2. Startseite
  3. 11. Auflage
  4. Lerneinheiten
  5. Sicherheitskonzepte (SIKON)

Sicherheitskonzepte (SIKON)

Inhaltsverzeichnis[Verbergen]

Lernziele

Sie kennen Prinzipien zur Entwicklung von Sicherheitskonzepten und können den Unterschied zwischen Risikoanalysen und Grundschutzkonzepten erklären. Sie können Sicherheitskonzepte entwerfen und kennen Werkzeuge zur Entwicklung von Sicherheitskonzepten.

Definitionen und Abkürzungen

  • ALE = Annual Loss Exposure bzw. Annual Loss Expectancy; Erwartungswert für den pro Jahr aufgrund von Sicherheitsgefährdungen zu erwartenden Schaden.

  • ENISA = European Network and Information Security Agency; Einrichtung der europäischen Union, die als Anlauf- und Beratungsstelle in Fragen der Netz- und Informationssicherheit für die Mitgliedstaaten und die EU-Organe dient.

  • Grundschutz (baseline protection) = Prinzip zur Entwicklung von Sicherheitskonzepten, bei dem Sicherungsmaßnahmen anzuwenden sind, welche für einen normalen Schutzbedarf als angemessen und ausreichend betrachtet werden.

  • Grundschutzmaßnahmen (baseline controls) = Mindestumfang von Maßnahmen zur Sicherung einer Informationsinfrastruktur mit einem durchschnittlichen Schutzbedarf.

  • ISF = Information Security Forum; Vereinigung von mehr als 250 Unternehmen und Behörden, die den Standard of Good Practice for Information Security heraus gibt.

  • IT-Grundschutzkataloge (baseline catalogues) = Publikation des BSI mit Beschreibungen von Sicherheitsgefährdungen und Empfehlungen zu Maßnahmen, welche ein Mindestmaß an Sicherheit gewährleisten sollen.

  • Malware = Software-Anomalien, z. B. Viren, Würmer, Trojanische Pferde.

  • Penetrationstest (penetration test) = Experimentelle Untersuchung mit dem Ziel, Schwachstellen zu identifizieren und Sicherungsmaßnahmen zu umgehen, um Potenzial für Verbesserung von Sicherheitskonzepten aufzudecken.

  • Restrisiko (residual risk) = Risiko, das nicht durch Sicherungsmaßnahmen neutralisiert oder durch Versicherungen überwälzt werden kann oder soll.

  • Risiko (risk) = Kombination aus zu erwartender Häufigkeit bzw. Eintrittswahrscheinlichkeit eines gefährdenden Ereignisses und dem beim Ereigniseintritt zu erwartenden Schadensausmaß.

  • Risikoanalyse (risk analysis, risk assessment) = Prinzip zur Entwicklung von Sicherheitskonzepten, bei dem Schadenshöhen und Eintrittswahrscheinlichkeiten von Bedrohungen bzw. sicherheitsgefährdenden Ereignissen detailliert ermittelt werden.

  • Schutzbedarf (security requirements) = angestrebtes oder erforderliches Sicherheitsniveau einer Informationsinfrastruktur.

  • Schwachstelle (vulnerability, weakness) = Umstand, der das Eintreten gefährdender Ereignisse begünstigen oder deren negative Folgen verstärken kann.

  • Sicherheitskonzept (security concept, security plan) = Entwurf des Vorgehens zur Erreichung und Erhaltung des gewünschten oder geforderten Sicherheitsniveaus.

  • Sicherheitsniveau (security level) = Ausmaß an geforderter oder vorhandener Sicherheit.

Zweck der Sicherheitskonzepte
Grundschutz
Risikoanalysen
Werkzeuge für Sicherheitskonzepte
Grundschutz oder Risikoanalysen?

