Skip to main content
Fachgebiete
Automobil + Motoren Bauwesen + Immobilien Business IT + Informatik Elektrotechnik + Elektronik Energie + Nachhaltigkeit Finance + Banking Management + Führung Marketing + Vertrieb Maschinenbau + Werkstoffe Versicherung + Risiko
DE
EN
Bücher
Zeitschriften
Themenseiten
Organisationspsychologie Projektmanagement Marketing Smart Manufacturing
Weitere Formate
Podcasts Webinare Technik Webinare Wirtschaft Kongresse Veranstaltungskalender Awards
Jetzt Einzelzugang starten
Zugang für Unternehmen
Referenzkunden
SLX-Digitalkonferenz: Zukunftswerkstatt 2024

Mehr Umsatz mit Top-Kontakten

Am 7. Mai erfahren Sie, wie Vertriebsteams Leadgenerierung, Leadnurturing und Leadstrategien effizient steuern können.
Erweiterte Suche
Anmelden
nach oben

2008 | Buch

Zur Motivation Kapitel lesen Erstes Kapitel lesen

Der IT Security Manager

Expertenwissen für jeden IT Security Manager — Von namhaften Autoren praxisnah vermittelt

verfasst von: Heinrich Kersten, Gerhard Klett

Verlag: Vieweg+Teubner

Enthalten in: Springer Professional "Wirtschaft+Technik" , Springer Professional "Technik" , Springer Professional "Wirtschaft"

Einloggen, um Zugang zu erhalten
insite
SUCHEN

Über dieses Buch

Vorwort zur 2. Auflage Nachdem die Erstauflage des Buches im Herbst 2007 vergriffen war, stellte sich die Frage nach einem unveränderten Nachdruck oder der Herausgabe einer überarbeiteten Fassung. Verlag und Autoren haben sich für Letzteres entschieden: Eine Überarbeitung und Ergänzung erschien unter anderem deshalb sinnvoll, weil mit dem Erscheinen der ISO 27001 – auch in de- scher Sprache – viele Unternehmen eine neue Herausforderung sehen, andererseits einige wichtige technische Themen wie - ternet-Sicherheit, Risikoanalyse und IT Compliance bei der Er- auflage nur beschränkt berücksichtigt wurden. Zwischenzeitlich eingegangene Kritiken und Vorschläge der Leser sind ebenfalls in die Überarbeitung eingeflossen: hierfür herzlichen Dank. Dem Verlag, seinem Programmleiter Herrn Günter Schulz und dem Lektorat danken die Autoren für die Unterstützung bei der zweiten Auflage dieses Buches. Im Februar 2008, Dr. Gerhard Klett, Dr. Heinrich Kersten Vorwort zur 1. Auflage Das vorliegende Buch richtet sich an Leser, die sich in das int- essante Gebiet der Informationssicherheit einarbeiten möchten. Dieses Gebiet ist z. T. unter anderen Überschriften wie IT-Sich- heit (IT Security), Datensicherheit, Informationsschutz bekannt und berührt auch Themen wie den Datenschutz, das Qualitä- management, die Ordnungsmäßigkeit der Datenverarbeitung. Sicherheit der Information und Sicherheit bei der Verarbeitung von Daten sind heute keine Ziele mehr, für die man Werbung betreiben müsste. Jeder hat mehr oder weniger eigene Erfahr- gen mit diesen Themen gemacht – sei es als Geschädigter oder als Verantwortlicher. Deshalb wollen wir uns hier ersparen, H- ror-Szenarien zu beschreiben – man kennt sie hinlänglich aus entsprechenden Publikationen.

