Leserstimmen zum Buch.. IT-Sicherheit mit System" von Klaus-Rainer Müller:

Transkript

1 Leserstimmen zum Buch.. IT-Sicherheit mit System" von Klaus-Rainer Müller: "Sehr klar und ansprechend. Das beste Grundlagenbuch für den Management-Ansatz!" Prof. Dr. H. M. Winkels, FH Dortmund "j...jempfehle ich meinen Studenten, weil es eines der wenigen Bücher zur Sicherheit ist, das gut strukturiert ist." Prof. Dr.-/ng. Damian Weber, HTW Saarbrücken,,* * * * * Das Buch "IT-Sicherheit mit System" trifft genau meinen Geschmack. Es ist sachlich und verzichtet auf unnötige Angstmacherei, ohne dabei Sicherheitslücken zu beschönigen. Sehr strukturiert, methodisch, und auf dem notwendigen Abstraktionslevel wird auf die Bedürfnisse der Zielgruppe j... / eingegangen. j...j Der Autor hat offensichtlich genug Praxiserfahrung, um zu sehen, worauf es ankommt." Amazon-Kunde, Darmstadt

2 Aus dem Bereich IT erfolgreich nutzen Grundkurs JAVA von Dietmar Abts Grundkurs MySQL und PHP von Martin Pollakowski Die Kunst der Programmierung mltc++ von Martin Aupperle Requlrements-Englneerlng effizient und verständlich von Emmerich Fuchs, Karl Hermann Fuchs und Ghristian H. Hauri Rechnerarchitektur von Paul Herrmann Efflclent SApe R/3 -Data Archlvlng von Markus Korschen Grundkurs Verteilte Systeme von Günther Bengel Erfolgreiche Datenbankanwendung mltsql von Jörg Fritze und Jürgen Marsch Wlreless LAN In der Praxis von Peter Klau Exchange Server - Installieren, konfigurieren, administrieren, optimieren von Thomas Joos Terminalserver mit Cltrlx Metaframe XP von Thomas Joos Web-baslerte Systemintegration von Harry Marsh Sneed und Stephan S. Sneed IT-Projekte strukturiert realisieren von Ralph Brugger C#.NEl mit Methode von Heinrich Rottmann Visual Basic.NEl mit Methode von Heinrich Rottmann Warum ausgerechnet.nel? von Heinrich Rottmann SAP APO" In der Praxis hrsg. von Matthias Bothe und Volker Nissen Web-Programmlerung von Oral Avcl, Ra lph Trittmann und Werner Mellis ProfIkurs PHP-Nuke von Jens Ferner Profi kurs Ecllpse 3 von Gottfried Wolmeringer Profi kurs ABApe von Patrick Theobald SAP R/3" Kommunikation mit RFC und Vlsual Basic von Patrick Theobald Projektmanagement der SW-Entwlcklung von Werner Mell is Praxis des IT-Rechts von Horst Speichert IT-8lcherhelt - Make or Buy von Marco Kleiner, Lucas Müller und Mario Köhler Management der Software-Entwlcklung von Garl Steinweg Unternehmensweites Datenmanagement von Rolf Dippold, Andreas Meier, Walter Schnider und Klaus Schwinn Mehr IT-8lcherheltdurch Pen-Tests von Enno Rey, Michael Thumann und Dominick Baier 1T-8lcherhelt mit System von Klaus-Rainer Müller Handbuch Unternehmenssicherheit von Klaus-Rainer Müller

3 Klaus-Rainer Müller Handbuch Unternehmenssicherheit Umfassendes Sicherheits-, Kontinuitätsund Risikomanagement mit System Mit 26 Abbildungen IJ vleweg

