Informatik-Sicherheitsmanagement - Eine Herausforderung für die Unternehmensführung

Ulteriori informazioni

Durch die zunehmende Abhängigkeit der Unternehmungen von informa tionstechnischen Einrichtungen wächst die Bedeutung der Informations sicherheit und wird zu einer zentralen Fragestellung. Die Sicherheitsproblematik der frühen technischen Informatik konzentrierte sich auf Funktionssicherheit und behandelte Probleme der Verfügbarkeit von Ressourcen und der Korrektheit von Programmen. In einer Phase der Umorientierung anfangs der 70er Jahre erkannte man, dass nicht so sehr die einzelnen Abläufe und Programme im Mittelpunkt stehen, sondern vielmehr den Daten eine zentrale Bedeutung zukommt. Der Sicherheitsbegriff wurde um Fragestellungen der Datenintegrität und der Konsistenz in Datenbanken erweitert. Durch die Verbreitung "Offener Systeme", welche eine Kommuni kation unterschiedlichster Rechner und Dienstleistungsstellen ermöglichen, wird das Problem der Datengeheimhaltung zu einer aktuellen Problem stellung. Sichere Verschlüsselungsalgorithmen und kryptographische Ver fahren sind Lösungsmethoden zu diesen neuen Sicherheitsfragen. Die Kopplung dieses "erweiterten. Sicherheitsverständnisses bezüglich Infor mationstechnik (11') mit ökonomischen Zielsetzungen war die Motivation zu dieser Arbeit. Die Integration von IT-Sicherheit in eine unternehmenweit gültige Sicherheitskonzeption verlangt als Konsequenz die Vorgabe einer adäquaten Sicherheitspolitik durch die Unternehmensführung. Die Inhalte dieser Sicherheitspolitik müssen mit den übrigen unternehmerischen Ziel setzungen, die in der Unternehmenspolitik festgehalten sind, konform gehen. Eine Sensibilisierung des Topmanagements für Sicherheitsfragen und in besonderem Masse für IT-Sicherheitsfragen ist daher eine zwingende Vor aussetzung für eine erfolgreiche Sicherheitskonzeption. Um den Managementaspekten bei der Erstellung von IT -Sicherheitskonzepten Rechnung zu tragen, bedarf es eines Kosten/Nutzen-Kalküls, das ein ökono misch orientiertes Vorgehen bei der Lösung von Sicherheitsfragen im IT Bereich ermöglicht. Ebenso bedarf es der Institutionalisierung betrieblicher Abläufe bei der Risikobewältigung.

Sommario

1 Einleitung.- 1.1 Die Bedeutung der Sicherheit im IT-Bereich.- 1.2 Vorgehen bei der Risikobewältigung.- 1.3 Ursachen «schlechter Lösungen».- 1.4 Ziel der Arbeit.- 1.5 Abgrenzung.- 1.6 Gliederung der Arbeit.- 2 Grundbegriffe.- 2.1 Entscheidungstheoretische Grundlagen.- 2.2 Der Sicherheitsbegriff allgemein.- 2.3 Der Sicherheitsbegriff im IT-Bereich.- 2.4 Der Risikobegriff.- 2.5 Der Begriff «Risk Management».- 2.6 Der Begriff «Sicherheitspolitik».- 2.7 Portfoliotheorie.- 2.8 Portfoliotechnik im Strategischen Management.- 2.9 Sicherheitsmassnahmen.- 2.10 Risikobewältigung im aufbauorganisatorischen Kontext.- 2.11 Zusammenfassung.- 3 Bestehende Konzepte zur Risikobewältigung im IT-Bereich.- 3.1 Standards und Sicherheitskriterienkataloge.- 3.2 NBS Guideline for Automatic Data Processing Risk Analysis.- 3.3 Checklisten.- 3.4 Fallstudien.- 3.5 Computer Aided Risk Analysis/Management.- 3.6 Zusammenfassung.- 4 Portfoliomethode zur Risikobewältigung.- 4.1 Formulierung der Sicherheitspolitik.- 4.2 Anwendung der Sicherheitspolitik.- 4.3 Zusammenfassung.- 5 Fallstudie I: «Hacking».- 5.1 Risikobeurteilung.- 5.2 Bestimmung effektiver Massnahmen.- 5.3 Generierung von Portfolios.- 5.4 Berechnung der Effizienz.- 5.5 Interpretation der Ergebnisse.- 5.6 Interaktive Optimierung.- 5.7 Diskussion der Resultate.- 5.8 Diskussion des quantitativen Portfolioansatzes.- 6 Fallstudie II: Computerviren.- 6.1 Szenarium.- 6.2 Risikobeurteilung.- 6.3 Bestimmung effektiver Massnahmen, Effizienz.- 6.4 Rahmenbedingungen.- 6.5 Realisierung.- 6.6 Risikosituation nach Realisierung der Massnahmen.- 6.7 Zusammenfassung.- 7 Schlussbemerkungen und Ausblick.- 7.1 Unternehmenspolitische Grundsätze.- 7.2 Vergleich mit bestehenden Ansätzen der Risikobewältigung.- 7.3 Kritische Beurteilung derMethode.- 7.4 Möglichkeiten der Weiterentwicklung.- Anhang A: Beispiele zu «Preloss»- und «Postloss»-Massnahmen.- A.1 «Preloss»-Massnahmen.- A.2 «Postloss»-Massnahmen.- Anhang B: Listing des GAMS-Modells gegen Hackingversuche.- Anhang C: Computeranomalien und -viren.- C.1 Logischer Aufbau eines Virusprogramms.- C.2 Der Infektionsvorgang.- C.3 Die Schadensfunktion.- C.4 Besondere Probleme bei der Virenprophylaxe.- C.5 Motivation der Autoren von Virusprogrammen.- C.6 Virusgefahr durch Gruppenbildungen.- Literatur.- Weitere Literatur.- Abkürzungen und Akronyme.