| Vorwort | 6 |
| Inhaltsübersicht | 18 |
| Inhaltsverzeichnis | 19 |
| 1 Ausgangssituation und Zielsetzung | 28 |
| 1.1 Ausgangssituation | 29 |
| 1.1.1 Bedrohungen | 29 |
| 1.1.2 Schwachstellen | 33 |
| 1.1.3 Schutzbedarf | 36 |
| 1.2 Zielsetzung des Sicherheits-, Kontinuitäts- und Risikomanagements | 37 |
| 1.3 Lösung | 37 |
| 1.4 Zusammenfassung | 39 |
| 2 Kurzfassung und Überblick für Eilige | 40 |
| 3 Zehn Schritte zum Sicherheitsmanagement | 42 |
| 4 Definitionen zum Sicherheits-, Kontinuitäts- und Risikomanagement | 46 |
| 4.1 Unternehmenssicherheitsmanagementsystem | 47 |
| 4.2 Informationssicherheitsmanagementsystem | 48 |
| 4.3 Sicherheitsmanagement | 49 |
| 4.4 ITK-Sicherheitsmanagement | 50 |
| 4.4.1 ISO/IEC 13335-1:2004 | 51 |
| 4.4.2 ISO/IEC 17799:2005, ISO/IEC 27002:2005 | 53 |
| 4.4.3 ISO/IEC 27001:2005 | 55 |
| 4.4.4 ISO/IEC 27000-Reihe | 57 |
| 4.4.5 ITIL® Security Management | 58 |
| 4.4.6 IT-Grundschutzhandbuch, IT-Grundschutzkataloge des BSI | 59 |
| 4.4.7 COBIT®, Version 4.0 | 64 |
| 4.4.8 BS 25999-1:2006 | 66 |
| 4.4.9 BS 25999-2 | 69 |
| 4.4.10 Fazit: Normen und Practices versus Sicherheitspyramide | 70 |
| 4.5 Ingenieurmäßige Sicherheit – Safety, Security, Continuity Engineering | 74 |
| 4.6 Sicherheitspyramide | 74 |
| 4.7 Sicherheitspolitik | 76 |
| 4.7.1 ... nach IT-Grundschutzhandbuch/-katalogen (IT-GSHB 2006) | 76 |
| 4.7.2 ... nach ITSEC | 77 |
| 4.7.3 ... nach ISO/IEC 13335-1:2004 | 78 |
| 4.7.4 ... nach ISO 15408 (Common Criteria) | 79 |
| 4.7.6 ... nach ISO/IEC 27001:2005 | 80 |
| 4.7.7 ... nach Dr.-Ing. Müller | 80 |
| 4.7.8 Vergleich | 81 |
| 4.8 Sicherheit im Lebenszyklus | 82 |
| 4.9 Ressourcen, Schutzobjekte und -subjekte sowie -klassen | 83 |
| 4.10 Sicherheitskriterien | 84 |
| 4.11 Geschäftseinflussanalyse (Business Impact Analysis) | 85 |
| 4.12 Geschäftskontinuität (Business Continuity) | 85 |
| 4.13 Sicherheit und Sicherheitsdreiklang | 88 |
| 4.14 Risiko und Risikodreiklang | 90 |
| 4.15 Risikomanagement | 92 |
| 4.16 Zusammenfassung | 92 |
| 5 Die Sicherheitspyramide – Strategie und Vorgehensmodell | 94 |
| 5.1 Überblick | 95 |
| 5.2 Sicherheitshierarchie | 99 |
| 5.2.1 Sicherheits-, Kontinuitäts- und Risikopolitik | 100 |
| 5.2.2 Sicherheitsziele / Sicherheitsanforderungen | 100 |
| 5.2.3 Sicherheitstransformation | 100 |
| 5.2.4 Sicherheitsarchitektur | 101 |
| 5.2.5 Sicherheitsrichtlinien | 101 |
| 5.2.6 Spezifische Sicherheitskonzepte | 101 |
| 5.2.7 Sicherheitsmaßnahmen | 102 |
| 5.3 PROSim | 102 |
| 5.4 Lebenszyklus von Prozessen, Ressourcen, Produkten und Leistungen (Services) | 103 |
| 5.4.1 Geschäfts-, Support- und Begleitprozess-Lebenszyklus | 103 |
| 5.4.2 Ressourcen-/Systemlebenszyklus | 104 |
