W. Harich IT-Sicherheitsmanagement

1;Cover;1
2;Titel;5
3;Impressum;6
4;Inhaltsverzeichnis;7
5;Einleitung;17
6;Kapitel 1: Umfang und Aufgabe des IT-Security-Managements;23
6.1;1.1 Kapitelzusammenfassung;23
6.2;1.2 Einführung;23
6.3;1.3 Informationen und Daten;24
6.4;1.4 IT-Security-Management ist wichtig;26
6.5;1.5 Wie gefährdet sind die Unternehmensdaten;28
6.5.1;1.5.1 Sicht des Verfassungsschutzes;29
6.5.2;1.5.2 Öffentliche Wahrnehmung;29
6.5.3;1.5.3 Die eigene Wahrnehmung;31
6.6;1.6 Begrifflichkeiten;32
6.7;1.7 Selbstverständnis der IT-Security-Organisation;34
6.8;1.8 Grundregeln;37
6.9;1.9 Umfang des IT-Security-Managements;40
6.9.1;1.9.1 Pfeiler der IT-Security;41
6.9.2;1.9.2 Aufgaben des IT-Security-Managements;46
6.10;1.10 IT-Security zwischen Nutzen und Kosten;49
7;Kapitel 2: Organisation der IT-Security;51
7.1;2.1 Kapitelzusammenfassung;51
7.2;2.2 Einführung;51
7.3;2.3 Rollen innerhalb des IT-Security-Managements;52
7.3.1;2.3.1 Manager IT-Security;52
7.3.2;2.3.2 Unternehmensleitung;58
7.3.3;2.3.3 Weitere Rollen;58
7.4;2.4 Verankerung im Unternehmen;60
7.4.1;2.4.1 IT-Security im Organigramm;60
7.4.2;2.4.2 IT-Security und der Datenschutz;67
7.4.3;2.4.3 Zusammenspiel mit anderen Sicherheitsbereichen;68
8;Kapitel 3: IT-Compliance;73
8.1;3.1 Kapitelzusammenfassung;73
8.2;3.2 Einführung;75
8.3;3.3 Standards;80
8.3.1;3.3.1 ISO-2700x-Reihe;81
8.3.2;3.3.2 Standards des Bundesamts für Sicherheit in der Informationstechnik;87
8.3.3;3.3.3 Gegenüberstellung ISO 2700x und BSI-Grundschutz;91
8.3.4;3.3.4 ITIL;94
8.3.5;3.3.5 Weitere Standards;95
8.4;3.4 Gesetze;96
8.4.1;3.4.1 EU-Datenschutz-Grundverordnung;97
8.4.2;3.4.2 IT-Sicherheitsgesetz;101
8.4.3;3.4.3 Weitere Gesetze;101
8.4.4;3.4.4 Branchenstandards am Beispiel TISAX;103
8.4.5;3.4.5 ISO 27001 und TISAX;106
8.4.6;3.4.6 Vorbereitende Maßnahmen;108
8.4.7;3.4.7 Fragenkatalog;111
9;Kapitel 4: Organisation von Richtlinien;129
9.1;4.1 Kapitelzusammenfassung;129
9.2;4.2 Einführung;130
9.3;4.3 Strukturierung von Richtlinien;131
9.4;4.4 Beschreibung und Kategorisierung;132
9.5;4.5 Pflege und Lenkung von Richtlinien;133
9.6;4.6 Richtlinien und Audits;135
9.7;4.7 Verschiedene Richtlinien;137
9.7.1;4.7.1 Sicherheitsrichtlinie;138
9.7.2;4.7.2 Klassifizierungsrichtlinie;143
9.7.3;4.7.3 ISMS-Handbuch;146
9.7.4;4.7.4 Richtlinie zum IT-Risikomanagement;148
9.7.5;4.7.5 IT-Sicherheitsrichtlinie;150
9.7.6;4.7.6 IT-Systemrichtlinien;154
9.8;4.8 Von der Theorie in die Praxis;155
10;Kapitel 5: Betrieb der IT-Security;157
10.1;5.1 Kapitelzusammenfassung;157
10.2;5.2 Einführung;157
10.3;5.3 IT-Security und der IT-Betrieb;159
10.4;5.4 Betriebliche Grundsätze;160
10.4.1;5.4.1 Ableitung aus gesetzlichen Vorschriften;160
10.4.2;5.4.2 Vertragswesen;161
10.4.3;5.4.3 Administrative Tätigkeiten;161
10.4.4;5.4.4 Trennung von Funktionen;162
10.4.5;5.4.5 Prinzip der geringsten Rechte;163
10.5;5.5 IT-Security-Prozesse;164
10.5.1;5.5.1 Zugangs- und Zugriffskontrolle;164
10.5.2;5.5.2 Sicherheit von Software;171
