Skip to main content
main-content

Über dieses Buch

Durch die digitale Transformation, Cloud-Computing und dynamisch steigende Bedrohungen sind die Effizienz, Existenz und Zukunft eines Unternehmens mehr denn je abhängig von der Sicherheit, Kontinuität sowie den Risiken der Informationsverarbeitung. Die dreidimensionale IT-Sicherheitsmanagementpyramide V sowie die innovative und integrative IT-RiSiKo-Managementpyramide V liefern ein durchgängiges, praxisorientiertes und geschäftszentriertes Vorgehensmodell für den Aufbau und die Weiterentwicklung des IT-Sicherheits-, Kontinuitäts- und Risikomanagements. Mit diesem Buch identifizieren Sie Risiken und bauen wegweisendes effizienzförderndes Handlungswissen auf. Sie richten Ihre IT sowie deren Prozesse, Ressourcen und Organisation systematisch und effektiv auf Sicherheit aus und integrieren Sicherheit in den IT-Lebenszyklus.

Der Autor führt Sie von der Politik bis zu Konzepten und Maßnahmen. Abbildungen, Beispiele, Tipps und Checklisten unterstützen Sie. Die neu bearbeitete 6. Auflage wurde strukturell weiterentwickelt und umfangreich erweitert, z. B. um Gesetze, Verordnungen, Vorschriften und Anforderungen, um Inhalte zum Datenschutz-, Architektur- und Risikomanagement sowie zum Mobile-Device-Management-System und um Einzelanforderungen zum Cloud-Computing. Der Online-Service des Autors bietet Ihnen zusätzliche News, Links und ergänzende Beiträge.

Inhaltsverzeichnis

Frontmatter

Kapitel 1. Ausgangssituation und Zielsetzung

Bedrohungen nehmen durch technologischen Fortschritt, zunehmende Vernetzung, Globalisierung und breiteres Allgemeinwissen kontinuierlich zu. Bedrohungen reichen von kriminellen Handlungen, wie z. B. Betrug, Spionage, Einbruch, Diebstahl, Geiselnahme, Terrorattacken und der Verbreitung von Schadsoftware, über Naturgewalten, wie Hochwasser, Stürme, Feuer und Erdbeben, bis hin zu technischen Ausfällen und Fehlern sowie menschlichem Versagen.
Klaus-Rainer Müller

Kapitel 2. Kurzfassung und Überblick für Eilige

Anforderungen der Unternehmen, ihrer Kunden und Dienstleister sowie des Gesetzgebers, der Aufsichtsbehörden und der Normung an Sicherheit und Kontinuität sowie an das Risikoniveau nehmen nachvollziehbar stetig zu.
Klaus-Rainer Müller

Kapitel 3. Zehn Schritte zum Sicherheitsmanagement

Sie wollen sofort mit dem Aufbau des Sicherheits-, Kontinuitäts- und Risikomanagements beginnen, ohne das Buch vorher komplett gelesen zu haben? Dann können Sie in folgenden 10 Schritten vorgehen, wobei Sie das jeweils dazugehörige Kapitel und die Hilfsmittel und Beispiele in diesem Buch nutzen sowie die Umsetzungstipps im Anschluss an die folgende Tabelle.
Klaus-Rainer Müller

Kapitel 4. Gesetze, Verordnungen, Vorschriften, Anforderungen

Die folgenden Abschnitte geben insbesondere sicherheitsrelevante Gesetze, Grundsätze, Verordnungen, Vorschriften und Ausführungsrichtlinien an. Diese sind für die Ermittlung der Anforderungen an Managementsysteme, z. B. zum Sicherheits-, Kontinuitäts-, Risiko-, Datenschutz- und Compliance-Management, aber auch zum Leistungs-, Lizenz-, Vertrags-, Dokumentations- und Personalmanagement wesentlich. Daher stehen diese Aspekte der Gesetze, Grundsätze, Verordnungen, Vorschriften und Ausführungsrichtlinien im Vordergrund.
Klaus-Rainer Müller

Kapitel 5. Normen, Standards, Practices

Die folgenden Unterkapitel geben einen kurzen Abriss einiger Normen, Standards und Practices, die in Bezug zum Sicherheits-, Kontinuitäts- und Risikomanagement stehen. Hierzu gehören die Standards und das IT-Grundschutz-Kompendium des BSI, die ISO/IEC-27000-Familie zur Informationssicherheit, die ISO/IEC 20000 sowie ITIL® und COBIT®. Der Abriss ermöglicht zum einen den überblicksartigen Vergleich des Vorgehensmodells und der Inhalte der Sicherheitspyramide mit Normen, Standards und Practices sowie zum anderen verschiedentlich die Herstellung von Bezügen von der Sicherheitspyramide auf Normen, Standards und Practices und das Aufzeigen von Entwicklungen.
Klaus-Rainer Müller

