| Dank | 5 |
| Vorwort | 6 |
| Inhaltsverzeichnis | 9 |
| 1 Einführung | 14 |
| 1.1 Wie wir uns entscheiden | 14 |
| 1.2 ISMS – Managementsysteme für Informations-sicherheit | 16 |
| 1.3 Schritt für Schritt | 19 |
| 1.4 Hinweise zum Buch | 21 |
| 2 Grundlagen | 25 |
| 2.1 Sprachgebrauch, Begriffe und Besonderheiten der Übersetzung | 26 |
| 2.1.1 Begriffe aus ISO/IEC 27001 | 28 |
| 2.1.2 Begriffe aus ISO/IEC 27002 | 30 |
| 2.1.3 Begriffe aus ISO/IEC 27005 | 31 |
| 2.1.4 Übersicht der explizit definierten Begriffe | 33 |
| 2.2 Entscheidend ist die Methodik | 35 |
| 2.3 Der Ansatz der ISO | 37 |
| 2.3.1 Die Entwicklung der ISO-Standards | 38 |
| 2.3.2 Der PDCA-Zyklus | 41 |
| 2.4 Die ISO 31000 Familie | 43 |
| 2.4.1 Risikomanagement mit ISO 31000 | 43 |
| Risikomanagement schafft und beschützt Werte. | 43 |
| Risikomanagement ist Bestandteil aller Unternehmensprozesse. | 44 |
| Risikomanagement ist Teil der Entscheidungsfindung. | 44 |
| Risikomanagement adressiert gezielt Unsicherheiten. | 45 |
| Risikomanagement ist systematisch, strukturiert und zeitgerecht. | 45 |
| Risikomanagement basiert auf allen verfügbaren Informationen. | 45 |
| Risikomanagement ist maßgeschneidert. | 45 |
| Risikomanagement beachtet soziale und kulturelle Faktoren. | 45 |
| Risikomanagement ist transparent und einbeziehend. | 45 |
| Risikomanagement ist dynamisch, iterativ und reagiert gezielt auf Änderungsprozesse. | 45 |
| Risikomanagement erleichtert die kontinuierliche Verbesserung. | 46 |
| 2.4.2 Von der Theorie zur Praxis: ISO/IEC 31010 | 47 |
| 2.5 Die ISO/IEC 27000 Familie | 51 |
| 2.5.1 Familienübersicht | 51 |
| 2.5.2 Weitere Security-Standards | 55 |
| 2.6 Abgrenzung zum BSI IT-Grundschutz | 55 |
| 2.7 Was ist Risikomanagement? | 58 |
| 2.7.1 Typische Bedrohungen der Informationssicherheit | 59 |
| 2.7.2 Typische Schwachstellen der Informationssicherheit | 62 |
| 2.7.3 Ursache und Wirkung | 63 |
| 2.7.4 SANS Risikoliste | 65 |
| 2.8 ExAmple AG - Die Firma für die Fallbeispiele | 67 |
| 2.9 Die ISO/IEC 27000 Familie in kleinen Organisa-tionen | 71 |
| 2.10 Zusammenfassung | 72 |
| 3 ISO/IEC 27005 | 74 |
| 3.1 Überblick über den Risikomanagement-Prozess | 75 |
| 3.2 Festlegung des Kontexts | 77 |
| Anwendungsbereich und Grenzen | 78 |
| Rollen und Verantwortlichkeiten | 79 |
| Basiskriterien | 79 |
| 3.3 Risiko-Assessment | 81 |
| 3.3.1 Risikoidentifikation | 83 |
| Identifikation der Assets und Prozesse | 83 |
| Identifikation von Bedrohungen | 85 |
| Identifikation bereits umgesetzter Maßnahmen | 85 |
| Identifikation von Schwachstellen | 85 |
| Identifikation von Schadensauswirkungen | 86 |
| 3.3.2 Risikoabschätzung | 87 |
| Abschätzung der Auswirkungen | 88 |
| Abschätzung der Wahrscheinlichkeiten | 88 |
| Abschätzung des Risiko-Levels | 88 |
| 3.3.3 Risikobewertung/ Priorisierung | 89 |
| 3.4 Risikobehandlung | 92 |
| Risikoreduktion | 94 |
| Risikoübernahme | 96 |
| Risikovermeidung | 97 |
| Risikotransfer | 97 |
| 3.5 Risikoakzeptanz | 100 |
| 3.6 Risikokommunikation | 101 |
| 3.7 Risikoüberwachung/ -überprüfung | 104 |
| 3.8 Zusammenfassung | 107 |
| 4 ISO 27005 und BSI IT-Grundschutz | 109 |
| 4.1 Die Vorgehensweise nach IT-Grundschutz | 110 |
