Alpha63
28.02.2018, 11:28
Was ist Vrinice?
Informationssicherheits-Managementsystem (ISMS), das IT-Verantwortlichen beim Arbeiten mit dem BSI-IT-Grundschutz, ISO 27001 und anderen Standards unterstützt; neben der kostenlosen Open-Source-Software auch als erweiterte, kostenpflichtige Pro-Version erhältlich
Was ist IT-Sicherheit?
Als IT-Sicherheitsaudit (englisch (https://de.wikipedia.org/wiki/Englische_Sprache) IT security audit (https://de.wikipedia.org/wiki/Audit); von lateinisch (https://de.wikipedia.org/wiki/Latein) audit: „er/sie hört“; sinngemäß: „er/sie überprüft“) werden in der Informationstechnik (https://de.wikipedia.org/wiki/Informationstechnik) (IT) Maßnahmen zur Risiko- (https://de.wikipedia.org/wiki/Risikoanalyse) und Schwachstellenanalyse (https://de.wikipedia.org/wiki/Schwachstellenanalyse) (engl. Vulnerability Scan (https://de.wikipedia.org/wiki/Vulnerability_Scan)) eines IT-Systems (https://de.wikipedia.org/wiki/System) oder Computerprogramms (https://de.wikipedia.org/wiki/Computerprogramm) bezeichnet. Bedrohungen für die Sicherheit können ausgehen von kriminellen Angriffen, von organisatorischen Mängeln aber auch von technischen Unfällen oder höherer Gewalt. Schwachstellen (https://de.wikipedia.org/wiki/Schwachstelle_(Organisation)) sind Fehler eines IT-Systems oder einer Organisation, durch die diese für Bedrohungen anfällig werden. Eine Bedrohung oder eine Schwachstelle allein reichen jedoch nicht aus, um die Sicherheit eines Systems zu gefährden. Eine Gefährdung für das angegriffene System besteht nur dann, wenn eine Bedrohung auf eine existierende Schwachstelle trifft. Die Ursachen für Schwachstellen sind vielseitig. Sie können in der Konzeption, Implementierung oder auch im Betrieb liegen und umfassen ebenfalls Design- oder Konstruktionsfehler, menschliches Fehlverhalten oder ungenügende Standortsicherheit. Schwachstellenanalysen dienen dazu, diese Fehler systematisch zu finden, um Bedrohungen und Angriffsszenarien abzuwenden[1] (https://de.wikipedia.org/wiki/IT-Sicherheitsaudit#cite_note-1). Sicherheitsaudits finden meist im Rahmen eines Qualitätsmanagements (https://de.wikipedia.org/wiki/Qualit%C3%A4tsmanagement) statt und dienen der Reduzierung von Sicherheitslücken (https://de.wikipedia.org/wiki/Sicherheitsl%C3%BCcke) sowie der Einführung von Best practices (https://de.wikipedia.org/wiki/Best_practice) in einer Organisation (https://de.wikipedia.org/wiki/Organisation) (öffentliche Verwaltung (https://de.wikipedia.org/wiki/Verwaltung), Unternehmen (https://de.wikipedia.org/wiki/Unternehmen)). IT-Sicherheitsaudits zählen zum Bereich der Netzwerk- (https://de.wikipedia.org/wiki/Netzwerksicherheit) und Informationssicherheit (https://de.wikipedia.org/wiki/Informationssicherheit), wobei die Grenze zur LAN-Analyse (https://de.wikipedia.org/wiki/LAN-Analyse) in lokalen Netzwerken (https://de.wikipedia.org/wiki/Local_Area_Network) beziehungsweise zur Netzwerk-Analyse (https://de.wikipedia.org/wiki/Netzwerkanalyse_(Informatik)) fließend ist. Quelle: https://de.wikipedia.org/wiki/IT-Sicherheitsaudit
Was ist der BSI-Grundschutzkatalog?
