17 Abbildungsverzeichnis

Transkript

1 17 Abbildungsverzeichnis Abb.2.1:AllgemeinesPyramidenmodellVnachDr.Ing.Müller...20 Abb.4.1:Schutzobjektklassen...38 Abb.4.2:DetaillierterSicherheitsdreiklangnachDr.Ing.Müller...40 Abb.4.3:DetaillierterRisikodreiklangnachDr.Ing.Müller...42 Abb.5.1:SicherheitspyramideVnachDr.Ing.Müllerbzw. SicherheitsmanagementpyramideVnachDr.Ing.Müller...50 Abb.7.1:BCMLifecycle,angelehntanBS259991: Abb.8.1:HouseofHealth,Safety,SecurityandContinuity(HHSSC) Abb.8.2:Occ.Health,Safety,SecurityandContinuityFunctionDeployment (OHSSCFD) Abb.9.1:RisikolandkarteundRisikoklassen(Beispiel) Abb.9.2:PrinzipiellesKontextDiagrammzurPfadanalyse Abb.9.3:Kern,SupportundBegleitprozesseimLebenszyklus Abb.9.4:Begleitprozesse(Managementdisziplinen) Abb.9.5:Risiko(management)pyramideVnachDr.Ing.Müller Abb.9.6:Speichermedien Abb.9.7:DAS,NAS,SAN Abb.9.8:BusinessContinuityManagementmitderSicherheitspyramideV Abb.9.9:KontinuitätspyramideVnachDr.Ing.Müllerbzw. KontinuitätsmanagementpyramideVnachDr.Ing.Müller Abb.9.10:BusinessContinuityPyramidVaccordingtoDr.Ing.Mülleror BCMpyramidVaccordingtoDr.Ing.Müller Abb.9.11:Interdependenznetz(prinzipiellesundvereinfachtesBeispiel) Abb.9.12:Datensicherungsmethoden Abb.9.13:ÜberKreuzSicherung Abb.9.14:AllgemeinesSicherheitsschalenmodell Dr.Ing.Müller Abb.9.15:ElementedesSecuritymanagements gemäßsicherheitsschalenmodellnachdr.ing.müller Abb.9.16:Berechtigungswürfelbzw.kubus Abb.9.17:SubjektSubjektgruppeRechtObjektgruppeObjektModell Abb.9.18:USBToken(Prinzipdarstellung) Abb.9.19:Taschenauthentifikator(Prinzipdarstellung) Abb.9.20:Verschlüsselungsverfahren Abb.9.21:Firewallebenen(Prinzipdarstellung) Abb.10.1:Notfallablauf Abb.10.2:Eskalationstrichter Dr.Ing.Müller Abb.14.1:Sicherheits/RiSiKoStudie/Analyse Abb.14.2:Sicherheitsregelkreis Abb.15.1:ReifegradmodellnachDr.Ing.Müller,hierfürSicherheitundRiSiKo Abb.16.1:Sicherheits(management)prozessnachDr.Ing.Müller Klaus-Rainer Müller, Handbuch Unternehmenssicherheit, DOI / , Vieweg+Teubner Verlag Springer Fachmedien Wiesbaden GmbH 2010

2 18 Markenverzeichnis DiefolgendenAngabenerfolgenohneGewährundohneHaftung.Esgeltenstetsdieent sprechendenschutzbestimmungenundrechteinihrerjeweilsaktuellenfassung. CERT undcertcoordinationcenter (CERT /CC)sindeingetrageneMarkenderCarne giemellonuniversity. CertifiedInformationSecurityManager,CISM,CertifiedInformationSecurityAuditor, CISA,CertifiedintheGovernanceofEnterpriseIT,CGEIT,CertifiedinRiskandInfor mation Systems Control und CRISC, sind Marken bzw. eingetragene Marken der In formationsystemsauditandcontrolassociation,inc.(isaca ). CMM,CMMI,CapabilityMaturityModel,CapabilityMaturityModelIntegration sind eingetragenemarkendercarnegiemellonuniversity. COBIT isteineeingetragenemarkederinformationsystemsauditandcontrolassocia tion (ISACA )unddesitgovernanceinstitute. GAMP isteineeingetragenemarkederinternationalsocietyforpharmaceuticalenginee ring IDEAisteineMarkederAscomSystecLtd. Information Systems Audit and Control Association und ISACA sind eingetragene MarkenderInformationSystemsAuditandControlAssociation. IT Governance Institute und ITGI sind eingetragene Marken der Information Systems AuditandControlAssociation. ITIL isteineeingetragenemarkedesofficeofgovernmentcommerce(ogc). KerberosisteineMarkedesMassachusettsInstituteofTechnology(MIT). Microsoft,Windows,NT sindeingetragenemarkendermicrosoftcorporation. MindMap isteineeingetragenemarkederbuzanorganisationltd. MISRA undmisrac sindeingetragenemarkendermiraltd. OCTAVE isteineeingetragenemarkedercarnegiemellonuniversity. RC5isteineMarkederRSASecurityInc. Stratus undcontinuousprocessing sindeingetragenemarkenvonstratustechnologies BermudaLtd. UNIX isteineeingetragenemarkeder TheOpenGroup. WiFi isteineeingetragenemarkederwifialliance. Klaus-Rainer Müller, Handbuch Unternehmenssicherheit, DOI / , Vieweg+Teubner Verlag Springer Fachmedien Wiesbaden GmbH 2010

