenden ihr wahres Potenzial mit einer Tätigkeit, die nicht zu Ihnen passt. Ich sorge beim Teambuilding für die passende Rollenbesetzung und stelle Ihr individuelles Winner-Team anhand von individuellen Persönlichkeitsprofilen zusammen. Dabei spielen Dominanz, Initiative, Stetigkeit und Gewissenhaftigkeit eine wichtige Rolle. Diese Eigenschaften sind die DNA Ihres neuen Teams!
Projekt
Der Experte für Ihre IT-Sicherheit
Der IT-Sicherheitsbeauftragte
Die Hauptaufgabe eines IT-Sicherheitsbeauftragten (ITSiBe) bzw. Chief Information Security Officer (CISO) ist die Unterstützung der Unternehmensführung zur Erreichung eines angemessenen Informationssicherheitsniveaus. Dazu gehört die Koordination der Sicherheitsziele, die Aufarbeitung des Berichtswesens für die Unternehmensleitung sowie die stetige Kontrolle der Realisierung der Sicherheitsmaßnahmen durch das Erreichen der drei Schutzziele: Vertraulichkeit, Verfügbarkeit und Integrität.
Planung, Umsetzung und Kontrolle der IT-Compliance
IT-Sicherheitsgesetz, kritische Infrastrukturen (KRITIS)
ISMS-Zertifizierung, Auditvorbereitung
Nach ISO 27001 (Native) oder gem. BSI IT-Grundschutz
Sicherheitsstrategie / -ziele
Projektmanagement
Bankenaufsichtliche Anforderungen an die IT (BAIT)
Risikomanagement
Telekommunikationsprovider & Hoster
§109 Abs. 4 1.Satz Telekommunikationsgesetz (TKG)
Krankenhäuser, Energieversorger, Banken
Entwicklung und Koordination
Auditvorbereitung bis zur Zertifizierungsreife
Projektmanagement, Begleitung, Schulung
Geschäftsführung & Controlling
Entwicklung individueller Leitlinien und innovativer Workflows
(Privat-) Banken und Versicherer
IT-Risk Management nach BSI IT-Grundschutz und ISO 31000 / ONR 4900x,
Internet- und Telekommunikationsprovider
ISO 27001 und ISMS-Umsetzungen
Externer Datenschutz mit
TÜV-zertifizierter Expertise
Analysen und Methoden nach BSI IT-Grundschutz
Um die ersten Anforderungen der DSGVO umzusetzen, bedarf es einer sorgfältigen Planung und der nach Art. 32 DSGVO geforderten „Verhältnismäßigkeit“ in der Umsetzung der technischen und organisatorischen Maßnahmen.
Häufig können bereits mit einfachsten Mitteln erste wichtige Schritte umgesetzt werden, darunter die Identifikation der Auftragsdatenverarbeiter und die Dokumentation der Verfahren, mit denen Sie personenbezogene Daten erheben, verarbeiten und ggf. weitergeben. Die Dokumentation dieser Schritte kann die Basis für ein Informationssicherheits-Managament (ISMS) werden.
Eine IT-Strukturanalyse schafft mehr Klarheit, identifiziert die Schutzbedarfe Ihrer Organisation in Bezug auf die infrastrukturellen Anforderungen (Zutritt, Zugang, Zugriff) und schafft somit die Basis zur Erfüllung der Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität.
In der Prüfungsphase werden die konkreten Anforderungen an Ihre Organisation aufgenommen. Interviews mit relevanten Personen helfen dabei, die Kernprozesse zu identifizieren. Zudem ergeben sich folgende Fragestellungen:
Gemeinsam mit den Verantwortlichen Ihrer Organisation übernehmen wir zuverlässig die Planung und Umsetzung der entsprechenden Maßnahmen wie:
Die anschließende Betreuung und Entwicklung eines Datenschutz-Reifegrads wird durch mich und mein Team in regelmäßigen Abständen geprüft und beinhaltet diese Schritte:
- Welche Anforderungen stellt die DSGVO an meine Organisation?
- Welchen Datenschutzreifegrad hat meine Organisation aktuell?
- Welche konkreten Maßnahmen zur Umsetzung entstehen daraus?
- Planung der technischen und organisatorischen Maßnahmen
- Umsetzung der Maßnahmen im Betrieb
- Prüfung und Überwachung der Prozesse
- Aufrechterhaltung und Verbesserung der Abläufe
- Überwachung der Maßnahmen
- Aufrechterhaltung und Verbesserung
- Schulung der Mitarbeiter
- Führen von Quartalsgesprächen mit der Geschäftsleitung
Externer Datenschutz oder Koordination Ihres Datenschutzes?
