IT-Sicherheit mit System (eBook)

Dr.-Ing. Klaus-Rainer Müller verantwortet das Themenfeld Corporate Security Consulting der ACG Automation Consulting Group GmbH in Frankfurt und berät das Management zu den Themenfeldern Informations- und IT-Sicherheits- und -Risiko- sowie -Kontinuitätsmanagement, IT-Governance, IT Service und IT Service Level Management sowie Sourcing.

Vorwort 6
Inhaltsübersicht 20
Inhaltsverzeichnis 21
1 Ausgangssituation und Zielsetzung 33
1.1 Ausgangssituation 35
1.1.1 Bedrohungen 35
1.1.2 Schwachstellen 49
1.1.3 Schadenshöhen, Schutzbedarfe 52
1.2 Zielsetzung des Sicherheits-, Kontinuitäts- und Risikomanagements 57
1.3 Lösung 57
1.4 Zusammenfassung 59
2 Kurzfassung und Überblick für Eilige 61
3 Zehn Schritte zum Sicherheitsmanagement 68
4 Gesetze, Verordnungen, Vorschriften, Anforderungen 71
4.1 Persönliche Haftungsrisiken 71
4.2 Haftungsrisiken von Unternehmen 74
4.3 Risikomanagement 74
4.4 Buchführung 75
4.5 IT-Sicherheit kritischer Infrastrukturen/wesentlicher Dienste 80
4.5.1 Deutschland 80
4.5.2 Europäische Union 85
4.6 Datenschutz 86
4.6.1 Deutschland 86
4.6.2 Österreich 91
4.6.3 Schweiz 91
4.6.4 Europäische Union 91
4.6.5 USA 94
4.7 Arbeitsschutz und Arbeitssicherheit 95
4.8 Verträge 95
4.9 Mitbestimmung 96
4.10 Gleichbehandlung 97
4.11 Weitere gesetzliche Anforderungen in Deutschland 97
4.12 Energieversorgungsunternehmen 98
4.13 Finanzinstitute und Versicherungsunternehmen 100
4.13.1 Deutschland 100
4.13.2 Europäische Union 116
4.13.3 Basler Ausschuss für Bankenaufsicht 117
4.14 Chemische Industrie 119
4.14.1 Deutschland 119
4.14.2 USA 120
4.15 Behörden 120
5 Normen, Standards, Practices 122
5.1 Informationssicherheitsmanagement (ISM) 122
5.1.1 BSI IT-Grundschutz im Überblick 122
5.1.2 BSI-Standard 200-1, ISMS 123
5.1.3 BSI-Standard 200-2, IT-Grundschutz-Methodik 123
5.1.4 BSI-Standard 200-3, Risikoanalyse 125
5.1.5 BSI-Standard 100-4, Notfallmanagement 126
5.1.6 Vergleich der BSI-Standards mit der Sicherheitspyramide 129
5.1.7 BSI IT-Grundschutz-Kompendium 133
5.1.8 BSI-IT-Grundschutz-Kompendium versus Sicherheitspyramide 135
5.1.9 ISO/IEC-27000-Familie zum ISM im Überblick 136
5.1.10 ISO/IEC 27000:2016, Überblick und Vokabular 140
5.1.11 ISO/IEC 27001:2013, ISMS – Requirements 141
5.1.12 ISO/IEC 27002:2013, ISM – Code of practice for IS controls 144
5.1.13 ISO/IEC 27003:2017, ISMS – Anleitung 147
5.1.14 ISO/IEC 27004:2016, ISM – Measurement 149
5.1.15 ISO/IEC 27005:2011, Information security risk management 150
5.1.16 ISO/IEC 27010:2015, ISM for inter-sector and inter-organizational communications 152
5.1.17 ISO/IEC 27013:2015, Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 153
5.1.18 ISO/IEC 27014:2013, Governance of information security 154
5.1.19 ISO/IEC TR 27016:2014, Wirtschaftlichkeit des ISM 155
