Lernziele

Sie kennen Prinzipien zur Entwicklung von Sicherheitskonzepten und können den Unterschied zwischen Risikoanalysen und Grundschutzkonzepten erklären. Sie können Sicherheitskonzepte entwerfen und kennen Werkzeuge zur Entwicklung von Sicherheitskonzepten.

Definitionen und Abkürzungen

• ALE = Annual Loss Exposure bzw. Annual Loss Expectancy; Erwartungswert für den pro Jahr aufgrund von Sicherheitsgefährdungen zu erwartenden Schaden.

• CRAMM = CCTA Risk Analysis and Management Methodology; Softwarewerkzeug zur Erstellung von Sicherheitskonzepten.

• ENISA = European Network and Information Security Agency; Einrichtung der europä­ischen Union, die als Anlauf- und Beratungsstelle in Fragen der Netz- und Informations­sicherheit für die Mitgliedstaaten und die EU-Organe dient.

• Grundschutz (baseline protection) = Prinzip zur Entwicklung von Sicherheitskonzepten, bei dem Sicherungsmaßnahmen anzuwenden sind, welche für einen normalen Schutzbedarf als angemessen und ausreichend betrachtet werden.

• Grundschutzmaßnahmen (baseline controls) = Mindestumfang von Maßnahmen zur Sicherung einer Informationsinfrastruktur mit einem durchschnittlichen Schutzbedarf.

• GSTOOL = Grundschutz-Tool; vom BSI angebotenes Werkzeug zur Erstellung von Sicherheitskonzepten entsprechend dem Grundschutz.

• ISF = Information Security Forum; Vereinigung von mehr als 250 Unternehmen und Behörden, die den Standard of Good Practice for Information Security heraus gibt.

• IT-Grundschutzkataloge (baseline catalogues) = Publikation des BSI mit Beschreibungen von Sicherheitsgefährdungen und Empfehlungen zu Maßnahmen, welche ein Mindestmaß an Sicherheit gewährleisten sollen.

• Restrisiko (residual risk) = Risiko, das nicht durch Sicherungsmaßnahmen neutralisiert oder durch Versicherungen überwälzt werden kann oder soll.

• Risiko (risk) = Kombination aus zu erwartender Häufigkeit bzw. Eintrittswahrscheinlichkeit eines gefährdenden Ereignisses und dem beim Ereigniseintritt zu erwartenden Schadensausmaß.

• Risikoanalyse (risk analysis, risk assessment) = Prinzip zur Entwicklung von Sicher­heits­konzepten, bei dem Schadenshöhen und Eintrittswahrscheinlichkeiten von Bedrohungen bzw. sicherheitsgefährdenden Ereignissen detailliert ermittelt werden.

• Schutzbedarf (security requirements) = angestrebtes oder erforderliches Sicherheitsniveau einer Informationsinfrastruktur.

• Schwachstelle(vulnerability) = Umstand, der das Eintreten gefährdender Ereignisse begünstigen oder deren negative Folgen verstärken kann.

• Sicherheitskonzept (security concept, security plan) = Entwurf des Vorgehens zur Erreichung und Erhaltung des gewünschten oder geforderten Sicherheitsniveaus.

• Sicherheitsniveau (security level) = Ausmaß an geforderter oder vorhandener Sicherheit.

Zweck der Sicherheitskonzepte

Grundschutz

Risikoanalysen

Werkzeuge für Sicherheitskonzepte

Grundschutz oder Risikoanalysen?

Forschungsbefunde

Aus der Praxis

Aufgabenverweise

• Qualitätsmanagement (Lerneinheit QUALM)

• Revision (Lerneinheit REVIS)

• Sicherheitsmanagement (Lerneinheit SICHM)

• Katastrophenmanagement (Lerneinheit KATAM)

Kontrollfragen

1. Wodurch unterscheiden sich Grundschutzmaßnahmen und Risikoanalysen?

2. Welches sind die wesentlichen Schritte der Grundschutzvorgehensweise des BSI?

3. Worin besteht der Unterschied zwischen der Szenario- und der Simulationstechnik bei einer Risikoanalyse?

4. Welches sind charakteristische Merkmale von Risiken, die sich mit einem a) kardinalen und b) ordinalen Maßstab bewerten lassen?

