IT-Sicherheitsmanagement (eBook)

Thomas W. Harich arbeitet als Leiter der Information Security in einem großen deutschen Industriekonzern. Nebenberuflich ist er als Dozent und IT-Berater tätig. Seine Schwerpunkte liegen in der Erstellung von IT-Sicherheitskonzepten und deren praktischer Umsetzung in einem international geprägten IT-Umfeld.

Cover 1
Titel 5
Impressum 6
Inhaltsverzeichnis 7
Einleitung 17
Kapitel 1: Umfang und Aufgabe des IT-Security-Managements 23
1.1 Kapitelzusammenfassung 23
1.2 Einführung 23
1.3 Informationen und Daten 24
1.4 IT-Security-Management ist wichtig 26
1.5 Wie gefährdet sind die Unternehmensdaten 28
1.5.1 Sicht des Verfassungsschutzes 29
1.5.2 Öffentliche Wahrnehmung 29
1.5.3 Die eigene Wahrnehmung 31
1.6 Begrifflichkeiten 32
1.7 Selbstverständnis der IT-Security-Organisation 34
1.8 Grundregeln 37
1.9 Umfang des IT-Security-Managements 40
1.9.1 Pfeiler der IT-Security 41
1.9.2 Aufgaben des IT-Security-Managements 46
1.10 IT-Security zwischen Nutzen und Kosten 49
Kapitel 2: Organisation der IT-Security 51
2.1 Kapitelzusammenfassung 51
2.2 Einführung 51
2.3 Rollen innerhalb des IT-Security-Managements 52
2.3.1 Manager IT-Security 52
2.3.2 Unternehmensleitung 58
2.3.3 Weitere Rollen 58
2.4 Verankerung im Unternehmen 60
2.4.1 IT-Security im Organigramm 60
2.4.2 IT-Security und der Datenschutz 67
2.4.3 Zusammenspiel mit anderen Sicherheitsbereichen 68
Kapitel 3: IT-Compliance 73
3.1 Kapitelzusammenfassung 73
3.2 Einführung 75
3.3 Standards 80
3.3.1 ISO-2700x-Reihe 81
3.3.2 Standards des Bundesamts für Sicherheit in der Informationstechnik 87
3.3.3 Gegenüberstellung ISO 2700x und BSI-Grundschutz 91
3.3.4 ITIL 94
3.3.5 Weitere Standards 95
3.4 Gesetze 96
3.4.1 EU-Datenschutz-Grundverordnung 97
3.4.2 IT-Sicherheitsgesetz 101
3.4.3 Weitere Gesetze 101
3.4.4 Branchenstandards am Beispiel TISAX 103
3.4.5 ISO 27001 und TISAX 106
3.4.6 Vorbereitende Maßnahmen 108
3.4.7 Fragenkatalog 111
Kapitel 4: Organisation von Richtlinien 129
4.1 Kapitelzusammenfassung 129
4.2 Einführung 130
4.3 Strukturierung von Richtlinien 131
4.4 Beschreibung und Kategorisierung 132
4.5 Pflege und Lenkung von Richtlinien 133
4.6 Richtlinien und Audits 135
4.7 Verschiedene Richtlinien 137
4.7.1 Sicherheitsrichtlinie 138
4.7.2 Klassifizierungsrichtlinie 143
4.7.3 ISMS-Handbuch 146
4.7.4 Richtlinie zum IT-Risikomanagement 148
4.7.5 IT-Sicherheitsrichtlinie 150
4.7.6 IT-Systemrichtlinien 154
4.8 Von der Theorie in die Praxis 155
Kapitel 5: Betrieb der IT-Security 157
5.1 Kapitelzusammenfassung 157
5.2 Einführung 157
5.3 IT-Security und der IT-Betrieb 159
5.4 Betriebliche Grundsätze 160
5.4.1 Ableitung aus gesetzlichen Vorschriften 160
