Informationssicherheit und Datenschutz systematisch und nachhaltig gestalten: Eine kompakte Einführung in die Praxis
Von Inge Hanschke
()
Über dieses E-Book
In diesem Buch werden die Anforderungen der EU-Datenschutz-Grundverordnung (EU-DSGVO) und des Informationssicherheitsmanagements eingeführt. Es wird aufgezeigt, welche wesentlichen Bestandteile für ein integriertes, einfaches und effektives Management-Instrumentarium erforderlich sind. Durch die Kombination mit Enterprise Architecture Management, IT-Servicemanagement und weiteren Disziplinen in ein integriertes Managementsystem kann die Wirksamkeit noch erhöht werden. Neben einer Einführung erhält der Leser Tipps und Tricks für die typischen Fallstricke in der Praxis sowie unmittelbar anwendbare Leitfäden und Empfehlungen – und dies kurz und prägnant. In der 2. Auflage wurden kleinere Fehler korrigiert.
Ähnlich wie Informationssicherheit und Datenschutz systematisch und nachhaltig gestalten
Ähnliche E-Books
Informationssicherheit und Datenschutz systematisch und nachhaltig gestalten: Eine kompakte Einführung in die Praxis Bewertung: 0 von 5 Sternen0 Bewertungensichere Informationstechnologie: auf der Suche nach robusten Organisationsformen: Cyber-Security, Datenschutz, Managementsysteme Bewertung: 0 von 5 Sternen0 BewertungenGrundlagen und Anwendung von Information Security Awareness: Mitarbeiter zielgerichtet für Informationssicherheit sensibilisieren Bewertung: 0 von 5 Sternen0 BewertungenManipulationssichere Cloud-Infrastrukturen: Nachhaltige Digitalisierung durch Sealed Cloud Security Bewertung: 0 von 5 Sternen0 BewertungenIT Sicherheitsmanagement: Ihr Praxis - Leitfaden! Bewertung: 0 von 5 Sternen0 BewertungenNeun Schritte zum Erfolg: Ein Überblick zur Implementierung der Norm ISO 27001:2013 Bewertung: 0 von 5 Sternen0 BewertungenDatenschutz nach DS-GVO und Informationssicherheit gewährleisten: Eine kompakte Praxishilfe zur Maßnahmenauswahl: Prozess ZAWAS 4.0 Bewertung: 0 von 5 Sternen0 BewertungenIT-Risikomanagement von Cloud-Services in Kritischen Infrastrukturen: HMD Best Paper Award 2017 Bewertung: 0 von 5 Sternen0 BewertungenGeschäftsrisiko Cyber-Security: Leitfaden zur Etablierung eines resilienten Sicherheits-Ökosystems Bewertung: 0 von 5 Sternen0 BewertungenKosten der IT-Sicherheit: Ein Ausgangspunkt für weitergehende Untersuchungen Bewertung: 0 von 5 Sternen0 BewertungenPraxisorientiertes IT-Risikomanagement: Konzeption, Implementierung und Überprüfung Bewertung: 0 von 5 Sternen0 BewertungenBasiswissen Sichere Software: Aus- und Weiterbildung zum ISSECO Certified Professionell for Secure Software Engineering Bewertung: 0 von 5 Sternen0 BewertungenHacking mit Metasploit: Das umfassende Handbuch zu Penetration Testing und Metasploit Bewertung: 0 von 5 Sternen0 BewertungenInformation Security: Smarte Lösungen zu neuartigen Bedrohungen und erweiterter Regulatorik Bewertung: 0 von 5 Sternen0 BewertungenSchutz Kritischer Infrastrukturen im Verkehr: Security Engineering als ganzheitlicher Ansatz Bewertung: 0 von 5 Sternen0 BewertungenDie Effizienz von Security Monitoring und Log Management: IT-Systeme und -Dienste unter Beschuss Bewertung: 0 von 5 