Leseprobe
Inhaltsverzeichnis ... II
Abkürzungsverzeichnis ... III
Abbildungsverzeichnis ... IV
1. Einleitung ... 1
2. Besondere Herausforderungen an die IT-Sicherheit in verteilten Unternehmen
... 2
2.1 Abgrenzung von verteilten Unternehmen als Gestaltungsobjekt ... 2
2.2 Definition, Ziele und Aufgaben von IT-Sicherheitsmanagement ... 5
3. Gewährleistung von IT-Sicherheit in verteilten Unternehmen im Rahmen eines integrierten
Gesamtkonzeptes ... 7
3.1 Anforderungen an das IT-Sicherheitsmanagement in verteilten Unternehmen ... 7
3.2 Konzeption eines ganzheitlichen IT-Sicherheitsmanagements für verteilte
Unternehmen ... 8
4. Fazit und kritische Würdigung ... 13
Literaturverzeichnis ... XIV
Abkürzungsverzeichnis
Abkürzung - Bedeutung
BaFin - Bundesanstalt für Finanzdienstleistungsaufsicht
BSI - Bundesamt für Sicherheit in der Informationstechnik
bzw. - beziehungsweise
CMDB - Configuration Management Database
COBIT - Control Objectives for Information and Related Technology
CSI - Continual Service Improvement
d.h. - dass heißt
FIS - Führungs Informations System
IT - Informationstechnologie
ITIL - IT Infrastructure Library
LAN - Local Area Network
m.E. - meines Erachtens
o.g. - oben genannt(e)(s)
PDCA - Plan, Do, Check, Act (Deming-Cycle)
PKI - Public Key Infrastructure
ROSI - Return on Security Investments
SaaS - Software as a Service
sog. - sogenannt(e)(s)
TCO - Total Cost of Ownership
VPN - Virtual Private Network
WAN - Wide Area Network
z.B. - zum Beispiel
[Darstellung für Leseprobe verändert]
Abbildungsverzeichnis
Abb. 1: Herausforderungen an das IT-Sicherheitsmanagement verteilter Unternehmen ... 4
Abb. 2: Konzeption eines ganzheitlichen IT-Sicherheitsmanagements für verteilte Unternehmen (Schwerpunkte und
Beispiele) ... 11
1. Einleitung
Die zunehmende Vernetzung der Unternehmen, die Globalisierung der Geschäftsbeziehungen und die Auslagerung von IT-Services an externe Dienstleister (Outsourcing), führen in zunehmendem Maße zu regional oder global verteilten IT-Strukturen. Sicherheitslücken in diesen Netzwerken können von potenziellen Angreifern ausgenutzt werden, um sich z.B. Zugang zu internen Informationen zu verschaffen oder durch die Einschleusung von Schadprogrammen Unternehmen in ihrer Funktionsfähigkeit einzuschränken. Cyber-Angriffe auf private Unternehmen, aber auch auf Verwaltungen und Behörden, kommen in Deutschland täglich vor und werden zunehmend professioneller.[1] Wie man der Tagespresse entnehmen kann, versuchen auch staatliche Nachrichtendienste an sensible Informationen, z.B. von Unternehmen der Rüstungsindustrie, zu gelangen.[2] Angemessene Schutzmaßnahmen zur Gewährleistung von IT-Sicherheit erscheinen daher dringend geboten, um Schaden von Unternehmen abzuwenden.
Das Ziel der vorliegenden Seminararbeit ist die Analyse der Herausforderungen und der Anforderungen, die an ein IT-Sicherheitsmanagement für verteilte Unternehmen gestellt werden. Dabei gilt es, nicht nur die technischen Sicherheitsvorkehrungen zu untersuchen, sondern ein integriertes Gesamtkonzept von der Strategie über die Prozesse, zur Sicherheitskultur und bis hin zur Steuerung der IT-Sicherheit in Ergänzung zur IT in Betracht zu ziehen. [3]
Die Arbeit ist wie folgt strukturiert: Das zweite Kapitel zielt auf die besonderen Herausforderungen an das IT-Sicherheitsmanagement in verteilten Unternehmen ab. Die daraus abgeleiteten Anforderungen, sowie das Konzept eines integrierten Gesamtansatzes für das IT-Sicherheitsmanagement werden in Kapitel drei analysiert. Hierbei werden die verschiedenen Dimensionen der IT-Sicherheit berücksichtigt und beispielhaft beschrieben, wie diese auszugestalten und in praktische Maßnahmen zu überführen sind.