5. Unter welchen Umständen würden Sie für die Entwicklung eines Sicherheitskonzepts Grundschutzmaßnahmen auswählen und unter welchen Umständen Risikoanalysen durchführen?

Quellen

• Bundesamt für Sicherheit in der Informationstechnik (BSI): GSTOOL - Handbuch. Version 4.5. Bonn 2008. Abruf: 26.01.2009

• Bundesamt für Sicherheit in der Informationstechnik (BSI): IT-Sicherheitshandbuch: Handbuch für die sichere Anwendung der Informationstechnik. 4. Entwurf v. 26.07.1991, Bonn 1991

• Bundesamt für Sicherheit in der Informationstechnik (BSI): IT-Grundschutz-Kataloge 2008. Abruf: 26.01.2009

• Experton Group : Neue Studie der Experton Group zur IT-Sicherheit. 2007. Abruf: 20.04.2007

• Gordon, L. A. / Loeb, M. P.: Budgeting Process for Information Security Expenditures. In: Communications of the ACM 1/2006, 121-125

• Information Security Forum: Standard of Good Practice for Information Security. 2007. Abruf: 22.01.2009

• Insight Consulting: CRAMM. Abruf: 26.01.2009

• o. V.: Lagebericht zur Informationssicherheit. /Microsoft-Sicherheitsstudie 2006. In: Die Zeitschrift für Informationssicherheit 4/2006, 24-31

• o. V.: Lagebericht zur Informationssicherheit (2). /Microsoft-Sicherheitsstudie 2006. In: Die Zeitschrift für Informationssicherheit 5/2006, 40-48

• Rees, J. / Allen, J.: The State of Risk Assessment Practices in Information Security: An Exploratory Investigation. In: Journal of Organizational Computing & Electronic Commerce 4/2008, 255-277

Vertiefungsliteratur

• Lippold, H. et al.: Sicherheitskonzepte und ihre Verknüpfung mit Sicherheitsstrategie und Sicherheitsmanagement. In: WIRTSCHAFTSINFORMATIK 4/1992, 367-377

• Peltier, T. R.: Information Security Risk Analysis. 2. A. Boca Raton 2005

• Pfleeger, C. P. / Pfleeger, S. L.: Security in Computing. 4. A., Upper Saddle River 2006, 508-570

• Stelzer, D.: Sicherheitsstrategien in der Informationsverarbeitung - Ein wissensbasiertes, objektorientiertes System für die Risikoanalyse. Wiesbaden 1993

• Stelzer, D.: Risikoanalysen als Hilfsmittel zur Entwicklung von Sicherheitskonzepten in der Informationsverarbeitung. In: Roßbach, P. / Locarek-Junge, H. (Hrsg.): IT-Sicherheitsmanagement in Banken. Frankfurt a. M. 2002, 37-54

Informationsmaterial

• Bundesamt für Sicherheit in der Informationstechnik (BSI)

• European Network and Information Security Agency (ENISA)

• Information Security Forum

• ISO 27000 Directory

• IT-Security Potal

• Suchmaschine zur Informationssicherheit

Normen

• BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS) Version 1.5. 2008

• BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise Version 2.0. 2008

• BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz Version 2.5. 2008

• ISO/IEC 13335-1:2004: Information technology. Security techniques. Management of information and communications technology security. Part 1: Concepts and models for information and communications technology security management

• ISO/IEC 17799:2005: Information technology. Security techniques. Code of practice for information security management

• ISO/IEC 27001:2005: Information technology - Security techniques - Information security management systems - Requirements

• ISO/IEC 27002:2005: Information technology - Security techniques - Code of practice for information security management

• ISO/IEC 27005:2008: Information technology - Security techniques - Information security risk management

Links

• Abbildungsarchiv: SIKON - Sicherheitskonzepte
• Diskussionsforum: SIKON - Sicherheitskonzepte