Kapitel 6. Definitionen zum Sicherheits-, Kontinuitäts- und Risikomanagement

Begriffen werden oftmals unterschiedliche Bedeutungen zugeordnet. Um ein gemeinsames Verständnis zu den hier verwendeten spezifischen Fachbegriffen zu schaffen, enthalten die folgenden Unterkapitel diesbezügliche Erläuterungen. Im Kapitel Glossar und Abkürzungsverzeichnis finden Sie viele weitere Erklärungen.
Klaus-Rainer Müller

Kapitel 7. Die Sicherheitspyramide – Strategie und Vorgehensmodell

Vorhandene Sicherheitskonzepte und -maßnahmen sind oft Insellösungen oder Ad-hoc-Maßnahmen mit unterschiedlichem Sicherheitsniveau. Hieraus ergibt sich eine latente Bedrohung für die Handlungsfähigkeit und das Image eines Unternehmens. Hinzu kommen oftmals hohe Abhängigkeiten vom Know-how einzelner Mitarbeiter.
Klaus-Rainer Müller

Kapitel 8. Sicherheits-, Kontinuitäts- und Risikopolitik

Die Kosten für Sicherheit und Kontinuität sind ein immer wiederkehrendes leidiges Thema. Argumentationen laufen oftmals ins Leere, weil keine Transparenz über den Nutzen der Investitionen in die Sicherheit und Kontinuität vorhanden ist sowie die aktuellen und zukünftigen Anforderungen und Risiken des Unternehmens nicht bekannt sind. Diese sind jedoch die Basis für Kosten-Nutzen-Betrachtungen.
Klaus-Rainer Müller

Kapitel 9. Sicherheitsziele/Sicherheitsanforderungen

Die Sicherheits-, Kontinuitäts- und Risikopolitik des vorangegangenen Kapitels richtete ihren Blick überblicksartig auf das Unternehmen insgesamt und legte die generellen Anforderungen und die Ausrichtung des Unternehmens im Hinblick auf Sicherheit, Kontinuität und Risiko fest. Ausgangspunkt waren dabei der Zweck (mission), die Vision, die Ziele und die Strategie des Unternehmens, aus denen sich die erzeugten Produkte und/oder erbrachten Leistungen bestimmen. Nun gilt es, diese unternehmensweiten und überblicksartigen Sicherheits- und Kontinuitätsanforderungen zu konkretisieren, um sie später in Form von Richtlinien, Konzepten und Maßnahmen umsetzen zu können.
Klaus-Rainer Müller

Kapitel 10. Sicherheitsmerkmale

Die Sicherheitsanforderungen eines Unternehmens sind übergreifend und überblicksartig über die Ebene der Sicherheits-, Kontinuitäts- und Risikopolitik sowie konkret über die Ebene der Sicherheitsziele bzw. -anforderungen definiert. Diese Sicherheitsanforderungen müssen zum einen der jeweilige Kerngeschäftsprozess selbst erfüllen sowie zum anderen all jene Ressourcen (z. B. IKT-Systeme) und Prozesse, die er nutzt, bis hin zu den Leistungen (Services), die er erbringt, und den Produkten, die er erzeugt.
Klaus-Rainer Müller

Kapitel 11. Sicherheitsarchitektur

Wie wir bisher gesehen haben, gibt die Sicherheits-, Kontinuitäts- und Risikopolitik den Rahmen für das Management dieser Themenfelder vor. Die zweite Ebene der Sicherheitspyramide spezifiziert die Sicherheitsziele bzw. Sicherheitsanforderungen. Die Sicherheitstransformation leitet hieraus Sicherheitsmerkmale für die Schutzobjekte in Form der jeweiligen Prozesse, der Ressourcen und der Organisation sowie für jedes Sicherheitskriterium ab.
Klaus-Rainer Müller

Kapitel 12. Sicherheitsrichtlinien/-standards – Generische Sicherheitskonzepte

Das vorangegangene Kapitel beschäftigte sich mit der Sicherheitsarchitektur und legte die Sicherheits- und Kontinuitätselemente fest, mit denen die Sicherheits- und Kontinuitätsziele erreicht werden sollen.
Klaus-Rainer Müller

