Das Ziel vorliegender Diplomarbeit liegt darin, eine SSA der Informationssicherheit zu entwerfen, wobei das Verfahren einen relativ universell anwendbaren Charakter besitzen sollte. Die Bearbeitung des Themas erstreckt sich einschließlich des vorliegenden Abschnitts auf insgesamt fünf Kapitel, deren Aufbau und Inhalt nachfolgend beschrieben wird.

Im zweiten Kapitel werden zunächst die Begriffe "Schwachstelle" und "Schwachstellenanalyse", "Information" und "Informationsverarbeitung" eingeführt. In der Wirtschaftsinformatik hat sich mit dem Informationsmanagement (IM) bereits ein beachtliches Teilgebiet konstituiert, welches Vorgehensweisen für die Organisation der Informationsverarbeitung liefert. In Abschnitt 2.3 wird zunächst untersucht, welche Richtungen innerhalb des Informationsmanagements eingeschlagen werden, um Informationen zu bewirtschaften. Es ist unerläßlich, die derzeit praktizierten Verfahren zur Organisation der Informationsverarbeitung zu kennen, wenn man Schwachstellen der Informationssicherheit auffinden möchte. Außerdem wird zu klären sein, welchen Stellenwert die Sicherung von Informationen innerhalb des IM einnimmt. Am Ende des 2. Kapitels wird der Bereich aufgezeigt, auf den sich die Konzeption eines SSA-Systems im Rahmen dieser Arbeit beziehen wird.

Schwachstellen entstehen, wenn Soll-Ist-Abweichungen bei den Sicherheitsvorkehrungen eines Unternehmens vorliegen. Folglich müssen Kriterien und Methoden dargelegt werden, die üblicherweise angewendet werden sollten, um die Informationssicherheit zu gewährleisten. Erst dann sind Schwachstellen überhaupt identifizierbar und deren Ursachen nachvollziehbar. Die Untersuchung wird sich in Kapitel 3 zunächst auf Schwachstellen bei der Sicherheitsplanung beziehen. Der Schwerpunkt der Diplomarbeit wird jedoch darin liegen, ein SSA-System zu entwerfen, um Schwachstellen bei Entwicklung, Nutzung und Betrieb des Informationssystems (Kapitel 4) zu analysieren. Das fünfte Kapitel beinhaltet das Ergebnis der Arbeit: eine Checkliste mit Fragen zur Schwachstellenanalyse der Informationssicherheit für die in Kapitel 3 und 4 untersuchten Bereiche. Abschließend werden noch einige Bemerkungen dazu gemacht, welche Entwicklungen zukünftig als wünschenswert zu erachten sind, um die Informationssicherheit zu gewährleisten und damit Schwachstellen zu vermeiden. [...]

