IT-Risikomanagement - Thomas W. Harich - E-Book

IT-Risikomanagement E-Book

Thomas W. Harich

0,0
4,99 €

Beschreibung

Das IT-Risikomanagement bildet den Überbau über den Gesamtkomplex IT-Security-Management. Es handelt sich dabei um keine abgegrenzte Einzelaufgabe, sondern um eine Methodik, die in vielen Prozessen immer wieder auftaucht. Der Einfluss und die Methoden des IT-Risikomanagements durchziehen alle Teilbereiche des IT-Security-Managements. Für das Business Continuity Management sowie für die tägliche Arbeit und die implementierten Sicherheitsprozesse stellt es zudem eine entscheidende Grundlage dar. Dieses "mitp bit" hilt Ihnen, die Antworten auf die folgenden Fragen zu finden: - Existiert eine Richtlinie zum IT-Risikomanagement? Wurde die dort beschriebene Vorgehensweise mit den Methoden des Unternehmensrisikomanagements abgestimmt? - Liegen Aufzeichnungen und Dokumentationen vor, die die wichtigsten IT-Risiken für den Geschäftsbetrieb darstellen? - Ist das erforderliche Handwerkszeug für ein IT-Risikomanagement vorhanden? Liegt eine Klassifizierungsrichtlinie vor und sind die Mitarbeiter damit vertraut? Wurden Bedrohungslisten erstellt und entsprechende Maßnahmenvorschläge vorbereitet? Werden zumindest die wichtigsten Unternehmenswerte anhand der Klassifizierungsrichtlinie klassifiziert? - Werden IT-Prozesse auch über den Faktor Risikomanagement gesteuert?

Das E-Book können Sie in Legimi-Apps oder einer beliebigen App lesen, die das folgende Format unterstützen:

EPUB
MOBI

Seitenzahl: 85

Bewertungen
0,0
0
0
0
0
0



Inhaltsverzeichnis
Impressum
Einleitung
Kapitel 1: Umfang und Aufgabe des IT-Security-Managements
Kapitel 2: Organisation der IT-Security
Kapitel 3: IT-Compliance
Kapitel 4: Organisation von Richtlinie‌n
Kapitel 5: Betrieb der IT-Security
Kapitel 6: IT Business Continuity Management
Kapitel 7: IT-Notfallmanagement
Kapitel 8: Verfügbarkeitsmanagement
Kapitel 9: Technische IT-Security
Kapitel 10: IT-Risikomanagement‌
10.1 Kapitelzusammenfassung
10.2 Einführung
10.3 IT-Risikomanagement im Unternehmenskontext
10.4 Akzeptanz des IT-Risikomanagements
10.5 Operatives IT-Risikomanagement
10.5.1 Vorgehensweise
10.5.2 IT-Risikomanagementprozess
10.5.3 Übergeordnete Risikobetrachtung
10.5.4 Schwachstelle‌n
10.5.5 Bedrohungen
10.5.6 Zusammenspiel von Bedrohungen, Schwachstellen und Maßnahmen
10.5.7 Verhältnismäßigkeit‌
10.6 Schutzbedarfsfeststellung
10.6.1 Schutzziele‌
10.6.2 Schutzstufen‌
10.6.3 Prinzipien
10.6.4 Feststellung des Schutzbedarfs
10.6.5 Veränderung des Schutzbedarfs
10.6.6 Widersprüchliche Schutzziele
10.6.7 Schadensklassen
10.6.8 Abbildung des Datenflusses
10.6.9 Entscheidungsfindung auf Basis des Schutzbedarfs
10.7 IT-Risikomanagement Prozess
10.7.1 Risiken identifizieren
10.7.2 Risikoermittlung
10.7.3 Risikobewertung‌
10.8 Quantitative Darstellung von Risiken
10.8.1 Grundlagen der Risikoberechnun‌g
10.8.2 Risikoberechnung‌ im Beispiel
10.8.3 Risikomatrix
10.8.4 Risikokatalog‌
10.9 Risikobehandlung‌
10.9.1 Risiko akzeptieren‌
10.9.2 Risiko reduzieren‌
10.9.3 Risiko vermeiden‌
10.9.4 Risiko‌ auf Dritte verlagern
10.10 Maßnahmen definieren
10.10.1 Maßnahmentypen
10.10.2 Individuelle Maßnahmenkataloge
Kapitel 11: Sicherheitsmonitoring
Kapitel 12: IT-Security-Audit‌
Kapitel 13: Management von Sicherheitsereignissen und IT-Forensik
Kapitel 14: Kennzahlen‌
Kapitel 15: Praxis: Aufbau eines ISMS‌
Kapitel 16: Awareness‌ und Schulung‌

