IT-Sicherheit mit System (eBook)

Dr.-Ing. Klaus-Rainer Müller leitet als Senior Management Consultant die Bereiche Unternehmenssicherheit und IT Service Management der ACG Automation Consulting Group GmbH in Frankfurt und berät das Management zu den Themenfeldern IT-Sicherheits-, Kontinuitäts- und Risikomanagement, IT-Governance, IT Service und IT Service Level Management sowie Sourcing.

Vorwort 5
Inhaltsübersicht 16
Inhaltsverzeichnis 17
1 Ausgangssituation und Zielsetzung 27
1.1 Ausgangssituation 28
1.1.1 Bedrohungen 28
1.1.2 Schwachstellen 35
1.1.2.1 Fehlende oder unklare Sicherheitsanforderungen 35
1.1.2.2 Unvollständiges Vorgehensmodell 35
1.1.2.3 Fehlende Lebenszyklusorientierung 36
1.1.2.4 Übermäßige TechnologiefoklJssierung 36
1.1.2.5 Unzureichende Standardisierung 37
1.1.2.6 Ungenügende Notfall- Krisen- und Katastrophenvorsorge 37
1.1.3 Schadenshöhen, Schutzbedarfe 38
1.2 Zielsetzung des Sicherheits-, Kontinuitätsund Risikomanagements 40
1.3 Lösung 41
1.4 Zusammenfassung 42
2 Kurzfassung und Überblickfür Eilige 44
3 Zehn Schritte zum Sicherheitsmanagement 50
4 Gesetze, Verordnungen, Vorschriften, Anforderungen 53
5 Standards, Normen, Practices 65
5.1 Standards des BSI 65
5.1.1 Überblick 65
5.1.2 BSI-Standard 100-1, ISMS 65
5.1.3 BSI-Standard 100-2, 11-Grundschutz-Vorgehensweise 66
5.1.4 BSI-Standard 100-3, Risikoanalyse 67
5.1.5 BSI-Standard 100-4, Notfallmanagement 68
5.1.6 Vergleich mit der Sicherheitspyramide 70
5.2 IT-Grundschutzkataloge des BSI 72
5.3 ISO/lEC 27000er-Familie 75
5.3.1 Überblick 75
5.3.2 ISO/lEC 27001:2005, ISMS - Requirements 77
5.3.3 ISO/IEC 27002:2005, ISM Code of Practice 79
5.3.4 ISO/lEC 27003:2010, ISM Implementation Guidance 80
5.3.5 ISO/lEC 27004:2009, ISM Measurement 82
5.3.6 ISO/IEC 27005:2008, IS Risk Management 83
5.3.7 ISO/IEC 27033, Network Security 83
5.4 ISO/IEC 24762:2008, ICT Disaster Recovery Services 84
5.5 ISO/lEC 20000, 11 Service Management 85
5.6 ITIL® 87
5.6.1 Überblick 87
5.6.2 ITIL® Security Management 89
5.6.3 ITIL® IT Service Continuity Management 90
5.7 COBIT®, Version 4.0 91
5.8 Zusammenfasseder Vergleich mit der Sicherheitspyrarrlide 93
5.9 Risikoanalyse mittels OCTAVE® Approach 101
5.10 Reifegradmodelle 102
5.10.1 Systems Security Engineering Capability Maturity Model® 103
5.10.2 Information Technology Security Assessment Framework 104
5.10.3 Maturity Model nach COBIT® 105
5.10.4 Zusammenfassung 106
5.11 Federated Identity Management 107
5.12 Architekturen 108
5.12.1 Serviceorientierte Architektur (SOA) 108
5.12.2 Open Grid Services Architecture® (OGSA®) 120
6 Definitionen 121
6.1 Unternehmenssicherheitsmanagementsystem 121
6.2 Informationssicherheitsmanagementsystem 122
6.3 Sicherheitsmanagement 123
6.4 IKT-Sicherheitsmanagement 124
6.5 Ingenieurmäßige Sicherheit Safety, Security, Continuity Engineering 126
6.6 Sicherheitspyramide 127
6.7 Sicherheitspolitik 128
6.7.1 ... nach IT-Grundschutzkatalogen 129
