Harmonisierung des Risikomanagements für Einsatz und Outsourcing von Informationstechnologie

Die vorliegende Arbeit stellt ein Integrationsmodell zur Harmonisierung des Risikomanagements für den Einsatz und das Outsourcing von Informationstechnologie vor. Nach der einführenden Darlegung von Kontext, Motivation und Forschungsfrage werden wesentliche Begriffsdefinitionen vorgenommen sowie die Arbeit von bestehenden Werken abgegrenzt. In einem ersten Schritt erfolgt eine umfassende Darstellung der verwendeten Ansätze, die im Rahmen einer objektorientierten Analyse auf inhaltlicher und struktureller Ebene betrachtet werden. In der anschließenden Design-Phase werden die zuvor ermittelten Konzepte gegenübergestellt und bewertet, sowie im finalen Schritt ein Integrationsmodell erarbeitet, welches Begriffs- und Prozessgruppen als UML-Klassen- und Aktivitätsdiagramme definiert. Es findet eine Validierung des Integrationsmodells durch einen Falsifikationsversuch im Sinne des kritischen Rationalismus statt. Eine Zusammenfassung, Schlussfolgerungen und weiterführende Fragestellungen runden die Arbeit ab.This paper presents an integration model to harmonize heterogenous risk management approaches used in IT operations and outsourcing. Having defined the working context, motivation and research question, this paper introduces necessary terms and concepts and distinguishes its core topic from related work. As a first step, the relevant risk management approaches are being described in detail, and their contents and structure are being explored using an object-oriented data-modeling approach. During the design phase, the identified concepts are being compared, evaluated and finally transformed into an integrated UML-based class and activity model containing the necessary groups of terms, definitions and processes. The integration model is validated using an attempt to falsify it in terms of critical rationalism. The paper is concluded by a summary and the deduction of implications as well as questions for further research

Schaffung eines nachhaltigen IT-Security Managementkonzepts für kleine und mittlere Unternehmen

