Diese Arbeit soll zeigen, auf welche Normen und Standards ein Informationssicherheits-Verantwortlicher, der die umgesetzten Maßnahmen bewerten und das Ergebnis dem Management berichten können möchte, zurückgreifen kann. Darauf aufbauend werden exemplarisch einige Kennzahlen gebildet. Der Schwerpunkt liegt hierbei eher auf technischen als organisatorischen Merkmalen, da die Bildung von organisatorischen Kennzahlen in der Literatur bereits recht gut beschrieben ist.

Wie in allen Management-Prozessen braucht man auch bei der Umsetzung von Maßnahmen in Verbindung mit der IT-Sicherheit die Möglichkeit, Entscheidungen möglichst gut fundiert treffen und im Nachgang auch hinsichtlich der Wirksamkeit bewerten zu können

IT-Sicherheit ist mit - zum Teil sehr hohen - Kosten verbunden. Diese Kosten müssen zum einen wirtschaftlich unter Kosten/Nutzen-Gesichtspunkten zu rechtfertigen sein, zum anderen ist sicherzustellen, dass die Investitionen, die zur IT-Sicherheit getätigt werden, eine möglichst große Wirkung zeigen.

In fast allen Management-Bereichen werden heute Kennzahlen erhoben, die in komprimierter Form Sachverhalte widerspiegeln, die die Entscheidungsträger schnell und objektiv wahrnehmen müssen, um zu richtigen und langfristig wirtschaftlich richtigen Entscheidungen zu kommen. Betriebswirtschaftliche Kennzahlen sind heute fester Bestandteil in allen Management-Ebenen.

Excerpt

Inhaltsverzeichnis

Abstract
Einleitung und Motivation
Begrifflichkeiten
IT-Governance und Risiko-Management
Kennzahlen / Kennzahlensysteme
- Theoretischer Hintergrund
- Kennzahlen im Management-Prozess
- Anforderungen
Sicherheitskennzahlen - Standards
- ITIL (IT Infrastructure Library)
- COBIT
- Normreihe ISO/IEC 27000
- NIST-SP-800-55
Sicherheitskennzahlen
- Anzahl und Schwere von Sicherheitsvorfällen
- Schulung und Awareness
- Verstöße gegen Sicherheits-Richtlinien
- Vier-Augen-Prinzip und Rollentrennung
- Notfall-Vorsorge
- Umsetzungsgrad der Maßnahmen
- Systemverfügbarkeit von IT-Services und -Systemen
- Vulnerability-Assessment
  - Schwachstellen
  - Schwachstellenmanagement
  - CVE - Common Vulnerabilities and Exposures
  - Schwachstellen-Scanning
  - Vulnerability-Assessment Kennzahl
  - Patch-Management
- Technische Policy
  - Nicht benötigte Server-Dienste
  - Prozess-Accounting
  - Privilegierte Accounts
  - Schwache Passwörter
  - Installierte Software
  - Sperre nach wiederholt falscher Kennworteingabe
  - Integrität von System-Dateien
- Netzwerksicherheit
  - nicht autorisierter Zugriff
  - Firewall-Kennzahl
Vorgehensmodell
- Anforderungsanalyse
- Design
- Implementierung
- Test und Integration
Fallbeispiel
- Technische Policy
- Patch-Verteilung
- Vulnerability-Assessment Kennzahl
- Spitzen-Kennzahl für die IT-Sicherheit
Kritische Würdigung
- Wirksamkeit vs. Wirtschaftlichkeit
- Benchmarking
- Kontinuität
- Bedrohung vs. Schwachstelle
Résumé

Zielsetzung und Themenschwerpunkte

Diese Arbeit befasst sich mit der Entwicklung einer IT-Sicherheitsmetrik im Rahmen des IT-Controllings. Das Ziel ist es, eine fundierte Grundlage für Entscheidungen in Bezug auf IT-Sicherheit zu schaffen und die Wirksamkeit von Sicherheitsmaßnahmen zu bewerten. Die Arbeit untersucht, wie Normen und Standards zur Entwicklung eines Kennzahlensystems für IT-Sicherheit eingesetzt werden können.

Entwicklung einer IT-Sicherheitsmetrik
Bewertung der Wirksamkeit von Sicherheitsmaßnahmen
Einsatz von Normen und Standards für IT-Sicherheit
Zusammenhang zwischen IT-Sicherheit und klassischen Systementwicklungen
Entwicklung eines Leitfadens für die Entwicklung eines Kennzahlensystems

Zusammenfassung der Kapitel

Die Einleitung stellt das Thema und die Motivation der Arbeit vor. Kapitel 2 definiert wichtige Begrifflichkeiten im Kontext von IT-Sicherheit. Kapitel 3 behandelt die Themen IT-Governance und Risiko-Management. Kapitel 4 befasst sich mit Kennzahlen und Kennzahlensystemen, insbesondere mit dem theoretischen Hintergrund und den Anforderungen an ein Kennzahlensystem. Kapitel 5 untersucht verschiedene Standards und Normen für Sicherheitskennzahlen, wie ITIL, COBIT, ISO/IEC 27000 und NIST-SP-800-55. Kapitel 6 präsentiert eine Auswahl an Sicherheitskennzahlen, die auf technischen Merkmalen basieren. Kapitel 7 beschreibt ein Vorgehensmodell für die Entwicklung eines Kennzahlensystems. Kapitel 8 zeigt ein Fallbeispiel für die Anwendung der entwickelten Kennzahlen. Kapitel 9 bietet eine kritische Würdigung der Arbeit, beleuchtet die Wirksamkeit und Wirtschaftlichkeit der Kennzahlen und diskutiert die Bedeutung von Benchmarking und Kontinuität. Das Résumé fasst die wichtigsten Erkenntnisse der Arbeit zusammen.

Schlüsselwörter

IT-Sicherheit, IT-Controlling, Kennzahlen, Kennzahlensysteme, Normen, Standards, ITIL, COBIT, ISO/IEC 27000, NIST-SP-800-55, Vulnerability-Assessment, Patch-Management, Technische Policy, Netzwerksicherheit, Wirksamkeit, Wirtschaftlichkeit, Benchmarking, Kontinuität.

Excerpt out of 92 pages - scroll top

Details

Title: Entwurf einer IT-Sicherheitsmetrik im Rahmen des IT-Controlling
College: University of Applied Sciences Offenburg
Grade: 1.3
Author: Rüdiger Kelkel (Author)
Publication Year: 2016
Pages: 92
Catalog Number: V336704
ISBN (eBook): 9783656984108
ISBN (Book): 9783656984115
Language: German
Tags: IT-Sicherheit Kennzahlensystem Informationssicherheit ISO/IEC 27004; BIS-Grundschutz CoBIT BSI DIN/ISO 27001 Risikomanagement
Product Safety: GRIN Publishing GmbH

Quote paper: Rüdiger Kelkel (Author), 2016, Entwurf einer IT-Sicherheitsmetrik im Rahmen des IT-Controlling, Munich, GRIN Verlag, https://www.grin.com/document/336704

Entwurf einer IT-Sicherheitsmetrik im Rahmen des IT-Controlling