Skip to main content
main-content

Über dieses Buch

Dieses Buch ist ein Praxisleitfaden zum Thema Informationssicherheits-Management und gleichzeitig Begleitbuch für die Prüfungsvorbereitung zum "Certified Information Security Manager (CISM)" nach ISACA.Nach einer Einleitung bereitet der erste Teil des Buches in vier Kapiteln auf das CISM-Examen vor. Diese wurden analog zur Struktur der ISACA - "Security Governance", "Risk Management", "Security Program Development and Management" und "Incident Response" - gegliedert. Der zweite Teil beschäftigt sich mit dem IT-Grundschutz-Standard des BSI und der Implementierung von Sicherheit anhand eines Baseline-Ansatzes. Der dritte und letzte Teil greift schließlich die vorab diskutierten Aspekte anhand von praktischen Beispielen auf und ergänzt sie durch aktuelle Themen, wie unter anderem das IT-Sicherheitsgesetz.Ein detaillierter Index und ein umfangreiches Glossar runden das Buch ab und machen es zudem zu einem Nachschlagewerk im Bereich des Informationssicherheits-Managements.

Inhaltsverzeichnis

Frontmatter

1. Einleitung und Motivation

Oder: Warum das Ganze?
Zusammenfassung
Obwohl schwer „greifbar“, stellen Informationen die eigentlichen Werte für Unternehmen und Behörden dar. Gehen Informationen verloren, drohen Unternehmen und Behörden nicht nur entsprechende rechtliche Konsequenzen oder ein schwer messbarer Imageschaden, auch der Betrieb an sich wird negativ beeinträchtigt und das, obwohl die die Informationen verarbeitenden Systeme vielleicht sogar noch völlig intakt sind. Während solche Vorfälle früher eher verdeckt gehalten wurden, existieren mittlerweile zahlreiche Beispiele, die die Brisanz eines Vorfalls im Bereich der Informationssicherheit eindrucksvoll dokumentieren: Angefangen beim Verlust von Nutzerdaten in zahlreichen Portalen, über gezielte Angriffe auf einzelnen Unternehmen, bis hin zu ganzen Krankenhäusern, die ihre Arbeit einstellen mussten, weil Erpresser mittels eines trojanischen Pferdes die Patientendaten verschlüsselt hatten.
Christoph Wegener, Thomas Milde, Wilhelm Dolle

Informationssicherheits-Management nach ISACA

Frontmatter

2. Informationssicherheits-Governance

Gute Steuerung als Basis für Erfolg
Zusammenfassung
In diesem Kapitel soll ein Verständnis für die Anforderungen einer effektiven Information Security Governance (kurz: IS-Governance), sowie Kenntnis der Elemente und Vorgehensweisen bei der Entwicklung und Implementierung einer Information Security Strategie (kurz: IS-Strategie) vermittelt werden. Damit wird in diesem Kapitel auch die Grundlage für eine angemessene Betrachtung von Risiken gelegt und die Voraussetzungen dafür geschaffen, dass das IS-Management die notwendige Rückendeckung bei der Entwicklung und Implementierung einer organisationsweiten Informationssicherheit von Seiten des Managements bekommt.
Christoph Wegener, Thomas Milde, Wilhelm Dolle

