Transcription
GFI White PaperGFI IT-ComplianceBundleCompliance Check
Contents1. Einleitung32. Rechtliche Grundlagen3a. Allgemeine Grundlagen3b. KonTraG, AktG, GmbHG4c. Datenschutz4d. Betriebsverfassungsrecht53. Kosten64. Rechtliche Prüfung des GFI ComplianceBundle7a. GFI EventsManager 7b. GFI LanGuard 9c. GFI EndPointSecurity 105. Ergebnisse zu den rechtlichen Anforderungen126. Weitergehende Auskünfte12GFI IT-ComplianceBundle Compliance Check2
1. EinleitungIm September 2011 wurden PRW RECHTSANWÄLTE von GFI mit der rechtlichen Prüfung des ITComplianceBundles (nachfolgend „Bundle”) hinsichtlich der Erfüllung der gesetzlichen Anforderungen imUmfeld von IT-Security im Mittelstand beauftragt. Darüber hinaus wurde gefordert, dass die insbesondere inDeutschland strengen Anforderungen nach dem Bundesdatenschutzgesetz (BDSG) mit den NovellierungenI-III in die Prüfung und Begutachtung einbezogen werden. Die notwendigen Prüfungen wurden erfolgreichdurchgeführt. In diesem Whitepaper werden die wichtigsten Grundlagen zusammengefasst.2. Rechtliche GrundlagenDie rechtlichen Grundlagen der Prüfung ergaben sich aus nachfolgenden Normen:»»»»»»»»»»»»»»»»§ KonTraG§ 43 GmbHG§ 91, 93 AktG§ 3a BDSG§ 4b, Absatz 1 BDSG§ 4c, Absatz 1, Nummer 1 BDSG§ 4c, Absatz 2 BDSG§ 9 BDSG mit Anlagea. Allgemeine GrundlagenZu unterscheiden ist zunächst zwischen spezialgesetzlichen Vorschriften, die sich in erster Linie an besondereBranchen richten und insoweit einen abgegrenzten Adressatenkreis betreffen und den allgemeinenSicherheitspflichten, die gegenüber jedermann bestehen. Auf Letzteren liegt hier der Schwerpunkt.Wesentlich für die Haftung ist das Konzept der Verkehrssicherungspflichten; sie sind ausschlaggebend, umSchäden, die durch mittelbare Verletzungen entstanden sind, zuzurechnen. Sie beanspruchen eine allgemeineGeltung für die Ableitung von Pflichten, die aus der Beherrschung von Gefahrenquellen erwachsen können.1Für die Konkretisierung dieser, durch richterliche Rechtsfortbildung entwickelten Pflichten, sind insbesonderedie berechtigten Sicherheitserwartungen des Verkehrs und der zumutbare Aufwand maßgeblich.2Stets ist jedoch eine Basissicherheit zu gewährleisten, von deren Einhaltung der Verkehr auf jeden Fallausgehen darf.3 Erheblich ist ferner, ab welcher Schwelle der Bedrohung von Rechtsgütern Dritter derDatenhalter Maßnahmen zur Sicherung ergreifen muss. Die Pflicht zum Eingreifen wird umso eher ausgelöst,je höherrangiger die bedrohten Rechtsgüter sind.4Mit anderen Worten, der Datenschutz ist eine gesetzliche Vorgabe. Bei der Datensicherheit ist der Maßstab diemögliche Schwelle der Bedrohung einerseits und die Zumutbarkeit andererseits.Die meisten Menschen unterscheiden nicht zwischen den Begriffen Datenschutz und Datensicherheit,wenn auch der Bereich Datenschutz erheblich in den Bereich der Datensicherheit eingreift. Es kann jedochfolgende einfache Unterscheidung getroffen werden. Daten sind entweder kritisch oder unkritisch. Wenn sieunkritisch sind, ist es im Grunde gleich, was damit geschieht. Wenn sie kritisch sind, gibt es für die meistenDaten drei rechtliche Grundausrichtungen: Sie unterliegen dem Datenschutz, der Datensicherheit odersogar den Vorschriften des Strafgesetzbuches. Bei Letzterem ist etwa an die Verschwiegenheitsverpflichtungvon Ärzten, Anwälten, Steuerberatern, Datenschützern, etc., gemäß § 203 StGB zu denken. Werdengeheimhaltungspflichtige Daten offenbart, sieht das Gesetz einen Strafrahmen von einem, in besonderenFällen sogar von zwei Jahren Haftstrafe vor. Datenverluste können zudem Schadensersatzansprüche auslösenund somit insgesamt für den Schädiger schwerwiegende Folgen haben.GFI IT-ComplianceBundle Compliance Check3
