ebook img

IT-Risikomanagement mit System: Praxisorientiertes Management von Informationssicherheits- und IT-Risiken PDF

460 Pages·2013·4.174 MB·German
Save to my drive
Quick download
Download
Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.

Preview IT-Risikomanagement mit System: Praxisorientiertes Management von Informationssicherheits- und IT-Risiken

Edition <kes> Herausgegeben von P. Hohl, Ingelheim, Deutschland M it der allgegenwärtigen Computertechnik ist auch die Bedeutung der Sicherheit von Informationen und IT-Systemen immens gestiegen. Angesichts der komplexen Materie und des schnellen Fortschritts der Informationstechnik benötigen IT-Profi s dazu fun- diertes und gut aufb ereitetes Wissen. Die Buchreihe Edition <kes> liefert das notwendige Know-how, fördert das Risiko- bewusstsein und hilft bei der Entwicklung und Umsetzung von Lösungen zur Sicherheit von IT-Systemen und ihrer Umgebung. Herausgeber der Reihe ist Peter Hohl. Er ist darüber hinaus Herausgeber der <kes>– Die Zeitschrift für Informations-Sicherheit (s.a. www.kes.info), die seit 1985 im Secu- Media Verlag erscheint. Die <kes> behandelt alle sicherheitsrelevanten Th emen von Audits über Sicherheits-Policies bis hin zu Verschlüsselung und Zugangskontrolle. Außerdem liefert sie Informationen über neue Sicherheits-Hard- und -Soft ware sowie die einschlägige Gesetzgebung zu Multimedia und Datenschutz. IT-Notfallmanagement mit System von Gerhard Klett, Klaus-Werner Schröder und Heinrich Kersten Der IT Security Manager von Heinrich Kersten, Gerhard Klett, und Klaus-Dieter Wolfenstetter Information Security Risk Management von Sebastian Klipper IT-Sicherheit kompakt und verständlich von Bernhard C. Witt Konfl iktmanagement für Sicherheitsprofi s von Sebastian Klipper Praxis des IT-Rechts von Horst Speichert IT-Sicherheitsmanagement nach ISO 27001 und Grundschutz von Heinrich Kersten, Jürgen Reuter und Klaus-Werner Schröder Security Awareness von Michael Helisch und Dietmar Pokoyski Rollen und Berechtigungskonzepte von Alexander Tsolkas und Klaus Schmidt Hans-Peter Königs IT-Risikomanagement mit System Praxisorientiertes Management von Informationssicherheits- und IT-Risiken 4. Auflage PRAXIS Hans-PeterKönigs Olsberg,Schweiz Eswirddaraufhingewiesen,dassdieimBuchverwendetenSoft-undHardware-BezeichnungensowieMar- kennamenundProduktbezeichnungenderjeweiligenFirmenimAllgemeinenwarenzeichen-,marken- oderpatentrechtlichemSchutzunterliegen. ISBN978-3-8348-1687-0 ISBN978-3-8348-2165-2(eBook) DOI10.1007/978-3-8348-2165-2 DieDeutscheNationalbibliothekverzeichnetdiesePublikationinderDeutschenNationalbibliografie;de- tailliertebibliografischeDatensindimInternetüberhttp://dnb.d-nb.deabrufbar. SpringerVieweg ©SpringerFachmedienWiesbaden2013 DiesesWerkeinschließlichallerseinerTeileisturheberrechtlichgeschützt.JedeVerwertung,dienichtaus- drücklichvomUrheberrechtsgesetzzugelassenist,bedarfdervorherigenZustimmungdesVerlags.Dasgilt insbesonderefürVervielfältigungen,Bearbeitungen,Übersetzungen,MikroverfilmungenunddieEinspei- cherungundVerarbeitunginelektronischenSystemen. DieWiedergabevonGebrauchsnamen,Handelsnamen,Warenbezeichnungenusw.indiesemWerkbe- rechtigtauchohnebesondereKennzeichnungnichtzuderAnnahme,dasssolcheNamenimSinneder Warenzeichen-undMarkenschutz-Gesetzgebungalsfreizubetrachtenwärenunddahervonjedermann benutztwerdendürften. GedrucktaufsäurefreiemundchlorfreigebleichtemPapier. Springer ViewegisteineMarkevon SpringerDE.Springer DEistTeilderFachverlagsgruppeSpringer Science+BusinessMedia www.springer-vieweg.de Geleitwort Die Unternehmenspraxis – insbesondere in der derzeitigen Euro- Krise – zeigt, wie eng die Chancen unserer Unternehmen mit Ri- siken aller Art verbunden sind. Aufgrund der Ereignisse in den letzten Jahren unternehmen die Gesetzgeber und Regulatoren immer neue Anläufe und Verbesserungen, um die Risiken so- wohl für die Volkswirtschaft, als auch für das einzelne Unter- nehmen und letztlich den Bürger in einem erträglichen Mass zu