Informationssicherheit in Unternehmen

Erstellung von Sicherheitskonzepten auf Basis des BSI-Standards 200-2

Bachelorarbeit, 2018
67 Seiten, Note: 1,3

BWL - Informationswissenschaften, Informationsmanagement

Leseprobe

Inhaltsverzeichnis

1 Einleitung

2 Grundlagen und aktuelle Situation

2.1 Informationen, Informationssicherheit und IT-Sicherheit

2.1.1 Grundwerte der Informationssicherheit

2.1.2 Abhängigkeit der Unternehmen von ISMS

2.2 Governance, Compliance und Risikomanagement

2.3 Bedrohung und Schwachstellen

2.3.1 Gefahren in Unternehmen

2.3.2 Angreifergruppen und deren Schadenspotential

2.4 Staat, Wirtschaft und Gesellschaft

3 Gegenüberstellung von IT-Standards

3.1 Nutzen von Standards und COSO

3.2 ITIL

3.3 COBIT

3.4 ISO/IEC 27000er-Reihe

3.5 IT-Grundschutz

3.5.1 IT-Grundschutz-Kompendium

3.5.2 BSI-Standards

4 Sicherheitskonzepte des BSI-Standards 200-2

4.1 Initiierung der Sicherheitskonzepte

4.2 Organisation der Sicherheitskonzepte

4.3 BSI 200-2: Basis Absicherung

4.3.1 Modellierung des Informationsverbundes

4.3.2 IT-Grundschutz-Check

4.3.3 Vorgehen nach der Umsetzung

4.4 BSI 200-2: Kern Absicherung

4.4.1 Festlegung kritischer Komponenten

4.4.2 Strukturanalyse

4.4.3 Schutzbedarfserstellung und weitere Schritte

4.4.4 Risikoanalyse und Umsetzung des Konzepts

4.5 BSI 200-2: Standard-Absicherung

4.6 Umsetzung des Sicherheitskonzepts

4.7 Referenzmodell zur Umsetzung eines Sicherheitskonzepts

5 Fazit

Zielsetzung & Themen

Die vorliegende Bachelor-Thesis untersucht die Herausforderungen der Informationssicherheit und erarbeitet lösungsorientierte Handlungsempfehlungen aus organisatorischer und technischer Sicht für Unternehmen. Das primäre Ziel ist es, einen methodischen Vorgang zur Erstellung von Sicherheitskonzepten auf Basis des BSI-Standards 200-2 als Referenzmodell zu entwickeln, um Unternehmen bei der Implementierung eines Informationssicherheitsmanagementsystems (ISMS) zu unterstützen.

Grundlagen der Informationssicherheit und aktuelle Bedrohungslage
Vergleich gängiger IT-Standards wie ITIL, COBIT und ISO/IEC 27000
Detaillierte Analyse des BSI-Standards 200-2 für Sicherheitskonzepte
Methodische Vorgehensweise bei der ISMS-Implementierung
Entwicklung eines Referenzmodells zur praktischen Umsetzung

Auszug aus dem Buch

2.3.2 Angreifergruppen und deren Schadenspotential

Der Wettlauf zwischen Angriffs- und Abwehrtechniken wird ständig fortgeführt. Es werden immer komplexere Technologien und Schadprogramme entwickelt, Angreifer investieren dazu sogar Beträge in Millionenhöhe, um Informationen zu gelangen. Die meisten Angriffe sind auf ein Ziel ausgerichtet und werden über einen längeren Zeitraum strategisch geplant und umgesetzt. Im Jahr 2016 wurde bekannt, dass das Internetunternehmen Yahoo seit 2013 von Cyberangriffen betroffen war, bei diesen Angriffen wurden Informationen von einer Milliarde Benutzerkonten entwendet. Dazu haben Angreifer unter anderem eine Sicherheitslücke von Cookies ausnutzt, um die eingesetzten Verschlüsselungstechniken zu umgehen. Ein Cookie ist eine kleine Textdatei, die im Browser Informationen von besuchten Webanwendungen und aktuellen Benutzern speichert. Die Cookies wurden gefälscht und so wurde ohne Kenntnis über aktuelle Zugangsdaten auf die Benutzerkonten zugegriffen. Je nach Angreifergruppe und dem Ziel eines Angriffs stehen verschiedene Mittel zur Verfügung und daraus resultieren verschiedene Schäden. Bei den ursprünglichen Hackern handelt es sich um technikbegeisterte Personen, deren Ziel es nicht ist, Schaden anzurichten, sondern ein System zu verstehen. In der heutigen Zeit wird der Begriff Hacker mit böswilligen Angriffen in Verbindung gebracht. Der ursprüngliche Hacker wird heute ethischer Hacker und als White Hat bezeichnet. Der eigentliche böswillige Hacker ist der sogenannte Cracker und wird auch Black Hat genannt. Abgesehen davon gibt es sogenannte Hacktivisten, politisch motivierte Angreifer, wie die Gruppierung Anonymous. Sie beabsichtigen, durch die Manipulation von Webseiten und die Veröffentlichung von Unternehmensdaten in erster Linie Insider Imageschäden zu verursachen. Viele erfolgreiche Angriffe sind meist auf Insider zurückzuführen, potentielle Schäden richten sich dabei nach der jeweiligen Motivation. Durch verärgerte Mitarbeiter entsteht in der Regel ein überschaubarer Schaden. Mitarbeiter, die sich einen Gewinn aus der Spionagetätigkeit erhoffen, werden als gefährlicher eingestuft. Die größte Gefahr geht von Innentätern aus, die von Externen zur Spionage eingeschleust oder abgeworben werden. Geheimdienste und strukturierte Verbrecherorganisationen haben nahezu unbeschränkten Zugriff auf Ressourcen und moderne Angriffsmethoden.

