Skip to main content
Fachgebiete
Automobil + Motoren Bauwesen + Immobilien Business IT + Informatik Elektrotechnik + Elektronik Energie + Nachhaltigkeit Finance + Banking Management + Führung Marketing + Vertrieb Maschinenbau + Werkstoffe Versicherung + Risiko
DE
EN
Bücher
Zeitschriften
Themenseiten
Organisationspsychologie Projektmanagement Marketing Smart Manufacturing
Weitere Formate
Podcasts Webinare Technik Webinare Wirtschaft Kongresse Veranstaltungskalender Awards
Jetzt Einzelzugang starten
Zugang für Unternehmen
Referenzkunden
SLX-Digitalkonferenz: Zukunftswerkstatt 2024

Mehr Umsatz mit Top-Kontakten

Am 7. Mai erfahren Sie, wie Vertriebsteams Leadgenerierung, Leadnurturing und Leadstrategien effizient steuern können.
Erweiterte Suche
Anmelden
nach oben

2014 | Buch

Ausgangssituation und Zielsetzung Kapitel lesen Erstes Kapitel lesen

IT-Sicherheit mit System

Integratives IT-Sicherheits-, Kontinuitäts- und Risikomanagement - Sichere Anwendungen - Standards und Practices

verfasst von: Klaus-Rainer Müller

Verlag: Springer Fachmedien Wiesbaden

Enthalten in: Springer Professional "Wirtschaft+Technik" , Springer Professional "Technik" , Springer Professional "Wirtschaft"

Einloggen, um Zugang zu erhalten
insite
SUCHEN

Über dieses Buch

Die Effizienz, Existenz und Zukunft eines Unternehmens sind maßgeblich abhängig von der Sicherheit und Kontinuität sowie den Risiken der Informationsverarbeitung. Die dreidimensionale IT-Sicherheitsmanagementpyramide V sowie die innovative und integrative IT-RiSiKo-Managementpyramide V liefern ein durchgängiges, praxisorientiertes und geschäftszentriertes Vorgehensmodell für den Aufbau und die Weiterentwicklung des IT-Sicherheits-, Kontinuitäts- und Risikomanagements. Mit diesem Buch identifizieren Sie Risiken, bauen wegweisendes effizienzförderndes Handlungswissen auf. Sie richten Ihre IT sowie deren Prozesse, Ressourcen und die Organisation systematisch und effektiv auf Sicherheit aus und integrieren Sicherheit in den IT-Lebenszyklus. Der Autor führt Sie von der Politik bis zu Konzepten und Maßnahmen. Beispiele und Checklisten unterstützen Sie. Der Online-Service des Autors bietet Ihnen zusätzliche News, Links und ergänzende Beiträge.

