Skip to main content
main-content

Über dieses Buch

Dieses Lehrbuch bietet Grundlagenwissen zum Thema Informationssicherheit sowie Informationssicherheitsmanagement. Neben der Erklärung aktueller und relevanter Grundbegriffe bietet es Definitionen und skizziert methodische und rechtliche Rahmen. Die optimale praktische Gestaltung des Informationssicherheitsmanagements wird unter Berücksichtigung zweier gängiger Standards zur Informationssicherheit, des Grundschutzhandbuches und ISO 27001, dargelegt. Damit gibt
die Autorin konkrete Antworten auf Fragen der Risikobewertung und Gefahrenanalyse, derSicherheits- und Datenschutzkontrollen sowie zum Incident Management und dem Security Audit und -Monitoring. Darüber hinaus werden auch Aspekte der Cyber- und Computerkriminalität, derIT-Forensik und des Security Intelligence betrachtet. Damit ist das Buch für alle interessant, die ihren Fokus auf die Prävention von Sicherheitsvorfällen, aber auch auf deren Detektion und die angemessene Reaktion legen.

Inhaltsverzeichnis

Frontmatter

1. Einleitung

Die Angreifer nutzen oft die einfachsten Methoden, um in die IT-Systeme der Unternehmen einzubrechen. Währenddessen konzentrieren sich diese zunehmend darauf, die gezielten, professionellen, auf sie zugeschnittenen Attacken, die sogenannten Advanced Persistent Threats (APTs), abzuwehren, die sie von staatlich geförderten Hackern, Hacktivisten, Geheimdiensten oder organisierter Hackerbanden erwarten. Dabei nutzen die meisten Angreifer, so das Ergebnis einer Studie von Kaspersky Lab (Demage Control: The Cost of Security Breaches), meistens die naheliegenden Mittel wie Schadsoftware, Phishingmail oder Social Engineering, bei dem interne Mitarbeiter unbeabsichtigt Daten oder Informationen herausgeben, oder Schwachstellen und Fehler in der Software, um in die unternehmensinternen Systeme einzudringen. Dies waren laut Kaspersky Lab im Jahr 2015 die häufigsten Ursachen für Datensicherheitsvorfälle in Unternehmen. Angreifer nutzen die bekannten, einfachen Schwachstellen oder Lücken in den Webseiten, infizierte E-Mail-Anhänge, Viren und Trojaner als Eingangstor in die Systeme. Einmal dort angelangt, können sie einen weitaus größeren Schaden anrichten ‒ und oft über mehrere Hundert Tage unentdeckt bleiben.
Aleksandra Sowa

2. Wichtige Begriffe rund um Informationssicherheit

Was sind die wesentlichen Treiber der Informationstechnologie, und welche Rolle spielt dabei die Informationssicherheit – der Beantwortung dieser Fragen ist Kap. 2 gewidmet. Ein historischer Rückblick hilft dabei, die aktuelle Bedeutung und Rolle der Informationssicherheit zu verstehen ‒ eine rasche Evolution, wenn man bedenkt, dass noch im Jahre 2001 nicht zwischen den Begriffen „Security“ und „Information Security“ unterschieden wurde. In Kap. 2 werden relevante Begriffe eingeführt und Definitionen des Managements der Informationssicherheit diskutiert.
Aleksandra Sowa

3. Management der Informationssicherheit als Prozess

Effektives Management der Informationssicherheit erfordert nicht nur eine Beschäftigung mit den aktuellen Bedrohungen. Es setzt ein Risiko- bzw. Sicherheitsmanagement voraus, das langfristig und strategisch ausgerichtet ist. Kernkomponenten eines wirksamen Informationssicherheitsmanagements sind geeignete Prozesse, wie der Plan-Do-Check-Act-Zyklus, sowie entsprechende Ressourcen (Organisation und Kompetenzen des Sicherheitsteams). Rahmenbedingungen des Informationssicherheitsmanagements – und oft auch die Motivation – bilden relevante Gesetze und Normen.
Aleksandra Sowa

4. Schichten des Informationssicherheitsmanagements

GRC-Sichten: Betrachtung des Managements der Informationssicherheit unter den drei Aspekten Governance ‒ Risk ‒ Compliance.
Aleksandra Sowa

5. Risiko-Schicht: Plan-Phase des Managements der Informationssicherheit

Das Risikomanagement und die Gefährdungsanalyse bzw. Schutzbedarfsfeststellung helfen dabei, die Sicherheitsstrategie für das Management der Informationssicherheit zu definieren und die für das Unternehmen geeigneten Sicherheitskontrollen und -maßnahmen zu identifizieren. Ausgehend von der Definition besonders schützenswerter Informationen und Systeme werden Schutzbedarfe ermittelt und unter Berücksichtigung von Geschäftszielen bzw. den Zielen einer Organisation sowie der aktuellen Gefährdungslage über den Einsatz bestimmter Gegenmaßnahmen entschieden. Kap. 5 befasst sich mit dem Planungsprozess der Informationssicherheit und den besonderen statischen sowie dynamischen Aspekten des Risikomanagements.
Aleksandra Sowa

