Sie sind hier
E-Book

IT-Sicherheit in Organisationen: Analysebegriffe und Konzeptionsmethoden

AutorDaniel Heid
VerlagBachelor + Master Publishing
Erscheinungsjahr2013
Seitenanzahl50 Seiten
ISBN9783863416331
FormatPDF
Kopierschutzkein Kopierschutz/DRM
GerätePC/MAC/eReader/Tablet
Preis19,99 EUR
Die Analyse und die Konzeption von Sicherheit in der Informationstechnik erfordern eine systematische Vorgehensweise und die Beachtung von gängigen Methoden, die von Standardisierungseinrichtungen, wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI), vorgegeben werden. Ebenfalls sind die Prozesse des Risikomanagements für diesen Bereich von Nutzen. Diese Studie befasst sich mit dem vielseitigen Problem der Analyse und Konzeption von IT-Sicherheit und fasst Lösungsansätze zusammen, um einen Überblick über das breite, von allerlei Paradigmen geprägte Spektrum der IT-Sicherheit zu verschaffen. Dabei wird der Blick über den Tellerrand gewagt, indem neben den umfassenden Schriftstücken zur Sicherheit, welche vom BSI als Standardwerke verfasst wurden, auch andere Werke herangezogen und die in ihnen enthaltenen Ergänzungen berücksichtigt werden. Es werden hier keine konkreten Vorgehensweisen oder informationstechnischen Mittel zur Realisierung bzw. Implementierung von IT-Sicherheit erläutert, sondern die im Vorfeld ablaufenden analytischen und planerischen Prozeduren fokussiert.

Daniel Heid wurde 1986 in Mainz geboren und absolvierte in einer dualen Kooperation der IBM Deutschland GmbH mit der Berufsakademie (Heute: Duale Hochschule) ein Studium im Diplom-Studiengang Wirtschaftsinformatik in Mannheim. Während der Praxisphasen im Unternehmen befasste er sich theoretisch und praktisch mit der Analyse und Optimierung von Computernetzwerken und fand hierin sein Spezialgebiet, das er in seiner Diplomarbeit und in seinem heutigen Berufsleben weiter verfolgt. Er betätigt sich heute als Spezialist und Entwickler bei VOIPFUTURE, einem Hersteller von Hardware-Appliances für das Monitoring von Voice over IP-Verbindungen.

Kaufen Sie hier:

Horizontale Tabs

Leseprobe
Textprobe: Kapitel 4, Konzeption von IT-Sicherheit: Damit die aus der Analyse gewonnenen Erkenntnisse über die bestehende Sicherheitslage einer Organisation und die Sicherheitsrisiken in einen Zustand überführt werden, der den individuellen Anforderungen an die IT-Sicherheit entspricht, wird bei der Sicherheitskonzeption ein Plan zur Umsetzung von Schutzmaßnahmen entwickelt. Man nennt diesen Plan auch IT-Sicherheitskonzept. Im Folgenden wird aufgrund der Masse der Thematik nicht die Erstellung einer IT-Sicherheitsleitlinie beschrieben, welche neben den Schutzmaßnahmen eine Festlegung der Ziele, des Niveaus und der Managementstrategien der IT-Sicherheit umfasst. Stattdessen beinhalten die folgenden Ausführungen die Bewertungskriterien, mögliche strategische Vorgehensweisen und die Auswahl von Sicherheitsmaßnahmen. 4.1, Bewertungskriterien: Um die Schutzziele besonders in Hinblick auf die Etablierung von IT-Sicherheit in staatlichen und militärischen Bereichen, aber auch in der Banken- und Versicherungsbranche zu verwirklichen, existieren nationale und internationale Kriterien zur Bewertung der Sicherheitssituation. Nach Meinung des Autors dieser Arbeit hilft das Studium der Kriterien dabei, die Konzeption der IT-Sicherheit durch Aufzeigen von Sicherheitslücken zu lenken, ein Gefühl für eine Soll-Situation zu geben und ein richtungsweisendes Sicherheitsbewusstsein zu entwickeln. Daher werden im Folgenden drei Kriterienstandards kurz beleuchtet. Trusted Computer System Evaluation Criteria (TCSEC): Mit dem Ziel, die Vertrauenswürdigkeit von Computersystemen erkennbar zu machen und dadurch vertrauenswürdige Computersysteme zu entwickeln, definiert der amerikanische TCSEC-Standard sechs Sicherheitskriterien und vier Sicherheitseinheiten ('Divisons') von A bis D, welche nach Sicherheitsstufe geordnet und in Sicherheitsklassen untergliedert sind. Eine Beschreibung der Sicherheitskriterien und -klassen befindet sich im Anhang. Information Technology Security Evaluation Criteria (ITSEC): Neben dem amerikanischen TCSEC-Kriterienstandard existiert als europäisches Äquivalent seit 1991 der ITSEC-Standard. Letzterer sieht den Verlust jedes der Schutzziele als Grundbedrohung und bewertet nach einem zweigliedrigen Schema, welches einerseits die Sicherheitsfunktionalität und andererseits die Vertrauenswürdigkeit, d. h. die Qualität der Sicherungsmaßnahmen, voneinander separiert. Bei der Untersuchung einer IT-Struktur aus der ITSEC-Perspektive wird jedes IT-Element als Evaluationsgegenstand (EVG), mit einer Unterteilung in IT-Produkte und -Systeme, betrachtet. Das Ergebnis der ITSEC-Zertifizierung entspricht einem Zertifikat, welches die Beschreibung der evaluierten Funktionalität, eine Evaluationsstufe (E0 bis E6) und eine Aussage über die Wirksamkeit (Widerstandsfähigkeit) der Sicherheitsmechanismen enthält. Common Criteria (CC): 'Die Common Criteria sind das Ergebnis gemeinsamer Bemühungen, breit nutzbare Kriterien für die Evaluierung von IT-Sicherheit mit länderübergreifender Gültigkeit bzw. Akzeptanz zu entwickeln'. Hinter dem Begriff steckt ein 1996 eingeführter, internationaler und konsolidierter Kriterienstandard, der sich auf Sicherheitsmaßnahmen in Form von Hard-, Soft- und Firmware konzentriert. Pagnia sieht ihn als derzeit wichtigstes Evaluationsschema. Zu seiner Zielgruppe zählen Anwender, die ihre Sicherheitsbedürfnisse formulieren und auf deren Erfüllung prüfen können, und Entwickler, welchen die Spezifikation und Erfüllung von Sicherheitsanforderungen ihrer Produkte ermöglicht wird. Der erste Teil der CC beinhaltet eine Einführung, welche die allgemeinen Konzepe und Prinzipien der Evaluation, Modelle der Prüfung und Bewertung, Konstrukte für die Auswahl bzw. die Konzeption von Sicherheitszielen und -anforderungen und die Schutzprofile (Protection Profiles) beschreibt. Im zweiten Teil werden die Sicherheitsanforderungen und die funktionalen Komponenten, Familien und Klassen der CC näher beleuchtet. Schließlich befasst sich der dritte Teil mit der Vertrauenswürdigkeit von IT-Elementen und deren Klassifikation in Evaluation Assurance Level (EAL) (Vertrauenswürdigkeitsstufen) von der ersten (EAL1) bis zur siebten Stufe (EAL7). Detaillierte Informationen finden sich im Internetportal zu den Common Criteria http://www.commoncriteriaportal.org/. Strategische Behandlung von Sicherheitsrisiken: Gemäß den Theorien des Risikomanagements geben Strategien die Lösungsansätze für bewertete Risiken vor. Die folgenden Abschnitte beinhalten die Risikostrategien und einige ausgewählte, übergreifende Strategien zur Behandlung von Sicherheitsrisiken. Risikostrategien: Erst im Anschluss an die erfolgte Risikoanalyse lässt sich eine geeignete Risikostrategie unter der Berücksichtigung der Risikopräferenz konzipieren (Vgl. [SW06], S. 95). Letztere wird grundsätzlich durch die drei Adjektive 'risikoscheu', 'risikoneutral' und 'risikofreudig' klassifiziert und bezeichnet die Einstellung des Entscheiders zum Risiko. Mit der Vermeidung eines Risikos wird es durch alternative Entscheidungen bzw. Lösungen umgangen. Nach Meinung des Autors dieser Arbeit empfiehlt sich diese Strategie dann, wenn der Aufwand für geeignete Sicherheitsmaßnahmen in unverhältnismäßiger Höhe dem Ertrag, welcher sich aus der Nutzung des IT-Elements ergibt, gegenübersteht. In dem genannten Fall ist die Übernahme des Risikos, also das Hinnehmen eines potentiellen Schadens, ebenfalls eine Option. Als weitere strategische Vorgehensweise lassen sich Risiken vermindern, indem ihre Eintrittswahrscheinlichkeit verringert oder der Umfang des eintretenden Schadens minimiert wird. Durch die Überwälzung des Risikos wird dieses auf ein anderes Unternehmen, bspw. einen externen Dienstleister, übertragen. Hierbei müssen allerdings die gesetzlichen Bestimmungen, insbesondere bei Banken, beachtet und befolgt werden. Der Transfer kann logischerweise nicht für die Risiken der Kernkomponenten eines Unternehmens gelten. Außerdem zählt die Diversifikation zu den Risikostrategien. Sie beinhaltet eine 'Reduzierung des Gesamtrisikos durch Streuung und systematischer Kombination von nicht korrelierenden Einzelrisiken'. Wenn bspw. ein Server mehrere wichtige Dienste anbietet, lässt sich das Risiko seines Ausfalls durch Verteilung der Anwendung auf andere Server verringern. Müller nennt diese Strategie das 'Prinzip der Untergliederung', nach welchem durch Zerlegung des IT-Elements in einzelne Komponenten eine höhere Sicherheit erzielt werden kann.
Blick ins Buch

