| Vorwort | 5 |
| Welches Ziel verfolgt dieses Buch? | 5 |
| Wer sollte dieses Buch lesen? | 6 |
| Wie können Sie dieses Buch nutzen? | 7 |
| Für welche Unternehmensgröße eignet sich der Buchinhalt? | 7 |
| Wie ist dieses Buch aufgebaut? | 8 |
| Welche Struktur haben die Kapitel? | 9 |
| Was bedeuten die Piktogramme? | 10 |
| Was ist neu in dieser 2. Auflage? | 10 |
| Wem sage ich Dank? | 10 |
| Welche Qualität hat die Sicherheitspyramide? | 11 |
| Wem ist dieses Buch gewidmet? | 12 |
| Was ist sicher? | 12 |
| Was können Sie tun? | 12 |
| Inhaltsverzeichnis | 13 |
| 1 Ausgangssituation und Zielsetzung | 21 |
| 1.1 Ausgangssituation | 22 |
| 1.1.1 Bedrohungen | 22 |
| 1.1.2 Schwachstellen | 30 |
| 1.1.2.1 Fehlende oder unklare Anforderungen | 30 |
| 1.1.2.2. Unvollständiges Vorgehensmodell | 31 |
| 1.1.2.3 Fehlende Lebenszyklusorientierung | 31 |
| 1.1.2.4 Übermäßige Technologiefokussierung | 32 |
| 1.1.2.5 Unzureichende Standardisierung | 32 |
| 1.1.2.6 Keine geschäftszentrierte Notfall-, Krisenund Katastrophenvorsorge | 33 |
| 1.1.3 Schutzbedarf und Haftung | 33 |
| 1.2 Zielsetzung des Sicherheits-, Kontinuitätsund Risikomanagements | 36 |
| 1.3 Lösung | 36 |
| 1.4 Zusammenfassung | 38 |
| 2 Kurzfassung und Überblick für Eilige | 40 |
| 3 Zehn Schritte zum Sicherheitsmanagement | 45 |
| 4 Definitionen zum Sicherheits-, Kontinuitätsund Risikomanagement | 47 |
| 4.1 Unternehmenssicherheitsmanagementsystem | 47 |
| 4.2 Informationssicherheitsmanagementsystem | 48 |
| 4.3 Sicherheitsmanagement | 49 |
| 4.4 Ingenieurmäßige Sicherheit – (Occupational) Health, Safety, Security and Continuity Engineering | 52 |
| 4.5 Sicherheitspyramide | 53 |
| 4.6 Sicherheitspolitik | 55 |
| 4.7 Sicherheit im Lebenszyklus | 56 |
| 4.8 Ressourcen, Schutzobjekte und -subjekte sowie -klassen | 57 |
| 4.9 Sicherheitskriterien | 59 |
| 4.10 Geschäftseinflussanalyse (Business Impact Analysis) | 59 |
| 4.11 Geschäftskontinuität (Business Continuity) | 59 |
| 4.12 Sicherheit und Sicherheitsdreiklang | 59 |
| 4.13 Risiko und Risikodreiklang | 61 |
| 4.14 Risikomanagement | 63 |
| 4.15 Sicherheits-, Kontinuitäts-und Risikomanagement | 63 |
| 4.16 Zusammenfassung | 64 |
| 5 Die Sicherheitspyramide – Strategie und Vorgehensmodell | 67 |
| 5.1 Überblick | 68 |
| 5.2 Sicherheitshierarchie | 72 |
| 5.2.1 Sicherheits-, Kontinuitäts-und Risikopolitik | 72 |
| 5.2.2 Sicherheitsziele / Sicherheitsanforderungen | 73 |
| 5.2.3 Sicherheitstransformation und Sicherheitsmerkmale | 73 |
| 5.2.4 Sicherheitsarchitektur | 74 |
| 5.2.5 Sicherheitsrichtlinien – Generische Sicherheitskonzepte | 74 |
| 5.2.6 Spezifische Sicherheitskonzepte | 75 |
| 5.2.7 Sicherheitsmaßnahmen | 75 |
