O'Reilly logo

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

IT-Sicherheitsmanagement - Praxiswissen für IT Security Manager, 2. Auflage

Book Description

Praxiswissen für IT Security Manager

  • Mit einem durchdachten IT-Sicherheitskonzept zu mehr Informationssicherheit
  • IT Compliance, Business Continuity Management, Risikomanagement oder Security Audit – alle Bereiche des IT Security Managers praxisnah erklärt
  • Aufbau eines Information Security Management Systems (ISMS) nach ISO 27001 und BSI – unter Berücksichtigung der neuen DSGVO

Immer mehr Daten werden in Public Clouds verarbeitet, auf Mobiltelefonen gespeichert, über Chat-Apps geteilt oder im Rahmen von Industrie 4.0 in einer Größenordnung erhoben, die bislang kaum denkbar war. Die entsprechenden Maßnahmen der IT-Security müssen sich an diese Veränderungen anpassen. Ebenso wie an die EU-Datenschutz-Grundverordnung, das IT-Sicherheitsgesetz oder das China Cybersecurity Law. Alle diese Regelungen haben immense Auswirkungen darauf, wie Unternehmen Daten erfassen, verarbeiten, speichern oder austauschen dürfen. In der Fülle und der Bandbreite der neuen Regelungen liegt aber immer auch die Gefahr, etwas falsch zu machen.

Dieser Praxisleitfaden wird Ihnen dabei helfen, von der schieren Menge an Einzelthemen und Aufgaben, mit denen sich der (angehende) IT Security Manager auseinanderzusetzen hat, nicht erschlagen zu werden und den richtigen Weg zu wählen, um mit all diesen Anforderungen umzugehen.

Jedes Kapitel dieses Buches beschreibt einen zusammenhängenden Bereich der IT Security. Die notwendige theoretische Fundierung wechselt sich dabei ab mit Tipps aus der Praxis für die Praxis, mit für den Berufsalltag typischen Fragestellungen, vielen konkreten Beispielen und hilfreichen Checklisten. Alle Teilgebiete werden abschließend in einem Kapitel zusammengeführt, das die Einführung und Weiterentwicklung eines IT-Sicherheitsmanagements auf Basis der ISO-27000-Normen-Familie unter Beachtung der datenschutzrechtlichen Bestimmungen der EU-DSGVO behandelt.

So erhalten Sie sowohl einen kompetenten Praxisleitfaden (auch für den Berufseinstieg) als auch ein umfassendes Nachschlagewerk für Ihre tägliche Arbeit.


Aus dem Inhalt:
  • Umfang und Aufgabe des IT-Security-Managements
  • Organisation der IT-Security
  • IT-Compliance
  • Organisation von Richtlinien
  • Betrieb der IT-Security
  • IT Business Continuity Management
  • IT-Notfallmanagement
  • Verfügbarkeitsmanagement
  • Technische IT-Security
  • IT-Risikomanagement
  • Sicherheitsmonitoring
  • IT-Security-Audit
  • Management von Sicherheitsereignissen und IT-Forensik
  • Kennzahlen
  • Praxis: Aufbau eines ISMS
  • Awareness und Schulung

Über den Autor: Thomas W. Harich arbeitet, neben seiner langjährigen Tätigkeit als freiberuflicher IT-Berater, als Leiter Information Security in einem großen deutschen Industriekonzern. Nebenberuflich ist er als Dozent tätig und lehrt das Fach »IT-Sicherheit und Datenschutz«. Seine Schwerpunkte liegen in der Erstellung von IT-Sicherheitskonzepten und deren praktischen Umsetzung in einem international geprägten IT-Umfeld. Im mitp-Verlag hat er bereits das Buch »IT-Sicherheit im Unternehmen« verfasst.

