Lernziele

Sie kennen verschiedene Sicherheitsbegriffe und können den Aufgabenbereich Informationssicherheit sinnvoll strukturieren. Sie können die wichtigsten Sicherheitsziele erörtern und kennen Elemente von Sicherheitsmanagement-Systemen. Sie kennen den Unterschied zwischen einer IT-Grundschutzzertifizierung und einer Zertifizierung von Sicherheitsprodukten.

Definitionen und Abkürzungen

• Bedrohung (threat) = potenzielles Einwirken einer Gefahr auf Elemente der Informationsinfrastruktur. Synonyme: Gefährdung, sicherheitsgefährdendes Ereignis.

• BSI = Bundesamt für Sicherheit in der Informationstechnik (Deutschland).

• CC = Common Criteria for Information Technology Security Evaluation;internationale Kriterien zur Evaluierung von Produkten der IT-Sicherheit.

• Gefahr (threat) = Einflussfaktor, welcher sicherheitsrelevante Elemente beeinträchtigen und Schäden verursachen kann.

• ITSEC = Information Technology Security Evaluation Criteria; europäische Kriterien zur Evaluierung von Produkten der IT-Sicherheit.

• IT-Verbund (information processing facility/ies) = Gesamtheit der infrastrukturellen, organisatorischen, personellen und technischen Komponenten, die der Aufgabenerfüllung in einem bestimmten Anwendungsbereich der IT dienen. Synonym: Informationssystem.

• Schwachstelle (vulnerability) = Umstand, der das Eintreten gefährdender Ereignisse begünstigen oder deren negative Folgen verstärken kann.

• Sicherheit (security, safety) = Zustand, in dem alle schutzwürdigen Belange der Informationsinfrastruktur vor Beeinträchtigungen geschützt sind.

• Sicherheitsgefährdung (threat) = Synonyme: Bedrohung, sicherheitsgefährdendes Ereignis.

• Sicherheitskonzept (security concept) = Entwurf des Vorgehens zur Erreichung und Erhaltung des gewünschten oder geforderten Sicherheitsniveaus.

• Sicherheitskriterien (evaluation criteria) = Kriterien zur Evaluierung von Produkten der IT-Sicherheit.

• Sicherheitsleitlinie (information security policy oder IT security policy) = Beschreibung der wichtigsten Aussagen der Sicherheitsstrategie eines Unternehmens.

• Sicherheitsmanagement (security management) = Gesamtheit der Führungsaufgaben, die sich mit Sicherheit der Informationsinfrastruktur befassen.

• Sicherheitsmanagement-System (security management system) = Gesamtheit der Hilfsmittel des Sicherheitsmanagements.

• Sicherheitsniveau (security level) = Ausmaß an geforderter oder vorhandener Sicherheit.

• Sicherheitsstrategie (security strategy) = grundsätzliche Festlegungen der Unternehmensleitung zum Stellenwert der Informationssicherheit; die wichtigsten Aussagen der Sicherheitsstrategie werden in einer Sicherheitsleitlinie dokumentiert.

• Sicherungsmaßnahme (security control) = Vorkehrungen, die geeignet sind, die Informationssicherheit zu erhöhen. Synonyme: Sicherheitsmaßnahme, Schutzmaßnahme.

Zweck des Sicherheitsmanagements

Sicherheitsbegriff

Ebenenmodell der Sicherheit

Kausalmodell der Sicherheit

Sicherheitsziele

Sicherheitsmanagement-System

Zertifizierung nach ISO 27001 sowie IT-Grundschutz

Sicherheitskriterien und Produktzertifizierung

Forschungsbefunde

Aus der Praxis

Methodenverweise

• Vorgehensmodelle (Lerneinheit VOMOD)

• Evaluierungsmethoden (Lerneinheit EVALU)

• Sicherheitskonzepte (Lerneinheit SIKON)

Kontrollfragen

1. Wie kann der Aufgabenbereich Informationssicherheit sinnvoll strukturiert werden?
2. Welche Ursachen und Wirkungen kann ein sicherheitsgefährdendes Ereignis haben? Beantworten Sie die Fragen mit einem selbst gewählten Beispiel.
3. Welche Aufgaben umfasst das Sicherheitsmanagement?
4. Worin besteht der Unterschied zwischen einem Sicherheitskonzept und einer Sicherheitsleitlinie?
5. Welches sind - empirisch betrachtet - die bedeutendsten Gefahrenquellen für die Informationssicherheit?