Weitere E-Books zum Thema: Informatik - Algorithmen - Softwaresysteme

Softwaretechnik

E-Book Softwaretechnik
Format: PDF

Software-Projekte geraten oft in Schwierigkeiten: Zeit und Budget werden überschritten; das Projekt tritt auf der Stelle; im schlimmsten Fall wird es ohne Ergebnis abgebrochen. Manche…

Softwaretechnik

E-Book Softwaretechnik
Format: PDF

Software-Projekte geraten oft in Schwierigkeiten: Zeit und Budget werden überschritten; das Projekt tritt auf der Stelle; im schlimmsten Fall wird es ohne Ergebnis abgebrochen. Manche…

Softwaretechnik

E-Book Softwaretechnik
Format: PDF

Software-Projekte geraten oft in Schwierigkeiten: Zeit und Budget werden überschritten; das Projekt tritt auf der Stelle; im schlimmsten Fall wird es ohne Ergebnis abgebrochen. Manche…

Software Engineering

E-Book Software Engineering
Architektur-Design und Prozessorientierung Format: PDF

Das Lehrbuch behandelt alle Aspekte der Software-Entwicklung, besonders aber Methoden und Richtlinien zur Herstellung großer und qualitativ hochwertiger Softwareprodukte. Es vermittelt das zur…

Software Engineering

E-Book Software Engineering
Architektur-Design und Prozessorientierung Format: PDF

Das Lehrbuch behandelt alle Aspekte der Software-Entwicklung, besonders aber Methoden und Richtlinien zur Herstellung großer und qualitativ hochwertiger Softwareprodukte. Es vermittelt das zur…

Weitere Zeitschriften

FESTIVAL Christmas

FESTIVAL Christmas

Fachzeitschriften für Weihnachtsartikel, Geschenke, Floristik, Papeterie und vieles mehr! FESTIVAL Christmas: Die erste und einzige internationale Weihnachts-Fachzeitschrift seit 1994 auf dem ...

Ärzte Zeitung

Ärzte Zeitung

Zielgruppe:  Niedergelassene Allgemeinmediziner, Praktiker und Internisten. Charakteristik:  Die Ärzte Zeitung liefert 3 x pro Woche bundesweit an niedergelassene Mediziner ...

Atalanta

Atalanta

Atalanta ist die Zeitschrift der Deutschen Forschungszentrale für Schmetterlingswanderung. Im Atalanta-Magazin werden Themen behandelt wie Wanderfalterforschung, Systematik, Taxonomie und Ökologie. ...

AUTOCAD Magazin

AUTOCAD Magazin

Die herstellerunabhängige Fachzeitschrift wendet sich an alle Anwender und Entscheider, die mit Softwarelösungen von Autodesk arbeiten. Das Magazin gibt praktische ...

Burgen und Schlösser

Burgen und Schlösser

aktuelle Berichte zum Thema Burgen, Schlösser, Wehrbauten, Forschungsergebnisse zur Bau- und Kunstgeschichte, Denkmalpflege und Denkmalschutz Seit ihrer Gründung 1899 gibt die Deutsche ...

care konkret

care konkret

care konkret ist die Wochenzeitung für Entscheider in der Pflege. Ambulant wie stationär. Sie fasst topaktuelle Informationen und Hintergründe aus der Pflegebranche kompakt und kompetent für Sie ...

e-commerce magazin

e-commerce magazin

e-commerce magazin Die Redaktion des e-commerce magazin versteht sich als Mittler zwischen Anbietern und Markt und berichtet unabhängig, kompetent und kritisch über ...

rfe-Elektrohändler

rfe-Elektrohändler

rfe-Elektrohändler ist die Fachzeitschrift für die CE- und Hausgeräte-Branche. Wichtige Themen sind: Aktuelle Entwicklungen in beiden Branchen, Waren- und Verkaufskunde, Reportagen über ...

F- 40

F- 40

Die Flugzeuge der Bundeswehr, Die F-40 Reihe behandelt das eingesetzte Fluggerät der Bundeswehr seit dem Aufbau von Luftwaffe, Heer und Marine. Jede Ausgabe befasst sich mit der genaue Entwicklungs- ...