6.7.2 ... nach ISO/lEC 13335-1:2004 130
6.7.3 ... nach ISO/IEC 27001:2005 131
6.7.4 ... nach ISO/IEC 27002:2005 131
6.7.5 ... nach ISO/IEC 27003:2010 131
6.7.6 ... nach ITSEC 132
6.7.7 ... nach cemmen Criteria (ISO/IEC 15408) 132
6.7.8 ... nach Dr.-Ing. Müller 133
6.7.9 Vergleich 134
6.8 Sicherheit im Lebenszyklus 134
6.9 Ressourcen, Schutzobjekte und -subjekte sowie -klassen 136
6.10 Sicherheitskriterien 137
6.11 Geschäftseinflussanalyse (Business Impact Analysis) 138
6.12 Geschäftskontinllität (Business Continuity) 138
6.13 Sicherheit und Sicherheitsdreiklang 138
6.14 Risiko und Risikodreiklang 140
6.15 Risikomanagement 142
6.16 11-Sicherheits-, IT-Kontinuitäts und IT-Risikomanagement 142
6.17 Zusammenfassung 143
7 Die Sicherheitspyramide Strategie und Vorgehensmodell 146
7.1 Überblick 147
7.2 Sicherheitshierarchie 151
7.2.1 Sicherheits-, Kontinuitäts- und Risikopolitik 151
7.2.2 Sicherheitsziele / Sicherheitsanforderungen 151
7.2.3 Sicherheitstransformation und Sicherheitsmerkmale 152
7.2.4 Sicherheitsarchitektur 152
7.2.5 Sicherheitsrichtlinien 153
7.2.7 Sicherheitsmaßnahmen 154
7.3 PROSim 155
7.4 Lebenszyklus von Prozessen, Ressourcen, Organisation, Produkten und (Dienst-)Leistungen (Services) 156
7.4.1 Geschäfts-, Support- und Begleitprozess-Lebenszyklus 156
7.4.2 Ressourcen-/Systernlebenszyklus 157
7.4.3 Orga,nisationslebenszyklus 157
7.4.4 Produkt- und Dienstleistungslebenszyklus 157
7.5 Sicherheitsregelkreis 158
7.6 Sicherheitsmanagementprozess 158
7.7 Zusammenfassung 158
8 Sicherheits-, Kontinuitäts- und Risikopolitik 161
8.1 Zielsetzung 162
8.2 Umsetzung 162
8.3 Inhalte 164
8.4 Checkliste 165
8.5 Praxisbeispiele 167
8.5.1 Sicherheits·, kontinuitäts- und risikopolitische Leitsätze Versicherung 167
8.5.2 Sicherheits-, Kontinuitäts- und Risikopolitik 169
8.6 Zusammenfassung 176
9 Sicherheitsziele / Sicherheitsanforderungen 177
9.1 Schutzbedarfsklassen 178
9.2 Schutzbedarfsanalyse 179
9.2.1 Prozessarchitektur und Prozesscharakteristika 180
9.2.2 Externe Sicherheitsanforderungen - Überblick 181
9.2.3 Geschäftseinflussanalyse (Business Impact Analysis) 182
9.2.4 Betriebseinflussanalyse (Operationallmpact Analysis) 185
9.3 Tabelle Schadensszenarien 186
9.4 Praxisbeispiele 187
9.4.1 Schutzbedarf der Geschäftsprozesse 188
9.4.2 IKT-Schutzbedarfsanalyse 188
9.4.3 Schutzbedarfsklassen 192
9.5 Zusammenfassung 193
10 Sicherheitsmerkmale 194
10.1 Haus zur Sicherhei l- House of Safety, Security, Continuity (HoSSC) 195
10.2 Safety, Security and Continuity Function Deployment (SSCFD) 196
10.2.1 Transformation der Anforderungen auf Sicherheitsmerkmale 197
10.2.2 Detaillierung der Sicherheitsmerkmale 198
10.2.3 Abbildung der Merkmale auf den Lebenszyklus 199
10.3 Schutzbedarfsklassen 200
10.4 Praxisbeispiele 200
10.5 Zusammenfassung 202
11 Sicherheitsarchitektur 204
11.1 Überblick 205
11.2 Prinzipielle Sicherheitsanforderungen 207
11.3 Prinzipielle Bedrohungen 207
11.4 Strategien und Prinzipien 212
