(Informations-)Sicherheitsmanagement (ISM)

Ist IT-Sicherheit und IT- bzw. Informationssicherheitsmanagement in Ihrem Unternehmen ein leidiges Thema? Bestimmen Insellösungen, heterogene IT-Landschaft und Ausfälle Ihren Alltag? Liegt der Fokus auf Technik und Tools? Dann lesen Sie:

Die zunehmende Vernetzung und Globalisierung, der technologische Fortschritt, die digitale Transformation und das breitere Allgemeinwissen führen neben ihren vielfältigen positiven Auswirkungen auch zu einer kontinuierlichen Zunahme der Bedrohungen für Unternehmen. Von fast jedem Punkt der Erde kann mit geringen Hilfsmitteln ein Angriff gefahren werden: Ein gebrauchter Computer und eine Internet-Anbindung gepaart mit entsprechendem Know-how ermöglichen dies.

Parallel zur Zunahme der Bedrohungen werden die Geschäftsprozesse mehr und mehr von Informationssystemen unterstützt oder gar durchgeführt, wodurch ihre Abhängigkeit und damit der Schutzbedarf der Unternehmen zunimmt.

Doch nicht nur die Zahl der Informationssysteme, sondern auch ihre Funktionalität und Komplexität steigen. Moderne Software-Architekturen mit dynamischen Bibliotheken und Plug-ins sowie weltweite Vernetzung schaffen darüber hinaus ein schwer durchschaubares Ganzes. Anlagen, Systeme und Geräte sind immer stärker mit Informations- und Kommunikationstechnik ausgestattet und dadurch angreifbar.

Dieser Situation stehen in manchen Unternehmen gewachsene IT-Landschaften und sicherheitstechnische Insellösungen gegenüber, deren Angemessenheit, Durchgängigkeit, Transparenz, Effizienz und Wirksamkeit in Frage steht. Dies sind jedoch wesentliche Elemente, um die Handlungsfähigkeit und das Image eines Unternehmens abzusichern.

Das Top-down-Vorgehensmodell anhand der dreidimensionalen Sicherheitspyramide nach Dr.-Ing. Müller zielt ab zum einen auf den systematischen und strategischen Aufbau und zum anderen auf die Weiterentwicklung des Sicherheitsmanagements. Es bietet Strukturen, Checklisten und prinzipielle Beispielsinhalte für die verschiedenen Ebenen des Vorgehensmodells, beginnend bei der Sicherheitspolitik des Unternehmens und den Sicherheitszielen. Es unterstützt in verschiedenen Schritten bei deren Umsetzung und Verfeinerung bis hin zu Sicherheitsstandards, Sicherheitskonzepten und -maßnahmen. Bestehende unternehmensspezifische Konzepte können "eingeklinkt" oder auf Basis der Standards des Vorgehensmodells weiterentwickelt werden. Ein Regelkreis umrahmt die Sicherheitspyramide und unterstützt die kontinuierliche Fortentwicklung des Sicherheitsmanagements.

Das aktuelle Sicherheitsniveau kann durch Sicherheitsstudien, Risikoanalysen und Penetrationstests überprüft und verbessert werden. Gleichzeitig können dadurch die Inhalte der Sicherheitspyramide weiter entwickelt werden.

Ergänzende Veröffentlichungen zum Thema Sicherheit

Die folgenden Publikationen weisen einen unterschiedlichen Fokus von allgemeinverständlichen (a) Grundlagen über praxisorientierte (p) und standardisierende (s) bis hin zu wissenschaftlich-lehrenden (w) Büchern auf.

Bundesamt für Sicherheit in der Informationstechnik (BSI): IT-Grundschutz-Kompendium des BSI (p)

Eckert, Claudia: IT-Sicherheit: Konzepte - Verfahren - Protokolle, De-Gruyter-Verlag, 2018 (w)

Hoppe, Gabriela und Prieß, Andreas: Sicherheit von Informationssystemen, Verlag Neue Wirtschafts-Briefe, 2003 (w)

ISO/IEC 27000:2018, Information technology - Security techniques - Information security management systems - Overview and vocabulary (s)

ISO/IEC 27001:2013, Information technology - Security techniques - Information security management systems - Requirements (s)

ISO/IEC 27002:2013, Information technology - Security techniques - Code of practice for information security controls (s)

Kyas, Othmar und a Campo, Markus: IT-Crackdown - Sicherheit im Internet, mitp-Verlag, 2002

Schneier, Bruce: Secrets & Lies - IT-Sicherheit in einer vernetzten Welt, dpunkt-Verlag, 2001 (a)

Wald, Egbert: Backup und Disaster Recovery, mitp-Verlag, 2002 (p)