halten. Bei den wesentlichen Neuerungen denken wir beispielsweise an die Datenschutzgesetze, an die neuen Anforderungen des „Bas- ler Ausschusses für Bankenaufsicht“ (Basel II und III) oder an die Anforderungen von Solvency II für Versicherungen. Solche und auch andere Vorgaben stellen nebst den Anforderungen an das Risikomanagement bzgl. der finanziellen Risiken auch je- weils Anforderungen hinsichtlich der Beherrschung der Informa- tionssicherheits- und IT-Risiken. Die Möglichkeiten der IT aufgrund der globalen Vernetzungen, die Anonymität von Angreifern im Internet sowie die Geschwin- digkeit und Komplexität der Arbeitsprozesse und Systeme bieten neben den unbestreitbaren Chancen immer neue und leider auch grössere und schwer fassbare Risiken. Die Risikobeurtei- lung und -behandlung muss sich dabei an der Wesentlichkeit für die Erreichung der Geschäftsziele orientieren. Deshalb sind neben den Angriffspotentialen aus dem „Cyber Space“ auch Ri- siken, resultierend aus Verstössen gegen gültiges Recht, mangel- hafte Verträge oder schlecht abgestimmtes und überwachtes Outsourcing zu berücksichtigen, um einige Beispiele zu nennen. Das vorliegende Buch nimmt sich diesen aktuellen Anforderun- gen in einer für die praktische Umsetzung geeigneten Weise unter Berücksichtigung der aktuellen internationalen Standards an. So werden die unter dem Sammelbegriff „Management- Systeme“ die im Unternehmen zu integrierenden Unternehmens- prozesse für das Risikomanagement (ISO 31000) wie auch für die Informationssicherheit (ISO/IEC 2700x-Reihe) und die Ge- schäftskontinuität (neuer Standard ISO 22301) behandelt. Ein eigenes neues Kapitel ist dem „Cloud-Computing“ mit ent- sprechenden Lösungsansätzen für das Management der Risiken zugeschrieben. Die Mitarbeit des Autors in den relevanten Stan- V Geleitwort dardisierungs-Gremien der Schweizerischen Normenvereinigung lässt ihn aus einem reichen Fundus für die Entwicklung und den Einsatz solcher Standards schöpfen. Im Sinne einer ganzheitli- chen Betrachtung der Leistung und Sicherheit der IT und der In- formationen im Unternehmen geht das Buch auch auf das neue Rahmenwerk CobiT 5 ein. Wie in den vorherigen Auflagen dieses Buches hat es der Autor wiederum sehr gut verstanden, die zum Teil komplexen Zu- sammenhänge in einer mit Beispielen und auf das Wesentliche beschränkten Darstellung anschaulich zu behandeln. Dabei kommen dem Autor zweifellos seine langjährigen didaktischen Erfahrungen aus seiner Tätigkeit als Dozierender für verschiede- ne Fächer des Risikomanagements an der Hochschule für Wirt- schaft Luzern zugute. Wir wünschen auch der vierten, in vielen Aspekten überarbeite- ten und ergänzten Auflage den guten Erfolg der vorangegange- nen Auflagen. Dr. Thomas Siegenthaler, Präsident CSI Consulting AG VI Vorwort zur 4. Auflage Die Auflagen dieses Buches spiegeln den Kreislauf einer ständi- gen Anpassung an neue Gegebenheiten und einer kontinuierli- chen Verbesserung wider. So hat sich seit der ersten Auflage im Jahr 2005 nicht nur die Risikolandschaft mit ihren Anforderun- gen, sondern, neben den gesetzlichen und regulativen Vorga- ben, auch die Verfügbarkeit von Standards, Rahmen- und Regelwerken erheblich erweitert. Beispiele solcher Rahmen- und Regelwerke über Aspekte des Risikomanagements sind der ISO Standard 31000:2009 über Prinzipien und Richtlinien eines Risi- komanagements, die zahlreichen ISO/IEC-Standards der 2700x- Reihe über Informationssicherheit, der internationale Standard ISO 22301:2012 über Geschäftskontinuität sowie die deutschen BSI-Standards 100-x oder die österreichischen Standards der Rei- he ONR 4900x in diesen Themen. Erwähnenswert sind auch die neuerlichen Bemühungen zur Vereinheitlichung der ISO- Standards über Management-Systeme auf der Basis des neuen „ISO Guide 83“. Auch verwundert nicht, dass die Informationssicherheits-Risiken, beispielsweise bei der Verwendung von „Cloud-Computing“ so- wie bei der steigenden Ernsthaftigkeit von „Cyber-Threats“, aber