| 5.4.3 Dienstleistungs- und Produktlebenszyklus | 104 |
| 5.5 Sicherheitsregelkreis | 104 |
| 5.6 Sicherheitsmanagementprozess | 105 |
| 5.7 Zusammenfassung | 105 |
| 6 Sicherheits-, Kontinuitäts- und Risikopolitik | 108 |
| 6.1 Zielsetzung | 109 |
| 6.2 Umsetzung | 109 |
| 6.3 Inhalte | 110 |
| 6.4 Checkliste | 112 |
| 6.5 Praxisbeispiele | 114 |
| 6.5.1 Sicherheits-, kontinuitäts- und risikopolitische Leitsätze Versicherung | 114 |
| 6.5.2 Sicherheits-, Kontinuitäts- und Risikopolitik | 116 |
| 6.6 Zusammenfassung | 123 |
| 7 Sicherheitsziele / Sicherheitsanforderungen | 124 |
| 7.1 Schutzbedarfsklassen | 125 |
| 7.2 Schutzbedarfsanalyse | 125 |
| 7.2.1 Prozessarchitektur und Prozesscharakteristika | 126 |
| 7.2.2 Externe Sicherheitsanforderungen | 127 |
| 7.2.3 Geschäftseinflussanalyse (Business Impact Analysis) | 135 |
| 7.2.4 Betriebseinflussanalyse (Operational Impact Analysis) | 137 |
| 7.3 Tabelle Schadensszenarien | 138 |
| 7.4 Praxisbeispiele | 140 |
| 7.4.1 Schutzbedarf der Geschäftsprozesse | 140 |
| 7.4.3 Schutzbedarfsklassen | 144 |
| 7.5 Zusammenfassung | 145 |
| 8 Sicherheitstransformation | 146 |
| 8.1 Haus zur Sicherheit – House of Safety, Security and Continuity (HoSSC) | 147 |
| 8.2 Safety, Security and Continuity Function Deployment (SSCFD) | 148 |
| 8.2.1 Transformation der Anforderungen auf Sicherheitscharakteristika | 148 |
| 8.2.2 Detaillierung der Sicherheitscharakteristika | 150 |
| 8.2.3 Abbildung der Charakteristika auf den Lebenszyklus | 150 |
| 8.3 Schutzbedarfsklassen | 151 |
| 8.4 Praxisbeispiele | 152 |
| 8.5 Zusammenfassung | 154 |
| 9 Sicherheitsarchitektur | 156 |
| 9.1 Überblick | 157 |
| 9.2 Prinzipielle Sicherheitsanforderungen | 159 |
| 9.3 Prinzipielle Bedrohungen | 159 |
| 9.4 Strategien und Prinzipien | 162 |
| 9.4.1 Risikostrategie (Risk Strategy) | 164 |
| 9.4.2 Sicherheitsstrategie (Safety, Security and Continuity Strategy) | 165 |
| 9.4.3 Prinzip der Wirtschaftlichkeit | 166 |
| 9.4.4 Prinzip der Abstraktion | 166 |
| 9.4.5 Prinzip der Klassenbildung | 167 |
| 9.4.6 Poka-Yoke-Prinzip | 167 |
| 9.4.7 Prinzip der Namenskonventionen | 169 |
| 9.4.8 Prinzip der Redundanz (Principle of Redundancy) | 169 |
| 9.4.9 Prinzip des „aufgeräumten” Arbeitsplatzes (Clear Desk Policy) | 172 |
| 9.4.10 Prinzip des „gesperrten” Bildschirms (Clear Screen Policy) | 172 |
| 9.4.11 Prinzip der Eigenverantwortlichkeit | 172 |
| 9.4.12 Vier-Augen-Prinzip (Confirmed Double Check Principle) | 173 |
| 9.4.13 Prinzip der Funktionstrennung (Segregation of Duties) | 173 |
| 9.4.14 Prinzip der Sicherheitsschalen (Security Shells) | 173 |
| 9.4.15 Prinzip der Pfadanalyse | 174 |
