Beiträge getaggt ‘Corporate Compliance’

ISF veröffentlicht neuen Praxis-Leitfaden „Standard of Good Practice”

Geschrieben von K. Kopp am . Gepostet in Digital.

Das Information Security Forum hat eine überarbeitete Version seines „Standard of Good Practice“ veröffentlicht, der sich an internationalen Standards wie ISO 27001, COBIT und PCI/DSS orientiert. Der Leitfaden umfasst konsequenterweise die Hauptkategorien Security Governance, Sicherheitsanforderungen, Kontrollmechanismen sowie Monitoring und Optimierung und enthält in insgesamt 118 Themenfeldern praxisorientierte Tipps.

Der „Standard of Good Practice“ umfasst auch aktuelle Themen wie Cloud-Computing, soziale Netzwerke, Datenspeicherung, digitales Rechtemanagement und Virtualisierung. Er will darüber hinaus durch Expertenwissen und Leitlinien zu bereits behandelten Bereichen wie Schutz vor Datenverlust, Lieferanten-Management, Mechanismen für Zugriffskontrolle, Business-Continuity-Strategien und Management von Sicherheitsaudits praxisgerechter Ratgeber sein.

Den Standard of Good Practice 2011 (nur in englischer Sprache) gibt es nach einer kurzen Registrierung zum kostenlosen Download hier. Lesenswert.

Datensicherheit: BSI aktualisiert IT-Grundschutz-Kataloge

Geschrieben von K. Kopp am . Gepostet in Digital.

Informationen stellen einen wesentlichen Wert für Unternehmen und Behörden dar und müssen daher angemessen geschützt werden. Enorme Mengen von Informationen werden digital gespeichert, elektronisch verarbeitet und in lokalen und globalen, in privaten und öffentlichen Netzen übermittelt. Dass unzureichend geschützte Informationen einen immer noch viel zu häufig unterschätzten Risikofaktor darstellen, der sich bereits für manches Unternehmen als mindestens enorm imageschädigend erwiesen hat, erfährt man gefühlt mindestens einmal pro Woche.

Dem abzuhelfen hat sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgenommen und bietet mit seinem IT-Grundschutz eine standardisierte Methode an, in Unternehmen und Institutionen alle Informationen zu schützen, indem es für die verschiedensten Einsatzumgebungen sowohl eine Sammlung von Sicherheitsmaßnahmen als auch eine entsprechende Methodik zur Auswahl und Anpassung geeigneter Maßnahmen zum sicheren Umgang mit Informationen zur Verfügung stellt.

In den dafür entwickelten IT-Grundschutz-Katalogen des BSI werden Standard-Sicherheitsmaßnahmen für typische Geschäftsprozesse, Anwendungen und IT-Systeme empfohlen und dabei durch Kombination organisatorischer, personeller, infrastruktureller und technischer Standard-Sicherheitsmaßnahmen ein Sicherheitsniveau angestrebt, das geschäftsrelevanten Informationen gerecht wird.

Dabei folgen die IT-Grundschutz-Kataloge dem Baukastenprinzip. Die einzelnen Bausteine sollen typische Abläufe von Geschäftsprozessen und Bereiche des IT- Einsatzes widerspiegeln, so z.B. Notfall-Management, Client-Server-Netze und bauliche Einrichtungen. In jedem Baustein wird zunächst die zu erwartende Gefährdungslage beschrieben und sodann auf dieser Grundlage ein spezifisches Maßnahmenbündel aus den Bereichen Infrastruktur, Personal, Organisation, Hard- und Software, Kommunikation und Notfallvorsorge generiert.

Die Vorgehensweise nach dem IT-Grundschutz des BSI intendiert, Sicherheitskonzepte einfach und ökonomisch zu erstellen, indem sich bei dessen Anwendung die Analyse auf einen Soll-Ist-Vergleich zwischen den in den IT-Grundschutz-Katalogen empfohlenen und den bereits realisierten Maßnahmen reduziert, so dass erst bei einem signifikant höheren Schutzbedarf zusätzlich eine ergänzende Sicherheitsanalyse unter Beachtung von Kosten- und Wirksamkeitsaspekten erforderlich werde.