5.4.2 Vertragswesen 161
5.4.3 Administrative Tätigkeiten 161
5.4.4 Trennung von Funktionen 162
5.4.5 Prinzip der geringsten Rechte 163
5.5 IT-Security-Prozesse 164
5.5.1 Zugangs- und Zugriffskontrolle 164
5.5.2 Sicherheit von Software 171
5.5.3 Sichere Softwareentwicklung 176
5.5.4 Identitätsmanagement 178
5.5.5 Genehmigungsprozesse 183
5.5.6 Standardisierung 184
5.5.7 Unterstützung des IT-Betriebs 185
Kapitel 6: IT Business Continuity Management 187
6.1 Kapitelzusammenfassung 187
6.2 Einführung 188
6.3 Abgrenzung der Begriffe 192
6.4 IT-Notfallmanagement und Verfügbarkeitsmanagement 194
6.5 Gesetzliche Rahmenbedingungen des IT Business Continuity Managements 195
6.6 Business-Impact-Analyse 195
6.6.1 Erfassung und Priorisierung der Geschäftsprozesse 196
6.6.2 Business-Impact-Analyse in der Praxis 202
6.7 Weitere Einflussfaktoren 203
Kapitel 7: IT-Notfallmanagement 205
7.1 Kapitelzusammenfassung 205
7.2 Einführung 205
7.3 IT-Notfallmanagement 206
7.4 Richtlinie zum IT-Notfallmanagement 207
7.5 Ableitung von Notfallstrategien 208
7.6 IT-Notfallkonzepte erstellen 209
7.6.1 Schweregrade 211
7.6.2 Notfallvorsorge 213
7.7 Notfallorganisation 219
7.7.1 Organisationsstruktur 219
7.7.2 Kompetenzen und Zuständigkeiten 220
7.7.3 Notfallhandbuch 221
7.8 Notfallbewältigung 223
7.9 Notfallübungen 227
7.10 Überprüfung des IT-Notfallmanagements 228
7.11 Monitoring im Rahmen des IT Business Continuity Managements 229
7.12 Checklisten IT-Notfallmanagement 230
7.12.1 Checkliste Business-Impact-Analyse 230
7.12.2 Checkliste Notfallorganisation 231
7.12.3 Checkliste Notfallpläne und Wiederanlaufpläne 232
7.12.4 Checkliste Rechenzentrum 232
Kapitel 8: Verfügbarkeitsmanagement 235
8.1 Kapitelzusammenfassung 235
8.2 Einführung 235
8.3 Richtlinie zum Verfügbarkeitsmanagement 236
8.4 Verfügbarkeit 237
8.4.1 Klassifizierung von Verfügbarkeit 238
8.4.2 Vorgehensweise 240
8.4.3 Berechnung der Verfügbarkeit 241
8.5 Ausfallsicherheit 242
8.6 Ausprägungen von Redundanz 243
8.6.1 Strukturelle Redundanz 244
8.6.2 Funktionelle Redundanz oder unterstützende Redundanz 245
8.6.3 Informationsredundanz 245
8.7 Redundante Hard- und Software 245
8.8 Virtualisierung 247
8.9 Bauliche Maßnahmen zur Steigerung der Verfügbarkeit 248
Kapitel 9: Technische IT-Security 251
9.1 Kapitelzusammenfassung 251
9.2 Einführung 252
9.3 Technisch-Organisatorische Maßnahmen 254
9.3.1 Zugangskontrolle 256
9.3.2 Zugriffskontrolle 261
9.3.3 Übertragungskontrolle und Transportkontrolle 263
9.3.4 Eingabekontrolle 267
9.3.5 Verfügbarkeitskontrolle, Wiederherstellbarkeit und Zuverlässigkeit 268
9.3.6 Datenintegrität 269
9.4 Verschlüsselung 270
9.4.1 Begriffsbestimmungen 271