Im abschließenden Fazit wird auf die Zielsetzung der Arbeit referenziert und die Gesamtheit der untersuchten Sachverhalte einer kritischen Würdigung unterzogen.
2. Besondere Herausforderungen an die IT-Sicherheit in verteilten Unternehmen
Verteilte Unternehmen befinden sich, im Hinblick auf die IT-Sicherheit, in einer besonderen Situation. Durch die räumliche Verteilung wird eine IT-Infrastruktur benötigt, die zuverlässige Kommunikation und einen sicheren und schnellen Datenaustausch zwischen den verschiedenen Unternehmensteilen ermöglicht. Diese Verbindungen selbst und die Übergänge in die lokalen Unternehmensnetzwerke sind häufig das Ziel von Cyber-Attacken und Sabotage und gelten daher als besonders schutzbedürftig. In den beiden folgenden Unterkapiteln werden die besonderen Merkmale von verteilten Unternehmen, sowie die Herausforderungen, welche damit einhergehen, erläutert. Außerdem erfolgt eine Herleitung der wichtigsten Ziele des IT-Sicherheitsmanagements, um diesen spezifischen Herausforderungen zu begegnen.
2.1 Abgrenzung von verteilten Unternehmen als Gestaltungsobjekt
Verteilte Unternehmen verfügen über zwei oder mehrere Standorte, die lokal, regional oder global diversifiziert sind. Zwischen den einzelnen Unternehmensteilen besteht eine enge Kommunikation und Zusammenarbeit im Rahmen einer Netzwerkorganisation. Diese Netzwerkstruktur kann das Ergebnis eines geplanten Strukturierungsprozesses sein, mit dem Ziel eine möglichst effektive und optimierte Unternehmensorganisation zu erreichen, oder als Folge der herrschenden Marktbedingungen, oder im Zuge von Unternehmensübernahmen und Expansionen eher unwillkürlich entstanden sein. [4] Fusionen und Übernahmen (Mergers & Acquisitions) stellen vielfältige Anforderungen an das IT-Sicherheitsmanagement. Insbesondere gilt es, die neu hinzu kommenden Betriebsteile in die bestehende IT-Infrastruktur einzugliedern, und das möglichst ohne durch zu große Reibungsverluste die Produktivität zu beeinträchtigen.[5] Eine Schwierigkeit kann hierbei auch der Umgang mit IT-Systemen sein, die in den neu hinzu kommenden Unternehmen bereits vorhanden sind. Hier gilt es abzuwägen, ob eine Integration überhaupt sinnvoll erscheint, oder ob diese zu einer zu großen Heterogenität der IT-Landschaft führen würde.
Hierarchien und Strukturen verteilen sich über mehrere Standorte und bilden virtuelle Teams, in denen Echtzeit-Kommunikation eine herausragende Rolle spielt. Um die notwendigen Abstimmungen vornehmen zu können, werden verstärkt Collaboration-Tools verwendet (z.B. Instant Messenger, Video-Konferenz-Systeme, Document- und Screen-Sharing). Vorhandene Datenbestände werden gemeinsam genutzt, z.B. als Data Warehouse oder im Rahmen von Cloud-Services. Lokal in einzelnen Unternehmensteilen vorliegende Daten, werden in ein einheitliches IT-System integriert und zu Führungs- und Managementinformationen verdichtet.[6] IT-Anwendungen werden von einem Standort aus zentral für andere Unternehmensteile bereitgestellt, teilweise als SaaS.
[...]
[1]
Vgl. „BSI-LB15503“ 2014, S. 11
[2]
Vgl. online o. J.
[3]
Vgl. Baumöl 2015
[4]
Vgl. Sydow & Windeler 1998, S. 278
[5]
Vgl. Reichmann & ORACLE Deutschland GmbH 1998, S. 18
[6]
Vgl. Reichmann & ORACLE Deutschland GmbH 1998, S. 305