Die elektronische Version der IT-Grundschutz-Kataloge kann nun auf dem Stand der 12. Ergänzungslieferung komplett auf der Website des BSI kostenlos heruntergeladen werden. Ergänzt werden die IT-Grundschutz-Kataloge um Formulare für Basis-Sicherheitschecks, Überblickstexten zu den Elementaren Gefährdungen und um die sog. Goldenen Regeln.

Ökodesign-Richtlinie vor Umsetzung in deutsches Recht

Geschrieben von K. Kopp am . Gepostet in Analog, Digital.

Erst waren es die Glühbirnen, von denen man sich verabschieden musste, künftig werden es schlecht isolierte Fenster oder verschwenderische Duschköpfe sein: Sie könnten in der EU per Ökodesign-Vorschrift vom Markt verbannt werden, weil ihr Einsatz einen zu hohen Energieverbrauch verursacht. Hintergrund ist die Neufassung und Ausdehnung der Ökodesign-Richtlinie auf alle energieverbrauchsrelevanten Produkte, die der Rat und das Europäische Parlament beschlossen haben. Betroffen sind ebenso Rechner wie Monitore, Drucker und Scanner oder Fernseher und Netzteile.

Mit der Ökodesign-Richtlinie wurde gemeinschaftsrechtlich das Konzept der umweltgerechten Produktgestaltung normiert, um Umweltverträglichkeit und Energieeffizienz bestimmter Produkte über deren gesamten Lebenszyklus zu verbessern. Dafür werden verbindliche Mindestanforderungen an die Produktgestaltung als Voraussetzung für die CE-Kennzeichnung festgelegt.

Die neugefasste Ökodesign-Richtlinie (2009/125/EG) ist schon in Kraft, muss aber noch durch Änderung des Energiebetriebene-Produkte-Gesetzes (EBPG) in deutsches Recht umgesetzt werden. Zwar ist die Umsetzungsfrist bereits verstrichen, der Entwurf für die Gesetzesnovellierung ist nun aber vom Deutschen Bundestag angenommen worden; voraussichtlich am 14.10.2011 wird auch der Bundesrat die neue Regelung verabschieden. Das neue Gesetz wird dann am Tag nach seiner Verkündung im Bundesgesetzblatt in Kraft treten.

Unmittelbare Auswirkungen hat die Novellierung aber nicht, weil einzelne Produktvorschriften wie etwa das Glühlampenverbot im Rahmen der Ökodesign-Richtlinie ohnhin von der Europäischen Kommission als Durchführungsmaßnahmen per unmittelbar geltender Verordnung erlassen werden.

Die IHK Stuttgart hat nun alle wesentlichen Informationen zu bereits existierenden und geplanten Ökodesign-Vorschriften für Produkte und zum Aufbau der Richtlinie in einem Merkblatt mit dem Titel „Ökodesign in 10 Minuten“ zusammengetragen. Lesenswert. Die Position des BDI gibt es hier.

IT-Sicherheit in Deutschland: BSI stellt Lagebericht vor

Geschrieben von K. Kopp am . Gepostet in Digital.

Im Rahmen der Eröffnung des Cyber-Abwehrzentrums hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen Bericht mit dem Titel „Die Lage der IT-Sicherheit in Deutschland 2011″ vorgestellt. Der Lagebericht trägt dem Umstand Rechnung, dass Kriminelle im Netz global agieren. Besonders interessant sind aber die Ausführungen zur neuen Bedrohungslage für intelligente Stromnetze und Stromzähler, auf die der Bericht eingeht.