In den letzten Jahren entwickelte sich das Thema IT-Security zu einem immer essentielleren Bereich in Unternehmen weltweit. Ursprünglich als eine Sparte, die als nettes Add-On dient, angesehen, rückt IT-Security bei der Planung und Einrichtung von IT-Infrastrukturen innerhalb von Konzernen in das Zentrum. Diverse Umfragen in Medien zeigen, dass das Thema Sicherheit zu einer der Hauptprioritäten im Informations- und Kommunikationstechnologiebereich wird. Speziell Begriffe wie „Security Management“ und „Information Security“ rücken in den Mittelpunkt von IT-Experten in heutigen Unternehmen. Eine wesentliche Aufgabe besteht darin, adäquate IT-Architekturen, koordinierte Technologieführung und die Definition von Rollen und Verantwortungsbereichen über das ganze Unternehmen hinweg zu schaffen. Dies alles sollte unter Berücksichtigung von etablierten Security Richtlinien, Standards und Methoden ermöglicht werden. Stärken und Schwächen bestehender Systeme müssen analysiert werden, um notwendige Korrekturen durchzuführen und eine kontinuierliche Verbesserung sowohl der IT-Landschaft als auch des Sicherheitsbewusstseins innerhalb der Unternehmen zu gewährleisten. Zielsetzung dieser Masterarbeit ist die Schaffung eines nachhaltigen IT-Security Managementkonzepts für kleine und mittlere Unternehmen (KMU). Dies erfolgt unter Berücksichtigung der im deutschsprachigen Raum meistverbreiteten existierenden Planungsansätze der IT-Security. Zu diesen zählen die ISO-2700x Normreihe, der IT-Grundschutzkatalog bzw. die IT-Grundschutzvorgehensweise des Bundesamt für Sicherheit in der Informationstechnik (BSI), in Österreich das österreichische Informationssicherheitshandbuch, sowie der Common Criteria for Information Technology Security Evaluation Standard (CC) zur Bewertung der Sicherheit von Informationstechnologie. Aufbauend auf die existierenden Planungsansätze sowie die in der Arbeit identifizierten bestehenden und zukünftigen Herausforderungen für den Entwurf eines IT-Security Managementkonzepts für KMUs werden Anforderungen dafür abgeleitet. Diese werden in weiterer Folge in ein Konzept eingearbeitet, welches sicherstellt, dass mit vertretbarem Aufwand ein umfassender und nachhaltiger Beitrag zur Verbesserung der IT-Security in KMUs gewährleistet werden kann. Der nachhaltige Beitrag wird unter anderem dadurch garantiert, dass neben der Berücksichtigung existierender Planungsansätze und Best Practices, Trends hinsichtlich der IT-Security, die in den nächsten 3-4 Jahren immer mehr an Bedeutung gewinnen werden, ebenfalls berücksichtigt sind. Es wird kleinen und mittleren Unternehmen ein einfaches Vorgehenskonzept zur Verfügung gestellt, das ihnen ermöglicht, schnell effiziente Maßnahmen zur Einrichtung eines nachhaltigen IT-Security Managements auszuwählen und durchzuführen. Die Überprüfung auf Praxistauglichkeit des entwickelten Konzepts erfolgt anschließend in Kooperation mit der ViaDonau - Österreichische Wasserstraßen-Gesellschaft mbH.In recent years the subject of IT security has developed into an essential topic in companies worldwide. Originally viewed as a nice add-on, nowadays the field of IT security is in the center of planning- and establishment activities for IT-infrastructures of any organisation. Various surveys in the media indicate that the issue of security is increasingly growing to one of the main priorities in the information and communication technology sector. Especially terms like "Security Management" and "Information Security" are moving into the focus of IT professionals in today's businesses. An essential task is to create adequate IT architectures, coordinated technology management and the definition of roles and responsibilities throughout the enterprises. This has to be done under consideration of established security policies, standards and methods. Strengths and weaknesses of existing systems must be analyzed in order to carry out necessary adjustments and to ensure a continuous improvement of the IT environment, as well as security awareness within the companies. The objective of this thesis is to create a sustainable IT-Security Management Concept for small and medium enterprises (SMEs). It takes into account the most common existing planning approaches for IT security. These include the ISO 2700x standards, the IT-Baseline Protection Catalog (IT-Grundschutzkatalog des BSI), the IT-Baseline Protection Approach of the Federal Office for Information Security in Germany (IT-Grundschutzvorgehensweise des BSI), the Austrian Information Security Manual (Österreichisches Sicherheitshandbuch) and the Common Criteria for Information Technology Security Evaluation Standard (CC) for the security evaluation of information technology. Based on the established planning approaches mentioned before and the identified existing and future challenges concerning the design of an IT-Security Management Concept for SMEs, the requirements are derived. Subsequently they are incorporated into a concept, which will guarantee that, with justifiable effort, a comprehensive and lasting contribution for the improvement of SMEs IT security is ensured. Moreover the lasting contribution of this work should be guaranteed considering the trends of IT security, which will get more and more influence in the next 3-4 years. For small and medium-sized businesses a simple process concept is provided that allows them to quickly carry out effective measures for establishing a sustainable IT-Security Management. The verification of the concept on suitability for daily use is carried out in cooperation with the ViaDonau - Österreichische Wasserstraßen-Gesellschaft mbH

Betriebliche Anwendungssysteme : Tagungsband zur AKWI-Fachtagung vom 11. bis 14.09.2011 an der Fachhochschule Worms