4 Bibliografische Information Der Deutschen Bibliothek Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet iiber < abrufbar. Das vorliegende Buch wurde aus fachlicher, nicht aus juristischer Sicht geschrieben und nach bestem Wissen und Gewissen sowie mit grobter Sorgfalt erstellt und qualitiitsgesichert. Weder Autor noch Verlag konnen jedoch die Verantwortung oder Haftung fur Schiiden iibernehmen, die im Zusammenhang mit der Verwendung des vorliegenden Werkes und seiner Inhalte entstehen. Bei zitierten, erliiuterten oder iibersetzten Textpassagen, die aus Originaldokumenten stammen, gelten in Zweifelsfiillen die Originaldokumente. Eine Haftung, Garantie oder Verantwortung fur die Inhalte und die Aktualitiit der in diesem Buch angegebenen Webseiten und Quellen kann nicht iibernommen werden. Der Umfang dieses Buches ist - im Gegensatz zur behandelten Thematik - begrenzt. Demzufolge erhebt das Werk keinen Anspruch auf VolIstiindigkeit. Rechte Dritter wurden - soweit bekannt - nicht verletzt. Fiir in diesem Werk genannte Markennamen, Warenbezeichnungen, Gebrauchsnamen, Handelsnamen etc. gelten, auch wenn sie nicht als solche gekennzeichnet sind, die entsprechenden Schutzbestimmungen und -rechte in ihrer jeweils aktuellen Fassung. 1. Auflage Oktober 2005 Alle Rechte vorbehalten Friedr. Vieweg & Sohn Verlag jgwv Fachverlage GmbH, Wiesbaden 2005 Softcover reprint of the hardcover 1 st edition 2005 Lektorat: Dr. Reinald Klockenbusch / Andrea BroBler Der Vieweg Verlag ist ein Unternehmen von Springer Science+Business Media. Das Werk einschlieslich aller seiner Teile ist urheberrechtlich geschutzt. Jede Verwertung auberhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlags unzulăssig und strafbar. Das gilt insbesondere fur Vervielfăltigungen, Ubersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Umschlaggestaltung: Ulrike Weigel, Gedruckt auf săurefreiem und chlorfrei gebleichtem Papier. ISBN ISBN (ebook) DOI /

5 Vorwort Die Problemstellung Die Lösung Die Reichweite der Lösung Das Handlungswissen Welches Ziel verfolgt dieses Buch? Effiziente Existenz- und Zukunftssicherung des Unternehmens sowie zielgerichtete Risikosteuerung sind entscheidende Managementaufgaben. Ihre Bedeutung wächst rasant aufgrund gesetzlicher Vorgaben wie KonTraG und Regularien wie Basel 11, Solvency 11 und MaRisk. Wirtschaftliches, transparentes und durchgängiges Sicherheits- und Risikomanagement sind gefordert. Trotz dieser hohen Bedeutung und der Haftungsrisiken weist die Sicherheits-/Risikosituation in Unternehmen Defizite auf, z. B. bei Zielen, Strategie, Struktur, Transparenz, Umsetzung und Effizienz. Hinzu kommt eine Fokussierung des Sicherheits- und Risikomanagements auf den Arbeitsschutz und den IT-Betrieb. Der Schutz der Geschäftsprozesse und der dazu benötigten Schutzobjekte wie z. B. Gebäude, Infrastruktur, Informations- und Kommunikationssysteme sowie Know-how wird oft vernachlässigt. Die Abhängigkeiten der Geschäftsprozesse voneinander und von ihrer Umwelt werden häufig unzulänglich beachtet. Die Integration der Sicherheit in den Lebenszyklus von Prozessen, Ressourcen und Produkten erfolgt oftmals nicht oder nur unzureichend. Daher habe ich die Sicherheitspyramide entwickelt. Sie berücksichtigt Prozesse, Ressourcen und Lebenszyklen und dient als systematisches Vorgehensmodell bei Aufbau und Weiterentwicklung des Sicherheits- und Risikomanagements. In ihren mehrdimensionalen Rahmen können Sie Sicherheitsthematiken "einklinken", so Defizite reduzieren und die Effizienz steigern. Die 1995 erstmals vorgestellte Sicherheitspyramide [1] lässt sich für die gesamte Palette von Sicherheitsthemen eines Unternehmens nutzen. Im Buch "IT-Sicherheit mit System" [2] wurde sie dreidimensional und im Hinblick auf die Sicherheit der EDV dargestellt. Hierauf aufbauend beschreibt sie das vorliegenden Buch unter dem Fokus der Unternehmens- und der Geschäftsprozesssicherheit einschließlich der IT -Sicherheit. Ich bezeichne sie hier daher als Unternehmenssicherheitspyramide, kurz USiPyr (USP), bzw. Geschäftsprozesssicherheitspyramide, kurz GeSiPyr (GSP). Das Buch bietet Ihnen durch die Struktur der Sicherheitspyramide das notwendige Handlungswissen, um das Unternehmen und seine Geschäftsprozesse entlang dem Lebenszyklus systematisch, anschaulich, effizient und ganzheitlich sowohl national als auch international auf die geforderte Sicherheit auszurichten. V