3 19 Verzeichnis über Gesetze, Vorschriften, Standards, Normen DiefolgendenUnterkapitelnenneneinigeGesetze,Verordnungen,Ausführungs bestimmungen,grundsätze,vorschriften,standardsundnormen,dieimzusam menhangmitdemthemasicherheits,kontinuitätsundrisikomanagementeine Rollespielen.Diesesindteilsbranchenübergreifendundteilsbranchenspezifisch. Sie behandeln z.b. Themen wie Sorgfaltspflicht der Vorstandsmitglieder, Über wachungssystem,risiken,notfallplanung,datenschutzundordnungsmäßigkeit. LageberichtzurInformationssicherheit2008der<kes>[90] Aufgrund der in [90] erhobenen Informationen ist das Bundesdatenschutzgesetz (BDSG) bei den Teilnehmern an der Sicherheitsstudie mit rund 90% am bekanntesten und für über 80% der Befragten auch relevant. Demgegenüber sind z.b. das Tele kommunikationsgesetz (TKG) und die TelekommunikationsÜberwachungsverord nung(tküv)71%,dastelemediengesetz(tmg)47%sowiedasgesetzzurkontrolle undtransparenzimunternehmensbereich(kontrag)59%derbefragtenbekannt.dies ist insofern ernüchternd, als Gesetze und Verordnungen z.b. für die Protokollierung auffirewalls,webundmailservern(s.a.[91])einehohebedeutungbesitzenunddas KonTraGdieEinrichtungeinesRisikomanagementsystemsfordert Gesetze, Verordnungen und Richtlinien Deutschland: Gesetze und Verordnungen AO AGG AktG AMG ArbSchG ASiG ArbStättV BDSG BGB BImSchG BImSchV ChemG GmbHG GPSG Abgabenordnung AllgemeinesGleichbehandlungsgesetz Aktiengesetz Arzneimittelgesetz Arbeitsschutzgesetz Arbeitssicherheitsgesetz Arbeitsstättenverordnung Bundesdatenschutzgesetz BürgerlichesGesetzbuch Gesetz zum Schutz vor schädlichen Umwelteinwirkungen durch Luft verunreinigungen,geräusche,erschütterungenundähnlichevorgänge Zwölfte Verordnung zur Durchführung des BundesImmissionsschutz gesetzes Chemikaliengesetz GmbHGesetz GeräteundProduktsicherheitsgesetz Klaus-Rainer Müller, Handbuch Unternehmenssicherheit, DOI / , Vieweg+Teubner Verlag Springer Fachmedien Wiesbaden GmbH 2010

4 19VerzeichnisüberGesetze,Vorschriften,Standards,Normen 437 GwG HGB InvG KonTraG KWG PatG PfandBG ProdHaftG SGB SGBIV SGBVII SGBX SigG SigV SolvV TKG TKÜV TMG UMAG UmweltHG UrhG WpHG Geldwäschegesetz Handelsgesetzbuch Investmentgesetz GesetzzurKontrolleundTransparenzimUnternehmensbereich Kreditwesengesetz Patentgesetz Pfandbriefgesetz Produkthaftungsgesetz Sozialgesetzbuch ViertesSozialgesetzbuch GemeinsameVorschriftenfürdieSozialversiche rung SiebtesSozialgesetzbuch GesetzlicheUnfallversicherung Zehntes Sozialgesetzbuch Sozialverwaltungverfahren und Sozialdaten schutz Gesetz über Rahmenbedingungen für elektronische Signaturen (Signatur gesetz) VerordnungzurelektronischenSignatur(Signaturverordnung) Solvabilitätsverordnung Telekommunikationsgesetz Verordnung über die technische und organisatorische Umsetzung von MaßnahmenzurÜberwachungderTelekommunikation(Telekommunika tionsüberwachungsverordnung) Telemediengesetz GesetzzurUnternehmensintegritätundModernisierungdesAnfechtungs rechts Umwelthaftungsgesetz Urheberrechtsgesetz GesetzüberdenWertpapierhandel(Wertpapierhandelsgesetz) Österreich: Gesetze und Verordnungen BWG Bankwesengesetz DSG2000 Datenschutzgesetz 2000 InfoSiG Bundesgesetz über die Umsetzung völkerrechtlicher Verpflichtungen zur sicherenverwendungvoninformationen(informationssicherheitsgesetz) InfoSiV VerordnungderBundesregierungüberdieInformationssicherheit Schweiz: Gesetze, Verordnungen und Rundschreiben BankG BankV DSG FINMA RS08/7 BundesgesetzüberdieBankenundSparkassen(Bankengesetz) VerordnungüberdieBankenundSparkassen(Bankenverordnung) BundesgesetzüberdenDatenschutz Rundschreiben2008/7,OutsourcingBanken

5 438 FINMA RS08/21 FINMA RS08/32 FINMA RS08/35 GeBüV GwG GwV FINMA1 GwV FINMA2 GwV FINMA3 VAG VDSG 19VerzeichnisüberGesetze,Vorschriften,Standards,Normen Rundschreiben2008/21,OperationelleRisikenBanken Eigenmittelanforde rungenfüroperationellerisikenbeibanken Rundschreiben2008/32,CorporateGovernanceVersicherer CorporateGov ernance,risikomanagementundinterneskontrollsystembeiversicherern Rundschreiben2008/35,InterneRevisionVersicherer InterneRevisionbei Versicherern Verordnung über die Führung und Aufbewahrung der Geschäftsbücher (Geschäftsbücherverordnung) Bundesgesetz über die Bekämpfung der Geldwäscherei und der Terroris musfinanzierungimfinanzsektor(geldwäschereigesetz) Verordnung der Eidgenössischen Finanzmarktaufsicht über die Verhinde rung von Geldwäscherei und Terrorismusfinanzierung im Banken, Effek tenhändler und Kollektivanlagenbereich (Geldwäschereiverordnung FINMA1) Verordnung der Eidgenössischen Finanzmarktaufsicht über die Verhinde rung von Geldwäscherei und Terrorismusfinanzierung im Privatversiche rungsbereich(geldwäschereiverordnungfinma2,gwvfinma2) Verordnung der Eidgenössischen Finanzmarktaufsicht über die Verhinde rungvongeldwäschereiundterrorismusfinanzierungimübrigenfinanz sektor(geldwäschereiverordnungfinma3,gwvfinma3) Bundesgesetz betreffend die Aufsicht über Versicherungsunternehmen (Versicherungsaufsichtsgesetz) VerordnungzumBundesgesetzüberdenDatenschutz Großbritannien: Gesetze, Vorschriften FoIA HASAW, HSW, HSWA FreedomofInformationAct(FoIA)2000 TheHealthandSafetyatWorketcAct1974, hinsichtlichstrafengeändertdurch TheHealthandSafety(Offences)Act2008 ManagementofHealthandSafetyatWorkRegulations WorkplaceRegulations Europa: Entscheidungen und Richtlinien Entscheidung 2000/520/EG Entscheidung Entscheidung der Kommission vom 26.Juli2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemes senheit des von den Grundsätzen des sicheren Hafens und der diesbe züglichen HäufiggestelltenFragen (FAQ)gewährleistetenSchutzes,vor gelegtvomhandelsministeriumderusa,2000/520/eg Entscheidung der Kommission vom 27.Dezember2001 hinsichtlich Stan dardvertragsklauseln für die Übermittlung personenbezogener Daten an