Forschungsbefunde

Im Rahmen der /Microsoft-Sicherheitsstudie 2006 (schriftliche Befragung von 163 für IT-Sicherheit verantwortlichen Mitarbeitern von Unternehmen und Behörden in Deutschland, Österreich und der Schweiz, Größe der Grundgesamtheit und der Stichprobe sowie Rücklaufquote in der Quelle nicht angegeben) wurden folgende Erkenntnisse gewonnen: Die wichtigsten Kriterien zur Risikobewertung waren Verstöße gegen Gesetze/Vorschriften/Verträge (56 % der Befragten hielten diese Gefährdungen für sehr wichtig, 34 % für wichtig), Imageverlust (52 % sehr wichtig, 33 % wichtig), Verzögerung von Arbeitsabläufen (39 % sehr wichtig, 53 % wichtig), direkter finanzieller Schaden durch Manipulationen an finanzwirksamen Informationen (39 % sehr wichtig, 49 % wichtig), Schaden bei Dritten/Haftungsansprüche (40 % sehr wichtig, 48 % wichtig) und indirekte finanzielle Verluste (z. B. Auftragsverlust) (35 % sehr wichtig, 42 % wichtig). Die Kriterien direkter finanzieller Schaden an Hardware oder Ähnlichem (17 % sehr wichtig, 61 % wichtig) und Verstöße gegen interne Regelungen (13 % sehr wichtig, 63 % wichtig) waren für die Risikobewertung dagegen von geringerer Bedeutung. 68 % der Befragungsteilnehmer gaben an, für die Durchführung von Risikoanalysen und die Entwicklung von Sicherheitskonzepten auf die Hilfe von Beratern zurückzugreifen.
o. V.: Lagebericht zur Informationssicherheit. /Microsoft-Sicherheitsstudie 2006. In: Die Zeitschrift für Informationssicherheit 4/2006, 24–31
o. V.: Lagebericht zur Informationssicherheit (2). /Microsoft-Sicherheitsstudie 2006. In: Die Zeitschrift für Informationssicherheit 5/2006, 40–48

Gordon/Loeb analysierten den Budgetierungsprozess für Sicherheitsausgaben in US-amerikanischen Unternehmen (schriftliche Befragung von für das IT-Sicherheitsbudget verantwortlichen Mitarbeiter in 199 Unternehmen, welche im Standard & Poors-500-Index vertreten sind, 38 auswertbare Fragebögen, Untersuchungszeitraum nicht angegeben). Gordon/ Loeb untersuchten, ob Sicherheitsausgaben ökonomisch, d. h. mit quantifizierten und rational nachvollziehbaren Kosten-Nutzen-Analysen begründet werden. Die Untersuchung ergab, dass Sicherheitsverantwortliche ökonomische Methoden zur Begründung des Sicherheitsbudgets insbesondere dann verwenden, wenn sich der Nutzen von Sicherungsmaßnahmen glaubhaft quantifizieren lässt. Bei einer erheblichen Anzahl von Befragungsteilnehmern wird die Höhe der Ausgaben für Sicherungsmaßnahmen aber an der Höhe des Vorjahresbudgets oder an den Ausgaben vergleichbarer Unternehmen ausgerichtet oder mit Hilfe eines „must-do approach“ festgelegt. Der „must-do approach“ kann im Kontext dieser Lerneinheit als Grundschutz interpretiert werden.

Gordon, L. A. / Loeb, M. P.: Budgeting Process for Information Security Expenditures. In: Communications of the ACM 1/2006, 121–125

Rees/Allen analysierten die Verwendung von Risikoanalysen für die IT-Sicherheit (schriftliche Befragung von IT-Führungskräften in 1000 mittelständischen und großen US-amerikanischen Unternehmen, 55 auswertbare Antworten, Untersuchungszeitraum nicht angegeben). 91 % der Teilnehmer haben ein Sicherheitskonzept (information security policy or plan) entwickelt, 67 % haben dafür Risikoanalysen verwendet. 65 % der Teilnehmer haben nur einige ausgewählte sicherheitsrelevante Elemente in Risikoanalysen berücksichtigt. Lediglich 9 % gaben an, die Informationsinfrastruktur vollständig in Risikoanalysen einbezogen zu haben. Die Zufriedenheit der Teilnehmer und der wahrgenommene Nutzen der Ergebnisse sind hoch, wenn Risikoanalysen häufig durchgeführt werden, wenn quantitative Maße für Eintrittswahrscheinlichkeiten von Schäden verwendet werden und wenn die Informationsinfrastruktur umfassend in die Analyse einbezogen wird. Allerdings führen nur wenige Unternehmen Risikoanalysen in dieser Weise durch. Die Teilnehmer berichten über erhebliche Schwierigkeiten bei der Identifizierung von Gefahren und der Schätzung von Schadensausmaßen.

