2. Startseite
  3. 11. Auflage
  4. Lerneinheiten
  5. Sicherheitsmanagement (SICHM)

Sicherheitsmanagement (SICHM)

Inhaltsverzeichnis[Verbergen]

Lernziele

Sie kennen verschiedene Sicherheitsbegriffe und können den Aufgabenbereich Informationssicherheit sinnvoll strukturieren. Sie können die wichtigsten Sicherheitsziele erörtern und kennen Elemente von Sicherheitsmanagement-Systemen. Sie kennen den Unterschied zwischen einer IT-Grundschutzzertifizierung und einer Zertifizierung von Sicherheitsprodukten.

Definitionen und Abkürzungen

  • Bedrohung (threat) = potenzielles Einwirken einer Gefahr auf Elemente der Informationsinfrastruktur. Synonyme: Gefährdung, sicherheitsgefährdendes Ereignis.

  • BSI = Bundesamt für Sicherheit in der Informationstechnik (Deutschland).

  • CC = Common Criteria for Information Technology Security Evaluation; internationale Kriterien zur Evaluierung von Produkten der IT-Sicherheit.

  • Gefahr (threat) = Einflussfaktor, welcher sicherheitsrelevante Elemente beeinträchtigen und Schäden verursachen kann.

  • ITSEC = Information Technology Security Evaluation Criteria; europäische Kriterien zur Evaluierung von Produkten der IT-Sicherheit.

  • IT-Verbund (information processing facility/ies) = Gesamtheit der infrastrukturellen, organisatorischen, personellen und technischen Komponenten, die der Aufgabenerfüllung in einem bestimmten Anwendungsbereich der IT dienen. Synonym: Informationssystem.

  • Schwachstelle (vulnerability, weakness) = Umstand, der das Eintreten gefährdender Ereignisse begünstigen oder deren negative Folgen verstärken kann.

  • Sicherheit (security, safety) = Zustand, in dem alle schutzwürdigen Belange der Informationsinfrastruktur vor Beeinträchtigungen geschützt sind.

  • Sicherheitsgefährdung (threat) = Synonyme: Bedrohung, sicherheitsgefährdendes Ereignis.

  • Sicherheitskonzept (security concept) = Entwurf des Vorgehens zur Erreichung und Erhaltung des gewünschten oder geforderten Sicherheitsniveaus.

  • Sicherheitskriterien (evaluation criteria) = Kriterien zur Evaluierung von Produkten der ITSicherheit.

  • Sicherheitsleitlinie (information security policy oder IT security policy) = Beschreibung der wichtigsten Aussagen der Sicherheitsstrategie eines Unternehmens.

  • Sicherheitsmanagement (security management) = Gesamtheit der Führungsaufgaben, die sich mit Sicherheit der Informationsinfrastruktur befassen.

  • Sicherheitsmanagement-System (security management system) = Gesamtheit der Hilfsmittel des Sicherheitsmanagements.

  • Sicherheitsniveau (security level) = Ausmaß an geforderter oder vorhandener Sicherheit.

  • Sicherheitsstrategie (security strategy) = grundsätzliche Festlegungen der Unternehmensleitung zum Stellenwert der Informationssicherheit; die wichtigsten Aussagen der Sicherheitsstrategie werden in einer Sicherheitsleitlinie dokumentiert.

  • Sicherungsmaßnahme (security control) = Vorkehrungen, die geeignet sind, die Informationssicherheit zu erhöhen. Synonyme: Sicherheitsmaßnahme, Schutzmaßnahme.

Zweck des Sicherheitsmanagements
Sicherheitsbegriff
Ebenenmodell der Sicherheit
Kausalmodell der Sicherheit
Sicherheitsziele
Sicherheitsmanagement-System
Zertifizierung nach ISO 27001 sowie IT-Grundschutz
Sicherheitskriterien und Produktzertifizierung

Forschungsbefunde

Luftman/McLean berichten über eine von der amerikanischen Society for Information Management durchgeführten Studie (schriftliche Befragung von 301 IT-Führungskräften, Grundgesamtheit und Rücklaufquote in der Quelle nicht angegeben, Untersuchungszeitraum Sommer 2003). Die Teilnehmer gaben an, dass Sicherheit und Datenschutz (security and privacy) die drittwichtigste Herausforderung für das IT-Management nach der Ausrichtung der IT auf die Unternehmensziele (IT and business alignment) und der strategischen Planung der IT (IT strategic planning) sei.