Excerpt

Inhaltsverzeichnis

1 Ziel und Aufbau der Arbeit

2 Grundlagen

2.1 Schwachstelle und Schwachstellenanalyse

2.2 Information, Informationssystem und Informationsverarbeitung

2.3 Informationsmanagement und Informationssicherheit

3 Schwachstellen bei der strategischen Sicherheitsplanung

3.1 Situationsanalyse

3.1.1 Definition des Informationssystems

3.1.2 Planung und Analyse der IV-Prozesse

3.2 Sicherheitsziele

3.2.1 Planung der Sicherheitsziele

3.2.2 Einteilung in Risikofelder und Gefahrenanalyse

3.3 Maßnahmenplanung

3.3.1 Ermittlung der Sicherheitsanforderungen

3.3.2 Strukturierung der Sicherheitsmaßnahmen

3.3.3 Bestimmung der Sicherheitsdienste

3.3.4 Auswahl der Sicherheitsmechanismen

4 Schwachstellen im administrativen und operativen Bereich

4.1 Bestehende Konzepte zur Beurteilung der Informationssicherheit

4.1.1 Vorstellung und Diskussion der Kriterienwerke

4.1.1.1 Orange Book (TCSEC)

4.1.1.2 IT-Sicherheitskriterien und IT-Evaluationshandbuch

4.1.1.3 White Book: ITSEC und ITSEM

4.1.1.4 Common Criteria

4.1.1.5 Dimensionen der Zertifizierung

4.1.2 Datenschutz und Datensicherheit

4.2 Instrumente des Sicherheitsmanagements

4.2.1 Fehler-Möglichkeiten-Einfluss-Analyse

4.2.1.1 Prozess-FMEA

4.2.1.2 Konstruktions-FMEA

4.2.1.3 System-FMEA

4.2.1.4 Top-Down-FMEA

4.2.2 IT-Sicherheitshandbuch und Safety-Case-Prinzip

4.2.3 Sicherheitsauditing

4.2.4 Absicherung von Papiersystemen

4.2.5 Kosten- und Nutzenanalyse

4.2.6 Organisation der Informationssicherheit und personelle Sicherheit

5 Zusammenfassung und Ausblick

Zielsetzung und Themen der Arbeit

Das Hauptziel dieser Diplomarbeit ist die Entwicklung eines Schwachstellenanalyse-Systems (SSA) für die Informationssicherheit, das eine universell anwendbare Methode zur Identifikation und Bewertung von Sicherheitsrisiken in betrieblichen Informationssystemen bietet. Die Forschungsfrage fokussiert sich darauf, wie Sicherheitsdefizite systematisch über die gesamte IT-Infrastruktur hinweg identifiziert werden können, um eine effektive und zielgerichtete Maßnahmenplanung zu ermöglichen.

Theoretische Grundlagen von Schwachstellen, Informationsverarbeitung und Informationsmanagement.
Strukturierte Schwachstellenanalyse der strategischen Sicherheitsplanung unter Anwendung top-down orientierter Methoden.
Analyse und Bewertung von Sicherheitskonzepten und Zertifizierungsstandards (u.a. Orange Book, ITSEC, Common Criteria).
Einsatz von Qualitätsmanagement-Instrumenten (FMEA) zur systematischen Schwachstellenerkennung im administrativen und operativen Bereich.
Entwicklung von Checklisten für das Sicherheitsmanagement und Sicherheitsauditing.

Auszug aus dem Buch

Axiom der Ortsdifferenz

Eine Schwachstelle ist nicht unbedingt der Ort der Schwachstellenursache, d. h. eine Trennung von Ursachenort und Störungsort ist möglich. Dies ist beispielsweise dann der Fall, wenn ein Mitarbeiter nicht ausreichend in der Anwendung eines Programmes geschult ist und eine unsachgemäße Bildschirmeingabe tätigt. Die Störung wird sicherlich an einer Stelle zum Vorschein treten, die nicht zwangsläufig auf die Ursache „Mitarbeiterfehlverhalten“ schließen lässt.

Für die weiteren Ausführungen wird der Analysegegenstand „Schwachstelle“ wie folgt definiert: Eine Schwachstelle ist ein kausaler Ereignisort, an welchem eine reale oder potentielle Abweichung von einem erwünschten Zustand explizit auftritt oder implizit auftreten kann. Sie kann mit wirtschaftlich vertretbaren Mitteln so verändert werden, dass die Schadenshäufigkeit und/oder der Schadensumfang sich verringert. Solche Schwachstellen lassen sich bei der Informationsverarbeitung eigentlich in allen Bereichen finden.

Zusammenfassung der Kapitel

1 Ziel und Aufbau der Arbeit: Einführung in die Problemstellung der betrieblichen Informationssicherheit und Erläuterung des methodischen Vorgehens der Arbeit.

2 Grundlagen: Definition der zentralen Begriffe „Schwachstelle“ und „Informationssicherheit“ sowie Einbettung in das Informationsmanagement.

3 Schwachstellen bei der strategischen Sicherheitsplanung: Detaillierte Betrachtung der strategischen Sicherheitsplanung, inklusive der Situationsanalyse, der Definition von Sicherheitszielen und der methodischen Maßnahmenplanung.

4 Schwachstellen im administrativen und operativen Bereich: Analyse von Sicherheitskonzepten, Kriterienwerken und praktischen Instrumenten wie der FMEA zur Schwachstellenaufdeckung im laufenden Betrieb.