6 Chief Information Officers (CIO), IT-Leiter, IT Verantwortliche, Chief Information Security Officers (CISO), IT-Sicherheitsbeauftragte Chief Security Officers, Sicherheitsbeauftragte, Fachkräfte für Arbeitssicherheit, Notfallmanager Sicherheitsauditoren Risikomanager Leiter Organisation, Leiter Verwaltung, Bereichs/eiter Vorstände und Geschäftsfüh rer und Aufsichtsräte Wer sollte dieses Buch lesen? Der Titel sagt es bereits - das Buch richtet sich an Leserinnen und Leser, die sich direkt oder indirekt mit der Sicherheit des Unternehmens und dementsprechend mit dem Sicherheits- bzw. Risikomanagement außerhalb und innerhalb der IT befassen: Chief Information Officers sowie IT-Verantwortliche, die für die Informations- und Kommunikationstechnologie (luk) sowie für deren Sicherheit verantwortlich sind, ferner Chief Information Security Officers und IT-Sicherheitsbeauftragte, die für die Sicherheit der luk im Unternehmen sowie für deren zielgerichteten strategischen Aufbau verantwortlich sind, sollten wissen, wie das luk-sicherheitsmanagement in das Sicherheitsmanagement des Unternehmens integriert sein sollte, welche Zusammenhänge bestehen und wie es sich ganzheitlich, systematisch, strategisch und praxisorientiert aufbauen und steuern lässt Cs.a. "IT-Sicherheit mit System" [2]). Chief Security Officers, Sicherheitsbeauftragte, Fachkräfte für Arbeitssicherheit und Notfallmanager, die für die Sicherheit des Unternehmens insgesamt oder für Teile, z. B. die Arbeitssicherheit, verantwortlich sind, sollten wissen, wie das Sicherheitsmanagement ganzheitlich und strukturiert aufgebaut und weiter entwickelt werden kann. Sicherheitsauditoren, die die Sicherheit im Unternehmen prüfen und weiterentwickeln, sollten wissen, wie diese Prüfungen in das Sicherheitsmanagement eingebettet sind und wie sie durchgeführt werden können. Risikomanager, die für das Risikomanagement im Unternehmen verantwortlich sind, sollten wissen, wie sich dieses anhand der Sicherheitspyramide strukturieren lässt. Leiter Organisation oder Verwaltung sowie Bereichsleiter, die für Geschäftsprozesse bzw. Organisationseinheiten verantwortlich sind, sollten wissen, wie sie ihre Sicherheitsanforderungen erheben und auf die Schutzobjekte abbilden sowie ihren Verantwortungsbereich absichern können. Vorstände und Geschäftsführer, die für die Sicherheit und das Risikomanagement im Unternehmen verantwortlich sind, sollten die Entwicklung der Bedrohungslage, die gesetzlichen Rahmenbedingungen und ihre persönlichen Haftungsrisiken kennen und wissen, wie das Sicherheitsmanagement durch Sicherheitspolitik, Sicherheitspyramide und Sicherheitsregelkreis zielgerichtet und effizienzorientiert gesteuert werden kann. Auch Aufsichtsräte sollten ihr Haftungsrisiken k ennen. VI

7 Fragen, die das Buch beantwortet Checklisten, Verzeichnisse, das Kapitel für Eilige und Zusammenfassungen verschaffen schnell gezielten Nutzen Wie können Sie dieses Buch nutzen? Das vorliegende Buch beantwortet Ihnen die folgenden Fragen "Wie kann ich... "... mir einen Überblick über Trends bei Bedrohungen und Schutzbedarf sowie häufige Schwachstellen verschaffen?... das Sicherheits- und Risikomanagement zielorientiert, ganzheitlich und systematisch aufbauen?... mir einen schnellen Überblick über das Sicherheitsmanagement anhand der Sicherheits pyramide verschaffen?.. eine Sicherheits- und Risikopolitik aufbauen?... Sicherheitsziele bzw. Sicherheitsanforderungen ermitteln?... Sicherheitsziele auf die Schutzobjekte abbilden?... eine umfassende Sicherheitsarchitektur konzipieren?.. Sicherheitsrichtlinien aufstellen?... Sicherheitskonzepte entwickeln?... die Themen Prozesse, Ressourcen und Organisation in das Sicherheitsmanagement integrieren?... die Sicherheitsschalen transparent gestalten?... das Berechtigungsmodell anschaulich darstellen?... den Lebenszyklus von Prozessen, Ressourcen, wie z. B. Systemen, und Produkten sowie Leistungen berücksichtigen?... Sicherheitsprüfungen durchführen?... den Status des Sicherheitsmanagements verfolgen und steuern?... den Sicherheits(management)prozess konzipieren? Sie können das Buch außerdem als Nachschlagewerk verwenden, indem Sie die bereitgestellten Checklisten, das Verzeichnis über Gesetze, Vorschriften, Standards und Normen, das Glossar und Abkürzungsverzeichnis sowie das Sachwortverzeichnis nutzen. Kapitel 2 bietet Eiligen einen ersten schnellen Überblick. Sie können das Buch insgesamt oder nur ausgewählte Kapitel lesen. Die Einleitungen der Kapitel geben Ihnen einen Überblick über die jeweils behandelten Themen. Die Zusammenfassungen am Kapitelende sind für den "Schnelldurchlauf' gedacht. Außerdem können Sie sich anhand der illustrierenden Abbildungen die Sachverhalte vor Augen führen oder die Checklisten, Gliederungen und Tabellen nutzen, um den Einstieg in die Sicherheitsthematik zu beschleunigen. VII