Rees, J. / Allen, J.: The State of Risk Assessment Practices in Information Security: An Exploratory Investigation. In: Journal of Organizational Computing & Electronic Commerce 4/2008, 255–277

Die /Microsoft-Sicherheitsstudie 2010 gibt einen Lagebericht zur Informationssicherheit (schriftliche Befragung von 135 für IT-Sicherheit verantwortliche Mitarbeitern von Unternehmen und Behörden in Deutschland, Österreich und der Schweiz, Rücklaufquote nicht angegeben; Untersuchungszeitraum Dezember 2009 bis Mai 2010) mit folgenden Erkenntnissen:

Die wichtigsten Kriterien zur Risikobewertung sind Verstöße gegen Gesetze/Vorschriften/Verträge (59 % der Befragten halten diese Gefährdungen für sehr wichtig, 34 % für wichtig), Imageverlust (57 % sehr wichtig, 38 % wichtig), Schaden bei Dritten/Haftungsansprüche (39 % sehr wichtig, 50 % wichtig) und direkter finanzieller Schaden durch Manipulationen an finanzwirksamen Informationen (38 % sehr wichtig, 46 % wichtig). Für die Risikobewertung sind dagegen folgende Kriterien von geringerer Bedeutung: Verzögerung von Arbeitsabläufen (23 % sehr wichtig, 59 % wichtig), indirekte finanzielle Verluste (31 % sehr wichtig, 36 % wichtig), Verlust oder Schaden von oder an Hardware u. ä. (22 % sehr wichtig, 52 % wichtig) und Verstöße gegen interne Regelungen (10 % sehr wichtig, 66 % wichtig).
o. V.: Lagebericht zur Informationssicherheit (1). /Microsoft-Sicherheitsstudie 2010. In: Die Zeitschrift für Informationssicherheit 4/2010, 26–34
o. V.: Lagebericht zur Informationssicherheit (2). /Microsoft-Sicherheitsstudie 2010. In: Die Zeitschrift für Informationssicherheit 5/2010, 12–20
o. V.: Lagebericht zur Informationssicherheit (3). /Microsoft-Sicherheitsstudie 2010. In: Die Zeitschrift für Informationssicherheit 6/2010, 14–21

Aus der Praxis

Das Beratungsunternehmen Experton Group AG publizierte 2007 die Ergebnisse einer Umfrage unter 45 deutschen IT-Verantwortlichen. Danach führen 55 % der Befragten punktuelle Risikoanalysen durch. 41 % geben an, ein umfassendes Risikomanagement einschließlich regelmäßiger Risikoanalysen anzuwenden. Nur 30 % der Befragten konzipieren Risikoanalysen gemeinsam mit der Geschäftsführung oder den Fachabteilungen. Die Verfasser der Studie bedauern, dass IT-Sicherheit immer noch primär als reine IT-Aufgabe wahrgenommen wird und der Beitrag des Top-Managements unzureichend sei. Dies erschwere die Schaffung eines angemessenen Sicherheitsbewusstseins, die Konzeption eines strategischen Risikomanagements und den Informationsaustausch mit den Fachabteilungen.
Experton Group : Neue Studie der Experton Group zur IT-Sicherheit. 2007. http://www.experton-group.de; Abruf: 20.04.2007

Das ISF gibt den Standard of Good Practice for Information Security heraus. Auf der Grundlage des Standards können die Mitgliedsorganisationen im Rahmen des Information Security Status Surveys durch eine Selbstevaluation überprüfen, inwieweit sie die Vorgaben des Standards erfüllen.
Information Security Forum: Standard of Good Practice for Information Security. 2007. http://www.isfsecuritystandard.com; Abruf: 31.03.2011
Unternehmen und Behörden, welche Sicherheitskonzepte mit der Grundschutzvorgehensweise erstellen, können sich beim BSI registrieren lassen. Diese Liste wird unter der Überschrift Management-Report zur Anwendung des IT-Grundschutzes auf der Website des BSI publiziert.
Bundesamt für Sicherheit in der Informationstechnik (BSI): https://www.bsi.bund.de

Aufgabenverweise

Kontrollfragen

  1. Welchen Stellenwert haben Sicherheitskonzepte im Rahmen von Sicherheitsmanagement-Systemen?

  2. Wie würden Sie vorgehen, um ein Sicherheitskonzept für den Forschungs- und Entwicklungsbereich eines Unternehmens zu entwickeln?

  3. Welche Teilaufgaben verursachen den größten Aufwand bei der Durchführung von Risikoanalysen?

  4. Welche Probleme ergeben sich bei der Bewertung eines Risikos mit dem ALE?

  5. Wie lässt sich die Wirtschaftlichkeit von Sicherungsmaßnahmen bewerten?

  6. Wodurch unterscheiden sich Grundschutzmaßnahmen und Risikoanalysen?

  7. Welches sind die wesentlichen Schritte der Grundschutzvorgehensweise des BSI?

  8. Worin besteht der Unterschied zwischen der Szenario- und der Simulationstechnik bei einer Risikoanalyse?

  9. Welches sind charakteristische Merkmale von Risiken, die sich mit einem a) kardinalen und b) ordinalen Maßstab bewerten lassen?

