Skip to main content
main-content

Über dieses Buch

Kein Unternehmen kann heute noch komplexe IT-Services marktgerecht aus eigener Kraft bereitstellen. Anwenderunternehmen bedienen sich spezialisierter IT-Dienstleister und letztere greifen auf Komponenten und Dienste aus einem weit gefächerten Zuliefernetzwerk zurück. Dies ist Folge einer zunehmenden Industrialisierung der IT-Produktion, die durch eine starke Arbeitsteilung gekennzeichnet ist. Damit dabei die Sicherheit nicht auf der Strecke bleibt, wird ein unternehmensübergreifendes Sicherheitsmanagement benötigt. Das Buch zeigt, wie Anwenderunternehmen und Lieferanten in einem solchen „Joint Security Management“ organisationsübergreifend kompetent zusammenarbeiten, um sicherzustellen, dass die mit der Nutzung von IT verbundenen Geschäftsrisiken beherrschbar bleiben. Die Autoren erläutern an einem durchgängigen Konzept und einer konkreten, direkt umsetzbaren Gebrauchsanweisung nicht nur das „Was“, sondern auch das „Wie“.

Inhaltsverzeichnis

Frontmatter

Fundamente des Joint Security Managements (JSM)

Frontmatter

Kapitel 1. Einführung und Überblick

Organisationsübergreifend handeln? Was kann das schon bedeuten! Müssen wir nicht irgendwie immer organisationsübergreifend handeln bei diesem übergreifenden Thema IT-Sicherheit? Alter Wein in neuen Schläuchen? Das Joint Security Management (JSM) ist das erste wirklich organisationsübergreifende Sicherheitsmanagementsystem, das Anwenderorganisationen und IT-Dienstleister zusammenbringt und bei dem die Interaktion zwischen rechtlich verschiedenen Organisationen von vornherein im Mittelpunkt steht. Dahinter steckt die Einsicht, dass die heutige IT-Industrie sehr arbeitsteilig organisiert ist und dass mehrere Firmen und Institutionen ihren Beitrag leisten müssen, damit die IT-Services adäquat abgesichert sind. Das Joint Security Management baut das Sicherheitsmanagement neu auf entlang des Skeletts der industriellen, marktwirtschaftlichen Prozesse und der für moderne IT charakteristischen Wertschöpfungsketten.
Eberhard von Faber, Wolfgang Behnsen

Kapitel 2. Das Steuerungsmodell

Anwenderorganisation und IT-Dienstleister sind aufeinander angewiesen. Während erstere sichere und verlässliche IT-Services benötigt, muss der andere darauf bedacht sein, seine Kunden zufrieden zu stellen, um auf dem Markt bestehen zu können. Doch was bedeutet das in Bezug auf IT-Sicherheit? Da beide Seiten durchaus unterschiedliche Sichtweisen und Interessen haben, wird ein Steuerungsmodell benötigt, das diese Interessenlage darstellt und aufzeigt, wie ein Ausgleich erfolgen und eine gemeinsame erfolgreiche Zusammenarbeit im Interesse beider gestaltet werden kann. Das hier skizzierte Steuerungsmodell wird im Verlauf des Buches mit Realitäten aus dem IT-Geschäft und Praktiken der IT-Sicherheit angereichert. Darauf aufbauend wird schließlich das Joint Security Management im Detail beschrieben.
Eberhard von Faber, Wolfgang Behnsen

Kapitel 3. Die Welt der modernen IT: der Gegenstand des Joint Security Managements

IT-Sicherheit macht man mit IT (und nicht ohne Bezug zur IT). Deshalb müssen Sicherheitsverantwortliche wissen, wie „die IT“ und die IT-Industrie „funktionieren“. Die heutige IT-Industrie ist hochgradig arbeitsteilig organisiert. Es gibt eine Vielzahl von technischen und verfahrenstechnischen Bausteinen, die auf immer wieder neue Weise kombiniert werden. Die schließlich für die IT-Services erreichte Sicherheit ist das Produkt der Beiträge vieler Firmen und Institutionen. Sicherheitsmaßnahmen müssen in diversen Bausteinen integriert sein. Wer es sich zur Aufgabe macht, für Sicherheit zu sorgen, muss die Komponenten, Hersteller und Lieferketten verstehen (Kap. 3.1), muss die Servicemodelle z.B. im Cloud-Computing mit einer konkreten Arbeitsteilung in Verbindung bringen und hinter diesen und den Liefermodellen auch technologische Unterschiede erkennen (Kap. 3.2) und der sollte Anwendungssoftware und Digitalisierung zusammenbringen und verstehen, warum IT komplex ist (Kap. 3.3). Schließlich präsentieren wir ein Referenzmodell für den Ablauf der Geschäftsbeziehung zwischen Anwenderorganisation und Dienstleistern und erläutern, wie Komplett-Services im Cloud-Zeitalter entstehen (Kap. 3.4).
Eberhard von Faber, Wolfgang Behnsen