8 Sicherheitsmanagement: nur jür Großunternehmen? 5icherheitsmanagement jürjede Unternehmensgröße Kleine und mittlere Unternehmen (KMUs) Kennen Sie Ihre Risiken? Für welche Unternehmensgröße eignet sich der Buchinhalt? Die vorangegangenen Ausführungen deuten bereits an, dass die hier vorgestellte Vorgehensmethodik einem ganzheitlichen Ansatz folgt. Dies erweckt leicht den Eindruck, dass sie nur für mittlere und große Unternehmen geeignet ist. Ist dies tatsächlich so? Ich denke: nein. Gesetze, Verordnungen, Standards und Normen gelten meist für alle Unternehmensgrößen. Der Unterschied zwischen großen und kleinen Unternehmen liegt häufig darin, dass sich Umfang, Detaillierungsgrad, Sicherheits- und Regelungsbedarf unterscheiden. Während Sie bei größeren Unternehmen unterschiedliche Standorte, mehrere Gebäude, verschiedenartige Produktionsanlagen, differenzierte Verantwortlichkeiten, vielfältige und zum Teil komplexe IT-Infrastruktur sowie eigene Softwareentwicklung finden, nehmen die Komplexität und die Sicherheitsanforderungen bei kleineren Unternehmen oftmals ab, sind aber vorhanden. Jedes Unternehmen sollte sich daher Gedanken über Sicherheitsbedarf und Risikofreudigkeit machen. Ein häufig auch für kleine und mittlere Unternehmen (KMUs) erforderlicher zusätzlicher Regelungs- und Schutzbedarf wird so manches Mal übersehen und führt dann zu unliebsamen Folgen. Zwar ist es für viele Unternehmen selbstverständlich, dass der Zutritt zu den Räumlichkeiten geschützt ist, dass das Verhalten in Notfällen und Räumungspläne dokumentiert sind, dass Feuerlöscher gewartet und Lizenzen eingehalten werden und dass Vereinbarungen zur Geheimhaltung, zum Datenschutz und zum Surfen existieren. Auch Datensicherungen und Virenscanner gehören quasi zum Standard, ebenso wie Firewalls und Spam-Filter. Doch ist bekannt, welche Folgen der Ausfall eines Geschäftsprozesses, einer Produktionsanlage, der R äumlichkeiten, der IT, der Telefonanlage oder eines Service-Gebers hat und in welcher Kosten-Nutzen -Relation entsprechende Sicherheitsmaßnahmen stehen? Was dürfen Ihre Mitarbeiter? Kennen die Verantwortlichen gesetzliche Anforderungen und ihre Haftungsrisiken? We r den Datensicherungen an einen sicheren Ort ausgelagert und ihre Lesbarkeit geprüft? Werden Virenscanner aktuell gehalten? Betreiben Sie eine Zugegebenermaßen: Fragen über Fragen und noch längst nicht angemessene alle. Doch ihre Beantwortung liefert einen Beitrag zur Risikolage Unternehmens- und durch entsprechende oftmals einfache Umsetzung in der sicherung? Folge zur Unternehmens- und Existenzsicherung. G eringere Komplexität und Anforderungsfülle bei kleinen Unternehmen führen so zu einem schlankeren Sicherheitsmanagement, das aber nichtsdestotrotz ganzheitlich, systematisch und unternehmensbezogen v ollständig sein sollte. VIII

