IT auf Großbaustellen
XING Event 3:
Security und Compliance
Montag 07.04.2014, 10:30 – 11:15
Manfred Meise – Geschäftsführ...
© mmi consult GmbH 2005 - 2014
Über uns und über mich …
IT auf Großbaustellen
 mmi consult GmbH
IBM Business Partner der...
© mmi consult GmbH 2005 - 2014
Agenda
1. Security und Compliance der Baustellen-IT:
Risikoabschätzung und -bewertung
2. Te...
Security und Compliance der Baustellen-IT:
Risikoabschätzung und -bewertung
© mmi consult GmbH 2005 - 2014
Datenschutz wird leider zu gering bewertet …
IT auf Großbaustellen
© mmi consult GmbH 2005 - 2014 IT auf Großbaustellen
Begriffsdefinitionen: Worum geht es eigentlich?
 Vertraulichkeit
 D...
© mmi consult GmbH 2005 - 2014
Bedrohungen der IT Sicherheit
IT auf Großbaustellen
Bedrohung
Effekte und Ziele
Systemausfa...
© mmi consult GmbH 2005 - 2014 IT auf Großbaustellen
Bedrohung + Schwachstelle = Gefährdung
 Eine Bedrohung allein ist wi...
© mmi consult GmbH 2005 - 2014
Risikomanagement
 Risikoidentifikation:
 Bestimmung relevanter Assets
(Prozesse, IT-Syste...
Technische Maßnahmen zum Schutz von Systemen und Daten
© mmi consult GmbH 2005 - 2014
Existierende Empfehlungen und Best Practices
IT auf Großbaustellen
 Bundesamt für Sicherhe...
© mmi consult GmbH 2005 - 2014
Ausgewählte Maßnahmen für Baustellen
IT auf Großbaustellen
 Infrastruktur
 Zugangskontrol...
Rechtlicher Rahmen für den Betrieb der Baustellen-IT
© mmi consult GmbH 2005 - 2014 IT auf Großbaustellen
Was müssen wir alle berücksichtigen?
 Internationales und nationales...
© mmi consult GmbH 2005 - 2014
Wer ist für die Einhaltung verantwortlich?
IT auf Großbaustellen
 Geschäftsführer
haftbar...
Organisatorische Maßnahmen:
Was müssen Bauleitung und Mitarbeiter beachten?
© mmi consult GmbH 2005 - 2014 IT auf Großbaustellen
Datenschutz organisatorisch umsetzen
 Datenschutzbeauftragte bestell...
© mmi consult GmbH 2005 - 2014 IT auf Großbaustellen
Datenschutz organisatorisch umsetzen … (2)
 Datenschutzvereinbarung ...
Die tägliche Gradwanderung:
Vorgaben einhalten - Handlungsfähigkeit behalten
© mmi consult GmbH 2005 - 2014
Beispiele: IT Sicherheit erhöhen
IT auf Großbaustellen
 Behandlung von Kennwörtern
 Benut...
© mmi consult GmbH 2005 - 2014
Beispiele: Compliance gewährleisten
IT auf Großbaustellen
 Datenschutzvereinbarung
Mit je...
© mmi consult GmbH 2005 - 2014
Offene Fragen
 Audit
Wie ist eine Baustelle aufgestellt?
Kurzfristiger Maßnahmenkatalog
...
© mmi consult GmbH 2005 - 2014
Unsere nächsten Webcast-Themen
 XING Event 1: Die besondere Herausforderung
Besonderheite...
© mmi consult GmbH 2005 - 2014
weitere Informationen und Kontakte …
IT auf Großbaustellen
mmi consult gmbh
Manfred Meise
H...
Nächste SlideShare
Wird geladen in …5
×

IT auf Grossbaustellen - Security und Compliance

498 Aufrufe

Veröffentlicht am

Großbaustellen (Tunnel, Brücken, Straßen, Staudämme etc.) werden fast immer an Orten durchgeführt, wo es kaum oder wenig IT Infrastruktur gibt. Die ausführenden Baufirmen bilden zur Abwicklung oft Arbeitsgemeinschaften (ARGEn). Doch worin besteht das Risiko einer egenen Baustellen.IT? Welche Maßnahmen muss ich mindestens ergreifen, um den wesentlichen Riskiken zu begegnen?

Im Rahmen einer Reihe von Webcasts erörtern wir mit Ihnen die Vor- und Nachteile verschiedener Lösungsansätze um Ihre jetzige Position zu bestätigen oder Ihnen Anregungen zur Neukonzeption zu geben. Nach einem ersten Überblick werden wir die jeweiligen Lösungsansätze in weiteren, kurzen Webcasts vertiefen.