Luftman, J. / McLean, E. R.: Key Issues for IT Executives. In: MIS Quarterly Executive 3/2004, 89–104

Durch eine Auswertung der Ergebnisse von fünf -Sicherheitsstudien zwischen 1998 und 2006 kommt Witt zu folgenden Erkenntnissen: Die Anzahl der festgestellten Angriffe über das Internet hat kontinuierlich zugenommen. Dennoch werden Schäden durch Unfälle aufgrund von menschlichem oder technischem Versagen deutlich häufiger festgestellt als Schäden durch Angriffe. Gefahren durch unbeabsichtigte Ereignisse werden regelmäßig unter-, Gefahren durch beabsichtigte Angriffe überschätzt, wie ein Vergleich zwischen der wahrgenommenen Bedrohung und den tatsächlich eingetretenen Schäden zeigt. Mangelndes Sicherheitsbewusstsein bei Mitarbeitern sowie dem mittleren und dem oberen Management wird neben fehlenden finanziellen Mitteln regelmäßig als bedeutendstes Hindernis für die Verbesserung der Sicherheit angesehen. Über die verschiedenen Studien hinweg gaben 20 bis 30 % der Befragten an, Sicherheit sei – im Vergleich zu anderen IT-Zielen  ein vorrangiges und 30 bis 50 % Sicherheit sei ein gleichrangiges Ziel. Ca. 30 % der Befragten gaben an, Top-Manager sähen Informationssicherheit „eher als lästiges Übel“ an.

Witt, B. C. Rückblick nach vorn. Trends aus den -Sicherheitsstudien zwischen 1998 und 2006. In: Die Zeitschrift für Informationssicherheit 6/2006, 55–60

Campbell et al. untersuchten die Auswirkungen von in der Presse publizierten sicherheitsgefährdenden Ereignissen auf den Aktienkurs von Unternehmen (Identifikation von 84 in fünf überregionalen amerikanischen Tageszeitungen publizierten sicherheitsgefährdenden Ereignissen, Analyse von 43 Ereignissen in 38 Unternehmen, Untersuchungszeitraum Januar 1995 bis Dezember 2000). Ereignisse, bei denen unbefugte Personen Zugang zu vertraulichen Daten bekommen, führen häufig zu negativen Reaktionen an den Aktienbörsen. Bei anderen Sicherheitsverletzungen (z. B. Denial-of-Service-Angriffen oder Virenbefall) konnten hingegen keine negativen Auswirkungen auf den Aktienkurs festgestellt werden.

Campbell, K. et al.: The economic cost of publicly announced information security breaches: empirical evidence from the stock market. In: Journal of Computer Security 3/2003, 431–448

Die vom TÜV Nordrhein-Westfalen gemeinsam mit dem Fachmagazin KES – Zeitschrift für Informationssicherheit durchgeführte Sicherheitsenquete 1992 kommt zu dem Ergebnis, dass die größte Sicherheitslücke die Mitarbeiter sind (schriftliche Befragung, N = 200 Industriebetriebe, Behörden, Versicherungen und Banken). Irrtum und Nachlässigkeit sind für 83 %, technische Defekte und Bedienungsfehler für je knapp 72 % aller Störungen verantwortlich. Nur bei einem Viertel der Abteilungsrechner wird regelmäßig Datensicherung durchgeführt; der Passwortschutz wird von jedem dritten Benutzer ignoriert. 57 % der IT-Leiter beklagen die mangelhafte Sensibilität ihrer Vorgesetzten für Sicherheit, die Hälfte vermisst ein Gesamtkonzept zur Sicherheit. Der Anteil der Kosten für die Sicherheit an den Gesamtkosten der IT betrug 1990 5,2 % und sank 1992 auf 4,8 %.

