I

Inhaltsverzeichnis

1  EINLEITUNG.  1

2  BEGRIFFLICHKEITEN UND BEGRIFFSABGRENZUNGEN  3

2.1  INFORMATIONSSICHERHEIT  3

2.2  INFORMATIONSSICHERHEITSMANAGEMENT  4

2.2.1  Funktion und Ziel des Informationssicherheitsmanagement.  4

2.2.2  Überblick über die Standards  6

3  GESTALTUNGSELEMENTE DER  

INFORMATIONSSICHERHEITSMANAGEMENTSYSTEME  IN AUSGEWÄHLTEN  

STANDARDS   9

3.1  BESTANDTEILE VON INFORMATIONSSICHERHEITSMANAGEMENTSYSTEMEN.  9

3.2  VORGEHENSWEISE BEI DER UNTERSUCHUNG DER AUSGEWÄHLTEN STANDARDS.  10

3.3  DIE ISO/IEC 17799 UND ISO/IEC 27001 DER INTERNATIONAL ORGANIZATION FOR  

STANDARDIZATION  (ISO)  10

3.3.1  Art und Funktionsweise  10

3.3.2  Vorgaben und Hinweise zur Implementierung eines ISMS nach ISO/IEC 17799 und  

ISO/IEC  27001.  12

3.4  DIE IT INFRASTRUCTURE LIBRARY (ITIL) VON CENTRAL COMPUTER AND  

TELECOMMUNICATION  AGENCY (CCTA) UND OFFICE OF GOVERNMENT COMMERCE  

  (OG)C  14

3.4.1  Art und Funktionsweise  14

3.4.2  Vorgaben und Hinweise zur Implementierung eines ISMS nach ITIL.  16

3.5  DIE CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY (COBIT)  

DER  INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (ISACA)  17

3.5.1  Art und Funktionsweise  17

3.5.2  Vorgaben und Hinweise zur Implementierung eines ISMS nach COBIT.  19

3.6  ZUSAMMENFASSENDE KONZEPTIONALISIERUNG.  20

4  FAZIT UND AUSBLICK  21

II

Abbildungsverzeichnis   

ABB.  1: IT-SICHERHEITSPROZESS.  

ABB.  2: KLASSIFIKATION VON STANDARDS IN BEREICHE.  

ABB.  3: BESTANDTEILE DES INFORMATIONSSICHERHEITSMANAGEMENTSYSTEMS.  

ABB.  4: DER ISMS PLAN-DO-CHECK-ACT-ZYKLUS  

ABB.  5: FRAMEWORK DER ITIL-DOKUMENTATIONEN NACH ITIL VERSION 3.  

ABB  6: DAS COBIT FRAMEWORK  

Tabellenverzeichnis

TAB. 1: SYNOPTISCHE GEGENÜBERSTELLUNG.................................................................................21

Abkürzungsverzeichnis

BITKOM Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. BS British Standard BSI Bundesamt für Sicherheit in der Informationstechnik CCTA Central Computer and Telecommunication Agency COBIT Control Objectives for Information and Related Technology DIN Deutsches Institut für Normung e. V. IEC International Electrotechnical Commission ISACA Information Systems Audit and Control Association ISM Informationssicherheitsmanagement ISMS Informationssicherheitsmanagementsystem ISO International Organization for Standardization IT Informationstechnologie ITGI IT Governance Institute ITIL IT Infrastructure Library itSMF IT Service Management Forum Deutschland e. V. IuK Informations- und Kommunikationstechnologie OGC Office of Government Commerce PDCA Plan, Do, Check, Act RACI Responsible, Accountable, Consulted, Informed SLA Service Level Agreements

1 Einleitung

Beinahe täglich kann man den Medien neue Meldungen über Problematiken beim Schutz sensibler Daten, über Hackerangriffe auf Sicherheitslücken bei Banken etc. entnehmen. So wurde in jüngster Vergangenheit sogar die Bundesregierung im Vorfeld des Besuches der Bundeskanzlerin, Frau Dr. Merkel, in China, vermeintlich Opfer solcher Angriffe. 1