10.5.3;5.5.3 Sichere Softwareentwicklung;176
10.5.4;5.5.4 Identitätsmanagement;178
10.5.5;5.5.5 Genehmigungsprozesse;183
10.5.6;5.5.6 Standardisierung;184
10.5.7;5.5.7 Unterstützung des IT-Betriebs;185
11;Kapitel 6: IT Business Continuity Management;187
11.1;6.1 Kapitelzusammenfassung;187
11.2;6.2 Einführung;188
11.3;6.3 Abgrenzung der Begriffe;192
11.4;6.4 IT-Notfallmanagement und Verfügbarkeitsmanagement;194
11.5;6.5 Gesetzliche Rahmenbedingungen des IT Business Continuity Managements;195
11.6;6.6 Business-Impact-Analyse;195
11.6.1;6.6.1 Erfassung und Priorisierung der Geschäftsprozesse;196
11.6.2;6.6.2 Business-Impact-Analyse in der Praxis;202
11.7;6.7 Weitere Einflussfaktoren;203
12;Kapitel 7: IT-Notfallmanagement;205
12.1;7.1 Kapitelzusammenfassung;205
12.2;7.2 Einführung;205
12.3;7.3 IT-Notfallmanagement;206
12.4;7.4 Richtlinie zum IT-Notfallmanagement;207
12.5;7.5 Ableitung von Notfallstrategien;208
12.6;7.6 IT-Notfallkonzepte erstellen;209
12.6.1;7.6.1 Schweregrade;211
12.6.2;7.6.2 Notfallvorsorge;213
12.7;7.7 Notfallorganisation;219
12.7.1;7.7.1 Organisationsstruktur;219
12.7.2;7.7.2 Kompetenzen und Zuständigkeiten;220
12.7.3;7.7.3 Notfallhandbuch;221
12.8;7.8 Notfallbewältigung;223
12.9;7.9 Notfallübungen;227
12.10;7.10 Überprüfung des IT-Notfallmanagements;228
12.11;7.11 Monitoring im Rahmen des IT Business Continuity Managements;229
12.12;7.12 Checklisten IT-Notfallmanagement;230
12.12.1;7.12.1 Checkliste Business-Impact-Analyse;230
12.12.2;7.12.2 Checkliste Notfallorganisation;231
12.12.3;7.12.3 Checkliste Notfallpläne und Wiederanlaufpläne;232
12.12.4;7.12.4 Checkliste Rechenzentrum;232
13;Kapitel 8: Verfügbarkeitsmanagement;235
13.1;8.1 Kapitelzusammenfassung;235
13.2;8.2 Einführung;235
13.3;8.3 Richtlinie zum Verfügbarkeitsmanagement;236
13.4;8.4 Verfügbarkeit;237
13.4.1;8.4.1 Klassifizierung von Verfügbarkeit;238
13.4.2;8.4.2 Vorgehensweise;240
13.4.3;8.4.3 Berechnung der Verfügbarkeit;241
13.5;8.5 Ausfallsicherheit;242
13.6;8.6 Ausprägungen von Redundanz;243
13.6.1;8.6.1 Strukturelle Redundanz;244
13.6.2;8.6.2 Funktionelle Redundanz oder unterstützende Redundanz;245
13.6.3;8.6.3 Informationsredundanz;245
13.7;8.7 Redundante Hard- und Software;245
13.8;8.8 Virtualisierung;247
13.9;8.9 Bauliche Maßnahmen zur Steigerung der Verfügbarkeit;248
14;Kapitel 9: Technische IT-Security;251
14.1;9.1 Kapitelzusammenfassung;251
14.2;9.2 Einführung;252
14.3;9.3 Technisch-Organisatorische Maßnahmen;254
14.3.1;9.3.1 Zugangskontrolle;256
14.3.2;9.3.2 Zugriffskontrolle;261
14.3.3;9.3.3 Übertragungskontrolle und Transportkontrolle;263
14.3.4;9.3.4 Eingabekontrolle;267
14.3.5;9.3.5 Verfügbarkeitskontrolle, Wiederherstellbarkeit und Zuverlässigkeit;268
14.3.6;9.3.6 Datenintegrität;269
14.4;9.4 Verschlüsselung;270
14.4.1;9.4.1 Begriffsbestimmungen;271
14.4.2;9.4.2 Symmetrische Verschlüsselungssysteme;272
14.4.3;9.4.3 Asymmetrische Verschlüsselungsverfahren;273
14.5;9.5 Cloud Computing;274
14.5.1;9.5.1 Dienstleistungen in der Cloud;278
14.5.2;9.5.2 Risikofaktoren;280