9 Kapitell: Ausgangssituation und Zielsetzung Kapitel 2: Überblick Kapitel ): 10 Schritte Kapitel 4: Definitionen Kapitel 5: Sicherheits- und Risikomanagement Kapitel 6: Sicherheitspyramide Kapitel 7-15: Elemente der Sicherheitspyramide: Hierarchie, Prozesse, Ressourcen und Organisation, Lebenszyklen und Regelkreis Wie ist dieses Buch aufgebaut? Kapitel 1 geht auf die Ausgangssituation und Entwicklungstrends bei Bedrohungen und Schutzbedarf sowie die Sicherheitssituation in Unternehmen ein. Ferner erläutert es die Notwendigkeit für ein systematisches und strategisches Sicherheitsmanagement. Für Eilige gibt Kapitel 2 einen kurzgefassten Überblick über die Inhalte der Sicherheitspyramide. Kapitel 3 nennt Ihnen kurz und prägnant 10 Schritte zum Sicherheitsmanagement. Kapitel 4 stellt verschiedene Begriffe und Definitionen aus dem Sicherheits- und Risikomanagement vor, die in diesem Buch verwendet werden. Es behandelt u. a. ingenieurmäßige Sicherheit, Ressourcen, Schutzobjekte und -subjekte sowie Sicherheitskriterien, Business Impact Analysis, Geschäftskontinuität (Business Continuity), Sicherheits- und Risikodreiklang sowie Risikomanagement. Kapitel 5 erläutert den Zusammenhang zwischen Sicherheitsund Risikomanagement. Es stellt den Bezug zu HGB, GoBS, FAlT 1, BDSG sowie zum Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) sowie zu Basel 11 her. Kapitel 6 gibt eine zusammenfassende Beschreibung des Aufbaus und der Inhalte der dreidimensionalen Sicherheitspyramide des Autors. Die Kapitel 7 bis 15 erläutern die einzelnen Elemente der Sicherheitspyramide. Entsprechend der pyramidenförmigen Darstellung nimmt der Umfang und Detaillierungsgrad der Sicherheitspyramide in der Praxis von Ebene zu Ebene zu. Zuerst wird der hierarchische Aufbau beschrieben. Er beginnt bei der Sicherheitsund Risikopolitik, gefolgt von der Ebene der Sicherheitsziele und -anforderungen mit Schutzbedarfsklassen, Schutzbedarfsanalyse für Prozesse und Ressourcen und den vielfältigen extern vorgegebenen Sicherheitsanforderungen. Der anschließende Transformationsvorgang mit dem Haus zur Sicherheit ("House of Health, Safety and Security") wandelt die Sicherheitsanforderungen in Sicherheitscharakteristika der genutzten Ressourcen und Prozesse. Die Architektur liefert die Basis für die Richtlinien, Konzepte und Maßnahmen und wird in diesem Buch daher ausgiebig behandelt. Sie umfasst prinzipielle Sicherheitsanforderungen und Bedrohungen, Strategien, Prinzipien und Sicherheitselemente sowie die Kern-, Support- und Begleitprozesse. Dem Architekturkapitel folgen die Sicherheitsrichtlinien mit prinzipiellen Beispielen, die Sicherheitskonzepte und -maßnahmen. IX

10 Kapitel 16: Reifegradmodell des Autors Kapitell Z Sicherheitsmanagementprozess des Autors Gesetze, Normen, Literatur, Glossar, Sachwörter, Autor Generisches Maskulinum Ressourcen und Schutzobjekte Struktur der Kapitel: Einführung, Unterkapitel, Hilfsmittel, Praxisbeispiele, Zusammenfassung Prozessuale, ressourcenbezogene (z. B. technologische und personelle) sowie organisatorische Aspekte runden die Beschreibung der hierarchischen Ebenen der Sicherheitspyramide ab. Es folgt die Darstellung des Lebenszyklus von Prozessen, Ressourcen, wie z. B. IT-Systemen, und Produkten. Kapitel 15 enthält die Erläuterung des Sicherheitsregelkreises von der Beschreibung verschiedener Methoden für Sicherheitsprüfungen bis hin zum Controlling und Berichtswesen. Kapitel 16 erläutert Reifegradmodelle sowie das vom Autor konzipierte Reifegradmodell der Sicherheit, mit dem sich der Leser einen ersten Überblick über den Reifegrad des Sicherheitsmanagements im eigenen Unternehmen verschaffen kann. Kapitel 17 beschreibt - ausgehend von der Sicherheitspyramide - den vom Autor konzipierten Sicherheitsmanagementprozess, durch den das Sicherheitsmanagement geplant, aufgebaut, betrieben, geprüft, weiter entwickelt und am Leben gehalten wird. Den Abschluss des Buches bilden das Abbildungs- und Markenverzeichnis, das Verzeichnis über Gesetze, Vorschriften, Standards und Normen sowie das Literatur- und Quellenverzeichnis. Nach dem Glossar und Abkürzungs- sowie dem Sachwortverzeichnis folgen im letzten Kapitel Informationen über den Autor. In diesem Buch wird zur besseren Lesbarkeit das generische Maskulinum, d. h. die männliche Form, verwendet, auch wenn beide Geschlechter gemeint sind. In späteren Kapiteln finden Sie die Begriffe Ressourcen und Schutzobjekte. Nur aus Gründen der Systematik ordne ich diesen Begriffen auch Menschen (Human Resources), d. h. Personen, zu. Dies erfordert nach wie vor einen humanen Umgang und das Bewusstsein für die außerordentlichen menschlichen Fähigkeiten. Ungeachtet dieser Systematik können Sie für sich selbst entscheiden, Personen als eigenständiges Element aufzunehmen. Welche Struktur haben die Kapitel? Die Kapitel enthalten - sofern sinnvoll - eine Einführung und einleitende Darstellung der jeweils folgenden Unterkapitel. Im Anschluss an die thematischen Beschreibungen in den Unterkapiteln finden Sie verschiedentlich praxisorientierte Hilfsmittel, z. B. Checklisten und Vorgehenselemente, die den erstmaligen Aufbau unterstützen und zum Gegencheck bei bereits etablierten Sicherheitsmanagementsystemen dienen können. Verschiedene aus und für die Praxis angepasste Beispiele veranschaulichen die jeweilige Thematik. Eine Zusammenfassung bildet den Abschluss insbesondere größerer Kapitel. x