b. KonTraG, AktG, GmbHGDas Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz KonTraG ist ein umfangreichesArtikelgesetz, das der Deutsche Bundestag am 5. März 1998 verabschiedete. Es trat am 1. Mai 1998 in Kraft. Ziel desKonTraG ist es, die Corporate Governance in deutschen Unternehmen zu verbessern. Deshalb wurden mit diesemArtikelgesetz etliche Vorschriften aus dem Handels- und Gesellschaftsrecht verändert. Das KonTraG präzisiertund erweitert dabei hauptsächlich Vorschriften des HGB (Handelsgesetzbuch) und des AktG (Aktiengesetz). Mitdem KonTraG wurde die Haftung von Vorstand, Aufsichtsrat und Wirtschaftsprüfern in Unternehmen erweitert.Kern des KonTraG ist eine Vorschrift, die Unternehmensleitungen dazu zwingt, ein unternehmensweitesFrüherkennungssystem für Risiken (Risikofrüherkennungssystem) einzuführen und zu betreiben sowie Aussagenzu Risiken und zur Risikostruktur des Unternehmens im Lagebericht des Jahresabschlusses der Gesellschaft zuveröffentlichen. Dies betrifft in zunehmendem Maße das Thema IT und Datensicherheit.Wörtlich schreibt das Gesetz in § 91 Abs. 2 AktG vor, dass der Vorstand verpflichtet wird geeignete Maßnahmenzu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaftgefährdende Entwicklungen früh erkannt werden. Das KonTraG betrifft entgegen weit verbreiteter Meinungnicht ausschließlich Aktiengesellschaften. Auch GmbHs sind von den Vorschriften erfasst, zumindest inanaloger Anwendung (Ausstrahlungswirkung). Hier setzt z.B. § 43 GmbHG (GmbH Gesetz) an, wenn ernormiert: „Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichenGeschäftsmannes anzuwenden.“ Der Weg dahin ist einfach. Die Frage lautet: Ist die IT für das Unternehmenwichtig? Stellt ihr Ausfall ein betriebswirtschaftliches Risiko für das Unternehmen dar? Wenn ja, stellt dieAußerachtlassung von IT-Security Maßnahmen einen Haftungsgrund für das Management dar?c. DatenschutzIm Datenschutzrecht gilt der Grundsatz der Datenvermeidung und Datensparsamkeit.5 Dies bedeutet,dass personenbezogene Daten nur unter strengen Voraussetzungen erhoben, verarbeitet und eben auchgespeichert werden dürfen. Daten, die für den Zweck, zu dem sie erhoben wurden, nicht mehr benötigtwerden, sind zu löschen oder zu sperren.6Werden personenbezogene Daten übertragen, ergeben sich zusätzliche datenschutzrechtlicheEinschränkungen. So erlaubt das Bundesdatenschutzgesetz die Übermittlung personenbezogener Dateninnerhalb des europäischen Wirtschaftsraums (§ 4b, Abs. 1 BDSG). Eine Übermittlung an andere ausländischeStellen ist beispielsweise dann zulässig, wenn dort ein angemessenes Datenschutzniveau gewährleistet ist(§ 4b, Abs. 2 BDSG), der Betroffene eingewilligt hat (§ 4c, Abs. 1, Nr. 1 BDSG) oder die Aufsichtsbehörde dieÜbermittlung genehmigt (§ 4c, Abs. 2 BDSG).GFI IT-ComplianceBundle Compliance Check4
§ 9 BDSG schreibt sogar explizit vor, dass dazu technische und organisatorische Maßnahmen getroffenwerden müssen: Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Datenerheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, dieerforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesemGesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einemangemessenen Verhältnis zu dem angestrebten Schutzzweck steht.Die Anlage zu § 9 Satz 1 des Bundesdatenschutzgesetzes enthält die folgenden acht Vorgaben für dieDatenverarbeitung in Organisationen, die auch als “8 Gebote des Datenschutzes” bekannt sind.Anlage (zu § 9 Satz 1 BDSG):Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oderinnerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerechtwird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach Art der zu schützenden personenbezogenen Datenoder Datenkategorien geeignet