Diese Arbeit verfolgt das Ziel, Herausforderungen der Informationssicherheit und lösungsorientierte Handlungsempfehlungen aus organisatorischer und technischer Sicht für Unternehmen herauszuarbeiten. Dazu wird in dieser Arbeit der methodische Vorgang zur Erstellung von Sicherheitskonzepten für ein ISMS auf Grundlage des IT-Grundschutzes vom Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) erarbeitet. Das Ergebnis dieser Arbeit soll als Referenzmodell dienen und damit einen leicht umsetzbaren Rahmen bieten, an dem sich Unternehmen orientieren können.
Die stetige Weiterentwicklung im Bereich der IT hat das Wirtschaftswachstum stark vorangetrieben und dadurch wurden die Produktivität und Kosteneffizienz in Unternehmen deutlich verbessert. Sowohl in Unternehmen, als auch im täglichen Leben hat sich die IT als allgegenwärtiger Bestandteil entwickelt und die Systeme, die diesen Prozess vorantreiben, werden immer offener und vernetzter. In diesem Zusammenhang wird eine umfangreiche Menge an Informationen in Unternehmen eingesetzt, verarbeitet und verbreitet. Mittlerweile hat sich der Austausch dieser Informationen, das Versenden und Empfangen von Mails mit Anhängen und der Aufbau von Fernverbindungen im Alltag etabliert. Jedoch werden die damit verbundenen Risiken leicht vergessen, denn zusätzlich zum Fortschritt der Technologie haben auch die Informationsrisiken in den letzten Jahren zugenommen.
Die größte Gefahr geht dabei von Unbefugten aus, die Sicherheitslücken ausnutzen und sich somit Zugriff auf das Informationssystem von Unternehmen verschaffen. Trotzdem gehen viele Unternehmen zu nachlässig mit geschäftskritischen Informationen um und sind beispielsweise nicht auf Cyberangriffe vorbereitet. Obwohl viele Unternehmen durch Hackerangriffe, Datendiebstahl und andere Arten der Cyberkriminalität bedroht werden, sind die Präventionsstrategien der Unternehmen meist nicht ausreichend.
Inhaltsverzeichnis
1 Einleitung
2 Grundlagen und aktuelle Situation
2.1 Informationen, Informationssicherheit und IT-Sicherheit
2.1.1 Grundwerte der Informationssicherheit
2.1.2 Abhängigkeit der Unternehmen von ISMS
2.2 Governance, Compliance und Risikomanagement
2.3 Bedrohung und Schwachstellen
2.3.1 Gefahren in Unternehmen
2.3.2 Angreifergruppen und deren Schadenspotential
2.4 Staat, Wirtschaft und Gesellschaft
3 Gegenüberstellung von IT-Standards
3.1 Nutzen von Standards und COSO
3.2 ITIL
3.3 COBIT
3.4 ISO/IEC 27000er-Reihe
3.5 IT-Grundschutz
3.5.1 IT-Grundschutz-Kompendium
3.5.2 BSI-Standards
4 Sicherheitskonzepte des BSI-Standards 200-2
4.1 Initiierung der Sicherheitskonzepte
4.2 Organisation der Sicherheitskonzepte
4.3 BSI 200-2: Basis Absicherung
4.3.1 Modellierung des Informationsverbundes
4.3.2 IT-Grundschutz-Check
4.3.3 Vorgehen nach der Umsetzung
4.4 BSI 200-2: Kern Absicherung
4.4.1 Festlegung kritischer Komponenten
4.4.2 Strukturanalyse
4.4.3 Schutzbedarfserstellung und weitere Schritte
4.4.4 Risikoanalyse und Umsetzung des Konzepts
4.5 BSI 200-2: Standard-Absicherung
4.6 Umsetzung des Sicherheitskonzepts
4.7 Referenzmodell zur Umsetzung eines Sicherheitskonzepts
5 Fazit
Zielsetzung & Themen
Die vorliegende Bachelor-Thesis untersucht die Herausforderungen der Informationssicherheit und erarbeitet lösungsorientierte Handlungsempfehlungen aus organisatorischer und technischer Sicht für Unternehmen. Das primäre Ziel ist es, einen methodischen Vorgang zur Erstellung von Sicherheitskonzepten auf Basis des BSI-Standards 200-2 als Referenzmodell zu entwickeln, um Unternehmen bei der Implementierung eines Informationssicherheitsmanagementsystems (ISMS) zu unterstützen.