Sie entscheiden welche Rolle wir übernehmen sollen
Lassen Sie uns gemeinsam darüber nachdenken, ob die Benennung eines internen Datenschutzbeauftragten für Ihre Organisation sinnvoll ist und wir die Koordination übernehmen, oder Sie uns als externe DSB ernennen und wir die gesamte Betreuung zuverlässig organisieren.
Gerne entwickeln wir ein individuelles Datenschutz-Konzept für Sie.
Professionelle Bestandsaufnahme durch ein TÜV Nord geprüften Datenschutzbeauftragten
Übernahme der Aufgaben aus Art.39 DSGVO (Haftung, Vorabprüfung, Unterweisungen, etc.)
Vertretung bei Datenschutzbelangen intern und extern
Vertretung der Datenschutzbelange des Auftraggebers
Vertretung bei Kontrollen durch die Datenschutzaufsichtsbehörde
Unterweisung von Mitarbeitern, die personenbezogene Daten verarbeiten durch Präsenzschulungen und weitere geeignete Maßnahmen
Führung des Verzeichnisses der Verarbeitungstätigkeiten gem. Art 30 DSGVO
Durchführung von Datenschutzfolgen-Abschätzungen gemäß Art.35/36 DSGVO sofern notwendig
Prüfung der Zulässigkeit der Verarbeitung personenbezogener Daten (Erhebung, Speicherung, Übermittlung, Sperrung, Löschung)
Prüfung der Benachrichtigungspflichten gegenüber Betroffenen
Kontakte zu Behörden und Verbänden zur Klärung datenschutzrechtlicher Problemstellungen mit Einverständnis des Auftraggebers
Umfassende Dokumentensammlung inklusive aller relevanten Verträge und Vereinbarungen
Informationsvermittlung an den Auftraggeber z.B. über Gesetzesnovellen, EU-Richtlinien, Persönlichkeitsrecht und Rechtsprechung zu datenschutzrechtlich relevanten Themen.
Der Auftraggeber kann den Auftragnehmer auch zu Fragen der allgemeinen Datensicherheit in Anspruch nehmen. Das betrifft insbesondere die Gestaltung der innerbetrieblichen Organisation im Sinne des Art.32 DSGVO, um den besonderen Anforderungen des Datenschutzes gerecht zu werden, z.B.
Zugriffskontrolle
Zutrittskontrolle
Zugangskontrolle
Weitergabekontrolle
Eingabekontrolle
Verfügbarkeitskontrolle
Erstaufnahme Datenschutzkonzept, Erstellung und Pflege des Verzeichnisses der Verfahren
Datenschutz-Dokumentation inkl. Abbildung technisch-organisatorischer Maßnahmen
Beratung in Informationssicherheit, IT-Compliance, Business Continuity und IT-Governance
Komplexe Themen im Datenschutz stellen auch interne Datenschutzbeauftragte vor große Herausforderungen
Obwohl die Rolle eines Datenschutz-Koordinators nicht den Datenschutzbeauftragten ersetzt, so erlangt sie mehr und mehr Popularität, wenn es um die Verteilung von internen und externen Kompetenzen im Datenschutz-Team geht. Häufig verfügen bereits bestellte (interne) Datenschutzbeauftragte nicht über die vollen Kompetenzen aus technischer, organisatorischer, strategischer und rechtlicher Sicht. Sie verfügen jedoch über Expertenwissen über die internen Prozesse des Unternehmens. In diesem Fall ist der Einsatz eines Datenschutz-Koordinators ggf. sinnvoll. Er kann das Datenschutz-Projekt führen und gezielt Konzepte zur Umsetzung entwickeln.
Diese Themen können in der Koordination des Datenschutzes für Sie relevant sein:
Prüfung der aktuellen Anforderungen der DSGVO in Bezug auf ISO 27001 und BSI IT-Grundschutz
Organisation der Umsetzung technischer und organisatorischer Maßnahmen
Überwachung und Organisation der Schulungsmaßnahmen
Organisation der Kommunikation zwischen internem Datenschutz und externem IT-Dienstleister
Organisation der Kommunikation zwischen externem Datenschutz und der internen IT-Abteilung
Bestandsaufnahme
Ziel einer datenschutzrechtlichen Bestandsaufnahme ist es, den derzeitigen Status quo eines Unternehmens anhand von gesammelten Materialien zu erfassen und mit den Anforderungen der DSGVO in Bezug auf Artikel 32 DSGVO zu vergleichen. Die Vorgehensweise der IT-Strukturanalyse entspricht dabei den Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Der Experte für IT-Risikomanagement
Der IT Risk Manager
IT-Risk Manager unterstützen die rechtskonforme Umsetzung geeigneter Maßnahmen im Bereich der Informationssicherheit, um die Bedrohungen für den IT-Betrieb erkennen und lenken zu können.