sind,1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet odergenutzt werden, zu verwehren (Zutrittskontrolle),2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich aufdie ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten beider Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entferntwerden können (Zugriffskontrolle),4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihresTransports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entferntwerden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlungpersonenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wempersonenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind(Eingabekontrolle),6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend denWeisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind(Verfügbarkeitskontrolle),8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technikentsprechenden Verschlüsselungsverfahren.d. BetriebsverfassungsrechtDie Einführung technischer Einrichtungen, wie eines Datenverarbeitungssystems, die das Verhalten oder dieLeistung der Arbeitnehmer überwachen können, unterliegt zwingend der Mitbestimmung des Betriebsrats (§87, Abs. 1, Nr. 6 BetrVG)7. Es ist davon auszugehen, dass im zukünftigen Arbeitnehmerdatenschutzrecht hierzuweitergehende Regelungen in Kraft treten werden.GFI IT-ComplianceBundle Compliance Check5
3. KostenZu der Umsetzung von Compliance-Maßnahmen gehört natürlich auch der Blick auf die Kosten. DieSichtweise ist in vielen Fällen jedoch etwas einseitig. Es wird nahezu erwartet, dass Compliance Programmeohne Kosten umsetzbar sind. IT-Security gehört zu einem der grundlegenden Pfeiler, die das Haus der ITCompliance tragen.Eine Verschuldenshaftung ist aus ökonomischer Perspektive die Festlegung eines bestimmtenSorgfaltsstandards, dessen Nichteinhaltung zur Haftung führt.8 Dieser Sorgfaltsmaßstab wird objektivbestimmt und ist juristisch beim Terminus des Verschuldens angesiedelt und nicht von den individuellenFähigkeiten des Schädigers abhängig.9Diese Feststellungen lassen sich zur sogenannten marginalisierten Learned-Hand Formel verallgemeinern.Danach ist ein Verschulden anzunehmen, wenn das Sorgfaltsniveau so gewählt ist, dass weitereSorgfaltsanstrengungen (V) höhere Kosten verursachen würden als sie Schadenshöhe (S) malSchadenswahrscheinlichkeit (q) reduzieren. Ein Verschulden ist also zu verneinen wenn: V S * q10.Trotz dieser rechtlichen Situation wird IT-Sicherheit in vielen Fällen noch falsch bewertet. Das zeigt folgenderVergleich. Die Ausgabe des Geldes für Türschlösser wird nicht hinterfragt, sie ist selbstverständlich und bedarfkeiner Begründung, weil die Notwendigkeit offensichtlich ist. Gleiches gilt aber für IT-Sicherheit. Wer sichdieser Argumentation nicht öffnen kann, dem empfehlen wir den Rat der englischen Kollegen:If you think compliance is expensive, try non-compliance.Beispiele, die die Situation aufzeigen:In Deutschland ist die Verwendung eines Türschlosses nicht gesetzlich vorgeschrieben, wird allerdings dasInventar gestohlen, wird sich die Versicherung zu Recht darauf berufen, dass nicht mit der erforderlichenSorgfalt gehandelt wurde. Der Schaden wird nicht ersetzt. Ähnliches gilt auch für digitale Türen.Stecke ich jemanden mit einem Virus an, kann darin eine Körperverletzung gesehen werden. Will ichjemanden dagegen infizieren oder nehme dies grob fahrlässig in Kauf, handelt es sich ganz sicher um einestrafbare Körperverletzung. Bei einer Ansteckung mit Computerviren, die ich billigend in Kauf nehme, handeltes sich indessen um eine Sachbeschädigung.GFI IT-ComplianceBundle Compliance Check6