- Grundlagen der Informationssicherheit und aktuelle Bedrohungslage
- Vergleich gängiger IT-Standards wie ITIL, COBIT und ISO/IEC 27000
- Detaillierte Analyse des BSI-Standards 200-2 für Sicherheitskonzepte
- Methodische Vorgehensweise bei der ISMS-Implementierung
- Entwicklung eines Referenzmodells zur praktischen Umsetzung
Auszug aus dem Buch
2.3.2 Angreifergruppen und deren Schadenspotential
Der Wettlauf zwischen Angriffs- und Abwehrtechniken wird ständig fortgeführt. Es werden immer komplexere Technologien und Schadprogramme entwickelt, Angreifer investieren dazu sogar Beträge in Millionenhöhe, um Informationen zu gelangen. Die meisten Angriffe sind auf ein Ziel ausgerichtet und werden über einen längeren Zeitraum strategisch geplant und umgesetzt. Im Jahr 2016 wurde bekannt, dass das Internetunternehmen Yahoo seit 2013 von Cyberangriffen betroffen war, bei diesen Angriffen wurden Informationen von einer Milliarde Benutzerkonten entwendet. Dazu haben Angreifer unter anderem eine Sicherheitslücke von Cookies ausnutzt, um die eingesetzten Verschlüsselungstechniken zu umgehen. Ein Cookie ist eine kleine Textdatei, die im Browser Informationen von besuchten Webanwendungen und aktuellen Benutzern speichert. Die Cookies wurden gefälscht und so wurde ohne Kenntnis über aktuelle Zugangsdaten auf die Benutzerkonten zugegriffen. Je nach Angreifergruppe und dem Ziel eines Angriffs stehen verschiedene Mittel zur Verfügung und daraus resultieren verschiedene Schäden. Bei den ursprünglichen Hackern handelt es sich um technikbegeisterte Personen, deren Ziel es nicht ist, Schaden anzurichten, sondern ein System zu verstehen. In der heutigen Zeit wird der Begriff Hacker mit böswilligen Angriffen in Verbindung gebracht. Der ursprüngliche Hacker wird heute ethischer Hacker und als White Hat bezeichnet. Der eigentliche böswillige Hacker ist der sogenannte Cracker und wird auch Black Hat genannt. Abgesehen davon gibt es sogenannte Hacktivisten, politisch motivierte Angreifer, wie die Gruppierung Anonymous. Sie beabsichtigen, durch die Manipulation von Webseiten und die Veröffentlichung von Unternehmensdaten in erster Linie Insider Imageschäden zu verursachen. Viele erfolgreiche Angriffe sind meist auf Insider zurückzuführen, potentielle Schäden richten sich dabei nach der jeweiligen Motivation. Durch verärgerte Mitarbeiter entsteht in der Regel ein überschaubarer Schaden. Mitarbeiter, die sich einen Gewinn aus der Spionagetätigkeit erhoffen, werden als gefährlicher eingestuft. Die größte Gefahr geht von Innentätern aus, die von Externen zur Spionage eingeschleust oder abgeworben werden. Geheimdienste und strukturierte Verbrecherorganisationen haben nahezu unbeschränkten Zugriff auf Ressourcen und moderne Angriffsmethoden.
Zusammenfassung der Kapitel
1 Einleitung: Diese Einleitung beschreibt den gegenwärtigen Zustand der IT, die wachsende Abhängigkeit von vernetzten Systemen sowie die damit einhergehenden steigenden Sicherheitsrisiken.