Sternen0 BewertungenKochbuch ISMS: Informationssicherheits-Management nach ISO 27001 Bewertung: 0 von 5 Sternen0 BewertungenSicherheit von Webanwendungen in der Praxis: Wie sich Unternehmen schützen können – Hintergründe, Maßnahmen, Prüfverfahren und Prozesse Bewertung: 0 von 5 Sternen0 BewertungenDigitalisierung in KMU kompakt: Compliance und IT-Security Bewertung: 0 von 5 Sternen0 BewertungenSicherheit in vernetzten Systemen: 28. DFN-Konferenz Bewertung: 0 von 5 Sternen0 BewertungenDatenbasiert entscheiden: Ein Leitfaden für Unternehmer und Entscheider Bewertung: 0 von 5 Sternen0 BewertungenCloud Computing als neue Herausforderung für Management und IT Bewertung: 0 von 5 Sternen0 BewertungenLockout-Tagout: Verriegelung von Stellgliedern zur umfassenden Wartungssicherung von Maschinen Bewertung: 0 von 5 Sternen0 BewertungenUsable Security und Privacy by Design Bewertung: 0 von 5 Sternen0 BewertungenKMU im digitalen Wandel: Ergebnisse empirischer Studien zu Arbeit, Führung und Organisation Bewertung: 0 von 5 Sternen0 BewertungenPatientenorientierte Digitalisierung im Krankenhaus: IT-Architekturmanagement am Behandlungspfad Bewertung: 0 von 5 Sternen0 BewertungenLeitfaden Automotive Cybersecurity Engineering: Absicherung vernetzter Fahrzeuge auf dem Weg zum autonomen Fahren Bewertung: 0 von 5 Sternen0 BewertungenSharePoint Kompendium - Bd. 20 Bewertung: 0 von 5 Sternen0 BewertungenProcess-Mining: Geschäftsprozesse: smart, schnell und einfach Bewertung: 0 von 5 Sternen0 BewertungenInterne Kontrollsysteme im Finanzbereich: Wirksame und effiziente Steuerung, Kontrolle und Überwachung Bewertung: 0 von 5 Sternen0 Bewertungen
Internet & Web für Sie
So findest du den Einstieg in WordPress: Die technischen Grundlagen zu Installation, Konfiguration, Optimierung, Sicherheit, SEO Bewertung: 0 von 5 Sternen0 BewertungenHTML5 & CSS3 (Prags) Bewertung: 0 von 5 Sternen0 BewertungenShopware 6 Handbuch Bewertung: 0 von 5 Sternen0 BewertungenProgrammieren lernen mit Python 3: Schnelleinstieg für Beginner Bewertung: 0 von 5 Sternen0 BewertungenWir machen dieses Social Media Bewertung: 0 von 5 Sternen0 Bewertungen30 Minuten Metaverse Bewertung: 0 von 5 Sternen0 BewertungenEinfach Verschlüsseln Bewertung: 0 von 5 Sternen0 BewertungenBlockchain - Und Wie Sie Funktioniert: Der Endgültige Leitfaden Für Einsteiger Über Blockchain Wallet, Mining, Bitcoin, Ethereum, Litecoin Bewertung: 0 von 5 Sternen0 BewertungenDas kleine Hypnose Einmaleins - Alles was Sie schon immer über die Hypnose wissen wollten von Ewald Pipper vom Hypnoseinstitut Bewertung: 0 von 5 Sternen0 BewertungenMQTT im IoT: Einstieg in die M2M-Kommunikation Bewertung: 0 von 5 Sternen0 BewertungenDas Facebook-Marketing-Buch Bewertung: 4 von 5 Sternen4/5Einführung ins Darknet: Darknet ABC Bewertung: 0 von 5 Sternen0 BewertungenDas Google Analytics-Buch Bewertung: 0 von 5 Sternen0 BewertungenDer Content Faktor: Schreiben Sie Texte, die gefunden und gelesen werden Bewertung: 0 von 5 Sternen0 BewertungenSEO & WordPress Schnelleinstieg: Plugins, Keywords-entscheidend für die SEO Optimierung Bewertung: 0 von 5 Sternen0 BewertungenDas Buch zu Google Ads: Strategien für kleine und