5.1.20 ISO/IEC 27017:2015, Leitfaden für Informationssicherheitsmaßnahmen bei Cloud-Services 155
5.1.21 ISO/IEC 27018:2014, Leitfaden zum Schutz personenbezogener Daten in öffentlichen Clouds 156
5.1.22 ISO/IEC 27019:2017, Informationssicherheit für Energieversorger 156
5.1.23 ISO/IEC 27031:2011, Guidelines for ICT readiness for BC (IRBC) 158
5.1.24 ISO/IEC 27032:2012, Guidelines for cybersecurity 160
5.1.25 ISO/IEC 27033, Network security 162
5.1.26 ISO/IEC 27034, Application security 163
5.1.27 ISO/IEC 27035, Information security incident management 165
5.1.28 ISO/IEC 27036, Information security for supplier relationships 166
5.1.29 ISO/IEC 27037:2012, Guidelines for identification, collection, acquisition and preservation of digital evidence 167
5.1.30 ISO/IEC 27039:2015, IDPS 167
5.1.31 ISO/IEC 27040:2015, Storage Security 169
5.1.32 IEC 62443, Netzwerk- und Systemsicherheit 170
5.1.33 OECD Digital Security Risk Management 171
5.1.34 PCI Data Security Standard (DSS) 172
5.2 Business Continuity Management (BCM): Teil der ISO-22300-Familie 172
5.2.1 ISO 22301:2012, BCM-System – Anforderungen 172
5.2.2 ISO 22313:2012, BCMS – Anleitung 174
5.3 Risikomanagement 175
5.3.1 OCTAVE® Approach 175
5.4 IT Service Management 177
5.4.1 ISO/IEC 20000, IT Service Management 177
5.4.2 ISO/IEC 19770, IT und Software asset management (ITAM, SAM) 181
5.4.3 ITIL® im Überblick 183
5.4.4 ITIL® Information Security Management 185
5.4.5 ITIL® IT Service Continuity Management 186
5.4.6 COBIT®, Version 5.0 187
5.5 Zusammenfassender Vergleich mit der Sicherheitspyramide 190
5.6 Reifegradmodelle 197
5.6.1 Systems Security Engineering – Capability Maturity Model® 198
5.6.2 Software Assurance Maturity Model 199
5.6.3 Information Technology Security Assessment Framework 200
5.6.4 Maturity Model nach COBIT® 5 201
5.6.5 Zusammenfassung 202
5.7 Federated Identity Management 202
5.8 Architekturen 204
5.8.1 Serviceorientierte Architektur (SOA) 204
5.8.2 Open Grid Services Architecture® (OGSA®) 216
5.8.3 OSGi™ Architecture 217
5.9 Projektmanagement 217
5.10 Entwicklungsmethoden 218
5.11 Programmier-/Entwicklungsrichtlinien 219
5.11.1 C, C++ und Java 219
5.11.2 Webanwendungen 220
5.11.3 AndroidTM 221
5.12 Schwachstellen (Vulnerabilities) 221
5.12.1 Identifikation 221
5.12.2 Bewertung (Scoring) 222
5.13 Schutz vor Insider-Bedrohungen 223
5.14 Gute Praktiken (GxP) 224
5.14.1 OECD: Gute Laborpraxis (GLP) 224
5.14.2 PIC: Gute Herstellungspraxis (GMP) 225
5.14.3 ISPE: Good Automated Manufacturing Practice, GAMP® 5 226
5.15 Prüfungsstandards für Dienstleistungsunternehmen 227
6 Definitionen zum Sicherheits-, Kontinuitäts- und Risikomanagement 229
6.1 Unternehmenssicherheitsmanagementsystem 229
6.2 Informationssicherheitsmanagementsystem 230
6.3 Sicherheitsmanagement 232
6.4 IKT-Sicherheitsmanagement 232
6.5 Ingenieurmäßige Sicherheit – Safety, Security, Continuity, Risk Engineering 234