11 Abbildung und Tabellen Familie Müller Lektorat Vieweg-IT Abbildungen und Tabellen visualisieren und strukturieren die Texte und machen sie transparent. Was bedeuten die Piktogramme? Dieses Zeichen kennzeichnet Informationen, die z. B. aus der Presse stammen. Abschnitte, in denen Erlebnisse des Autors dargestellt sind, werden durch dieses Zeichen hervorgehoben. Sie dienen der Illustration der jeweiligen Kapitel und stellen den Praxisbezug her. Dieses Zeichen macht Tipps kenntlich. Was ist neu gegenüber "Il-Sicherheit mit System"? Das vorliegende Buch baut auf dem Buch "IT-Sicherheit mit System", 2. Auflage, auf. Seine Gliederungsstruktur ist aufgrund der Sicherheitspyramide weitgehend identisch. Es nutzt die Inhalte aus "IT-Sicherheit mit System" und weitet sie auf das Gesamtunternehmen aus, wodurch der Buchumfang deutlich gewachsen ist. Außerdem sind dadurch u.a. folgende Themen hinzugekommen bzw. werden umfangreicher behandelt: Neu sind das Kapitel Sicherheits- und Risikomanagement sowie Arbeitsschutzmanagement, Einbruchs- und Brandschutz Zum Teil deutlich erweitert sind die Unterkapitel externe Sicherheitsanforderungen, Datenschutz- und Risikomanagement, Prozessauslagerung (Outsourcing), Transportsicherung, Zutrittsschutz, Übertragungssicherung, Innovations- und Personalmanagement, Sicherheitsrichtlinien, die Kapitel Lebenszyklus und Reifegradmodell sowie das Glossar. Wem sage ich Dank? Auch dieses Buch entstand an langen Abenden, an Wochenenden und in Urlauben. Von daher bedanke ich mich bei meiner Familie, deren Toleranz für einen viel beschäftigten Ehemann und Vater ich stark beanspruchte. Meiner Frau, selbst Herausgeberin und Co-Autorin verschiedener Lexika und Bücher, danke ich erneut für wertvolle Hinweise. Ich bedanke mich bei meinen germanistisch und geschichtlich studierten sowie teils zeichnerisch-musikalisch aktiven Eltern und ihrer erfolgreichen Förderung. Sie macht sich an vielen Stellen dieses Buches positiv bemerkbar. Meinen Geschwistern danke ich für ihre Unterstützung. Dem Lektorat Vieweg-IT sage ich Dank und hier insbesondere Herrn Dr. Klockenbusch für seine konstruktiven Hinweise und Vermarktungsideen. XI

12 ACGGmbH Leser von "IT-Sicherheit mit System" Herrn G. Neidhöfer, Geschäftsführer der ACG Automation Consulting Group GmbH in Frankfurt, einer renommierten Unternehmensberatung, danke ich, weil er meine Ambitionen als Fachautor, die sich bisher in verschiedenen Artikeln und einem Buch niedergeschlagen haben, stets unterstützt hat. Nicht zuletzt danke ich den vielen Lesern meines Buches "IT Sicherheit mit System", deren Feedback mich bestätigt und zu weiterem Schreiben angeregt hat. Wem ist dieses Buch gewidmet? Für meine Familie, meine Eltern und Geschwister. Was ist sicher? Eins ist sicher: Nichts ist sicher. Lesbarkeit und Zielsetzung Ihr konstruktives Feedback ist gefragt (01. August Dr.-Ing. Klalts-Rainer lhüller) Was können Sie tun? Ein weiterer für Sie wichtiger Aspekt ist die Lesbarkeit und Zielsetzung des Buches. Ist es eher wissenschaftlich trocken, oder gut lesbar und mit praktischen Beispielen und Tipps gewürzt? Ich selbst habe mir vorgenommen, ein fundiertes, aber gleichzeitig schlankes Buch zu schreiben, das praxisorientiert auf dem Modell der Sicherheitspyramide aufbaut, dabei einen wissenschaftlichen Beitrag zum Sicherheits- und Risikomanagement liefert und außerdem verständlich und leicht lesbar ist. Ich hoffe, das ist mir mit dem vorliegenden Buch gelungen. Beurteilen werden dies letztendlich Sie, die Leser, auf deren konstruktive Kritik ich mich unter dem von meinem Vater, einem international renommierten Germanisten, in seinem Gegenwort Wörterbuch angegebenen leicht abgewandelten Motto freue: Wenn Ihnen dieses Buch gerillt, sagen Sie es weiter, wenn nicht, sagen Sie es mir. In diesem Sinne wünsche ich Ihnen eine spannende, interessante und weiterführende Lektüre. Groß-Zimmern, im August 2005 Weitere Informationen des Autors finden Sie zum Zeitpunkt der Drucklegung unter XII

