You are on page 1of 3

IT-Risiko- und Sicherheitsmanagement

WI Kap. 15.2 / S. 1002-1040

IT-Sicherheitsmanagement

ISO/IEC 27001 = internat. formaler Standard zur Zertifizierung des ITSicherheitsmanagementsystems (lst British Standard Nr. 7799 ab)

Vorstand persnlich haftbar, wenn er Entwicklungen, die zuknftig ein Risiko


darstellen knnen nicht durch ein Risikomanagement berwacht und durch
geeignete Manahmen vorbeugt (91 Abs. 2 und 93 Abs. 2 AktG | HGB |
KonTraG)

Banken sind nach Basel II und III verpflichtet, bei Kreditvergabe IT-Risiken
des Kreditnehmers zu bercksichtigen

Nach Bundesdatenschutzgesetz (BDSG) sind bei der Bearbeitung


personenbezogener Daten gem der Anlage zu 9 Satz 1 geeignete
Manahmen zur:
Zutrittskontrolle
Zugangskontrolle
Zugriffskontrolle
Weitergabekontrolle
Eingabekontrolle
Auftragskontrolle
Verfgbarkeitskontrolle
zweckgebundenen Datenverarbeitung
zu treffen.

Anforderung seitens EU-Datenschutzgrundverordnung (Entwurf):


Enisa, Privacy and Data Protection by Design:
Festlegung von Strategien und Ergreifung geeigneter Manahmen:
Datenschutz durch Technik (data protection by design) = Grundsatz, dass der
Datenschutz whrend des gesamten Lebenszyklus der Technologie eingebaut
sein muss = von Entwicklung bis Auerbetriebnahme;
datenschutzfreundliche Voreinstellungen (data protection by default)

Ablauf Sicherheitsmanagement:
1. Risikorelevante Informationen sammeln
2. Analyse
3. Bewertung
4. Entscheidung ber Umgang mit jew. Risiko
5. Umsetzung Manahmen und Kontrolle
6. Dokumentation (dient als Grundlage zur kontinuierlichen Kontrolle und
berprfung der Risiken sowie zur Optimierung der
Schutzmanahmen)

Entscheidungsmglichkeiten zur Behandlung von IT-Risiken:


Akzeptieren/Accept
bertragen/Transfer o. Outsourcing
Entschrfen/Mitigate
Vermeiden/Avoid

Seite 1 / 3

IT-Risiko- und Sicherheitsmanagement


WI Kap. 15.2 / S. 1002-1040

Best-Practices-Anstze: IT-Grundschutzkataloge
= Verfgbar auf Webseite des Bundesamts fr Sicherheit in der
Informationstechnik (BSI) [angepasst an die eigenen Bedrfnisse werden
damit ca. 80% der erford. Manahmen abgedeckt]

Allgemeine Kontrollen im Rahmen des IT-Sicherheitsmanagements:


Softwarekontrollen (Zugriffs- & Berechtigungsberwachung)
Hardwarekontrollen (physische und technische berwachung/ BCM)
Computerbetriebskontrollen (berwachung ob programmierte
Anwendungen konsistent und korrekt / korrekte Speicherung und
Vearbeitung von Daten)
Datensicherheitskontrollen (berwachung v. Festplatten u. a.
Datentrgern)
Implementierungskontrollen (berwachung
Systementwicklungsprozess/ Qualittssicherung)
Administrative Kontrollen (formalisierte Standards, Regeln,
Vorgehensweisen und Richtlinien/ Gewhrleistung der Ausfhrung von
Kontrollen)

Sicherheit in Netzwerken
Um von IT-vernetzten Geschftsprozessen, Supply Chain Management oder
E-Commerce profitieren zu knnen:
ffnung der Informationssysteme unabdingbar (Bsp. mobile
Mitarbeiter (mobile Finanzberatung), etc.)
Lsung: VPN
Verschlsselung der E-Mails (Anzeigen und Senden)

*Zugriffkontrolltechniken etablieren!
*Firewall (ggf. Einsatz v. dedizierten Firewall-ManagementSystemen)
*Netzwerkadressbersetzung (NAT) verdeckt IP-Adressen der
internen Host-Computer

Intrusion-Detection-System
System zur berwachung von Anwendungssystemen und Netzwerken, um
Angriffe an besonders anflligen Punkten zu erkennen und zu verhindern

Data Leakage Prevention (DLP)


Begriff der ein Bndel von Manahmen und Produkten beschreibt, die den
Abfluss von internen Daten erkennen und verhindern soll.

Sensibilisierung der Mitarbeiter (IT Security Awareness)


nur bei ausreichender und nachhaltiger Sensibilisierung/Schulung der
Mitarbeiter knnen technische und organisatorische Manahmen effektiv und
kosteneffizient umgesetzt werden. (Manahmen: siehe BSI ITGrundschutzkatalog)
###

Clustering
Verknpfung von zwei oder mehreren Computern wenn einer ausfllt,
bernimmt ein anderer die weitere Verarbeitung

Seite 2 / 3

IT-Risiko- und Sicherheitsmanagement


WI Kap. 15.2 / S. 1002-1040

Disaster Recovery Planning (DRP)


Erstellung von Plnen fr die Wiederherstellung von IT-Systemen und
Rechenzentren, wenn der Betrieb durch ein schwerwiegendes Ereignis
unterbrochen wurde.
Konzentration primr auf technische Aspekte, um die Verfgbarkeit der ITSysteme in o.g. Fllen zu gewhrleisten. (Insbesondere Konzepte zur
Datensicherung und Wiederherstellung)

Seite 3 / 3