Thomas W. Harich

IT-Risikomanagement

Richtlinien, Dokumentation, Maßnahmen

Impressum

Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über <http://dnb.d-nb.de> abrufbar.

DIES IST EIN AUSZUG AUS:

ISBN 978-3-95845-275-62. Auflage 2018

www.mitp.de E-Mail: [email protected] Telefon: +49 7953 / 7189 - 079 Telefax: +49 7953 / 7189 - 082

© 2018 mitp Verlags GmbH & Co. KG

Dieses Werk, einschließlich aller seiner Teile, ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Dies gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.

Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften.

Lektorat: Sabine Janatschek Korrektorat: Petra Heubach-Erdmann Covergestaltung: Christian Kalkert, www.kalkert.de Bildnachweis Cover: fotolia.com/Vladittoelectronic publication: III-satz, Husby, www.drei-satz.de

Dieses Ebook verwendet das ePub-Format und ist optimiert für die Nutzung mit dem iBooks-reader auf dem iPad von Apple. Bei der Verwendung anderer Reader kann es zu Darstellungsproblemen kommen.

Der Verlag räumt Ihnen mit dem Kauf des ebooks das Recht ein, die Inhalte im Rahmen des geltenden Urheberrechts zu nutzen. Dieses Werk, einschließlich aller seiner Teile, ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheherrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Dies gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und Einspeicherung und Verarbeitung in elektronischen Systemen.

Der Verlag schützt seine ebooks vor Missbrauch des Urheberrechts durch ein digitales Rechtemanagement. Bei Kauf im Webshop des Verlages werden die ebooks mit einem nicht sichtbaren digitalen Wasserzeichen individuell pro Nutzer signiert.

Bei Kauf in anderen ebook-Webshops erfolgt die Signatur durch die Shopbetreiber. Angaben zu diesem DRM finden Sie auf den Seiten der jeweiligen Anbieter.

Einleitung

Vorwort zur zweiten Auflage

Die grundlegenden Bestandteile eines IT-Sicherheitsmanagements ändern sich nicht in ähnlich kurzen Zeiträumen, wie sich die technische Seite der IT und der IT-Security ändert. Die Schwerpunkte, die fachliche Ausgestaltung und die Prozesse bleiben davon aber nicht unbeeindruckt. Werden Daten vermehrt in Public Clouds verarbeitet, auf Mobiltelefonen gespeichert, über Chat-Apps geteilt oder im Rahmen von Industrie 4.0 in einer Größenordnung erhoben, die bislang kaum denkbar war, dann müssen sich die entsprechenden Maßnahmen der IT-Security an diese Veränderungen anpassen. Der Gesetzgeber hat parallel dazu die Aufgabe, Regelungen zu erlassen, um frühzeitig die Rahmenbedingungen festzulegen und dabei zu helfen, dem Missbrauch entgegenzuwirken. In diesem Zusammenhang werden weltweit neue Gesetze erlassen und entsprechende Kontrollgremien eingesetzt. Völlig unterschiedlich gelagerte Beispiele dafür sind die EU-Datenschutz-Grundverordnung (EU-DSGVO), das IT-Sicherheitsgesetz oder das China Cybersecurity Law. Alle diese Regelungen haben immense Auswirkungen darauf, wie Unternehmen Daten erfassen, verarbeiten, speichern oder austauschen dürfen. In der Fülle und der Bandbreite der neuen Regelungen liegt aber immer auch die immanente Gefahr, etwas falsch zu machen, weil man eben den falschen Weg gewählt hat, mit diesen Anforderungen umzugehen. Der Weg aus dieser Problematik ist es, einem Lösungsansatz zu folgen, der zum einen international bekannt und anerkannt ist und zum anderen auf einem stringenten Prozess-Modell basiert, das so angelegt ist, dass alle oben genannten Punkte abgedeckt werden können. Dieser Weg ist die Einführung eines IT-Sicherheitsmanagements auf Basis der ISO-27000-Normen-Familie unter Beachtung der datenschutzrechtlichen Bestimmungen der EU-DSGVO.

