Schweitzer Fachinformationen
Wenn es um professionelles Wissen geht, ist Schweitzer Fachinformationen wegweisend. Kunden aus Recht und Beratung sowie Unternehmen, öffentliche Verwaltungen und Bibliotheken erhalten komplette Lösungen zum Beschaffen, Verwalten und Nutzen von digitalen und gedruckten Medien.
Umfassendes Praxiswissen für IT-Security-Manager
Daten werden heutzutage in Public Clouds verlagert und dort verarbeitet, auf Mobiltelefonen gespeichert, über Chat-Apps geteilt oder im Rahmen von Industrie 4.0 in einer Größenordnung erfasst, die bislang kaum denkbar war. IT-Security-Manager müssen die entsprechenden Maßnahmen nicht nur an diese Veränderungen anpassen, sondern auch an die EU-Datenschutz-Grundverordnung, das IT-Sicherheitsgesetz, die Anforderungen von Kunden oder das China Cybersecurity Law.
Dieser Praxisleitfaden wird Ihnen als IT-Security-Manager helfen, sich in der riesigen Menge an Einzelthemen und Aufgaben zurechtzufinden.
Typische Fragestellungen und Antworten für den Berufsalltag
Jedes Kapitel beschreibt ausführlich jeweils einen Bereich der IT-Security. Die notwendigen theoretischen Grundlagen wechseln sich dabei ab mit Tipps aus der Praxis für die Praxis, mit für den Berufsalltag typischen Fragestellungen, vielen konkreten Beispielen und hilfreichen Checklisten. Alle Teilgebiete werden abschließend in einem Kapitel zusammengeführt, das die Einführung und Weiterentwicklung eines IT-Sicherheitsmanagements auf Basis der ISO-27000-Normen-Familie unter Beachtung der datenschutzrechtlichen Bestimmungen der EU-DSGVO behandelt.
Praxisleitfaden und Nachschlagewerk
So erhalten Sie sowohl einen kompetenten Praxisleitfaden - auch für den Berufseinstieg - als auch ein umfassendes Nachschlagewerk für Ihre tägliche Arbeit.
Aus dem Inhalt:
»Dieser Praxisleitfaden wird Ihnen dabei helfen, sich in der riesigen Menge an Einzelthemen und Aufgaben, mit denen sich IT-Security-Manager auseinandersetzen müssen, zurechtzufinden und den richtigen Weg zu wählen, um mit all diesen Anforderungen umzugehen.« (IT-Management, 07/2025)
Im ersten Kapitel werden die einzelnen Themengebiete des IT-Security-Managements in einen Gesamtzusammenhang eingebettet. Es wird erläutert, warum man Informationen schützen muss und wie diese Aufgabe durch die IT-Security-Organisation wahrgenommen wird.
Die Top-5-Fragen zum aktuellen Kapitel:
Sind die Aufgabengebiete definiert, die dem IT-Security-Management zugeordnet werden?
Sind die organisatorischen Einheiten, die sich um die Betreuung von sicherheitsrelevanten Systemen kümmern, darüber informiert und dahin gehend instruiert, dass sie sich im Einflussbereich des IT-Security-Managements befinden?
Wurden Schutzziele zusammen mit der Unternehmensleitung definiert?
Werden die Grundregeln (Prinzipien) im Umgang mit Informationen kommuniziert und in der Praxis umgesetzt?
Werden die Grundpfeiler der IT-Security, das IT-Risikomanagement, die IT-Compliance und die IT-Governance, auch in Verbindung mit dem IT-Security-Management gebracht und damit auch als Aufgabe des Managers IT-Security gesehen?
Ransomware, die Sicherheit der Lieferkette, neue europäische Cyber-Gesetze wie NIS2, Heimarbeitsplätze, Cloud-Services und viele andere Themen beherrschen die Schlagzeilen in den Medien genauso wie die Diskussionen in den Fachkreisen. Angesichts der Wucht dieser Themen und den häufig noch fehlenden, umfassenden Sicherheitsarchitekturen, die man benötigt, um diese zu beherrschen, geht immer häufiger das Gefühl dafür verloren, wie die verschiedenen Sicherheitsfelder miteinander verwoben sind. Klassische Aufgaben der Prävention, wie der Schutz vor Schadsoftware oder das Patchen, müssen mit der aktiven Erkennung von Angriffen zusammenspielen, um effizient zu sein. Altes Wissen, das aus den Frühzeiten der Personal Computer stammt, trifft auf völlig neue Angriffsmuster. In dieser Gemengelage ist es die Aufgabe des Managers IT-Security, den Überblick zu bewahren und auf die wesentlichen Bedrohungen mit den erforderlichen Maßnahmen in angemessener Weise zu reagieren. Im Sprachgebrauch dieses Buches unterscheidet er sich damit von einem IT-Security-Experten, der Fachmann für ein dediziertes Feld der IT-Security ist und sich überwiegend auch nur innerhalb dieses Arbeitsgebiets bewegt.