Kapitel 13. Spezifische Sicherheitskonzepte

Spezifische Sicherheitskonzepte sind in Unternehmen häufig anzutreffen. Sie beschreiben z. B. welche Sicherheitseinstellungen für ein bestimmtes Betriebssystem getroffen werden sollen. Doch erfüllen diese Sicherheitskonzepte die gestellten Anforderungen? Und wenn ja, ist dies angemessen und nachvollziehbar?
Klaus-Rainer Müller

Kapitel 14. Sicherheitsmaßnahmen

Die erstellten Sicherheitskonzepte müssen in den jeweiligen Prozessen, den Ressourcen, wie z. B. IKT-Systemen, und der Organisation sowie den Produkten und Dienstleistungen implementiert werden. Dazu werden die Maßnahmen, die in den Konzepten beschrieben sind, durchgeführt und protokolliert. So können z. B. die Konfiguration, die Parametrisierung und die Löschung von Standardbenutzern in computerunterstützten Anlagen und technischen Systemen sowie den Informations- und Kommunikationssystemen nachvollziehbar dokumentiert werden. Alternativ dazu können Ausdrucke der jeweiligen Systemeinstellungen als Dokumentation verwendet werden.
Klaus-Rainer Müller

Kapitel 15. Lebenszyklus – mit integrierter Sicherheit

Die vorangegangenen Kapitel haben gezeigt, wie das Sicherheits-, Kontinuitäts- und Risikomanagement mittels der Sicherheitspyramide top-down aufgebaut wird. Ausgangspunkt ist die RiSiKo-Politik, also die Risiko-, Sicherheits- und Kontinuitätspolitik gewesen, von der aus wir schrittweise bis hin zu den Maßnahmen gelangt sind. Doch wann sind die dort definierten Sicherheitselemente zu berücksichtigen?
Klaus-Rainer Müller

Kapitel 16. Sicherheitsregelkreis

Alles fließ (παντα ρει [Heraklit]), d. h. alles verändert sich: Bedrohungen, Angriffsmöglichkeiten, Schutzbedarf, Prozesse, Ressourcen, Technologien, Organisation und last, but not least, das Personal. Dementsprechend unterliegen alle Elemente der Sicherheits- bzw. RiSiKo-Pyramide einer kontinuierlichen Anpassung, Veränderung und Weiterentwicklung.
Klaus-Rainer Müller

Kapitel 17. Reifegradmodell des Sicherheits-, Kontinuitäts- und Risikomanagements

Häufig stellt sich in Unternehmen die Frage, welches Niveau ihr Sicherheits-, Kontinuitäts- und Risikomanagement erreicht hat und wie es sich bewerten lässt. In diesen Fällen hilft ein Reifegradmodell.
Klaus-Rainer Müller

Kapitel 18. Sicherheitsmanagementprozess

Die bisherigen Kapitel haben den hierarchischen Aufbau der Sicherheitspyramide, die PROSim-Elemente, die Integration von Sicherheitselementen in die Lebenszyklen sowie den Sicherheitsregelkreis beschrieben. Daraus lässt sich der Sicherheits-( management-)prozess bzw. Sicherheits-, Kontinuitätsund Risiko-(management-)prozess eines Unternehmens formen, indem diese Elemente in einem Ablauf zusammengeführt werden.
Klaus-Rainer Müller

Kapitel 19. Minimalistische Sicherheit

Die bisherigen Kapitel haben den systematischen und durchgängigen Aufbau des IKT-Sicherheits- bzw. -RiSiKo-Managements anhand der dreidimensionalen Sicherheits- bzw. RiSiKo-(Management-)PyramideDr.-Ing. Müller gezeigt. Sie liefert die Grundlage, um ein unternehmensspezifisch angemessenes Sicherheits- bzw. RiSi- Ko-Managementsystem aufzubauen.
Klaus-Rainer Müller

Backmatter

Weitere Informationen

Premium Partner

BranchenIndex Online

Die B2B-Firmensuche für Industrie und Wirtschaft: Kostenfrei in Firmenprofilen nach Lieferanten, Herstellern, Dienstleistern und Händlern recherchieren.

Whitepaper

- ANZEIGE -

Best Practices für die Mitarbeiter-Partizipation in der Produktentwicklung

Unternehmen haben das Innovationspotenzial der eigenen Mitarbeiter auch außerhalb der F&E-Abteilung erkannt. Viele Initiativen zur Partizipation scheitern in der Praxis jedoch häufig. Lesen Sie hier  - basierend auf einer qualitativ-explorativen Expertenstudie - mehr über die wesentlichen Problemfelder der mitarbeiterzentrierten Produktentwicklung und profitieren Sie von konkreten Handlungsempfehlungen aus der Praxis.
Jetzt gratis downloaden!

Bildnachweise