Skip to main content
main-content

Über dieses Buch

Das Buch fasst alle Sachverhalte zum Risikomanagement zusammen, verbindet sie mit anderen Informationsquellen und umrahmt sie mit vielen Praxistipps, 38 Abbildungen und Tabellen und 14 Fallbeispielen. Wer mit ISO/IEC 27005 arbeiten möchte, für den reicht der unkommentierte Blick in den Standard nicht aus. Die Normenreihe ISO/IEC 27000 ist in den letzten Jahren stark gewachsen und es ist schwer den Überblick zu behalten. Dieses Buch zielt auf den Einsatz in der Praxis und richtet sich an jeden, der seine Entscheidungen auf Grundlage einer fundierten Risikoanalyse treffen will.

Zusätzliche Funktionen für Smartphones:
40 QR-Codes mit redaktionell gepflegten Links führen Sie mit Ihrem Smartphone direkt aus dem Buch ins Internet. So gelangen Sie ohne Tippen von der Buchseite aus auf die passende Webseite. Auf diese Weise sind die Vorzüge von Buch und Internet jederzeit für Sie verfügbar. Darüber hinaus steht Ihnen der Autor auf seiner Facebook-Seite und in seinem Blog „Klipper on Security“ als Ansprechpartner zur Verfügung.

Inhaltsverzeichnis

Frontmatter

1. Einführung

Sie halten das Buch „Information Security Risk Management“ in den Händen und stehen möglicherweise vor der Frage: „Direkt kaufen, erst mal ein wenig durchblättern oder sofort wieder weg legen?“ Für manchen Zeitgenossen ist diese Frage der einzige Grund weiterhin in Buchhandlungen zu gehen, statt in Online-Shops einzukaufen: Es geht darum, erst einmal ins Buch zu schauen, es einer ersten Vor-Ort-Prüfung zu unterziehen und erst dann zu entscheiden, ob sich der Kauf wohl lohnen könnte. Letztlich geht es darum, das Risiko zu verringern, mit dem Kauf vollständigen Schiffbruch zu erleiden.
Sebastian Klipper

2. Grundlagen

Wenn Sie sich mit dem Management von Risiken für die Informationssicherheit auseinandersetzen wollen, müssen Sie sich vor allem einer Sache bewusst werden: Keine Technologie dieser Erde wird Ihre Sicherheitsprobleme lösen. Technologie verschafft Ihnen vielleicht an einer Stelle einen gewissen Vorsprung vor den Angreifern, an einer anderen Stelle jedoch reißt sie neue Lücken auf. Im schlimmsten Fall macht sie für einen Angreifer sogar den besonderen Reiz aus, gerade Ihre Systeme anzugreifen. Im Rahmen von Sicherheitsmanagement ist Technologie nur ein Mittel zum Zweck, ein Werkzeug. Ganz so, wie ein Bildhauer Hammer und Meißel benutzt – Hammer und Meißel stehen niemals im Mittelpunkt seines Schaffens.
Sebastian Klipper

3. ISO/IEC 27005

Wer ISO/IEC 27001 nutzt, kommt nicht ohne Risikomanagement aus. Weder bei der Implementierung eines ISMS noch bei dessen Betrieb. Im Grunde ist ein ISMS ohne ein Risikomanagementsystem gar nicht denkbar. Wie soll man – ohne sich seiner Risiken bewusst zu sein – wissen, welche Sicherheitsmaßnahmen man braucht und in welcher Priorität diese umzusetzen sind. Das ISO/IEC 27005 zu jeder Erstausstattung mit dazugehört, haben wir bereits im Fallbeispiel auf Seite 54 gesehen. ISO/IEC 27005 ist also weit mehr, als nur ein Standard unter vielen.
Sebastian Klipper

4. ISO 27005 und BSI IT-Grundschutz

Der Aphorismus Sekt oder Selters deutet es an: Dinge können ähnlich sein und doch so verschieden. Das gilt auch für Risikomanagement-Standards. BSI-Standard 100-3 „Risikoanalyse auf der Basis von IT-Grundschutz“ ist das Deutsche Gegenstück zum internationalen Standard ISO/IEC 27005. Während der BSI IT-Grundschutz zwar bereits grundsätzlich um den PDCA-Zyklus und andere Bestandteile aus der ISO/IEC 27000er Reihe angereichert wurde, wartet 100-3 noch auf diese Angleichung.
Sebastian Klipper

5. Risiko-Assessment

Ein spannendes Zitat. Besonders durch die ihm innewohnende Trivialität. Es geht also im Risiko-Assessment darum zu ermitteln, welche Risiken nötig und welche Risiken unnötig sind. Aufmerksame Leser erinnern sich natürlich an das Zitat vor Kapitel 2: „Es ist unmöglich, ein unnötiges Risiko einzugehen. Denn ob das Risiko unnötig war, findet man erst heraus, wenn man es längst eingegangen ist.“ Ganz so trivial wie es auf den ersten Blick ausschaut, kann es also nicht sein.
Sebastian Klipper

6. Risikokommunikation

In Fallbeispiel 7 und Fallbeispiel 8 war Bob, der IT-Sicherheitsbeauftragten der ExAmple AG, an seine Grenzen gestoßen. Er bemerkte, dass ein Kommunikationskonzept für Informationssicherheitsrisiken her muss. Führungskräfte, Abteilungen und Mitarbeiter per Mail zu informieren, reichte nicht aus, um dem Risikomanagementprozess das nötige Leben einzuhauchen. Wie unterscheidet sich Risikokommunikation von anderen Arten der Kommunikation? Was macht sie aus und welche Punkte gilt es zu berücksichtigen, um bei Mitarbeitern und Führungskräften nicht auf Granit zu beißen?
Sebastian Klipper

7. Wirtschaftlichkeitsbetrachtung

Selbst wenn man es geschafft hat sich voll und ganz auf die sichere Seite durchzuschlagen, kommt am Ende eines jeden Jahres die Frage nach dem wirtschaftlichen Erfolg eines Unternehmens auf den Tisch. Das Prinzip der Gewinnmaximierung treibt Unternehmen und Entscheider durchs Geschäftsjahr. Sicherheitsentscheidungen sind in der überwiegenden Anzahl der Fälle Investitionsentscheidungen – Sicherheit zum Nulltarif gibt es nicht.
Sebastian Klipper

8. Die 10 wichtigsten Tipps

Am Ende dieses Buchs stellt sich vielleicht die Frage, was aus Sicht des Autors die wichtigsten Punkte sind. Worauf sollte man besonderen Wert legen? Ich habe dazu zehn Tipps zusammengestellt, die zum Nachdenken anregen sollen und die ich für besonders wichtig halte. Sie alle haben eine Sache gemein: Sie haben nur am Rande mit Risikomanagement zu tun. Warum?
Sebastian Klipper

Backmatter

Weitere Informationen

Premium Partner

    Bildnachweise