Als dritte Einwirkgröße neben Compliance und Governance schafft das Riskmanagement mittels KPI’s (Key Performance Indicator) wichtige Kennzahlen zur Bewertung von Risiken und organisiert notwendige Maßnahmen zur Sicherstellung der Schutzziele Verfügbarkeit, Vertraulichkeit, Authentizität und Integrität. Die ganzheitliche Betrachtung der eigenen Risikosituation ist ein wichtiger Bestandteil der Umsetzung eines IT-Risikomanagements.
Aufbau, Aufrechterhaltung und Umsetzung eines Risikomanagementsystems (RMS)
Softwaregestützte Organisation Ihres Risikomanagements
Auswertung und Analysen
Unterstützende Managementsysteme
Informationssicherheitsmanagementsystem (ISMS) und Business Continuity Management System (BCMS)
Risikostrategie
Reduzierung, Vermeidung, Übernahme oder Transfer?
Business Impact Analyse
Analyse besonders zeitkritischer Schadensvorfälle
Risiko-Analyse, -Identifikation, -Abschätzung, -Bewertung und -Bewältigung
Der Risikomanagementprozess
Organisationen mit zeitkritischen Geschäftsprozessen
Kritische Infrastrukturen (KRITIS)
Banken und Versicherungen
Öffentliche Einrichtungen
Produktionsbetriebe für die Lebensmittelwirtschaft
Rüstung und Militär
Telekommunikationsprovider und Rechenzentren
IT-Grundschutz - der Wegweiser für Ihre Informationssicherheit!
Für Unternehmen und Behörden ist es heutzutage unerlässlich, dass Informationen korrekt vorliegen und vertraulich behandelt werden. Entsprechend wichtig ist auch, dass die technischen Systeme, auf denen Informationen gespeichert, verarbeitet oder übertragen werden, reibungslos funktionieren und wirksam gegen vielfältige, immer wieder neuartige Gefährdungen geschützt sind.
Wüssten Sie gerne, ob die bei Ihnen umgesetzten Maßnahmen für Informations-sicherheit ausreichen, um schwere Schäden zu verhindern und auf Sicherheits-vorfälle angemessen reagieren zu können?
Benötigen Sie Hilfe bei der Entwicklung eines Sicherheitskonzepts?
Suchen Sie Unterstützung für die systematische Überprüfung der in Ihrem Zuständigkeitsbereich vorhandenen oder geplanten Sicherheitsmaßnahmen?
Möchten Sie, dass diese Maßnahmen allgemein anerkannten Standards genügen?
Wenn Sie eine dieser Fragen mit „Ja“ beantworten, dann sollten Sie sich mit dem IT-Grundschutz beschäftigen. Dort wird detailliert beschrieben, welche Anforderungen erfüllt sein müssen, um kostengünstig ein für übliche Einsatzbereiche und Schutzanforderungen angemessenes und bei höherem Schutzbedarf leicht ausbaufähiges Sicherheitsniveau zu erlangen. Er bietet zudem eine weithin anerkannte Methodik, mit der Sie auf effiziente Weise ein zu den Gegebenheiten Ihrer Einrichtung passendes Sicherheitskonzept entwickeln und überprüfen können.
Der IT-Grundschutz des BSI bietet eine gute Grundlage dafür, nachfolgende Herausforderungen auf professionelle Weise gerecht zu werden und die Bemühungen für Informationssicherheit zu strukturieren. Er ermöglicht es Unternehmen und Behörden, systematisch nach Schwachstellen zu suchen, die Angemessenheit umgesetzter Schutzmaßnahmen zu prüfen und Sicherheitskonzepte zu entwickeln und fortzuschreiben, die zu den Geschäftsprozessen, Fachaufgaben und Organisationsstrukturen der Institution passen und allgemein anerkannten Standards genügen.