| 5.3 PROSim | 76 |
| 5.4 Lebenszyklus von Prozessen, Ressourcen, Organisation, Produkten und (Dienst-)Leistungen (Services) | 76 |
| 5.4.1 Geschäfts-, Support-und Begleitprozess-Lebenszyklus | 77 |
| 5.4.2 Ressourcenlebenszyklen | 77 |
| 5.4.3 Organisationslebenszyklus | 78 |
| 5.4.4 Produkt-und Dienstleistungslebenszyklen | 78 |
| 5.5 Sicherheitsregelkreis | 78 |
| 5.6 Sicherheitsmanagementprozess | 79 |
| 5.7 Zusammenfassung | 79 |
| 6 Sicherheits-, Kontinuitäts-und Risikopolitik | 81 |
| 6.1 Zielsetzung | 82 |
| 6.2 Umsetzung | 82 |
| 6.3 Inhalte | 84 |
| 6.4 Checkliste | 85 |
| 6.5 Praxisbeispiel Sicherheits-, Kontinuitäts-und Risikopolitik | 87 |
| 6.6 Zusammenfassung | 96 |
| 7 Sicherheitsziele/Sicherheitsanforderungen | 97 |
| 7.1 Schutzbedarfsklassen | 97 |
| 7.2 Schutzbedarfsanalyse | 98 |
| 7.2.1 Prozessarchitektur und Prozesscharakteristika | 99 |
| 7.2.2 Externe Anforderungen an das Unternehmen (Gesetze, Vorschriften, Normen, Practices) – Einleitung | 100 |
| 7.2.3 Persönliche Haftungsrisiken und Strafbarkeit | 101 |
| 7.2.4 Haftungsrisiken von Unternehmen | 105 |
| 7.2.5 Risikomanagement | 106 |
| 7.2.6 Buchführung | 107 |
| 7.2.6.1 Deutschland | 107 |
| 7.2.6.2 Schweiz | 110 |
| 7.2.7 Verträge | 110 |
| 7.2.8 Gleichbehandlung | 110 |
| 7.2.9 Datenschutz | 110 |
| 7.2.9.1 Deutschland | 110 |
| 7.2.9.2 Europäische Union | 112 |
| 7.2.9.3 Österreich und Schweiz | 113 |
| 7.2.9.4 USA | 113 |
| 7.2.10 Arbeitsschutz und Arbeitssicherheit | 114 |
| 7.2.10.1 Deutschland | 114 |
| 7.2.10.2 Österreich | 120 |
| 7.2.10.3 Großbritannien | 121 |
| 7.2.10.4 Europäische Union | 121 |
| 7.2.10.5 USA | 122 |
| 7.2.10.6 Internationale Arbeitsschutzorganisation | 123 |
| 7.2.10.7 Sozialschutz (Social Compliance) | 123 |
| 7.2.11 Weitere gesetzliche Anforderungen in Deutschland | 123 |
| 7.2.12 Unternehmensführung, Corporate Governance | 124 |
| 7.2.13 Finanzinstitute und Versicherungsunternehmen | 124 |
| 7.2.13.1 Deutschland | 124 |
| 7.2.13.2 Schweiz | 138 |
| 7.2.13.3 Großbritannien | 139 |
| 7.2.13.4 Europäische Union | 139 |
| 7.2.13.5 USA | 141 |
| 7.2.14 Chemische und pharmazeutische Industrie | 141 |
| 7.2.15 Behörden | 143 |
| 7.2.16 In USA börsennotierte Unternehmen | 144 |
| 7.2.17 Weitere Anforderungen | 145 |
| 7.2.18 Normen, Standards, Practices | 145 |
| 7.2.18.1 Risikomanagement: ONR 49000 ff. | 147 |
| 7.2.18.2 Risikomanagement: ISO 31000 | 147 |
| 7.2.18.3 BCM: BS 25999-1:2006 | 147 |
| 7.2.18.4 BCM: BS 25999-2:2007 | 149 |
| 7.2.18.5 IPOCM: ISO/PAS 22399:2007 | 150 |
| 7.2.19 Externe Anforderungen an das Unternehmen – Fazit | 153 |
| 7.2.20 Geschäftseinflussanalyse (Business Impact Analysis) | 154 |
