Kompass der IT-Sicherheitsstandards

Risiken in der Welt der Bits und Bytes


News

In den vergangenen Jahrzehnten wurden für viele Unternehmen eine optimale Informationsverteilung sowie die Integration der Unternehmensprozesse und der Informations- und Kommunikationstechnologie  (IuK) zunehmend zum strategischen Erfolgsfaktor. Die technische Abhängigkeit der Kernprozesse von der IT in der Wertschöpfungskette hat rapide zugenommen – und damit auch die IT bezogenen Risiken. Die IT Prozesse in einem Unternehmen unterstützen auf der einen Seite die Kernprozesse eines Unternehmens und reduzieren dadurch auch die Unternehmensrisiken. Gleichzeitig beinhaltet die Informationstechnologie jedoch wiederum ein neues Risikopotenzial.

So hängt die Funktionsfähigkeit einer Just-In-Time-Produktion und -Lieferung sowohl  organisatorisch als auch logistisch essentiell von einer reibungslos funktionierenden Informations- und Kommunikationstechnologie ab.  So analysieren beispielsweise die Automobilhersteller im Rahmen eines Audits die Qualität der Produkte, aber auch die Zuverlässigkeit des Zulieferers in puncto Lieferpünktlichkeit und Kontinuität.

Die potenziellen Ursachen für Gefahren im Bereich der Informations- und Kommunikationstechnologie sind in den vergangenen Jahren massiv gestiegen und sehr vielfältig: Höhere Gewalt (beispielsweise in Form von Blitzschlag, Feuer oder Überschwemmung), Fehlbedienung durch Personal oder zugangsberechtigte Personen, Computerviren, Trojaner und Würmer (die zusammengefasst als Malware bezeichnet werden), Spoofing, Phishing, Pharming oder Vishing, bei dem eine falsche Identität vorgetäuscht wird, Denial of Service-Angriff, Man-in-the-middle-Angriffe beziehungsweise Snarfing oder Social Engineering. Vor diesem Hintergrund ist die Bedeutung eines proaktiven IT-Risikomanagements als Bestandteil eines integrierten und unternehmensweiten Risikomanagements deutlich gewachsen.

95 Prozent der Unternehmen nutzen das Internet

Nach Angaben des Statistischen Bundesamtes – für das  Jahr 2008 – nutzen 97 Prozent aller Unternehmen mit mehr als zehn Mitarbeitern einen Computer. Rund 77 Prozent dieser Unternehmen hatten 2008 ein eigenes Angebot im Internet. 95 Prozent aller Unternehmen in Deutschland nutzten das Internet. Diese prinzipiell positive Entwicklung führt zu einer zunehmenden Abhängigkeit der Organisationen von der Verfügbarkeit der IT, der Integrität (Unversehrtheit) von Daten und Systemen sowie dem Schutz vor unberechtigtem Zugriff auf Daten. Da eine 100 prozentige Sicherheit nicht erreichbar ist, gilt es, die mit dem Einsatz von IT verbundenen Risiken auf ein Niveau zu bringen, das aus unternehmerischer Sicht vertretbar ist und dauerhaft gehalten werden kann. Um dieses Ziel zu erreichen, ist die Einführung eines IT-Risikomanagements für praktisch jedes Unternehmen notwendig. Standards spielen im Rahmen des IT-Risikomanagements eine wichtige Rolle. Der Einsatz von IT-Sicherheitsstandards im Unternehmen oder in einzelnen Bereichen macht die sicherheitsrelevanten IT-Prozesse des Unternehmens transparent und damit beherrschbar und reduziert somit das Gesamtrisiko.

Kompass für IT-Risikomanagement

Bereits in der vierten Auflage hat nun der BITKOM-Arbeitskreis Sicherheitsmanagement seinen überarbeiteten "Kompass der IT-Sicherheitsstandard" vorgelegt. Die Publikation wurde auch in der neuen Version in enger Zusammenarbeit mit dem Normenausschuss NI-A 27 des Deutschen Institut für Normung (DIN) erstellt. Oftmals sind gerade kleinere und mittlere Unternehmen mit der Vielzahl an möglicherweise für sie relevanter Standards überfordert. Der Leitfaden dient zur ersten Orientierung, um die für das eigene Unternehmen und die jeweilige Branche wichtigen Standards zu identifizieren.

Das Herzstück des Leitfadens, der Kompass der IT-Sicherheitsstandards, klassifiziert bekannte Standards sowie Standards für spezielle Sicherheitsfunktionen, so dass der Leser diese für sein Unternehmen bewerten und gegebenenfalls als relevant einschätzen kann. Im Kompass sind auch ausgewählte Vorschriften und Gesetze aufgeführt, die im Zusammenhang mit IT-Sicherheit in Medien und Publikationen immer wieder erwähnt werden. Auch diese sind klassifiziert und können so auf ihre Relevanz überprüft werden. Im Anhang sind die Bezüge der behandelten Standards untereinander aufgeführt, dort befinden sich auch Links zu weiteren Informationen.