13 Inhaltsverzeichnis 1 Ausgangssituation und Zielsetzung Ausgangssituation Bedrohungen Schwachstellen Schutzbedarf und Haftung Zielsetzung des Sicherheits- und Risikomanagements Lösung Zusammenfassung Kurzfassung und Überblick für Eilige Schritte zum Sicherheitsmanagement Definitionen zum Sicherheits- und Risikomanagement Sicherheitsmanagement Ingenieurmäßige Sicherheit - (Occupational) Health, Safety and Security Engineering Sicherheits pyramide Sicherheitspolitik Lebenszyklus Ressourcen, Schutzobjekte und -subjekte sowie -klassen Sicherheitskriterien Geschäftseinflussanalyse (Business Impact Analysis) Geschäftskontinuität (Business Continuity) Sicherheit und Sicherheitsdreiklang Risiko und Risikodreiklang Risikomanagement Zusammenfassung XIII

14 Sicherheits- und Risikomanagement Sicherheitsmanagementanforderungen Risikomanagementanforderungen Risikomanagement Sicherheitsmanagement Zusammenfassung Die Sicherheitspyramide - Strategie und Vorgehensmodell Überblick Sicherheitshierarchie Sicherheits- und Risikopolitik Sicherheitsziele / Sicherheitsanforderungen Sicherheitstransformation Sicherheitsarchitektur Sicherheitsrichtlinien - Generische Sicherheitskonzepte Spezifische Sicherheitskonzepte Sicherheitsmaßnahmen PROSim Prozess-, Ressourcen-, Produkt-, Leistungslebenszyklen Geschäfts-, Support- und Begleitprozess-Lebenszyklus Ressourcenlebenszyklen Dienstleistungs- und Produktlebenszyklen Sicherheits regelkreis Sicherheitsmanagementprozess Zusammenfassung Sicherheits- und Risikopolitik Zielsetzung Umsetzung Inhalte Checkliste Praxisbeispiel Sicherheits- und Risikopolitik Zusammenfassung XIV

15 8 Sicherheitsziele/Sicherheitsanforderungen Schutzbedarfsklassen Schutzbedarfsanalyse Prozessarchitektur und Prozesscharakteristika Externe Sicherheitsanforderungen Geschäftseinflussanalyse (Business Impact Analysis) Betriebseinflussanalyse (Operational Impact Analysis) Tabelle Schadensszenarien Praxis beispiele Schutzbedarf der Prozesse Betriebseinflussanalyse Schutzbedarfsklassen Zusammenfassung Sicherheitstransfonnation Haus zur Sicherheit - "House of Occ. Health, Safety and Security" (HHSS) "Occ. Health, Safety and Security Function Deployment" Transformation der Anforderungen auf Sicherheitscharakteristika DetailIierung der Sicherheitscharakteristika Abbildung der Charakteristika auf den Lebenszyklus Schutzbedarfsklassen Praxisbeispiele Zusammenfassung Sicherheitsarchitektur Überblick Prinzipielle Sicherheitsanforderungen Prinzipielle Bedrohungen xv

16 XVI 10.4 Strategien und Prinzipien Risikostrategie Sicherheitsstrategie Prinzip der Wirtschaftlichkeit Prinzip der Abstraktion Prinzip der Klassenbildung Poka-Yoke-Prinzip Prinzip der Namenskonventionen Prinzip der Redundanz Prinzip des "aufgeräumten" Arbeitsplatzes Prinzip des "gesperrten" Bildschinns Prinzip der Eigenverantwortlichkeit Vier-Augen-Prinzip Prinzip der Funktionstrennung Prinzip der Sicherheitsschalen Prinzip der Pfadanalyse Prinzip des generellen Verbots Prinzip der Ausschließlichkeit Prinzip der minimalen Rechte Prinzip der minimalen Dienste Prinzip der minimalen Nutzung Prinzip der Nachvollziehbarkeit und Nachweisbarkeit Prinzip des "sachverständigen Dritten" Prinzip der Sicherheitszonen und des Closed-Shop-Betriebs Prinzip der Prozess-, Ressourcen- und Lebenszyklusimmanenz Prinzip der Konsolidierung Prinzip der Standardisierung Sicherheitselemente Prozesse im Überblick Konformitätsmanagement (Compliance Management) Arbeitsschutzmanagement (Oce. Health and Safety Management)181 Datenschutzmanagement (Privacy Management) Risikomanagement (Risk Management) Leistungsmanagement (Service Level Management) Finanzmanagement (Financial Management) Projektmanagement (Project Management) Qualitätsmanagement (Quality Management) Ereignismanagement CIncident Management) Problemmanagement (Problem Management) Änderungsmanagement (Change Management) Releasemanagement (Release Management) Konfigurationsmanagement (Configuration Management) Lizenzmanagement (Licence Management) Kapazitätsmanagement (Capacity Management) Wartungsmanagement (Maintenance Management)