Der Manager IT-Security sieht sich in der Situation, das Know-how des Unternehmens zu schützen, indem er Bedrohungen erkennt, abschätzt und diesen dann geeignete Sicherheitskonzepte und Maßnahmen entgegensetzt. Zu diesem Zweck bedient er sich Werkzeugen, die in diesem Buch dargestellt werden. Diese Werkzeuge haben sich über die Jahre bewährt und in der Zwischenzeit auch international durchgesetzt. Aus diesem Grund ist es nicht überraschend, dass sich eine vergleichsweise junge EU-Datenschutz-Grundverordnung und eine Mehrheit aktueller Gesetze der Prozesse der deutlich »älteren« ISO 27001-Norm bedient.
Der Schutz von Informationen?, also dem Know-how des Unternehmens, ist die Aufgabe des IT-Security-Managements. Nur was sind Informationen und worin unterscheiden sie sich von Daten? Daten? sind eine technische Darstellung von Informationen. Anders ausgedrückt: Informationen sind Daten, die einen Sinn ergeben. Auf niedrigster Ebene bestehen sie aus den physikalischen Zuständen »hohe Spannung« oder »niedrige Spannung« oder übersetzt null oder eins. Somit sind Daten zunächst einmal Bits und Bytes, deren Interpretation wiederum Informationen ergeben. Sicherheitsmaßnahmen wiederum kann man nicht direkt auf Informationen beziehen. Setzt man Verschlüsselung ein, dann werden die Daten verschlüsselt. Installiert man einen Virenscanner, dann schützt man das Betriebssystem und indirekt wieder die Daten. Ganz anders, wenn man dies aus der Perspektive des Risikomanagements betrachtet, dann stehen die Informationen im Mittelpunkt und deren Wert für das Unternehmen. Wenn wir also von Informationsschutz sprechen, geht es im Grunde darum, alle Systeme inklusive der Daten technisch zu schützen, um die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen zu bewahren.
Jede Form von Informationen, wie immer sie auch ausgestaltet sein mögen und deren Verlust einen Schaden für das Unternehmen bedeuten würde, gehört zu den Unternehmenswerten, die im Fokus des Managers IT-Security liegen.
Wichtig
Auch wenn sich das IT-Security-Management auf Daten und Daten verarbeitende Systeme konzentriert, stehen noch eine ganze Reihe weiterer Unternehmenswerte im Fokus der IT-Security. Dazu zählen auch abstrakte Werte wie der Ruf des Unternehmens oder das Wissen in den Köpfen der Mitarbeiter.
Informationen können in vielfältiger Form vorliegen. Die Erfahrungen von Mitarbeitern gehören genauso zu den schützenswerten Informationen wie Informationen, die auf Datenträgern vorliegen und durch IT-Systeme verarbeitet werden. Im Gegensatz zu Ersteren können Informationen, die auf Datenträgern wie Festplatten oder auf Papier vorliegen, generell geschützt werden. Deshalb konzentrieren sich viele Maßnahmen der IT-Security auf diese Art der Informationen.
Informationen haben einen Lebenszyklus und einen je nach Alter unterschiedlichen Schutzbedarf?. So sind Informationen über eine technische Neuentwicklung zunächst einmal sehr sensibel, da der Schaden bei Verlust in diesem Stadium am höchsten wäre. Wird die Neuentwicklung zur Serienreife gebracht, so ist der Schutzbedarf vielleicht immer noch hoch, aber regelmäßig nicht mehr so hoch wie zu Beginn. Dieser sinkt weiter, wenn die Produktion und die Auslieferung beginnen.
Der Wert einer Information hängt von seiner generellen Bedeutung für das Unternehmen, seiner Qualität, seinem Alter und letztendlich von den Kosten ab, die bei ihrem Verlust oder der Nichtverfügbarkeit entstehen würden.