Anlass für die zweite Auflage dieses Buches sind neben dem technischen Fortschritt, der unaufhaltsam ist, die umfassenden Änderungen in den ISO-Normen, der nun europaweit vereinheitlichte Datenschutz und eine Reihe von neuen Themen, die ich in den entsprechenden Kapiteln aufgenommen habe. Dementsprechend halten Sie ein stark überarbeitetes Buch in Händen.

Ich möchte all denjenigen danken, die mir Input bezüglich neuer Gesichtspunkte gegeben haben. Dies schließt sowohl die wohlmeinende Kritik an einzelnen Punkten durch Leser als auch das Feedback meiner Studierenden und der Professoren an der Hochschule oder von Kollegen im Unternehmen mit ein. Auch wenn man sich selbst als Generalisten im IT-Sicherheitsbereich sieht, ist man nicht ganz vom Tunneldenken befreit und übersieht doch das eine oder andere Mal neue Aspekte und neue Denkansätze – obwohl sie doch so offensichtlich vor einem liegen.

Einführung

Nicht alle Wege, aber zumindest sehr viele, führen nach Rom, und wohl ebenso viele Wege führen zum Job des IT-Security-Managers. Einige Kandidaten haben schon ein paar Jahre Berufserfahrung in ähnlichen Bereichen gesammelt, haben bereits einschlägige Erfahrungen gemacht oder kommen direkt aus dem Studium, in dem sie das Thema, zumindest theoretisch, schon behandelt haben.

Andere, und damit sind wir wieder bei den vielen Wegen angekommen, die zum Ziel führen, sind Neueinsteiger oder Quereinsteiger. Vielleicht kommen sie aus der IT-Abteilung und haben zuvor Server administriert oder Softwareprojekte geleitet. In manchen Fällen waren sie davor aber auch im Controlling oder in der Unternehmensplanung tätig und haben sich mit Qualitätsaudits oder Risikomanagement beschäftigt. Diese Kollegen stehen dann häufig vor der Herausforderung, dass sie, selbst wenn sie angekommen sind (nicht in Rom selbstverständlich, sondern am Arbeitsplatz des IT-Security-Managers), die schiere Menge an Einzelthemen dann fast erschlägt.

Beiden Gruppen kann man aufrichtig versichern, dass es kaum eine Aufgabe gibt, die vielschichtiger und vielseitiger gestaltbar ist als diese. Gerade der Umfang schafft die Chance, dem Arbeitsplatz den eigenen Stempel aufzudrücken, und wenn man die Grundlagen einmal verstanden hat, fällt es schwer, sich eine spannendere Aufgabe vorzustellen. Das Gebiet der IT-Security ist nicht so alt, als dass es bereits fest ausgetretene Pfade gäbe. Vielmehr gehen die Meinungen, was denn ein IT-Security-Manager zu tun hat, weit auseinander. Damit muss sich die IT-Security-Organisation dem Unternehmen flexibel anpassen. Stetige Veränderungen, hinzukommende Verknüpfungen mit anderen Abteilungen und die laufende Kommunikation mit denen, die Daten verarbeiten, und denen, die sie verwalten, bringen einerseits Abwechslung und andererseits den Druck, laufend hinzuzulernen.

Für alle, die frisch einsteigen, schon Erfahrungen haben oder gar aus einem ganz anderen Fachgebiet heraus quereinsteigen und nun auf einfache, aber doch umfassende Art in die Thematik IT-Security eingeführt werden wollen, ist das vorliegende Buch gedacht.

