Die Umsetzung von IT-Sicherheit in KMU

Inhaltsverzeichnis

1. Einleitung

2. Das Beispielunternehmen „Die BKK Krankenkasse“

2.1 Organisatorische Gliederung

2.2 Informationstechnik

3. IT-Sicherheitsmanagement

3.1 IT-Sicherheitsleitlinie & Vorschläge

3.2. Datenschutz

3.3. IT-Sicherheitskonzept

3.4 Umsetzung des Sicherheitskonzepts

4. IT-Strukturanalyse

4.1 Netzplan

4.1.1 Erhebung

4.1.2 Bereinigung

4.2 Erhebung IT-Systeme

4.3 Erhebung IT-Anwendungen

4.4 Erhebung Infrastruktur

5. Schutzbedarfsfeststellung

5.1 Anpassung der Schutzbedarfskategorien

5.2 Schutzbedarfsfeststellung der IT-Anwendungen

5.3 Schutzbedarfsstellung der IT-Systeme

5.4 Schutzbedarfsfeststellung für IT-Räume

5.5 Schutzbedarf der Kommunikationsverbindungen

6. Modellierung gemäß IT-Grundschutz

6.1 Schicht 1 Übergreifende Aspekte

6.2 Schicht 2 Infrastruktur

6.2.1 Baustein Gebäude

6.2.2 Baustein Verkabelung

6.2.3 Baustein Räume

6.3 Schicht 3: IT-Systeme

6.4 Schicht 4: Netze

6.5 Schicht 5: Anwendungen

7. Basis Sicherheitscheck

8. Realisierung

9. Zertifizierung

9.1. Voraussetzung für die Zertifizierung

9.2. Ausprägung der Zertifizierung

9.3. Der Auditor

9.4. Zu zertifizierender IT-Verbund

9.5. Das Zertifikat

10. Fazit

Zielsetzung & Themen

Die vorliegende Arbeit setzt sich zum Ziel, die methodische Vorgehensweise zur Implementierung von IT-Sicherheit in kleinen und mittelständischen Unternehmen (KMUs) auf Basis des IT-Grundschutzhandbuchs des Bundesamts für Sicherheit in der Informationstechnik (BSI) exemplarisch an einer Fallstudie der „BKK Krankenkasse“ zu demonstrieren.

• Etablierung eines IT-Sicherheitsmanagementsystems.
• Durchführung einer IT-Strukturanalyse zur Erfassung der IT-Landschaft.
• Systematische Ermittlung und Feststellung des Schutzbedarfs für IT-Systeme und Anwendungen.
• Modellierung der Sicherheitsvorkehrungen gemäß IT-Grundschutz-Standards.
• Dokumentationsanforderungen und Zertifizierungsprozesse für IT-Verbunde.

Auszug aus dem Buch

Zusammenfassung der Kapitel

1. Einleitung: Die Einleitung beleuchtet die zunehmende Bedrohung durch IT-Sicherheitsvorfälle sowie rechtliche Anforderungen und führt das IT-Grundschutzhandbuch des BSI als Standardwerk für KMUs ein.

2. Das Beispielunternehmen „Die BKK Krankenkasse“: Dieses Kapitel stellt das fiktive, anonymisierte Beispielunternehmen mit seiner organisatorischen Struktur und der vorhandenen IT-Infrastruktur vor.

3. IT-Sicherheitsmanagement: Hier werden die organisatorischen Planungs- und Lenkungsaufgaben zur Festlegung einer Sicherheitsleitlinie sowie die Bedeutung des Datenschutzes und der Erstellung eines Sicherheitskonzepts dargelegt.

4. IT-Strukturanalyse: Das Kapitel beschreibt den Prozess der Erfassung der vorhandenen IT-Komponenten, Anwendungen und der Infrastruktur sowie deren Bereinigung für den weiteren Sicherheitsanalyseprozess.

5. Schutzbedarfsfeststellung: Der Schwerpunkt liegt auf der Definition und Bestimmung des Schutzbedarfs für IT-Anwendungen, IT-Systeme, Räume und Kommunikationsverbindungen anhand von Schadensszenarien.

6. Modellierung gemäß IT-Grundschutz: Hier wird der Prozess der Nachbildung des IT-Verbunds mittels der BSI-Bausteine in fünf Schichten beschrieben.

7. Basis Sicherheitscheck: Das Kapitel erläutert die Durchführung eines Soll-Ist-Vergleichs als zentrales Element zur Überprüfung der Sicherheitsmaßnahmen.

8. Realisierung: Es werden die sechs Schritte zur konkreten Umsetzung der identifizierten Sicherheitsmaßnahmen unter Berücksichtigung von Prioritäten und Budgets vorgestellt.

9. Zertifizierung: Der Abschluss beschreibt die Voraussetzungen für die Erlangung eines IT-Grundschutz-Zertifikats sowie die Rolle des Auditors und der Selbsterklärungsstufen.

10. Fazit: Das Fazit resümiert die Notwendigkeit, IT-Sicherheit als kontinuierliche Aufgabe zu verstehen, die sowohl technologische als auch organisatorische und menschliche Aspekte umfasst.

Schlüsselwörter

IT-Sicherheit, IT-Grundschutzhandbuch, BSI, Schutzbedarfsfeststellung, IT-Strukturanalyse, Sicherheitskonzept, Datenschutz, Risikomanagement, Zertifizierung, IT-Infrastruktur, Informationssicherheit, Unternehmenssicherheit, Sicherheitsmanagement, IT-Grundschutzmodell, Schadensszenarien.

Häufig gestellte Fragen

Worum geht es in der Arbeit grundlegend?

Die Arbeit behandelt die systematische Umsetzung von IT-Sicherheitsmaßnahmen in kleinen und mittelständischen Unternehmen unter Anwendung des BSI-Grundschutzhandbuchs.

Was sind die zentralen Themenfelder?

Zentral sind das IT-Sicherheitsmanagement, die Strukturanalyse der IT, die Schutzbedarfsfeststellung, die Modellierung und die Zertifizierung nach IT-Grundschutz.

Was ist das primäre Ziel der Arbeit?

Das Ziel ist es, den Zertifizierungsprozess und die methodische Herangehensweise anhand der Fallstudie „Die BKK Krankenkasse“ praxisnah zu veranschaulichen.

Welche wissenschaftliche Methode wird verwendet?

Die Arbeit nutzt die methodische Vorgehensweise gemäß dem IT-Grundschutzhandbuch des BSI als Referenzmodell für die Fallstudienanalyse.

Was wird im Hauptteil behandelt?

Der Hauptteil umfasst den gesamten Zyklus vom IT-Sicherheitsmanagement über die Strukturanalyse und Schutzbedarfsfeststellung bis hin zur Modellierung und Realisierung der Maßnahmen.

Welche Schlüsselwörter charakterisieren die Arbeit?

Wichtige Begriffe sind unter anderem IT-Sicherheit, Schutzbedarf, IT-Grundschutz, Sicherheitskonzept und Zertifizierung.

Warum wird im Rahmen der Schutzbedarfsfeststellung das „Maximum-Prinzip“ angewandt?

Das Maximum-Prinzip bestimmt den Schutzbedarf eines IT-Systems nach dem Schaden der Anwendung mit den schwerwiegendsten Auswirkungen.

Was unterscheidet die Selbsterklärung „Einstiegsstufe“ von der „Aufbaustufe“?

Es handelt sich um Vorstufen zum vollen IT-Grundschutz-Zertifikat, wobei die Aufbaustufe einen höheren Sicherheitsgrad und Vertrauenswürdigkeit als die Einstiegsstufe repräsentiert.