IT-Grundschutz - die Basis für Informationssicherheit. Der vom BSI entwickelte IT-Grundschutz ermöglicht es, durch ein systematisches Vorgehen notwendige Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Die BSI-Standards liefern hierzu bewährte Vorgehensweisen, das IT-Grundschutz-Kompendium konkrete Anforderungen. Quelle: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/itgrundschutz_node.html
Ich würde es mal in meinen Worten so beschreiben, dass der IT-Grundschutz vom BSI ein Leitwerk ist wie Firmen aber auch privat Personen Ihr Netzwerk absichern können. Es ist also ein "Handbuch" mit Empfehlungen. Es stehen auch Themen drin die nur im weitesten Sinne mit IT zu tun haben. Zum Beispiel: "Sind alle Mitarbeiter geschult die Fenster als letzter der den Raum verlässt zu schließen?" Grund der Frage wäre der, dass Fenster offen ist, alle sind Heim gegangen und Nachts kommt der Dieb und klaut die Rechner oder sogar die Server mit den sensiblen Firmen Daten auf den Festplatten. Ergo, Supergau für die Firma. Nicht nur das alle Daten weg sind und evtl. sogar kein Backup exisitert sowie auch geklaut wurde sondern auch die Verletzung des Datenschutzes gegenüber den Kunden. Grobfahrlässig gehandelt. Alle Weinen und viel Geld wird fliesen.
Weiter Informationen gibt es hier: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/itgrundschutzkataloge_node.html
Was kann man nun mit dem BSI Katalog und Verinice tun?
Der Datenschutzbeauftrage oder der Eifrige IT-Mitarbeiter kann sich nun den Grundschutzkatalog durchlesen und Empfehlungen seinem Chef Vortragen und dabei glänzen. Jedes Unternehmen denkt nicht an alles, erst recht nicht an banale Dingen wie Backup, das Thema mit dem Fenster usw.
Zweite und feine Möglichkeit wäre zum einen das Ding grob überfliegen und anschließend in das Tool verinice importieren. Danach die Fragen mit diesem Tool soweit wie es geht beantworten und am Ende einen schönen Report generieren, denn man dem Konzern vorstellen kann. Hier auch wieder Bonus Punkte vor der Firmen Administration.Nicht zu vergessen wäre auch der Punkt das die Firmen IT somit sicherer geworden ist. Dies sollte vielen wichtig sein die an Ihren Arbeitsplatz hängen.
Für die privat Person hat dieser katalog natürlich auch Vorteile die es zu Hause betreffen.
Wie nutze ich Verinice und den BSI Grundschutzkatalog?
Hier kurz erwähnt gibt es auch die Möglichkeit, den Katalog in das Tool OpenVas zu importieren und eine automatisierten Schwachstellen Scan auszuführen. Nette Sache.
Aber nun zu der Anleitung selbst. Da ich nicht Fremdes Geistiges Eigentum als meines Ausgeben möchte, poste ich einfach mal einen Youtube-Link. Generell ist Google und Youtube ein sehr guter Ansprechpartner für so etwas :)
https://www.youtube.com/watch?v=1hzdEz5lTkQ
Kann ich eine Job für soetwas finden?
Natürlich, ja, klar!
Berater in diesem umfeld auf Basis des IT-Grundschutzkatalogs vom BSI werden sogar Händeringend gesucht. Hierzu benötigt Ihr NUR ein paar Zertifikate auf der ISO 2700x und folgende. Ein ITIL V3 Zertifikat wäre auch nicht schlecht. Genauer weiß ich es aber selber nicht.
Die Auditoren die in Fimen gehen werden sehr gut bezahlt und die Auftragslage wird in den kommen Jahren nicht abreißen, nein - tatsälich wird diese sogar zunehmen.
Grund hierfür ist unter anderem die Bemühung der Regierung wichtige Infrastrukturen die immer intelligenter ("smarter") werden und am Internet hängen zu schützen. Enrgieversorgung, Wasserversorgung und andere Einrichtungen vom Staat sind dazu verprflichtet, sich aller 3 Jahre zu Auditieren.
Das heißt, Ihr habt mit so einem Zertifikat die Lizens zum Gelddrucken. Aller 3 Jahre wisst ihr das euer alter Kunde euch wieder beauftragen wird und Ihr nehmt natürlich ein saftiges Honorar. VERY NICE!