17 Kontinuitätsmanagement (Continuity Management) Securitymanagement (Security Management) Architekturmanagement (Architecture Management) Innovationsmanagement (Innovation Management) Personalmanagement (Human Resources Management) Ressourcen im Überblick Organisation im Überblick Lebenszyklus im Überblick Hilfsmittel Sicherheitsarchitekturmatrix Zusammenfassung Sicherheitsrichtlinienl -standards - Generische Sicherheitskonzepte Übergreifende Richtlinien Sicherheit Kommunikation Prozesse Sourcing Fax IT-Benutzerordnung : Internet Kern-, Support-, Begleitprozesse (Managementdisziplinen) Datenschutzmanagement Sicherheits- und Risikomanagement Kapazitätsmanagement Kontinuitätsmanagement Securitymanagement Ressourcen Zutrittskontrollsystem Passwortspezifische Systemanforderungen Wireless LAN Organisation Zusammenfassung XVII

18 12 Spezifische Sicherheitskonzepte Prozesse Kontinuitätsmanagement Ressourcen Betriebssystem Zusammenfassung Sicherheitsmaßnahmen Ressourcen Betriebssystem: Protokoll Passworteinstellungen Zusammenfassung Prozess-, Ressourcen- und Produktlebenszyklen Prozesslebenszyklus Ressourcenlebenszyklus Beantragung Planung Fachkonzept, Anforderungsspezifikation Technisches Grobkonzept Technisches Feinkonzept Entwicklung Integrations- und Systemtest Freigabe Software-Evaluation Auslieferung Abnahmetest und Abnahme Software-Verteilung Inbetriebnahme Betrieb Außerbetriebnahme Hilfsmittel Phasen-Ergebnistypen-Tabelle Produkt- und Dienstleistungslebenszyklus Zusammenfassung XVIII

19 15 Sicherheitsregelkreis Sicherheitsprüfungen Sicherheitsstudie/ Risikoanalyse Penetrationstests IT-Security-Scans Sicherheitscontrolling Berichtswesen (Safety-Security-Reporting) Anforderungen Inhalte Safety-Security-Benchmarks HilfsmitteilT -Sicherheitsfragen Zusammenfassung '" Reifegradmodell des Sicherheitsmanagements Systems Security Engineering - Capability Maturity Model Information Technology Security Assessment Framework Security-Maturity-Modell Reifegradmodell nach Dr.-Ing. Müller Stufe 0: unbekannt Stufe 1: begonnen Stufe 2: konzipiert Stufe 3: standardisiert Stufe 4: integriert Stufe 5: gesteuert Stufe 6: selbst lernend Checkliste Reifegrad Praxisbeispiel Zusammenfassung XIX

20 Sicherheitsmanagementprozess Deming- bzw. PDCA-Zyklus Planung Durchführung Prüfung Verbesserung Zusammenfassung Abblldungsverzeichnis Markenverzeichnis Verzeichnis über Gesetze, Vorschriften, Standards, Normen Gesetze, Verordnungen und Richtlinien Deutsche Gesetze und Verordnungen Österreichische Gesetze und Verordnungen Schweizer Gesetze, Verordnungen und Richtlinien United Kingdom: Gesetze, Verordnungen und Richtlinien Europäische Richtlinien US-amerikanische Gesetze, Verordnungen und Richtlinien Ausführungsbestimmungen, Grundsätze, Vorschriften Standards, Normen, Leitlinien und Rundschreiben Uteratur- und Quellenverzeichnis Glossar und Abkürzungsverzeichnis Sachwortverzeichnis Ü1>er den Autor xx

21 frozesse ~ B.es~ourcen ~ Organisation Sim == Sicherheitsmanagement Sicherheit == Arbeits-. Betriebs- und An riffssicherheit Sicherheits(- und Risiko)pyramide IV nach Dr.-Ing. Müller bzw. Sicherheits(- und Risiko)managementpyramide IV nach Dr.-Ing. Müller XXI

22 frocesses Besources HSSM = Health, Safety and Security Management Risk, Health, Safety and Securlty Pyramid IV according to Dr.-Ing. Müller or Risk, Health, Safety and Securlty Management Pyramid IV according to Dr.-Ing. Müller XXII