Sie sind hier
E-Book

IT-Sicherheit in Organisationen: Analysebegriffe und Konzeptionsmethoden

AutorDaniel Heid
VerlagBachelor + Master Publishing
Erscheinungsjahr2013
Seitenanzahl50 Seiten
ISBN9783863416331
FormatPDF
Kopierschutzkein Kopierschutz/DRM
GerätePC/MAC/eReader/Tablet
Preis19,99 EUR
Die Analyse und die Konzeption von Sicherheit in der Informationstechnik erfordern eine systematische Vorgehensweise und die Beachtung von gängigen Methoden, die von Standardisierungseinrichtungen, wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI), vorgegeben werden. Ebenfalls sind die Prozesse des Risikomanagements für diesen Bereich von Nutzen. Diese Studie befasst sich mit dem vielseitigen Problem der Analyse und Konzeption von IT-Sicherheit und fasst Lösungsansätze zusammen, um einen Überblick über das breite, von allerlei Paradigmen geprägte Spektrum der IT-Sicherheit zu verschaffen. Dabei wird der Blick über den Tellerrand gewagt, indem neben den umfassenden Schriftstücken zur Sicherheit, welche vom BSI als Standardwerke verfasst wurden, auch andere Werke herangezogen und die in ihnen enthaltenen Ergänzungen berücksichtigt werden. Es werden hier keine konkreten Vorgehensweisen oder informationstechnischen Mittel zur Realisierung bzw. Implementierung von IT-Sicherheit erläutert, sondern die im Vorfeld ablaufenden analytischen und planerischen Prozeduren fokussiert.

Daniel Heid wurde 1986 in Mainz geboren und absolvierte in einer dualen Kooperation der IBM Deutschland GmbH mit der Berufsakademie (Heute: Duale Hochschule) ein Studium im Diplom-Studiengang Wirtschaftsinformatik in Mannheim. Während der Praxisphasen im Unternehmen befasste er sich theoretisch und praktisch mit der Analyse und Optimierung von Computernetzwerken und fand hierin sein Spezialgebiet, das er in seiner Diplomarbeit und in seinem heutigen Berufsleben weiter verfolgt. Er betätigt sich heute als Spezialist und Entwickler bei VOIPFUTURE, einem Hersteller von Hardware-Appliances für das Monitoring von Voice over IP-Verbindungen.

Kaufen Sie hier:

Horizontale Tabs

Leseprobe
Textprobe: Kapitel 4, Konzeption von IT-Sicherheit: Damit die aus der Analyse gewonnenen Erkenntnisse über die bestehende Sicherheitslage einer Organisation und die Sicherheitsrisiken in einen Zustand überführt werden, der den individuellen Anforderungen an die IT-Sicherheit entspricht, wird bei der Sicherheitskonzeption ein Plan zur Umsetzung von Schutzmaßnahmen entwickelt. Man nennt diesen Plan auch IT-Sicherheitskonzept. Im Folgenden wird aufgrund der Masse der Thematik nicht die Erstellung einer IT-Sicherheitsleitlinie beschrieben, welche neben den Schutzmaßnahmen eine Festlegung der Ziele, des Niveaus und der Managementstrategien der IT-Sicherheit umfasst. Stattdessen beinhalten die folgenden Ausführungen die Bewertungskriterien, mögliche strategische Vorgehensweisen und die Auswahl von Sicherheitsmaßnahmen. 4.1, Bewertungskriterien: Um die Schutzziele besonders in Hinblick auf die Etablierung von IT-Sicherheit in staatlichen und militärischen Bereichen, aber auch in der Banken- und Versicherungsbranche zu verwirklichen, existieren nationale und internationale Kriterien zur Bewertung der Sicherheitssituation. Nach Meinung des Autors dieser Arbeit hilft das Studium der Kriterien dabei, die Konzeption der IT-Sicherheit durch Aufzeigen von Sicherheitslücken zu lenken, ein Gefühl für eine Soll-Situation zu geben und ein richtungsweisendes Sicherheitsbewusstsein zu entwickeln. Daher werden im Folgenden drei Kriterienstandards kurz beleuchtet. Trusted Computer System Evaluation Criteria (TCSEC): Mit dem Ziel, die Vertrauenswürdigkeit von Computersystemen erkennbar zu machen und dadurch vertrauenswürdige Computersysteme zu entwickeln, definiert der amerikanische TCSEC-Standard sechs Sicherheitskriterien und vier Sicherheitseinheiten ('Divisons') von A bis D, welche nach Sicherheitsstufe geordnet und in Sicherheitsklassen untergliedert sind. Eine Beschreibung der Sicherheitskriterien und -klassen befindet sich im Anhang. Information Technology Security Evaluation Criteria (ITSEC): Neben dem amerikanischen TCSEC-Kriterienstandard existiert als europäisches Äquivalent seit 1991 der ITSEC-Standard. Letzterer sieht den Verlust jedes der Schutzziele als Grundbedrohung und bewertet nach einem zweigliedrigen Schema, welches einerseits die Sicherheitsfunktionalität und andererseits die Vertrauenswürdigkeit, d. h. die Qualität der Sicherungsmaßnahmen, voneinander separiert. Bei der Untersuchung einer IT-Struktur aus der ITSEC-Perspektive wird jedes IT-Element als Evaluationsgegenstand (EVG), mit einer Unterteilung in IT-Produkte und -Systeme, betrachtet. Das Ergebnis der ITSEC-Zertifizierung entspricht einem Zertifikat, welches die Beschreibung der evaluierten Funktionalität, eine Evaluationsstufe (E0 bis E6) und eine Aussage über die Wirksamkeit (Widerstandsfähigkeit) der Sicherheitsmechanismen enthält. Common Criteria (CC): 'Die Common Criteria sind das Ergebnis gemeinsamer Bemühungen, breit nutzbare Kriterien für die Evaluierung von IT-Sicherheit mit länderübergreifender Gültigkeit bzw. Akzeptanz zu entwickeln'. Hinter dem Begriff steckt ein 1996 eingeführter, internationaler und konsolidierter Kriterienstandard, der sich auf Sicherheitsmaßnahmen in Form von Hard-, Soft- und Firmware konzentriert. Pagnia sieht ihn als derzeit wichtigstes Evaluationsschema. Zu seiner Zielgruppe zählen Anwender, die ihre Sicherheitsbedürfnisse formulieren und auf deren Erfüllung prüfen können, und Entwickler, welchen die Spezifikation und Erfüllung von Sicherheitsanforderungen ihrer Produkte ermöglicht wird. Der erste Teil der CC beinhaltet eine Einführung, welche die allgemeinen Konzepe und Prinzipien der Evaluation, Modelle der Prüfung und Bewertung, Konstrukte für die Auswahl bzw. die Konzeption von Sicherheitszielen und -anforderungen und die Schutzprofile (Protection Profiles) beschreibt. Im zweiten Teil werden die Sicherheitsanforderungen und die funktionalen Komponenten, Familien und Klassen der CC näher beleuchtet. Schließlich befasst sich der dritte Teil mit der Vertrauenswürdigkeit von IT-Elementen und deren Klassifikation in Evaluation Assurance Level (EAL) (Vertrauenswürdigkeitsstufen) von der ersten (EAL1) bis zur siebten Stufe (EAL7). Detaillierte Informationen finden sich im Internetportal zu den Common Criteria http://www.commoncriteriaportal.org/. Strategische Behandlung von Sicherheitsrisiken: Gemäß den Theorien des Risikomanagements geben Strategien die Lösungsansätze für bewertete Risiken vor. Die folgenden Abschnitte beinhalten die Risikostrategien und einige ausgewählte, übergreifende Strategien zur Behandlung von Sicherheitsrisiken. Risikostrategien: Erst im Anschluss an die erfolgte Risikoanalyse lässt sich eine geeignete Risikostrategie unter der Berücksichtigung der Risikopräferenz konzipieren (Vgl. [SW06], S. 95). Letztere wird grundsätzlich durch die drei Adjektive 'risikoscheu', 'risikoneutral' und 'risikofreudig' klassifiziert und bezeichnet die Einstellung des Entscheiders zum Risiko. Mit der Vermeidung eines Risikos wird es durch alternative Entscheidungen bzw. Lösungen umgangen. Nach Meinung des Autors dieser Arbeit empfiehlt sich diese Strategie dann, wenn der Aufwand für geeignete Sicherheitsmaßnahmen in unverhältnismäßiger Höhe dem Ertrag, welcher sich aus der Nutzung des IT-Elements ergibt, gegenübersteht. In dem genannten Fall ist die Übernahme des Risikos, also das Hinnehmen eines potentiellen Schadens, ebenfalls eine Option. Als weitere strategische Vorgehensweise lassen sich Risiken vermindern, indem ihre Eintrittswahrscheinlichkeit verringert oder der Umfang des eintretenden Schadens minimiert wird. Durch die Überwälzung des Risikos wird dieses auf ein anderes Unternehmen, bspw. einen externen Dienstleister, übertragen. Hierbei müssen allerdings die gesetzlichen Bestimmungen, insbesondere bei Banken, beachtet und befolgt werden. Der Transfer kann logischerweise nicht für die Risiken der Kernkomponenten eines Unternehmens gelten. Außerdem zählt die Diversifikation zu den Risikostrategien. Sie beinhaltet eine 'Reduzierung des Gesamtrisikos durch Streuung und systematischer Kombination von nicht korrelierenden Einzelrisiken'. Wenn bspw. ein Server mehrere wichtige Dienste anbietet, lässt sich das Risiko seines Ausfalls durch Verteilung der Anwendung auf andere Server verringern. Müller nennt diese Strategie das 'Prinzip der Untergliederung', nach welchem durch Zerlegung des IT-Elements in einzelne Komponenten eine höhere Sicherheit erzielt werden kann.
Blick ins Buch

