Normierte Informationssicherheit durch die Consultative Informationsverarbeitung INAUGURALDISSERTATION zur Erlangung des akademischen Grades eines Doktors der Wirtschaftswissenschaften an der Wirtschaftswissenschaftlichen Fakultät der Julius-Maximilians-Universität Würzburg vorgelegt von Diplom-Kaufmann Andreas Gabriel aus Werneck Würzburg 2010
Inhaltsverzeichnis 1 Sicherheit - die Geißel des 21. Jahrhunderts? 1 1.1 Relevanz und Notwendigkeit der Informationssicherheit 3 1.2 Definition der Zielgruppe 6 1.3 Beschreibung der Vorgehensweise 7 1.4 Aufbau der Arbeit 9 2 Grundlegende Begriffe 15 2.1 Norm oder Standard? 15 2.1.1 Ausprägungen von Standards 15 2.1.2 Norm 17 2.1.3 Normungsgremien 18 2.1.4 Internes und externes Audit 19 2.1.5 Zertifizierung 20 2.1.6 Normierung und Vereinheitlichung 21 2.2 Wichtige Begriffe im Bereich Sicherheit 21 2.2.1 Entstehung des menschlichen Sicherheitsbedürfnisses 22 2.2.2 IT und IT-Sicherheit 23 2.2.3 Schwachstelle, Bedrohung, Risiko und Wahrscheinlichkeit 24 2.2.4 Organisatorische Sicherheit 26 2.2.5 Compliance 26 2.2.6 Ganzheitliche Betrachtung der Informationssicherheit 28 2.3 Wissen und Expertensysteme 30 3 Wissensbasierte Systeme 35 3.1 Von der sequentiellen zur regelbasierten Programmierung 35 3.2 Historische Entwicklung Wissensbasierter Systeme 38 3.3 Grundsätzliche Funktionsweise 40 3.4 Unterschiedliche Ausprägungen Wissensbasierter Systeme 42 3.4.1 Semantische Netze 46 3.4.2 Künstliche Intelligenz 49 3.4.3 Wissensbasierte- bzw. Expertensysteme 52 3.4.4 Neuronale Netze 56
4 Consultative Informationsverarbeitung 59 4.1 Von der Funktions- zur Fallorientierung 60 4.1.1 Funktionsorientierung in der unternehmerischen Praxis 61 4.1.2 Funktionsorientierung in der öffentlichen Verwaltung 61 4.2 Definition und Beschreibung 62 4.2.1 Notwendigkeit und Existenzberechtigung 65 4.2.2 Potentiale und Erfolgschancen 66 4.2.3 Grenzen und potentielle Hindernisse 70 4.3 Erstellung und Wartung eines CFV-Systems 71 4.3.1 P H A S E I: Umgang mit dem Produktionsfaktor Wissen 72 4.3.2 P H A S E II: Definition geeigneter Wissensquellen 73 4.3.3 PHASE III: System-Architektur 73 4.3.4 P H A S E IV: Entwicklung der eigentlichen Wissensbasis 75 4.3.5 P H A S E V: Fragesystem für die Inferenzmaschine 76 4.3.6 P H A S E VI: Einsatz der CIV 77 4.3.7 PHASE VII: Weiterentwicklung, Wartung und Pflege 78 4.3.8 PHASE VIII: Arbeit des Knowledge-Engineers 78 5 Mittelstand - Stellenwert und Charakterisierung 81 5.1 Abgrenzungsmöglichkeiten KMU - Großbetrieb 81 5.1.1 Quantitativ 81 5.1.2 Qualitativ 82 5.1.3 Definition für diese Arbeit 83 5.2 Besonderheiten im Mittelstand 84 5.2.1 Arbeitsverteilung 85 5.2.2 Notwendigkeit der Informationssicherheit 89 5.3 Anforderungen und Notwendigkeiten der Informationssicherheit 94 5.4 Umsetzung im Rahmen der CIV 97 6 Ein Mindestmaß an Sicherheit 101 6.1 Obligatorische Schutzmaßnahmen 102 6.1.1 Organisatorische Sicherheit 104 6.1.2 Technische Sicherheit 107 6.2 Weiterführende Schutzmaßnahmen 114