Aufbau des Buches

Für eine strukturierte Vorgehensweise beim Durcharbeiten des Buches ist es sinnvoll, mit dem ersten Kapitel »Umfang und Aufgabe des IT-Security-Managements« zu beginnen. Im Grunde umreißt es das Aufgabengebiet und bringt die verschiedenen Themen in einen Zusammenhang. Ein guter Einstieg, um danach zielgerichtet diejenigen Kapitel zu betrachten, die einem selbst am interessantesten erscheinen. Aus diesem Grund sind alle Kapitel so verfasst, dass ein direkter Einstieg erleichtert wird.

Ansonsten gilt: Für ein durchgängiges Verständnis und als eine Art roter Faden ist es empfehlenswert, sich erst um Fundament und Dach zu kümmern, bevor die verschiedenen Säulen abgearbeitet werden.

Jedes Kapitel beschreibt einen zusammenhängenden Themenbereich der IT-Security. Der Aufbau bleibt dabei immer ähnlich. Obligatorische Theorie wechselt sich ab mit Tipps aus der Praxis für die Praxis, ein paar Beispielen und dazu Aufzählungen und Checklisten als Hilfestellung. Die einzelnen Themen umfassen dabei das notwendige Wissen, um den Arbeitsplatz IT-Security ausfüllen zu können, und häufig noch etwas mehr.

Die Aufgaben eines IT-Security-Managers sind vielfältig und abwechslungsreich, bauen aber immer wieder aufeinander auf. Es gibt Themen wie das IT-Risikomanagement, die in den verschiedensten Fragestellungen immer wieder auftauchen. So ist das Wissen notwendig, wie eine Risikobewertung durchgeführt wird, wenn es darum geht, Prioritäten in der Notfallvorsorge zu treffen, aber genauso auch im alltäglichen Betrieb, wenn es um die Berechtigungsvergabe oder die Entscheidung für und wider einer einzukaufenden Software geht. Aus diesem Grund wird dieses Aufgabenfeld als Teil der Dachkonstruktion in der Abbildung abgebildet.

Die weiteren Elemente des Hauses stellen die anderen Kapitel des Buches dar. Manche Themen bilden das Fundament für den gesamten Komplex, wieder andere bilden zusammen mit einem oder zwei Bereichen eine Einheit. So sind die Kapitel zum IT-Notfallmanagement und zum Verfügbarkeitsmanagement zwei Teile des übergeordneten Themas IT Business Continuity Management.

Die Wahl, die IT-Security-Organisation, die IT-Compliance, das IT-Security Incident Management und die Bildung von Awareness als Fundament zu nutzen, fiel aufgrund der Tatsache, dass es nicht möglich ist, sie immer und immer wieder mitzubetrachten. Gleichgültig, welche Maßnahme implementiert oder welche Richtlinie durchgesetzt werden soll, immer stellt sich die Frage, wie diese zu kommunizieren und zu schulen ist, wie die inneren und äußeren Anforderungen aussehen und wie die IT-Security-Organisation aufgebaut sein muss, um dies auch bewältigen zu können.

Ein Kapitel sticht etwas hervor. Das reine Praxiskapitel über die Einführung eines Information Security Management Systems (ISMS) steht etwas abseits am rechten Rand des Hauses. Diese Zuordnung soll vergegenwärtigen, dass alle im Buch behandelten Themen in irgendeiner Art und Weise Teil des ISMS sind. Die Zusammenführung und die Annäherung an die Praxis werden an dieser Stelle vertieft angegangen.

Kapitel 10: IT-Risikomanagement‌

10.1  Kapitelzusammenfassung

Das IT-Risikomanagement‌ bildet den Überbau über den Gesamtkomplex IT-Security-Management. Dieses Bild soll die Tatsache betonen, dass es sich bei dieser Disziplin nicht um eine abgegrenzte Einzelaufgabe handelt, sondern um eine Methodik, die in vielen Prozessen immer wieder auftaucht.

Der Einfluss und die Methoden des IT-Risikomanagements durchziehen alle Teilbereiche des IT-Security-Managements. Für das Business Continuity Management sowie für die tägliche Arbeit und die implementierten Sicherheitsprozesse stellt es zudem eine entscheidende Grundlage dar.

Abbildung 10.1: Primäre Abhängigkeiten von anderen Themen der IT-Security