Darstellung ausgewählter Aspekte zum IT - Sicherheitscontrolling

Diplomarbeit aus dem Jahr 2002 im Fachbereich Informatik - Wirtschaftsinformatik, Note: 2,3, Georg-August-Universität Göttingen (Betriebswirtschaftslehre, Wirtschaftsinformatik II), Sprache: Deutsch, Abstract: Inhaltsangabe:Einleitung: Echelon , Cyber-Terroristen , Badtrans und Nimda : Schlagworte, die einen kleinen Auszug der aktuellen Bedrohungen für Unternehmen im elektronischen Zeitalter darstellen. Heutzutage braucht ein Angreifer auf das IT-System nicht einmal mehr besondere Informatikkenntnisse, denn es gibt im Internet bereits einfach zu handhabende Bausätze für malicous code wie Viren, trojanische Pferde, Würmer und ähnliches. Ungewollte Hilfestellung bekommen die Angreifer durch Sicherheitslücken, die nicht rechtzeitig geschlossen werden.
Trotzdem wird bei der Umsetzung von Sicherheitsmaßnahmen in den Unternehmen gezögert. Grund dafür sind größtenteils knappe Ressourcen. Es mangelt an Geld und qualifizierten Personal.
Das IT-Sicherheitscontrolling ist ein Instrument, mit dem ein wichtiger Beitrag zur Verbesserung der Sicherheit der IT-Systeme eines Unternehmens geleistet werden kann. Ihm obliegt es, die Höhe für ein Sicherheitsbudget festzulegen und darauf zu achten, dass diese Mittel effizient eingesetzt werden.
Gang der Untersuchung:
Die wichtigsten Problemstellungen des IT-Sicherheitscontrolling werden in dieser Diplomarbeit behandelt. Zunächst wird auf die organisatorische Einbettung des IT-Sicherheitscontrolling eingegangen. Angelehnt an den IT-Sicherheitsprozess nach dem IT-Grundschutzhandbuch wird dann eine praxistauglichere Variante vorgestellt, welche ein IT-Sicherheitscontrolling besser ermöglicht. In den weiteren Kapiteln werden dann die Problemstellungen Ableitung einer IT-Sicherheitsstrategie, Entscheidungsfindung in der Maßnahmenplanung und Erstellung eines Sicherheitsbudget bearbeitet.
Inhaltsverzeichnis:Inhaltsverzeichnis:
1.Einleitung1
2.Grundlagen des IT-Sicherheitscontrolling3
2.1Wirtschaftlichkeit und IT-Sicherheit3
2.1.1Sicherheit als Schutz der Unternehmenswerte3
2.1.2Sicherheit als Wettbewerbsfaktor4
2.2Begriff des IT-Sicherheitscontrolling5
2.3Organisatorische Einbettung des IT-Sicherheitscontrolling7
3.IT-Sicherheitsprozess10
3.1IT-Sicherheitsprozess nach Grundschutzhandbuch10
3.1.1Etablierung des Sicherheitsprozesses10
3.1.2Kritische Bewertung12
3.1.3Aufspaltung des Sicherheitsprozesses13
3.2Einbettung des IT-Sicherheitscontrolling15
3.2.1Beschreibung des Ansatzes15
3.2.2Begriffserklärung17
3.2.3Erläuterung des Ansatzes21
3.2.4Das Controlling im Sicherheitsprozess24
4.Ausgewählte Problemstellung25
4.1Ansatz zur Ableitung einer IT-Sicherheitsstrategie25
4.1.1Benötigtes Sicherheitsniveau27
4.1.2Realisiertes Sicherheitsniveau28
4.1.3Normstrategien30
4.1.4Ableitung von Zielvorgaben32
4.2Entscheidungsfindungsproblem der Maßnahmenplanung34
4.2.1Grundmodell der sukzessiven Planung35
4.2.2Arbeitsteilung im Grundmodell43
4.2.3Erweiterungen zum Grundmodell44
4.3Sicherheitsbudget45
4.3.1Aufbau des Sicherheitsbudgets46
4.3.2Erstellung des Sicherheitsbudgets51
4.3.3Festlegung der Höhe des Sicherheitsbudgets56
5.Ausblick57

Klappentext

Inhaltsangabe:Einleitung: ?Echelon?, ?Cyber-Terroristen?, ?Badtrans? und ?Nimda?: Schlagworte, die einen kleinen Auszug der aktuellen Bedrohungen für Unternehmen im elektronischen Zeitalter darstellen. Heutzutage braucht ein Angreifer auf das IT-System nicht einmal mehr besondere Informatikkenntnisse, denn es gibt im Internet bereits einfach zu handhabende Bausätze für malicous code wie Viren, trojanische Pferde, Würmer und ähnliches. Ungewollte Hilfestellung bekommen die Angreifer durch Sicherheitslücken, die nicht rechtzeitig geschlossen werden. Trotzdem wird bei der Umsetzung von Sicherheitsmaßnahmen in den Unternehmen gezögert. Grund dafür sind größtenteils knappe Ressourcen. Es mangelt an Geld und qualifizierten Personal. Das IT-Sicherheitscontrolling ist ein Instrument, mit dem ein wichtiger Beitrag zur Verbesserung der Sicherheit der IT-Systeme eines Unternehmens geleistet werden kann. Ihm obliegt es, die Höhe für ein Sicherheitsbudget festzulegen und darauf zu achten, dass diese Mittel effizient eingesetzt werden. Gang der Untersuchung: Die wichtigsten Problemstellungen des IT-Sicherheitscontrolling werden in dieser Diplomarbeit behandelt. Zunächst wird auf die organisatorische Einbettung des IT-Sicherheitscontrolling eingegangen. Angelehnt an den IT-Sicherheitsprozess nach dem IT-Grundschutzhandbuch wird dann eine praxistauglichere Variante vorgestellt, welche ein IT-Sicherheitscontrolling besser ermöglicht. In den weiteren Kapiteln werden dann die Problemstellungen Ableitung einer IT-Sicherheitsstrategie, Entscheidungsfindung in der Maßnahmenplanung und Erstellung eines Sicherheitsbudget bearbeitet. Inhaltsverzeichnis:Inhaltsverzeichnis: 1.Einleitung1 2.Grundlagen des IT-Sicherheitscontrolling3 2.1Wirtschaftlichkeit und IT-Sicherheit3 2.1.1Sicherheit als Schutz der Unternehmenswerte3 2.1.2Sicherheit als Wettbewerbsfaktor4 2.2Begriff des IT-Sicherheitscontrolling5 2.3Organisatorische Einbettung des IT-Sicherheitscontrolling7 3.IT-Sicherheitsprozess10 3.1IT-Sicherheitsprozess nach Grundschutzhandbuch10 3.1.1Etablierung des Sicherheitsprozesses10 3.1.2Kritische Bewertung12 3.1.3Aufspaltung des Sicherheitsprozesses13 3.2Einbettung des IT-Sicherheitscontrolling15 3.2.1Beschreibung des Ansatzes15 3.2.2Begriffserklärung17 3.2.3Erläuterung des Ansatzes21 3.2.4Das Controlling im Sicherheitsprozess24 4.Ausgewählte Problemstellung25 4.1Ansatz zur Ableitung einer IT-Sicherheitsstrategie25 4.1.1Benötigtes