11.4.1 Risikostrategie (Risk Strategy) 213
11.4.2 Sicherheits- und Kontinuitätsstrategie (Safety, Security and Continuity Strategy) 214
11.4.3 Prinzip der Wirtschaftlichkeit 215
11.4.4 Prinzip der Abstraktion 215
11.4.5 Prinzip der Klassenbildung 216
11.4.6 Poka-Yoke-Prinzip 217
11.4.7 Prinzip der Namenskonventionen 218
11.4.8 Prinzip der Redundanz (Principle of Redundancy) 219
11.4.9 Prinzip des "aufgeräumten" Arbeitsplatzes (Clear Desk Policy) 222
11.4.10 Prinzip des "gesperrten" Bildschirms (Clear Screen Policy) 222
11.4.11 Prinzip der Eigenverantwortlichkeit 222
11.4.12 Vier-Augen-Prinzip (Confirmed Double Check Principle) 222
11.4.13 Prinzip der Funktionstrennung (Segregation ofDuties Principle) 223
11.4.14 Prinzip der Sicherheitsschalen (Safety and Security Shell Principle) 223
11.4.15 Prinzip der Pfadanalyse (Path Analysis Principle) 223
11.4.16 Prinzip der Ge- und Verbotsdifferenzierung 224
11.4.17 Prinzip des generellen Verbots (Deny All Principle) 224
11.4.18 Prinzip der Ausschließlichkeit 224
11.4.19 Prinzip des minimalen Bedarfs (Need to Know/Use Principle) 225
11.4.20 Prinzip der minimalen Rechte (Least/Minimum Privileges Principle) 225
11.4.21 Prinzip der minimalen Dienste (Minimum Services Principle) 225
11.4.22 Prinzip der minimalen Nutzung (Minimum Usage Principle) 225
11.4.23 Prinzip der Nachvollziehbarkeit und Nachweisbarkeit 226
11.4.24 Prinzip des "sachverständigen Dritten" 226
11.4.25 Prinzip der Sicherheitszonen und des Closed-Shop-Betriebs 226
11.4.26 Prinzip der Immanenz (Principle of Immanence) 227
11.4.27 Prinzip der Konsolidierung 228
11.4.28 Prinzip der Standardisierung (Principle of Standardization) 230
11.4.29 Prinzip der Plausibilisierung (Principle of Plausibleness) 231
11.4.30 Prinzip der Konsistenz (Principle of Consistency) 231
11.4.31 Prinzip der Untergliederung (Principle of Compartmentalization) 232
11.4.32 Prinzip der Vielfältigkeit (Principle of Diversity) 232
11.4.33 Distanzprinzip 232
11.4.34 Prinzip der Vererbung 233
11.4.35 Prinzip der Subjekt-Objekt-/ Aktiv-Passiv-Differenzierung 233
11.5 Sicherheitselemente 234
11.5.1 Prozesse im Liberblick 236
11.5.1.1 Kern- und Unterstützungsprozesse im Überblick 238
11.5.1.2 Begleitprozesse (Managementdisziplinen) im Überblick 239
11.5.2 Konformitätsmanagement (Compliance Management) 246
11.5.3 Datenschutzmanagement (Privacy Management) 248
11.5.4 Risikomanagement (Risk Management) 251
11.5.5 Leistungsmanagement (Service / Service Level Management) 262
11.5.6 Finanzmanagement (Financial Management) 266
11.5.7 Projektmanagement (Project Management) 267
11.5.8 Qualitätsmanagement (Quality Management) 267
11.5.9 Ereignismanagement (Incident Management) 268
11.5.10 Problemmanagement (Problem Management) 274
11.5.11 Änderungsmanagement (Change Management) 275
11.5.12 Releasemanagement (Release Management) 278
11.5.13 Konfigurationsmanagement (Configuration Management) 279
11.5.14 Lizenzmanagement (Licence Mana,gement) 280