6. Governance-Schicht: Do-Phase des Management der Informationssicherheit

Gängige Standards wie ISO/IEC 27001 und ISO/IEC 27002, das Grundschutzhandbuch des BSI oder das Standardwerk zum sicheren IT-Betrieb der Sparkassen Informatik unterstützen dabei, adäquate Sicherheitskontrollen (Security Controls) sowie das sogenannte absolute Minimum an Sicherheitskontrollen zu identifizieren.
Aufgrund der steigenden Bedeutung des Schutzes personenbezogener Daten als Aufgabe der Informationssicherheit erlangen auch die Datenschutzkontrollen (sogenannte TOMs) im Kontext des Informationssicherheitsmanagements zunehmend an Bedeutung.
Aleksandra Sowa

7. Compliance-Schicht: Die Check-Phase des Managements der Informationssicherheit

Aktuelle Hacking-Trends sind insbesondere dann für das Management der Informationssicherheit relevant, wenn es um angemessene Maßnahmen zur Reaktion und Detektion von Cybersecurity Incidents (Sicherheitsvorfällen) geht.
Neben Incident Management oder Business Continuity Management (BCM), Notfallvorsorge und Desaster Recovery gewinnen Monitoring und Reporting als Instrumente der Detektion stark an Bedeutung ‒ dies nicht zuletzt aufgrund verpflichtender regulatorischer Vorgaben.
Leistungsindikatoren der Informationssicherheit und Metriken werden in diesem Kapitel ebenfalls erläutert.
Aleksandra Sowa

8. Cyber- und Computerkriminalität: Prüfung doloser Handlungen

Haute Couture ist heute der Maßstab für Cyber- und Computerkriminalität. Dennoch fehlt es in den professionellen Attack as a Service (AaaS)-Angeboten nicht an Massenware wie Schadsoftware, Trojanern und Viren. Geeignete Sicherheitskontrollen ermöglichen es den Unternehmen, im Falle eines Angriffs schnell und effektiv zu reagieren und den Schaden für das Geschäft zu reduzieren – oder gar zu vermeiden. Neben dem Incident Management und der Notfallvorsorge kommen weitere detektive und reaktive Methoden zum Einsatz, wie beispielsweise Prüfungen durch die interne Revision beim Verdacht auf dolose Handlungen, forensische Prüfungen, IT-Forensik oder forensische Analyse.
Aleksandra Sowa

9. Act-Phase: Bewerten – verbessern – optimieren

Die Informationssicherheit kann durch Auswertung und Analyse relevanter Daten präziser gesteuert, verbessert und optimiert werden. Neben Metriken und Indikatoren, die aus internen Quellen wie Monitoring- und Reporting-Systemen gewonnen werden, finden sich zahlreiche externe Quellen für Leistungsindikatoren der Informationssicherheit. Dennoch stellt die Bewertung der Wirksamkeit des Informationssicherheitsmanagements eine Herausforderung dar.
Ein Modell zur Bewertung und Beurteilung der Wirksamkeit des Informationssicherheitsmanagements ermöglicht – bei entsprechend definierter Basismenge an Metriken – die Ableitung von Ansätzen zur Verbesserung der Performance der Informationssicherheit unter Berücksichtigung der aktuellen Bedrohungslage.
Aleksandra Sowa

10. Schlussbetrachtung

Wie Kaspersky Lab in seiner aktuellen Studie herausfand, betragen die durchschnittlichen Kosten, die ein Unternehmen mit mehr als 1500 Beschäftigten im Jahr 2015 pro Cyber-Attacke ausgegeben hat, 551,000 US-Dollar. Doch dies sind nur die direkten Kosten (Kosten für Mitarbeiter und externe Firmen bzw. IT-Forensik, Anwälte und Berater, Kosten für Geschäftsausfälle und entgangene Geschäfte) eines Sicherheitsvorfalls. Die indirekten Kosten belaufen sich auf weitere 69,000 US-Dollar für zusätzliches Personal, Erneuerung der Infrastruktur und Implementierung von Sicherheitsmaßnahmen.
Aleksandra Sowa

Backmatter

Weitere Informationen

Premium Partner

BranchenIndex Online

Die B2B-Firmensuche für Industrie und Wirtschaft: Kostenfrei in Firmenprofilen nach Lieferanten, Herstellern, Dienstleistern und Händlern recherchieren.

Whitepaper

- ANZEIGE -

Best Practices für die Mitarbeiter-Partizipation in der Produktentwicklung

Unternehmen haben das Innovationspotenzial der eigenen Mitarbeiter auch außerhalb der F&E-Abteilung erkannt. Viele Initiativen zur Partizipation scheitern in der Praxis jedoch häufig. Lesen Sie hier  - basierend auf einer qualitativ-explorativen Expertenstudie - mehr über die wesentlichen Problemfelder der mitarbeiterzentrierten Produktentwicklung und profitieren Sie von konkreten Handlungsempfehlungen aus der Praxis.
Jetzt gratis downloaden!

Bildnachweise