14.5.3;9.5.3 Datenschutzrechtliche Aspekte;287
14.5.4;9.5.4 Vertragliche Vereinbarungen;289
14.5.5;9.5.5 Sinnvolle Freigabeprozesse;290
14.6;9.6 Betrieb von Firewalls;292
14.6.1;9.6.1 Paketfilter und Application-Gateways;294
14.6.2;9.6.2 Firewall-Regelwerk;297
14.6.3;9.6.3 Internet-Proxyserver;299
14.7;9.7 Internetzugang und Nutzung von E-Mail;300
14.7.1;9.7.1 Risikofaktor E-Mail;301
14.7.2;9.7.2 Verschlüsselung von E-Mails;302
14.7.3;9.7.3 Risikofaktor Internetbrowser;303
14.8;9.8 Penetrationstests;304
14.9;9.9 Digitale Signatur;306
14.10;9.10 Intrusion-Detection-Systeme;308
14.11;9.11 Wireless LAN;310
15;Kapitel 10: IT-Risikomanagement;313
15.1;10.1 Kapitelzusammenfassung;313
15.2;10.2 Einführung;314
15.3;10.3 IT-Risikomanagement im Unternehmenskontext;314
15.4;10.4 Akzeptanz des IT-Risikomanagements;316
15.5;10.5 Operatives IT-Risikomanagement;317
15.5.1;10.5.1 Vorgehensweise;320
15.5.2;10.5.2 IT-Risikomanagementprozess;322
15.5.3;10.5.3 Übergeordnete Risikobetrachtung;324
15.5.4;10.5.4 Schwachstellen;327
15.5.5;10.5.5 Bedrohungen;330
15.5.6;10.5.6 Zusammenspiel von Bedrohungen, Schwachstellen und Maßnahmen;332
15.5.7;10.5.7 Verhältnismäßigkeit;334
15.6;10.6 Schutzbedarfsfeststellung;335
15.6.1;10.6.1 Schutzziele;335
15.6.2;10.6.2 Schutzstufen;338
15.6.3;10.6.3 Prinzipien;339
15.6.4;10.6.4 Feststellung des Schutzbedarfs;340
15.6.5;10.6.5 Veränderung des Schutzbedarfs;345
15.6.6;10.6.6 Widersprüchliche Schutzziele;346
15.6.7;10.6.7 Schadensklassen;346
15.6.8;10.6.8 Abbildung des Datenflusses;347
15.6.9;10.6.9 Entscheidungsfindung auf Basis des Schutzbedarfs;348
15.7;10.7 IT-Risikomanagement Prozess;350
15.7.1;10.7.1 Risiken identifizieren;350
15.7.2;10.7.2 Risikoermittlung;355
15.7.3;10.7.3 Risikobewertung;358
15.8;10.8 Quantitative Darstellung von Risiken;361
15.8.1;10.8.1 Grundlagen der Risikoberechnung;362
15.8.2;10.8.2 Risikoberechnung im Beispiel;364
15.8.3;10.8.3 Risikomatrix;366
15.8.4;10.8.4 Risikokatalog;368
15.9;10.9 Risikobehandlung;370
15.9.1;10.9.1 Risiko akzeptieren;372
15.9.2;10.9.2 Risiko reduzieren;373
15.9.3;10.9.3 Risiko vermeiden;374
15.9.4;10.9.4 Risiko auf Dritte verlagern;374
15.10;10.10 Maßnahmen definieren;375
15.10.1;10.10.1 Maßnahmentypen;376
15.10.2;10.10.2 Individuelle Maßnahmenkataloge;377
16;Kapitel 11: Sicherheitsmonitoring;379
16.1;11.1 Kapitelzusammenfassung;379
16.2;11.2 Einführung;380
16.3;11.3 Ebenen des Monitorings;382
16.4;11.4 System-Monitoring;384
16.4.1;11.4.1 Sicherheitsaspekte;385
16.4.2;11.4.2 Auswahl zu überwachender Systeme;385
16.4.3;11.4.3 Implementierung im Netzwerk;386
16.5;11.5 Protokoll-Monitoring;387
16.5.1;11.5.1 Unterstützung von Audits;388
16.5.2;11.5.2 Überwachung administrativer Tätigkeiten;389
16.5.3;11.5.3 Schwachstellenmanagement;390
17;Kapitel 12: IT-Security-Audit;393
17.1;12.1 Kapitelzusammenfassung;393
17.2;12.2 Einführung;394
17.3;12.3 Audits im Kontext des IT-Security-Managements;394
17.4;12.4 Audits im Unternehmenskontext;398
17.5;12.5 Audits nach Kategorien;399