3. Informationssicherheits-Risikomanagement

Vom Risiko zur angemessenen Sicherheit
Zusammenfassung
Wie bereits in Kap. 2 „Informationssicherheits-Governance“ angesprochen, spielt die Frage der zielgerichteten Investition auch im Bereich der IS eine entscheidende Rolle. Insbesondere bei der Fragestellung, wie das Management nachhaltig von den – zunächst als oft als nutzlose Belastung gesehenen – Ausgaben für den Bereich IS überzeugt werden kann, ist es wichtig, die konkreten Vorteile dieser für die Organisation aufzuzeigen. In diesem Kapitel soll nun das Risikomanagement (engl.: risk management) im Unternehmen näher betrachtet werden. Dies ermöglicht, Investitionen zielgerichtet dort vorzunehmen, wo die potenziellen Schäden für die Organisation am größten sind. Die Risikobewertung, auf die in diesem Kapitel im Detail eingegangen werden wird, ist einer der wesentlichen Bausteine für eine effektive IS-Strategie. Beim Risikomanagement spielt der Umsetzungsgrad der im Kap. 2 angesprochenen Informationssicherheits-Governance allerdings nur eine untergeordnete Rolle, vielmehr sind die Risiken auch unabhängig davon zu betrachten.
Christoph Wegener, Thomas Milde, Wilhelm Dolle

4. Umsetzung des Informationssicherheits-Programms

Von der Theorie zur Praxis
Zusammenfassung
In diesem Abschnitt geht es nun um die Umsetzung, genauer um die Erstellung und Aufrechterhaltung eines Informationssicherheits-Programms (kurz: IS-Programm, engl.: security program). Dabei soll sichergestellt werden, dass ein generelles Verständnis für die vielfältigen Anforderungen und Aktivitäten bei der Realisierung des Sicherheitsprogramms geschaffen wird und damit überhaupt die Voraussetzung entsteht, die Anforderungen aus der Sicherheitsstrategie durch Etablieren des Sicherheitsprogramms in der Organisation umzusetzen. Im Rahmen der Erstellung und Umsetzung des Sicherheitsprogramms, das letztendlich zum Ziel hat, die Risiken im Bereich der IS effektiv und effizient zu managen, sind vielfältige Aufgaben zu erledigen. Dazu gehören unter anderem die Erstellung einer Sicherheitsarchitektur, die Entwicklung von Standards, Arbeitsanweisungen und weiteren Policy-Elementen, die Entwicklung eines IS-Plans, die Entwicklung von Sicherheitstrainings und Awareness-Programmen und die Einführung von Metriken zur Bewertung des Sicherheitsprogramms.
Christoph Wegener, Thomas Milde, Wilhelm Dolle

5. Informationssicherheits-Vorfallsmanagement

Richtiger Umgang mit dem Unerwarteten
Zusammenfassung
Im Rahmen des Informationssicherheits-Managements spielt auch die Frage der Reaktion auf Vorfälle im Bereich der Informationssicherheit eine wichtige Rolle. Dies ist zum einen dadurch begründet, dass eine Organisation im Falle des Falles möglichst gut vorbereitet sein sollte, um die Auswirkungen begrenzen und den Normalbetrieb möglichst schnell wiederherstellen zu können. Neben dieser Schadensbegrenzung ist zum anderen aber auch der durch Sicherheitsvorfälle erzielbare Lerneffekt relevant. In diesem Kapitel wird daher im Rahmen des Information Security Incident Response Management (kurz: ISIRM oder IRM) die Fähigkeit der Organisation betrachtet, auf unerwartete und störende Ereignisse planvoll und angemessen zu reagieren.
Christoph Wegener, Thomas Milde, Wilhelm Dolle

Vorgehensweise nach BSI IT-Grundschutz

Frontmatter

6. Vorgehensweise nach BSI IT-Grundschutz

Implementierung eines ISMS auf Basis eines Security-Baseline-Ansatzes
Zusammenfassung
Nachdem in den vorhergehenden Kapiteln die Grundlagen für die IS in einer Organisation besprochen wurden, soll in diesem Kapitel nun der Ansatz nach dem Vorgehensmodell des IT-Grundschutzes (kurz: IT-GS) vom Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) betrachtet werden. Dabei werden wir auf die einzelnen Teilschritte eingehen, die notwendig sind, um die Organisation bzw. Teile davon nach IT-GS abzusichern und ggf. auch entsprechend zertifizieren zu lassen. Hier orientieren wir uns an dem BSI-Standard 100-2 IT-Grundschutz-Vorgehensweise, der – wie der Titel bereits nahelegt – die Vorgehensweise bei der Umsetzung der Anforderungen nach IT-GS in einer Organisation beschreibt. In diesem Kapitel geben wir allerdings nur einen groben Überblick, der interessierte Leser wird für die weiteren Details auf die Lektüre der entsprechenden BSI-Standards verwiesen.
Christoph Wegener, Thomas Milde, Wilhelm Dolle