Kapitel 4. IT-Sicherheitsaufgaben: die Grundlage für das Joint Security Management

Wir knüpfen nun an das in Kap. 2 eingeführte Steuerungsmodell an (vergleiche Abb. 6 auf Seite 22 bzw. Abb. 9 auf Seite 41) und führen ein für das Joint Security Management sehr wichtiges Element, die ESARIS Security Taxonomy, ein. Die ESARIS Security Taxonomy verhilft zur notwendigen Übersicht über relevante Themen, unterstützt die Verständigung der Parteien und Individuen, leistet gute Dienste bei der Organisation der Arbeitsteilung, zeigt den Weg zur Integration der IT-Sicherheit in das IT-Service-Management (ITSM), erweitert das ITSM und vieles andere mehr. Kurz, die Taxonomy ist eine Grundlage für Transparenz, für Schnittstellen und Interaktion und die Standardisierung. In Kap. 4.1 werden die Struktur und die Grundideen vorgestellt. In den Kap. 4.2, 4.3 und 4.4 werden wir auf einzelne Bereiche der ESARIS Security Taxonomy etwas näher eingehen und Herausforderungen und Sicherheitsmaßnahmen skizzieren. Wir haben Bereiche ausgewählt, bei denen IT-Dienstleister und Anwenderorganisation erfahrungsgemäß enger zusammenarbeiten müssen und/oder es verstärkten Diskussionsbedarf gibt.
Eberhard von Faber, Wolfgang Behnsen

Kapitel 5. Anbieterbewertung und Vertragswesen: der Unterbau für das Joint Security Management

Bevor ein gemeinsames Sicherheitsmanagement überhaupt stattfinden kann, müssen Anwenderorganisation und ITDienstleister erst einmal zusammenkommen. Und das ist in den allermeisten Fällen eine sehr einseitige Entscheidung. Der Käufer wählt und entscheidet. In den wenigsten Fällen ist IT-Sicherheit dabei das entscheidende Kriterium. Es lohnt sich aber, einen Blick auf den Beschaffungsprozess mit seinen Entscheidungen zu werfen, denn Sicherheitsaspekte sollten dabei eine wichtige Rolle spielen. In Kap. 5.1 zeichnen wir den Prozess von seinen Anfängen nach und analysieren, wie Sicherheitsaspekte in den sehr frühen Phasen der Marktsondierung berücksichtigt werden können, also lange bevor die Anwenderorganisation überhaupt direkt mit dem IT-Dienstleister in Kontakt tritt. In Kap. 5.2 untersuchen wir, wie die Vertragswerke aussehen, in denen Sicherheitsaspekte üblicherweise ihren Niederschlag finden müssen und was es dabei zu bedenken gibt.
Eberhard von Faber, Wolfgang Behnsen

Ausgestaltung des Joint Security Managements (JSM)

Frontmatter

Kapitel 6. Vom Steuerungsmodell zum Joint Security Management

Dieses Kapitel ist keine Zusammenfassung und auch kein Zwischenfazit. In Kap. 6.1 bauen wir die Brücke zwischen den im Teil 1 des Buches gelegten Grundlagen und dem eigentlichen Joint Security Management. Wenn zwei Sicherheitsmanagementsysteme zusammenkommen und nutzbringend interagieren sollen, dann setzt das voraus, dass beide Partner, die Anwenderorganisation und der IT-Dienstleister, über ein funktionierendes Sicherheitsmanagementsystem verfügen. In Kap. 6.2 werden wir nicht auf die elementaren Grundlagen des Sicherheitsmanagements eingehen, aber an ein paar wichtige Bausteine und Aktivitäten erinnern.
Eberhard von Faber, Wolfgang Behnsen

Kapitel 7. Joint Security Management – Synopse

Joint Security Management (JSM) bedeutet, organisationsübergreifend zu handeln, wenn es um die Sicherheit von ITServices geht. JSM ist ein auf der Sicherheitsarchitektur ESARIS basierender Ansatz, bei dem die Interaktion zwischen rechtlich verschiedenen Organisationen von vornherein im Mittelpunkt steht. Dahinter steckt die Einsicht, dass die heutige IT-Industrie sehr arbeitsteilig organisiert ist und dass mehrere Firmen und Institutionen ihren Beitrag leisten müssen, damit die IT-Services adäquat abgesichert sind. Insbesondere müssen Anwenderorganisation und IT-Dienstleister eng zusammenarbeiten. JSM sprengt damit das enge Korsett der innerhalb einer Organisation ablaufenden Prozesse, trägt jedoch weiterhin den unterschiedlichen Sichtweisen und Interessen Rechnung, die für ein marktwirtschaftliches Umfeld charakteristisch sind. JSM beschreibt nicht einfach das bekannte Sicherheitsmanagement unter Hinzufügung zweier Rollen. Das Joint Security Management baut das Sicherheitsmanagement vielmehr neu auf entlang des Skeletts der industriellen, marktwirtschaftlichen Prozesse und der für moderne IT charakteristischen Wertschöpfungsketten.
Eberhard von Faber, Wolfgang Behnsen

