IT-Sicherheit
Detailansicht
Datensicherheit
Sind unsere Daten sicher, vor Wirtschaftsspionage, Hacker-Angriffen uvm.
Es gibt nur eine Lösung: Die eigenen Daten verschlüsseln, sichern und sparsam damit umgehen.
Prüfen Sie ob folgende Empfehlungen bei Ihnen eingehalten bzw. umgesetzt werden:
1. Verfügbarkeit
-
Ist der maximale Datenmengenverlust definiert (RPO) und mit der Geschäftsführung besprochen?
-
Ist die maximale Zeit zur Wiederherstellung (RTO) der Daten dokumentiert?
-
Ist eine Dokumentation bzw. Vorgehensweise für den Fall des "worst case" erstellt?
-
Gibt es eine kompetente Vertretung für die verantwortlichen IT Mitarbeiter der o.g. Bereiche?
-
Gibt es eine abgestimmte IT Strategie?
-
Schaffung eines IT Notfallmanagements bzw. eines Risikomanagements (engl. BCM - business continuity management).
2. Verschlüsselung der Daten
-
E-Mail Verschlüsselung mit asymmetrischen Verfahren (public-key), s/mime oder pgp. Aufbau einer public key infrastructure (pki).
-
symmetrische Verschlüsselung (open-ssl) für Websites; VPN für Netzwerke.
-
Verschlüsselung von Festplatten oder anderen mobilen Datenträgern (auch die Datensicherungsmedien).
3. Datensparsamkeit
-
Empfehlungen zur Umsetzung wirksamer Maßnahmen der Datensparsamkeit
Mögliche Angriffe:
-
social engineering
-
innerbetriebliche Angriffe (z.B. durch gekündigte Mitarbeiter)
-
Wirtschaftsspionage, Ausspähung
-
Hacker / Viren / Trojaner / Würmer
-
Ransomware
... ist eine Schadsoftware die Dateien oder Programme verschlüsselt, sodass der Besitzer ohne den passenden Key zum Entschlüsseln nicht mehr auf seine eigenen Daten zugreifen kann. Ransomware kann über E-Mail-Anhänge, manipulierte Websites, Werbeanzeigen oder unsichere WLANs eingeschleppt werden und das komplette IT-System kompromittieren.Schutzmaßnahmen - Folgendes sollten Sie tun:
1. Absicher†‡ˆ‰Šnkh jkk IT sdc
0. ÂÃ Ä ÅÆ ÇÈ fs lkö ?>ÿÛ C
5
IT- Penetrationstest - Verfahren
-
Black-Box Testing
Bei Black-Box-Tests schlüpft der Prüfer in die Rolle eines Angreifers, der keine internen Kenntnisse über das Zielsystem hat. Dem Tester werden keine Architekturdiagramme oder Quellcode zur Verfügung gestellt, die nicht öffentlich zugänglich sind. Bei einem Blackbox-Penetrationstest werden die Schwachstellen in einem System ermittelt, die von außerhalb des Netzes ausgenutzt werden könnten. -
Grey-Box Testing
Ein Grey-Box-Tester verfügt zusätzlich über die Zugriffs- und Wissensstufen eines Benutzers und erhält gewisse Informationen über die Interna des zuprüfenden Netzwerks. (Grey-Box Testing ist ein kostengünstiger und effizienter Mittelweg im Vergleich zu Black- oder White-Box Testing) -
White-Box Testing
Der Tester erhält vollen Zugang zur Architekturdokumentation und zum Quell-Code von zuprüfender Software. Das Ziel ist potenzielle Schwachstellen aus der Innensicht zu identifizieren.
Sie möchten mehr über IT-Sicherheit erfahren.
Anbei meine Kontaktdaten.
Kontakt
Stefan Krumbhorn
IT Auditor IDW
Certified Information Systems Auditor (CISA)
Zertifizierter Datenschutzbeauftragter
Datenschutzerklärung dieser Internetseiten