Inhaltsverzeichnis

Frontmatter
1. Ausgangssituation und Zielsetzung
Zusammenfassung
Bedrohungen steigen kontinuierlich an: aufgrund der zunehmenden Vernetzung, der Globalisierung, des technologischen Fortschritts und des breiteren Allgemeinwissens. Die IT, früher eine Wissenschaft für sich und wenigen Experten vorbehalten, gehört heute zum Schul- und Arbeitsalltag. Die Einstiegsbarriere für potenzielle Angreifer ist dementsprechend gering: Ein gebrauchter Computer, eine Anbindung an das Internet und entsprechendes Know-how und schon kann von fast jedem Punkt der Erde ein Angriff gefahren werden.
Klaus-Rainer Müller
2. Kurzfassung und Überblick für Eilige
Zusammenfassung
Vorhandene Sicherheitskonzepte und -maßnahmen sind oft Insellösungen oder Ad-hoc-Maßnahmen mit unterschiedlichem Sicherheitsniveau. Darüber hinaus bestehen nicht selten hohe Abhängigkeiten vom Know-how der Mitarbeiter. Hieraus ergeben sich latente Bedrohungen für die Existenz, die Handlungsfähigkeit und das Image sowie für die Mitarbeiter eines Unternehmens.
Klaus-Rainer Müller
3. Zehn Schritte zum Sicherheitsmanagement
Zusammenfassung
Sie wollen sofort mit dem Aufbau des Sicherheits-, Kontinuitäts- und Risikomanagements beginnen, ohne das Buch vorher komplett gelesen zu haben? Dann können Sie in folgenden 10 Schritten vorgehen, wobei Sie das jeweils dazugehörige Kapitel mit den dortigen Hilfsmitteln und Beispielen nutzen sowie die Umsetzungstipps im Anschluss an die folgende Tabelle.
Klaus-Rainer Müller
4. Gesetze, Verordnungen, Vorschriften, Anforderungen
Zusammenfassung
Die folgenden Abschnitte geben sicherheitsrelevante Gesetze, Grundsätze, Verordnungen, Vorschriften und Ausführungsrichtlinien an. Bei zitierten, beschriebenen oder übersetzten Textpassagen, die aus Originaldokumenten stammen, gelten hier wie im gesamten Buch in Zweifelsfällen die Originaldokumente in ihrer aktuellen Fassung. Berücksichtigen Sie bitte gleichzeitig, dass das vorliegende Buch aus fachlicher, nicht aus juristischer Sicht geschrieben ist. Es stellt daher meine nicht-juristische, fachlich-persönliche Meinung als juristischer Laie dar.
Klaus-Rainer Müller
5. Standards, Normen, Practices
Zusammenfassung
Die folgenden Unterkapitel geben einen kurzen Abriss einiger Standards, Normen und Practices, die in Bezug zum Sicherheits-, Kontinuitäts- und Risikomanagement stehen. Hierzu gehören die Standards und die IT-Grundschutzkataloge des BSI, die ISO/IEC-27000-Familie, die ISO/IEC 24762:2008, die ISO/IEC 20000 sowie ITIL® und COBIT®. Dies ermöglicht zum einen den überblicksartigen Vergleich des Vorgehensmodells und der Inhalte der Sicherheitspyramide mit Standards, Normen und Practices sowie zum anderen verschiedentlich die Herstellung von Bezügen von der Sicherheitspyramide auf Standards, Normen und Practices und das Aufzeigen von Entwicklungen.
Klaus-Rainer Müller
6. Definitionen
Zusammenfassung
Begriffen werden oftmals unterschiedliche Bedeutungen zugeordnet. Um ein gemeinsames Verständnis zu den hier verwendeten spezifischen Fachbegriffen zu schaffen, enthalten die folgenden Unterkapitel diesbezügliche Erläuterungen. Im Kapitel Glossar und Abkürzungsverzeichnis finden Sie viele weitere Erklärungen. Sollten Sie darüber hinaus Stichwörter oder Abbildungen suchen, so helfen Ihnen das Sachwort- und das Abbildungsverzeichnis beim Finden.
Klaus-Rainer Müller
7. Die Sicherheitspyramide – Strategie und Vorgehensmodell
Zusammenfassung
Vorhandene Sicherheitskonzepte und -maßnahmen sind oft Insellösungen oder Ad-hoc-Maßnahmen mit unterschiedlichem Sicherheitsniveau. Hieraus ergibt sich eine latente Bedrohung für die Handlungsfähigkeit und das Image eines Unternehmens. Hinzu kommen oftmals hohe Abhängigkeiten vom Know-how einzelner Mitarbeiter.
Klaus-Rainer Müller
8. Sicherheits-, Kontinuitäts- und Risikopolitik
Zusammenfassung
Die Kosten für Sicherheit und Kontinuität sind ein immer wiederkehrendes leidiges Thema. Argumentationen laufen oftmals ins Leere, weil keine Transparenz über den Nutzen der Investitionen in die Sicherheit und Kontinuität vorhanden ist sowie die aktuellen und zukünftigen Anforderungen und Risiken des Unternehmens nicht bekannt sind. Diese sind jedoch die Basis für Kosten-Nutzen-Betrachtungen.
Klaus-Rainer Müller
9. Sicherheitsziele / Sicherheitsanforderungen
Zusammenfassung
Die Sicherheits-, Kontinuitäts- und Risikopolitik des vorangegangenen Kapitels legte die generellen Anforderungen und die Ausrichtung des Unternehmens im Hinblick auf Sicherheit Kontinuität und Risiko fest. Ausgangspunkt waren hierbei der Unternehmenszweck, die Unternehmensziele sowie die erzeugten Produkten und/oder erbrachten Leistungen. Nun gilt es, die Sicherheits- und Kontinuitätsanforderungen zu konkretisieren, um sie später in Form von Richtlinien, Konzepten und Maßnahmen umsetzen zu können.
Klaus-Rainer Müller
10. Sicherheitsmerkmale
