Version [4112]
Dies ist eine alte Version von erdaxoITsecurityGuide erstellt von ErdaxoAdmin am 2022-08-09 18:53:41.
erdaxo IT-Security-Guide
ausgewählte Hinweise für unsere Kunden
Ein Konzept bzw. System für die IT-Sicherheit einer Organisation muss entsprechend den individuellen Bedürfnissen dieser Organisation vorbereitet und umgesetzt werden. Dennoch werden zahlreiche Maßnahmen in den meisten Szenarien und Umgebungen benötigt.
Deshalb dokumentieren wir an dieser Stelle, welche Schritte und Maßnahmen wir häufig in unseren IT-Sicherheitskonzepten empfehlen. Wir stellen sie in praktischen Kontext eines funktionierenden Sicherheitssystems und versuchen ihre systematische Darstellung.
Die Maßnahmen zur Sicherstellung der IT-Sicherheit teilen wir dabei in folgende Kategorien ein:
A. Rechtsrahmen
B. Organisatorische Maßnahmen
C. Personal
D. Infrastruktur
E. Technik
Während sich ein oberflächlicher Umgang dadurch auszeichnet, dass sich alle Maßnahmen lediglich auf die Technik konzentrieren
A. Rechtsrahmen
Eine der zentralen Säulen des IT-Sicherheitsmanagements sind gute rechtliche Rahmenbedingungen. Auf den ersten Blick scheint der Zusammenhang zwischen juristischer Vorbereitung und Sicherheit in der Informationstechnik nicht wichtig zu sein. Je nach genutzter IT-Infrastruktur sind rechtliche Regeln von herausragender Bedeutung. Deshalb sollten Sie stets sicherstellen:
- dass die Pflichten Ihrer Mitarbeiter im Hinblick auf IT-Sicherheit hinreichend in Arbeitsverträgen oder Betriebsvereinbarungen geregelt sind,
- sofern Sie gezwungen sind, im IT-Bereich auf externe Dienstleister zurückzugreifen, ihre Haftung sowie Pflichten klar und hinreichend sanktioniert festgelegt sind,
- falls Sie keinen Zugriff auf interne Mitarbeiter haben, die einen Notfall beseitigen könnten, sollten Sie entsprechende Vereinbarungen mit einem Dienstleister haben, in deren Rahmen Unterstützung garantiert wird,
- bei jeglichen Verträgen über Technik (Hardware, Software usw.) sollten Sie vertraglich sicherstellen, dass die Verfügbarkeit eingesetzter Systeme gewährleistet ist (service level agreements) oder dass Sie kontinuierlich mit Sicherheitsupdates versorgt werden; optimalerweise ist diese Pflicht ihren Mitarbeitern oder Dienstleistern verbindlich übertragen worden,
- sofern Sie personenbezogene Daten verarbeiten (und das tun Sie in der Regel), sollten Sie sicherstellen, dass dies rechtskonform und rechtssicher erfolgt.
1. Organisation!
Outsourcing vs. Insourcing? Dienstleister vs. Mitarbeiter?
2. Konkrete Produkte
a. Muss es das Neueste sein?
Hören Sie nicht auf den 0815-Anbieter - er will zunächst nur eins: Ihr Geld! Was fehlt: Problemlösung!
b. Erstaunlich: was nichts kostet... ist mehr wert?
Ja, das alte Sprichwort steht in der IT Kopf!
Warum? Der Nutzen, der Mehrwert, die Qualität insbesondere der Software leiden extrem aus nur einem Grund: sie sind nur Teil eines Geschäftsmodells - die Lösung des Problems des Kunden ist absolute Nebensache!
c. Deshalb: Open Source!
Es ist nicht DIE Lösung - aber Teil der Lösung.
Beispiel: opencode.de. Warum kennen wir es nicht: na ja, wenn ein Projekt (zum Beispiel) nicht aus Marketinggründen existiert, sondern weil Dienstleister im Rahmen seiner Arbeit ein Werkzeug zur Problemlösung produziert hat, dann investiert dieser Dienstleister nicht noch Aufwand für Marketing, weil er nichts verkaufen will bzw. muss.
Hören Sie nicht auf den 0815-Anbieter - er will zunächst nur eins: Ihr Geld! Was fehlt: Problemlösung!
b. Erstaunlich: was nichts kostet... ist mehr wert?
Ja, das alte Sprichwort steht in der IT Kopf!
Warum? Der Nutzen, der Mehrwert, die Qualität insbesondere der Software leiden extrem aus nur einem Grund: sie sind nur Teil eines Geschäftsmodells - die Lösung des Problems des Kunden ist absolute Nebensache!
c. Deshalb: Open Source!
Es ist nicht DIE Lösung - aber Teil der Lösung.
Beispiel: opencode.de. Warum kennen wir es nicht: na ja, wenn ein Projekt (zum Beispiel) nicht aus Marketinggründen existiert, sondern weil Dienstleister im Rahmen seiner Arbeit ein Werkzeug zur Problemlösung produziert hat, dann investiert dieser Dienstleister nicht noch Aufwand für Marketing, weil er nichts verkaufen will bzw. muss.
B. Layout, Material, Begleitinfos
Linux + FreeBSD mit Maskottchen!
Programming OSS U R communist!
Wie viele Schritte braucht man um ... Windows vs. UNIX?
Material sonst:
Dann Link auf unsere Erfahrungen: erdaxoITgegenGefahren
In diesem Artikel werden wir Berichte über von uns betreute oder in den Medien vorgestellte Vorfälle sammeln und auswerten. Wir versuchen damit, unseren Kunden zu zeigen, welche Fehler in der IT gemacht werden und wie sich diese vermeiden lassen.
Die ersten Vorfälle, über die wir hier berichten möchten
A. Angriff mit der ouroboros/Lazarus+-Ransomware bei einem Freiberufler
B. Angriff durch emotet auf das Kammergericht Berlin
C. ouroboros/Lazarus+ bei einem Freiberufler in Nordbayern
Im Herbst 2019 haben wurden wir durch einen freiberuflich tätigen Kunden gebeten, in seinem Unternehmen (ca. 10 Computer-Arbeitsplätze + zentraler Datenbestand auf einem Server mit Branchensoftware) bei der Bewältigung einer Ransomware-Attacke mit anschließender Komplettverschlüsselung aller Daten zu unterstützen, nachdem zahlreiche andere Anbieter sowie Kriminalpolizei keine Hilfe bieten konnten.
D. emotet beim Kammergericht Berlin
Im Herbst 2020 legt ein Schadsoftware-Befall das Kammergericht Berlin lahm. Wir versuchen den Angriff zu rekonstruieren und die Sollbruchstellen zu ermitteln.
Auf dieser Seite sind keine Kommentare vorhanden