6.6 Sicherheitspyramide 235
6.7 Sicherheitspolitik 238
6.8 Sicherheit im Lebenszyklus 240
6.9 Ressourcen, Schutzobjekte und -subjekte sowie -klassen 241
6.10 Sicherheitskriterien (Grundwerte der Sicherheit) 243
6.11 Geschäftseinflussanalyse (Business Impact Analysis) 243
6.12 Geschäftskontinuität (Business Continuity) 244
6.13 Sicherheit und Sicherheitsdreiklang 244
6.14 Risiko und Risikodreiklang 246
6.15 Risikomanagement 248
6.16 Sicherheits-, Kontinuitäts- und Risikomanagement der IKT 248
6.17 Zusammenfassung 249
7 Die Sicherheitspyramide – Strategie und Vorgehensmodell 252
7.1 Überblick 253
7.2 Sicherheitshierarchie 257
7.2.1 Sicherheits-, Kontinuitäts- und Risikopolitik 257
7.2.2 Sicherheitsziele/Sicherheitsanforderungen 257
7.2.3 Sicherheitstransformation und Sicherheitsmerkmale 258
7.2.4 Sicherheitsarchitektur 259
7.2.5 Sicherheitsrichtlinien 259
7.2.6 Spezifische Sicherheitskonzepte 260
7.2.7 Sicherheitsmaßnahmen 261
7.3 PROSim 261
7.4 Lebenszyklus von Prozessen, Ressourcen, Organisation, Produkten und (Dienst-)Leistungen (Services) 262
7.4.1 Prozesslebenszyklus 263
7.4.2 Ressourcen-/Systemlebenszyklus 263
7.4.3 Organisationslebenszyklus 264
7.4.4 Produkt- und Dienstleistungslebenszyklus 264
7.5 Sicherheitsregelkreis 264
7.6 Sicherheitsmanagementprozess 265
7.7 Zusammenfassung 265
8 Sicherheits-, Kontinuitäts- und Risikopolitik 268
8.1 Zielsetzung 269
8.2 Umsetzung 270
8.3 Inhalte 271
8.4 Praxisbeispiele 274
8.4.1 Sicherheits-, kontinuitäts- und risikopolitische Leitsätze Versicherung 274
8.4.2 Sicherheits-, Kontinuitäts- und Risikopolitik 276
8.5 Zusammenfassung 285
9 Sicherheitsziele/Sicherheitsanforderungen 287
9.1 Sicherheits- und Kontinuitätskriterien 289
9.2 Interne und externe Schutzanforderungen/Schutzbedarfe 290
9.3 Schutzbedarfsklassen/Schutzniveaus 290
9.4 Planungshorizont und zeitliche Staffelung 291
9.5 Klassifizierung der Informations- und Datenkategorien 292
9.6 Schutzbedarfsanalyse (SBA) 295
9.6.1 Geschäftseinflussanalyse (Business Impact Analysis) 296
9.6.2 Betriebseinflussanalyse (Operational Impact Analysis) 298
9.7 Zusammenfassung 299
10 Sicherheitsmerkmale 300
10.1 Haus zur Sicherheit – House of Safety, Security, Continuity (HoSSC) 301
10.2 Safety, Security and Continuity Function Deployment (SSCFD) 302
10.2.1 Transformation der Anforderungen auf Sicherheitsmerkmale 303
10.2.2 Detaillierung der Sicherheitsmerkmale 304
10.2.3 Abbildung der Merkmale auf den Lebenszyklus 305
10.3 Schutzbedarfsklassen 306
10.4 Praxisbeispiele 307
10.5 Zusammenfassung 309
11 Sicherheitsarchitektur 311
11.1 Überblick 312
11.2 Prinzipielle/generische Sicherheitsanforderungen 314
11.3 Prinzipielle/generische Bedrohungen 314
11.4 Strategien und Prinzipien 319
11.4.1 Risikostrategie (Risk Strategy), Risikolandkarte, Risikoklassen 320
