Beiträge der UI Manufaktur

Thema Informationssicherheit

InformationssicherheitBlogThemaCybersecurity

Cybersicherheit als Wahlthema 2021

Zwischen all den Debatten um Klima und Kohle ist das Thema Cybersicherheit aus dem Fokus der Parteien im Wahlkampf gerückt, obwohl aktuelle Ereignisse aufzeigen, wie wichtig das Thema Sicherheit für die deutsche Wirtschaft ist.

InformationssicherheitBlogThemaBIANotfall

Schützen Sie Ihr Geschäft mit Business Impact Analysis (BIA)

Viele Maßnahmen betrachten die Vermeidung von Schäden. Doch war wäre, wenn der Schaden eintritt und wichtige Geschäftsprozesse davon betroffen sind. Hier setzt die Business-Impact-Analyse an.

InformationssicherheitBlogThemaISMS

Ein Informationssicherheitsmanagementsystem oder kurz ISMS

Die ISO 27001 beschreibt auf verschiedensten Kapiteln Anforderungen an ein System zum Management der Informationssicherheit. Ich will diesen Begriff in diesem Beitrag etwas schärfen, beginnend beim Begriff Managementsystem.

InformationssicherheitBlogThemaSchutzziele

Schützenswerte Schutzziele

Jeder kennt Dinge und damit persönliche Ziele, die es zu schützen gilt. Ähnlich ist es in der Informationssicherheit, beschrieben z.B. in Normen wie die ISO27000. Der nachfolgende Beitrag will einen kurzen Überblick über Basis- und abgeleitete Schutzziele geben.

InformationssicherheitBlogThemaISO27001

ISO 27001, der globale Weg zu einer Zertifizierung

Ob BSI-Grundschutz oder KRITIS, überall versteckt sich der internationale Standard für Informationssicherheit 27001. Zeit für eine kurze Vorstellung

InformationssicherheitBlogThemaIS-Frameworks

Informationssicherheit, die zu Euch passt.

Die Standards und Richtlinien zur Informationssicherheit sind eine gute Basis für die Sicherheit in Eurem Unternehmen, oft aber viel zu weitreichend. Daher passt die Sicherheit an Euer Unternehmen an.

InformationssicherheitBlogThemaNIST

Was gibt es noch? Z.B. die NIST 800-53

In Deutschland ist der BSI-Grundschutz führend. In anderen Ländern gibt es andere Richtlinien. Werfen wir einen Blick über den Teich und entdecken die NIST 800-53

InformationssicherheitBlogThemaLebenszyklus

Immerwährende Sicherheit

Sicherheitsprozesse haben so eine lästige Eigenschaft. Sie fangen irgendwann an, aber sie kennen kein Ende und keine Abschluss. Hier liegt der große Unterschied z.B. zu einem Projekt, welches Anfang und Ende sehr wohl kennt.

InformationssicherheitBlogThemaMalware

Impfung gegen Schadsoftware

Schon vor der Etablierung des Internets gab es Schadsoftware, die Computer angriffen und Besitzer in den Wahnsinn trieben. Schadsoftware ist daher ein Thema, welches heute und auch in der Zukunft immer wieder aktuell sein wird. Wir werfen ein Blick in die Thematik.

InformationssicherheitBlogThemaXSS

Wenn die Webanwendungen zum Angriffstor wird

Cross-Site-Scripting, abgekürzt mit den besser bekannten drei Buchstaben XSS, ist eine häufige Angriffmethode auf Webanwendungen. Durch das Einschleusen von HTML- und JavaScript-Code erfolgt der Angriff auf die Benutzer und dahinter gelagerter Systeme. 

InformationssicherheitBlogThemaAudit

Audits in der ISO 27001

Audit sind wichtige Instrumente für den Nachweis der Konformität, also der Einhaltung von Standards und Richtlinien. Hierbei gibt es unterschiedliche Betrachtungsweisen, in diesem Beitrag aus dem Blickwinkel der ISO 27001.