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
498
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
101
Aktionen
Geteilt
0
Downloads
3
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

IT auf Grossbaustellen - Security und Compliance

  1. 1. IT auf Großbaustellen XING Event 3: Security und Compliance Montag 07.04.2014, 10:30 – 11:15 Manfred Meise – Geschäftsführer (manfred.meise@mmi-consult.de)
  2. 2. © mmi consult GmbH 2005 - 2014 Über uns und über mich … IT auf Großbaustellen  mmi consult GmbH IBM Business Partner der ersten Stunde Anwendungslösungen für den Mittelstand Beratung, Schulung, Lösungsbausteine Branchenschwerpunkt: Großbaustellen (ARGEn) http://www.baustellen-it.de  Manfred Meise, Dipl. Ing (FH) Geschäftsführender Gesellschafter IT Berater / Trainer seit mehr als 25 Jahren zertifizierter IBM Produktspezialist Betreuung internationaler Baustellenprojekte
  3. 3. © mmi consult GmbH 2005 - 2014 Agenda 1. Security und Compliance der Baustellen-IT: Risikoabschätzung und -bewertung 2. Technische Maßnahmen zum Schutz von Systemen und Daten 3. Rechtlicher Rahmen für den Betrieb der Baustellen-IT 4. Organisatorische Maßnahmen: Was müssen Bauleitung und Mitarbeiter beachten? 5. Die tägliche Gradwanderung: Vorgaben einhalten - Handlungsfähigkeit behalten IT auf Großbaustellen
  4. 4. Security und Compliance der Baustellen-IT: Risikoabschätzung und -bewertung
  5. 5. © mmi consult GmbH 2005 - 2014 Datenschutz wird leider zu gering bewertet … IT auf Großbaustellen
  6. 6. © mmi consult GmbH 2005 - 2014 IT auf Großbaustellen Begriffsdefinitionen: Worum geht es eigentlich?  Vertraulichkeit  Daten dürfen lediglich von autorisierten Benutzern gelesen bzw. modifiziert werden  gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der Datenübertragung  Integrität  Daten dürfen nicht unbemerkt verändert werden  bzw. es müssen alle Änderungen nachvollziehbar sein  Verfügbarkeit  Verhinderung von Systemausfällen  der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet werden  Compliance  Einhaltung von Verhaltensmaßregeln, Gesetzen und Richtlinien  Einhaltung vertraglicher Vereinbarungen mit dem Bauherrn
  7. 7. © mmi consult GmbH 2005 - 2014 Bedrohungen der IT Sicherheit IT auf Großbaustellen Bedrohung Effekte und Ziele Systemausfall Missbrauch Sabotage Spionage Betrug Diebstahl Ursache oder Mittel Höhere Gewalt Fehlbedienung Malware Vortäuschung falscher Identität DoS Man in the middle Social Engineering Gegenmaßnahmen Management Firewalls Authentifizierung Autorisierung Verschlüsselung Signaturen …
  8. 8. © mmi consult GmbH 2005 - 2014 IT auf Großbaustellen Bedrohung + Schwachstelle = Gefährdung  Eine Bedrohung allein ist wirkungslos  Eine Bedrohung bei Ausnutzung vorhandener Schwachstellen richtet Schaden am Schutzobjekt an  Durch gezielte Gegenmaßnahmen werden Schachstellen „gestopft“. Das Risiko für Schaden wird reduziert oder „auf Null“ gesetzt
  9. 9. © mmi consult GmbH 2005 - 2014 Risikomanagement  Risikoidentifikation:  Bestimmung relevanter Assets (Prozesse, IT-Systeme, Personen, Daten)  Bestimmung der Bedrohungen  Bestimmung der Verwundbarkeiten  Risikoanalyse:  Ermittlung Eintrittswahrscheinlichkeiten  Ermittlung potenzieller Schadensauswirkungen  Risikobewertung:  Priorisierung zu festgestellten Risiken  Risikobehandlung  Wie gehen wir mit den einzelnen Risiken um?  Umgang mit dem Restrisiko IT auf Großbaustellen
  10. 10. Technische Maßnahmen zum Schutz von Systemen und Daten