| 7.2.21 Betriebseinflussanalyse (Operational Impact Analysis) | 157 |
| 7.3 Tabelle Schadensszenarien | 158 |
| 7.4 Praxisbeispiele | 159 |
| 7.4.1 Schutzbedarf der Prozesse | 159 |
| 7.4.2 Betriebseinflussanalyse | 159 |
| 7.4.3 Schutzbedarfsklassen | 163 |
| 7.5 Zusammenfassung | 165 |
| 8 Sicherheitsmerkmale | 166 |
| 8.1 Haus zur Sicherheit – „House of Occ. Health, Safety, Security and Continuity” (HHSSC) | 167 |
| 8.2 „Occ. Health, Safety, Security and Continuity Function Deployment” | 168 |
| 8.2.1 Transformation der Anforderungen auf Sicherheitsmerkmale | 168 |
| 8.2.2 Detaillierung der Sicherheitsmerkmale | 170 |
| 8.2.3 Abbildung der Merkmale auf den Lebenszyklus | 170 |
| 8.3 Schutzbedarfsklassen | 172 |
| 8.4 Praxisbeispiele | 172 |
| 8.5 Zusammenfassung | 174 |
| 9 Sicherheitsarchitektur | 176 |
| 9.1 Überblick | 177 |
| 9.2 Prinzipielle Sicherheitsanforderungen | 178 |
| 9.3 Prinzipielle Bedrohungen | 179 |
| 9.4 Strategien und Prinzipien | 183 |
| 9.4.1 Risikostrategie (Risk Strategy) | 184 |
| 9.4.2 Sicherheits-und Kontinuitätsstrategie (Occ. Health, Safety, Security and Continuity Strategy) | 185 |
| 9.4.3 Prinzip der Wirtschaftlichkeit | 186 |
| 9.4.4 Prinzip der Abstraktion | 186 |
| 9.4.5 Prinzip der Klassenbildung | 187 |
| 9.4.6 Poka-Yoke-Prinzip | 188 |
| 9.4.7 Prinzip der Namenskonventionen | 189 |
| 9.4.8 Prinzip der Redundanz (Principle of Redundancy) | 190 |
| 9.4.9 Prinzip des „aufgeräumten” Arbeitsplatzes (Clear Desk Policy) | 192 |
| 9.4.10 Prinzip des „gesperrten” Bildschirms (Clear Screen Policy) | 193 |
| 9.4.11 Prinzip der Eigenverantwortlichkeit | 193 |
| 9.4.12 Vier-Augen-Prinzip (Confirmed Double Check Principle) | 193 |
| 9.4.13 Prinzip der Funktionstrennung (Segregation of Duties Principle) | 193 |
| 9.4.14 Prinzip der Sicherheitsschalen (Security Shell Principle) | 193 |
| 9.4.15 Prinzip der Pfadanalyse (Path Analysis Principle) | 194 |
| 9.4.16 Prinzip der Geund Verbotsdifferenzierung | 195 |
| 9.4.17 Prinzip des generellen Verbots (Deny All Principle) | 195 |
| 9.4.18 Prinzip der Ausschließlichkeit | 196 |
| 9.4.19 Prinzip der minimalen Rechte (Need to Know/Use Principle) | 196 |
| 9.4.20 Prinzip der minimalen Dienste (Minimum Services Principle) | 196 |
| 9.4.21 Prinzip der minimalen Nutzung (Minimum Usage Principle) | 196 |
| 9.4.22 Prinzip der Nachvollziehbarkeit und Nachweisbarkeit | 197 |
| 9.4.23 Prinzip des „sachverständigen Dritten“ | 197 |
| 9.4.24 Prinzip der Sicherheitszonen und des Closed-Shop-Betriebs | 197 |
| 9.4.25 Prinzip der Immanenz (Principle of Immanence) | 198 |
| 9.4.26 Prinzip der Konsolidierung (Principle of Consolidation) | 199 |