Zusammenfassung
Die Sicherheitsanforderungen eines Unternehmens sind übergreifend und überblicksartig über die Ebene der Sicherheits-, Kontinuitäts- und Risikopolitik sowie konkret über die Ebene der Sicherheitsziele bzw. -anforderungen definiert. Die Sicherheitsanforderungen müssen auf die Kerngeschäftsprozesse selbst abgebildet werden sowie auf all jene Ressourcen (z. B. IKT-Systeme) und Prozesse, die ein Kerngeschäftsprozess nutzt, bis hin zu den Leistungen (Services), die er erbringt, und den Produkten, die er erzeugt.
Klaus-Rainer Müller
11. Sicherheitsarchitektur
Zusammenfassung
Wie wir bisher gesehen haben, gibt die Sicherheits-, Kontinuitäts- und Risikopolitik den Rahmen für das Management dieser Themenfelder vor. Die zweite Ebene der Sicherheitspyramide spezifiziert die Sicherheitsziele bzw. Sicherheitsanforderungen. Die Sicherheitstransformation leitet hieraus Sicherheitsmerkmale für die Schutzobjekte in Form der jeweiligen Prozesse, der Ressourcen und der Organisation sowie für jedes Sicherheitskriterium ab.
Klaus-Rainer Müller
12. Sicherheitsrichtlinien/-standards – Generische Sicherheitskonzepte
Zusammenfassung
Das vorangegangene Kapitel beschäftigte sich mit der Sicherheitsarchitektur und legte die Sicherheits- und Kontinuitätselemente fest, mit denen die Sicherheitsziele erreicht werden sollen.
Klaus-Rainer Müller
13. Spezifische Sicherheitskonzepte
Zusammenfassung
Spezifische Sicherheitskonzepte sind in Unternehmen häufig anzutreffen. Sie beschreiben z. B. welche Sicherheitseinstellungen für ein bestimmtes Betriebssystem getroffen werden sollen. Doch erfüllen diese Sicherheitskonzepte die gestellten Anforderungen? Und wenn ja, ist dies angemessen und nachvollziehbar?
Die Angemessenheit und Nachvollziehbarkeit der spezifischen Sicherheitskonzepte kann dadurch erreicht werden, dass
  • die zugrunde gelegten Anforderungen und Richtlinien referenziert werden
  • die Risikostrategie im Hinblick auf Vermeidung, Verringerung, Verlagerung oder Vereinnahmung des Risikos dargestellt wird
  • die zu treffenden Maßnahmen beschrieben werden.
Klaus-Rainer Müller
14. Sicherheitsmaßnahmen
Zusammenfassung
Die erstellten Sicherheitskonzepte müssen in den jeweiligen Prozessen, den Ressourcen, wie z. B. IKT-Systemen, und der Organisation sowie den Produkten und Dienstleistungen implementiert werden. Hierzu werden die in den Konzepten beschriebenen Maßnahmen durchgeführt und protokolliert. So kann z. B. die Konfiguration, die Parametrisierung und die Löschung von Standardbenutzern in computerunterstützten Anlagen und technischen Systemen sowie den Informations- und Kommunikationssystemen nachvollziehbar dokumentiert werden. Alternativ hierzu können Ausdrucke der jeweiligen Systemeinstellungen als Dokumentation verwendet werden.
Klaus-Rainer Müller
15. Lebenszyklus
Zusammenfassung
Die vorangegangenen Kapitel haben gezeigt, wie das Sicherheits-, Kontinuitäts- und Risikomanagement mittels der Sicherheitspyramide top-down aufgebaut wird. Ausgangspunkt ist die RiSiKo-Politik, also die Risiko-, Sicherheits- und Kontinuitätspolitik gewesen, von der aus wir schrittweise bis hin zu den Maßnahmen gelangt sind.
Klaus-Rainer Müller
16. Sicherheitsregelkreis
Zusammenfassung
Alles fließt (παντα ρει [Heraklit]), d. h. alles verändert sich: Bedrohungen, Angriffsmöglichkeiten, Schutzbedarf, Prozesse, Ressourcen, Technologie, Organisation und last, but not least, das Personal. Dementsprechend unterliegen alle Elemente der Sicherheits- bzw. RiSiKo-Pyramide einer kontinuierlichen Anpassung, Veränderung und Weiterentwicklung.
Klaus-Rainer Müller
17. Reifegradmodell des Sicherheits-, Kontinuitäts- und Risikomanagements
Zusammenfassung
Häufig stellt sich in Unternehmen die Frage, welches Niveau ihr Sicherheits-, Kontinuitäts- und Risikomanagement erreicht hat und wie es sich bewerten lässt. In diesen Fällen hilft ein Reifegradmodell.
Klaus-Rainer Müller
18. Sicherheitsmanagementprozess
Zusammenfassung
Die bisherigen Kapitel haben den hierarchischen Aufbau der Sicherheitspyramide, die PROSim-Elemente, die Integration von Sicherheitselementen in die Lebenszyklen sowie den Sicherheitsregelkreis beschrieben. Hieraus lässt sich der Sicherheits-(management-)prozess bzw.
Klaus-Rainer Müller
19. Minimalistische Sicherheit
Zusammenfassung
Die bisherigen Kapitel haben den systematischen und durchgängigen Aufbau des IKT-Sicherheits- bzw. -RiSiKo-Managements anhand der dreidimensionalen Sicherheits- bzw. RiSiKo-(Management-)PyramideDr.-Ing. Müller gezeigt. Sie liefert die Grundlage, um ein unternehmensspezifisch angemessenes Sicherheits- bzw. RiSiKo-Managementsystem aufzubauen.
Klaus-Rainer Müller
Backmatter
Metadaten
Titel
IT-Sicherheit mit System
verfasst von
Klaus-Rainer Müller
Copyright-Jahr
2014
Electronic ISBN
978-3-658-04334-6
Print ISBN
978-3-658-04333-9
DOI
https://doi.org/10.1007/978-3-658-04334-6