o.V. zitiert nach Informatik Magazin 2/1993, 14

Berger/Häntschel fanden bei einer Sicherheitsstudie in einem Unternehmen der pharmazeutischen Industrie (Durchführungszeitraum 10/1993 bis 3/1994), dass es sich bei Risikoklasse C (Routinefälle) fast ausschließlich um Gefährdungen der Gruppen menschliche Fehler und kriminelle Handlungen handelt; nur drei Fälle stammen aus der Gruppe Umgebungseinflüsse. Daraus folgte, dass das Risikopotenzial durch personelle Maßnahmen (insbesondere durch Schulung) dauerhaft auf ein Drittel gesenkt werden kann, was einer Schadensminderung von rd. € 285.000 pro Jahr entspricht. Die Kosten für diese Maßnahmen (Abschreibungen und Personalkosten) wurden mit rd. € 170.000 pro Jahr angegeben.

Berger, W. / Häntschel, I.: Erfolgreiches Sicherheitsmanagement – Eine Fallstudie. In: Bauknecht, K. et al. (Hrsg.): Sicherheit in Informationssystemen SIS '96. Zürich 1996, 37-52

Eine im Auftrag der Federal Trade Commission (FTC) in den USA durchgeführte Überprüfung von Scanner-Kassen ergab u. a. (Beobachtung im Echtzeitbetrieb über 18 Monate, N = 17.000 Artikel in 294 Geschäften in sieben Bundesstaaten, Untersuchungszeitraum 1995/1996): Die Genauigkeit betrug 95 %, d. h. bei 20 gescannten Artikeln hatte einer einen falschen Preis. Die Fehlerrate war in Supermärkten mit 3,37 % am niedrigsten, in Kaufhäusern mit 9,15 % am höchsten. Als Fehlerursache wurde falsches Auszeichnen festgestellt; die Scanner arbeiteten fehlerfrei.

o.V. zitiert nach SCAN News 11/1996

Oppliger weist auf empirische Studien hin (ohne sie im Einzelnen zu nennen), die zeigen, „ ... dass für mehr als 80 % aller Fälle von Datenverlust oder Datenbeschädigung die Mitarbeiter der geschädigten Unternehmen selbst verantwortlich sind. 50 % dieser Fälle ereignen sich dabei aus Unwissenheit oder sind auf einen Ausbildungsmangel zurückzuführen.“

Oppliger, R.: IT-Sicherheit. Grundlagen und Umsetzung in der Praxis. Braunschweig/Wiesbaden 1997

Nach einer Studie der Meta Group Deutschland werden in den untersuchten Unternehmen durchschnittlich rd. € 11.000 pro Jahr und Mitarbeiter für IT ausgegeben, nur rd. 1/30 davon für IT-Sicherheit. Auf Grund dieses krassen Missverhältnisses werden große Sicherheitsprobleme auf die Unternehmen zukommen. Wesentliche Ursachen sind: Unzureichende Budgets (29 %), mangelnde Unterstützung durch die Unternehmensleitung (14 %) und – in der Folge – fehlende Aufklärung über das notwendige Maß an Sicherheit (10 %). Damit trägt das Management für den gefährlichen Sicherheitsrückstand die Verantwortung.

Zitiert nach F.A.Z. vom 28.12.2000, 25

Mit dem Forschungsprojekt DRIM – Dresden Identity Management werden Grundlagen, Techniken und Einsatzszenarien für ein datenschutzgerechtes Identitätsmanagement erforscht. In dem Projekt sind, teilweise aufbauend auf vorausgegangenen Projekten, mehrere Software-Bibliotheken entwickelt worden. Ziel des Projekts ist es, mit Hilfe dieser Bibliotheken einen Prototypen für ein Identitätsmanagementsystem zu bauen. Es werden auch Einsatzszenarien entwickelt, in denen der Prototyp getestet und evaluiert werden kann.

http://drim.inf.tu-dresden.de. Abruf am 11.12.2004

Aus der Praxis

Im Jahr 2005 werden Kunden der Postbank Opfer von so genannten Phishing-Angriffen. Kriminelle verschicken E-Mails, in welchen behauptet wird, der Absender sei die „Administration der Postbank Online Banking“. Aus Sicherheitsgründen müsse man die „Autorisation“ der Kunden erneuern. Die Empfänger werden aufgefordert, auf einen Link in der E-Mail zu klicken. Die dann erscheinende Webseite sieht einer Webseite der Postbank täuschend ähnlich. Dort wird man aufgefordert, Kontodaten, PIN und TAN einzugeben. Die Angreifer nutzen diese Informationen, um Geldbeträge von Kundenkonten abzubuchen.