auch bei neuen gesetzgeberischen und regulatorischen Anforde- rungen in den letzten Jahren eine neue Relevanz erhalten haben. Die derzeit laufenden Standardisierungen, an denen ich in den relevanten Normen-Komitees der Schweizerischen Normenver- einigung mitarbeite, tragen solchen aktuellen Aspekten Rech- nung. Doch ist es, trotz der starken Anlehnung an solche Standards, nicht Zweck dieses Buches, diese Standards zu inter- pretieren oder gar zu ersetzen. Vielmehr sollen für den Leser die wesentlichen praktischen Aspekte eines Risikomanagements aus der Sicht des Unternehmens sowie der IT und der Informations- sicherheit herausgearbeitet werden. Somit ist das Buch Alternati- ve und Ergänzung zu den heute vielfältig vorhandenen und in den Literaturhinweisen erwähnten Standardisierungs- Dokumenten. Selbstverständlich wird in dieser neuen Buchauf- lage die in den neueren Standards verwendete Terminologie des Risikomanagements, vor allem die des „ISO Guide 73:2009“ an- gewandt. Wie im erweiterten Titel des Buches erkennbar ist, beschränkt sich das Buch weder alleine auf die Risiken der Informationssi- VII Vorwort cherheit* noch alleine auf die Risiken der Informationstechnolo- gie, sondern soll im Rahmen eines Unternehmens-Risikomanage- ments für beide Risiko-Felder Gültigkeit haben. Somit verfolgt das Buch das Ziel, den derzeitigen Stand des In- formationssicherheits-Risikomanagements und des IT-Risiko- managements in einer für den Anwender in der Praxis notwen- digen Übersicht und Ausführlichkeit zu behandeln. Um dabei den Fokus eines „Leitfadens“ nicht zu verlieren, wurden beispielsweise aufwändige quantitative Assessment-Methoden, welche hohe Anforderungen an das statistische Datenmaterial und an ihre praktische Umsetzung stellen, mit entsprechenden Hinweisen weniger umfassend und tief behandelt. Stattdessen wurden, insbesondere in den beiden ersten Buchteilen, die Mög- lichkeiten des Risiko-Assessments und der Risiko-Behandlung, wie sie für operationelle Risiken auf der Ebene des Gesamt- unternehmens allenfalls in Betracht kommen, in den wesentli- chen Grundzügen vorgestellt. Wie aktuelle Beispiele zeigen, können die Informationssicherheits-Risiken und IT-Risiken gros- se Risiken für Unternehmen bedeuten. Man denke beispielswei- se an den Ausfall wichtiger Produktionssysteme oder den Diebstahl geheimer Unternehmensdaten mittels Attacken über das Internet. Demzufolge bezweckt der Aufbau dieses Buches die Integration des Informationssicherheits-Managements und des IT-Risikomanagements in ein in das Führungssystem des Unternehmens integriertes Gesamt-Risikomanagement. So er- weist sich die Strukturierung in die folgenden vier Buchteile als nützlich: Teil A: Grundlagen erarbeiten Teil B: Anforderungen aus Unternehmenssicht berücksichtigen Teil C: Informations-Risiken erkennen und bewältigen Teil D: Unternehmensprozesse meistern Damit erklärt sich auch, dass in den ersten beiden Buchteilen die Grundlagen und die Anforderungen in einer für das Unter- nehmen allgemeinen Weise behandelt werden. Hingegen wer- den die für die IT- und Informations-Risiken spezifischen Inhalte im dritten Teil des Buches und die Umsetzung und die Integra- tion des Informationssicherheits- und IT-Risikomanagements in die Unternehmensprozesse im vierten und letzten Teil des Bu- ches behandelt. * Sicherheit der Vertraulichkeit, Verfügbarkeit und Integrität von Informationen VIII Vorwort Am Ende eines jeden Kapitels finden sich eine Zusammenfas- sung sowie einige Kontrollfragen und Aufgaben. Die Musterlö- sungen für die Kontrollfragen und Aufgaben können über den Online-Service im Internet abgerufen werden. Die URL dafür ist: http://www.koenigs-media.ch/viewegbuch/ Fragen, fachliche Hinweise oder gar einen über den Online- Service möglichen Dialog sind mir herzlich willkommen. Dank Wie die neuen Auflagen des Buches unterliegen auch die Aus- bildungsgänge zum „Bachelor of Information Security“ und zum „Master of applied Studies in Information