Weitere E-Books zum Thema: Informatik - Algorithmen - Softwaresysteme

Softwaretechnik

E-Book Softwaretechnik
Format: PDF

Software-Projekte geraten oft in Schwierigkeiten: Zeit und Budget werden überschritten; das Projekt tritt auf der Stelle; im schlimmsten Fall wird es ohne Ergebnis abgebrochen. Manche…

Softwaretechnik

E-Book Softwaretechnik
Format: PDF

Software-Projekte geraten oft in Schwierigkeiten: Zeit und Budget werden überschritten; das Projekt tritt auf der Stelle; im schlimmsten Fall wird es ohne Ergebnis abgebrochen. Manche…

Softwaretechnik

E-Book Softwaretechnik
Format: PDF

Software-Projekte geraten oft in Schwierigkeiten: Zeit und Budget werden überschritten; das Projekt tritt auf der Stelle; im schlimmsten Fall wird es ohne Ergebnis abgebrochen. Manche…

Software Engineering

E-Book Software Engineering
Architektur-Design und Prozessorientierung Format: PDF

Das Lehrbuch behandelt alle Aspekte der Software-Entwicklung, besonders aber Methoden und Richtlinien zur Herstellung großer und qualitativ hochwertiger Softwareprodukte. Es vermittelt das zur…

Software Engineering

E-Book Software Engineering
Architektur-Design und Prozessorientierung Format: PDF

Das Lehrbuch behandelt alle Aspekte der Software-Entwicklung, besonders aber Methoden und Richtlinien zur Herstellung großer und qualitativ hochwertiger Softwareprodukte. Es vermittelt das zur…

Weitere Zeitschriften

Menschen. Inklusiv leben

Menschen. Inklusiv leben

MENSCHEN. das magazin informiert über Themen, die das Zusammenleben von Menschen in der Gesellschaft bestimmen -und dies konsequent aus Perspektive der Betroffenen. Die Menschen, um die es geht, ...

Archiv und Wirtschaft

Archiv und Wirtschaft

"Archiv und Wirtschaft" ist die viermal jährlich erscheinende Verbandszeitschrift der Vereinigung der Wirtschaftsarchivarinnen und Wirtschaftsarchivare e. V. (VdW), in der seit 1967 rund 2.500 ...

Arzneimittel Zeitung

Arzneimittel Zeitung

Die Arneimittel Zeitung ist die Zeitung für Entscheider und Mitarbeiter in der Pharmabranche. Sie informiert branchenspezifisch über Gesundheits- und Arzneimittelpolitik, über Unternehmen und ...

Berufsstart Gehalt

Berufsstart Gehalt

»Berufsstart Gehalt« erscheint jährlich zum Sommersemester im Mai mit einer Auflage von 50.000 Exemplaren und ermöglicht Unternehmen sich bei Studenten und Absolventen mit einer ...

Bibel für heute

Bibel für heute

BIBEL FÜR HEUTE ist die Bibellese für alle, die die tägliche Routine durchbrechen wollen: Um sich intensiver mit einem Bibeltext zu beschäftigen. Um beim Bibel lesen Einblicke in Gottes ...

cards Karten cartes

cards Karten cartes

Die führende Zeitschrift für Zahlungsverkehr und Payments – international und branchenübergreifend, erscheint seit 1990 monatlich (viermal als Fachmagazin, achtmal als ...

care konkret

care konkret

care konkret ist die Wochenzeitung für Entscheider in der Pflege. Ambulant wie stationär. Sie fasst topaktuelle Informationen und Hintergründe aus der Pflegebranche kompakt und kompetent für Sie ...

DSD Der Sicherheitsdienst

DSD Der Sicherheitsdienst

Der "DSD – Der Sicherheitsdienst" ist das Magazin der Sicherheitswirtschaft. Es erscheint viermal jährlich und mit einer Auflage von 11.000 Exemplaren. Der DSD informiert über aktuelle Themen ...