6 19VerzeichnisüberGesetze,Vorschriften,Standards,Normen /16/EG Richtlinie 95/46/EG Richtlinie 2000/31/EG Richtlinie 2002/58/EG Richtlinie 2006/43/EG EuroSOX PIC/S PE0092 PIC/S PI0112 AuftragsverarbeiterinDrittländernnachderRichtlinie95/46/EG Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.Oktober1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogenerdatenundzumfreiendatenverkehr Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8.Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informa tionsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt( RichtlinieüberdenelektronischenGeschäftsverkehr ) Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12.Juli2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Daten schutzrichtliniefürelektronischekommunikation) Richtlinie 2006/43/EG des europäischen Parlaments und der Rates vom 17.Mai2006überAbschlussprüfungenvonJahresabschlüssenundkonsoli diertenabschlüssen(eurosox) European Communities: Guidelines on best practices for using electronic information,1997 Guide to Good Manufacturing Practice for Medicinal Products, Annexes, PE0098,PIC/S,15.Januar2009 Good Practices for Computerised Systems in Regulated GxP Environ ments,pi0113,pic/s,25.september USA: Gesetze, Practices und Prüfvorschriften 21CFR Part11 21CFR Part58 21CFR Part211 21CFR Part820 CGMP COPPA COSO:Internal Control DPPA FDIC,Managing MultipleService Providers ElectronicRecords;ElectronicSignatures,CodeofFederalRegulations; Title21,Part11 Good Laboratory Practice for Nonclinical Laboratory Studies regula tions,codeoffederalregulations,title21,part58 Current Good Manufacturing Practice for Finished Pharmaceuticals, CodeofFederalRegulations,Title21,Part211 QualitySystemregulation,CodeofFederalRegulations,Title21,Part 820 CurrentGoodManufacturingPractice Children sonlineprivacyprotectionact InternalControl IntegratedFramework(1992) InternalControloverFinancialReporting GuidanceforSmaller PublicCompanies(2006) GuidanceonMonitoringInternalControlSystems(2009) DriversPrivacyProtectionAct ElectronicCommunicationsPrivacyAct Technology Outsourcing, Techniques for Managing Multiple Service Providers

7 440 19VerzeichnisüberGesetze,Vorschriften,Standards,Normen FDIC,Selectinga ServiceProvider FERPA FFIEC,BCP FFIEC,D&A FFIEC,IS FFIEC,MGT FFIEC,OPS FFIEC,OT FFIEC,TSP FISMA GLBA HMTA HIPAA OSHAct Technology Outsourcing, Effective Practices for Selecting a Service Provider FamilyEducationalRightsandPrivacyAct ITExaminationHandbook,BusinessContinuityPlanning,März2008 ITExaminationHandbook,DevelopmentandAcquisition,April2004 ITExaminationHandbook,InformationSecurity,Juli2006 IT Examination Handbook, Management (IT Risk Management Process),Juni2004 ITExaminationHandbook,Operations,Juli2004 IT Examination Handbook, Outsourcing Technology Services, Juni 2004 IT Examination Handbook, Supervision of Technology Service Provi ders(tsp),märz2003 FederalInformationSecurityManagementActof2002 GrammLeachBlileyAct HazardousMaterialsTransportationAct HealthInsurancePortabilityandAccountabilityAct OccupationalSafetyandHealthAct PrivacyAct PCAOB, AuditingStandards16: AuditingStandards Auditing Standard1:References in Auditors Reports to the Stan 1 6 dardsofthepubliccompanyaccountingoversightboard Auditing Standard2:An Audit of Internal Control Over Financial Reporting Performed in Conjunction with An Audit of Financial Statements AuditingStandard3:AuditDocumentation AuditingStandard4:ReportingonWhetheraPreviouslyReported MaterialWeaknessContinuestoExist Auditing Standard5:An Audit of Internal Control Over Financial ReportingThatIsIntegratedwithAnAuditofFinancialStatements Auditing Standard6:Evaluating Consistency of Financial State ments SOX SarbanesOxleyAct SSA SocialSecurityAct TSCA ToxicSubstancesControlAct Examination Manual for U.S. Branches and Agencies of Foreign Ban kingorganizations 19.2 Ausführungsbestimmungen, Grundsätze, Vorschriften BaselII Internationale Konvergenz der Kapitalmessung und Eigenkapitalanfor derungen

8 19VerzeichnisüberGesetze,Vorschriften,Standards,Normen 441 BGV GDPdU GoB BerufsgenossenschaftlicheVorschriften GrundsätzezumDatenzugriffundzurPrüfbarkeitdigitalerUnterlagen GrundsätzeordnungsmäßigerBuchführung GoBS Grundsätzeordnungsmäßiger DVgestützterBuchführungssysteme. Die GoBS sollen durch die Grundsätze ordnungsmäßiger Buchführung beimiteinsatz(gobit)abgelöstwerden. GoDV GrundsätzeordnungsmäßigerDatenverarbeitung [19] GoS GrundsätzeordnungsmäßigerSpeicherbuchführung(neugefasstinGoBS) IDW PS330 IDW EPS525 IDW PS880 IDWPS951 IDW RSFAIT1 IDW RSFAIT2 IDW RSFAIT3 InvMaRisk MaIuK MaRiskBA MaRiskVA MaComp Abschlußprüfung bei Einsatz von Informationstechnologie, Verlautbarung desinstitutsderwirtschaftsprüfer(idw),stand: Die Beurteilung des Risikomanagements von Kreditinstituten im Rahmen der Abschlussprüfung, Entwurf IDW Prüfungsstandard, vom Hauptfach ausschuss(hfa)am verabschiedeterstand Erteilung und Verwendung von Softwarebescheinigungen (IDW), Stand: IDWEPS880n.F.:DiePrüfungvonSoftwareprodukten,EntwurfeinerNeu fassung des IDW Prüfungsstandards, vom Hauptfachausschuss (HFA) am verabschiedeterStand Die Prüfung des internen Kontrollsystems beim Dienstleistungsunterneh men für auf das Dienstleistungsunternehmen ausgelagerte Funktionen (IDW),Stand Grundsätze ordnungsgemäßer Buchführung bei Einsatz von Informations technologie,verlautbarungdesinstitutsderwirtschaftsprüfer(idw),fach ausschussfürinformationstechnologie(fait),stand: Grundsätze ordnungsgemäßer Buchführung bei Einsatz von Electronic Commerce, Verlautbarung des Instituts der Wirtschaftsprüfer (IDW),FachausschussfürInformationstechnologie(FAIT),Stand: Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren, Verlautbarung des InstitutsderWirtschaftsprüfer (IDW),FachausschussfürInformationstechnologie(FAIT),Stand: Mindestanforderungen an das Risikomanagement für Investmentgesell schaften (InvMaRisk), Entwurf eines Rundschreibens der BaFin vom Mindestanforderungen der Rechnungshöfe des Bundes und der Länder zumeinsatzderinformationsundkommunikationstechnik IuKMindest anforderungen MindestanforderungenandasRisikomanagement(Bankenaufsicht) AufsichtsrechtlicheMindestanforderungenandasRisikomanagement(Ver sicherungsaufsicht) MindestanforderungenanComplianceunddieweiterenVerhaltens,Orga nisations und Transparenzpflichten nach 31ff. WpHG, Entwurf eines RundschreibensderBaFinvom