Zusammenfassung der Kapitel

1 Einleitung: Diese Einleitung beschreibt den gegenwärtigen Zustand der IT, die wachsende Abhängigkeit von vernetzten Systemen sowie die damit einhergehenden steigenden Sicherheitsrisiken.

2 Grundlagen und aktuelle Situation: Das Kapitel erläutert grundlegende Begriffe der Informationssicherheit, beleuchtet das Bedrohungsumfeld durch verschiedene Angreifergruppen und ordnet die Rolle von Staat und Wirtschaft ein.

3 Gegenüberstellung von IT-Standards: Hier werden bekannte Regelwerke und Standards wie COSO, ITIL, COBIT und die ISO/IEC 27000-Reihe vorgestellt sowie der IT-Grundschutz des BSI detailliert eingeführt.

4 Sicherheitskonzepte des BSI-Standards 200-2: Dieses Hauptkapitel beschreibt die methodische Vorgehensweise zur Implementierung eines Sicherheitskonzepts, unterteilt in Initiierung, Organisation sowie die verschiedenen Absicherungsstufen Basis-, Kern- und Standard-Absicherung.

5 Fazit: Das Fazit fasst die Bedeutung der menschlichen Komponente im Sicherheitsprozess zusammen und betont die Notwendigkeit, Standards kombiniert anzuwenden, um den spezifischen Sicherheitsanforderungen gerecht zu werden.

Schlüsselwörter

Informationssicherheit, IT-Sicherheit, ISMS, BSI-Standard 200-2, IT-Grundschutz, Risikomanagement, Sicherheitskonzept, Cyberkriminalität, ISO/IEC 27001, IT-Governance, Schwachstellenanalyse, Schutzbedarf, Referenzmodell, Bedrohungsanalyse, Compliance

Häufig gestellte Fragen

Worum geht es in dieser Arbeit grundsätzlich?

Die Arbeit behandelt die Erstellung von Sicherheitskonzepten für Unternehmen, um Informationssicherheit systematisch auf Basis der BSI-Standards 200-2 zu gewährleisten.

Was sind die zentralen Themenfelder der Thesis?

Die Schwerpunkte liegen auf der Analyse der aktuellen Bedrohungslage, dem Vergleich internationaler IT-Standards, der detaillierten methodischen Vorgehensweise nach BSI-Standard 200-2 und der Erstellung eines Referenzmodells.

Was ist das primäre Ziel oder die Forschungsfrage?

Das Ziel ist es, Herausforderungen der Informationssicherheit aufzuzeigen und ein Referenzmodell zu entwickeln, das Unternehmen bei der methodischen Implementierung eines ISMS unterstützt.

Welche wissenschaftliche Methode verwendet der Autor?

Die Arbeit stützt sich auf eine Literaturanalyse der gängigen Standards sowie auf die Modellierung des Sicherheitsprozesses mittels ereignisgesteuerter Prozessketten (EPK) in der Software ARIS Express.

Was wird im Hauptteil der Arbeit behandelt?

Der Hauptteil gliedert sich in die theoretische Fundierung der Sicherheitsstandards und die detaillierte Beschreibung der praktischen Anwendung des BSI-Standards 200-2, inklusive der verschiedenen Absicherungsstufen.

Welche Schlüsselwörter charakterisieren die Arbeit am besten?

Wichtige Schlagworte sind Informationssicherheit, ISMS, BSI-Standard 200-2, Risikomanagement, IT-Grundschutz und Sicherheitskonzept.

Wie unterscheidet sich die Basis-Absicherung von der Kern-Absicherung?

Die Basis-Absicherung dient als Einstieg für ISMS-Einsteiger mit geringerem Aufwand, während die Kern-Absicherung gezielt essenzielle Geschäftsprozesse schützt und ein höheres Sicherheitsniveau für kritische Komponenten ermöglicht.

Welche Rolle spielt der Mensch innerhalb des Sicherheitsprozesses?

Die Arbeit betont, dass der Mensch eine zentrale Rolle einnimmt; daher ist die Sensibilisierung und Aufklärung aller Mitarbeiter durch die Leitungsebene essenziell für den Erfolg der Sicherheitsmaßnahmen.

Ende der Leseprobe aus 67 Seiten - nach oben

Details

Titel: Informationssicherheit in Unternehmen
Untertitel: Erstellung von Sicherheitskonzepten auf Basis des BSI-Standards 200-2
Hochschule: FOM Essen, Hochschule für Oekonomie & Management gemeinnützige GmbH, Hochschulleitung Essen früher Fachhochschule
Note: 1,3
Autor: Onur Güldali (Autor:in)
Erscheinungsjahr: 2018
Seiten: 67
Katalognummer: V1038627
ISBN (eBook): 9783346452030
ISBN (Buch): 9783346452047
Sprache: Deutsch
Schlagworte: Informationssicherheit Cyber Security BSI BSI-Standards 200-2 IT Sicherheit Grundwerte Governance Compliance Risikomanagement Bedrohung Schwachstellen Angreifergruppen COSO IT-Standards ITIL COBIT ISO/IEC 27000er-Reihe IT-Grundschutz Strukturanalyse ereignisgesteuerte Prozesskette EPK Informationssicherheitsbeauftragter Informationssicherheitsmanagementsystem PDCA ARIS Express Hacker Cracker Insider DDOS Brute-Force Datenverlust Sabotage Server Client Firmennetzwerk
Produktsicherheit: GRIN Publishing GmbH
Preis (Ebook): US$ 34,99
Preis (Book): US$ 49,99

Arbeit zitieren: Onur Güldali (Autor:in), 2018, Informationssicherheit in Unternehmen, München, Page::Imprint:: GRINVerlagOHG, https://www.diplomarbeiten24.de/document/1038627