5 Zusammenfassung und Ausblick: Fazit der Arbeit in Form einer umfassenden Checkliste zur Schwachstellenanalyse für unterschiedliche Unternehmensebenen.

Schlüsselwörter

Informationssicherheit, Schwachstellenanalyse, Informationsmanagement, FMEA, Sicherheitskonzept, Risikomanagement, IT-Sicherheit, Sicherheitsaudit, Datenschutz, Prozessmodellierung, Sicherheitsziele, Sicherheitsmechanismen, Zertifizierung, IT-Infrastruktur, Sicherheitsbeauftragter.

Häufig gestellte Fragen

Worum geht es in dieser Arbeit grundsätzlich?

Die Arbeit beschäftigt sich mit der systematischen Analyse von Schwachstellen in der Informationssicherheit innerhalb betrieblicher Informationssysteme, um ein effektives Sicherheitsmanagement zu ermöglichen.

Was sind die zentralen Themenfelder?

Zentrale Themen sind die strategische Sicherheitsplanung, die Analyse von Sicherheitsanforderungen, die Anwendung von Qualitätsmanagement-Methoden auf IT-Sicherheitsprozesse sowie die rechtlichen Rahmenbedingungen für Datenschutz und Sicherheit.

Was ist das primäre Ziel der Arbeit?

Das primäre Ziel ist die Entwicklung eines universell anwendbaren Systems zur Schwachstellenanalyse (SSA), das sowohl strategische als auch administrative und operative Unternehmensbereiche abdeckt.

Welche wissenschaftliche Methode wird verwendet?

Es wird ein interdisziplinärer Ansatz verfolgt, der Elemente der Wirtschaftsinformatik mit Methoden des Qualitätsmanagements (wie der FMEA) kombiniert, um ein strukturiertes Vorgehen bei der Schwachstellenidentifikation zu ermöglichen.

Was wird im Hauptteil behandelt?

Der Hauptteil gliedert sich in die strategische Sicherheitsplanung sowie die Schwachstellenanalyse im administrativen und operativen Bereich unter Nutzung verschiedener Kriterienwerke und Sicherheitsmanagement-Instrumente.

Welche Schlüsselwörter charakterisieren die Arbeit?

Die Arbeit ist geprägt durch Begriffe wie Informationssicherheit, Schwachstellenanalyse, Informationsmanagement, FMEA, Sicherheitskonzept und IT-Infrastruktur.

Wie hilft die FMEA bei der Schwachstellenanalyse?

Die Fehlermöglichkeiten- und Einflussanalyse (FMEA) ermöglicht es, potenzielle Fehlerursachen und deren Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit von Daten systematisch zu erfassen, bevor Schäden entstehen.

Welchen Stellenwert nimmt die "Verbindlichkeit" in dieser Arbeit ein?

Die Verbindlichkeit wird neben den klassischen Sicherheitszielen (Vertraulichkeit, Integrität, Verfügbarkeit) als gleichrangiger und entscheidender Aspekt für moderne, durch IT-Kommunikation geprägte Geschäftsprozesse und digitale Signaturen betrachtet.

Excerpt out of 66 pages - scroll top

Details

Title: Schwachstellenanalyse der Informationssicherheit
College: Johannes Gutenberg University Mainz (Lehrstuhl für Wirtschaftsinformatik)
Grade: 1,0
Author: Ulrike Wagner (Author)
Publication Year: 1999
Pages: 66
Catalog Number: V171
ISBN (eBook): 9783638101271
ISBN (Book): 9783640863440
Language: German
Tags: Situationsanalyse Sicherheitsziele Sicherheitsmaßnahmen Sicherheitskriterien Datenschutz Datensicherheit Sicherheitsmanagement Orange Book IT-Sicherheitskriterien IT-Evaluationshandbuch Com
Product Safety: GRIN Publishing GmbH

Quote paper: Ulrike Wagner (Author), 1999, Schwachstellenanalyse der Informationssicherheit, Munich, GRIN Verlag, https://www.grin.com/document/171