| 9.4.16 Prinzip des generellen Verbots (Deny All Principle) | 174 |
| 9.4.17 Prinzip der minimalen Rechte (Need to Use Principle) | 174 |
| 9.4.18 Prinzip der minimalen Dienste | 174 |
| 9.4.19 Prinzip der minimalen Nutzung | 175 |
| 9.4.20 Prinzip der Nachvollziehbarkeit und Nachweisbarkeit | 175 |
| 9.4.21 Prinzip des „sachverständigen Dritten“ | 175 |
| 9.4.22 Prinzip des Closed-Shop-Betriebs und der Sicherheitszonen | 175 |
| 9.4.23 Prinzip der Prozess-, Ressourcen- und Lebenszyklusimmanenz | 176 |
| 9.4.24 Prinzip der Konsolidierung | 177 |
| 9.4.25 Prinzip der Standardisierung (Principle of Standardization) | 178 |
| 9.4.26 Prinzip der Plausibilisierung (Principle of Plausibleness) | 178 |
| 9.4.27 Prinzip der Konsistenz (Principle of Consistency) | 179 |
| 9.4.28 Prinzip der Untergliederung (Principle of Compartmentalization) | 179 |
| 9.4.29 Prinzip der Vielfältigkeit (Principle of Diversity) | 180 |
| 9.5 Sicherheitselemente | 180 |
| 9.5.1 Prozesse im Überblick | 181 |
| 9.5.2 Konformitätsmanagement (Compliance Management) | 192 |
| 9.5.3 Datenschutzmanagement (Privacy Management) | 193 |
| 9.5.4 Risikomanagement (Risk Management) | 195 |
| 9.5.5 Leistungsmanagement (Service Level Management) | 199 |
| 9.5.6 Finanzmanagement (Financial Management) | 203 |
| 9.5.7 Projektmanagement (Project Management) | 204 |
| 9.5.8 Qualitätsmanagement (Quality Management) | 204 |
| 9.5.9 Ereignismanagement (Incident Management) | 205 |
| 9.5.10 Problemmanagement (Problem Management) | 211 |
| 9.5.11 Änderungsmanagement (Change Management) | 212 |
| 9.5.12 Releasemanagement (Release Management) | 215 |
| 9.5.13 Konfigurationsmanagement (Configuration Management) | 215 |
| 9.5.14 Lizenzmanagement (Licence Management) | 216 |
| 9.5.15 Kapazitätsmanagement (Capacity Management) | 217 |
| 9.5.16 Wartungsmanagement (Maintenance Management) | 219 |
| 9.5.17 Kontinuitätsmanagement (Continuity Management) | 220 |
| 9.5.18 Securitymanagement (Security Management) | 238 |
| 9.5.19 Architekturmanagement (Architecture Management) | 273 |
| 9.5.20 Innovationsmanagement (Innovation Management) | 286 |
| 9.5.21 Personalmanagement (Human Resources Management) | 288 |
| 9.5.22 Ressourcen im Überblick | 292 |
| 9.5.23 ITK-Hard- und Software | 292 |
| 9.5.24 Infrastruktur | 322 |
| 9.5.25 Dokumente | 324 |
| 9.5.26 Personal | 324 |
| 9.5.27 Organisation im Überblick | 324 |
| 9.5.28 Lebenszyklus im Überblick | 325 |
| 9.6 Hilfsmittel Sicherheits- und Risikoarchitekturmatrix | 325 |
| 9.7 Zusammenfassung | 327 |
| 10 Sicherheitsrichtlinien/-standards – Generische Sicherheitskonzepte | 328 |
| 10.1 Übergreifende Richtlinien | 329 |
| 10.1.1 Sicherheitsregeln | 329 |
| 10.1.2 Prozessvorlage | 330 |