Download "Kompass der IT-Sicherheitsstandard":


Zur Vertiefiefung: Praxisgerechtes Werk mit wissenschaftlicher Fundierung!

Erfolgsfaktor Risiko-Management 2.0: Praxishandbuch für Industrie und HandelErfolgsfaktor Risiko-Management 2.0: Praxishandbuch für Industrie und Handel

Von: Romeike, F./Hager, P., Gabler Verlag, 2. Auflage, 528 Seiten, Wiesbaden 2009.

Prof. Dr. Arnd Wiedemann, Inhaber des Lehrstuhls für Finanz- und Bankmanagement, Universität Siegen.

Die Beiträge sind theoretisch fundiert, haben aber die unternehmerische Praxis immer im Blick. Das Buch dürfte Studenten und Wissenschaftler an Hochschulen ebenso ansprechen wie auch das Management in der Praxis. Es ist ein von Anfang an durchdachtes Werk gelungen, das in würdiger Weise dem Ruf der ersten Auflage als Standardwerk des Risikomanagement gerecht wird.

Fachbuch-Vergleichstest bei Buecher.de:

Ein hervorragend konzipiertes und von Sachkompetenz nur so strotzendes Buch. Auch die - oft schwierige - Synthese von Wissenschaft und Praxis ist ausgezeichnet gelungen. Die Beiträge sind theoretisch fundiert, haben aber die unternehmerische Praxis immer im Blick. Die Empfehlung für Entscheider! Gesamtnote 1,6

Rezension von Prof. Dr. Thomas A. Lange:

Das Bemerkenswerte ist, dass das Buch, das sich primär an Industrie und Handel richtet, gerade für Risikoanalysten in Banken von besonderem Wert ist, weil es zahlreiche Aspekte beinhaltet, die es auch im Rahmen einer Kreditentscheidung zu berücksichtigen gilt. Insofern enthält das Buch für die in der Regel durch Unternehmensanalysten zu erstellende Besuchsvorbereitung einerseits,  aber auch für die Gesprächsführung durch die Relationship Manager andererseits wertvolle Hinweise. Dazu tragen vor allem die zielführenden Beispiele sowie die nutzbringenden Checklisten bei. [...] All dies sind gerade im gegenwärtigen Umfeld sehr gute Gründe, dieses Buch zu lesen.

Rezension bei "brainguide.com", Juni 2003, Prof. Dr. Rudolf Fiedler

[…] Besonders der von Romeike beschriebene Prozess der Risikofindung, -bewertung, -steuerung und -kontrolle bietet viele Informationen zur praktischen Umsetzung eines Risikomanagementsystems. Hier wird die große Sachkenntnis des Herausgebers und Autors deutlich. [...] Den Autoren ist es gelungen, ein umfassendes Werk zum Thema Risikomanagement vorzulegen, das zugleich wissenschaftliche Tiefe und praxisorientierte Fundierung bietet.

Weitere Informationen finden Sie hier



[Bildquelle: iStockPhoto]

Kommentare zu diesem Beitrag

Jo /13.01.2010 17:03
ich habe einen hinweis auf den neuen iso standard 31000 vermisst. der leitfaden ist eher enttäuschend und hilft dem praktiker nur sehr begrenzt weiter. im kern handelt es sich um einen leitfaden für it-security und nicht um einen leitfaden für it-risikomanagement. das sind zwei unterschiedliche welten.
WhiteHat /13.01.2010 18:40
Der Kompass geht leider komplett an der Praxis vorbei. Netter Überblick für Auditoren und Häkchenmacher. Ein gelebtes IT-RISIKOMANAGEMENT funktioniert aber anders und berücksichtigt vor allem auch eine ökonomische Sicht (die wird bei den meisten Standards leider ausgeblendet) ... schade!
Pleitegeier /14.01.2010 22:16
Ich kann mir nicht vorstellen das kleine Betriebe IT-Risiken für sich beherrschbar machen könnten. Erst recht nicht die oben genannten Unternehmen mit 10 Beschäftigten... Das Thema ist doch vielerorts längst außer Kontrolle.
matt wKFnInYcno/04.03.2014 04:26
DXUdSv http://www.QS3PE5ZGdxC9IoVKTAPT2DBYpPkMKqfz.com
Themengebiete
In Verbindung stehende Artikel
Phishing: Wenn IT-Risiken schlagend werden
Risiko-"Landkarte" der Internet-Domains
Mittelständische Unternehmen im Visier von Hackern
Themenverwandte Artikel
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.