mittlere Unternehmen Bewertung: 0 von 5 Sternen0 BewertungenJavaScript kinderleicht!: Einfach programmieren lernen mit der Sprache des Web Bewertung: 0 von 5 Sternen0 BewertungenPR im Social Web: Das Handbuch für Kommunikationsprofis Bewertung: 0 von 5 Sternen0 BewertungenWas kommt. Was geht. Was bleibt.: Kluge Texte über die wichtigsten Fragen unserer Zeit Bewertung: 0 von 5 Sternen0 BewertungenChatGPT Plus: Durchstarten in eine neue Welt: Entdecken Sie Künstliche Intelligenz mit ChatGPT Plus und GPT-4 Bewertung: 0 von 5 Sternen0 BewertungenPHP für WordPress: Themes und Templates selbst entwickeln Bewertung: 0 von 5 Sternen0 BewertungenopenHAB: Automatisiertes Heim - Teil 1 Bewertung: 4 von 5 Sternen4/5Android Security: Von Fake-Apps, Trojanern und Spy Phones Bewertung: 0 von 5 Sternen0 BewertungenSeo Guru: Suchmaschinenoptimierung für Anfänger, Fortgeschrittene und Profis Bewertung: 0 von 5 Sternen0 BewertungenDas Prezi-Buch für spannende Präsentationen Bewertung: 0 von 5 Sternen0 BewertungenUX-Missverständnisse: Was sich User wirklich wünschen Bewertung: 0 von 5 Sternen0 BewertungenPraxisbuch WordPress Themes Bewertung: 0 von 5 Sternen0 Bewertungen55 Artikelideen für Ihr Blog (Tipps für attraktive Blogposts und erfolgreiches Bloggen) Bewertung: 0 von 5 Sternen0 BewertungenSchnelleinstieg WordPress SEO: Einstellungen, Keywords, Plug-ins und Strategien für optimales SEO Bewertung: 0 von 5 Sternen0 Bewertungen
Rezensionen für Informationssicherheit und Datenschutz systematisch und nachhaltig gestalten
0 Bewertungen0 Rezensionen
Buchvorschau
Informationssicherheit und Datenschutz systematisch und nachhaltig gestalten - Inge Hanschke
© Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2020
I. HanschkeInformationssicherheit und Datenschutz systematisch und nachhaltig gestaltenessentialshttps://doi.org/10.1007/978-3-658-28699-6_1
1. Einleitung
Inge Hanschke¹
(1)
München, Deutschland
Inge Hanschke
Email: inge.hanschke@lean42.com
Wer die Freiheit aufgibt, um Sicherheit zu gewinnen, wird am Ende beides verlieren.
Benjamin Franklin
1.1 Introduction
Das Leben im 21. Jahrhundert ist von der Durchdringung von Informations- und Kommunikationstechnik in allen Lebensbereichen geprägt. Kaum ein Geschäftsprozess kommt mehr ohne IT-Unterstützung aus. Mit zunehmender Digitalisierung nimmt die horizontale und vertikale Vernetzung immer weiter zu. Die hohe Durchdringung erhöht gleichzeitig die Abhängigkeit und die Anfälligkeit für die kontinuierlich zunehmenden Sicherheitsbedrohungen, zum Beispiel im Kontext von Cyber-Security.
Nicht verfügbare Systeme, Datenpannen, manipulierte, missbräuchlich verwendete, mutwillig zerstörte oder kompromittierte Daten können für Unternehmen zu ernsthaften rechtlichen oder wirtschaftlichen Konsequenzen führen. Beispiele sind Massen-E-Mails mit Viren oder eine Datenpanne, bei der im Unternehmen gespeicherte Daten an die Öffentlichkeit gelangen. Ein weiteres Beispiel ist die Unterbrechung in einer Lieferkette in einer Just-in-time (JIT) Fertigung, aufgrund eines Systemabsturzes, der zu einem Produktionsstillstand führt, da wesentliche Rohstoffe oder Teile nicht angefordert werden und damit fehlen.