| 10.1.3 IT-Benutzerordnung | 332 |
| 10.1.4 E-Mail-Nutzung | 334 |
| 10.2 Betriebs- und Begleitprozesse (Managementdisziplinen) | 338 |
| 10.2.1 Kapazitätsmanagement | 338 |
| 10.2.2 Kontinuitätsmanagement | 340 |
| 10.2.3 Securitymanagement | 352 |
| 10.3 Ressourcen | 364 |
| 10.3.1 Zutrittskontrollsystem | 364 |
| 10.3.2 Passwortspezifische Systemanforderungen | 364 |
| 10.3.3 Wireless LAN | 365 |
| 10.4 Organisation | 366 |
| 10.5 Zusammenfassung | 367 |
| 11 Spezifische Sicherheitskonzepte | 368 |
| 11.1 Prozesse | 369 |
| 11.2 Ressourcen | 370 |
| 11.3 Zusammenfassung | 370 |
| 12 Sicherheitsmaßnahmen | 372 |
| 12.1 Ressourcen | 372 |
| 13 Lebenszyklus | 374 |
| 13.1 Beantragung | 375 |
| 13.2 Planung | 376 |
| 13.3 Fachkonzept, Anforderungsspezifikation | 376 |
| 13.4 Technisches Grobkonzept | 377 |
| 13.5 Technisches Feinkonzept | 378 |
| 13.6 Entwicklung | 381 |
| 13.7 Integrations- und Systemtest | 383 |
| 13.8 Freigabe | 384 |
| 13.9 Software-Evaluation | 384 |
| 13.10 Auslieferung | 385 |
| 13.11 Abnahmetest und Abnahme | 385 |
| 13.12 Software-Verteilung | 386 |
| 13.13 Inbetriebnahme | 387 |
| 13.14 Betrieb | 387 |
| 13.15 Außerbetriebnahme | 388 |
| 13.16 Hilfsmittel Phasen-Ergebnistypen-Tabelle | 389 |
| 13.17 Zusammenfassung | 390 |
| 14 Sicherheitsregelkreis | 392 |
| 14.1 Sicherheitsprüfungen | 393 |
| 14.2 Sicherheitscontrolling | 399 |
| 14.3 Berichtswesen (Safety-Security-Reporting) | 401 |
| 14.4 Safety-Security-Benchmarks | 407 |
| 14.5 Hilfsmittel IT-Sicherheitsfragen | 407 |
| 14.6 Zusammenfassung | 408 |
| 15 Reifegradmodell des Sicherheitsmanagements – Safety/Security/Continuity Management Maturity Model | 410 |
| 15.1 Systems Security Engineering – Capability Maturity Model | 411 |
| 15.2 Information Technology Security Assessment Framework | 412 |
| 15.3 Security-Maturity-Modell | 413 |
| 15.4 Reifegradmodell nach Dr.-Ing. Müller | 413 |
| 15.5 Checkliste Reifegrad | 415 |
| 15.6 Praxisbeispiel | 417 |
| 15.7 Zusammenfassung | 418 |
| 16 Sicherheitsmanagementprozess | 420 |
| 16.1 Deming- bzw. PDCA-Zyklus | 420 |
| 16.2 Planung | 421 |
| 16.3 Durchführung | 423 |
| 16.4 Prüfung | 423 |
| 16.5 Verbesserung | 424 |
| 16.6 Zusammenfassung | 424 |
| 17 Minimalistische Sicherheit | 428 |
| Abbildungsverzeichnis | 430 |
| Markenzeichen | 431 |
| Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices | 432 |
| Deutsche Gesetze und Verordnungen | 432 |
| Ausführungsbestimmungen, Grundsätze, Vorschriften | 436 |
| Standards, Normen, Leitlinien und Rundschreiben | 437 |
| Literatur- und Quellenverzeichnis | 446 |
| Glossar und Abkürzungsverzeichnis | 452 |
| Sachwortverzeichnis | 502 |
| Über den Autor | 532 |
