lwulfe
Avatar lwulfe
Themenersteller
Consultant
Content Halbgott (743 Beiträge)

BSI IT-Grundschutz-Standards

am 23.03.2010, 00:15 Uhr eröffnete lwulfe folgenden Thread
Sonstige    3543 mal gelesen    5 Antwort(en).

Aus aktuellem Anlass eine Frage ans Forum: seid ihr von Kunden schon mal mit den Grundschutz-Standards des BSI konfrontiert worden?
Wenn ja, hat das Einfluß auf eure Arbeit genommen?


der_booker
Foren Moderator
selbständig
(2762 Beiträge)
am 23.03.2010, 00:17 Uhr schrieb der_booker

Hier gleich der Link dort hin:

www.bsi.bund.de/cln_183/DE/Themen/ITGrundschutz/ITGrundschutzStandards/ITGrundschutzStandards_node.html


Heiko Jendreck
personal helpdesk
http://www.phw-jendreck.de
http://www.seo-labor.com

lwulfe
Avatar lwulfe
Consultant
Content Halbgott (743 Beiträge)
am 23.03.2010, 00:22 Uhr schrieb lwulfe

Danke Heiko für die Ergänzung. Hatte ich vergessen.
Du scheinst dich mit dem Thema aber auch schon beschäftigt zu haben?

Bin neugierig, ob sich Ralph dazu meldet ...


der_booker
Foren Moderator
selbständig
(2762 Beiträge)
am 23.03.2010, 00:25 Uhr schrieb der_booker

Ich musste mich mit dem Notfallmanagement auseinandersetzen. Wenn Du alles befolgen möchtest, hast Du einen langen Weg vor Dir, der sich aber lohnt zu gehen.


Heiko Jendreck
personal helpdesk
http://www.phw-jendreck.de
http://www.seo-labor.com

rdombach
Avatar rdombach
Security-Admin
Content Halbgott (608 Beiträge)
am 23.03.2010, 11:13 Uhr schrieb rdombach

lwulfe schrieb:

Aus aktuellem Anlass eine Frage ans Forum: seid ihr von Kunden schon mal mit den Grundschutz-Standards des BSI konfrontiert worden?
Wenn ja, hat das Einfluß auf eure Arbeit genommen?


Hallo Lutz,

Interessante Kunden hast Du!

Wobei es entscheidend ist, ob der Kunde wissen will, ob Du als Dienstleister BSI-GS konform bist, oder ob Du seinen Aufträge gemäß den Empfehlungen des BSI umsetzen kannst. Was z.B. beim Thema Webserver (https://www.bsi.bund.de/cln_192/ContentBSI/grundschutz/kataloge/baust/b05/b05004.html) eine recht komplexe Angelegenheit sein kann!
Generell gilt, das im BSI-GS jede menge wertvoller Information steckt (wie Heiko schon andeutete), die es aber in sich hat. Der Grudschutz ist als Rahmenwerk anzusehen, welches sicherheitsrelevante Themens/Aspekte benennt und Empfehlungen gibt - allerdings meistens recht neutral beschrieben. Konkrete Umsetzungen musst Du entweder selbst finden, oder man beauftragt dazu eine weitere Instanz, die sich damit auskennt.

Wenn man neu in der Thematik ist, oder ein neues Thema angeht, ist der BSI-GS ein wertvoller Hinweisgeber, denn dort findet man oft Hinweise und Erinnerungen an die man selbst gar nicht denkt. Allerdings meine ich (persönliche Ansicht), dass man eine 100% Umsetzeung bei großen Themen nicht hinbekommt, da es einfach zu aufwendig ist. Hier würde ich die 80:20-Regel nutzen. Wenn man 80% umgesetzt/erreicht hat, ist es Ok - denn die restlichen 20% stehen in einem ungünstigen Aufwandsverhältnis.

Einfluß auf die Arbeit ... ich meine, hier sollte ein JA stehen, denn wer Sicherheit ignoriert (hier vertreten durch den BSI-GS) wird irgendwann ein Problem bekommen. Denk nur mal an die Auswirkungen, die beispielsweise URL-Verkürzungen mit sich bringen (Eigenwerbung: www.kes.info/archiv/online/kurz-urls.html).



Was ich Dir raten würde wäre zu hinterfragen, was der Kunde möchte. Versuche das sicherheitstechnisch umzusetzen und lass Dich dabei ruhig durch den BSI-GS inspirieren. Vermeide aber eine sklavische Abhängigkeit und die 100% Umsetzung - denn das oft nicht erreichbar. Rede aber mit Deinem Kunden und sprich Empfehlungen aus, nenne Vor- und Nachteile und die entsprechenden aktuellen (und späteren) Aufwendungen die man betreiben muss. Wen Du z.B. einen Zugriff auf Daten nur nach Passwort-Abfrage erlaubst, ist das sicher - aber wie sieht es mit der Akzeptanz der Anwender aus. Wenn die wegbleiben, nützt die sicherste Webseite nichts. Nimm ruhig den Kunden in die Pflicht, denn Sicherheit geht alle an!

Viel Erfolg beim Balanceakt auf dem Drahtseil zwischen Sicherheit, Akzeptanz und Nutzen!

Grüße Ralph


Bitte nicht vergessen, Virenscanner und Co. zu aktualisieren!
SecuTipp: GRATIS Security-Informationen für die eigene Webseite und [url="http://twitter.com/secuteach"][img]http://w

lwulfe
Avatar lwulfe
Consultant
Content Halbgott (743 Beiträge)
am 23.03.2010, 20:54 Uhr schrieb lwulfe

Ich danke euch für die Post´s: motivierend und informativ.
Was alleine in dem Thema Webserver steckt ist fast schon umwerfend!

Dann werde ich mich mal dran machen!


  • 1


« zurück zu: Sonstige

Das Seitenreport Forum hat aktuell 5275 Themen und 36116 Beiträge.
Insgesamt sind 48327 Mitglieder registriert.