Inhaltsverzeichnis

Frontmatter
1. Zur Motivation
Auszug
Insgesamt ist es eine nicht zu unterschätzende Herausforderung, gute IT-Sicherheitskonzepte zu schreiben und die IT-Sicherheit qualifiziert zu managen. Man kann sich diese Aufgabe aber auch unnötig schwer machen: Betrachten wir einige Erfahrungen aus der Praxis von Sicherheitsberatern:
  • Unklare Verantwortlichkeiten bezüglich der IT-Sicherheit sowie eine schwammige Abgrenzung zu anderen Aufgaben im Unternehmen erschweren ein zielführendes Sicherheitsmanagement, machen es teilweise sogar unmöglich.
  • Operiert man mit unklaren Begriffen, so versteht jeder Beteiligte etwas anderes, es gibt langwierige, ineffektive Diskussionen unter den Betroffenen, die Analysen werden unterschiedlich interpretiert, das Ergebnis ist in alle Richtungen auslegbar und damit nichtssagend.
  • Verwendet man für den Sicherheitsprozess Vorgehensmodelle, die hoch-wissenschaftlich angelegt oder im Gegenteil zu banal gestrickt sind, ist das Ergebnis praxisfern, nutzlos und bestenfalls für die „Schublade“ geeignet.
  • Das leidige Thema „Dokumentation“: Man kann bei der Vielzahl von Dokumenten, Listen und Informationen in der Praxis leicht den Überblick verlieren, wenn man hier ohne eine gute Struktur und Planung einsteigt.
  • Macht das Sicherheitsmanagement nur Vorgaben, ohne die Einhaltung derselben zu kontrollieren, hat man eine klassische Management-Aufgabe nicht erfüllt und damit grob fahrlässig gehandelt.
2. Sicherheitsmanagement — Konzeptionelles
Auszug
Einige wichtige Erfahrungen wollen wir diesem Kapitel voranstellen:
  • Eine absolute Sicherheit1 gibt es in der Realität nicht.
3. Grundstrukturen der IT-Sicherheit
Auszug
In den folgenden Abschnitten wollen wir wichtige begriffliche Grundlagen bereitstellen und im Zusammenhang erläutern. Gleichzeitig werden wir eine Reihe von Ideen und Konzepten aufarbeiten, die sich als Bausteine für ein Vorgehensmodell eignen. Dabei streben wir eine „ganzheitliche“ Sicht an, d. h. wir hängen die Sicherheit sehr hoch auf, und zwar letztlich an den Geschäftsprozessen von Unternehmen3, und betrachten dabei nicht nur die unterstützende IT sondern das gesamte Umfeld.
4. Sicherheitsziele auf allen Ebenen
Auszug
Ziele, die sich auf die Sicherheit von Informationen und Daten, IT-Systemen sowie Geschäftsprozessen beziehen, nennen wir einfach Sicherheitsziele. Welche Ziele das sein können und wie sie sich im Einzelnen darstellen, behandeln wir jetzt.
5. Analysen
Auszug
Bei den vielen unterschiedlichen Analysen, die im Rahmen des Sicherheitsprozesses zur Anwendung kommen können, verliert man schnell den Überblick — zumal es sehr unterschiedliche Betrachtungsmodelle gibt.
6. Die Sicherheitsleitlinie
Auszug
Sicherheit ist immer eine dokumentierte Sicherheit, d. h. es sind alle Überlegungen schriftlich festzuhalten, um eine jederzeit nachvollziehbare Grundlage zu schaffen. Sicherheit, die nur in den Köpfen der Beteiligten existiert, ist nicht analysierbar, nicht nachvollziehbar und nicht nachweisbar — und somit wertlos. Wir behandeln in diesem Abschnitt die (IT-)Sicherheitsleitlinie, die gelegentlich auch (IT-)Sicherheitsleitlinie genannt wird.
7. Grundsätzliches zu Sicherheitsmaßnahmen
Auszug
Bereits arg strapaziert wurde der Begriff Sicherheitsmaßnahme (synonym: Abwehrmaßnahme, Gegenmaßnahme). Wir tragen nach:
Jede Maßnahme, die für ein (Informations-, Daten-, System-, Prozess-) Objekt getroffen wird, um Sicherheitsziele für dieses Objekt zu erreichen oder dazu beizutragen, nennen wir eine Sicherheitsmaßnahme.
8. Das Sicherheitskonzept
Auszug
Ein Sicherheitskonzept ist immer ein geschriebenes Dokument. Diese banale Forderung schließt aus, dass alle sicherheitsrelevanten Details nur in den Köpfen einiger Verantwortlicher vorhanden sind, aber nie schriftlich fixiert werden.
9. Rechtliche Sicherheit
Auszug
Der Umgang mit Daten, die von allgemeinem Interesse und von Wichtigkeit sind, wird zumeist per Gesetz geregelt. In Deutschland sind das Datenschutzgesetz oder das Telekommunikationsgesetz Beispiele solcher Regelungen. Jede Organisation hat bei dem Umgang mit rechtlich sensiblen Daten für die entsprechende rechtliche Sicherheit, d. h. für die Beachtung der geltenden Gesetze durch ihre Mitarbeiter zu sorgen. Das umfangreiche Thema der Rechtssicherheit können wir hier nur streifen und beschränken uns in den nachfolgenden Kapiteln auf folgende Themen aus der Praxis:
  • Befolgen von Gesetzen
  • Anerkennung von Rechtsvorschriften
  • Datenschutzgesetze
  • Gesetze zum Schutz geistigen Eigentums
  • Copyright und Lizenzrecht für Software
  • Verwaltung von Medien und Aufzeichnungen
  • Vermeidung von Strafverfahren
  • Vermeidung von Verleumdung und übler Nachrede
  • Verwendung von Copyright-geschützten Inhalten aus dem Internet
  • Elektronischer Versand von Copyright-geschütztem Material
  • Verwendung von Textpassagen direkt aus Reports, Büchern und Dokumenten
  • Verschiedenes
  • Aufzeichnung von Sicherheitsverstößen
  • Reservierung von Namen für Web-Domänen
  • Risikoversicherungen
  • Aufzeichnung von Telefongesprächen
  • Non Disclosure Agreements
10. Personelle Sicherheit
Auszug
Ein ganz entscheidender Faktor zur Erreichung von Sicherheitszielen ist das Treffen von Maßnahmen zur Minimierung von Bedrohungen, welche von berechtigten Benutzern ausgehen. Die überwiegenden Schäden in Unternehmen — die aktuellen Statistiken weisen 60–85 % — werden von den eigenen Mitarbeitern und Fremdfirmenpersonal verursacht. Die Gründe dafür sind in der Regel vielfältig: Leichtsinn, Unachtsamkeit, Unkenntnis über die Implikationen des eigenen Verhaltens, ungezügelter Spieltrieb, Frustration und negative Motivation, selten auch kriminelle Motive, spielen eine dominante Rolle.
11. Technische Sicherheitsmaßnahmen
Auszug
Im Abschnitt über die Validierung von Sicherheitsmaßnahmen haben wir bereits eine grobe Einteilung möglicher Sicherheitsmaßnahmen nach
  • vertraglichen und organisatorischen Regelungen sowie personellen Maßnahmen und
  • mehr technisch ausgerichteten Infrastruktur- und IT-Maßnahmen („Sicherheitsfunktionen“)
vorgenommen und im Kapitel „4. Sicherheitsziele auf allen Ebenen“ Beispiele zu einzelnen Sicherheitsmaßnahmen kennen gelernt. Hier wollen wir jetzt einige ausgewählte technische Sicherheitsmaßnahmen näher behandeln. Dabei stellen wir jeder Maßnahme die Bedrohungen gegenüber, die sie abwehren bzw. deren Schadenauswirkung sie begrenzen soll.
12. Sicherheit im Internet
Auszug
Nach diversen ersten Ideen und Netzwerk-Konzepten entstand im Jahr 1969 das erste Internet als Verbindung und Kommunikation von mehreren Computern unter dem Namen ARPANET: Per Telefonleitung wurden vier Großrechner an verschiedenen Universitäten und Instituten der USA miteinander verbunden und als erstes Datenpaket wurde das Wort “Login” übermittelt.
13. Infrastruktursicherheit
Auszug
In diesem Kapitel wollen wir uns mit den Sicherheitsaspekten beschäftigen, die mit den Besonderheiten der Umgebung, in der schützenswerte Daten verarbeitet werden, zu tun haben. Schutzmaßnahmen entstammen hier überwiegend aus der Bauphysik, dem Einschließen und Überwachen; daher der Name physische Sicherheit.
14. Sicherheitsmanagement — die tägliche Praxis
Auszug
Nach den vorbereitenden und konzeptionellen Arbeiten sowie den PDCA-Tätigkeiten, die wir im Abschnitt 2.2 betrachtet haben, behandeln wir jetzt die Tätigkeiten, die nach Umsetzung aller Maßnahmen des Sicherheitskonzeptes zur täglichen Praxis des Sicherheitsmanagements gehören.
15. IT Compliance
Auszug
Jede Institution, die die Dienste einer IT-Infrastruktur für die Erfüllung ihrer Geschäftsprozesse in Anspruch nimmt, verfolgt in längerfristigen Planungen und Aktivitäten die Realisierung der Vision einer für ihre Belange optimalen IT.
16. Zum Schluss...
Auszug
Sie haben in diesem Buch eine Reihe vom Methoden und Verfahren sowie Maßnahmen zum Thema Informationssicherheit kennen gelernt. Wie schon im Vorwort gesagt, sind eine begrifflich stabile Grundlage und eine klare Vorgehensweise bei den verschiedenen Analysen unerlässlich für ein gutes Sicherheitskonzept. Bei der Auswahl von Maßnahmen benötigt man zumindest einen Überblick über die verschiedenen Maßnahmenklassen und die Validierung einzelner Maßnahmen.
Backmatter
Metadaten
Titel
Der IT Security Manager
verfasst von
Heinrich Kersten
Gerhard Klett
Copyright-Jahr
2008
Verlag
Vieweg+Teubner
Electronic ISBN
978-3-8348-9239-3
Print ISBN
978-3-8348-0429-7
DOI
https://doi.org/10.1007/978-3-8348-9239-3