Schwachstellenanalyse der Informationssicherheit

Inhaltsverzeichnis

1 Ziel und Aufbau der Arbeit

2 Grundlagen

2.1 Schwachstelle und Schwachstellenanalyse

2.2 Information, Informationssystem und Informationsverarbeitung

2.3 Informationsmanagement und Informationssicherheit

3 Schwachstellen bei der strategischen Sicherheitsplanung

3.1 Situationsanalyse

3.1.1 Definition des Informationssystems

3.1.2 Planung und Analyse der IV-Prozesse

3.2 Sicherheitsziele

3.2.1 Planung der Sicherheitsziele

3.2.2 Einteilung in Risikofelder und Gefahrenanalyse

3.3 Maßnahmenplanung

3.3.1 Ermittlung der Sicherheitsanforderungen

3.3.2 Strukturierung der Sicherheitsmaßnahmen

3.3.3 Bestimmung der Sicherheitsdienste

3.3.4 Auswahl der Sicherheitsmechanismen

4 Schwachstellen im administrativen und operativen Bereich

4.1 Bestehende Konzepte zur Beurteilung der Informationssicherheit

4.1.1 Vorstellung und Diskussion der Kriterienwerke

4.1.1.1 Orange Book (TCSEC)

4.1.1.2 IT-Sicherheitskriterien und IT-Evaluationshandbuch

4.1.1.3 White Book: ITSEC und ITSEM

4.1.1.4 Common Criteria

4.1.1.5 Dimensionen der Zertifizierung

4.1.2 Datenschutz und Datensicherheit

4.2 Instrumente des Sicherheitsmanagements

4.2.1 Fehler-Möglichkeiten-Einfluss-Analyse

4.2.1.1 Prozess-FMEA

4.2.1.2 Konstruktions-FMEA

4.2.1.3 System-FMEA

4.2.1.4 Top-Down-FMEA

4.2.2 IT-Sicherheitshandbuch und Safety-Case-Prinzip

4.2.3 Sicherheitsauditing

4.2.4 Absicherung von Papiersystemen

4.2.5 Kosten- und Nutzenanalyse

4.2.6 Organisation der Informationssicherheit und personelle Sicherheit

5 Zusammenfassung und Ausblick

Zielsetzung und Themen der Arbeit

Das Hauptziel dieser Diplomarbeit ist die Entwicklung eines Schwachstellenanalyse-Systems (SSA) für die Informationssicherheit, das eine universell anwendbare Methode zur Identifikation und Bewertung von Sicherheitsrisiken in betrieblichen Informationssystemen bietet. Die Forschungsfrage fokussiert sich darauf, wie Sicherheitsdefizite systematisch über die gesamte IT-Infrastruktur hinweg identifiziert werden können, um eine effektive und zielgerichtete Maßnahmenplanung zu ermöglichen.

• Theoretische Grundlagen von Schwachstellen, Informationsverarbeitung und Informationsmanagement.
• Strukturierte Schwachstellenanalyse der strategischen Sicherheitsplanung unter Anwendung top-down orientierter Methoden.
• Analyse und Bewertung von Sicherheitskonzepten und Zertifizierungsstandards (u.a. Orange Book, ITSEC, Common Criteria).
• Einsatz von Qualitätsmanagement-Instrumenten (FMEA) zur systematischen Schwachstellenerkennung im administrativen und operativen Bereich.
• Entwicklung von Checklisten für das Sicherheitsmanagement und Sicherheitsauditing.

Auszug aus dem Buch

Zusammenfassung der Kapitel

1 Ziel und Aufbau der Arbeit: Einführung in die Problemstellung der betrieblichen Informationssicherheit und Erläuterung des methodischen Vorgehens der Arbeit.

2 Grundlagen: Definition der zentralen Begriffe „Schwachstelle“ und „Informationssicherheit“ sowie Einbettung in das Informationsmanagement.

3 Schwachstellen bei der strategischen Sicherheitsplanung: Detaillierte Betrachtung der strategischen Sicherheitsplanung, inklusive der Situationsanalyse, der Definition von Sicherheitszielen und der methodischen Maßnahmenplanung.

4 Schwachstellen im administrativen und operativen Bereich: Analyse von Sicherheitskonzepten, Kriterienwerken und praktischen Instrumenten wie der FMEA zur Schwachstellenaufdeckung im laufenden Betrieb.

5 Zusammenfassung und Ausblick: Fazit der Arbeit in Form einer umfassenden Checkliste zur Schwachstellenanalyse für unterschiedliche Unternehmensebenen.

Schlüsselwörter

Informationssicherheit, Schwachstellenanalyse, Informationsmanagement, FMEA, Sicherheitskonzept, Risikomanagement, IT-Sicherheit, Sicherheitsaudit, Datenschutz, Prozessmodellierung, Sicherheitsziele, Sicherheitsmechanismen, Zertifizierung, IT-Infrastruktur, Sicherheitsbeauftragter.

Häufig gestellte Fragen

Worum geht es in dieser Arbeit grundsätzlich?

Die Arbeit beschäftigt sich mit der systematischen Analyse von Schwachstellen in der Informationssicherheit innerhalb betrieblicher Informationssysteme, um ein effektives Sicherheitsmanagement zu ermöglichen.

Was sind die zentralen Themenfelder?

Zentrale Themen sind die strategische Sicherheitsplanung, die Analyse von Sicherheitsanforderungen, die Anwendung von Qualitätsmanagement-Methoden auf IT-Sicherheitsprozesse sowie die rechtlichen Rahmenbedingungen für Datenschutz und Sicherheit.

Was ist das primäre Ziel der Arbeit?

Das primäre Ziel ist die Entwicklung eines universell anwendbaren Systems zur Schwachstellenanalyse (SSA), das sowohl strategische als auch administrative und operative Unternehmensbereiche abdeckt.

Welche wissenschaftliche Methode wird verwendet?

Es wird ein interdisziplinärer Ansatz verfolgt, der Elemente der Wirtschaftsinformatik mit Methoden des Qualitätsmanagements (wie der FMEA) kombiniert, um ein strukturiertes Vorgehen bei der Schwachstellenidentifikation zu ermöglichen.

Was wird im Hauptteil behandelt?

Der Hauptteil gliedert sich in die strategische Sicherheitsplanung sowie die Schwachstellenanalyse im administrativen und operativen Bereich unter Nutzung verschiedener Kriterienwerke und Sicherheitsmanagement-Instrumente.

Welche Schlüsselwörter charakterisieren die Arbeit?

Die Arbeit ist geprägt durch Begriffe wie Informationssicherheit, Schwachstellenanalyse, Informationsmanagement, FMEA, Sicherheitskonzept und IT-Infrastruktur.

Wie hilft die FMEA bei der Schwachstellenanalyse?

Die Fehlermöglichkeiten- und Einflussanalyse (FMEA) ermöglicht es, potenzielle Fehlerursachen und deren Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit von Daten systematisch zu erfassen, bevor Schäden entstehen.

Welchen Stellenwert nimmt die "Verbindlichkeit" in dieser Arbeit ein?

Die Verbindlichkeit wird neben den klassischen Sicherheitszielen (Vertraulichkeit, Integrität, Verfügbarkeit) als gleichrangiger und entscheidender Aspekt für moderne, durch IT-Kommunikation geprägte Geschäftsprozesse und digitale Signaturen betrachtet.