5,558
edits
Changes
→25.10.2021 um 15.00 Uhr: Update Informations-Sicherheit
=25./26.10.2022 in Mainz=
==25.10.2021 2022 um 15.00 Uhr: '''Update Informations-Sicherheit'''==
*Herausforderungen der KAS-51 "Maßnahmen gegen Eingriffe Unbefugter"
*Empfehlungen zur Durchführung von Penetrationstests
*Überblick und Abgrenzung der ISO 27000 Normenreihe
[[File:20211026 Sprachgebrauch mR.png|700px]]<br />
*Sprachgebrauch
<br />
[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Ressourcen-Wikis)]]
<br /><br />
===Herausforderungen der KAS-51 "Maßnahmen gegen Eingriffe Unbefugter"===
<br /><br />
[[File:20211026 Prozess-Steuerung mR.png|700px]]<br />
<br /><br />
[[File:20211026 Die richtigen Daten mR20221017 Separation air gap.png|700px]]<br />*Die richtigen Daten Separation
<br />
[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Ressourcen-Wikis)]]
<br /><br />
[[File:20211026 Störfall-Verordnung Schadsoftware verstehen mR.png|700px]]<br />*Störfall-Verordnung Schadsoftware verstehen
<br />
[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Ressourcen-Wikis)]]
<br /><br />
[[File:20211026 Entwicklung Maßnahmen mR20221017 Allianz Risk Barometer 2022.png|700px]]<br />*Entwicklung Maßnahmen Allianz Risk Barometer 2022
<br />
[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Ressourcen-Wikis)]]
<br /><br />
[[File:20211026 Ergänzende Bemerkungen mR20221017 Bitkom Wirtschaftsschutz 1.png|700px]]<br />*Ergänzende Bemerkungen Weitere Zunahme von Cyberattacken erwartet
<br />
[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Ressourcen-Wikis)]]
<br /><br />
[[File:20211026 Schadsoftware verstehen mR20221017 Bitkom Wirtschaftsschutz 2.png|700px]]<br />*Schadsoftware verstehen Wirtschaft rechnet mit verstärkten Cyberangriffen
<br />
[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Ressourcen-Wikis)]]
===Empfehlungen zur Durchführung von Penetrationstests===
[[File:20211026 BSI-Standards mR20221017 Buch Hardware Security.png|700px]]<br />*BSI-Standards Buch: Hardware & Security
<br />
[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Ressourcen-Wikis)]]
<br /><br />
[[File:20211026 Allianz Risk Barometer 2mR20221017 Notfall-Kommunikation analog.png|700px]]<br />*Allianz Risk Barometer Notfall-Kommunikation analog
<br />
[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Ressourcen-Wikis)]]
<br /><br />
===Überblick und Abgrenzung der ISO 27000 Normenreihe=== [[File:20211026 BSI Lagebericht mR20221017 ISO 27000 Normenreihe.png|700px]]<br />*BSI Lagebericht ISO 27000 Normenreihe
<br />
[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Ressourcen-Wikis)]]
<br /><br />
[[File:20211026 Wirtschaftsschutz 2021 REINER mR.png|700px]]<br />*Wirtschaftsschutz 2-Faktor Authentifizierung
<br />
[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Ressourcen-Wikis)]]
<br /><br />
[[File:20211026 BSI Newsletter Zero Trust mR.png|700px]]<br />*BSI Newsletter Zero Trust
<br />
[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Ressourcen-Wikis)]]
<br /><br />
===Checklisten===
'''Checkliste zu Ausfällen'''{|class===Checklisten und Nutzwertanalyse==="wikitable"|+!Nr!Ausfall!Fragen|-|1|Gesamt-Strom-Ausfall(bei Einspeisung)|Vitale Stromkreise definiert?<br />Altenative Einspeisung?<br />Generator?<br />Überbrückungsdauer?<br />'''(teil-)offene Zuführung außerhalb Gelände?'''|-|2|Teil-Strom-Ausfall|Redundanz auf Gelände? z.B. Offener Ring?<br />Altenative Einspeisung?<br />Generator?<br />Überbrückungsdauer?<br />'''(teil-)offene Zuführung außerhalb Gelände?'''|-|3|Gesamt-Internet-Ausfall(bei Einspeisung)|Vitale LAN-Strecken definiert?<br />Altenative LAN-Struktur?<br />Dauer bis Reaktivierung?<br />'''(teil-)offene Zuführung außerhalb Gelände?'''|-|4|Teil-Internet-Ausfall|LAN-Redundanz auf Gelände?Altenative LAN-Struktur?<br />Dauer bis Reaktivierung?<br />'''(teil-)offene Zuführung außerhalb Gelände?'''|-|5|Telefon-Ausfall|Festnetz-/ Mobiltelefon-Redundanz;Wer besitzt Firmen-Mobiltelefon?<br />? Mobiltelefon-Gruppengespräche möglich? Falls ja, welche Gruppengröße?|-|6|Teil-Steuerungs-Infrastruktur-Ausfall|Steuerungs-Infrastruktur-Redundanz auf Gelände?Altenative LAN-Struktur?<br />'''(teil-)offene Zuführung außerhalb Gelände?'''|}
#Verschlüsselung sollte der Normalfall werden!