  11. 11. © mmi consult GmbH 2005 - 2014 Existierende Empfehlungen und Best Practices IT auf Großbaustellen  Bundesamt für Sicherheit in der Informationstechnik (BSI) IT Grundschutz Kataloge: http://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/inhalt_node.html  ITIL® Risk Management http://wiki.de.it-processmaps.com/index.php/Risikomanagement Availability Management http://wiki.de.it-processmaps.com/index.php/Availability_Management Information Security Management http://wiki.de.it-processmaps.com/index.php/IT_Security_Management Compliance Management http://wiki.de.it-processmaps.com/index.php/Compliance_Management Incident Management http://wiki.de.it-processmaps.com/index.php/Incident_Management  Erfahrungen aus eigenen Projekten  Architekturentwürfe und Checklisten
  12. 12. © mmi consult GmbH 2005 - 2014 Ausgewählte Maßnahmen für Baustellen IT auf Großbaustellen  Infrastruktur  Zugangskontrolle, Einbruchsschutz  Blitz- und Brandschutz  fachgerechte und redundante Primärverkabelung  Hardware und Software  Spiegelung / Clustering  Datenschutzprogramme  Virenschutzprogramme  Zugriffskontrolle und –protokollierung  Verwendung von Einmalpasswörtern  Kommunikation  Firewalls (Portfreigaben)  Verschlüsselung (SSL)  Perimeternetze / VLAN (z.B. für Wohncontainer)  Notfallvorsorge  Notfallplan / -konzept  Alternative Stromversorgung  Prüfung der Wiederherstellbarkeit von Beriebsumgebungen nach Sicherheitsvorfällen  Erfassen und Dokumentieren von Sicherheitsvorfällen  u.v.m.
  13. 13. Rechtlicher Rahmen für den Betrieb der Baustellen-IT
  14. 14. © mmi consult GmbH 2005 - 2014 IT auf Großbaustellen Was müssen wir alle berücksichtigen?  Internationales und nationales Datenschutzrecht  regelt die informationelle Selbstbestimmungen und geschützte Geheimnisse  bindent für alle IT Systeme sofern sie nicht ausschließlich privat genutzt werden  Schutz vor Missbrauch, unberechtigter Einsicht oder Verwendung, Änderung oder Verfälschung  Schutz personenbezogener oder persönlicher Daten  Fernmeldegeheimnis (Telekommunikationsgeheimnis), Brief- und Postgeheimnis  Strafrechtliche Verfolgung bei Verletzung  Nachweis- und Auskunftspflichten (Compliance)  GDPdU-konforme Aufbewahrung von Buchhaltungsrelevanten Informationen (Abgabenordnung)  Einhaltung von Handelsgesetzen (z.B. EHUG)  Bautagebuch nach Honorarordnung für Architekten und Ingenieure (HOAI)  Geldbußen bis Mißachtung  Vermeidung von Computerkriminalität  Betrug  Sabotage  Software Piraterie  Fälschung  Ausspähen von Daten  Strafrechtliche Verfolgung bei Verletzung ....
  15. 15. © mmi consult GmbH 2005 - 2014 Wer ist für die Einhaltung verantwortlich? IT auf Großbaustellen  Geschäftsführer haftbar  Datenschutzbeauftrager Aufsicht Weisungsbefugnis  Systemadministratoren Einhaltung von Datenschutzverpflichtung Gewährleistung der Vertraulichkeit (Zugangsmöglichkeit zu allen Informationen)  Mitarbeiter Informationspflicht Zustimmungsregelung Einhaltung von Compliance-Regeln
  16. 16. Organisatorische Maßnahmen: Was müssen Bauleitung und Mitarbeiter beachten?
  17. 17. © mmi consult GmbH 2005 - 2014 IT auf Großbaustellen Datenschutz organisatorisch umsetzen  Datenschutzbeauftragte bestellen  intern / extern  Fachliche Eignung und Aufgaben sind gesetzlich geregelt http://www.gesetze-im-internet.de/bdsg_1990/__4f.html http://www.gesetze-im-internet.de/bdsg_1990/__4g.html  Verstöße unverzüglich melden  Geschäftsführer/Projektleiter  Datenschutzbeauftragter  Daten nur in gesicherten Umgebungen speichern  Keine public Cloud Plattformen  Keine USB Sticks mit nach Hause nehmen  Keine Datensicherung auf Medien, die frei zugänglich sind  Zugänglichkeit von Daten einschränken und festlegen  klare Prozesse zur Festlegung von Berechtigungen  auswertbare Dokumentation über Veränderungen an Berechtigungen  Vertretungsregelungen vorsehen  Wichtige Funktionen im Rahmen des Datenschutzes müssen mehrfach belegt sein