Table of Contents

  1. Impressum
  2. Einleitung
  3. Kapitel 1: Umfang und Aufgabe des IT-Security-Managements
    1. 1.1 Kapitelzusammenfassung
    2. 1.2 Einführung
    3. 1.3 Informationen und Daten
    4. 1.4 IT-Security-Management ist wichtig
    5. 1.5 Wie gefährdet sind die Unternehmensdaten
      1. 1.5.1 Sicht des Verfassungsschutzes
      2. 1.5.2 Öffentliche Wahrnehmung
      3. 1.5.3 Die eigene Wahrnehmung
    6. 1.6 Begrifflichkeiten
    7. 1.7 Selbstverständnis der IT-Security-Organisation
    8. 1.8 Grundregeln
    9. 1.9 Umfang des IT-Security-Managements
      1. 1.9.1 Pfeiler der IT-Security
      2. 1.9.2 Aufgaben des IT-Security-Managements
    10. 1.10 IT-Security zwischen Nutzen und Kosten
  4. Kapitel 2: Organisation der IT-Security
    1. 2.1 Kapitelzusammenfassung
    2. 2.2 Einführung
    3. 2.3 Rollen innerhalb des IT-Security-Managements
      1. 2.3.1 Manager IT-Security
      2. 2.3.2 Unternehmensleitung
      3. 2.3.3 Weitere Rollen
    4. 2.4 Verankerung im Unternehmen
      1. 2.4.1 IT-Security im Organigramm
      2. 2.4.2 IT-Security und der Datenschutz
      3. 2.4.3 Zusammenspiel mit anderen Sicherheitsbereichen
  5. Kapitel 3: IT-Compliance
    1. 3.1 Kapitelzusammenfassung
    2. 3.2 Einführung
    3. 3.3 Standards
      1. 3.3.1 ISO-2700x-Reihe
      2. 3.3.2 Standards des Bundesamts für Sicherheit in der Informationstechnik
      3. 3.3.3 Gegenüberstellung ISO 2700x und BSI-Grundschutz
      4. 3.3.4 ITIL
      5. 3.3.5 Weitere Standards
    4. 3.4 Gesetze
      1. 3.4.1 EU-Datenschutz-Grundverordnung‌
      2. 3.4.2 Weitere Gesetze
  6. Kapitel 4: Organisation von Richtlinie‌n
    1. 4.1 Kapitelzusammenfassung
    2. 4.2 Einführung
    3. 4.3 Strukturierung von Richtlinien
    4. 4.4 Beschreibung und Kategorisierung‌
    5. 4.5 Pflege und Lenkung von Richtlinien
    6. 4.6 Richtlinien und Audits
    7. 4.7 Verschiedene Richtlinien
      1. 4.7.1 Sicherheitsrichtlinie
      2. 4.7.2 Klassifizierungsrichtlinie
      3. 4.7.3 ISMS-Handbuc‌h
      4. 4.7.4 Richtlinie zum IT-Risikomanagement
      5. 4.7.5 IT-Sicherheitsrichtlinie
      6. 4.7.6 IT-Systemrichtlinie‌n
    8. 4.8 Von der Theorie in die Praxis
  7. Kapitel 5: Betrieb der IT-Security
    1. 5.1 Kapitelzusammenfassung
    2. 5.2 Einführung
    3. 5.3 IT-Security und der IT-Betrieb
    4. 5.4 Betriebliche Grundsätze
      1. 5.4.1 Ableitung aus gesetzlichen Vorschriften
      2. 5.4.2 Vertragswesen
      3. 5.4.3 Administrative Tätigkeiten
      4. 5.4.4 Trennung von Funktionen
      5. 5.4.5 Prinzip der geringsten Rechte
    5. 5.5 IT-Security-Prozesse
      1. 5.5.1 Zugangs- und Zugriffskontrolle
      2. 5.5.2 Sicherheit von Software‌
      3. 5.5.3 Sichere Softwareentwicklung
      4. 5.5.4 Identitätsmanagement
      5. 5.5.5 Genehmigungsprozesse‌
      6. 5.5.6 Standardisierung‌