11.5.15 Kapazitätsmanagement (Capacity Management) 282
11.5.15.1 Rechnermanagement 284
11.5.15.2 Speichermanagement (Storage Management) 284
11.5.16 Wartungsmanagement (Maintenance Management) 284
11.5.17 Kontinuitätsmanagement (Continuity Management) 285
11.5.17.1 Vermeidung durch Prävention 302
11.5.17.2 Datensicherung 307
11.5.17.3 Versicherung 313
11.5.17.4 Checkliste Kontrollen (Controls) 313
11.5.18 Securitymanagement (Security Management) 314
11.5.18.1 Sicherheitsschalenmodell/ Sicherheitsschirm 316
11.5.18.2 Berechtigungsmodell 322
11.5.18.3 Rechtevergabe 324
11.5.18.4 Rechtedokumentation 325
11.5.18.5 Rechtesteuerung und -verwaltung 325
11.5.18.6 Identifikation und Authentisierul19 326
11.5.18.7 Objektschutz 335
11.5.18.8 Zufahrtsschutz 335
11.5.18.9 Zutrittsschutz 335
11.5.18.10 Zugangsschutz 337
11.5.18.11 Zugriffsschutz 338
11.5.18.12 Leseschutz 339
11.5.18.13 Wiederaufbereitung 343
11.5.18.14 Absendekontrolle 344
11.5.18.15 Überlragungssicherung 344
11.5.18.16 Abgangskontrolle 345
11.5.18.17 Transportsicherung 346
11.5.18.18 Abfahrtskontrolle 346
11.5.18.19 Alarmletunq 346
11.5.18.20 Protokollierung und Beweissicherung 346
11.5.18.21 Protokollauswertung und Berichtswesen 347
11.5.19 Architekturmanagement (Architecture Management) 349
11.5.19.1 Serviceorientierte Architektur (SOA) 350
11.5.19.2 Grid Computing 350
11.5.19.3 Cloud Computing 351
11.5.19.4 Data Loss/Leakage Prevention/Protection 352
11.5.20 Innovationsmanagement (Innovation Management) 354
11.5.21 Vertragsmanagement (Contract Management) 356
11.5.22 Dokumentenmanagement (Document Management) 358
11.5.23 Personalmanagement (Human Resources Management) 358
11.5.24 Ressourcen im l"lberblick 363
11.5.25 Daten 364
11.5.26 Dokumente 364
11.5.27 IKT-Hardware und Software 365
11.5.27.1 Speicher 366
11.5.27.2 Firewall 377
11.5.27.3 Intrusion Detection -, Response -, Prevention System 382
11.5.27.4 Cantent Security Systeme 385
11.5.27.5 Computerviren-Suchprogramme 386
11.5.27.6 Security Appliance 387
11.5.27.7 Automatisierte biometrisehe Systeme 388
11.5.27.8 Data Loss/Leakage Prevention/Protectiol/ Systeme 397
11.5.28 Infrastruktur 397
11.5.29 Material 399
11.5.30 Methoden und Verfahren 399
11.5.31 Personal 399
11.5.32 Organisation im Überblick 399
11.5.33 Lebenszyklus im Überblick 400
11.6 Interdependenznetz 400
11.7 Hilfsmittel RiSiKo-Architekturmatrix 402
11.8 Zusammenfassung 404
12 Sicherheitsrichtlinien/-standards - Generische Sicherheitskonzepte 405
12.1 Übergreifende Richtlinien 406
12.1.1 Sicherheitsregeln 406
12.1.2 Prozessvorlage 407
12.1.3 IKT-Benutzerordnung 409
12.1.4 E-Mail-Nutzung 411
12.1.5 Internet-Nutzung 414
12.2 Betriebsund Begleitprozesse (Managementdisziplinen) 416
12.2.1 Kapazitätsmanagement 416
12.2.2 Kontinuitätsmanagement 418
12.2.2.1 Vermeidung durch Prävention 423
12.2.2.2 Datensicherungsrichtlinie 426
12.2.2.3 Notfall-, Krisen- und Katastrophenvorsorge 428
12.2.2.4 Berichtswesen 435