Komplexität der Gefährdungslage:
Gefährdungen können unterschiedlichste Ursachen haben und auf mannigfaltigen Wegen die Ziele der Informationssicherheit verletzen. Angriffe von Hackern, Fahrlässigkeiten oder technische Mängel sind ebenso im Blick zu behalten wie Naturkatastrophen und andere Formen höherer Gewalt.
Ganzheitlichkeit der Sicherheitskonzepte:
Informationssicherheit erfordert Maßnahmen auf mehreren Ebenen: Betroffen sind nicht nur die IT-Systeme, sondern auch die Organisation, das Personal, die räumliche Infrastruktur, die Arbeitsplätze und die betrieblichen Abläufe.
Zusammenwirken der Sicherheitsmaßnahmen:
Damit die eingesetzten Sicherheitsmaßnahmen die komplexe Gefährdungslage hinreichend in den Griff bekommen können, müssen die organisatorischen, technischen und infrastrukturellen Schutzvorkehrungen zu der jeweiligen Institution passen, an der tatsächlich bestehenden Gefährdungslage ausgerichtet sein, sinnvoll zusammenwirken und von der Leitung und den Beschäftigten unterstützt und beherrscht werden.
Angemessenheit der Sicherheitsmaßnahmen:
Es ist auch auf die Wirtschaftlichkeit und Angemessenheit der Sicherheitsmaßnahmen zu achten. Den bestehenden Gefährdungen muss zwar wirkungsvoll begegnet werden, die eingesetzten Maßnahmen sollten aber an dem tatsächlich bestehenden Schutzbedarf ausgerichtet sein und dürfen eine Institution nicht überfordern. Unangemessen kostspielige Maßnahmen sind zu vermeiden, ebenso solche Vorkehrungen, durch die wichtige Abläufe einer Institution über Gebühr behindert werden.
Erfüllung externer Anforderungen:
Es wird heutzutage für viele Unternehmen und Behörden immer wichtiger, nachweisen zu können, dass sie in ausreichendem Maße für Informationssicherheit gesorgt haben. Dieser Nachweis fällt leichter, wenn eine Institution ihre Vorkehrungen für Informationssicherheit an allgemein anerkannten Standards ausrichtet.
Nachhaltigkeit der Sicherheitsmaßnahmen:
Und nicht zuletzt gilt: Sicherheit ist kein einmal erreichter und fortan andauernder Zustand. Unternehmen und Behörden ändern sich und damit auch die in ihnen schützenswerten Informationen, Prozesse und Güter. Neuartige Schwachstellen und Bedrohungen machen es in gleicher Weise erforderlich, die vorhandenen Sicherheitskonzepte zu überprüfen und weiterzuentwickeln.
Das Angebot des BSI zum IT-Grundschutz besteht aus einer Reihe von Einzelkomponenten. Der Kern besteht aus
• die BSI-Standards zum IT-Grundschutz mit Empfehlungen für den organisatorischen Rahmen und das methodische Vorgehen zur Gewährleistung von Informationssicherheit sowie
• dem IT-Grundschutz-Kompendium, mit dem die in den BSI-Standards formulierten allgemeinen Empfehlungen zum Management von Informationssicherheit konkretisiert und umgesetzt werden können.
In diesem Kurs werden Sie diese Veröffentlichungen genauer kennenlernen und erfahren, welche Hilfestellungen sie Ihnen bei der Steuerung der Informationssicherheit in Ihrer Institution im Einzelnen geben. Nachfolgend einige grundlegende Informationen zur Einordnung dieser und weiterer Dokumente und Hilfsmittel zum IT-Grundschutz.
BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS)
beschreibt, welche grundlegenden Anforderungen ein Managementsystem für Informationssicherheit erfüllen muss, welche Komponenten es enthält und welche Aufgaben zu bewältigen sind. Die Darstellung orientiert sich an den Vorgaben der Norm ISO 27001 und weiterer aktueller internationaler Standards zur Informationssicherheit.
BSI-Standard 200-2: IT-Grundschutz-Methodik
bietet methodische Hilfestellungen zur schrittweisen Einführung eines ISMS in einer Institution an und beschreibt effiziente Verfahren, um die allgemeinen Anforderungen des BSI-Standards 200-1 und der zugrunde liegenden Norm ISO/IEC 27001 zu konkretisieren.
BSI-Standard 200-3: Riskoanalyse auf der Basis von IT-Grundschutz
beschreibt gegenüber anderen Methoden ein vereinfachtes Verfahren zur Risikoanalyse. Diese Methode ist dann wichtig und hilfreich, wenn Komponenten abzusichern sind, bei denen fraglich ist, ob die Erfüllung von Basis- und Standard-Anforderungen für eine ausreichende Sicherheit genügt.