In heutigen Unternehmen werden im Kern alle Aufgaben durch Anwendungssysteme direkt oder durch diese unterstützt erledigt. Folglich beschreiben betriebliche Anwendungssysteme heute im Grunde, welche Aufgaben in Unternehmen überhaupt zu lösen sind und welche davon automatisiert und somit durch Software erledigt bzw. unterstützt werden können. Die Arbeit an und mit Betrieblichen Anwendungssystemen ist gekennzeichnet durch eine große thematische Breite und demonstriert die für die Wirtschaftsinformatik charakteristische Nutzung von Ansätzen der Betriebswirtschaftslehre sowie der Informatik. Deswegen erwarteten die Herausgeber sehr heterogene Themenvorschläge und sie wurden nicht enttäuscht. Die letztlich ausgewählten Themen stellen aktuelle Entwicklungs- und anwendungsorientierte Forschungsprojekte zu Geschäftsprozessen, Standardsoftware, Softwareentwicklung und Betrieb von Anwendungssystemen vor. Dadurch beschreiben sie das heute existierende Berufsbild von Wirtschaftsinformatikern und -innen in der industriellen Praxis

Informationssicherheit und Persönlichkeit : Konzept, Empirie und Handlungsempfehlungen

[no abstract

Case Kritis - Fallstudien zur IT-Sicherheit in Kritischen Infrastrukturen

Kritische Infrastrukturen bilden das Rückgrat unserer Gesellschaft. Fallen sie aus, kaskadieren die Auswirkungen schnell und können katastrophale Folgen haben. Wie andere Unternehmen sind auch Kritische Infrastrukturen weitgehend von Informationstechnik durchdrungen und nicht selten von deren fehlerfreier Funktion abhängig. Es wundert somit nicht, dass auch der Gesetzgeber angemessene Maßnahmen verlangt. Aber welchen speziellen Herausforderungen stehen Kritische Infrastrukturen dabei gegenüber? Und wie kann diesen wirksam und effizient begegnet werden? Dieses Buch bündelt neun Lösungen aus der Praxis, die Good Practices von Betreibern Kritischer Infrastrukturen, beispielgebende Projekte und Technologien aufzeigen und deren Erfolgsfaktoren mögliche Antworten auf diese Fragen geben. Der Band enthält Fachbeiträge zu folgenden Themen: - Gesetzliche Anforderungen an die IT-Sicherheit in Deutschland und Europa - Stand der Technik im Bereich der IT-Sicherheit Kritischer Infrastrukturen - Umsetzung im Unternehmen: Von der IT-Sicherheit zu Innovatio