4. Rechtliche Prüfung des GFI ComplianceBundleDiese zuvor beschriebenen Maßstäbe werden nachfolgend auf die Einzelprodukte des Bundles angewendet.Die Bundle ProdukteDas Bundle besteht aus folgenden GFI Produkten.11»»»»»»GFI EventsManagerGFI LanGuardGFI EndPointSecurityBeschreibung der Produktea. GFI EventsManagerDie zentrale Funktion des GFI EventsManager12 ist die Überwachung, Auswertung und Archivierung vonSystemmeldungen.Systemmeldungen im Netzwerk fallen täglich in sehr großer Zahl an. Wachsende Gefahren für die Kontinuitätder IT machen unter anderem die Echtzeit-Überwachung von in IT-Umgebungen ausgegebenen Ereignissenerforderlich. Dies betrifft auch die Möglichkeit, anfallende Daten zu analysieren und zu bewerten, umrechtzeitig auf Vorfälle oder Sicherheitsrisiken eingehen zu können. Die Lösung unterstützt die Überwachungund Verwaltung von Systemmeldungen, um die Performance und Sicherheit des Netzwerks zu gewährleisten.GFI EventsManagerIm Rahmen der allgemeinen Sorgfaltspflichten ist es notwendig zu wissen, wie es um die Sicherheit desNetzwerkes bestellt ist. Dies ist gewährleistet weil der GFI EventsManager durch automatische Auswertungalle relevanten Informationen zu aktuellen Vorgängen im Netzwerk liefert. Daneben ist es ebenfalls hochanzusiedeln, dass die Mitarbeiter davor geschützt werden, dass ihr Benutzername nicht von anderenmissbraucht wird.GFI IT-ComplianceBundle Compliance Check7
GFI EventsManagerAußerdem hilft die Lösung bei der Einhaltung von gesetzlichen und institutionellen Compliance-Vorgabenwie Sarbanes-Oxley Act (SOX), Payment Card Industry Data Security Standard (PCI DSS), Code of Connection(CoC) und Health Insurance Portability and Accountability Act (HIPAA).Der Schutz ist nicht realisierbar, ohne dass auf der anderen Seite alle Aktivitäten der User erfasst werden,hierdurch könnten sowohl die Rechte des Betriebsrats (Leistungskontrolle nach § 87 Abs. 1 Nr. 6 BetrVG) alsauch des Datenschutzbeauftragten tangiert sein.Besonders hervorzuheben ist aber, dass der GFI EventsManager die Informationen, soweit sie einzelnePersonen betreffen, verschlüsselt in der Datenbank ablegen kann und dass der Zugriff zum Beispiel durch einVier-Augen-Prinzip geregelt werden kann.Wichtig ist in diesem Zusammenhang die elegante Lösung, dass durch den Passwortschutz nur die Ansichtentschlüsselt wird. Auf der Datenbank hingegen bleiben die Daten verschlüsselt.GFI EventsManagerDadurch können sowohl die datenschutzrechtlichen (§ 9 BDSG i.V.m. der Anlage), als auch diebetriebsverfassungsrechtlichen Anforderungen sehr gut erfüllt werden.GFI IT-ComplianceBundle Compliance Check8
b. GFI LanGuardDie zentralen Funktionen der GFI LanGuard Lösung sind Netzwerksicherheits-Scans und Patch-Management.Das Produkt prüft etwa, ob die Firewall und der AntiViren Scanner auf dem aktuellen Stand sind. DerGFI LanGuard übernimmt quasi die Rolle eines virtuellen Sicherheitsberaters, der den Administrator mitumfassenden Informationen zum aktuellen Schutz der IT-Umgebung versorgt.Patches und Service Packs können sowohl von Microsoft, als auch von anderen Hersteller/Produktenbereitgestellt und verwaltet werden. Zusätzlich zu Patches können individuelle Software und Skripte, derenInstallation keinen Benutzereingriff erfordert, im gesamten Netzwerk bereitgestellt werden.Beim Scannen von Betriebssystemen, virtuellen Umgebungen und Anwendungen kommen zahlreiche (über45.000) Schwachstellen-Überprüfungen zum Einsatz, die unter anderem auf den Branchenstandards OVAL(Open Vulnerability and Assessment Language) und SANS Top 20 (SysAdmin, Audit, Network, Security) beruhen.GFI LanGuard hilft damit, die Risiken für die Netzwerksicherheit zu erkennen, bewertet die aktuelle Gefährdungund bietet Hinweise, wie Schwachstellen sich schließen lassen, bevor sie ausgenutzt werden können.Mit Hilfe der Netzwerküberprüfung