| 9.4.27 Prinzip der Standardisierung (Principle of Standardization) | 201 |
| 9.4.28 Prinzip der Plausibilisierung (Principle of Plausibleness) | 201 |
| 9.4.29 Prinzip der Konsistenz (Principle of Consistency) | 202 |
| 9.4.30 Prinzip der Untergliederung (Principle of Compartmentalization) | 202 |
| 9.4.31 Prinzip der Vielfältigkeit (Principle of Diversity) | 202 |
| 9.4.32 Distanzprinzip | 202 |
| 9.4.33 Prinzip der Vererbung | 203 |
| 9.4.34 Prinzip der Subjekt-Objekt-bzw. Aktiv-Passiv-Differenzierung | 204 |
| 9.5 Sicherheitselemente | 204 |
| 9.5.1 Prozesse im Überblick | 206 |
| 9.5.1.1 Kern-und Unterstützungsprozesse im Überblick | 208 |
| 9.5.1.2 Begleitprozesse (Managementdisziplinen) im Überblick | 209 |
| 9.5.2 Konformitätsmanagement (Compliance Management) | 215 |
| 9.5.3 Arbeitsschutzmanagement (Occ. Health and Safety Management) | 217 |
| 9.5.4 Datenschutzmanagement (Privacy Management) | 219 |
| 9.5.5 Risikomanagement (Risk Management) | 221 |
| 9.5.6 Leistungsmanagement (Service Level Management) | 232 |
| 9.5.6.1 Prozessauslagerung (Business Process Outsourcing) | 233 |
| 9.5.6.2 Vertragsmanagement | 238 |
| 9.5.7 Finanzmanagement (Financial Management) | 240 |
| 9.5.8 Projektmanagement (Project Management) | 240 |
| 9.5.9 Qualitätsmanagement (Quality Management) | 240 |
| 9.5.10 Ereignismanagement (Incident Management) | 241 |
| 9.5.11 Problemmanagement (Problem Management) | 246 |
| 9.5.12 Änderungsmanagement (Change Management) | 247 |
| 9.5.13 Releasemanagement (Release Management) | 249 |
| 9.5.14 Konfigurationsmanagement (Configuration Management) | 249 |
| 9.5.15 Lizenzmanagement (Licence Management) | 251 |
| 9.5.16 Kapazitätsmanagement (Capacity Management) | 252 |
| 9.5.16.1 Infrastruktur-Management | 254 |
| 9.5.16.2 Rechnermanagement | 254 |
| 9.5.16.3 Speichermanagement (Storage Management) | 254 |
| 9.5.17 Wartungsmanagement (Maintenance Management) | 264 |
| 9.5.18 Kontinuitätsmanagement (Continuity Management) | 265 |
| 9.5.18.1 Vermeidung durch Prävention | 281 |
| 9.5.18.2 Unterlagensicherung | 285 |
| 9.5.18.3 Datensicherung | 286 |
| 9.5.18.4 Versicherung | 291 |
| 9.5.18.5 Checkliste Kontrollen (Controls) | 292 |
| 9.5.19 Securitymanagement (Security Management) | 292 |
| 9.5.19.1 Sicherheitsschalenmodell / Sicherheitsschirm | 294 |
| 9.5.19.2 Berechtigungsmodell | 298 |
| 9.5.19.3 Rechtevergabe | 301 |
| 9.5.19.4 Rechtedokumentation | 302 |
| 9.5.19.5 Rechtesteuerung und -verwaltung | 302 |
| 9.5.19.6 Objektschutz | 302 |
| 9.5.19.7 Identifikation und Authentisierung | 308 |
| 9.5.19.8 Zufahrtsschutz | 317 |
| 9.5.19.9 Zutritts-, Post-und Wareneingangsschutz | 317 |
| 9.5.19.10 Zugangsschutz | 323 |