Das IT-Grundschutz-Kompendium ist ein modular aufgebautes umfangreiches Arbeitsinstrument und Nachschlagewerk zur Informationssicherheit. Es besteht aus den IT-Grundschutz-Bausteinen, die in zehn thematische Schichten eingeordnet sind und jeweils unterschiedliche Aspekte betrachten.
Jeder Baustein beginnt mit einer kurzen Einleitung, gefolgt von der Zielsetzung und Abgrenzung des betrachteten Gegenstands zu anderen Bausteinen mit thematischem Bezug. Im Anschluss daran wird pauschal die spezifische Gefährdungslage beschrieben. Danach folgen Sicherheitsanforderungen, die für den betrachteten Gegenstand relevant sind.
Der große Vorteil, den Sie als Anwender des IT-Grundschutz-Kompendiums haben: Sie müssen für die in den Bausteinen beschriebenen Sachverhalte bei normalem Schutzbedarf in der Regel keine aufwändigen Risikoanalysen mehr durchführen. Diese Arbeit wurde von erfahrenen Sicherheitsexperten vorab vorgenommen und ist in die Formulierung der Sicherheitsanforderungen eingeflossen.
Die Anforderungen in den Bausteinen beschreiben, was für eine angemessene Sicherheit getan werden sollte. Wie dies erfolgen kann oder sollte, ist in ergänzenden Umsetzungshinweisen beschrieben, die das BSI für die meisten Bausteine veröffentlicht.
BSI RSS-Newsfeed CERT-Bund
- CB-K21/0333 Update 3 8. April 2021cURL ist eine Client-Software, die das Austauschen von Dateien mittels mehrerer Protokolle wie z. B. HTTP oder FTP erlaubt. Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in cURL ausnutzen, um Informationen offenzulegen und um Sicherheitsvorkehrungen zu umgehen.
- CB-K21/0273 Update 3 8. April 2021GnuTLS (GNU Transport Layer Security Library) ist eine im Quelltext frei verfügbare Bibliothek, die Secure Sockets Layer (SSL) und Transport Layer Security (TLS) implementiert. Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in GnuTLS ausnutzen, um beliebigen Programmcode auszuführen oder einen Denial of Service State herbeizuführen.
- CB-K21/0317 Update 7 8. April 2021OpenSSL ist eine im Quelltext frei verfügbare Bibliothek, die Secure Sockets Layer (SSL) und Transport Layer Security (TLS) implementiert. Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in OpenSSL ausnutzen, um einen Denial of Service Angriff durchzuführen und um kryptografische Sicherheitsmechanismen zu umgehen.
- CB-K21/0081 Update 4 8. April 2021Drupal ist ein freies Content-Management-System, basierend auf der Scriptsprache PHP und einer SQL-Datenbank. Über zahlreiche Extensions kann der Funktionsumfang der Core-Installation individuell erweitert werden. Ein authentisierter Angreifer kann eine Schwachstelle in Drupal ausnutzen, um beliebigen Programmcode mit den Rechten des Dienstes auszuführen.
- CB-K21/0241 Update 5 8. April 2021Squid ist ein Open-Source Web Proxy Cache für Unix und Windows Plattformen. Die Software unterstützt Proxying und Caching von HTTP, FTP und anderen Protokollen, sowie SSL und Access Control Lists. Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Squid ausnutzen, um Sicherheitsvorkehrungen zu umgehen.
Der Experte für IT-Sicherheit gemäß BSI IT-Grundschutz
Der BSI IT-Grundschutz Experte
Vollkommen kostenlos stehen Organisationen jeder Größenordnung die Inhalte des BSI IT-Grundschutz zur Verfügung und bieten eine interessante Alternative zu einer ISO27001 Zertifizierung. IT-Grundschutz kann die Basis für Informationssicherheit in Ihrem Unternehmen sein. Der vom BSI entwickelte IT-Grundschutz hilft dabei, durch ein systematisches Vorgehen, notwendige Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Die BSI-Standards liefern hierzu bewährte Vorgehensweisen, das IT-Grundschutz-Kompendium konkrete Anforderungen.