9 442 19VerzeichnisüberGesetze,Vorschriften,Standards,Normen 19.3 Standards, Normen, Leitlinien und Rundschreiben ANSI/AIHAZ ANSI/IEEE Std ANSI/IEEE Std ANSI/IEEE Std.1012a1998 BaselerAusschuss, Compliance,April 2005 BaselerAusschuss, RiskManagement Principles,Juli2003 BaselerAusschuss, SoundPractices, Februar2003 BaselerAusschuss, StressTesting,Ja nuar2009 BSOHSAS BSOHSAS 18001:2007 BSOHSAS 18002:2008 BS259991:2006 OccupationalHealthandSafetyManagementSystems StandardforSoftwareTestDocumentation StandardforSoftwareUnitTest StandardforSoftwareVerificationandValidationPlans Complianceandthecompliancefunctioninbanks RiskManagementPrinciplesforElectronicBanking,BaselerAusschuss SoundPracticesfortheManagementandSupervisionofOperational Risk,BaselerAusschuss Principlesforsoundstresstestingpracticesandsupervision,Consulta tivedocument OccupationalHealthandSafetyAssessmentSeries Occupationalhealthandsafetymanagementsystems Requirements Occupationalhealthandsafetymanagementsystems Guidelinesfor theimplementationofohsas18001:2007 Business Continuity Management Code of practice. Diese britische NormersetztPAS56:2003 BS259992:2007 BusinessContinuityManagement Specification BSIStandard 1001:2008 Managementsysteme für Informationssicherheit (ISMS), Version 1.5, Mai2008 BSIStandard ITGrundschutzVorgehensweise,Version2.0,Mai :2008 BSIStandard 1003:2008 Risikoanalyse auf der Basis von ITGrundschutz, Version 2.5, Mai2008 BSIStandard Notfallmanagement,Version1.0,November :2008 CC,V3.1 CommonCriteria,Version3.1,September2006 CEM,V3.1 Common Methodology for Information Security Evaluation, Version 3.1,September2006 CMM CapabilityMaturityModel (VorgängerdesCMMI ) CMMI CapabilityMaturityModelIntegration

10 19VerzeichnisüberGesetze,Vorschriften,Standards,Normen 443 COBIT CSPPOS DINEN37 DINEN179 DINVDE DINEN1125 DINEN1627 DIN4102 DINENISO9001 DINISO97359 DINISO10007 DINEN12251 DINEN12600 DIN14096 DIN DIN DIN DIN25424 DIN25448 ControlObjectivesforInformationandrelatedTechnology COTSSecurityProtectionProfile OperatingSystems DeutscherCorporateGovernanceKodex TragbareFeuerlöscher Teil7:Eigenschaften,Löschleistung,Anforde rungenundprüfung Schlösser und Baubeschläge Notausgangsverschlüsse mit Drücker oder Stoßplatte für Türen in Rettungswegen Anforderungen und Prüfverfahren GefahrenmeldeanlagenfürBrand,EinbruchundÜberfall Teil1:AllgemeineFestlegungen Teil2:FestlegungenfürBrandmeldeanlagen(BMA) Teil3:FestlegungenfürEinbruchundÜberfallmeldeanlagen Teil4:FestlegungenfürAnlagenzurSprachalarmierungimBrand fall Schlösser und Baubeschläge Paniktürverschlüsse mit horizontaler Betätigungsstange,fürTüreninRettungswegen Anforderungenund Prüfverfahren EinbruchhemmendeBauprodukte(nichtfürBetonfertigteile) Anfor derungenundklassifizierung; BrandverhaltenvonBaustoffenundBauteilen Qualitätsmanagementsysteme Anforderungen ElektronischerDatenaustauschfürVerwaltung,WirtschaftundTrans port (EDIFACT) SyntaxRegeln auf Anwendungsebene Teil 9: SicherheitsschlüsselundZertifikatsverwaltung Qualitätsmanagement LeitfadenfürKonfigurationsmanagement Medizinische Informatik Sichere Nutzeridentifikation im Gesund heitswesen Management und Sicherheit für die Authentifizierung durchpasswörter, GlasimBauwesen Pendelschlagversuch VerfahrenfürdieStoßprü fungundklassifizierungvonflachglas Brandschutzordnung EDIFACT Anwendungsregeln Teil 15: Anwendung des Service Nachrichtentyps AUTACK zur Übermittlung von Integritäts und AuthentizitätsinformationenüberversendeteNutzdaten ElektronischerDatenaustauschfürVerwaltung,WirtschaftundTrans port(edifact) Teil4:RegelnzurAuszeichnungvonUN/EDIFACT Übertragungsdateien mit der extensible Markup Language (XML) untereinsatzvondocumenttypedefinitions(dtd s) Türen; Rauchschutztüren; Bauprüfungen der Dauerfunktionstüch tigkeitunddichtheit Fehlerbaumanalyse, Teil 1: Methode und Bildzeichen, Teil 2: Hand rechenverfahrenzurauswertungeinesfehlerbaumes Ausfalleffektanalyse(FehlerMöglichkeits und EinflussAnalyse) DIN Büro und Datentechnik Vernichtung von Informationsträgern Teil1:AnforderungenundPrüfungenanMaschinenundEinrichtun gen