Security“ an der Hoch- schule Luzern, wo ich neben meiner Beratertätigkeit als Dozie- render für Risikomanagement tätig bin, einem kontinuierlichen Verbesserungsprozess. Für die aus dieser Tätigkeit erhaltenen wertvollen Anregungen meiner Studierenden und Dozenten- Kollegen möchte ich mich an dieser Stelle herzlich bedanken. Für die vielen Diskussionen und wertvollen Ratschläge zu den Erweiterungen in der vierten Auflage danke ich meinem langjäh- rigen Berufskollegen Domenico Salvati und meinem Beraterkol- legen Daniel Farner der Firma CSI Consulting AG für die stete Bereitschaft, einzelne Themen und deren Praxistauglichkeit zu diskutieren. Mein Dank gilt auch dem Lektorat des Springer Vieweg-Verlags für seine Unterstützung und seine wertvollen Hinweise. Mein besonderer Dank geht an meine Tochter Nicole Königs Balfry für das sorgfältige Korrekturlesen sowie an meine Frau Diemuth Königs, Autorin historischer Bücher, die mir in allen Belangen mit Rat und Tat zur Seite steht. Olsberg im September 2012 Hans-Peter Königs IX Inhaltsverzeichnis 1 Einführung .................................................................................................................... 1 1.1 Warum beschäftigen wir uns mit Risiken? ................................................... 1 1.2 Risiken bei unternehmerischen Tätigkeiten ................................................ 3 1.3 Inhalt und Aufbau dieses Buchs .................................................................. 3 Teil A: Grundlagen erarbeiten ................................................................................ 5 2 Elemente für die Durchführung eines Risikomanagements .................................... 7 2.1 Fokus und Kontext Risikomanagement ........................................................... 9 2.2 Definition des Begriffs „Risiko“ ........................................................................ 9 2.3 Risiko kombiniert aus Wahrscheinlichkeit und Konsequenz ....................... 13 2.4 Probleme bei Risikobestimmung mittels einfacher Multiplikation .............. 17 2.5 Subjektivität bei Einschätzung und Bewertung der Risiken ......................... 18 2.6 Hilfsmittel zur Analyse, Aufbereitung und Darstellung der Risiken ............ 19 2.6.1 Risiko-Bewertungs-Matrix ....................................................................... 19 2.6.2 Kriterien zur Schadenseinstufung ........................................................... 21 2.6.3 Risiko-Landkarte, Akzeptanz-Kriterien und Risiko-Portfolio ................ 24 2.6.4 Risiko-Katalog .......................................................................................... 25 2.7 Risiko-Aggregation und Abhängigkeiten ....................................................... 27 2.8 Beschreibung der Risiken mit Risikomasszahlen .......................................... 29 2.8.1 Stochastische Methoden zur Bestimmung des Risikos ......................... 31 2.8.2 Risiko-Analyse und -Überwachung mit Indikatoren ............................. 35 2.9 Risiko-Organisation, Kategorien und Arten von Risiken .............................. 36 2.9.1 Bedrohungslisten ..................................................................................... 39 2.9.2 Beispiele von Risiko-Arten ..................................................................... 39 2.10 Zusammenfassung ........................................................................................... 41 2.11 Kontrollfragen und Aufgaben ........................................................................ 42 3 Risikomanagement als Prozess ............................................................................... 43 3.1 Kommunikation und Konsultation ................................................................. 45 3.2 Festlegung Risikomanagement-Kontext ......................................................... 46 XI

See more

The list of books you might like

Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.