| Vorwort | 6 |
| Inhalt | 8 |
| Einführung | 13 |
| IT-Sicherheitspolicy | 14 |
| 2.1 Einordnung der IT-Sicherheitspolicy | 14 |
| 2.2 Definition des Geltungsbereichs | 14 |
| 2.3 Sicherheitsgrundsätze | 15 |
| 2.3.1 Sicherheitsgrundsatz 1: Unternehmensziel | 15 |
| 2.3.2 Sicherheitsgrundsatz 2: Schadensvermeidung | 15 |
| 2.3.3 Sicherheitsgrundsatz 3: Sicherheitsbewusstsein | 16 |
| 2.3.4 Sicherheitsgrundsatz 4: Gesetzliche, aufsichtsrechtliche und vertragliche Pflichten | 16 |
| 2.3.5 Sicherheitsgrundsatz 5: Maßnahmen gemäß allgemeingültiger Sicherheitsstandards | 17 |
| 2.3.6 Sicherheitsgrundsatz 6: Aufrechterhaltung des Geschäftsbetriebes | 17 |
| 2.3.7 Sicherheitsgrundsatz 7: Sicherheitsarchitektur | 18 |
| 2.4 Verantwortlichkeiten | 18 |
| 2.4.1 Geschäftsführung und Management | 18 |
| 2.4.2 Sicherheitsorganisation | 19 |
| 2.4.3 Mitarbeiter | 21 |
| 2.5 Umsetzung | 21 |
| 2.5.1 Sicherheitsarchitektur | 21 |
| 2.5.2 Aufgabengebiete | 23 |
| 2.5.3 Kontrolle | 23 |
| Operationale Risiken | 25 |
| 3.1 Grundbetrachtung der operationalen Risiken | 25 |
| 3.1.1 Warum sind die operationalen Risiken für ein Unternehmenzu berücksichtigen? | 25 |
| 3.1.2 Übersicht Risiken | 26 |
| 3.1.3 Gesetzliche und „quasigesetzliche“ Vorgaben | 28 |
| 3.1.4 KonTraG (u. a. Änderungen des AktG und des HGB) | 28 |
| Aufbau eines Managements operationaler IT- Risiken | 31 |
| 4.1 IT-Risikobetrachtung über ein Schichtenmodell | 31 |
| 4.2 Welche Sicherheit ist angemessen? | 32 |
| 4.3 Grobe Vorgehensweise für ein Risikomanagement | 33 |
| 4.3.1 Das „operationale Risiko“ | 33 |
| 4.3.2 Aktualisierung der Werte des operationalen Risikos | 33 |
| 4.3.3 Rollierender Report „Operationales Risiko“ | 34 |
| 4.4 Rahmen für Risikoeinschätzung operationaler Risiken | 34 |
| 4.4.1 Definitionen | 34 |
| 4.4.2 Schutzbedürftigkeitsskalen | 36 |
| 4.4.3 Feststellung des Schutzbedarfs | 40 |
| 4.4.4 Qualitative Risikoeinschätzung einzelner Produkte | 40 |
| 4.4.5 Quantitative Risikoeinschätzung eines Produktes | 44 |
| 4.4.6 Steuerung der operationalen Risiken | 45 |
| 4.4.7 Aufbau des Reporting mit Darstellung der Risiken auf Prozess-/ Produktebene | 46 |
| 4.4.8 Risikodarstellung der Prozesse/Anwendungen in einem Risikoportfolio | 47 |
| 4.4.9 Risikobewältigungsstrategien | 48 |
| 4.5 Risikomanagement operationaler Risiken | 48 |
| Strukturierte Risikoanalyse | 50 |
| 5.1 Schwachstellenanalyse und Risikoeinschätzung für die einzelnen IT- Systeme/ Anwendungen mit der Methode FMEA | 50 |
| 5.1.1 Übersicht | 50 |
| 5.1.2 Kurzbeschreibung der Methode | 51 |
| 5.1.3 Begriffsbestimmung | 52 |
| 5.1.4 Anwendung der Methode FMEA | 53 |
| 5.2 Strukturierte Risikoanalyse (smart scan) | 61 |
| 5.2.1 Generelle Vorgehensweise | 61 |
| 5.2.2 Übersicht über die Klassifizierung und Einschätzung | 62 |
| 5.2.3 Feststellung des Schutzbedarfs | 63 |
| 5.2.4 Checkliste Feststellung der Schutzbedarfsklasse bei Prozessen/ Anwendungen | 63 |
| 5.2.5 Checkliste Feststellung Schutzbedarfsklassen bei IT- Systemen/ IT- Infrastruktur | 65 |
| 5.2.6 Ermittlung des Gesamtschutzbedarfs | 67 |
| 5.2.7 Feststellung der Grundsicherheit von IT-Komponenten und Infrastruktur | 68 |
| 5.2.8 Feststellung der Sicherheit und Verfügbarkeit von Anwendungen | 70 |
| 5.2.9 Feststellung der Risikovorsorge | 72 |
| 5.2.10 Feststellung des Risikos | 73 |
| 5.2.11 Zuordnung und Bewertung der Risikoanalyse für die FMEA | 73 |
| 5.2.12 Überführung der Bewertung in die FMEA | 74 |
| Das IT-Security & Contingency Management | 76 |
| 6.1 Warum IT-Security & Contingency Management? | 76 |
| 6.2 Risiken im Fokus des IT-Security & Contingency Managements | 77 |
| 6.3 Aufbau und Ablauforganisation des IT-Security & Contingency Managements | 77 |