11 444 DIN40041 DINEN50126 DINEN50128 DINEN50129 DINEN DINEN EN10471,2 FinTS GAMP GERM HBCI IEC30039 ILOOSH ISO/IECGuide73 ISO/IEC ISO 10007:2003 ISO/IEC ISO/IEC 12207:2008 ISO/IEC ,2,3 19VerzeichnisüberGesetze,Vorschriften,Standards,Normen Zuverlässigkeit;Begriffe Bahnanwendungen SpezifikationundNachweisderZuverlässigkeit, Verfügbarkeit, Instandhaltbarkeit, Sicherheit (RAMS) {RAMS = Relia bility,availability,maintainability,safety) Bahnanwendungen Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme SoftwarefürEisenbahnsteuerungsund Überwachungssysteme Bahnanwendungen Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme SicherheitsrelevanteelektronischeSyste mefürsignaltechnik Unterbrechungsfreie Stromversorgungssysteme (USV) Teil 3: Me thoden zur Festlegung der Leistungs und Prüfungsanforderungen (IEC620403) Anwendung des Risikomanagements für ITNetzwerke mit Medizin produkten Teil1: Aufgaben, Verantwortlichkeiten und Aktivitäten (IEC62A/668/CDV:2009);DeutscheFassungFprEN800011:2009) Wertbehältnisse KlassifizierungundMethodenzurPrüfungdesWi derstandesgegenbrand Teil1:Datensicherungsschränke Teil2:DatensicherungsräumeundDatensicherungscontainer FinancialTransactionServices TheGoodAutomatedManufacturingPractice(GAMP ) Guidefor ValidationofAutomatedSystemsinPharmaceuticalManufacture GoodElectronicRecordsManagement HomeBankingComputerInterface Riskanalysisoftechnologicalsystems Leitfaden für Arbeitsschutzmanagementsysteme, Internationale Ar beitsorganisation RisikoManagement Wörterbuch Leitfaden für die Berücksichti gungvonterminizumrisikomanagementinnormen Informationstechnik Begriffe Teil8:Sicherheit, Qualitymanagementsystems Guidelinesforconfigurationmanage ment Informationtechnology Securitytechniques Hashfunctions Part1:General,2000 Part2:Hashfunctionsusingannbitblockcipher,2000 Part3:Dedicatedhashfunctions,2004 Part4:Hashfunctionsusingmodulararithmetic,1998 Systemsandsoftwareengineering Softwarelifecycleprocesses Information technology (Informationstechnik) Security techniques (Sicherheitsverfahren) Nonrepudiation(NichtAbstreitbarkeit)

12 19VerzeichnisüberGesetze,Vorschriften,Standards,Normen 445 DINENISO 14001:2009 ISO/IEC ,2,3 ISO/TS15000 ISO/IEC ,2,3 ISO/IECTR ,2,3 ISO/IECTR 15446:2009 ISO154891,I SO/TR ISO/IECTR Part1:General(AllgemeinesModell),2009 Part2:Mechanismsusingsymmetrictechniques(Mechanismenauf BasisvonsymmetrischenTechniken), (inüberarbeitung,zieldatumderpublikation:november2010) Part3:Mechanisms using asymmetric techniques (Mechanismen aufbasisvonasymmetrischentechniken),2009 Umweltmanagementsysteme Anforderungen mit Anleitung zur Anwendung,2009 Information technology (Informationstechnik) Security techniques (Sicherheitsverfahren) Digital signatures with appendix (Digitale SignaturenmitAnhang) Part1:General,2008 Part2:Integerfactorizationbasedmechanisms,2008 Part3:Discretelogarithmbasedmechanisms,2006; Cor1:2007,Cor.2:2009 Erweiterbare Auszeichnungssprache für das elektronische Geschäfts wesen(ebxml),teil1bis5,vornorm Informationtechnology Securitytechniques Evaluationcriteriafor ITsecuritys.a.CommonCriteria Part1:Introductionandgeneralmodel,2009 Part2:Securityfunctionalcomponents,2008 Part3:Securityassurancecomponents,2008 Information technology Security techniques A framework for IT security assurance (Informationstechnik Sicherheitsverfahren Ein RahmenwerkzurQualitätssicherungderITSicherheit) Part1:Overviewandframework,2005 Part2:Assurancemethods,2005 Part3:Analysisofassurancemethods,2007 Informationtechnology Securitytechniques Guidefortheproduc tionofprotectionprofilesandsecuritytargets Informationanddocumentation:Recordsmanagement Part1:General Part2:Guidelines. Informationstechnik BewertungvonSoftwareProzessen Part1:Conceptsandvocabulary,2004 Part2:Performinganassessment,2003 Part3:Guidanceonperforminganassessment,2004 Part4:Guidanceonuseforprocessimprovementandprocessca pabilitydetermination,2004 Part5:AnexemplarProcessAssessmentModel,2006 Part6:An exemplar system life cycle process assessment model, 2008 Part7:Assessmentoforganizationalmaturity,2008 Part8:AnexemplarprocessassessmentmodelforITservice management,inentwicklung

13 446 ISO/IEC ,5 ISO/IEC ISO/IEC TR18044:2004 ISO/IEC 18045:2008 ISO/IEC : :2009 ISO/IEC 19792:2009 ISO/IEC ,2, TR DISTR PRFTR ISO/IEC :2004 ISO/IEC 21827:2008 ISO22000:2005 ISO/TS :2009 ISO/TS 22003: VerzeichnisüberGesetze,Vorschriften,Standards,Normen Part9:CapabilityTargetProfiles,inEntwicklung Part10:SafetyExtensions,inEntwicklung Informationtechnology Securitytechniques Cryptographictechni quesbasedonellipticcurves Part1:General,2008(ISO/IEC159461:2008/Cor1:2009) Part5:Ellipticcurvegeneration,2009 Informationtechnology Security techniques ITnetworksecurity Part2:Networksecurityarchitecture,2006 Part3:Securingcommunicationsbetweennetworksusingsecurity gateways,2005 Part4:Securingremoteaccess,2005 Part 5: Securing communications across networks using virtual privatenetworks,2006. InformationTechnology SecurityTechniques Informationsecurity incidentmanagement Information technology Security techniques Methodology for IT securityevaluation Informationtechnology Softwareassetmanagement Part1:Processes Part2:Softwareidentificationtag Informationtechnology Securitytechniques Securityevaluationof biometrics Informationtechnology Servicemanagement Part1:Specification,2005(basiertaufdemStandardBS15000und löstihnab) Part2:Codeofpractice,2005(basiertaufdemStandardBS undlöstihnab). Part3:GuidanceonscopedefinitionandapplicabilityofISO/IEC Part4:ProcessReferenceModel Part5:ExemplarimplementationplanforISO/IEC Informationtechnology Multimediaframework(MPEG21) Part5: RightsExpressionLanguage Information technology Security techniques Systems Security En gineering CapabilityMaturityModel (SSECMM ) Foodsafetymanagementsystems Requirementsforanyorganization inthefoodchain Prerequisiteprogrammesonfoodsafety Part1:Foodmanufacturing Food safety management systems Requirements for bodies provid ingauditandcertificationoffoodsafetymanagementsystems