lässt sich unter anderem detailliert feststellen, welche Anwendungen oderStandardeinstellungen ein Risiko für die Netzwerksicherheit bedeuten.Konfigurationsänderungen, die sich auf die Sicherheit auswirken, neu installierte Anwendungen oder auchgestartete und beendete Dienste zählen zu Ereignissen, über die Administratoren informiert sein sollten.GFI LanGuard protokolliert alle sicherheitsrelevanten Änderungen im Netzwerk und benachrichtigt denAdministrator, wenn Gefahr droht.GFI LanGuardDer Bereich der allgemeinen gesetzlichen Anforderungen zur Sorgfaltspflicht wird damit erfüllt. Darüberunterstützt das Produkt bei der Einhaltung von Sondervorschriften, etwa den Bereich der ComplianceVorgaben des PCI DSS (Payment Card Industry Data Security Standard).GFI IT-ComplianceBundle Compliance Check9
GFI LanGuardDie GFI LanGuard Lösung unterstützt zudem den Mitarbeiter bei der Bewerkstelligung seiner SecurityEinstellungen. Wird vom Mitarbeiter etwa ein zu schwaches Passwort gewählt, wird er darauf hingewiesen.c. GFI EndPointSecurity13Die zentrale Funktion dient der Steuerung des Einsatzes von USB-Sticks, iPods14 und anderen tragbarenGeräten im Netzwerk.Gefahren für die IT-Sicherheit kommen nicht nur von außen, sie lauern auch firmenintern: Vielfach wirdübersehen, wie leicht Mitarbeiter iPods oder USB-Sticks an Netzwerkrechner anschließen können. Dies scheintzunächst ein technischer Fortschritt zu sein, kann aber auch zum Problem werden. Wer Böses will, kannbinnen Minuten vertrauliche Daten (personen- oder unternehmensbezogen) in großem Umfang kopieren.Zudem können auf diesem Weg Viren und illegale Software ins System gelangen. Wie kann Abhilfe geschaffenwerden? Das komplette Sperren aller Schnittstellen ist keine empfehlenswerte, praktikable und dauerhafteLösung, um Sicherheitsrisiken zu minimieren. Eine differenzierte Zugriffssteuerung ist zur Gefahrenabwehrbesser geeignet.GFI IT-ComplianceBundle Compliance Check10
GFI EndPointSecurityNiemand kann heute noch ernstlich behaupten von Phänomenen wie ungewolltem Datenverlust nichtgehört zu haben. Das Problem am Datenverlust ist, dass die verlorenen Daten in der Regel nicht weg sind.Das unterscheidet den Datendiebstahl von allen anderen Diebstahlarten. Cybercrime und Datenabfluss sindauf dem Vormarsch. Endpunkte am Arbeitsplatz sind ein beliebtes Ziel für Informationsdiebstahl. Risiken desDatenabflusses über portable Medien lassen sich jedoch nur mindern, wenn Administratoren unmittelbarsteuern können, welche Geräte im Firmennetzwerk eingesetzt werden dürfen. GFI EndPointSecurity erlaubtes zudem, den Einsatz tragbarer Massenspeicher durch einzelne Mitarbeiter zu überprüfen und zwar inklusivegenauer Angaben zu ausgetauschten Daten.GFI IT-ComplianceBundle Compliance Check11
GFI EndPointSecurityEs ist sicher ein Haftungsfall des Managements anzunehmen, wenn dem Management zwar bekanntist – oder sein müsste – dass vertrauliche Daten auf den Firmenrechnern sind, es aber nichts zu ihremSchutz unternommen hat. Dies ließe sich nicht mehr mit der Sorgfalt eines ordentlichen Kaufmanns inEinklang bringen. Auf der anderen Seite darf aber nicht verkannt werden, dass die Lösung optional dieMöglichkeit bietet sämtliche Vorgänge zu protokollieren. Wird diese Option gewählt und ist ein Betriebsratvorhanden, sollte eine sachgerechte Rücksprache mit ihm genommen werden, da über die Protokollfunktionauch ersichtlich ist, welcher Mitarbeiter mit welcher Applikation arbeitet. Auch der Datenschützer sollteeingebunden werden, denn es ist auch IP-Adressenbezogen sichtbar, wer auf welche Dateien zugegriffen hat.5. Ergebnisse zu den rechtlichen AnforderungenNach dem zuvor Gesagten steht fest, mit dem GFI IT-ComplianceBundle können neben den allgemeinenSorgfaltspflichten auch die datenschutzrechtlichen und betriebsverfassungsrechtlichen Compliance Vorgabensehr gut abgedeckt werden.6. Weitergehende AuskünfteIm Rahmen dieses Berichts können nicht alle Fragen beantwortet werden. Für weitergehende technischeFragen wenden Sie sich gerne an den technischen Support von GFI oder an Ihren IT-Ansprechpartner. Fürrechtliche Fragen wenden Sie sich gerne an:PRW RECHTSANWÄLTE Steinsdorfstraße 14. 