  10. Unter welchen Umständen würden Sie für die Entwicklung eines Sicherheitskonzepts Grundschutzmaßnahmen auswählen und unter welchen Umständen Risikoanalysen durchführen?

Quellen

  • Boehme, R.: Wann sind IT-Security-Audits nützlich? In: Bernstein, A. / Schwabe, G. (Hrsg.): Proceedings of the 10th International Conference on Wirtschaftsinformatik WI 2.011. Volume 1. Zürich 2011, 385–394

  • Braun, H. / Silbernagel, D.: Penetrationstests als Instrument der IT-Revision. In: Datenschutz und Datensicherheit 11/2009, 693–694

  • Bundesamt für Sicherheit in der Informationstechnik (BSI): GSTOOL – Handbuch. Version 4.5. Bonn 2008. https://www.bsi.bund.de; Abruf 11. Mai 2011

  • Bundesamt für Sicherheit in der Informationstechnik (BSI): IT-Sicherheitshandbuch: Handbuch für die sichere Anwendung der Informationstechnik. 4. Entwurf v. 26. Juli 1991, Bonn 1991

  • Bundesamt für Sicherheit in der Informationstechnik (BSI): IT-Grundschutz-Kataloge 2009. https://www.bsi.bund.de; Abruf 11. Mai 2011

  • Fischer, D.: WLAN-Sicherheit in deutschen Unternehmen und Behörden. In: KES - Die Zeitschrift für Informations-Sicherheit 1/2010, 66–72

  • Information Security Forum: Standard of Good Practice for Information Security. 2007. http://www.isfsecuritystandard.com; Abruf 31. März 2011

  • o. V.: Lagebericht zur Informationssicherheit (1). /Microsoft-Sicherheitsstudie 2010. In: Die Zeitschrift für Informationssicherheit 4/2010, 26–34

  • o. V.: Lagebericht zur Informationssicherheit (2). /Microsoft-Sicherheitsstudie 2010. In: Die Zeitschrift für Informationssicherheit 5/2010, 12–20

  • o. V.: Lagebericht zur Informationssicherheit (3). /Microsoft-Sicherheitsstudie 2010. In: Die Zeitschrift für Informationssicherheit 6/2010, 14–21

  • Siemens UK: CRAMM. http://www.cramm.com; Abruf 31. März 2011

Vertiefungsliteratur

  • Lippold, H. et al.: Sicherheitskonzepte und ihre Verknüpfung mit Sicherheitsstrategie und Sicherheitsmanagement. In: WIRTSCHAFTSINFORMATIK 4/1992, 367-377

  • Peltier, T. R.: Information Security Risk Analysis. 2. A. Boca Raton 2005

  • Pfleeger, C. P. / Pfleeger, S. L.: Security in Computing. 4. A., Upper Saddle River 2006, 508-570

  • Stelzer, D.: Sicherheitsstrategien in der Informationsverarbeitung - Ein wissensbasiertes, objektorientiertes System für die Risikoanalyse. Wiesbaden 1993

  • Stelzer, D.: Risikoanalysen als Hilfsmittel zur Entwicklung von Sicherheitskonzepten in der Informationsverarbeitung. In: Roßbach, P. / Locarek-Junge, H. (Hrsg.): IT-Sicherheitsmanagement in Banken. Frankfurt a. M. 2002, 37-54

Informationsmaterial

Normen

  • BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS) Version 1.5. 2008

  • BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise Version 2.0. 2008

  • BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz Version 2.5. 2008

  • ISO/IEC 27000:2009: Information technology – Security techniques – Information security management systems – Overview and vocabulary

  • ISO/IEC 27001:2005: Information technology – Security techniques – Information security management systems – Requirements

  • ISO/IEC 27002:2005: Information technology – Security techniques – Code of practice for information security management

  • ISO/IEC 27003:2010: Information technology – Security techniques – Information security management system implementation guidance

  • ISO/IEC 27004:2009: Information technology – Security techniques – Information security management – Measurement

  • ISO/IEC 27005:2008: Information technology – Security techniques – Information security risk management

  • ISO 31000:2009: Risk management – Principles and guidelines

  • ISO/IEC 31010:2009: Risk management – Risk assessment techniques

  • NIST Special Publication 800-30: Risk Management Guide for Information Technology Systems. Washington 2010

  • Abbildungsarchiv: Sicherheitskonzepte (SIKON)

Portal

11. Auflage

Login

Angemeldet bleiben