In Zeiten einer stark gestiegenen Relevanz der Informationstechnik sowohl für öffentliche Einrichtungen (Behörden), als auch für privatwirtschaftliche Unternehmungen, gebührt dem Schutz vor unberechtigtem Zugriff auf Daten sowie der Unversehrtheit von Daten und Systemen eine besondere Aufmerksamkeit. Diese Organisationen „sind in immer höherem Maße auf eine funktionierende IT angewiesen“ ² , denn schon ein temporärer Ausfall kann unter Umständen Existenz bedrohende Auswirkungen haben. ³ Dabei geht es nicht nur um technische Gesichtspunkte, um externe Gefahren zu minimieren, sondern vielmehr um ein Zusammenspiel aus technischen, personellen, organisatorischen, rechtlichen und infrastrukturellen Aspekten in einem umfassenden Sicherheitskonzept, welches einen Schutz gegenüber externen und internen Gefahren ermöglicht. ⁴ In einem sog. Informationssicherheitsmanagementsystem, kurz ISMS, werden diese Aspekte miteinander verbunden. ⁵ Bei der Implementierung und dem Betrieb eines solchen kann sich die Organisation an diversen Standards und Kriterienwerken zur Informationssicherheit orientieren. Hier liegt der Schwerpunkt der vorliegenden Arbeit. Es soll untersucht werden, inwiefern ausgewählte Standards ökonomisch bedeutsame Angaben hinsichtlich der Implementierung eines ISMS beinhalten.

Dabei gilt es, zunächst im folgenden Kapitel einige relevante Begrifflichkeiten zu definieren und ggf. voneinander abzugrenzen.

¹ Vgl. Kurbjuweit (2007), S. 48. Weiterführend zu Gefahren, Schäden und entstehenden Kosten

durch unzureichende Informationssicherheit sei der Leser exemplarisch auf Garg/Curtis/Halper

(2003) und Lobree (2003) verwiesen.

² BITKOM/DIN (2006), S. 7.

³ Vgl. Duscha (2007), S. 41-48.

⁴ Vgl. Rebholz/Loth (2002), S. 30 sowie Fröschle (2004), S. 5f.

⁵ Vgl. Werners/Klempt (2005), S. 1.

Das dritte Kapitel bildet den Kern der Arbeit, in welchem exemplarisch an Hand von drei ausgewählten Standards zur Informationssicherheit überprüft werden soll, inwiefern diese Aussagen und Informationen zur Implementierung von ISMS enthalten. Darüber hinaus wird neben den eigentlichen Standards auch wissenschaftliche Sekundärliteratur zur Analyse hinzugezogen, um den Überblick über die Gestaltungselemente fundierter darlegen zu können. Das Kapitel wird abgerundet mit einer zusammenfassenden Konzeptionalisierung der herausgearbeiteten Erkenntnisse. Abschließend wird im vierten Kapitel ein Fazit zu den vorstehenden Ausarbeitungen gezogen sowie ein Ausblick auf aktuelle und zukünftige Entwicklungen im Bereich der Informationssicherheit und deren Standards gegeben.

2 Begrifflichkeiten und Begriffsabgrenzungen

Im Rahmen dieses Kapitels soll zunächst der Begriff der Informationssicherheit geklärt werden. Dabei wird auch auf die zum Teil in der Literatur auftretende Trennschärfe in der Begriffsverwendung eingegangen.

An diese Darlegung schließt sich sodann eine Erläuterung des Begriffes Informationssicherheitsmanagement (ISM) sowie dessen Funktion und Ziel eingegangen. Zudem wird ausblickend auf das dritte Kapitel im Abschnitt 2.2.2 eine kurze Übersicht über existierende Standards geliefert.

Auf detaillierte Klassifizierungen und Erläuterungen wird jedoch bewusst verzichtet. Der interessierte Leser erhält an entsprechender Stelle weiterführende Literaturhinweise.