12.2.3 Securitymanagement 436
12.2.3.1 Antrags- und Genehmigungsverfahren 436
12.2.3.2 Zugangsschutz 437
12.2.3.3 Zugriffsschutz 444
12.2.3.4 Leseschutz 445
12.3 Ressourcen 446
12.3.1 Zutrittskontrollsystem 446
12.3.2 Passwortspezifische Systemanforderungen 447
12.3.3 Wireless LAN 447
12.4 Organisation 449
12.5 Zusammenfassung 450
13 Spezifische Sicherheitskonzepte 451
13.1 Prozesse 452
13.1.1 Kontinuitätsmanagement 452
13.1.1.1 Datensicherung 452
13.2 Ressourcen 453
13.2.1 Betriebssystem 453
13.2.1.1 Systemspezifische PassworteinsteIlungen 453
13.3 Zusammenfassung 453
14 Sicherheitsmaßnahmen 454
14.1 Ressourcen 454
14.1.1 Betriebssystem: Protokoll PassworteinsteIlungen 454
14.2 Zusammenfassung 455
15 Lebenszyklus 456
15.1 Beantragung 457
15.2 Planung 458
15.3 Fachkonzept, Anforderungsspezifikation 458
15.4 Technisches Grobkonzept 460
15.5 Technisches Feinkonzept 463
15.6 Entwicklung 465
15.7 Integrationsund Systemtest 468
15.8 Freigabe 469
15.9 Software-Evaluation 469
15.10 Auslieferung 470
15.11 Abnahmetest und Abnahme 470
15.12 Software-Verteilung 472
15.13 Inbetriebnahme 472
15.14 Betrieb 472
15.15 Außerbetriebnahme 473
15.16 Hilfsmittel Phasen-Ergebnistypen-Tabelle 474
15.17 Zusammenfassung 475
16 Sicherheitsregelkreis 477
16.1 Sicherheitsprüfungen 478
16.1.1 Sicherheitsstudie/Risikoanalyse 478
16.1.2 Penetrationstests 481
16.1.3 ITSecurity Scans 482
16.2 Sicherheitscontrolling 483
16.3 Berichtswesen (Safety-Security-Continuity-Reporting) 485
16.3.1 Anforderungen 485
16.3.2 Inhalte 487
16.4 Safety-SecIJrity-Continuity-Risk-Benchmarks 496
16.5 Hilfsmittel lKT-Sicherheitsfragen 496
16.6 Zusammenfassung 497
17 Reifegradmodell des Sicherheits-, Kontinuitäts- und Risikomanagements 498
17.1 Reifegradmodell RiSiKo-Management 498
17.1.1 Stufe 0: unbekannt 499
17.1.2 Stufe 1: begonnen 499
17.1.3 Stufe 2: konzipiert 499
17.1.4 Stufe 3: standardisiert 500
17.1.5 Stufe 4: integriert 500
17.1.6 Stufe 5: gesteuert 500
17.1.7 Stufe 6: selbst lernend 500
17.2 Checkliste Reifegrad 504
17.3 Praxisbeispiel 505
17.4 Zusammenfassung 506
18 Sicherheitsmanagementprozess 507
18.1 Demingbzw. PDCA-Zyklus 507
18.2 Planung 508
18.3 Durchführung 509
18.4 Prüfung 510
18.5 Verbesserung 510
18.6 Zusammenfassung 511
19 Minimalistische Sicherheit 513
20 Abbildungsverzeichnis 514
21 Markenverzeichnis 515
22 Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices 516
22.1 Gesetze, Verordnungen und Richtlinien 516
22.1.2 Österreich: Gesetze und Verordnungen 517
22.1.3 Schweiz: Gesetze, Verordnungen und Rundschreiben 517
22.1.4 Großbritannien: Gesetze 518
22.1.5 Europa: Entscheidungen und Richtlinien 518
22.1.6 USA: Gesetze, Practices und Prüfvorschriften 519
22.2 Ausführungsbestimmungen, Grundsätze, Vorschriften 520
22.3 Standards, Normen, Leitlinien und Rundschreiben 521
23 Llteratur- und Quellenverzeichnis 534
24 Glossar und Abkürzungsverzeichnis 539
25 Sachwortverzeichnis 569
26 Über den Autor 602