11.4.2 Sicherheits- und Kontinuitätsstrategie (Safety, Security and Continuity Strategy) 322
11.4.3 Prinzip der Wirtschaftlichkeit 323
11.4.4 Prinzip der Abstraktion 323
11.4.5 Prinzip der Klassenbildung (Principle of Classification) 324
11.4.6 Poka-Yoke-Prinzip 325
11.4.7 Prinzip der Namenskonventionen (Principle of Naming Conventions) 327
11.4.8 Prinzip der Redundanz (Principle of Redundancy) 327
11.4.9 Prinzip des „aufgeräumten” Arbeitsplatzes (Clear Desk/Workplace Policy) 331
11.4.10 Prinzip der Abwesenheitssperre 331
11.4.11 Prinzip der Eigenverantwortlichkeit 332
11.4.12 Vier-Augen-Prinzip (Confirmed Double Check/Dual Control Principle) 332
11.4.13 Prinzip der Funktionstrennung (Segregation of Duties Principle) 332
11.4.14 Prinzip der Sicherheitsschalen (Safety and Security Shell Principle) 333
11.4.15 Prinzip der Pfadanalyse (Path Analysis Principle) 334
11.4.16 Prinzip der gesicherten Identität 335
11.4.17 Prinzip der gesicherten Kommunikation 335
11.4.18 Prinzip der Ge- und Verbotsdifferenzierung 336
11.4.19 Prinzip des generellen Verbots (Deny All Principle) 336
11.4.20 Prinzip der Ausschließlichkeit 336
11.4.21 Prinzip des minimalen Bedarfs (Need to Know/Use Principle) 337
11.4.22 Prinzip der minimalen Rechte (Least/Minimum Privileges Principle) 338
11.4.23 Prinzip der minimalen Dienste (Minimum Services Principle) 338
11.4.24 Prinzip der minimalen Nutzung (Minimum Usage Principle) 339
11.4.25 Prinzip der Nachvollziehbarkeit und Nachweisbarkeit 339
11.4.26 Prinzip des „sachverständigen Dritten“ (Principle of Third Party Expert) 339
11.4.27 Prinzip der Sicherheitszonen und des Closed-Shop-Betriebs 340
11.4.28 Prinzip der Sicherheitszonenanalyse 344
11.4.29 Prinzip des abgesicherten Ausfalls (Principle of Fail Safe and Fail Secure) 344
11.4.30 Prinzip der Immanenz (Principle of Immanence) 345
11.4.31 Prinzip der Konsolidierung (Principle of Consolidation) 346
11.4.32 Prinzip der Standardisierung (Principle of Standardization) 349
11.4.33 Prinzip der Plausibilisierung (Principle of Plausibleness) 350
11.4.34 Prinzip der Konsistenz (Principle of Consistency) 351
11.4.35 Prinzip der Untergliederung (Principle of Compartmentalization) 352
11.4.36 Prinzip der Aufteilung 352
11.4.37 Prinzip der Pseudonymisierung bzw. Maskierung 353
11.4.38 Prinzip der Vielfältigkeit (Principle of Diversity) 353
11.4.39 Distanzprinzip (Distance Principle) 353
11.4.40 Prinzip der Vererbung 355
11.4.41 Prinzip der Subjekt-Objekt-/Aktiv-Passiv-Differenzierung 355
11.4.42 Prinzip der Wachsamkeit 356
11.4.43 Prinzip der Regelschleife 357
11.4.44 Prinzipien versus Sicherheitskriterien (Sicherheitsgrundwerte) 357
11.5 Sicherheitselemente 359
11.5.1 Prozesse im Überblick 361
11.5.2 Konformitätsmanagement (Compliance Management) 371
11.5.3 Datenschutzmanagement (Data Protection Management) 375
11.5.4 Risikomanagement (Risk Management) 380