2.1 Informationssicherheit

In der Fachliteratur wird eine Vielzahl von synonym benutzten Begriffen parallel verwendet. So sind beispielsweise neben dem Terminus Informationssicherheit die Begriffe „IuK-Sicherheit, Datensicherheit, IT-Sicherheit oder Sicherheit der Informationstechnik“ ⁶ gebräuchlich.

Informationssicherheit hat den „Schutz von Informationen“ ⁷ als Ziel, welche „sowohl auf Papier, in Rechnern oder auch in Köpfen gespeichert sein“ ⁸ können. Gemäß der ISO/IEC 17799:2005 ist Informationssicherheit die „Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen; andere Eigenschaften wie Authentizität, Zurechenbarkeit, Nicht-Abstreitbarkeit und Verlässlichkeit können ebenfalls berücksichtigt werden“ ⁹ .

Dem gegenüber beschäftigt sich IT-Sicherheit mit „dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung“ ¹⁰ , also dem technischen Aspekt. 11

⁶ Klempt (2007), S. 4.

⁷ BSI (2005a), S. 2.

⁸ BSI (2005a), S. 2.

⁹ DIN ISO/IEC (2006), S. 12. Zur weiteren Ausführung dieser sog. Schutzziele vgl. u. a. Klempt

(2007), S. 6f. sowie Collenberg/Wolz (2005), S. 47. Ein abweichendes Begriffsverständnis findet

sich bei Thiel (2004), S. 52.

¹⁰ BSI (2005a), S. 2.

Damit ist Informationssicherheit im Vergleich zu IT-Sicherheit der umfassendere Begriff, welcher sich nicht nur auf den technischen Bereich bezieht, sondern unabhängig von der Verarbeitungs- und Speicherungsform ist. 12

Allerdings wird in der Literatur der Begriff IT-Sicherheit überwiegend als Synonym zu Informationssicherheit verwendet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nennt als Grund hierfür profan die kürzere Schreibweise. ¹³ Diese Sichtweise wird, trotz der aufgezeigten Unschärfen, auf Grund des Gebrauches in den meisten einschlägigen Publikationen zum behandelten Thema auch in der vorliegenden Arbeit vertreten. Eine detaillierte Auseinandersetzung mit dieser Problematik findet sich bei Pohl (2004) sowie Klempt (2007). ¹⁴ Ein wenig losgelöst von der Fachterminologie beschreiben Lippold/Stelzer/Konrad (1992) Informationssicherheit. Demnach ist sie „dann gegeben, wenn die Höhe der einzelnen Risiken die Risikohöhe nicht überschreitet, die gerade noch akzeptiert werden kann“ ¹⁵ , was den Schluss zulässt, dass eine vollständige Sicherheit weder realisierbar, noch gewünscht ist. Vielmehr soll durch entsprechende Kontrolle das Risiko auf ein wirtschaftlich vertretbares Maß reduziert werden. 16

2.2 Informationssicherheitsmanagement

An dieser Stelle werden zunächst Funktion und Ziel des

Informationssicherheitsmanagement (ISM) erläutert. Abschließend erfolgt dann ein kurzer Abriss über die existierenden Standards zum ISM. Eine Auswahl daraus wird im anschließenden Kapitel eingehender einer Prüfung unterzogen.

2.2.1 Funktion und Ziel des Informationssicherheitsmanagement

Um die verschiedenen Gesichtspunkte technischer, personeller, organisatorischer, rechtlicher und infrastruktureller Art in einer übergreifenden Gesamtsicht im Unternehmen konform auf die Sicherheitsziele auszurichten, bedarf es einer zentralen

¹¹ Vgl. Werners/Klempt (2005), S. 1.

¹² Vgl. BSI (2005a), S. 2.

¹³ Vgl. BSI (2005a), S. 2.

¹⁴ Vgl. Pohl (2004), S. 678f. sowie Klempt (2007), S. 4-8.

¹⁵ Lippold/Stelzer/Konrad (1992), S. 367.

¹⁶ Vgl. Collenberg/Wolz (2005), S. 48; Klempt (2007), S. 95 sowie BITKOM/DIN (2006), S. 9.