| 9.5.19.11 Zugriffsschutz | 323 |
| 9.5.19.12 Leseschutz | 324 |
| 9.5.19.13 Wiederaufbereitung | 327 |
| 9.5.19.14 Absendekontrolle | 328 |
| 9.5.19.15 Übertragungssicherung | 328 |
| 9.5.19.16 Abgangskontrolle | 330 |
| 9.5.19.17 Transportsicherung | 330 |
| 9.5.19.18 Abfahrtskontrolle | 331 |
| 9.5.19.19 Alarmierung | 332 |
| 9.5.19.20 Protokollierung und Beweissicherung | 332 |
| 9.5.19.21 Protokollauswertung und Berichtswesen | 333 |
| 9.5.20 Architekturmanagement (Architecture Management) | 334 |
| 9.5.21 Innovationsmanagement (Innovation Management) | 334 |
| 9.5.22 Personalmanagement (Human Resources Management) | 337 |
| 9.5.23 Ressourcen im Überblick | 342 |
| 9.5.23.1 IKT-Hard-und -Software | 342 |
| 9.5.23.2 Infrastruktur | 349 |
| 9.5.23.3 Material | 351 |
| 9.5.23.4 Methoden und Verfahren | 351 |
| 9.5.23.5 Dokumente | 351 |
| 9.5.23.6 Personal | 351 |
| 9.5.24 Organisation im Überblick | 352 |
| 9.5.25 Lebenszyklus im Überblick | 352 |
| 9.6 Hilfsmittel Sicherheits-und Risikoarchitekturmatrix | 352 |
| 9.7 Zusammenfassung | 354 |
| 10 Sicherheitsrichtlinien/-standards – Generische Sicherheitskonzepte | 355 |
| 10.1 Übergreifende Richtlinien | 356 |
| 10.1.1 Sicherheitsregeln | 356 |
| 10.1.2 Kommunikation | 357 |
| 10.1.3 Prozessvorlage | 358 |
| 10.1.4 Sourcing | 360 |
| 10.1.5 Fax | 363 |
| 10.1.6 IKT-Benutzerordnung | 363 |
| 10.1.7 E-Mail-Nutzung | 365 |
| 10.1.8 Internet-Nutzung | 367 |
| 10.2 Kern-, Support-, Begleitprozesse (Managementdisziplinen) | 368 |
| 10.2.1 Datenschutzmanagement | 368 |
| 10.2.2 Sicherheits-, Kontinuitäts-und Risikomanagement | 369 |
| 10.2.3 Kapazitätsmanagement | 370 |
| 10.2.4 Kontinuitätsmanagement | 372 |
| 10.2.4.1 Vermeidung durch Prävention | 377 |
| 10.2.4.2 Datensicherung | 379 |
| 10.2.4.3 Notfall-, Krisen-und Katastrophenvorsorge | 381 |
| 10.2.4.4 Prinzipielles Beispiel: Vorbeugender Brandschutz | 387 |
| 10.2.4.5 Prinzipielles Beispiel: Formblatt Drohanruf | 388 |
| 10.2.4.6 Beispiel: Flucht-und Rettungsplan | 389 |
| 10.2.4.7 Berichtswesen | 389 |
| 10.2.5 Securitymanagement | 390 |
| 10.2.5.1 Antrags- und Genehmigungsverfahren | 390 |
| 10.2.5.2 Zufahrtsschutz | 391 |
| 10.2.5.3 Zutrittsschutz | 393 |
| 10.2.5.4 Zugangsschutz | 396 |
| 10.2.5.5 Zugriffsschutz | 399 |
| 10.2.5.6 Leseschutz | 400 |
| 10.2.5.7 Protokollierung/Beweissicherung | 400 |
| 10.3 Ressourcen | 401 |
| 10.4 Organisation | 401 |
| 10.5 Zusammenfassung | 403 |
| 11 Spezifische Sicherheitskonzepte | 404 |
| 11.1 Prozesse | 405 |
| 11.1.1 Kontinuitätsmanagement | 405 |
| 11.1.1.1 Datensicherung | 405 |
| 11.2 Ressourcen | 406 |
| 11.2.1 Betriebssystem | 406 |