Integriertes Management von Security-Frameworks

Security-Frameworks sind baukastenähnliche, zunächst abstrakte Konzepte, die aufeinander abgestimmte technische und organisatorische Maßnahmen zur Prävention, Detektion und Bearbeitung von Informationssicherheitsvorfällen bündeln. Anders als bei der Zusammenstellung eigener Sicherheitskonzepte aus einer Vielzahl punktueller Einzelmaßnahmen wird bei der Anwendung von Security-Frameworks das Ziel verfolgt, mit einem relativ geringen Aufwand auf bewährte Lösungsansätze zur Absicherung von komplexen IT-Diensten und IT-Architekturen zurückgreifen zu können. Die praktische Umsetzung eines Security-Frameworks erfordert seine szenarienspezifische Adaption und Implementierung, durch die insbesondere eine nahtlose Integration in die vorhandene Infrastruktur sichergestellt und die Basis für den nachhaltigen, effizienten Betrieb geschaffen werden müssen. Die vorliegende Arbeit behandelt das integrierte Management von Security-Frameworks. Im Kern ihrer Betrachtungen liegen folglich nicht individuelle Frameworkkonzepte, sondern Managementmethoden, -prozesse und -werkzeuge für den parallelen Einsatz mehrerer Frameworkinstanzen in komplexen organisationsweiten und -übergreifenden Szenarien. Ihre Schwerpunkte werden zum einen durch die derzeit sehr technische Ausprägung vieler Security-Frameworks und zum anderen durch die fehlende Betrachtung ihres Lebenszyklus über die szenarienspezifische Anpassung hinaus motiviert. Beide Aspekte wirken sich bislang inhibitorisch auf den praktischen Einsatz aus, da zur Umsetzung von Security-Frameworks immer noch ein erheblicher szenarienspezifischer konzeptioneller Aufwand erbracht werden muss. Nach der Diskussion der relevanten Grundlagen des Sicherheitsmanagements und der Einordnung von Security-Frameworks in Informationssicherheitsmanagementsysteme werden auf Basis ausgewählter konkreter Szenarien mehr als 50 Anforderungen an Security-Frameworks aus der Perspektive ihres Managements abgeleitet und begründet gewichtet. Die anschließende Anwendung dieses Anforderungskatalogs auf mehr als 75 aktuelle Security-Frameworks zeigt typische Stärken sowie Schwächen auf und motiviert neben konkreten Verbesserungsvorschlägen für Frameworkkonzepte die nachfolgend erarbeiteten, für Security-Frameworks spezifischen Managementmethoden. Als Bezugsbasis für alle eigenen Konzepte dient eine detaillierte Analyse des gesamten Lebenszyklus von Security-Frameworks, der zur grundlegenden Spezifikation von Managementaufgaben, Verantwortlichkeiten und Schnittstellen zu anderen Managementprozessen herangezogen wird. Darauf aufbauend werden an den Einsatz von Security-Frameworks angepasste Methoden und Prozesse u. a. für das Risikomanagement und ausgewählte Disziplinen des operativen Sicherheitsmanagements spezifiziert, eine Sicherheitsmanagementarchitektur für Security-Frameworks konzipiert, die prozessualen Schnittstellen am Beispiel von ISO/IEC 27001 und ITIL v3 umfassend ausgearbeitet und der Einsatz von IT-Sicherheitskennzahlen zur Beurteilung von Security-Frameworks demonstriert. Die praktische Anwendung dieser innovativen Methoden erfordert dedizierte Managementwerkzeuge, die im Anschluss im Detail konzipiert und in Form von Prototypen bzw. Simulationen umgesetzt, exemplifiziert und bewertet werden. Ein umfassendes Anwendungsbeispiel demonstriert die praktische, parallele Anwendung mehrerer Security-Frameworks und der spezifizierten Konzepte und Werkzeuge. Abschließend werden alle erreichten Ergebnisse kritisch beurteilt und ein Ausblick auf mögliche Weiterentwicklungen und offene Forschungsfragestellungen in verwandten Bereichen gegeben.Security frameworks at first are modular, abstract concepts that combine technical as well as organizational measures for the prevention, detection, and handling of information security incidents in a coordinated manner. Unlike the creation of scenario-specific security concepts from scratch, for which one has to choose from a plethora of individual measures, using security frameworks pursues the goal of reducing the required time and effort by applying proven solutions for securing complex IT services and IT architectures. The practical realization of a security framework requires its scenario-specific customization and implementation, which especially need to ensure its seamless integration into the existing infrastructure and provides the basis for sustained, efficient operations. This thesis highlights the integrated management of security frameworks. Therefore, it does not focus on individual security framework concepts, but on innovative management methods, processes, and tools for operating multiple security framework instances in complex enterprise-wide and inter-organizational scenarios. Its core contributions are motivated by the very technically oriented characteristics of current security frameworks on the one hand and by the lack of a holistic view on their life cycle that reaches beyond the customization phase on the other hand. These two aspects still inhibit the wide-spread practical application of security frameworks because still significant scenario-specific conceptual efforts have to be made in order to operate and manage the framework instances. After the discussion of the relevant fundamentals of security management and the classification of security frameworks into information security management systems, more than 50 management-specific requirements for security frameworks are derived from practical scenarios and get reasonably weighted. The application of the resulting criteria catalogue to more than 75 current security frameworks points out their typical strengths and weaknesses; besides improvement proposals for the analyzed security frameworks, it also motivates the security-framework-specific management methods that are developed afterwards. For each of the proposed concepts, a detailed analysis of the complete security framework life cycle serves as a reference base. It is also used to specify the basic management tasks, responsibilities, and interfaces to related management processes. Based on this life cycle specification, security-framework-specific management methods and processes, e. g., for risk management and for selected security operations tasks are specified, a security management architecture for security frameworks is designed, process-related interfaces based on ISO/IEC 27001 and ITIL v3 are elaborated, and the application of security metrics to quantitatively assess security frameworks is demonstrated. The practical application of the proposed innovative methods requires several dedicated management tools, which are devised in detail, implemented as prototypes or as simulations, exemplified, and evaluated. An extensive usage example demonstrates the practical application of multiple security frameworks in parallel based on the specified concepts and tools. Finally, all achieved results are critically assessed and an outlook to further research as well as open issues in related disciplines is given