InformationssicherheitBlogThemaProblem

Probleme vermeiden mit Problem Management

Innerhalb der IT kann es zu Störungen und anderen Problemen kommen. Hier setzt das Problem Management an.

Das Problem Management umfasst Methoden zur Ursachenanalyse zur Bestimmung und Behebung der Ursachen von Incidents sowie proaktive Maßnahmen zur Ermittlung und Vermeidung künftiger Probleme/Incidents ("Lesson Learned").

Hierzu zählt z.B. die Erstellung von Known Error Records, die Ursachen und Workarounds dokumentieren, anhand derer künftige Probleme schneller diagnostiziert und gelöst werden können.

InformationssicherheitBlogThemaMonitoring

Mit Monitoring alles im Auge behalten

Unter dem Sammelbegriff Monitoring werden verschiedene Arten der Erfassung, Beobachtung oder Überwachung eines Vorgangs oder Prozesses durch technische Hilfsmittel oder andere Kontrollsysteme betrachtet. So führt ein überwachter Ablauf, der vorgegebene Schwellwerte eines überwachten Systems unter- bzw. überschreitet zu einer Event Benachrichtigung.

InformationssicherheitBlogThemaSoD

Segregation of Duties - Aufgabengerechte Rechte

SoD steht für Funktionstrennung (eng.: segregation of duties / separation of duties). Hierbei wird die funktionale und organisatorische Trennung von Aufgaben und Rechten betrachtet. Durch die Trennung können möglichen Interessenkollisionen vermieden werden. Beispiel: Für die Bestellung beim Lieferanten ist andere Person als bei der Bezahlung der resultierenden Rechnung zuständig.

InformationssicherheitBlogThemaDMZ

Willkommen im Empfang, der Demilitarized Zone.

Eine typische IT-Infrastruktur wird in interne und externe Bereiche, nach sicherheitskritischen Kriterien aufgeteilt. Eine Demilitarized Zone (DMZ) bezeichnet einen Teil dieser IT-Infrastruktur, bei dem die Zugriffsmöglichkeiten auf die daran angeschlossenen Server sicherheitstechnisch kontrolliert werden. Die in der DMZ aufgestellten Systeme werden durch eine oder mehrere Firewalls gegen andere Netze abgeschirmt. Diese Trennung bewirkt  dass zwar auf öffentlich erreichbare Netze zugegriffen werden kann, aber auch das interne Netz zugleich vor unberechtigten Zugriffen geschützt wird.

InformationssicherheitBlogThemaCISO

Wer und Wo ist die Sicherheit? Beim CISO

Die Person oder Abteilung CISO (Chief Information Security Office) ist zuständig für die Wahrnehmung aller Belange der Informationssicherheit innerhalb eines Unternehmens. Im Kern berät das CISO bzw. der/die CISO die Geschäftsführung zur Informationssicherheit und betreibt das Information Security Management System (ISMS). Über die Erstellung von Unternehmensleitlinie zur Informationssicherheit verankert das CISO gemeinsam mit der Geschäftsführung die Grundsätze, Ziele und strategische Positionierung der Informationssicherheit innerhalb des Unternehmens. Das CISO stellt sicher,  dass das ISMS, die IS-Strategie und das ISMS der Geschäftspartner miteinander kompatibel bzw. interoperabel sind und geeignete Schnittstellen etabliert werden. Oft übt darüber hinaus das CISO die Governance im Unternehmensauftrag aus.

InformationssicherheitBlogThemaSicherheit

Finger weg oder Du darfst

Access Control Lists ist ein Konzept zur Zugriffssteuerung. Eine Access Control List (ACL) besteht aus mehreren Berechtigungen  die an einem Objekt hängen. Diese Liste an Berechtigung legt fest, wer oder was berechtigt ist, auf das Objekt zuzugreifen und welche Operationen auf dem Objekt auszuführen.

Sortieren

Erstellungsdatum
Erstellungsdatum
Erstellungsdatum

Filter