14 19VerzeichnisüberGesetze,Vorschriften,Standards,Normen 447 ISO/TS 22004:2005 ISO 22006:2009 ISO/PAS 22399:2007 ISO/IEC TR247311:2007 ISO/IEC 24759:2008 ISO/IEC CD24760 ISO/IEC 24761:2009 ISO/IEC 24762:2008 ISO/IEC24764 ISO/IEC 25000:2005 ISO/IEC 27000:2009 ISO/IEC 27001:2005 ISO/IEC 27002:2005 ISO/IEC 27003:2010 ISO/IEC 27004:2009 ISO/IEC 27005:2008 ISO/IEC 27006:2007 ISO/IEC CD27007 ISO/IEC WD27008 ISO/IEC 27011:2008 ISO/IEC :2009 CD Food safety management systems Guidance on the application of ISO22000:2005 Qualitymanagementsystems GuidelinesfortheapplicationofISO 9001:2008tocropproduction Societalsecurity Guidelineforincidentpreparednessandoperational continuitymanagement Informationtechnology Programminglanguages,theirenvironments andsystemsoftwareinterfaces ExtensionstotheClibrary Part1: Boundscheckinginterfaces Informationtechnology Securitytechniques Testrequirementsfor CryptographicModules Informationtechnology Securitytechniques AFrameworkforIden titymanagement,zielterminderpublikation:dezember2011 Informationtechnology Securitytechniques Authenticationcontext forbiometrics(acbio) Information technology Security techniques Guidelines for infor mationandcommunicationstechnologydisasterrecoveryservices Information technology Generic cabling systems for datacentres, 2010 Software Engineering Software product Quality Requirements and Evaluation(SQuaRE) GuidetoSQuaRE Information technology Security techniques Information security managementsystems Overviewandvocabulary Information technology Security techniques Information security managementsystems Requirements Informationtechnology Securitytechniques Codeofpracticefor informationsecuritymanagement.standard,derseitjuli2007diebis herigeiso17799:2005unterdieserneuennummerweiterführt. Informationtechnology Securitytechniques Informationsecurity managementsystemimplementationguidance Informationtechnology Securitytechniques Informationsecurity management Measurement Informationtechnology Securitytechniques Informationsecurity riskmanagement Information technology Security techniques Requirements for bodies providing audit and certification of information security ma nagementsystems Informationtechnology Securitytechniques Guidelinesforinfor mationsecuritymanagementsystemsauditing Informationtechnology Securitytechniques Guidanceforauditors onismscontrols Information technology Security techniques Information security management guidelines for telecommunications organizations based oniso/iec27002 Informationtechnology Securitytechniques Networksecurity Part1:Overviewandconcepts

15 448 FCD NP ISO 27799:2008 ISO 28000:2007 ISO 28001:2007 ISO 28003:2007 ISO 28004:2007 ISO/PAS :2009 ISO/IEC 29361:2008 ISO/IEC 29362:2008 ISO/IEC 29363:2008 ISO31000:2009 ISO/IEC 31010:2009 ISO/IEC 38500:2008 ITGSK ITIL ITSEC LV21,AMS LV22,AMS MISRAC : VerzeichnisüberGesetze,Vorschriften,Standards,Normen Part 2: Guidelines for the design and implementation of network security(ersetztiso/iec180282:2006) Part3:Referencenetworkingscenarios Risks,designtechniques andcontrolissues Part4:Securingcommunicationsbetweennetworksusingsecurity gateways Threats, design techniques and control issues (ersetzt ISO/IEC180283:2005) Healthinformatics Informationsecuritymanagementinhealthusing ISO/IEC27002 Specificationforsecuritymanagementsystemsforthesupplychain Securitymanagementsystemsforthesupplychain Bestpracticesfor implementingsupplychainsecurity,assessmentsandplans Require mentsandguidance Securitymanagementsystemsforthesupplychain Requirementsfor bodiesprovidingauditandcertificationofsupplychainsecurityma nagementsystems Security management systems for the supply chain Guidelines for theimplementationofiso28000 Security management systems for the supply chain Electronic port clearance(epc) Part2:Coredataelements Information technology Web Services Interoperability WSI Basic ProfileVersion1.1 Information technology Web Services Interoperability WSI At tachmentsprofileversion1.0. Informationtechnology WebServicesInteroperability WSISimple SOAPBindingProfileVersion1.0 Riskmanagement Principlesandguidelines Riskmanagement Riskassessmenttechniques Corporategovernanceofinformationtechnology ITGrundschutzkatalogedesdeutschenBundesamtesfürSicherheitin derinformationstechnik(bsi). ITInfrastructureLibrarydesOfficeofGovernmentCommerce(OGC) KriterienfürdieBewertungderSicherheitvonSystemenderInforma tionstechnik(itsec),bundesanzeiger,stand:juni1991 Arbeitsschutzmanagementsysteme:SpezifikationzurfreiwilligenEin führung, Anwendung und Weiterentwicklung von Arbeitsschutz managementsystemen(ams) Arbeitsschutzmanagementsysteme: Handlungshilfe zur freiwilligen EinführungundAnwendungvonArbeitsschutzmanagementsystemen (AMS)fürkleineundmittlereUnternehmen(KMU) GuidelinesfortheuseoftheClanguageincriticalsystems

16 19VerzeichnisüberGesetze,Vorschriften,Standards,Normen 449 MISRA C++:2008 NIST80016 NIST80027, Rev.A NIST80030 NIST80036 NIST80041, Revision1 NIST80053, Revision3 NIST80053A OECDcGLP OECDGLP OECDCorporate Governance OENORM S2400:2009 OENORM S2401:2009 OENORM S2402:2009 OENORM S2403:2009 OHRIS ONR49000 ONR49001 ONR49002 ONR49003 PAS77:2006 SA8000 SPICE GuidelinesfortheuseoftheC++languageincriticalsystems InformationTechnologySecurityTrainingRequirements:ARoleand PerformanceBasedModel,April1998;Revision1(Draft),März2009 EngineeringPrinciplesforITSecurity,RevisionA,NIST,Juni2004 Risk Management Guide for Information Technology Systems, NIST, Juli2002 Guide to Selecting Information Technology Security Products, NIST, Oktober2003 Guidelines on Firewalls and Firewall Policy, Revision 1, NIST, Sep tember2009 RecommendedSecurityControlsforFederalInformationSystemsand Organizations,Revision3,NIST,August2009 GuideforAssessingtheSecurityControlsinFederalInformationSys tems,nist,juli2008 DieAnwendung derglpgrundsätzeaufcomputergestütztesysteme, SchriftenreiheüberdieGrundsätzederGutenLaborpraxisundÜber wachungihrereinhaltung,nummer10 OECDGrundsätze der Guten Laborpraxis, Schriftenreihe über die Grundsätze der Guten Laborpraxis und Überwachung ihrer Einhal tung,nummer1 OECDGrundsätzederCorporateGovernance Business Continuity und Corporate Security Management Benen nungenunddefinitionen Business Continuity und Corporate Security Management SystemaufbauundBusinessContinuityundCorporateSecurityPolicy Business Continuity und Corporate Security Management Business ContinuityManagement BusinessContinuityundCorporateSecurityManagement Corporate SecurityManagement OccupationalHealthandRiskManagementSystem Risikomanagement für Organisationen und Systeme Begriffe und Grundlagen Risikomanagement für Organisationen und Systeme Elemente des RisikomanagementSystems RisikomanagementfürOrganisationenundSysteme Teil1:LeitfadenfürdasRisikomanagement Teil2:LeitfadenfürdieEinbettungdesRisikomanagementsindas Managementsystem RisikomanagementfürOrganisationenundSysteme Anforderungen andiequalifikationdesrisikomanagers ITServiceContinuityManagement CodeofPractice SocialAccountability8000 Software Process Improvement and Capability determination, s.a.