Informationen sind unterschiedlich wichtig, eine Tatsache, die sich in der Bewertung auf Basis der Klassifizierungsrichtlinie widerspiegelt. Diese dient dazu, Unternehmenswerte? nach Schutzbedarf einzustufen. Im Rahmen der Verfügbarmachung von Informationen spielt es zudem eine Rolle, inwieweit unwichtige Informationen herausgefiltert werden können. Dazu zählen Informationen, die für den Betrieb des Unternehmens keinerlei Rolle spielen und deren Vermischung mit relevanten Informationen Zeit und Ressourcen kosten. Zu diesen unwichtigen Informationen kann man z.B. Spam-E-Mails zählen.
Die Klassifizierung? von Informationen ist ein wichtiges Instrument für den Manager IT-Security, weil sie aufzeigt, worauf er sich konzentrieren muss und worauf nicht. Außerdem bildet sie die Grundlage für das IT-Risikomanagement. Der Prozess der Einstufung von Unternehmenswerten wird unter aktiver Mithilfe des Erstellers der Information durchgeführt und hat weitreichende Auswirkung auf die Speicherung, die Verarbeitung, den Zugang und das Backup der Information.
?In Unternehmen, in denen ein organisatorischer Bereich IT-Dienstleistungen erbringt, ohne direkt Teil der Wertschöpfungskette zu sein, wird es schwerer fallen, IT-Security zu leben, als in einem Unternehmen, dessen Selbstzweck aus IT-Dienstleistungen besteht. Unternehmen, deren IT-Leitung in der Unternehmensspitze repräsentiert wird, haben wiederum einen organisatorischen Vorteil gegenüber Unternehmen, in denen dies nicht der Fall ist. Diese Zusammenhänge lassen sich immer wieder finden und durchziehen alle Unternehmen. Damit im Zusammenhang steht die Tatsache, dass IT-Security immer noch stark als IT-Thema gesehen wird und häufig nicht die Unternehmensleitung, das Controlling oder der Vorstand als Treiber und Förderer in Erscheinung treten. Diese Sichtweise ist einem laufenden Wandel unterzogen und es ist zu erkennen, dass sich dies in vielen Ländern bereits ändert. So hat das in Deutschland seit Juli 2015 gültige Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, das IT-Sicherheitsgesetz? (IT-SiG), dazu geführt, dass Unternehmen, die kritische Infrastrukturen betreiben, mit hohem Aufwand Sicherheitsmanagementsysteme implementiert haben. Mit der »Network and Information Security Directive« (NIS2) wird der Geltungsbereich auf noch deutlich mehr Unternehmen ausgeweitet, was einen neuen Schub mit sich bringen wird. Europäische Verordnungen wie der Cyber Resilience Act (CRA) wiederum verschieben den Fokus von der Infrastruktur auf Produkte selbst, die einen Sicherheitsstandard einhalten müssen, und machen damit neue Felder auf, die in ein umfassendes Sicherheitskonzept mit eingebunden werden müssen.
Länder wie die USA sind den Europäern um einige Jahre voraus. So haben die Skandale um die Firmen Enron und WorldCom hohe Wellen geschlagen, die bereits 2002 im Sarbanes-Oxley Act? mündeten. Dieses Gesetz soll die Verlässlichkeit von Finanzdaten amerikanischer Firmen sicherstellen, und dafür greift es tief in die Nachvollziehbarkeit administrativer Handlungen im Umgang mit Daten ein. Eine ganze Reihe an Prozessen und Vorgehensmodellen müssen umgesetzt werden, um dies zu erreichen, und die meisten davon zielen in die gleiche Richtung wie ein umfassendes IT-Security-Management. Ein Blick auf die verschiedenen repräsentativen Umfragen zeigt weiterhin ein sehr inhomogenes Bild. Auch wenn die gesetzlichen und normativen Vorgaben dieselben sind, bedeutet das nicht, dass der Stand des IT-Sicherheitsmanagements auch überall...
Dateiformat: ePUBKopierschutz: Wasserzeichen-DRM (Digital Rights Management)
Systemvoraussetzungen:
Das Dateiformat ePUB ist sehr gut für Romane und Sachbücher geeignet - also für „fließenden” Text ohne komplexes Layout. Bei E-Readern oder Smartphones passt sich der Zeilen- und Seitenumbruch automatisch den kleinen Displays an. Mit Wasserzeichen-DRM wird hier ein „weicher” Kopierschutz verwendet. Daher ist technisch zwar alles möglich – sogar eine unzulässige Weitergabe. Aber an sichtbaren und unsichtbaren Stellen wird der Käufer des E-Books als Wasserzeichen hinterlegt, sodass im Falle eines Missbrauchs die Spur zurückverfolgt werden kann.
Weitere Informationen finden Sie in unserer E-Book Hilfe.