Seine wesentlichen Ergebnisse stellt das BSI wie folgt dar:

► Die Zahl der Schwachstellen vor allem in Anwendungen und Softwareprodukten von Drittanbietern nimmt zu

► Drive-By-Exploits, dh die Infektion des eigenen Rechners durch den Besuch einer manipulierten Internetseite, sind auch bei seriösen Webseiten gängige Praxis

► Die Bedrohung durch Botnetze hat in den vergangenen zwei Jahren massiv zugenommen

► Die Anzahl der Spam-Mails ist gesunken, aber mit einem Anteil von 96,1% am gesamten E-Mail-Aufkommen nach wie vor beträchtlich

► Identitätsdiebstahl und Identitätsmissbrauch sind an der Tagesordnung. Durch Phishing und Trojaner am häufigsten gestohlene Informationen sind Zugangsdaten zu Handelsplattformen sowie Webmail-Diensten

► Exploit-Kits und Virenbaukästen haben dazu geführt, dass die Anzahl neuer Schadprogramme weiterhin zunimmt

► Wegen der raschen Verbreitung von Smartphones, Tablets und Netbooks sowie deren unsicherer GSM-Schnittstelle ist mit einer Zunahme von Angriffen auf mobile Endgeräte zu rechnen

► Trendthemen wie Cloud Computing und intelligente Stromnetze und Stromzähler werden für die IT-Sicherheit neue Herausforderungen darstellen

Das BSI sieht vor allem eine neue Qualität zielgerichteter Attacken. „Seit dem letzten Lagebericht 2009 hat sich die Situation nochmals verschärft“, teilte Michael Hange, Präsident des BSI, anlässlich der Präsentation mit. „Wir können grundsätzlich differenzieren zwischen Angriffen auf die breite Masse der IT-Nutzer, für die vor allem Standardschwachstellen ausgenutzt werden, und gezielten Cyber-Attacken. Für diese werden bislang unentdeckte Schwachstellen eingesetzt, wie es zum Beispiel bei der Schadsoftware Stuxnet der Fall war.“ Schöne Gemeinplätze, die Herr Hange da von sich gibt.

Lesen Sie lieber den kompletten Bericht, den es hier gibt.

Auftragsdatenverarbeitung: Digitale Geschäftsunterlagen ins Ausland verlagern

Geschrieben von K. Kopp am . Gepostet in Digital.

Viele Unternehmen nutzen heute schon die Möglichkeit, elektronische Geschäftsunterlagen ins Ausland zu verlagern und dort verarbeiten zu lassen. Zwar müssen elektronische Bücher und Geschäftsunterlagen grundsätzlich in Deutschland geführt und aufbewahrt werden. Die Finanzverwaltung kann aber einer Verlagerung ins Ausland unter den Voraussetzungen des § 146 Abs. 2a AO zustimmen.

Die Zollverwaltung hat nun nach einer Meldung der IHK Stuttgart klar gestellt, dass einer Verlagerung neben dem Finanzamt möglicherweise auch die Zollverwaltung zustimmen muss:

„Die Finanzbehörde kann nur für ihren sachlichen und örtlichen Zuständigkeitsbereich eine Bewilligung nach § 146 Abs. 2a erteilen; daher gelten insbesondere von der Zollverwaltung erteilte Bewilligungen nicht für die Steuerverwaltung und umgekehrt. Der Antragsteller ist auf die Reichweite der Bewilligung hinzuweisen. Begehrt ein Antragsteller die Bewilligung sowohl für den Bereich der Steuerverwaltung als auch für den Bereich der Zollverwaltung, ist er darauf hinzuweisen, dass er zwei getrennte Anträge (beim Finanzamt und beim Hauptzollamt) stellen muss. Eine Verlagerung der ‚physischen Buchführung/Papierbuchführung‘ ist durch den Gesetzgeber nicht vorgesehen.“

Erforderlich ist in jedem Fall ein schriftlicher Antrag, der nur bewilligt wird, wenn der zuständigen Behörde der Standort des Datenverarbeitungssystems und bei Beauftragung eines Dritten dessen Namen und Anschrift mitgeteilt wird, der Datenzugriff in vollem Umfang möglich bleibt und die Besteuerung dadurch nicht beeinträchtigt wird.