(http://wiwo.de vom 04.07.2005)

Am 18.06.2002 fallen beim Arcor-Onlinedienst nacheinander drei voneinander unabhängige Klimaanlagen aus. Die Temperaturen im Rechenzentrum steigen so stark an, dass sich die Administratoren gezwungen sehen, die Webserver herunterzufahren und abzuschalten. Dadurch fällt der gesamte Onlinedienst von Arcor aus. Erst nach einigen Stunden kann der Betrieb wieder aufgenommen werden.

(http://www.heise.de/newsticker/meldung/28364; Abruf: 25.04.2007)

Im Oktober 2002 erhielten einige Kunden des Mobilfunkanbieters O2 Rechnungen, in denen zahlreiche „abgehende Mailbox-Verbindungen“ zu einer immer gleichen Festnetznummer berechnet wurden. Viele dieser Verbindungen fanden genau zu der gleichen Zeit statt wie Gespräche, die ebenfalls in der Rechnung aufgeführt waren. Betroffen waren offenbar Kunden von O2, deren Telefongespräche von der Polizei oder von Geheimdiensten abgehört wurden. Die Ursache war ein Softwarefehler in einem Update eines Abrechnungsprogramms von O2.

(Pitt von Bebenburg: Abgehörte sollten heimlichen Lauschangriff auch noch selbst bezahlen. In: Frankfurter Rundschau, Nr. 253/44, 31.10.2002, S. 1)

Die Website http://www.iso27001certificates.com wies im Februar 2011 weltweit 7136 ISO-27001-Zertifikate nach, davon 154 in Deutschland, 37 in Österreich und 7 in der Schweiz.

Das deutsche Bundesministerium für Wirtschaft und Technologie (http://www.bmwi.de) hat 2011 die Task Force „IT-Sicherheit in der Wirtschaft“ gegründet, die vor allem kleine und mittelständische Unternehmen beim sicheren IT-Einsatz unterstützen soll.

Das deutsche Bundesamt für Verfassungsschutz machte bereits 2008 darauf aufmerksam, dass die Hauptträger von Spionageaktivitäten gegen deutsche Unternehmen Nachrichtendienste der Russischen Föderation und der Volksrepublik China seien. Angesichts der Auswahl der Angriffsziele und der angewandten Methoden internetbasierter Angriffe auf Computersysteme sei eine nachrichtendienstliche Beteiligung „in vielen Fällen sehr wahrscheinlich“ (4). Die russische Wirtschaft profitiere in erheblichem Maße davon, dass alle russischen Nachrichtendienste gesetzlich verpflichtet seien, Wirtschaftsspionage zu betreiben.

Bundesamt für Verfassungsschutz: Spionage gegen Deutschland. Aktuelle Entwicklungen. Köln 2008

Laut einem Bericht des IT-Sicherheitsunternehmens McAfee haben aus China operierende Hacker seit 2009 Öl- und Gasunternehmen u. a. in Taiwan, Griechenland und den USA angegriffen und dabei vertrauliche Informationen über aktuelle Projekte, Gebote für Ölfelder und die Finanzen der Unternehmen eingesehen.

McAfee: Global Energy Cyberattacks: “Night Dragon”. Version 1.4. (White Paper). http://www.mcafee.com, Santa Clara 2011, Abruf: 14.02.2011

Methodenverweise

Kontrollfragen

  1. Wie beurteilen Sie folgende Definition? Sicherheit ist gegeben, wenn die in den IT-Grundschutz-Katalogen vorgeschlagenen Sicherungsmaßnahmen implementiert sind.

  2. Welche Aufgaben haben Führungskräfte im Hinblick auf IT-Sicherheit?

  3. Welchen – neben dem Sicherheitsmanagement – anderen Aufgaben des Informationsmanagements dient ein Sicherheitsmanagement-System?