Praxisbeispiele

Frontmatter

7. Bausteine für einen sicheren IT-Betrieb

Beispiele aus der Praxis
Zusammenfassung
In diesem Kapitel findet sich eine Sammlung von Tipps und Hinweisen sowie Lösungsansätzen zu häufig beobachteten Hindernissen für einen sicheren IT-Betrieb. Dargelegt wird, wie man strukturiert von einer Anforderung zum sicheren Betrieb kommt, wie und welche Aspekte bei der Absicherung der Lieferkette zu berücksichtigen sind, welche Stolpersteine bei Anforderungsanalysen lauern, wie man diese erkennt und sie umgehen kann. Mit dem Beitrag zur Dokumentenlandkarte wird ein Aspekt der Transparenz und ein Grundstein der Steuerbarkeit eines ISMS behandelt. Beiträge zu Pseudonymisierung von Informationen und zum Anwendungsbereich des und den Konsequenzen aus dem IT-Sicherheitsgesetz runden das Kapitel ab.
Christoph Wegener, Thomas Milde, Wilhelm Dolle

8. Praxisbausteine zum IT-Grundschutz

Modulares Vorgehen zur Auswahl der geeigneten Sicherheitsmaßnahmen
Zusammenfassung
In diesem Kapitel wird die Vorgehensweise nach IT-Grundschutz exemplarisch beschrieben. Dazu wird zunächst ein beispielhafter, einfach gehaltener Informationsverbund modelliert und einer ergänzenden Risikoanalyse unterzogen, bevor im Anschluss dann noch ein Basis-Sicherheitscheck durchgeführt wird. Ein Beitrag zu der Frage, wie man ein passendes IT-Grundschutz-Tool auswählt, rundet das Kapitel ab.
Christoph Wegener, Thomas Milde, Wilhelm Dolle

9. Zur Abgrenzung eines Informationsverbundes

Theoretische Vorgaben und praktische Umsetzung
Zusammenfassung
Im Bereich der Unternehmensabsicherung haben sich Managementsysteme gemäß dem Deming-Zyklus, der auch als ″PDCA-Zyklus″ bekannt ist, etabliert. Zu nennen sind dabei das Information Security-Managementsysteme (kurz: ISMS) der ISO/IEC 27001. Allerdings hat sich in Deutschland im öffentlichen Sektor der BSI-Standard 100-2 bzw. die Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (kurz: BSI) durchgesetzt. Die Grundschutz-Methodik, die im BSI-Standard 100-2 beschrieben ist, geht immer von einer Institution oder Behörde aus, die für sich genommen eine Einheit bildet. Diese Situation liegt bei einem Telekommunikationsdienstleister oder einer anderen großen Institution in Deutschland allerdings nicht vor. Zudem betreiben letztere, aus dem Zwang zum wirtschaftlichen erfolgreichen Handeln, üblicherweise ihr ISMS prozessorientiert entlang der Wertschöpfungsketten und deutlich seltener technologiebezogen. Somit stellt sich die Frage, wie die Abgrenzung des Informationsverbundes (kurz: IV) in diesem Fall vorzunehmen ist. Anhand eines Beispiels für einen Informationsverbund, der seit 2015 zertifiziert ist, wird in diesem Beitrag eine praxisbewährte und zertifizierungskonforme Lösung vorgestellt, die für große Institutionen richtungsweisend sein kann.
Christoph Wegener, Thomas Milde, Wilhelm Dolle

Backmatter

Weitere Informationen

Premium Partner