  18. 18. © mmi consult GmbH 2005 - 2014 IT auf Großbaustellen Datenschutz organisatorisch umsetzen … (2)  Datenschutzvereinbarung erstellen und mit jedem Mitarbeiter abschliessen  Rechte / Pflichten darlegen  Zustimmungen für Zustimmungsregelungen einholen (z.B. Entbinden von Telekommunikationsgeheimnis)  Compliance Regeln festschreiben  Stichproben und Protokolle sind erforderlich  Gewohnheitsrecht vermeiden  Regelung zur Verwendung von Email für private Zwecke  Urheberrechte gewährleisten und rechtlich nicht unbedenkliche Inhalte verhindern  Nutzung von Internet  Passwortverwendung  Individuell und Personenbezogen  Regelmäßige Änderung  Zuwiderhandlungen / Verletzungen ahnden  Ignoranz der Verletzung „kann teuer werden“  3rd Party Trust  Externe Administration zur Wahrung des Vertrauenschutzes innerhalb der ARGE  ….
  19. 19. Die tägliche Gradwanderung: Vorgaben einhalten - Handlungsfähigkeit behalten
  20. 20. © mmi consult GmbH 2005 - 2014 Beispiele: IT Sicherheit erhöhen IT auf Großbaustellen  Behandlung von Kennwörtern  Benutzerkennwörter  Individuell – nicht zu einfach  Nicht weitergeben / nicht aufschreiben  Regelmäßig ändern  Administrative Kennwörter  dokumentieren (verschlossen aufbewahren)  herausgabe dokumentieren  Regelmäßig ändern  BYOD SmartPhones und Tablets  Fernmeldegeheimnis und Schutz privater Daten  MDM Lösung mit getrennten Bereichen für geschäftliche / private Daten  Remote Wipe bei Diebstahl oder Ausscheiden von Mitarbeitern  Helpdesk  Hilfestellung für Benutzer  Verletzung des Datenschutzes  Datensicherungen  Automatisierte Backups  Speicherung der Daten in der privaten Cloud  Physikalische Sicherheit erhöhen, Umwelteinflüsse ausschliessen  Verwendung von Cloudbasierten Sytemen  Nutzung zertifizierter kommerzieller Rechenzentren  Virenschutz  Flächendeckend einsetzen
  21. 21. © mmi consult GmbH 2005 - 2014 Beispiele: Compliance gewährleisten IT auf Großbaustellen  Datenschutzvereinbarung Mit jedem Mitarbeiter abschließen „Spielregeln“ festlegen  Mailsignaturen Müssen rechtlich bindende Angaben enthalten  Lizenzverwaltung für Software Nur legal erworbene Software einsetzen Regelmäßige Erhebungen  Vollzugriffsberechtigung auf Daten nur für Mitarbeiter ausserhalb der ARGE Gesellschafter  Datenschutzbeauftragten bestellen Intern/extern
  22. 22. © mmi consult GmbH 2005 - 2014 Offene Fragen  Audit Wie ist eine Baustelle aufgestellt? Kurzfristiger Maßnahmenkatalog  Schulung Alle Baustellenmitarbeiter sensibilisieren/informieren  Datenschutzvereinbarung Inhalt Nachträglich abzuschließen  Wer kümmert sich darum? Expertise im eigenen Haus vorhanden? Externe Unterstützung  Aktivitäten sind Teil des ITSM Konzeptes Siehe Webcast vom 24.03.2014 http://www.baustellen-it.de/cms/web.nsf/id/pa_xing02_de.html IT auf Großbaustellen
  23. 23. © mmi consult GmbH 2005 - 2014 Unsere nächsten Webcast-Themen  XING Event 1: Die besondere Herausforderung Besonderheiten von Großbaustellen Modelle für ITK Infrastrukturen Erfahrungen Slides: http://de.slideshare.net/mmi-consult/it-auf-grobaustellen-32029533  XING Event 2: IT Betrieb für Baustellen Zuständigkeiten Prozesse für Einrichtung und Support Best practices Ansätze Slides: http://de.slideshare.net/mmi-consult/it-auf-grobaustellen-2  XING Event 4: Welche Anwendungslösungen benötigt jede Großbaustelle Email, Kalender, Kontakte Dateiablagen, Planverwaltungen Vertragsmanagement IT auf Großbaustellen
  24. 24. © mmi consult GmbH 2005 - 2014 weitere Informationen und Kontakte … IT auf Großbaustellen mmi consult gmbh Manfred Meise Hartriegelweg 24 D-85551 Kirchheim b. München Telefon: +49 89 904 801-50 Telefax: +49 89 904 801-51 Mobil: +49 172 810 7732 http://www.baustellen-it.de http://www.site-office-it.com eMail: info@baustellen-it.de

×