#Nutzen Sie die Angebote des BSI!
|3
|Backups
|Prüfen und validieren Sie die Backup-Prozesse(Offline-, OffSite-Kufri und Lafri-Backups).
Backups werden regelmäßig erstellt und an Alternativ-Standorten gelagert.
Regelmäßig werden die Restore-Prozesse getestet.
|-
|13
|Melde-Kommunikation
|„was tun, wenn …“ Anweisungen bei Anomalien und/oder Ausfällen definieren;
Kommunikation über z.B.:
* Anweisungs-Aushänge in jedem Raum (z.B. A4);
* Anweisungs-Einstecker für Mitarbeiter (z.B. A8)
|-
|14
|Melde-Wege
|Meldegründe, Schwellwerte, Rollen
|-
|15
|Multiple Sourcing
|Redundanz durch Diversity, Einsatz mehrerer, paralleler, unabhängiger Softwaresysteme zur Lösung der selben Funktionalität und Prüfung bzw. Übernahme validierter Ergebnisse.
|-
|1416
|Netzwerk
|Vermeiden/beschränken Sie drahtlose Verbindungen.
|-
|1517
|Notfallplan
|Erstellen/Updaten und veröffentlichen Sie den abgestuften Notfallplan, auch durch Aushang in allen Räumen. Ggf. Ansprechpartner mit Mobilfunknummern.
|-
|1618
|Notfalltraining
|Simulieren Sie verschiedene Not-Situationen und trainieren Sie die entsprechenden Notfall-Konzepte.
|-
|1719
|Not-Telephon
|Installieren Sie eine Unabhängige, offline Analog-Nebenstellenanlage mit separaten ggf. speisefreien Endgeräten zwischen den Hauptgebäuden.
|-
|1820|Open Source|Kann proprietäre Software durch Open Source- oder quell-offene Software ersetzt werden?.|-|21
|Pattern-Recognition,
Anomalien
|Definition von üblichen Muster-Prozess-Abläufen; laufender Vergleich mit IST-Prozess-Abläufen; Erkennung von "Auffälligkeiten".
|-
|1922
|Penetration
|Penetration-Test Teams von unabhängigen, konkurrierenden Anbietern (und Mitarbeitern) sollen parallel und quasi-regelmäßig Einbruchsversuche vornehmen und dokumentieren.
|-
|2023
|PreOp-Testing
|Ziel für später: "No surprises!"
|-
|2124
|Rechte-Konzept
|Führen Sie ein zentrales Authentisierungs- und Rechte-Konzept ein.
|-
|2225
|Remote Support Zugriffe
|Prüfen und Dokumentieren Sie alle Remote Support Zugriffe.
|-
|2326
|Risiko-Analyse
|Führen Sie regelmäßig TOM-Risiko-Analysen durch (Technik, Organisation, Menschen).
Priorisieren Sie Daten, Anwendungen und Prozesse entsprechend der Risiko-Analyse.
Analysieren Sie Ihre IT-Ressourcen bezüglich Verfügbarkeit, Zuverlässigkeit, Loyalität und Qualifikation (6 |-|27|Sechs-Augen -Prinzip).|Speziell IT-Administrations-Funktionen sollten nur im Vier- oder besser: im Sechs-Augen-Prinzip erfolgen und vollständig dokumentiert we
|-
|2428
|Separierung
|Alle Endgeräte sowie Netz- und Speichergeräte werden bewertet und in entsprechenden, separaten Netzwerkbereichen betrieben.
Operations-Support-System (OSS) und Betriebs-Support-System (BSS) und Administration-Support-System (ASS) sind kontrollierbar zu vernetzen.
|-
|2529
|Supply-Chain Problematik
|IT-Dienstleister auf "IT-Security" prüfen; Abhängigkeiten minimieren, Risiken evaluieren, Notfallpläne mit Dienstleistern abstimmen.
|-
|2630
|Training
|Üben Sie regelmäßig Notfälle und Notfallpläne mit "relevanten" Mitarbeitern.
|-
|2731
|Updates
|Funktions- und insbesondere Security-Updates sind notwendig. Prüfen und validieren Sie die Update-Prozesse.
Hierbei besteht die Möglichkeit, verschlüsselte Informationen zu Externen zu übertragen (-> Hash).
|-
|2832
|Vertretungsregelung
|Prüfen und Updaten des Vertretungskonzepts.
|-
|2933
|Zugriffsregelung
|Berechtigungen sollen nur auf einer Need-to-know Basis erfolgen.
|}
<br />
[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Störfallrecht Ressourcen-Wikis)]]
<br /><br />