Sicherheitsprobleme

Kom i Gang. Det er Gratis
eller tilmeld med din email adresse
Rocket clouds
Sicherheitsprobleme af Mind Map: Sicherheitsprobleme

1. Personal

1.1. Keine Weitergabe von wichtigen Informationen (Hacker-Angriff) (G 2.62 Ungeeigneter Umgang mit Sicherheitsvorfällen)

1.2. Mangelnde Motivation des IT-Leiters, Eventuell mangelnde Kompetenz ( muss geprüft werden)

1.3. Fehlendes Sicherheitsbewusstsein; G 2.102 Unzureichende Sensibilisierung für Informationssicherheit, G 2.103 Unzureichende Schulung der Mitarbeiter (Schulung des Sicherheitsverständis)

1.3.1. Keine Sperrung des Computers (G 2.4 Unzureichende Kontrolle der Sicherheitsmaßnahmen, G 2.1 Fehlende oder unzureichende Regelungen)

1.3.2. Kein Wissen über bestehenden Sicherheitslücken; G 2.141 Nicht erkannte Sicherheitsvorfälle

1.4. Personalplanung

1.4.1. zu hohe Arbeitsbelastung Zu wenig Personal; G 0.27 Ressourcenmangel

1.4.2. Experte war nicht anwesend um Problem zu lösen und der einzige der über das nötige Wissen verfügt; (G 0.33 Personalausfall + G1.1 , G 2.27 Fehlende oder unzureichende Dokumentation+ G 2.2 Unzureichende Kenntnis über Regelungen)

1.5. Keine Weiterleitung an entsprechende Stelle die für die Herausgabe von Informationen autorisiert und fähig ist (PR o.ä.) G 2.1 Fehlende oder unzureichende Regelungen

2. Prozesse

2.1. Programmierproblem/-fehler G 0.28 Software-Schwachstellen oder -Fehler; G 4.22 Software-Schwachstellen oder -Fehler

2.2. Versuche in aktivem System legen dieses lahm ; G 2.29 Softwaretest mit Produktionsdaten

2.3. kein Monitoring: 24std ist nicht aufgefallen dass etwas nicht funktioniert; G 4.89 Fehlendes oder unzureichendes Alarmierungskonzept bei der Protokollierung

3. Datenschutz

3.1. Rechteverwaltung; G3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten, G 2.7 Unerlaubte Ausübung von Rechten; G 5.9 Unberechtigte IT-Nutzung; G 2.67 Ungeeignete Verwaltung von Zugangs- und Zugriffsrechten

3.2. Rechteverwaltung (alle Admins haben einen gemeinsamen Zugriff) ;G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen, G 2.7 Unerlaubte Ausübung von Rechten; G 5.9 Unberechtigte IT-Nutzung; G 5.18 Systematisches Ausprobieren von Passwörtern, G 2.191 Unzureichendes Rollen- und Berechtigungskonzept, G 2.36 Ungeeignete Einschränkung der Benutzerumgebung

3.3. Weitergabe von Daten/Geräten (G0.14, G 2.16 Ungeordneter Benutzerwechsel bei tragbaren PCs,G 2.18 Ungeregelte Weitergabe von Datenträgern)

3.4. Keine Klassifizierung von Dokumenten (vertraulich); G 0.14 Ausspähen von Informationen / Spionage, G 3.44 Sorglosigkeit im Umgang mit Informationen

3.5. Weitergabe von sensiblen Daten; G 0.14 Ausspähen von Informationen / Spionage, G 3.44 Sorglosigkeit im Umgang mit Informationen

3.6. Nicht fachgerechte Entsorgung von Notebooks mit sensiblen Daten (G 2.20 Unzureichende oder falsche Versorgung mit Verbrauchsgütern, G 2.48 Ungeeignete Entsorgung der Datenträger und Dokumente, G 2.54 Vertraulichkeitsverlust durch Restinformationen)

3.7. Trojaner auf dem Notebook ; G 0.39 Schadprogramme; G 5.21 Trojanische Pferde; G 5.23 Schadprogramme

3.8. Keine Sperrung des Computers, IT-Leiter benutzt dieses Konto (G 2.21 Mangelhafte Organisation des Wechsels zwischen den Benutzern)

4. IT-Infrastruktur

4.1. Unverschlüsselte Versendung von Daten (G 2.19 Unzureichendes Schlüsselmanagement bei Verschlüsselung); G 5.12 Abhören von Telefongesprächen und Datenübertragungen; G 5.77 Mitlesen von E-Mails

4.2. Unbekannte Abhängigkeiten der Datenbanken Keine Dokumentation (G 2.27 Fehlende oder unzureichende Dokumentation), G 4.26 Ausfall einer Datenbank

4.3. Ersatzsystem hatte keinen Zugang zur Datenbank durch fehlerhafte Konfiguration (unterschiedliche IP-Adressbereiche) (G 2.45 Konzeptionelle Schwächen des Netzes); G 3.28 Ungeeignete Konfiguration der aktiven Netzkomponenten

4.4. Keine Log-Daten; G 2.160 Fehlende oder unzureichende Protokollierung

4.5. Enormer Datenverlust durch einfache Sicherung; G 0.45 Datenverlust;G 4.13 Verlust gespeicherter Daten; G 4.28 Verlust von Daten einer Datenbank, G 2.38 Fehlende oder unzureichende Aktivierung von Datenbank-Sicherheitsmechanismen

4.6. Keine Dev-Umgebung; G 2.29 Softwaretest mit Produktionsdaten

4.7. Dateien/Spiele werden aus dem Internet runtergeladen (G 2.4 Unzureichende Kontrolle der Sicherheitsmaßnahmen; G 0.31 Fehlerhafte Nutzung oder Administration von Geräten und Systemen; G 3.123 Unerlaubte private Nutzung des dienstlichen Mobiltelefons, Smartphones, Tablets oder PDAs

4.8. Angriff auf Webshop; G 0.23 Unbefugtes Eindringen in IT-Systeme, G 5.165 Unberechtigter Zugriff auf oder Manipulation von Daten bei Webanwendungen und Web-Services

4.9. Ausfall der Produktion; G 0.25 Ausfall von Geräten oder Systemen

5. Organisation des Unternehmens

5.1. Keine Entscheidungsgewalt/ keine Entscheidungshierarchien

5.2. IT hat einen zu geringen Stellenwert

5.3. Entscheidung wird von einer Person getroffen

5.4. Kein Support durch das Management

6. Security

6.1. Zutritt Rechenzentrum ungesichert (G 2.6 Unbefugter Zutritt zu schutzbedürftigen Räumen) ; G 5.3 Unbefugtes Eindringen in ein Gebäude;G 2.120 Ungeeignete Aufstellung von sicherheitsrelevanten IT-Systemen

6.2. keine Zugangskontrollen , Keine Begleitung der Gäste, Unbekannte haben Zugang zum gesamten Unternehmen ; G 5.3 Unbefugtes Eindringen in ein Gebäude

6.3. Keine Sicherung des Etagenverteilers (G 2.13 Unzureichend geschützte Verteiler)