Informationssicherheit und Datenschutz sind daher unerlässlich, um sowohl personenbezogene Daten als auch Geschäfts- und Unternehmensgeheimnisse zu schützen und einen zuverlässigen Geschäftsbetrieb zu gewährleisten.
Die Informationssicherheit zielt auf den angemessenen Schutz von Informationen und IT-Systemen insbesondere in Bezug auf alle festgelegten Schutzziele, wie Vertraulichkeit, Integrität und Verfügbarkeit, ab. So soll insbesondere ein unbefugter Zugriff oder Manipulation von Daten verhindert und soweit möglich vorgebeugt werden, um daraus resultierende wirtschaftliche Schäden zu verhindern. Bei den Daten ist es unerheblich, ob diese einen Personenbezug haben oder nicht. Informationen können sowohl auf Papier oder in IT-Systemen vorliegen.
IT-Sicherheit adressiert als Teilbereich der Informationssicherheit den Schutz elektronisch gespeicherter Informationen und deren Verarbeitung inklusive Funktionssicherheit, also das fehlerfreie Funktionieren und die Zuverlässigkeit der IT-Systeme. Hier müssen auch Systeme einbezogen werden, die häufig nicht unmittelbar als IT-Systeme wahrgenommen werden, wie Steuerungs- (ICS) oder IoT-Systeme. Die IT-Sicherheit ist also Bestandteil der Informationssicherheit. Das Aktionsfeld der klassischen IT-Sicherheit wird bei der Cyber-Sicherheit auf den gesamten Cyber-Raum ausgeweitet.
Unter Datenschutz wird primär der Schutz personenbezogener Daten vor missbräuchlicher Verwendung und Datenverarbeitung verstanden, um das Recht des Einzelnen auf informationelle Selbstbestimmung zu stärken.
Externe Vorgaben erzwingen durch Gesetze, Regulatoren und Normen angemessene Sicherheitsmaßnahmen. Vorstände und Geschäftsführer haften persönlich für Versäumnisse und mangelnde Risikovorsorge. Durch die geänderte Gesetzeslage fallen zudem hohe Bußgelder bei Datenpannen im Kontext der EU-DSGVO an.
Es stellt sich also nicht die Frage, ob man Informationssicherheit und Datenschutz in seinem Unternehmen adressiert, sondern nur wann und in welchem Umfang. Für letzteres stellt sich die Frage: Wann ist man hinreichend sicher? Hierauf gibt es eine einfache Antwort: Systeme sind hinreichend sicher, wenn der Aufwand eines Angreifers dessen Nutzen erheblich übersteigt. Widerstandsfähige Systeme überstehen absichtliche Angriffe ohne inakzeptablen Schaden für das Unternehmen.
Schutz ist kein Selbstzweck, sondern es ist so viel Schutz notwendig, um einen kontinuierlichen Geschäftsbetrieb, Reputationserhalt, Kundenbindung und allgemein die Unternehmensziele zu erreichen. So dürfen z. B. Hackerangriffe nicht zum Ausfall von Kernsystemen führen. Hinreichend ist hierbei das Schlüsselwort. Denn eine übertriebene Absicherung ist unsinnig teuer oder geschäftsverhindernd. Ein Beispiel sind hier nicht vernetzte Systeme. Diese sind natürlich einfacher abzusichern. Jedoch erfordern die meisten Geschäftsabläufe vernetzte Systeme und ein Kappen der Vernetzung verhindert oder erschwert den Geschäftsbetrieb so stark, dass wahrscheinlich auf Dauer nicht wirtschaftlich gearbeitet werden kann. Der konkrete Schutzbedarf hängt hierbei stark von der unternehmensindividuell eingeschätzten Kritikalität der jeweiligen Unternehmenswerte, wie z. B. Informationen oder Systeme ab.
