3 Auswahlkriterien zu IT-Produkten
Für Softwareentwickler ist die Norm ISO 25010 zur Sicherstellung einer hohen Softwarequalität von besonderer Bedeutung.
Green-IT ist ein Leitbegriff, der eine Unternehmenskultur fördert, die darauf abzielt, IT-Ressourcen möglichst umweltschonend zu beschaffen und einzusetzen. Ein zentraler Gedanke der Green-IT ist eine ganzheitliche Betrachtungsweise.
Umfang:
Beschaffung, Nutzung, Verwertung und Entsorgung von IT werden als Teile eines zusammenhängenden Kreislaufes verstanden. Zielsetzung ist, in allen Teilen des Kreislaufes mit möglichst wenig Ressourcen auszukommen.
Überprüfung:
Nachhaltigkeitsrichtlinien, Nachhaltigkeitskonzepte und jährliche Nachhaltigkeitsberichte des Unternehmens erstellen, ein Umwelt- bzw. Nachhaltigkeitsmanagementsystem installieren.
Video: Wirtschaftlichkeit
Dauer: ca. 1 Min
Sicherheitsvorfälle
| Pishing | aus "Password" und "Fishing" oder "nach Passwörtern angeln"; manipulierte Webseiten und Websites/E-Mails mit Links zu Anmelde- oder Prüfseiten, mit denen Passwörter und Login-Daten abgegriffen werden. |
| Keylogger | Hard- oder Software zum Mitschneiden von Tastatureingaben |
| Nicknapping | Cyber-Angriff, bei dem der Angreifer unter einem bekannten Namen oder Pseudonym auftritt. |
| Scareware | Angstsoftware, die der Nutzer selbst auf seinem System installiert, weil ihm ein Schden vorausgesagt wird. |
| Malware | Schadprogramme, die wie Viren, Würmer oder Trojanische Pferde IT-Systeme befallen, auch weitere Schadmodule nachladen können oder unbefugten Zugang ("Hintertür", Backdoor) zu Systemen ermöglichen. |
| Ransomware | Schadprogramme, die den Zugriff auf Daten und Systeme einschränken oder verhindern und diese Ressourcen nur gegen Zahlung eines Lösegeldes (engl. ransom) wieder freigeben. (z.B. Troldesh, WannaCry, Cryptomix Clop). |
| Botnetz | Ein Verbund von Rechnern (Systemen), die unbemerkt von einem fernsteuerbaren Schadprogramm (Bot) befallen sind (z.B. Echobot, Emotet, Gamut, Mirai, Necurs, Reaper oder IoTroop). |
| DoS (Denial of Service) | Verweigerung des Dienstes, z.B. durch gekaperte Computer, die Webserver durch Massenanfragen zusammenbrechen lassen. |
| CEO-Fraud oder "Cheftrick" | Methode der Angreifer, "Chefmails" an Mitarbeiter, insbesondere des Rechnungswesens, zu senden, um damit Betrügereien zu unternehmen. |
Video: Malware
Dauer: ca. 2 Min - dann Eigenwerbung von NordVPN
Maßnahmen allgemein im Unternehmen
- Verantwortung durch speziell ausgebildete Sicherheitsbeauftragte und -verantwortliche, Datenschutzbeauftragte
- Zusammenarbeit mit BSI und anderen Sicherheitsbehörden und Einrichtungen, Sicherheitsunternehmen
- Beachtung von Orientierungshilfen des BSI, Gesetzesvorgaben und Richtlinien, z.B. IT-Sicherheitsgesetz IT-SiG, BSI-KritisV, BDSG, DS-GVO
- Bedrohungsszenarien und Schadenspotenziale erkennen und bewerten
- Schutzbedarfsanalysen, Sicherheitsleitlinien, Sicherheitsrichtlinien, Sicherheitskonzept
- Information Security Management System (ISMS), Sicherheitsmanagementsystem, Unified Threat Management (UTM), Operation Center
- Schulung und Sensibilisierung der Mitarbeiter, Selbsteinschätzungen
- Protokollierung der Sicherheitsvorfälle, Backup-Strategie
- Simulation von Notfallsituationen, Notfallhandbuch, Vorfallreaktionsplan (Incident-Response-Plan)
Maßnahmen am Arbeitsplatz
Einsatz von Anti-Schadsoftware, Einrichtung der Authentifizierung entsprechend den Richtlinien, Unterrichtung und Einweisung des Mitarbeiters in das Sicherheitskonzept des Arbeitsplatzsystems.