  4. Welche Inhalte sollte eine Sicherheitsleitlinie umfassen und wie lassen sich diese strukturieren?

  5. Welche Argumente sprechen für und welche gegen die Zertifizierung eines Sicherheitsmanagement-Systems?

  6. Wie kann der Aufgabenbereich Informationssicherheit sinnvoll strukturiert werden?

  7. Welche Ursachen und Wirkungen kann ein sicherheitsgefährdendes Ereignis haben? Beantworten Sie die Fragen mit einem selbst gewählten Beispiel.

  8. Welche Aufgaben umfasst das Sicherheitsmanagement?

  9. Worin besteht der Unterschied zwischen einem Sicherheitskonzept und einer Sicherheitsleitlinie?

  10. Welches sind - empirisch betrachtet - die bedeutendsten Gefahrenquellen für die Informationssicherheit?

Quellen

  • Bundesamt für Sicherheit in der Informationstechnik (BSI): IT-Grundschutz-Kataloge 2009. https://www.bsi.bund.de; Abruf 11. Mai 2011

  • Bundesamt für Sicherheit in der Informationstechnik (BSI): Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz. Prüfschema für ISO 27001-Audits. Version 2.1. Stand: 03.03.2008. Bonn 2008

  • Department of Trade and Industry. Information Technology Security Evaluation Criteria (ITSEC). Version 1.2. London 1991

  • Ernst & Young (Hrsg.): Outpacing change. Ernst & Young’s 12th annual global information security survey. o. O. 2009, http://www.ey.com; Abruf 18. Mai 2010

  • Ernst & Young (Hrsg.): Borderless security. Ernst & Young’s 2010 Global Information Security Survey. o. O. 2010. http://www.ey.com; Abruf 07. April 2011

  • Information Security Forum: Standard of Good Practice for Information Security. 2007. http://www.isfsecuritystandard.com; Abruf 30. März 2011

  • Ko, M. / Osei-Bryson, K.-M. / Dorantes, C.: Investigating the Impact of Publicly Announced Information Security Breaches on Three Performance Indicators of the Breached Firms. In: Information Resources Management Journal 2/2009, 1–21

  • Luftman, J. / McLean, E. R.: Key Issues for IT Executives. In: MIS Quarterly Executive 3/2004, 89-104

  • NIST Special Publication 800-100: Information Security Handbook: A Guide for Managers. Washington 2006

  • Rumpel, R.: Planung und Betrieb von Informationssicherheits-Managementsystemen. Erfahrungen aus der Praxis. In: Datenschutz und Datensicherheit 1/2011, 12–15

  • Stelzer, D.: Sicherheitsstrategien in der Informationsverarbeitung - Ein wissensbasiertes, objektorientiertes System für die Risikoanalyse. Wiesbaden 1993, 20-46

Vertiefungsliteratur

  • Bishop, M.: Computer Security. Art and Science. Boston 2003

  • Eckert, C.: IT-Sicherheit. Konzepte - Verfahren - Protokolle. 5. A., München/Wien 2008

  • Gollmann, D.: Computer Security. 2. A., Chichester 2006

  • Pfleeger, C. P. / Pfleeger, S. L.: Security in Computing. 4. A., Upper Saddle River 2006

  • Straub, D. W. / Goodman, S. / Baskerville, R. (Hrsg.): Information Security: Policy, Processes, and Practices. Armonk NY 2008

Informationsmaterial

Normen

  • BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS) Version 1.5. 2008

  • BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise Version 2.0. 2008

  • BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz Version 2.5. 2008

  • ISO/IEC 15408-1:2009: Information technology - Security techniques - Evaluation criteria for IT security. – Part 1: Introduction and General Model

  • ISO/IEC 27000:2009: Information technology – Security techniques – Information security management systems – Overview and vocabulary

  • ISO/IEC 27001:2005: Information technology – Security techniques – Information security management systems – Requirements

  • ISO/IEC 27002:2005: Information technology – Security techniques – Code of practice for information security management

  • ISO/IEC 27003:2010: Information technology – Security techniques – Information security management system implementation guidance

  • ISO/IEC 27004:2009: Information technology – Security techniques – Information security management – Measurement

  • ISO/IEC 27005:2008: Information technology – Security techniques – Information security risk management

  • Abbildungsarchiv: Sicherheitsmanagement (SICHM)

Portal

11. Auflage

Login

Angemeldet bleiben