80538 München.Telefon 49 (89) 21 09 77 0 Telefax 49 (89) 21 09 77 77E-Mail: office@prw.de www.prw.infoProf. Dr. Spindler in Verantwortlichkeiten von IT-Herstellern, Nutzern und Intermediären, BSI 2007.BGHZ 104, 323 (329) NJW 1988, 2611.3BGH NJW 1990, 908 (909).4BGHZ 80, 186 (192).5§ 3a BDSG (Bundesdatenschutzgesetz).6§ 35 BDSG.7Analoge Vorschriften existieren auch für den öffentlichen oder kirchlichen Rechtsraum.8Vgl. statt vieler Brown, J., Towards a Theory of Liability, 323 ff.9Vgl Spindler er a.a.O.10Vgl Spindler er a.a.O.11Die nachfolgenden Produkte sind urheber- und markenrechtlich geschützt.12Beschreibung auf der Website www.gfi.com.13Produktbeschreibung siehe http://www.gfisoftware.de/endpointsecurity.14Marke der Apple Inc.12GFI IT-ComplianceBundle Compliance Check12
Mooslackengasse 17, 1190 Wien, AustriaTelefon: 49 (0) 69 22 22 7312 (DE)Fax: 49 (0) 69 2 22 22 6478 (DE)sales@gfisoftware.deUSA, KANADA, MITTEL- UND SÜDAMERIKA15300 Weston Parkway, Suite 104, Cary, NC 27513, USATelefon: 1 (888) 243-4329Fax: 1 (919) 379-3402ussales@gfi.comVEREINIGTES KÖNIGREICH UND IRLANDMagna House, 18-32 London Road, Staines-upon-Thames, Middlesex, TW18 4BP, UKTelefon: 44 (0) 870 770 5370Fax: 44 (0) 870 770 5377sales@gfi.co.ukEUROPA, NAHER OSTEN UND AFRIKAGFI House, San Andrea Street, San Gwann, SGN 1612, MaltaTelefon: 356 2205 2000Fax: 356 2138 2419sales@gfi.comAUSTRALIEN UND NEUSEELAND83 King William Road, Unley 5061, South AustraliaTelefon: 61 8 8273 3000Fax: 61 8 8273 3099sales@gfiap.comKontaktdaten aller GFI-Niederlassungen weltweit finden Sie hier: uss 2013. GFI Software. Alle Rechte vorbehalten. Alle aufgeführten Produkt- und Firmennamen können Marken der jeweiligen Inhaber sein.Die in diesem Dokument bereitgestellten Informationen und Inhalte dienen lediglich der Information und werden „wie besehen“ ohne ausdrückliche oder stillschweigendeGewährleistung bereitgestellt, einschließlich, aber nicht beschränkt auf stillschweigende Gewährleistung für Marktgängigkeit, Eignung für einen bestimmten Zweck und Nichtverletzungvon Rechten. GFI Software ist nicht haftbar für Schäden, darunter auch Folgeschäden, die aus der Verwendung dieses Dokuments entstehen. In diesem Dokument enthalteneInformationen stammen aus öffentlich zugänglichen Quellen. Die bereitgestellten Informationen wurden sorgfältig überprüft, dennoch erhebt GFI keinen Anspruch auf ihreVollständigkeit, Genauigkeit, Aktualität oder Angemessenheit und kann diese Eigenschaften nicht versprechen oder zusichern; außerdem ist GFI nicht verantwortlich für Druckfehler,veraltete Informationen oder ähnliche Fehler. GFI übernimmt keine ausdrückliche und stillschweigende Gewährleistung sowie Haftung oder Verantwortung für die Genauigkeit oderVollständigkeit von in diesem Dokument enthaltenen Informationen.Sollten Sie der Ansicht sein, dass dieses Dokument sachliche Fehler enthält, setzen Sie sich bitte mit uns in Verbindung. Ihr Hinweis wird sobald wie möglich überprüft.GFI 2318 2011ZENTRALEUROPA
GFI IT-ComplianceBundle ompliance heck 9 b. GFI LanGuard Die zentralen Funktionen der GFI LanGuard Lösung sind Netzwerksicherheits-Scans und Patch-Management. Das Produkt prüft etwa, ob die Firewall und der AntiViren Scanner auf dem aktuellen Stand sind. Der