9.4.2 Symmetrische Verschlüsselungssysteme 272
9.4.3 Asymmetrische Verschlüsselungsverfahren 273
9.5 Cloud Computing 274
9.5.1 Dienstleistungen in der Cloud 278
9.5.2 Risikofaktoren 280
9.5.3 Datenschutzrechtliche Aspekte 287
9.5.4 Vertragliche Vereinbarungen 289
9.5.5 Sinnvolle Freigabeprozesse 290
9.6 Betrieb von Firewalls 292
9.6.1 Paketfilter und Application-Gateways 294
9.6.2 Firewall-Regelwerk 297
9.6.3 Internet-Proxyserver 299
9.7 Internetzugang und Nutzung von E-Mail 300
9.7.1 Risikofaktor E-Mail 301
9.7.2 Verschlüsselung von E-Mails 302
9.7.3 Risikofaktor Internetbrowser 303
9.8 Penetrationstests 304
9.9 Digitale Signatur 306
9.10 Intrusion-Detection-Systeme 308
9.11 Wireless LAN 310
Kapitel 10: IT-Risikomanagement 313
10.1 Kapitelzusammenfassung 313
10.2 Einführung 314
10.3 IT-Risikomanagement im Unternehmenskontext 314
10.4 Akzeptanz des IT-Risikomanagements 316
10.5 Operatives IT-Risikomanagement 317
10.5.1 Vorgehensweise 320
10.5.2 IT-Risikomanagementprozess 322
10.5.3 Übergeordnete Risikobetrachtung 324
10.5.4 Schwachstellen 327
10.5.5 Bedrohungen 330
10.5.6 Zusammenspiel von Bedrohungen, Schwachstellen und Maßnahmen 332
10.5.7 Verhältnismäßigkeit 334
10.6 Schutzbedarfsfeststellung 335
10.6.1 Schutzziele 335
10.6.2 Schutzstufen 338
10.6.3 Prinzipien 339
10.6.4 Feststellung des Schutzbedarfs 340
10.6.5 Veränderung des Schutzbedarfs 345
10.6.6 Widersprüchliche Schutzziele 346
10.6.7 Schadensklassen 346
10.6.8 Abbildung des Datenflusses 347
10.6.9 Entscheidungsfindung auf Basis des Schutzbedarfs 348
10.7 IT-Risikomanagement Prozess 350
10.7.1 Risiken identifizieren 350
10.7.2 Risikoermittlung 355
10.7.3 Risikobewertung 358
10.8 Quantitative Darstellung von Risiken 361
10.8.1 Grundlagen der Risikoberechnung 362
10.8.2 Risikoberechnung im Beispiel 364
10.8.3 Risikomatrix 366
10.8.4 Risikokatalog 368
10.9 Risikobehandlung 370
10.9.1 Risiko akzeptieren 372
10.9.2 Risiko reduzieren 373
10.9.3 Risiko vermeiden 374
10.9.4 Risiko auf Dritte verlagern 374
10.10 Maßnahmen definieren 375
10.10.1 Maßnahmentypen 376
10.10.2 Individuelle Maßnahmenkataloge 377
Kapitel 11: Sicherheitsmonitoring 379
11.1 Kapitelzusammenfassung 379
11.2 Einführung 380
11.3 Ebenen des Monitorings 382
11.4 System-Monitoring 384
11.4.1 Sicherheitsaspekte 385
11.4.2 Auswahl zu überwachender Systeme 385
11.4.3 Implementierung im Netzwerk 386
11.5 Protokoll-Monitoring 387
11.5.1 Unterstützung von Audits 388
11.5.2 Überwachung administrativer Tätigkeiten 389
11.5.3 Schwachstellenmanagement 390
Kapitel 12: IT-Security-Audit 393
12.1 Kapitelzusammenfassung 393
12.2 Einführung 394
12.3 Audits im Kontext des IT-Security-Managements 394