Informationssicherheits-Managementsystem (ISMS), das IT-Verantwortlichen beim Arbeiten mit dem BSI-IT-Grundschutz, ISO 27001 und anderen Standards unterstützt; neben der kostenlosen Open-Source-Software auch als erweiterte, kostenpflichtige Pro-Version erhältlich
Was ist IT-Sicherheit?
Als IT-Sicherheitsaudit (englisch (https://de.wikipedia.org/wiki/Englische_Sprache) IT security audit (https://de.wikipedia.org/wiki/Audit); von lateinisch (https://de.wikipedia.org/wiki/Latein) audit: „er/sie hört“; sinngemäß: „er/sie überprüft“) werden in der Informationstechnik (https://de.wikipedia.org/wiki/Informationstechnik) (IT) Maßnahmen zur Risiko- (https://de.wikipedia.org/wiki/Risikoanalyse) und Schwachstellenanalyse (https://de.wikipedia.org/wiki/Schwachstellenanalyse) (engl. Vulnerability Scan (https://de.wikipedia.org/wiki/Vulnerability_Scan)) eines IT-Systems (https://de.wikipedia.org/wiki/System) oder Computerprogramms (https://de.wikipedia.org/wiki/Computerprogramm) bezeichnet. Bedrohungen für die Sicherheit können ausgehen von kriminellen Angriffen, von organisatorischen Mängeln aber auch von technischen Unfällen oder höherer Gewalt. Schwachstellen (https://de.wikipedia.org/wiki/Schwachstelle_(Organisation)) sind Fehler eines IT-Systems oder einer Organisation, durch die diese für Bedrohungen anfällig werden. Eine Bedrohung oder eine Schwachstelle allein reichen jedoch nicht aus, um die Sicherheit eines Systems zu gefährden. Eine Gefährdung für das angegriffene System besteht nur dann, wenn eine Bedrohung auf eine existierende Schwachstelle trifft. Die Ursachen für Schwachstellen sind vielseitig. Sie können in der Konzeption, Implementierung oder auch im Betrieb liegen und umfassen ebenfalls Design- oder Konstruktionsfehler, menschliches Fehlverhalten oder ungenügende Standortsicherheit. Schwachstellenanalysen dienen dazu, diese Fehler systematisch zu finden, um Bedrohungen und Angriffsszenarien abzuwenden[1] (https://de.wikipedia.org/wiki/IT-Sicherheitsaudit#cite_note-1). Sicherheitsaudits finden meist im Rahmen eines Qualitätsmanagements (https://de.wikipedia.org/wiki/Qualit%C3%A4tsmanagement) statt und dienen der Reduzierung von Sicherheitslücken (https://de.wikipedia.org/wiki/Sicherheitsl%C3%BCcke) sowie der Einführung von Best practices (https://de.wikipedia.org/wiki/Best_practice) in einer Organisation (https://de.wikipedia.org/wiki/Organisation) (öffentliche Verwaltung (https://de.wikipedia.org/wiki/Verwaltung), Unternehmen (https://de.wikipedia.org/wiki/Unternehmen)). IT-Sicherheitsaudits zählen zum Bereich der Netzwerk- (https://de.wikipedia.org/wiki/Netzwerksicherheit) und Informationssicherheit (https://de.wikipedia.org/wiki/Informationssicherheit), wobei die Grenze zur LAN-Analyse (https://de.wikipedia.org/wiki/LAN-Analyse) in lokalen Netzwerken (https://de.wikipedia.org/wiki/Local_Area_Network) beziehungsweise zur Netzwerk-Analyse (https://de.wikipedia.org/wiki/Netzwerkanalyse_(Informatik)) fließend ist. Quelle: https://de.wikipedia.org/wiki/IT-Sicherheitsaudit
Was ist der BSI-Grundschutzkatalog?