6.3 Wer trägt die Verantwortung im Bereich Sicherheit? 116 6.4 Umsetzung im Rahmen der CIV 118 7 Sicherheitskennzahlen 121 7.1 Grundlagen 122 7.2 Return On Investment 126 7.3 Return On Security Investment 127 7.4 Umsetzung eines Kennzahlenssystems 128 7.4.1 Kategorie I: Nur bei Veränderung zu betrachten 128 7.4.2 Kategorie II: Regelmäßig zu analysierende Kennzahlen 131 7.5 Umsetzung im Rahmen der CIV 138 8 Sicherheitsrechtliche Rahmenbedingungen 141 8.1 Grundlegende Betrachtung 141 8.2 Vorgaben aus deutschem Recht 142 8.2.1 Gesellschaftsrecht 142 8.2.2 Gesetz zur Kontrolle und Transparenz im Unternehmensbereich 143 8.2.3 Datenschutzrecht 145 8.3 Selbstverpflichtungsvorgaben von Berufsständen 147 8.3.1 Basel II 147 8.3.2 Institut der Wirtschaftsprüfer 148 8.4 Sarbanes Oxley Act 150 8.5 EuroSOX 150 8.6 Umsetzung im Rahmen der CIV 151 9 Notwendigkeiten, in die eigene Sicherheit zu investieren 155 9.1 Vergleich Sicherheitszertifizierung vs. DIN EN ISO 9001:2008 155 9.2 Gründe für eine Sicherheitszertifizierung 156 9.2.1 Automobilbranche 157 9.2.2 Öffentliches Gesundheitswesen 159 9.2.3 De-Mail 161 9.3 Umsetzung im Rahmen der CIV 162 10 Sicherheitsstandards und -normen 165 10.1 IT-Grundschutz des BSI 166
10.2 Normenreihe ISO 2700x 169 10.3 Information Technology Infrastructure Library : 175 10.4 Control Objectives for Information and related Technology 177 10.5 Weiterführende Sicherheitsansätze 179 10.6 Gegenüberstellung und Bewertung 183 10.7 Umsetzung im Rahmen der CIV 189 11 Informationssicherheitsmanagementsystem 193 11.1 Modellhafte Umsetzung 193 11.2 Charakterisierung 197 11.3 Definition wichtiger Projektschritte 200 11.3.1 Definition des Anwendungsbereichs 202 11.3.2 Basisdokumente 203 11.3.3 Erklärung zur Anwendbarkeit 207 11.4 Implementierung der Vorgehensweise,Plan-Do-Check-Act' 208 11.5 Projektteam und-ablauf 211 11.5.1 Zusammenstellung des Projektteams 212 11.5.2 Projektplanung 213 11.6 Umsetzung im Rahmen der CIV 219 12 Risikomanagement 221 12.1 Wichtige Definitionen 224 12.2 Durchführung einer Risikoanalyse 226 12.2.1 Erfassung der Unternehmenswerte 228 12.2.2 Analyse der Unternehmenswerte 231 12.2.3 Risikobewertung 233 12.2.4 Strategieauswahl 237 12.2.5 Bedrohungen und Schwachstellen 239 12.2.6 Sicherheitsmaßnahmen 243 12.2.7 Qualitätssicherung 244 12.2.8 Restrisiko ; 247 12.3 Einbeziehung der Fachabteilungen 248 12.4 Umsetzung im Rahmen der CIV 253
13 Umsetzung im Rahmen der CIV 257 13.1 Technische Basis 257 13.2 Fragenbasis 260 13.2.1 Eindeutige Fragealternativen 261 13.2.2 Mathematische Antwortfindung 264 13.3 Konzeption der Fragekategorien 265 13.4 Fragen und Antwortalternativen/Abhängigkeiten/Ergebnisse 267 13.4.1 Fragen und Antwortalternativen 268 13.4.2 Abhängigkeiten 268 13.4.3 Ergebnisse 269 14 Management Summary 279 Anhang - Übersicht 285 1. Publikationen im Bereich der Informationssicherheit 287 2. Umsetzung des PDCA-Zyklus 288 3. Meilensteine eines Zertifizierungsprojekts 290 4. C/I/A-Analyse bei einem KMU 291 5. BSI-Gefahrenkataloge (Auszug) 292 6. BSI-Maßnahmenkataloge (Auszug) 293 7. Erfassungsschema 294 8. Vorgehensweise bei der Zuordnung Unternehmenswert - Bedrohung 298 9. Beispielumsetzung eines Fragenkatalogs 300 10. Verknüpfung der einzelnen Fragen 304 Quellenverzeichnis 307 Abbildungsverzeichnis 327 Tabellenverzeichnis 329 Abkürzungsverzeichnis 331