12.4 Audits im Unternehmenskontext 398
12.5 Audits nach Kategorien 399
12.6 Vor-Ort kontra Selbstauskunft 401
12.7 Anforderungen an den Auditor 402
12.8 Ein Audit Schritt für Schritt 404
12.8.1 Vorbereitung 405
12.8.2 Durchführung 406
12.8.3 Nachbereitung 410
12.8.4 Abschlussbericht 410
Kapitel 13: Management von Sicherheitsereignissen und IT-Forensik 415
13.1 Kapitelzusammenfassung 415
13.2 Einführung 416
13.3 Angriffe auf Ihre Daten 417
13.3.1 Durch eigene Mitarbeiter 418
13.3.2 Durch Außenstehende 420
13.3.3 Angriffe und Angriffsvektoren 420
13.3.4 Angriffsarten 421
13.4 Management von Sicherheitsereignissen 426
13.5 IT-Forensik 428
13.5.1 Arten der IT-Forensik-Analyse 433
13.5.2 Einrichtung von Honeypots 434
13.6 Elemente der forensischen Untersuchung 435
13.6.1 Zielsetzung 436
13.6.2 Anforderungen an die Analyse 437
13.6.3 Forensische Methoden 438
13.6.4 Forensische Untersuchung 439
Kapitel 14: Kennzahlen 445
14.1 Kapitelzusammenfassung 445
14.2 Einführung 446
14.3 Die Aufgabe von Kennzahlen 446
14.4 Quantifizierbare Kennzahlen 449
14.5 Steuerung mithilfe von Kennzahlen 451
14.6 Qualität von Kennzahlen 453
14.6.1 Gute Kennzahlen 453
14.6.2 Schlechte Kennzahlen 454
14.6.3 Vergleichbarkeit von Kennzahlen 454
14.7 Verschiedene Kennzahlen aus der IT-Security 455
14.8 Kennzahlen im laufenden Verbesserungsprozess 460
14.9 Laufende Auswertung von Kennzahlen 462
14.10 Annualized Loss Expectancy 462
14.11 IT-Security Balanced Scorecard 465
14.11.1 Einführung der IT-Security Balanced Scorecard 467
14.11.2 Maßnahmenziele für den Bereich IT-Security 471
Kapitel 15: Praxis: Aufbau eines ISMS 475
15.1 Kapitelzusammenfassung 475
15.2 Einführung 476
15.3 ISMS in Kürze 476
15.4 Herangehensweise 479
15.5 Schritt für Schritt zum ISMS 480
15.5.1 Plan-Do-Check-Act 484
15.5.2 Vorarbeiten 485
15.5.3 Plan: Gestaltung des ISMS 490
15.5.4 Do: Umsetzung der Arbeitspakete 505
15.5.5 Check: Überprüfung des ISMS 507
15.5.6 Act: Umsetzung von erkannten Defiziten 508
15.5.7 Dokumentation 508
15.6 Softwaregestützter Aufbau eines ISMS 513
15.6.1 Auswahl einer ISMS-Lösung 514
15.6.2 Darstellung der Risiken und der Unternehmenswerte 516
15.6.3 Darstellung von Prozessen 519
15.6.4 IT-Risikomanagement 520
15.6.5 Richtlinienmanagement 522
15.6.6 Arbeitsabläufe abbilden 523
15.6.7 Berichte erstellen 524
15.7 Zertifizierung nach ISO 27001 525
15.7.1 Ansprechpartner 527
15.7.2 Prinzipien 528
Kapitel 16: Awareness und Schulung 531
16.1 Kapitelzusammenfassung 531
16.2 Verbesserungsprozess 532
16.3 Voraussetzungen für eine Sicherheitskultur 533
16.4 Erfassung der Sicherheitskultur 535
16.5 Top-down-Ansatz 536
16.6 Awareness-Projekte 537
Index 541