11.5.5 Leistungsmanagement (Service/Service Level Management) 394
11.5.6 Finanzmanagement (Financial Management) 399
11.5.7 Projektmanagement (Project Management) 400
11.5.8 Qualitätsmanagement (Quality Management) 401
11.5.9 Ereignismanagement (Incident Management) 402
11.5.10 Problemmanagement (Problem Management) 409
11.5.11 Änderungsmanagement (Change Management) 411
11.5.12 Releasemanagement (Release Management) 415
11.5.13 Konfigurationsmanagement (Configuration Management) 415
11.5.14 Lizenzmanagement (Licence Management) 418
11.5.15 Kapazitätsmanagement (Capacity Management) 420
11.5.16 Wartungsmanagement (Maintenance Management) 423
11.5.17 Kontinuitätsmanagement (Continuity Management) 424
11.5.18 Securitymanagement (Security Management) 458
11.5.19 Architekturmanagement (Architecture Management) 499
11.5.20 Innovationsmanagement (Innovation Management) 514
11.5.21 Vertragsmanagement (Contract Management) 518
11.5.22 Dokumentationsmanagement (Documentation Management) 520
11.5.23 Personalmanagement (Human Resources Management) 523
11.5.24 Ressourcen im Überblick 530
11.5.25 Prozesse 531
11.5.26 Informationen und Daten 531
11.5.27 Dokumentationen 531
11.5.28 IKT-Hardware und Software 532
11.5.29 Infrastruktur 579
11.5.30 Material 580
11.5.31 Methoden und Verfahren 580
11.5.32 Personal 580
11.5.33 Organisation im Überblick 581
11.5.34 Lebenszyklus im Überblick 582
11.6 Interdependenznetz 583
11.7 Hilfsmittel RiSiKo-Architekturmatrix 585
11.8 Zusammenfassung 586
12 Sicherheitsrichtlinien/-standards – Generische Sicherheitskonzepte 588
12.1 Übergreifende Richtlinien 589
12.1.1 Sicherheitsregeln 589
12.1.2 Vorlage Prozessbeschreibung 591
12.1.3 Vorlage Ressourcenbeschreibung 594
12.1.4 Faxgeräte und Fax-Nutzung 596
12.1.5 Drucker 596
12.1.6 IKT-Benutzerordnung 596
12.1.7 E-Mail-Nutzung 608
12.1.8 Internet-Nutzung 609
12.1.9 Cloud Computing 610
12.2 Betriebs- und Begleitprozesse (Managementdisziplinen) 613
12.2.1 Konformitätsmanagement 613
12.2.2 Datenschutzmanagement 614
12.2.3 Risikomanagement 618
12.2.4 Kapazitätsmanagement 623
12.2.5 Kontinuitätsmanagement 625
12.2.6 Securitymanagement 645
12.2.7 Architekturmanagement 667
12.3 Ressourcen 672
12.3.1 Zutrittskontrollsystem 672
12.3.2 Passwortbezogene Systemanforderungen 672
12.3.3 Firewall 674
12.3.4 Wireless LAN (WLAN) 675
12.4 Organisation 676
12.5 Zusammenfassung 677
13 Spezifische Sicherheitskonzepte 679
13.1 Prozesse 680
13.1.1 Kontinuitätsmanagement 680
13.2 Ressourcen 681
13.2.1 Betriebssystem 681
13.3 Zusammenfassung 681
14 Sicherheitsmaßnahmen 682
14.1 Ressourcen 682
14.1.1 Betriebssystem: Protokoll Passworteinstellungen 682
14.2 Zusammenfassung 683
15 Lebenszyklus – mit integrierter Sicherheit 684
15.1 Übergreifendes 687
15.2 Sichere Beantragung (Secure Proposal Application) 688
15.3 Sichere Planung (Secure Planning) 690