IT-Grundschutz - die Basis für Informationssicherheit. Der vom BSI entwickelte IT-Grundschutz ermöglicht es, durch ein systematisches Vorgehen notwendige Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Die BSI-Standards liefern hierzu bewährte Vorgehensweisen, das IT-Grundschutz-Kompendium konkrete Anforderungen. Quelle: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/itgrundschutz_node.html
Ich würde es mal in meinen Worten so beschreiben, dass der IT-Grundschutz vom BSI ein Leitwerk ist wie Firmen aber auch privat Personen Ihr Netzwerk absichern können. Es ist also ein "Handbuch" mit Empfehlungen. Es stehen auch Themen drin die nur im weitesten Sinne mit IT zu tun haben. Zum Beispiel: "Sind alle Mitarbeiter geschult die Fenster als letzter der den Raum verlässt zu schließen?" Grund der Frage wäre der, dass Fenster offen ist, alle sind Heim gegangen und Nachts kommt der Dieb und klaut die Rechner oder sogar die Server mit den sensiblen Firmen Daten auf den Festplatten. Ergo, Supergau für die Firma. Nicht nur das alle Daten weg sind und evtl. sogar kein Backup exisitert sowie auch geklaut wurde sondern auch die Verletzung des Datenschutzes gegenüber den Kunden. Grobfahrlässig gehandelt. Alle Weinen und viel Geld wird fliesen.
Weiter Informationen gibt es hier: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/itgrundschutzkataloge_node.html
Was kann man nun mit dem BSI Katalog und Verinice tun?
Der Datenschutzbeauftrage oder der Eifrige IT-Mitarbeiter kann sich nun den Grundschutzkatalog durchlesen und Empfehlungen seinem Chef Vortragen und dabei glänzen. Jedes Unternehmen denkt nicht an alles, erst recht nicht an banale Dingen wie Backup, das Thema mit dem Fenster usw.
Zweite und feine Möglichkeit wäre zum einen das Ding grob überfliegen und anschließend in das Tool verinice importieren. Danach die Fragen mit diesem Tool soweit wie es geht beantworten und am Ende einen schönen Report generieren, denn man dem Konzern vorstellen kann. Hier auch wieder Bonus Punkte vor der Firmen Administration.Nicht zu vergessen wäre auch der Punkt das die Firmen IT somit sicherer geworden ist. Dies sollte vielen wichtig sein die an Ihren Arbeitsplatz hängen.
Für die privat Person hat dieser katalog natürlich auch Vorteile die es zu Hause betreffen.
Wie nutze ich Verinice und den BSI Grundschutzkatalog?
Hier kurz erwähnt gibt es auch die Möglichkeit, den Katalog in das Tool OpenVas zu importieren und eine automatisierten Schwachstellen Scan auszuführen. Nette Sache.
Aber nun zu der Anleitung selbst. Da ich nicht Fremdes Geistiges Eigentum als meines Ausgeben möchte, poste ich einfach mal einen Youtube-Link. Generell ist Google und Youtube ein sehr guter Ansprechpartner für so etwas :)
https://www.youtube.com/watch?v=1hzdEz5lTkQ
Kann ich eine Job für soetwas finden?
Natürlich, ja, klar!
Berater in diesem umfeld auf Basis des IT-Grundschutzkatalogs vom BSI werden sogar Händeringend gesucht. Hierzu benötigt Ihr NUR ein paar Zertifikate auf der ISO 2700x und folgende. Ein ITIL V3 Zertifikat wäre auch nicht schlecht. Genauer weiß ich es aber selber nicht.
Die Auditoren die in Fimen gehen werden sehr gut bezahlt und die Auftragslage wird in den kommen Jahren nicht abreißen, nein - tatsälich wird diese sogar zunehmen.
Grund hierfür ist unter anderem die Bemühung der Regierung wichtige Infrastrukturen die immer intelligenter ("smarter") werden und am Internet hängen zu schützen. Enrgieversorgung, Wasserversorgung und andere Einrichtungen vom Staat sind dazu verprflichtet, sich aller 3 Jahre zu Auditieren.
Das heißt, Ihr habt mit so einem Zertifikat die Lizens zum Gelddrucken. Aller 3 Jahre wisst ihr das euer alter Kunde euch wieder beauftragen wird und Ihr nehmt natürlich ein saftiges Honorar. VERY NICE!