page-type:: [[Projekte]] team:: [[@Christopher Klein]], [[@Philip Losch]], [[@Stefan Fiebrich]], [[@Eray Kara]], [[@Blaž Zidanič]], [[@Nejc Mlakar]], [[@Andreas Steinberg]] status:: [[in Arbeit]] scope:: [[$KRAH]] jourfixe:: [[%J IT-Team]], [[%J TISAX Management-Jourfixe]] start:: [[2023-01-01]] - - >Audit-Termin: spätestens Mitte Juli in der KW 28 (Woche vor dem Olper Schützenfest) - Planner: [TISAX allgemeine Aufgaben – Planner (office.com)](https://tasks.office.com/krahgruppe.onmicrosoft.com/de/Home/Planner/#/plantaskboard?groupId=1ef0b2ea-78dc-4fb5-b6cd-34c66a9c0b12&planId=sbRG1qyNI0eQ9r-gfPAOt5cADuVN) - ## Teilprojekte - [[%P IT-Notfallhandbuch erstellen]] - ## Aufgaben (nicht im Journal) - DONE test-aufgabe aus TISAX Projekt - TODO Projektverantwortlichen [[@Philip Losch]] festlegen und verkünden - ## Aufgabensammlung collapsed:: true - {{query (and (todo TODO LATER)[[%P TISAX Einführung KRA & RES]]) }} - - ## warten auf - {{query (and (todo WAITING)[[%P TISAX Einführung KRA & RES]]) }} query-table:: false ## Historie - **[[2023-01-25]]**: - ### [[Meeting]]: Vor-Ort Treffen mit IT & VIA type:: [[Meeting]] icon:: 📅 team:: todo projekt:: [[%P TISAX Einführung KRA & RES]] datum:: [[2023-01-25]] uhrzeit:: [[08:53]] - #### Ziele: - Maßnahmenplan für IT-Team bei höchstem Schutzbedarf - Basis für Projektplan, der rückwärts gerechnet wird, schaffen - #### Notizen - Richtlinie vergleich - TODO hohe Schulungsquote sollte 90% sein -> Orga an LQS übergeben - System muss dafür vorhanden sein - Fragebogen für Wirksamkeitsprüfung - TODO Wer bereitet die Schulungsinhalte vor? - internes Audit, dass jährlich gemacht werden muss -> Nachweise erforderlich - Auditor benmänget, dass unfertiges System auditiert wurde - wie internes Audit bei Teams - Gaps ermitteln - Vorbereitung internes Audit - Sicherheitszonenkonzept - Compliance, Gesetze in Slowenien, Berater, Geschäftsfüher bekannt?, Gesetzeskartaster id:: 63d0e75c-c832-489d-85eb-ad93c29303a1 - Datenschutz Slowenien -> lokale Gesetze? - Verantwortlichen für jedes Control festlegen - Projektmananement (Kundenprojekte) - wie wird Informationssicherheit im Projektmanagment geregelt, - Teams nur durch IT mit Fragenkatalog (externe?, welche Dokumnete) - Strukturanalyse -> Verantwortliche festelgen - für RESISTEC kopieren -> was global gilt verweisen auf Drolshagen, - Risikobewertung (separates Dokument) - TODO Oliver schickt aktuelle liste #others - BSI grundgefährdungen - Sollte-Anforderungen sind bei ITSAX ein MUSS -> Dokumentation über die Risikobewertung (wenn eine Anforderung nicht erfüllt ist) - für Slowenien im Werk lokal erfragen, Gewerbegebiet, Naturkatastrophen -> LQS - Notfallübungen 1.5.1, 1.5.2 -> Teilprojekt - Ergebnisse bitsight - USV Prüfung - Brandmeldeanlage, Alarmanlage, Wachdienst Meldeketten prüfen - auch für SLO einsammeln - 1.5.1: Meldeprozess - TODO Oliver liefert Vorlage #others - Datenschutz bereits vorhanden - Unterkategorien für Ticketsystem: Datenschutzvorfall, Informationssicherheitsvorfall, Schwachstelle, Compliance-Meldung, Gesetzesverstoß - Hinweisgeberschutzgesetz: Whistle-Blower anonym mit abdecken - Personal - Einstellungsprozess, Identität überprüfen -> RS [[@Teresa Mason-Hermann]] - Stellen mit sensiblen Daten identifizierungen - Background-Checks - Führungszeugnis - vorhandene Checklisten ergänzen - TODO !! KURZFRISTIG -> Meeting mit HR organisieren #personal - Geheimhaltungsvereinbarung mit allen Mitarbeitern (auch alt eigesessenen) - -> Slowenien? - Gap zwischen Neueinstellungen und Schulung -> 2 Pager zur Informationssicherheit ergänzen - 2.1.4: Mobiles Arbeiten - Dienstreisen? - notebooks verschlüsselt - Notebook für Dienstreisen - TODO Kap 3: Sicherheitszonenkonzept LQS #others - Powerpoint mit den Layouts - Zonen definieren -> 3.1.1 - Beispiel übernehmen und an KRAH anpassen ![image.png](../assets/image_1674636582617_0.png) - Fenster überprüfen, Nachweise für Fenster vorhalten -> LQS - Besonderheiten zu Räuimen rausschreiben, z.B. Holzfenster - Layout wo welche Kameras mit Blickwinkel sind -> In Sicherheitszonenkonzept übernehmen - TODO Oliver schickt Beispiel #others - Notfallhandbuch - keine Chance das intern zu lösen-> extern machen - Interviews durch VIA - TODO Oliver schickt themen, ich nenne Verantwortlich -> Einzetermine #others - - TODO MDM, nur active Sync -> auf Intunes migrieren Teilprojekt für [[@Eray Kara]] - im Audit sagen, dass system im Aufbau ist und Laptos - Management von Identifikationsmitteln - Schlüssel, Verlust melden, Formular? -> Prozess beschreiben - Steuerung über HR, IT, Gebäudemanagement? Wie ist Slowenien? - -> LQS - TODO Kläruing der Verantwortlichkeit, ggf. Schlüssel-Prozess nach HR verlagern #personal - Zugang zu IT-Diensten - Wenn Vertrauliche Daten aus Assetbewertung zu einem System gehören -> MFA - Prozess Rechtevergabe - bei Admin-Konten (siehe sehr hoch) - regelmäßige Kontrollen der Rechte - Prüfung, wenn konten länger als X Monate nicht genutzt werden (Report in Desktop-Central vorhanden -> bisher nicht genutzt - Report alle 3 Monate durchführen und in Protokoll-Liste ablegen - Beschreibung erstellen, wie Report erstellt wird - TODO Teilprojekt für [[@Christopher Klein]] #others - Zugriffsberechtigungen - bei sehr hoch in kurzen abständen, mind. vierteljählich 4.2.1 - TODO Access Rights Management von SolarWind prüfen - Angebot einholen, manuelle sind die Anforderungen nicht zu bearbeiten - [Get a Free Trial of SolarWinds Access Rights Manager](https://www.solarwinds.com/access-rights-manager/registration?a_bid=34f98d7b&CMP=BIZ-PAP-CMPRTCH-AccessRghts-ARM-DL&data1=123603&data2=&a_aid=BIZ-PAP-CMPRTCH) - TODO Angebot einholen - es gibt sehr viele Zusatzanforderungen an die Berechtigungsvergabe -> Fragebogen im Details geprüft werden id:: 63d0f2ce-fab9-420a-ac29-bc02367c97da - alternativ MAtrix 42 prüfen - Kap. 5 IT-Security - Bitlocker - dateien verschlüsselt versenden, MA schulen - verbote definieren (DropBox) - TODO Oliver schickt Vorlage für eine Richtline #others -> prüfen und Benutzerrichtline ergänzen - Passwörter nicht auf dem gleichen Kanal versenden - Change-Management - TODO formelle Prozess kann Oliver schicken #others - übers Ticketsystem steuern - Änderungen an IT-Systemen - Problem: nicht nur IT-Changes -> Änderung in der Organisation und in Geschäftsprozessen - gleiche Problem wie bei Projekten - Der Change muss mit Frage auf "Einfluss auf Inf.-Sicherheit" geprüft werden -> ISMS-Beauftragten hinzuziehen - heute One-Note - Wie lösen? - Ticket für "interner Change"? - wenn es einfluss auf die Inforamtionssicherheit hat -> Bewertung des Tickets hinsichtlich Kritikalität - TODO Termin zum Brainstorming erstellen #personal - Konsequenz -> Produktivtät wird drastisch sinken, für viele Changes wird die Dokumentation aufwändiger werden, als der Change selbst - Idee WIKI? - TODO Oliver recherchiert mal, wie andere Firmen das machen #others - Entwicklungs- und Testumgebungen - niederschreiben was es gibt -> müssen in Risikobewertung auftauchen - Segmentierung / Trennung aufführen - TODO Beschreiben, wie man ohne Testsysteme arbeiten: erst IT, Test-Gruppe, Abteilungsweise ausrollen -> IT-Richlinie ergänzen -> wie nachweisen? #personal - Berechtigungen in den Testsystemen? - Produktivdaten im Testsystem vorhanden -> Risikobewertung -> abstellen - Tests für die Benutzerrichlinie und die IT-Richtlinie erstellen - Schadsoftware - genauer Lesen -> Endpoint-Protection, wie Sentinel -> technische Maßnahmen ableiten - [Microsoft Sentinel – SIEM-Lösung in der Cloud | Microsoft Security](https://www.microsoft.com/de-de/security/business/siem-and-xdr/microsoft-sentinel#tabxf4347445d2934e8ea6549c4a9a1a61cd) - [SentinelOne | Autonomous AI Endpoint Security Platform | s1.ai](https://de.sentinelone.com/) - TODO Einzelanforderungen prüfen [[@Philip Losch]] #others - Phishing-Mails, Nachschulen - XP und Win 7 System in Risikobewertung und Netzwerksegmentierung - Risikokennzahl um alte Systeme zu minimieren - Ereignisprotokolle - welche Protokolle sind vorhanden - -> CSOC -> Report für Auditor - [[@Philip Losch]] - PRTG - Netzwerküberwachung - Betriebsrat (Reglementierung, je nach dem was ausgewertet wird) - Überwachung von Regelverstößen -> Betriebsvereinbarung erstellen und auslisten - TODO Zugriffe auf geheime Daten lückenlos protokollieren -> File-Server ausgeschlossen -> Teilprojekt - Schwachstellenidentifizierung - Software für autom. Abfragen - dokumnentieren, welche Newsletter verfolgt werden - je nach Kritikalität -> Ticket öffnen und dokumentieren, wie sie behandelt wird, oder warum sie nicht behandelt wird. - Patch-Management - -> Full Time Job - -> Teilprojekt - technisch Überprüfung von Systemen - Reports von Dienstleister - BitSight - Pen-Tests (extern, nicht CSOC) - Rückfrage CSCO bezüglich Schwachstellenanalyse - TODO [GreenBone]([Vulnerability Management - Greenbone Networks](https://www.greenbone.net/en/)), freies Tool, KIS aus Siegen -> Dienstleister, der GreenBone ausführt und Reports aufbereitet -> [[@Christopher Klein]] #others - 5.2.7: Netzwerksegementierung - Netzwerkpläne, Netzwerksegemtierng, Maschinen-Netze - Teilprojekt für [[@Philip Losch]] - Netzwerkpläne DocuSnap - für Slowenien nur als Projektplan um was zeigen zu können -> Umsetzung bis Sommer ausgeschlossen - IS bei neuen Systemen - Vorabkontrolle -> prüfen, ob IS im Formular ergänze werden muss, nicht nur DS sondern auch ISMS-Beauftragter muss prüfen - Klassigizierung hinsichtlich Vertraulichkeit Integrietät ergänten -> Update der Asset-Bewertung nötig? -> Freigabe durch 2 Personen - in Schulung aufnehmen - Anfordeurngen an Netzwerkdienste - Verfübarkeit Internetprovider, Cloud-Diensten, MS, ATOSS, SAP - welche Anwendungen betreibt RES in der Cloud? - SLAs und Garantien -> Sammel und Liste erstellen - TODO Termin mit EK -> Slowenien nicht vergessen -> LQS #others - Organisatorische Aufgabe - wo liegen heute die NDAs? -> auch IT-Deinstleister im EK führen - TODO Oliver schickt Beispiel Excel-Liste #others - organisationsfremde IT-Dienste (Cloud) - Daten aus der Cloud entfernen - Ausstiegsstrategie schreiben - Verträge prüfen -> Datenauslieferung bei Vertragskündigung? -> EK - Betriebliche Informationen schwierig - White-Paper von Microsoft - -> Risikobewertung, dass geprüft wurde, ob Daten gelöscht werden können - verweis daruf, dass MS TISAX Zertifiert ist - welche weiteren Anbieter, Lieferanten sind TISAX zertifiziert, NTT? -> EK - Schutz von Daten in der Cloud - wie sind Informationen in der Cloud geschützt? - Mandantentrennung - Konzepte von Microsoft - ATOSS? NTT?? -> EK - welche Cloud Dienste nutzt RES? - welche TOMs habe die einzelnen Anbieter? - automatischen Prozess für die Zukunft etablieren - EK in Docuware ablegen? -> Link an die IT schicken - EK-Block 6 übersprungen - Block 7 Compliance - Datenschutz -> gut aufgetellt - Datenschutzkonzept -> ist das freigegeben? - Vertragsmanagement - Matrix der Kundenanforderungen -> TISAX ergänzen, welche Kunde fordert TISAX - Anforderungne aus Zoll-Versandt etc. - Compliance und Datenschutz für Slowenien - TODO Datenschutz kann VIA bisher nur für KRAH ein i.O. geben -> Datenschutz bei RES völlig offen -> Frage an Marcel klären #personal - Ausblick: - ISMS aufzubauen ist gut - neue NIS2, EU-Richtlinie, zum Jahresende neue gesetzliche Anforderungen -> dann aber auch für ATHOS, HKR, WITEC etc. - ab 50 MA -> fallen unter NIS2 - Orga: - TODO Bedienung an der Dauerbeauftragung -> neue Bestellung nötig -> EK #personal - - - - - - - - - - - - - -