      7. 5.5.7 Unterstützung des IT-Betriebs
  8. Kapitel 6: IT Business Continuity Management
    1. 6.1 Kapitelzusammenfassung
    2. 6.2 Einführung
    3. 6.3 Abgrenzung der Begriffe
    4. 6.4 IT-Notfallmanagement und Verfügbarkeitsmanagement
    5. 6.5 Gesetzliche Rahmenbedingungen des IT Business Continuity Managements
    6. 6.6 Business-Impact-Analyse
      1. 6.6.1 Erfassung und Priorisierung der Geschäftsprozesse
      2. 6.6.2 Business-Impact-Analys‌e in der Praxis
    7. 6.7 Weitere Einflussfaktoren
  9. Kapitel 7: IT-Notfallmanagement
    1. 7.1 Kapitelzusammenfassung
    2. 7.2 Einführung
    3. 7.3 IT-Notfallmanagement
    4. 7.4 Richtlinie‌‌ zum IT-Notfallmanagement
    5. 7.5 Ableitung von Notfallstrategi‌en
    6. 7.6 IT-Notfallkonzepte erstellen
      1. 7.6.1 Schweregra‌de
      2. 7.6.2 Notfallvorsorge
    7. 7.7 Notfallorganisation
      1. 7.7.1 Organisationsstruktur
      2. 7.7.2 Kompetenzen und Zuständigkeiten
      3. 7.7.3 Notfallhandbuch
    8. 7.8 Notfallbewältigung
    9. 7.9 Notfallübungen
    10. 7.10 Überprüfung des IT-Notfallmanagements
    11. 7.11 Monitori‌ng im Rahmen des IT Business Continuity Managements
    12. 7.12 Checklisten IT-Notfallmanagement
      1. 7.12.1 Checkliste Business-Impact-Analy‌‌se
      2. 7.12.2 Checkliste Notfallorganisati‌‌on
      3. 7.12.3 Checkliste Notfallplän‌‌e und Wiederanlaufp‌‌läne
      4. 7.12.4 Checkliste Rechenzentr‌‌um
  10. Kapitel 8: Verfügbarkeitsmanagement
    1. 8.1 Kapitelzusammenfassung
    2. 8.2 Einführung
    3. 8.3 Richtlinie zum Verfügbarkeitsmanagement‌‌
    4. 8.4 Verfügbarkeit
      1. 8.4.1 Klassifizierung von Verfügbarkeit
      2. 8.4.2 Vorgehensweise
      3. 8.4.3 Berechnung der Verfügbarkeit
    5. 8.5 Ausfallsicherheit‌
    6. 8.6 Ausprägungen von Redundanz
      1. 8.6.1 Strukturelle Redundanz‌‌
      2. 8.6.2 Funktionelle Redundanz oder unterstützende Redundanz
      3. 8.6.3 Informationsredundanz
    7. 8.7 Redundante Hard- und Software
    8. 8.8 Virtualisierung
    9. 8.9 Bauliche Maßnahmen zur Steigerung der Verfügbarkeit
  11. Kapitel 9: Technische IT-Security
    1. 9.1 Kapitelzusammenfassung
    2. 9.2 Einführung
    3. 9.3 Technisch-Organisatorische‌ Maßnahmen‌
      1. 9.3.1 Zugangskontrolle‌
      2. 9.3.2 Zugriffskontrolle‌
      3. 9.3.3 Übertragungskontrolle‌ und Transportkontrolle‌
      4. 9.3.4 Eingabekontrolle‌
      5. 9.3.5 Verfügbarkeitskontrolle‌, Wiederherstellbarkeit‌ und Zuverlässigkeit‌
      6. 9.3.6 Datenintegrität‌
    4. 9.4 Verschlüsselung
      1. 9.4.1 Begriffsbestimmungen
      2. 9.4.2 Symmetrische Verschlüsselungssysteme
      3. 9.4.3 Asymmetrische Verschlüsselungsverfahren
    5. 9.5 Cloud Computing
      1. 9.5.1 Dienstleistungen in der Cloud
      2. 9.5.2 Risikofaktoren
      3. 9.5.3 Datenschutzrechtliche‌ Aspekte