(Text zum Teil vom BSI übernommen)
BSI-Standard 200-1
Allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS)
BSI-Standard 200-2
BSI-Methodik zum Aufbau eines soliden Informationssicherheitsmanagements (ISMS)
BSI-Standard 200-3
Alle risikobezogenen Arbeitsschritte bei der Umsetzung des IT-Grundschutzes
BSI Basis-Absicherung
Implementierung eines kompletten Sicherheitsprozesses
BSI Kern-Absicherung
Schutz besonders sensibler Daten und Prozesse
Prozessbausteine
Z.B. Organisation und Personal, Detektion und Reaktion
Systembausteine
Z.B. Anwendungen, Infrastruktur, IT-Systeme
Grundschutz Kompendium
Elementare Gefährdungen, Bausteine, Umsetzungshinweise
Elementare Gefährdungen
Bisher 47 Gefährdungslagen von Anschlag bis Zerstörung von Geräten
Umsetzungshinweise
Z.B. zur Sensibilisierung und Schulung des Personals ORP.3
Modellierung
Entwicklung eigener Anforderungen auf Basis bestehender Bausteine
News und Trends der Informationssicherheit
Nachrichten rund um das Thema Datenschutz & Datensicherheit.
Maßnahmen gegen Exchange-Server- Angriffe
Awareness Teil 12:“Richtiges Verhalten im Schadens- oder Notfall“
Awareness Teil 11:“Hintergründe – Passwortsicherheit“
Awareness Teil 10:“Sie persönlich als Angriffsziel“
Awareness Teil 9:“Frei zugängliche Informationen – Einblicke & Hintergründe“
Awareness Teil 8:“Persönliche Informationen in sozialen Netzwerken“
Awareness Teil 7:“Gefährliche USB-Sticks“
Awareness Teil 6:“Kabellose Verbindungen“
BSI RSS-Newsfeed Sicherheitshinweise des Bürger-CERT
- Mozilla Thunderbird: Mehrere Schwachstellen ermöglichen Umgehen von Sicherheitsvorkehrungen 8. April 2021Thunderbird ist ein Open Source E-Mail Client.
- ClamAV: Mehrere Schwachstellen 7. April 2021ClamAV ist ein Open Source Virenscanner.
- Trend Micro AntiVirus: Schwachstelle ermöglicht Privilegieneskalation 7. April 2021Trend Micro AntiVirus ist eine Anti-Viren-Software.
- Kaspersky Produkte: Mehrere Schwachstellen 7. April 2021Kaspersky ist ein Hersteller von Antivirus Software. Kaspersky Software wird auch in den Produkten vieler anderer Hersteller eingesetzt. Kaspersky Total Security ist ein Sicherheitspaket mit Antivirus und Firewall und mit zusätzlichen Funktionen zur Verschlüsselung und integriertem Passwortmanager
- Android Patchday April 5. April 2021Das Android Betriebssystem von Google ist eine quelloffene Plattform für mobile Geräte. Die Basis bildet der Linux-Kernel.
- Google Chrome: Mehrere Schwachstellen 30. März 2021Chrome ist ein Internet-Browser von Google.
- Apple iOS: Schwachstelle ermöglicht Cross-Site Scripting 28. März 2021Das Apple iOS (vormals iPhone OS) ist das Betriebssystem für das von Apple entwickelte Smartphone iPhone, iPad und iPod Touch. Das Apple iPadOS ist das Betriebssystem für das von Apple entwickelte iPad.
- ClamAV: Schwachstelle ermöglicht Denial of Service 24. März 2021ClamAV ist ein Open Source Virenscanner.
- Mozilla Firefox: Mehrere Schwachstellen 23. März 2021Firefox ist ein Open Source Web Browser. ESR ist die Variante mit verlängertem Support. Thunderbird ist ein Open Source E-Mail Client.
- Foxit Phantom PDF Suite: Mehrere Schwachstellen 22. März 2021Phantom PDF Suite ist ein Toolkit zur Erstellung von PDFs. Foxit Reader ist ein PDF Reader.
Kontakt
Mein Büro befindet sich in Hannover Mitte in der Nähe vieler Ministerien und dem Landeskriminalamt. Buchen Sie mich und mein Team am einfachsten über unser Buchungssystem (Microsoft Bookings), bei dem Sie sich Ihren Wunschtermin ganz individuell aussuchen können. Telefonisch erreichen Sie uns montags – freitags zwischen 10:00 Uhr und 16:30Uhr.
Datenschutz & Informationssicherheit
E-Mail: Datenschutz@tbcs.it
Phone: +49 511 936 88 170
Projektmanagement
E-Mail: Projektmanagement@tbcs.it
Phone: +49 511 936 88 172
Buchhaltung
E-Mail: Buchhaltung@tbcs.it