Jedoch ist eine hundertprozentige Sicherheit auch mit noch so hohem Aufwand nicht zu erreichen. Ein hinreichender Informationsschutz ist hierbei ebenso wie eine Standard-Absicherung (siehe Abschn. 2.3) der IT schon aber mit verhältnismäßig geringen Mitteln zu erreichen. In Abb. 1.1 finden Sie in einer Prinzip-Darstellung die Abwägung zwischen Kosten und Sicherheitsbedürfnis sowie eine grobe Zuordnung zu Fehlerklassen nach dem CRISAM®-Modell (siehe [14]) dargestellt. Ohne Sicherheitsmaßnahmen handelt eine Unternehmensführung grob fahrlässig. Durch eine Basis- und Standard-Absicherung z. B. nach IT-Grundschutz (siehe Abschn. 2.3) kann ein Sicherheits-Niveau erreicht werden, in dem alle Unternehmenswerte mit normalem Schutzbedarf geschützt werden. Wenn zudem die Unternehmenswerte mit einem erhöhten Schutzbedarf abgesichert sind, dann ist in der Regel das optimale Sicherheitsniveau erreicht. Die Abwägung zwischen Sicherheitsstatus und Maßnahmenkosten muss aber jedes Unternehmen für sich treffen.
../images/473960_2_De_1_Chapter/473960_2_De_1_Fig1_HTML.pngAbb. 1.1
Optimales Sicherheitsniveau (siehe [6])
Hilfestellungen für erforderliche Richtlinien, Verfahrens- und Arbeitsanweisungen geben Normen, wie z. B. ISO/IEC 27001, IT-Grundschutz oder PCI. Sie definieren Anforderungen und geben Maßnahmenvorschläge, die umgesetzt werden müssen, sollten oder können. Rund 80 % der bekannten Angriffe lassen sich mit den Standard-Schutzmaßnahmen des IT-Grundschutz abwehren. Über technische und organisatorische Maßnahmen (TOMs) müssen sowohl die Sicherheit der für das Unternehmen schützenswerten Assets als auch insbesondere die personenbezogenen Daten abgedeckt werden. Die richtige Auswahl der Sicherheitsmaßnahmen für die hinreichende Absicherung und deren handhabbare Operationalisierung ist dabei erfolgsentscheidend.
Die Sicherheitsmaßnahmen zur Erreichung und Aufrechterhaltung einer störungsfreien Informationsverarbeitung müssen einerseits wirksam (effektiv) sein, um ein erforderliches Schutzniveau zu erreichen. Das Schutzniveau wird maßgeblich von der Kritikalität der zu schützenden Assets, wie z. B. Kundendaten, sowie von geltenden Gesetzen und Regularien bestimmt, die eingehalten werden müssen.
Andererseits müssen die Schutzmaßnahmen auch wirtschaftlich angemessen (effizient) sein und dürfen die Organisation nicht überfordern, d. h. die Möglichkeiten der Aufbau- und Ablauforganisation sowie weiterer Randbedingungen müssen berücksichtigt werden. Ein handhabbares und integriertes Instrumentarium ist notwendig, um sowohl die EU-Datenschutz-Grundverordnung (EU-DSGVO) als auch die Anforderungen der Informationssicherheit (u. a. BSI und ISO 27001) nachhaltig zu erfüllen.
Im Buch werden sowohl die Anforderungen der EU-Datenschutz-Grundverordnung als auch die des Informationssicherheitsmanagements eingeführt und aufgezeigt, welche wesentlichen Bestandteile für ein integriertes, einfaches und effektives Management-Instrumentarium erforderlich sind. Durch die Kombination mit Enterprise Architecture Management, IT-Servicemanagement und weiteren Disziplinen in ein integriertes Managementsystem, häufig integriertes Kontrollsystem (IKS) genannt, kann die Wirksamkeit noch erhöht werden. Nur so können der Datenschutz und die Informationssicherheit effektiv gemanagt werden.
Wichtig ist aber dabei die Handhabbarkeit. Das Managementsystem