| 11.2.1.1 Systemspezifische Passworteinstellungen | 406 |
| 11.3 Zusammenfassung | 406 |
| 12 Sicherheitsmaßnahmen | 407 |
| 12.1 Ressourcen | 407 |
| 12.1.1 Betriebssystem: Protokoll Passworteinstellungen | 407 |
| 12.2 Zusammenfassung | 408 |
| 13 Prozess-, Produkt-und Dienstleistungslebenszyklen | 409 |
| 13.1 Prozesslebenszyklus | 410 |
| 13.2 Produkt-und Dienstleistungslebenszyklus | 414 |
| 13.3 Entscheidungsprozesslebenszyklus | 416 |
| 13.4 Zusammenfassung | 417 |
| 14 Sicherheitsregelkreis | 418 |
| 14.1 Sicherheitsprüfungen | 419 |
| 14.1.1 Sicherheitsstudie/-analyse | 419 |
| 14.1.2 Penetrationstests | 422 |
| 14.1.3 IT-Security-Scans | 424 |
| 14.2 Sicherheitscontrolling | 424 |
| 14.3 Berichtswesen (Occ. Health, Safety, Security and Continuity Reporting) | 426 |
| 14.3.1 Anforderungen | 426 |
| 14.3.2 Inhalte | 428 |
| 14.4 Safety-Security-Continuity-Benchmarks | 437 |
| 14.5 Hilfsmittel IT-Sicherheitsfragen | 437 |
| 14.6 Zusammenfassung | 438 |
| 15 Reifegradmodell des Sicherheits-, Kontinuitäts-und Risikomanagements | 439 |
| 15.1 Systems Security Engineering – Capability Maturity Model® | 440 |
| 15.2 Information Technology Security Assessment Framework | 441 |
| 15.3 Maturity Model nach COBIT® | 441 |
| 15.4 Reifegradmodell Unternehmenssicherheit | 443 |
| 15.4.1 Stufe 0: unbekannt | 443 |
| 15.4.2 Stufe 1: begonnen | 444 |
| 15.4.3 Stufe 2: konzipiert | 444 |
| 15.4.4 Stufe 3: standardisiert | 444 |
| 15.4.5 Stufe 4: integriert | 444 |
| 15.4.6 Stufe 5: gesteuert | 444 |
| 15.4.7 Stufe 6: selbst lernend | 445 |
| 15.5 Checkliste Reifegrad | 445 |
| 15.6 Praxisbeispiel | 446 |
| 15.7 Zusammenfassung | 447 |
| 16 Sicherheitsmanagementprozess | 448 |
| 16.1 Deming-bzw. PDCA-Zyklus | 448 |
| 16.2 Planung | 449 |
| 16.3 Durchführung | 450 |
| 16.4 Prüfung | 451 |
| 16.5 Verbesserung | 451 |
| 16.6 Zusammenfassung | 452 |
| 17 Abbildungsverzeichnis | 454 |
| 18 Markenverzeichnis | 455 |
| 19 Verzeichnis über Gesetze, Vorschriften, Standards, Normen | 456 |
| 19.1 Gesetze, Verordnungen und Richtlinien | 456 |
| 19.1.1 Deutschland: Gesetze und Verordnungen | 456 |
| 19.1.2 Österreich: Gesetze und Verordnungen | 457 |
| 19.1.3 Schweiz: Gesetze, Verordnungen und Rundschreiben | 457 |
| 19.1.4 Großbritannien: Gesetze, Vorschriften | 458 |
| 19.1.5 Europa: Entscheidungen und Richtlinien | 458 |
| 19.1.6 USA: Gesetze, Practices und Prüfvorschriften | 459 |
| 19.2 Ausführungsbestimmungen, Grundsätze, Vorschriften | 460 |
| 19.3 Standards, Normen, Leitlinien und Rundschreiben | 462 |
| 20 Literatur-und Quellenverzeichnis | 471 |
| 21 Glossar und Abkürzungsverzeichnis | 475 |
| 22 Sachwortverzeichnis | 493 |
| 23 Über den Autor | 522 |