Kollaboratives Management von Informationssicherheitsrisiken in strategischen Allianzen

In den letzten Jahrzehnten wurden IT Produkte und Services immer komplexer, was auch zu einer zunehmenden Verflechtung der Unternehmen geführt hat. Kaum eine Organisation kann in diesen verknüpften Märkten noch völlig isoliert agieren und kommt ohne Beziehungen zu anderen Organisationen aus. Es formen sich zunehmend organisations- oder branchenübergreifende Partnerschaften, um Herausforderungen gemeinsam zu meistern. Manche Organisationen gehen einen Schritt weiter und formen strategische Allianzen, die eine besonders intensive Zusammenarbeit pflegen. Im Gegensatz zu einer einfachen Geschäftsbeziehung über einzelne Dienstleistungen oder einer kooperativen Partnerschaft in einem bestimmten Geschäftsbereich, zielt eine Allianz auf eine enge Kollaboration ab, um die gemeinsamen Ziele der Partner zu erreichen. Neben den gemeinsamen Unternehmungen die in einer Allianz die Geschäftsziele vorantreiben, besteht auch die Möglichkeit, weitere Herausforderungen durch gemeinsame IT Managementfunktionen zu lösen. Ein zentraler Aspekt in der Informationssicherheit ist das Risikomanagement, welches jede Organisation, die ein Informationssicherheitsmanagementsystem betreibt, implementiert hat. Allianzen entwickeln sich oftmals in gleichen Branchen oder Lieferketten, wodurch diese sowohl von den gleichen Bedrohungen betroffen sein können als auch gemeinsame Risiken behandeln wollen. Um die Zusammenarbeit in diesem Bereich zu erleichtern, wird in dieser Arbeit ein Meta-Framework für organisationsübergreifendes Informationssicherheitsrisikomanagement (ISRM) in strategischen Allianzen erstellt. Dabei wird davon ausgegangen, dass die Organisationen bereits ein Vorgehen zum ISRM etabliert haben, welches sich allerdings im Kontext eines Enterprise Risk Managements nur auf die eigene Organisation bzw. erweitert durch ein Supply Chain Risk Management auf Lieferanten bezieht. Die Frage ist also, wie die Teilnehmer der Allianz über das einfache Teilen von Informationen hinaus zusammenarbeiten können, um übergreifende Risiken zu identifizieren und eventuell gemeinsam zu behandeln. Das Framework besteht aus vier Komponenten, welche Organisationen dabei unterstützen, einen kollaborativen Prozess innerhalb der Allianz zu etablieren. Dazu liefert es ein Partnerschaftsmodell, mit dessen Hilfe sich die Anwendbarkeit des Prozesses innerhalb einer Partnerschaft evaluieren lässt. Eine gemeinsame Terminologie liefert die Grundlage, um die Konzepte und Begriffe innerhalb der Allianz zu vereinheitlichen und eine effektive Kommunikation zu ermöglichen. Der kollaborative Prozess definiert Abläufe, Schnittstellen und Verantwortlichkeiten innerhalb der Allianz, um gemeinsame Risiken zu verwalten. Letztlich liefern unterstützende Ressourcen die Werkzeuge für die Definition von Bedrohungen, Assets und einer Risikomethode im Prozess.IT products and services have become increasingly complex over the last few decades, which has resulted in an increasing interdependence of businesses. Hardly any organisation is capable to operate in complete isolation in these interconnected markets or without relationships to other organisations. More and more interorganisational or cross-sector partnerships are being formed to overcome challenges together. Some organisations are taking this even further and forming strategic alliances that foster particularly intensive collaboration. In contrast to a simple business relationship based on individual services or a co-operative partnership in a specific business area, an alliance is aimed at close collaboration in order to achieve the partners' common goals. In addition to the joint activities that drive the business objectives in an alliance, there is also the possibility of solving other challenges through joint IT management functions. A key aspect of information security is risk management, which every organisation that operates an information security management system has in place. Alliances often develop within one industry or supply chain, which means that are likely to be affected by similar threats and may want to address these common risks. In order to facilitate collaboration in this area, this thesis develops a meta-framework for interorganisational information security risk management (ISRM) in strategic alliances. It is assumed that the organisations have already established an ISRM process, albeit one that only refers to their own organisation in the context of enterprise risk management or is extended to suppliers through supply chain risk management. This raises the question of how the participants in the alliance can cooperate beyond the simple task of information sharing in order to identify overarching risks and possibly deal with them together. The framework consists of four components that support organisations in establishing a collaborative process within the alliance. It provides a partnership model that can be used to evaluate the applicability of the process within a partnership. A common terminology provides the basis for harmonising the concepts and terms within the alliance and enabling effective communication. The collaborative process defines procedures, interfaces and responsibilities within the alliance to manage shared risks. Finally, supporting resources provide the tools to define threats, assets and a risk methodology in the process