2 Grundlagen und aktuelle Situation: Das Kapitel erläutert grundlegende Begriffe der Informationssicherheit, beleuchtet das Bedrohungsumfeld durch verschiedene Angreifergruppen und ordnet die Rolle von Staat und Wirtschaft ein.
3 Gegenüberstellung von IT-Standards: Hier werden bekannte Regelwerke und Standards wie COSO, ITIL, COBIT und die ISO/IEC 27000-Reihe vorgestellt sowie der IT-Grundschutz des BSI detailliert eingeführt.
4 Sicherheitskonzepte des BSI-Standards 200-2: Dieses Hauptkapitel beschreibt die methodische Vorgehensweise zur Implementierung eines Sicherheitskonzepts, unterteilt in Initiierung, Organisation sowie die verschiedenen Absicherungsstufen Basis-, Kern- und Standard-Absicherung.
5 Fazit: Das Fazit fasst die Bedeutung der menschlichen Komponente im Sicherheitsprozess zusammen und betont die Notwendigkeit, Standards kombiniert anzuwenden, um den spezifischen Sicherheitsanforderungen gerecht zu werden.
Schlüsselwörter
Informationssicherheit, IT-Sicherheit, ISMS, BSI-Standard 200-2, IT-Grundschutz, Risikomanagement, Sicherheitskonzept, Cyberkriminalität, ISO/IEC 27001, IT-Governance, Schwachstellenanalyse, Schutzbedarf, Referenzmodell, Bedrohungsanalyse, Compliance
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Arbeit behandelt die Erstellung von Sicherheitskonzepten für Unternehmen, um Informationssicherheit systematisch auf Basis der BSI-Standards 200-2 zu gewährleisten.
Was sind die zentralen Themenfelder der Thesis?
Die Schwerpunkte liegen auf der Analyse der aktuellen Bedrohungslage, dem Vergleich internationaler IT-Standards, der detaillierten methodischen Vorgehensweise nach BSI-Standard 200-2 und der Erstellung eines Referenzmodells.
Was ist das primäre Ziel oder die Forschungsfrage?
Das Ziel ist es, Herausforderungen der Informationssicherheit aufzuzeigen und ein Referenzmodell zu entwickeln, das Unternehmen bei der methodischen Implementierung eines ISMS unterstützt.
Welche wissenschaftliche Methode verwendet der Autor?
Die Arbeit stützt sich auf eine Literaturanalyse der gängigen Standards sowie auf die Modellierung des Sicherheitsprozesses mittels ereignisgesteuerter Prozessketten (EPK) in der Software ARIS Express.
Was wird im Hauptteil der Arbeit behandelt?
Der Hauptteil gliedert sich in die theoretische Fundierung der Sicherheitsstandards und die detaillierte Beschreibung der praktischen Anwendung des BSI-Standards 200-2, inklusive der verschiedenen Absicherungsstufen.
Welche Schlüsselwörter charakterisieren die Arbeit am besten?
Wichtige Schlagworte sind Informationssicherheit, ISMS, BSI-Standard 200-2, Risikomanagement, IT-Grundschutz und Sicherheitskonzept.
Wie unterscheidet sich die Basis-Absicherung von der Kern-Absicherung?
Die Basis-Absicherung dient als Einstieg für ISMS-Einsteiger mit geringerem Aufwand, während die Kern-Absicherung gezielt essenzielle Geschäftsprozesse schützt und ein höheres Sicherheitsniveau für kritische Komponenten ermöglicht.
Welche Rolle spielt der Mensch innerhalb des Sicherheitsprozesses?
Die Arbeit betont, dass der Mensch eine zentrale Rolle einnimmt; daher ist die Sensibilisierung und Aufklärung aller Mitarbeiter durch die Leitungsebene essenziell für den Erfolg der Sicherheitsmaßnahmen.
- Quote paper
- Onur Güldali (Author), 2018, Informationssicherheit in Unternehmen, Munich, GRIN Verlag, https://www.grin.com/document/1038627