      4. 9.5.4 Vertragliche Vereinbarungen
      5. 9.5.5 Sinnvolle Freigabeprozesse
    6. 9.6 Betrieb von Firewalls
      1. 9.6.1 Paketfilter und Application-Gateways
      2. 9.6.2 Firewall-Regelwerk
      3. 9.6.3 Internet-Proxyserver
    7. 9.7 Internetzugang und Nutzung von E-Mail
      1. 9.7.1 Risikofaktor E-Mail‌
      2. 9.7.2 Verschlüsselung von E-Mails
      3. 9.7.3 Risikofaktor Internetbrowser
    8. 9.8 Penetrationstests
    9. 9.9 Digitale Signatur‌‌
    10. 9.10 Intrusion-Detection-Systeme
    11. 9.11 Wireless LAN
  12. Kapitel 10: IT-Risikomanagement‌
    1. 10.1 Kapitelzusammenfassung
    2. 10.2 Einführung
    3. 10.3 IT-Risikomanagement im Unternehmenskontext
    4. 10.4 Akzeptanz des IT-Risikomanagements
    5. 10.5 Operatives IT-Risikomanagement
      1. 10.5.1 Vorgehensweise
      2. 10.5.2 IT-Risikomanagementprozess
      3. 10.5.3 Übergeordnete Risikobetrachtung
      4. 10.5.4 Schwachstelle‌n
      5. 10.5.5 Bedrohungen
      6. 10.5.6 Zusammenspiel von Bedrohungen, Schwachstellen und Maßnahmen
      7. 10.5.7 Verhältnismäßigkeit‌
    6. 10.6 Schutzbedarfsfeststellung
      1. 10.6.1 Schutzziele‌
      2. 10.6.2 Schutzstufen‌
      3. 10.6.3 Prinzipien
      4. 10.6.4 Feststellung des Schutzbedarfs
      5. 10.6.5 Veränderung des Schutzbedarfs
      6. 10.6.6 Widersprüchliche Schutzziele
      7. 10.6.7 Schadensklassen
      8. 10.6.8 Abbildung des Datenflusses
      9. 10.6.9 Entscheidungsfindung auf Basis des Schutzbedarfs
    7. 10.7 IT-Risikomanagement Prozess
      1. 10.7.1 Risiken identifizieren
      2. 10.7.2 Risikoermittlung
      3. 10.7.3 Risikobewertung‌
    8. 10.8 Quantitative Darstellung von Risiken
      1. 10.8.1 Grundlagen der Risikoberechnun‌g
      2. 10.8.2 Risikoberechnung‌ im Beispiel
      3. 10.8.3 Risikomatrix
      4. 10.8.4 Risikokatalog‌
    9. 10.9 Risikobehandlung‌
      1. 10.9.1 Risiko akzeptieren‌
      2. 10.9.2 Risiko reduzieren‌
      3. 10.9.3 Risiko vermeiden‌
      4. 10.9.4 Risiko‌ auf Dritte verlagern
    10. 10.10 Maßnahmen definieren
      1. 10.10.1 Maßnahmentypen
      2. 10.10.2 Individuelle Maßnahmenkataloge
  13. Kapitel 11: Sicherheitsmonitoring
    1. 11.1 Kapitelzusammenfassung
    2. 11.2 Einführung
    3. 11.3 Ebenen‌ des Monitorings
    4. 11.4 System-Monitoring
      1. 11.4.1 Sicherheitsaspekte
      2. 11.4.2 Auswahl zu überwachender Systeme
      3. 11.4.3 Implementierung im Netzwerk
    5. 11.5 Protokoll‌‌-Monitoring
      1. 11.5.1 Unterstützung von Audits
      2. 11.5.2 Überwachung administrativer Tätigkeiten
  14. Kapitel 12: IT-Security-Audit‌
    1. 12.1 Kapitelzusammenfassung
    2. 12.2 Einführung
    3. 12.3 Audits im Kontext des IT-Security-Managements
    4. 12.4 Audits im Unternehmenskontext
    5. 12.5 Audits nach Kategorien
    6. 12.6 Vor-Ort kontra Selbstauskunft‌
