Skip to main content
SpringerLink
Log in

Analysen

  • Chapter
  • First Online:
Der IT Security Manager

Part of the book series: Edition kes ((EDKES))

  • 7787 Accesses

Zusammenfassung

Bei den vielen unterschiedlichen Analysen, die im Rahmen des Sicherheitsprozesses zur Anwendung kommen können, verliert man schnell den Überblick. Falls Sie sich die Frage stellen, ob so viele Analysen notwendig sind: Unsere gesamte Sicherheitskonzeption fußt darauf, dass wir die Anforderungen und Gefahren richtig analysieren und mit den resultierenden Risiken verantwortlich umgehen; diesem Punkt gebührt deshalb extreme Aufmerksamkeit und sorgfältige Vorgehensweise.

This is a preview of subscription content, log in via an institution to check access.

Access this chapter

Log in via an institution
Chapter
USD 29.95
Price excludes VAT (USA)
  • Available as PDF
  • Read on any device
  • Instant download
  • Own it forever
eBook
USD 64.99
Price excludes VAT (USA)
  • Available as EPUB and PDF
  • Read on any device
  • Instant download
  • Own it forever
Softcover Book
USD 84.99
Price excludes VAT (USA)
  • Compact, lightweight edition
  • Dispatched in 3 to 5 business days
  • Free shipping worldwide - see info

Tax calculation will be finalised at checkout

Purchases are for personal use only

Institutional subscriptions

Notes

  1. 1.

    Beträchtlich meint, dass man Schäden nicht außer Betracht lassen, d. h. vernachlässigen darf.

  2. 2.

    in unserem Sinne der über IT-Systeme abgewickelte Teil von Geschäftsprozessen bzw. Verwaltungsverfahren

  3. 3.

    vgl. Abschn. 7.2 für weitere Details zur Validierung

  4. 4.

    Aufgrund gewisser Vorgaben zur Definition eigener Bausteine kann man schließen, dass die in den Bausteinen des Grundschutzes aufgeführten Maßnahmen mit der ihnen eigenen Schutzwirkung eher „rückwärts“ den Schutzbedarf festlegen.

  5. 5.

    In den allermeisten Fällen ist zumindest die technische Verfügbarkeit immer bedroht, und zwar durch technische Defekte oder durch Defizite in der Systemumgebung (Stromausfall, Versagen der Klimatisierung etc.).

  6. 6.

    Schadenpotenzial für Bedrohungen vom Typ 1, Bedrohungspotenzial für Bedrohungen vom Typ 2, s. Abschn. 5.3.

  7. 7.

    Beispiele: www.buerger-cert.de, www.cert.dfn.de, www.dcert.de, www.bsi.de (unter: CERT-Bund).

  8. 8.

    Weitere Informationen zum Angriffspotenzial finden Sie in Abschn. 5.3.

  9. 9.

    Gefährdungen, die kein Sicherheitsziel verletzten, sind keine Gefährdungen.

  10. 10.

    Meint: Alle Sicherheitsziele sind betroffen.

  11. 11.

    Für technische Defekte bei Geräten kann man z. B. die bekannte MTBF (Mean Time between Failure) nutzen, die für viele Geräte durch die Hersteller angegeben wird.

  12. 12.

    H2 meint präzise: häufiger als H1, aber seltener als 1 × pro Quartal; analog für die anderen Stufen.

  13. 13.

    Der Bewertungsfaktor Gelegenheit wurde hier auf die Zuarbeit von Mitarbeitern der Organisation verkürzt.

  14. 14.

    Die ältere Norm bestand aus 5 Normeinheiten zum Management von Informationssicherheit, die durch die ISO/IEC 27005 [4] ersetzt wurden (siehe auch Abschn. 5.5).

  15. 15.

    hier im Zusammenhang mit der Informationsverarbeitung.

  16. 16.

    Dabei kann man auch einen Grad der Nutzung angeben, im einfachsten Fall verzichtbar oder unverzichtbar, oder erweitert um Zwischenstufen. Solche Überlegungen sind z. B. beim Notfallmanagement und der Kritikalitätsanalyse hilfreich, vgl. [9].

  17. 17.

    etwa die Haustechnik für die Infrastruktur, die IT-Abteilung für IT-spezifische Bedrohungen, das Justiziariat rechtliche Risiken betreffend etc.

  18. 18.

    www.iso27001security.com/html/iso27k_toolkit.html.

  19. 19.

    ENISA = European Network and Information Security Agency.

  20. 20.

    SARP v1.8 Beta ist ein programmiertes Excel-Sheet, das unter www.enisa.europa.eu/act/rm/files/tools/sarm-2009-05-10.xls/at_download/file verfügbar ist.

Literatur

  1. ISO/IEC 15408: Fassung von [8] als internationale Norm, www.iso.org

  2. ISO/IEC 13335: Information Technology – Security techniques – Management of information and communications technology security(Part 1 to 5) [wirdsukzessivedurchNormen der ISO 27000 Reiheersetzt]

    Google Scholar 

  3. ISO/IEC 27005:2011 Information technology – Security techniques – Information security risk management, www.iso.org

  4. ISO 31000:2009 Risk management – Principles and guidelines

    Google Scholar 

  5. IT-Grundschutz-Kataloge, BSI, www.bsi.de, unter: IT-Grundschutz

  6. Risikoanalyse auf der Basis von IT-Grundschutz, BSI, www.bsi.de, unter: IT-Grundschutz

  7. Information Technology Security Evaluation Criteria, www.bsi.de, unter: Zertifizierung und Anerkennung, Sicherheitskriterien

  8. Common Criteria for Information Technology Security Evaluation, www.commoncriteriaportal.org

  9. Information Technology Security Evaluation Manual, www.bsi.de, unter: Zertifizierung und Anerkennung, Sicherheitskriterien

  10. Klett G, Schröder K.W, A (2011) IT-Notfallmanagement mit System: Notfälle bei der Informationsverarbeitung sicher beherrschen. Vieweg + Teubner, Wiesbaden

    Google Scholar 

Download references

Author information

Authors and Affiliations

  1. CE-Consulting, Meckenheim/Bonn, Deutschland

    Heinrich Kersten

  2. GK IT-Security Consulting, Battenberg, Deutschland

    Gerhard Klett

Authors
  1. Heinrich Kersten
    View author publications

    You can also search for this author in PubMed Google Scholar

  2. Gerhard Klett
    View author publications

    You can also search for this author in PubMed Google Scholar

Corresponding author

Correspondence to Heinrich Kersten .

Rights and permissions

Reprints and permissions

Copyright information

© 2015 Springer Fachmedien Wiesbaden

About this chapter

Cite this chapter

Kersten, H., Klett, G. (2015). Analysen. In: Der IT Security Manager. Edition kes. Springer Vieweg, Wiesbaden. https://doi.org/10.1007/978-3-658-09974-9_5

Download citation

Publish with us

Policies and ethics

Search

Navigation