Ein Ansatz zur Modellierung zuverlässigkeitstheoretischer Aspekte hochverfügbarer Kommunikationsnetze für kritische Infrastrukturen

Die Architekturen des 'Next Generation Networks' (NGN) zur Bereitstellung sicherheitsrelevater Anwendungen innerhalb von Verkehrsprozessen erfordert hochverfügbare paketvermittelnde Kommunikationsnetze, um den Prozess verlässlich und nachhaltig zur Verfügung zu stellen. Die Arbeit thematisiert die Modellierung der Prozesszuverlässigkeit, die durch drei Teilzuverlässigkeiten charakterisiert ist. Die analytischen Modelle werden auf der Basis der Methoden zur Netzmodellierung für die technologische Zuverlässigkeit, die Systemzuverlässigkeit und die Securityzuverlässigkeit beschrieben. Die Validierung der Modelle erfolgt an einer IP-basierten Stellwerksarchitektur.:1 Einleitung 2 Analyse des Ist-Zustandes 3 Theoretische Grundlagen 4 Modellierung der Prozesszuverlässigkeit 5 Validierung der analytischen Modelle 6 Zusammenfassung und AusblickUsing the 'Next Generation Networks' (NGN) approach to provide security demanding applications in transport processes requires high-available packed based communication networks. The paper addresses process reliability modelling, that is characterized by three partial reliabilities. The analytic models are based on network modelling methods such as technological reliability, system reliability an security reliability. Model validation is given by an IP-based signal box.:1 Einleitung 2 Analyse des Ist-Zustandes 3 Theoretische Grundlagen 4 Modellierung der Prozesszuverlässigkeit 5 Validierung der analytischen Modelle 6 Zusammenfassung und Ausblic

Model Driven Information Security Management - Evaluating and Applying the Meta Model of ISO 27001

Information technology has had a significant impact on business operations and allowed the emergence of new business models. These IT-enabled processes and businesses however depend on secure information systems which need to be managed. The management of information systems security (ISS) is a highly dynamic and complex task due to constant change in the information technology domain. In this paper we propose the use of a meta model to aid ISS managers in setting up a holistic information security management system (ISMS). For this we describe how an adapted meta model of ISO 27001, a security standard for ISMS, can be used to aid with general phases of ISS management. We demonstrate how models can support ISS managers in their endeavors. The paper concludes with a pragmatic evaluation by providing an example of how such a meta model can be operationalized for vulnerability identification, before discussing potential future research