Kapitel 8. Zusammenfassung und Ausblick

Dieses Buch ist zu facettenreich, als dass man erwarten könnte, dass ein einzelnes Kapitel eine wirkliche Zusammenfassung bieten könnte. Zudem ist es schwierig einzuschätzen, was beim Leser sofort verfing und was nochmals in Erinnerung zu rufen wäre. Wir werden also eine Art Inhaltsverzeichnis abliefern und mit ausgewählten Zusammenhängen garnieren. Eine ähnliche Reise kann der Leser unternehmen, indem er von Kapitel zu Kapitel springt und jeweils den ersten Abschnitt liest, der, wie dieser hier, einführt und zusammenfasst.
Eberhard von Faber, Wolfgang Behnsen

Bonus

Frontmatter

Kapitel 9. Informationssicherheit messen

Sicherheitsverantwortliche größerer Unternehmen oder Institutionen sehen sich im Wesentlichen zwei Fragestellungen gegenüber. Das obere Management möchte wissen, welchen Beitrag die Sicherheitsorganisation und ihre Initiativen für den Geschäftserfolg leisten. Dazu kommt die Frage, die sich die Sicherheitsexperten auch selbst stellen, nämlich ob die Sicherheitsorganisation und ihre Initiativen die richtigen Dinge in der richtigen Art und Weise in Angriff nehmen. Metriken helfen, die dafür benötigten Informationen zu beschaffen und darzustellen. In diesem Kapitel wird erklärt, wie Metriken aufgestellt und verwendet werden. Es werden 12 Regeln zur Messung von Informationssicherheit aufgestellt und ein Programm zur Umsetzung skizziert.
Eberhard von Faber, Wolfgang Behnsen

Kapitel 10. Wichtige Begriffe der IT-Sicherheit

Im folgenden Glossar werden wichtige Begriffe erläutert, die Sicherheitsverantwortliche benötigen, um sich mit ihresgleichen und mit IT-Fachleuten austauschen zu können. Wir müssen darauf hinweisen, dass es auch bei Grundbegriffen der IT-Sicherheit unterschiedliche Ansichten bzw. Definitionen gibt. Auch daher wird geraten, dass Organisationen ein Glossar mit Begriffsdefinitionen anlegen und dieses im Joint Security Management mit den Partnern abstimmen. Das vorliegende Glossar ist nach Themen gegliedert und kann daher auch abschnittweise gelesen werden. Es erklärt auch viele Begriffe des IT-Service-Managements. Begriffserklärungen und Begriffsdefinitionen findet man natürlich auch in der Literatur. Wir haben uns darum bemüht, dem Deutschen den Vorzug zu geben. Die englischen Begriffe sind zusätzlich angegeben. Kursivschrift weist darauf hin, dass der Begriff in diesem Glossar an anderer Stelle erklärt wird.
Sollte der Leser eine bestimmte Begriffsdefinition nicht finden können, empfehlen wir, das Stichwortregister (Index) am Ende des Buches zu befragen. Alle erklärten Stichworte sind dort aufgeführt.
Eberhard von Faber, Wolfgang Behnsen

Backmatter

Weitere Informationen

Premium Partner

BranchenIndex Online

Die B2B-Firmensuche für Industrie und Wirtschaft: Kostenfrei in Firmenprofilen nach Lieferanten, Herstellern, Dienstleistern und Händlern recherchieren.

Whitepaper

- ANZEIGE -

Best Practices für die Mitarbeiter-Partizipation in der Produktentwicklung

Unternehmen haben das Innovationspotenzial der eigenen Mitarbeiter auch außerhalb der F&E-Abteilung erkannt. Viele Initiativen zur Partizipation scheitern in der Praxis jedoch häufig. Lesen Sie hier  - basierend auf einer qualitativ-explorativen Expertenstudie - mehr über die wesentlichen Problemfelder der mitarbeiterzentrierten Produktentwicklung und profitieren Sie von konkreten Handlungsempfehlungen aus der Praxis.
Jetzt gratis downloaden!

Bildnachweise