17 450 SSECMM TheJointForum, Outsourcing, Februar2005 TheJointForum, BusinessContinui ty,august2006 VdS22471,2,S VdS2263 VdS2311 VdS2366 VdS2367 VdS2463 VdS2465 VdS3425 VdS3436 VSITR 19VerzeichnisüberGesetze,Vorschriften,Standards,Normen ISO/IECTR15504 Information technology Systems Security Engineering Capability MaturityModel(ISO/IEC21827:2002) OutsourcinginFinancialServices,TheJointForum,BaselCommittee onbankingsupervision Highlevelprinciplesforbusinesscontinuity,Consultativedocument, TheJointForum,BaselCommitteeonBankingSupervision Richtlinien für Einbruchmeldeanlagen Prüfungsfragen Einbruch meldeanlagen,2006 Teil1:AllgemeineElektrotechnik Teil2:Einbruchmeldetechnik TeilS:ZusatzfragenzurmechanischenSicherungstechnik BetriebsbuchfürEinbruch undüberfallmeldeanlagen, Einbruchmeldeanlagen,PlanungundEinbau, ErgänzungS1, Videoüberwachungsanlagen,PlanungundEinbau, Zutrittskontrollanlagen,PlanungundEinbau, Richtlinien für Gefahrenmeldeanlagen Übertragungsgeräte für Ge fahrenmeldungen(üg) Anforderungen, Richtlinien für Gefahrenmeldeanlagen Übertragungsprotokoll für Gefahrenmeldungen,Version2, ErgänzungS1:KorrekturundAnpassungvonSatztypen, ErgänzungS2:ProtokollerweiterungzurAnschaltunganNetzeder ProtokollfamilieTCP, Ergänzung S3: Protokollerweiterung zur Anschaltung von Video überwachungsanlagenangefahrenmeldeanlagen, BetriebsbuchfürVideoüberwachungsanlagen, BetriebsbuchfürZutrittskontrollanlagen, Richtlinien zum Geheimschutz von Verschlusssachen beim Einsatz von Informationstechnik (VSITRichtlinien VSITR), Erlass des BMI vom IS /1

18 20 Literatur- und Quellenverzeichnis [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] Müller,KlausRainer:ITSicherheitsmanagementunddieRollederUnternehmens berater,datensicherheitstage,5.oktober1995 Müller,KlausRainer:ITSicherheitmitSystem,VIEWEG,Juli2003 <kes>/microsoftstudie2008,lageberichtzurinformationssicherheit,teil2,<kes>, 5/2008,S.55ff. Basler Ausschuss für Bankenaufsicht: Internationale Konvergenz der Eigenkapital messungunddereigenkapitalanforderungen,überarbeiteterahmenvereinbarung, Juni2004 BaslerAusschussfürBankenaufsicht:EnhancementstotheBaselIIframework,Juli 2009 Müller, KlausRainer: Unternehmensberater UngeliebteZaungäste?, KES, 2/1996, S.6ff. Müller,KlausRainer:Risikenvermeiden,BusinessComputing,7/1996,S.46ff. Müller, KlausRainer: Sicherheits und Qualitätsmanagement zwei Seiten einer Medaille?,KES,3/1996,S.111ff. Müller,KlausRainer:ITSicherheitmitSystem,VIEWEG,3.Auflage,Oktober2007 Anderson,Ross:SecurityEngineering,Wiley,2001 Müller, KlausRainer: Risikoanalyse diktiert die Handlung, Computerzeitung, 38/2004,S.17 ISO/IEC : Information technology Security techniques Management of informationandcommunicationstechnologysecurity Part1:Conceptsandmodels for information and communications technology security management, 2004, zurückgezogenimmärz2010 Müller, KlausRainer: Lebenszyklus und prozessimmanente ITSicherheit, <kes>, 3/2004,S.72ff. Brockhaus, die Enzyklopädie in 24 Bänden, Studienausgabe, Band 18, Brockhaus, 2001 BundesministeriumderJustiz:EntwurfeinesGesetzeszurUnternehmensintegrität undmodernisierungdesanfechtungsrechts(umag),januar2004 Müller, KlausRainer: Information Security eine unternehmerische Aufgabe, In formationsecuritymanagement,tüvmedia,märz2008 Von der Crone, Hans Caspar und Roth, Katja: Der SarbanesOxley Act und seine extraterritorialebedeutung,ajp/pja,2/2003,s.131ff. Deutscher Bundestag: BundestagDrucksache 13/9712, Anlage1, Entwurf eines GesetzeszurKontrolleundTransparenzimUnternehmensbereich(KonTraG) Schuppenhauer, Rainer: GoDVHandbuch: Grundsätze ordnungsmäßiger Daten verarbeitungunddvrevisionen,beckjuristischerverlag,januar2007 Institut der Wirtschaftsprüfer: Rechnungslegung und Prüfung beim Einsatz von Informationstechnologie, 3., aktualisierte und erweiterte Auflage, IDW Sonder druck,idwverlaggmbh,juni2009 EuropäischesParlamentundRat:Richtlinie95/46/EGdesEuropäischenParlaments unddesratesvom24.oktober1995zumschutznatürlicherpersonenbeiderver arbeitungpersonenbezogenerdatenundzumfreiendatenverkehr Klaus-Rainer Müller, Handbuch Unternehmenssicherheit, DOI / , Vieweg+Teubner Verlag Springer Fachmedien Wiesbaden GmbH 2010