17.6;12.6 Vor-Ort kontra Selbstauskunft;401
17.7;12.7 Anforderungen an den Auditor;402
17.8;12.8 Ein Audit Schritt für Schritt;404
17.8.1;12.8.1 Vorbereitung;405
17.8.2;12.8.2 Durchführung;406
17.8.3;12.8.3 Nachbereitung;410
17.8.4;12.8.4 Abschlussbericht;410
18;Kapitel 13: Management von Sicherheitsereignissen und IT-Forensik;415
18.1;13.1 Kapitelzusammenfassung;415
18.2;13.2 Einführung;416
18.3;13.3 Angriffe auf Ihre Daten;417
18.3.1;13.3.1 Durch eigene Mitarbeiter;418
18.3.2;13.3.2 Durch Außenstehende;420
18.3.3;13.3.3 Angriffe und Angriffsvektoren;420
18.3.4;13.3.4 Angriffsarten;421
18.4;13.4 Management von Sicherheitsereignissen;426
18.5;13.5 IT-Forensik;428
18.5.1;13.5.1 Arten der IT-Forensik-Analyse;433
18.5.2;13.5.2 Einrichtung von Honeypots;434
18.6;13.6 Elemente der forensischen Untersuchung;435
18.6.1;13.6.1 Zielsetzung;436
18.6.2;13.6.2 Anforderungen an die Analyse;437
18.6.3;13.6.3 Forensische Methoden;438
18.6.4;13.6.4 Forensische Untersuchung;439
19;Kapitel 14: Kennzahlen;445
19.1;14.1 Kapitelzusammenfassung;445
19.2;14.2 Einführung;446
19.3;14.3 Die Aufgabe von Kennzahlen;446
19.4;14.4 Quantifizierbare Kennzahlen;449
19.5;14.5 Steuerung mithilfe von Kennzahlen;451
19.6;14.6 Qualität von Kennzahlen;453
19.6.1;14.6.1 Gute Kennzahlen;453
19.6.2;14.6.2 Schlechte Kennzahlen;454
19.6.3;14.6.3 Vergleichbarkeit von Kennzahlen;454
19.7;14.7 Verschiedene Kennzahlen aus der IT-Security;455
19.8;14.8 Kennzahlen im laufenden Verbesserungsprozess;460
19.9;14.9 Laufende Auswertung von Kennzahlen;462
19.10;14.10 Annualized Loss Expectancy;462
19.11;14.11 IT-Security Balanced Scorecard;465
19.11.1;14.11.1 Einführung der IT-Security Balanced Scorecard;467
19.11.2;14.11.2 Maßnahmenziele für den Bereich IT-Security;471
20;Kapitel 15: Praxis: Aufbau eines ISMS;475
20.1;15.1 Kapitelzusammenfassung;475
20.2;15.2 Einführung;476
20.3;15.3 ISMS in Kürze;476
20.4;15.4 Herangehensweise;479
20.5;15.5 Schritt für Schritt zum ISMS;480
20.5.1;15.5.1 Plan-Do-Check-Act;484
20.5.2;15.5.2 Vorarbeiten;485
20.5.3;15.5.3 Plan: Gestaltung des ISMS;490
20.5.4;15.5.4 Do: Umsetzung der Arbeitspakete;505
20.5.5;15.5.5 Check: Überprüfung des ISMS;507
20.5.6;15.5.6 Act: Umsetzung von erkannten Defiziten;508
20.5.7;15.5.7 Dokumentation;508
20.6;15.6 Softwaregestützter Aufbau eines ISMS;513
20.6.1;15.6.1 Auswahl einer ISMS-Lösung;514
20.6.2;15.6.2 Darstellung der Risiken und der Unternehmenswerte;516
20.6.3;15.6.3 Darstellung von Prozessen;519
20.6.4;15.6.4 IT-Risikomanagement;520
20.6.5;15.6.5 Richtlinienmanagement;522
20.6.6;15.6.6 Arbeitsabläufe abbilden;523
20.6.7;15.6.7 Berichte erstellen;524
20.7;15.7 Zertifizierung nach ISO 27001;525
20.7.1;15.7.1 Ansprechpartner;527
20.7.2;15.7.2 Prinzipien;528
21;Kapitel 16: Awareness und Schulung;531
21.1;16.1 Kapitelzusammenfassung;531
21.2;16.2 Verbesserungsprozess;532
21.3;16.3 Voraussetzungen für eine Sicherheitskultur;533
21.4;16.4 Erfassung der Sicherheitskultur;535
21.5;16.5 Top-down-Ansatz;536
21.6;16.6 Awareness-Projekte;537
22;Index;541