    7. 12.7 Anforderungen an den Auditor
    8. 12.8 Ein Audit Schritt für Schritt
      1. 12.8.1 Vorbereitung
      2. 12.8.2 Durchführung‌
      3. 12.8.3 Nachbereitung
      4. 12.8.4 Abschlussbericht‌
  15. Kapitel 13: Management von Sicherheitsereignissen und IT-Forensik
    1. 13.1 Kapitelzusammenfassung
    2. 13.2 Einführung
    3. 13.3 Angriffe auf Ihre Daten
      1. 13.3.1 Durch eigene Mitarbeiter‌
      2. 13.3.2 Durch Außenstehende‌
      3. 13.3.3 Angriffe und Angriffsvektoren
      4. 13.3.4 Angriffsarten
    4. 13.4 Management von Sicherheitsereignissen
    5. 13.5 IT-Forensik
      1. 13.5.1 Arten der IT-Forensik-Analyse
      2. 13.5.2 Einrichtung von Honeypots
    6. 13.6 Elemente der forensischen Untersuchung
      1. 13.6.1 Zielsetzung
      2. 13.6.2 Anforderungen an die Analyse‌
      3. 13.6.3 Forensische‌ Methoden‌
      4. 13.6.4 Forensische Untersuchung‌‌
  16. Kapitel 14: Kennzahlen‌
    1. 14.1 Kapitelzusammenfassung
    2. 14.2 Einführung
    3. 14.3 Die Aufgabe von Kennzahlen
    4. 14.4 Quantifizierbare Kennzahlen
    5. 14.5 Steuerung mithilfe von Kennzahlen
    6. 14.6 Qualität von Kennzahlen
      1. 14.6.1 Gute Kennzahlen‌
      2. 14.6.2 Schlechte Kennzahlen‌‌
      3. 14.6.3 Vergleichbarkeit von Kennzahlen‌
    7. 14.7 Verschiedene Kennzahlen aus der IT-Security
    8. 14.8 Kennzahlen im laufenden Verbesserungsprozess
    9. 14.9 Laufende Auswertung von Kennzahlen
    10. 14.10 Annualized Loss Expectancy
    11. 14.11 IT-Security Balanced Scorecard‌
      1. 14.11.1 Einführung der IT-Security Balanced Scorecard
      2. 14.11.2 Maßnahmenziele für den Bereich IT-Security
  17. Kapitel 15: Praxis: Aufbau eines ISMS‌
    1. 15.1 Kapitelzusammenfassung
    2. 15.2 Einführung
    3. 15.3 ISMS in Kürze
    4. 15.4 Herangehensweise
    5. 15.5 Schritt für Schritt zum ISMS
      1. 15.5.1 ‌Pla‌n-Do‌-Che‌‌ck-Act
      2. 15.5.2 Vorarbeiten
      3. 15.5.3 Pl‌an: Gestaltung des ISMS
      4. 15.5.4 Do: Umsetzung der Arbeitspakete
      5. 15.5.5 Check: Überprüfung des ISMS
      6. 15.5.6 Act: Umsetzung von erkannten Defiziten
      7. 15.5.7 Dokumentation
    6. 15.6 Softwaregestützter Aufbau eines ISMS
      1. 15.6.1 Auswahl einer ISMS-Lösung
      2. 15.6.2 Darstellung der Risiken und der Unternehmenswert‌e
      3. 15.6.3 Darstellung von Prozessen
      4. 15.6.4 IT-Risikomanagement
      5. 15.6.5 Richtlinienmanagement
      6. 15.6.6 Arbeitsabläufe abbilden
      7. 15.6.7 Berichte erstellen
    7. 15.7 Zertifizie‌rung nach ISO 27001
      1. 15.7.1 Ansprechpartner
      2. 15.7.2 Prinzipien
  18. Kapitel 16: Awareness‌ und Schulung‌
    1. 16.1 Kapitelzusammenfassung
    2. 16.2 Verbesserungsprozess
    3. 16.3 Voraussetzungen für eine Sicherheitskultur
    4. 16.4 Erfassung der Sicherheitskultur
    5. 16.5 Top-down-Ansatz
    6. 16.6 Awareness-Projekte