| 4.2 BSI-Standard 100-3 | 112 |
| 4.3 Die IT-Grundschutz-Kataloge | 115 |
| 4.4 Zusammenfassung | 117 |
| 5 Risiko-Assessment | 118 |
| 5.1 Methodensteckbriefe | 119 |
| 5.2 Merkmale | 120 |
| 5.3 Gruppierungen | 121 |
| 5.4 Brainstorming | 123 |
| 5.5 Strukturierte und semistrukturierte Interviews | 125 |
| 5.6 Die Delphi-Methode | 127 |
| 5.7 Checklisten | 129 |
| 5.8 Vorläufige Sicherheitsanalyse (Preliminary Hazard Analysis PHA) | 131 |
| 5.9 HAZOP-Studie (HAZard and OPerability) | 133 |
| 5.10 HACCP-Konzept (Hazard Analysis and Critical Control Points) | 137 |
| 5.11 SWIFT-Technik (Structured "What if") | 139 |
| 5.12 Szenario-Analysen | 141 |
| 5.13 Business Impact Analysen (BIA) | 143 |
| 5.14 Ursachenanalyse (Root Cause Analysis RCA) | 145 |
| 5.15 Auswirkungsanalysen (FMEA und FMECA) | 147 |
| 5.16 Fehler- und Ereignisbaumanalyse (FTA und ETA) | 149 |
| 5.17 Ursache-Wirkungsanalysen | 151 |
| 5.18 Bow Tie Methode | 153 |
| 5.19 Zuverlässigkeitsanalyse (Human Reliability Assessment HRA) | 155 |
| 5.20 Risikoindizes | 157 |
| 5.21 Auswirkungs-Wahrscheinlichkeits-Matrix | 159 |
| 5.22 Entscheidungsmatrizen | 161 |
| 5.23 Zusammenfassung | 163 |
| 6 Risikokommunikation | 164 |
| 6.1 Theoretische Grundlagen | 165 |
| 6.2 Das besondere an Risiken | 170 |
| 6.3 Konfliktpotential | 172 |
| 6.4 Kommunikationsmatrix | 174 |
| 6.5 Zusammenfassung | 178 |
| 7 Wirtschaftlichkeitsbetrachtung | 179 |
| 7.1 Pacta sunt servanda | 181 |
| 7.2 Wirtschaftlichkeitsprinzipien | 182 |
| 7.3 Kosten-Nutzen-Analysen | 184 |
| 7.4 Pareto-Prinzip | 185 |
| 7.5 Total Cost/ Benefit of Ownership (TCO/ TBO) | 187 |
| 7.6 Return on Security Investment (ROSI) | 190 |
| 7.7 Stochastischer ROSI | 191 |
| 7.8 Return on Information Security Invest (ROISI) | 194 |
| 7.9 Zusammenfassung | 197 |
| 8 Die 10 wichtigsten Tipps | 199 |
| 8.1 Hören Sie aufmerksam zu | 200 |
| 8.2 Achten Sie auf die Usability | 200 |
| 8.3 Reden Sie nicht nur von Risiken | 200 |
| 8.4 Denken Sie wirtschaftlich | 201 |
| 8.5 Der Weg ist das Ziel | 201 |
| 8.6 Schauen Sie über den Tellerrand | 202 |
| 8.7 Übernehmen Sie Verantwortung | 202 |
| 8.8 Geben Sie Verantwortung ab | 202 |
| 8.9 Der Empfänger macht die Nachricht | 203 |
| 8.10 Verbeißen Sie sich nicht | -) | 20312 | Interessante Tools und Frameworks204 |
| Steckbriefe | 205 |
| Übersicht | 206 |
| Security Risk Management Guide (SRMG) | 206 |
| Security Assessment Tool (MSAT) | 206 |
| Common Vulnerability Scoring System (CVSS) | 206 |
| Risk Management Framework (chaRMe) | 206 |
| Weitere Tools | 206 |
| Security Risk Management Guide (SRMG) | 207 |
| Security Assessment Tool (MSAT) | 209 |
| Common Vulnerability Scoring System (CVSS) | 211 |
| Risk Management Framework chaRMe | 213 |
| Weitere Tools | 215 |
| Secricon Risk Management Software | 215 |
| Lumension Risk Manager | 216 |
| Proteus | 216 |
| Modulo Risk Manager (NG) | 217 |
| STEAM | 217 |
| risk2value | 218 |
| BPSResolver ERM | 218 |
| Risk Watch | 219 |
| Risk Management Studio | 219 |
| RA2 Art of Risk | 220 |
| OCTAVE | 220 |
| Zusammenfassung | 221 |
| Sachwortverzeichnis | 222 |
| Abkürzungsverzeichnis | 229 |
| Literaturverzeichnis | 232 |
| GNU General Public License | 236 |