| 6.3.1 Zuständigkeiten | 77 |
| 6.3.2 Aufbauorganisation | 78 |
| 6.3.3 Teamleitung IT-Security & Contingency Management | 79 |
| 6.3.4 Rolle: Security & Prevention IT-Systeme/Infrastruktur | 79 |
| 6.3.5 Rolle: Contingency Management Fachbereichsbetreuung | 79 |
| 6.3.6 Rolle: IT-Risikosteuerung | 80 |
| 6.3.7 Schnittstellen zu anderen Bereichen | 80 |
| 6.3.8 Besondere Aufgaben | 83 |
| 6.3.9 Anforderungsprofil an Mitarbeiter des IT-Security & Contingency Managements | 84 |
| IT-Krisenorganisation | 90 |
| 7.1 Aufbauorganisation des IT-Krisenmanagements | 90 |
| 7.2 Zusammensetzung, Kompetenzen und Informationspflichten der Krisenstäbe | 90 |
| 7.2.1 Operativer Krisenstab | 91 |
| 7.2.2 Strategischer Krisenstab | 92 |
| 7.3 Verhältnis zwischen den beiden Krisenstäben | 92 |
| 7.4 Zusammenkunft des Krisenstabs (Kommandozentrale) | 92 |
| 7.5 Auslöser für die Aktivierung des Krisenstabs | 93 |
| 7.6 Arbeitsaufnahme des operativen Krisenstabs | 96 |
| 7.6.1 Bilden von Arbeitsgruppen | 97 |
| 7.6.2 Unterlagen für den Krisenstab | 99 |
| 7.7 Verfahrensanweisungen zu einzelnen K-Fall-Situationen | 103 |
| 7.7.1 Brand | 103 |
| 7.7.2 Wassereinbruch | 104 |
| 7.7.3 Stromausfall | 104 |
| 7.7.4 Ausfall der Klimaanlage | 104 |
| 7.7.5 Flugzeugabsturz | 104 |
| 7.7.6 Geiselnahme | 104 |
| 7.7.7 Ausfall der Datenübertragung intern, zum RZ, zu den Kunden | 104 |
| 7.7.8 Ausfall des Host, des Rechenzentrums | 105 |
| 7.7.9 Verstrahlung, Kontamination, Pandemie | 105 |
| 7.7.10 Sabotage | 106 |
| 7.7.11 Spionage | 106 |
| Präventiv-, Notfall-, K-Fall-Planung | 107 |
| 8.1 Präventiv- und Ausfallvermeidungsmaßnahmen | 107 |
| 8.1.1 Generelle Vorgehensweise | 107 |
| 8.1.2 Präventivmaßnahmen, die einen möglichen Schaden verlagern | 108 |
| 8.1.3 Präventiv- und Ausfallvermeidungsmaßnahmen, die den Eintritt des Notfalles verhindern | 108 |
| 8.1.4 Präventivmaßnahmen, die die Ausübung des Notfallplans ermöglichen | 109 |
| 8.1.5 Praktische Umsetzung und Anwendung | 109 |
| 8.1.6 Bestehende Grundsicherheit in technischen Räumen | 109 |
| 8.1.7 Maßnahmen in der Projektarbeit | 110 |
| 8.1.8 Maßnahmen in der Linienaufgabe | 110 |
| 8.1.9 Verfügbarkeitsklasse | 110 |
| 8.1.10 Überprüfung von Präventiv-und Ausfallvermeidungsmaßnahmen | 112 |
| 8.1.11 Versicherung | 112 |
| 8.1.12 Checkliste zur Feststellung des Schutzbedarfs bei Präventiv- und Ausfallvermeidungsmaßnahmen | 112 |
| 8.1.13 Checkliste zur Überprüfung von Ausfallvermeidungsmaßnahmen | 114 |
| 8.2 Notfall- und Kontinuitätspläne | 115 |
| 8.2.1 Inhalte des Notfallhandbuches | 115 |
| 8.2.2 Handhabung des Notfallhandbuches (IT-Krisenstab, Notfallpläne, Anhang) | 115 |
| 8.2.3 Ziele des Notfallhandbuches | 116 |
| 8.2.4 Praktische Anwendung und Umsetzung | 116 |
| 8.2.5 Notfall- und K-Fall-Übungen | 120 |
| 8.2.6 Notfallübungen | 122 |
| 8.2.7 K-Fall-Übungen | 129 |
| Anhang | 136 |
| A.1 Begriffsdefinitionen Sicherheit | 136 |
| A.2 Checkliste: Organisation der IT-Sicherheit | 138 |
| A.3 Checklisten für innere Sicherheit | 139 |
| A.4 Checklisten für äußere Sicherheit | 139 |
| A.5 Checkliste Mitarbeiter | 140 |
| A.6 Checkliste Datensicherung | 140 |
| A.7 Checkliste Risikoanalyse und Sicherheitsziele | 141 |
| A.8 Mustervorlage E-Mail-Richtlinien | 141 |
| I. Gegenstand und Geltungsbereich | 141 |
| II. Verhaltensgrundsätze | 142 |
| III. Einwilligung und Vertretungsregelung | 143 |
| IV. Leistungs- und Verhaltenskontrolle/Datenschutz für E-Mail | 143 |
| A.9 Übersicht von Normen für Zwecke des Notfall-und Kontinuitätsmanagements | 144 |
| Abkürzungsverzeichnis | 145 |
| Abbildungsverzeichnis | 147 |
| Tabellenverzeichnis | 149 |
| Literatur- und Quellenverweise | 151 |
| Index | 153 |