15.4 Sichere Fachkonzeption, sichere Anforderungsspezifikation (Secure Requirements Specification) 690
15.5 Sichere technische Grobkonzeption (Secure Technical Basic Design) 694
15.6 Sichere technische Feinkonzeption (Secure Technical Design) 700
15.7 Sichere Entwicklung (Secure Development/Coding) 702
15.8 Sichere Integrations- und Systemtest (Secure Integration/System Tests) 707
15.9 Sichere Freigabe (Secure Approval) 708
15.10 Sichere Software-Evaluation (Secure Software Evaluation) 708
15.11 Sichere Auslieferung (Secure Delivery) 709
15.12 Sicherer Abnahmetest und sichere Abnahme (Secure Acceptance) 710
15.13 Sichere Software-Verteilung (Secure Software Deployment) 711
15.14 Sichere Inbetriebnahme (Secure Startup Procedure) 711
15.15 Sicherer Betrieb (Secure Operation) 712
15.16 Sichere Außerbetriebnahme (Secure Decommissioning) 713
15.17 Hilfsmittel erweiterte Phasen-Ergebnistypen-Tabelle (ePET) 714
15.18 Zusammenfassung 716
16 Sicherheitsregelkreis 718
16.1 Sicherheitsprüfungen 719
16.1.1 Sicherheitsstudie/Risikoanalyse 719
16.1.2 Penetrationstests 724
16.1.3 IKT-Security-Scans 725
16.2 Sicherheitscontrolling 726
16.3 Berichtswesen (SSCRPC-Reporting) 728
16.3.1 Anforderungen 728
16.3.2 Inhalte 730
16.4 Safety-Security-Continuity-Risk-Privacy-Compliance-Benchmarks 743
16.5 Hilfsmittel IKT-Sicherheitsfragen 743
16.6 Zusammenfassung 744
17 Reifegradmodell des Sicherheits-, Kontinuitäts- und Risikomanagements 745
17.1 Reifegradmodell RiSiKo-Management 745
17.1.1 Stufe 0: unbekannt 746
17.1.2 Stufe 1: begonnen 746
17.1.3 Stufe 2: konzipiert 747
17.1.4 Stufe 3: standardisiert 747
17.1.5 Stufe 4: integriert 747
17.1.6 Stufe 5: gesteuert 747
17.1.7 Stufe 6: selbst lernend 748
17.2 Checkliste Reifegrad 751
17.3 Praxisbeispiel 753
17.4 Zusammenfassung 754
18 Sicherheitsmanagementprozess 755
18.1 Deming- bzw. PDCA-Zyklus 755
18.2 Planung 756
18.3 Durchführung 758
18.4 Prüfung 758
18.5 Verbesserung 759
18.6 Zusammenfassung 759
19 Minimalistische Sicherheit 762
20 Verzeichnis der Abbildungen 764
21 Verzeichnis der Tabellen 766
22 Verzeichnis der Checklisten 766
23 Verzeichnis der Beispiele 767
24 Verzeichnis der Tipps 769
25 Verzeichnis der Informationen 770
26 Verzeichnis der Marken 772
27 Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices 774
27.1 Gesetze, Verordnungen, Richtlinien 774
27.1.1 Deutschland: Gesetze, Verordnungen 774
27.1.2 Österreich: Gesetze, Verordnungen 776
27.1.3 Schweiz: Gesetze, Verordnungen, Rundschreiben 776
27.1.4 Großbritannien: Gesetze 777
27.1.5 Europa: Entscheidungen, Richtlinien, Verordnungen, Practices 777
27.1.6 USA: Gesetze, Practices, Prüfvorschriften 779
27.2 Bestimmungen, Grundsätze, Vorschriften 780
27.3 Standards, Normen, Leitlinien 783
Literatur- und Quellenverzeichnis 812
Glossar und Abkürzungsverzeichnis 817
Sachwortverzeichnis 848
Über den Autor 896