19 452 [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] 20LiteraturundQuellenverzeichnis Kommission der Europäischen Gemeinschaft: Entscheidung der Kommission vom 26.Juli2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des sicheren Hafens undderdiesbezüglichen HäufiggestelltenFragen (FAQ)gewährleistetenSchut zes,vorgelegtvomhandelsministeriumderusa,2000/520/eg Bundesanstalt für Finanzdienstleistungsaufsicht: Veröffentlichung der Endfassung dermarisk,ba17 GS5201 1/2005, Bundesanstalt für Finanzdienstleistungsaufsicht: Mindestanforderungen an das Risikomanagement,Rundschreiben15/2009,14.August2009 BaselCommitteeonBankingSupervision:SoundPracticesfortheManagementand SupervisionofOperationalRisk,February2003 BaslerAusschussfürBankenaufsicht:ManagementoperationellerRisiken Praxis empfehlungenfürbankenundbankenaufsicht,februar2003 Bundesanstalt für Finanzdienstleistungsaufsicht: Solvency II, Webseite, Einsicht nahme Annex1SolvencyIItimetable,EUWebseite PIC/S:GuidetoGoodManufacturingPracticeforMedicinalProducts,Annexes,PE 0098,15.Januar2009 PIC/S:GoodPracticesforComputerisedSystemsinRegulated GxP Environments, PI0113,25.September2007 GAMP 5: A RiskBased Approach to Compliant GxP Computerized Systems, Einsichtnahme Masing, Walter (Hrsg.): Handbuch Qualitätsmanagement, 3. Auflage, Carl Hanser Verlag,1994 Suzaki,Kiyoshi:DieungenutztenPotentiale,CarlHanserVerlag,1994 DeMarco,Tom:StructuredAnalysisandSystemSpecification,NewYork,Yourdon Press,1978 BundesamtfürSicherheitinderInformationstechnik:HinweisezurräumlichenEnt fernungzwischenredundantenrechenzentren,datumsfreiepdfunterlage,eingese henam5.oktober2006 TheFederalReserveBoard:ExaminationManualforU.S.BranchesandAgenciesof ForeignBankingOrganizations,September1997 Müller, KlausRainer: BiometrieUpdate 2009 Verfahren, Trends, Chancen und Risiken Teil2,hakin9,5/2009 Kaplan,RobertS.,Norton,DavidP.:BalancedScorecard,SchäfferPoeschel,1997 Kamiske, Gerd F. und Brauer, JörgPeter: Qualitätsmanagement von A bis Z, Carl HanserVerlag,1993 Müller, KlausRainer: In oder Out? Sourcing mit System, geldinstitute, 3/2004, S.32ff. European Communities: Guidelines on best practices forusing electronic informa tion,1997 VanBogart,JohnW.C.:MediaStability,NationalMediaLaboratory,1996 Informationweek:Die21StufenzurDatensicherheit,Informationweek,13/2000

20 20LiteraturundQuellenverzeichnis 453 [44] StorageNetworkingIndustryAssociation(SNIA):CommonRAIDDiskDataFormat Specification,revision ,DraftforMembershipVote,6.Juli2004 [45] RAIDAdvisoryBoard:RABClassificationForDiskSystems,19.November1997, [46] AuspexSystems:AStorageArchitectureGuide,WhitePaper [47] Lange,Rolf:SpeicherkonzeptemitvielFeingefühlfusionieren,ntz,11/2002,S.48ff. [48] Török,Elmar:EntwicklungderSpeicherkomponenten,lanline,2/2003,S.42ff. [49] Storage Networking Industry Association (SNIA): Storage Management Initiative Specification,Version1.4.0,Revision4,3.April2009 [50] J.Satran,K.Meth,IBM,C.Sapuntzakis,CiscoSystems,M.Chadalapaka,Hewlett Packard Co., E. Zeidner, IBM: Internet Small Computer Systems Interface (iscsi), RFC3720,April2004 [51] M.Rajagopal,E.Rodriguez,R.Weber:FibreChanneloverTCP/IP(FCIP),RFC3821, Juli2004 [52] Lange,Christoph:TrendsimSpeicherbereich,LANline,5/2007,S.52ff. [53] StorageNetworkingIndustryAssociation(SNIA):SNIAStorageSecurity,BestCur rentpractices(bcps)version2.1.0, [54] Sherman,Larry:Stratus ContinuousProcessing Technology,2003 [55] Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (ITSEC),Bundesanzeiger,Stand:Juni1991 [56] Neuber,Dirk:LösungfürunterschiedlicheBrandrisiken,WIK2/2005,S.43ff. [57] Müller, KlausRainer: BiometrieUpdate 2009 Verfahren, Trends, Chancen und Risiken Teil1,hakin9,4/2009 [58] BBCNews:Warningoverpasswordsecurity,24.Juni2002 [59] Medvinsky, Sasha und Lalwaney, Poornima: Kerberos V Authentication Mode for UninitializedClients,29.August2000, kerberos/sld000.htm [60] Cheswick,WilliamR.undBellovin,StevenM.:FirewallsundSicherheitimInternet, AddisonWesley,1996 [61] LibertyAllianceProject:BusinessBenefitsofFederatedIdentity,April2003 [62] LibertyAllianceProject:IntroductiontotheLibertyAllianceIdentityArchitecture, Revision1.0,März2003 [63] LibertyAllianceProject:LibertyIDFFArchitectureOverview,Version1.2 [64] LibertyAllianceProject:PrivacyandSecurityBestPractices,Version2.0,November 12,2003 [65] Federal Information Processing Standards Publication 197 (FIPSPUBS197): Ad vancedencryptionstandard(aes),26.november2001 [66] Baldwin,R.undRivest,R.:RFC2040,TheRC5,RC5CBC,RC5CBCPad,andRC5 CTSAlgorithm,Oktober1996,Category:Informational [67] Callas,J., Donnerhacke,L., Finney,H., Thayer,R.: RFC2440, OpenPGP Message Format,November1998 [68] Gutmann,Peter:SecureDeletionofDatafromMagneticandSolidStateMemory,6. USENIXSecuritySymposiumProceedings,22.25.Juli1996 [69] Sikora, Axel: NetzwerkSicherheit, in ITSecurity, tecchannel compact, 2/2003, S.100ff. [70] Farmer,DanundVenema,Wietse:TheCoroner stoolkit,