Quellen

• Bundesamt für Sicherheit in der Informationstechnik (BSI): IT-Grundschutz-Kataloge 2008. http://www.bsi.de; Abruf: 26.01.2009

• Bundesamt für Sicherheit in der Informationstechnik (BSI): Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz. Prüfschema für ISO 27001-Audits. Version 2.1. Stand: 03.03.2008. Bonn 2008

• Campbell, K. et al.: The economic cost of publicly announced information security breaches: empirical evidence from the stock market. In: Journal of Computer Security 3/2003, 431-448

• Department of Trade and Industry. Information Technology Security Evaluation Criteria (ITSEC). Version 1.2. London 1991

• Information Security Forum: Standard of Good Practice for Information Security. 2007. http://www.isfsecuritystandard.com; Abruf: 22.01.2009

• Luftman, J. / McLean, E. R.: Key Issues for IT Executives. In: MIS Quarterly Executive 3/2004, 89-104

• Stelzer, D.: Sicherheitsstrategien in der Informationsverarbeitung - Ein wissensbasiertes, objektorientiertes System für die Risikoanalyse. Wiesbaden 1993, 20-46

• Witt, B. C. Rückblick nach vorn. Trends aus den -Sicherheitsstudien zwischen 1998 und 2006. In: Die Zeitschrift für Informationssicherheit 6/2006, 55-60

Vertiefungsliteratur

• Bishop, M.: Computer Security. Art and Science. Boston 2003

• Eckert, C.: IT-Sicherheit. Konzepte - Verfahren - Protokolle. 5. A., München/Wien 2008

• Gollmann, D.: Computer Security. 2. A., Chichester 2006

• Pfleeger, C. P. / Pfleeger, S. L.: Security in Computing. 4. A., Upper Saddle River 2006

Informationsmaterial

• Aktuelle Nachrichten zur Informationssicherheit

• Bundesamt für Sicherheit in der Informationstechnik

• Common Criteria Project

• Computer Emergency Response Team CERT Coordination Center am Software Engineering Institute der Carnegie Mellon University, Pittsburgh (USA)

• Computer Security Resource Center / National Institute of Standards and Technology

• Deutschland sicher im Netz e.V.

• DFN-CERT- Computer Notfallteam im Deutschen Forschungsnetz

• Gesellschaft für Informatik e. V. Fachbereich Sicherheit - Schutz und Zuverlässigkeit

• GI-Workshops der Fachgruppe SECMGT - Management von Informationssicherheit

• Information Security Forum

• ISO 27000 Directory

• IT-Security Potal

• Oesterreichische Computer Gesellschaft (OCG) Arbeitskreis IT-Sicherheit

• Suchmaschine zur Informationssicherheit

Normen

• BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS) Version 1.5. 2008

• BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise Version 2.0. 2008

• BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz Version 2.5. 2008

• ISO/IEC 13335-1:2004: Information technology. Security techniques. Management of information and communica-tions technology security. Part 1: Concepts and models for information and communications technology secu-rity management

• ISO/IEC 15408-1:2005: Information technology - Security techniques - Evaluation criteria for IT security. - Part 1: Introduction and General Model

• ISO/IEC 17799:2005: Information technology. Security techniques. Code of practice for information security management

• ISO/IEC 27001:2005: Information technology - Security techniques - Information security management systems - Requirements

• ISO/IEC 27002:2005: Information technology - Security techniques - Code of practice for information security management

• ISO/IEC 27005:2008: Information technology - Security techniques - Information security risk management

Links

• Abbildungsarchiv: SICHM - Sicherheitsmanagement
• Diskussionsforum: SICHM - Sicherheitsmanagement