Revision und Controlling der IT-Security

Die Arbeit hat zum Ziel, ein Modell für die Sicherheit von Informationssystemen unter spezifischer Berücksichtigung der IT-Risiken, deren Management und der Möglichkeiten ihrer Beherrschung zu entwickeln. Im Mittelpunkt steht der strategische Umgang mit Risiken der Informationsverarbeitung resultierend aus der Ungewissheit der zukünftigen Entwicklung im Umfeld des Unternehmens. Diese Ungewissheit wird auf Basis des entwickelten Modells auf den Planungsebenen für eine geschäftsübergreifende Unternehmensstrategie untersucht. Diese Untersuchungsebenen sind gleichzeitig die Bewertungsdimensionen für die ex-ante Bewertung der IT-Security. Risiken der IT-Sicherheit können den Regelbetrieb massiv gefährden. Der Lösungsansatz der IT-Abteilung basiert darauf, bei der Entwicklung und Optimierung ihrer Systeme den störungsfreien Betrieb sicherzustellen. Neben den technisch-organisatorischen Maßnahmen zur Gewährleistung des störungsfreien Betriebs sind auch die Konzepte zum Umgang mit ITRisiken zwecks Gewährleistung des Regelbetriebs mit größtmöglicher Wertschöpfung bei akzeptablem Risiko von Bedeutung. Entsprechend gehört die Beherrschung von Risiken zu den strategischen Feldern eines Unternehmens und sichert den mittel- und langfristigen Geschäftserfolg. Die Forderung an das IT-Management (zunächst den störungsfreien Betrieb sicherzustellen) st zu erweitern um Potenziale für eine positive Auswirkung auf den Ertrag/Erfolg des Unternehmens. Ein zentraler interner Erfolgsfaktor ist die organisatorische Abwicklung der Geschäftsprozesse, sie bezieht sich auf die mittels geeigneter IT-Projekte umzusetzenden und zu optimierenden Geschäftsprozesse und Geschäftsmodelle des Unternehmens. Die Absicherung der strategischen Nutzenpotenziale soll durch ein adäquates IT-Security-Management erfolgen. Diese wird daran ausgerichtet, worauf geeignete Eskalations- und Risikobewältigungsstrategien sowie ein geeignetes Business Continuity Planning (Notfallplanung/Incident Management) abzielt: auf die Unterstützung/Herstellung der Handlungsbefähigung. Diese Überlegungen führen zu der IT-Security-Sicht auf die Sicherheit eines Systems: Unterstützung der Strategie konformen und IT-Nutzenpotenzial absichernden Gestaltung der organisatorischen Abwicklung der Geschäftsprozesse mit dem Ziel der Unterstützung strategisch-operativer Handlungsspielräume. Um die strategische Sicht zusammen mit der technisch-organisatorischen Sicht in einem Modell zu verknüpfen, werden Konzepte vor allem des Controllings im Zusammenhang mit der IT-Security als Projekt begleitende Aufgabe bei der Risiko-orientierten Analyse, Bewertung und Ausgestaltung der Sicherheit von Informationssystemen untersucht. Die im Kontext der Gestaltung der organisatorischen Abwicklung der Geschäftsprozesse mit dem Ziel der Unterstützung strategischer Handlungsspielräume relevanten Risiken werden gemanagt, indem das strategische Performance Management auf die strategische Planungs- und Lenkungsaufgabe bezüglich des IT-Securityprozesses übertragen wird. Die im technischorganisatorischen Kontext für die IT-Sicherheit von Systemen relevanten Risiken werden gemanagt, indem das operative Performance Management auf die operative Planungs- und Lenkungsaufgabe bezüglich des IT-Securityprozesses (abgeleitet aus der Abstimmung der Unternehmensziele und des IT-Securityprozesses aufeinander) übertragen wird. Das entwickelte Risiko-Controlling wird in dieser Arbeit als "strategisch-operatives" Risiko-Controlling bezeichnet; dadurch soll zum Ausdruck gebracht werden, dass die strategische und die operative Sicht eng miteinander verknüpft werden. Bei dem im Weiteren dargestellten strategisch-operativen IT-Security-Management, welches auf dem strategischoperativen Risiko-Controlling aufsetzt, knüpft der operative Teil an die Phase "Do" des vom strategischen Teil des IT-Security-Managements gesteuerten strategischen IT-Security-Prozesses an, repräsentiert quasi das Operative im Strategischen

Schaffung eines nachhaltigen IT-Security Managementkonzepts für kleine und mittlere Unternehmen

In den letzten Jahren entwickelte sich das Thema IT-Security zu einem immer essentielleren Bereich in Unternehmen weltweit. Ursprünglich als eine Sparte, die als nettes Add-On dient, angesehen, rückt IT-Security bei der Planung und Einrichtung von IT-Infrastrukturen innerhalb von Konzernen in das Zentrum. Diverse Umfragen in Medien zeigen, dass das Thema Sicherheit zu einer der Hauptprioritäten im Informations- und Kommunikationstechnologiebereich wird. Speziell Begriffe wie „Security Management“ und „Information Security“ rücken in den Mittelpunkt von IT-Experten in heutigen Unternehmen. Eine wesentliche Aufgabe besteht darin, adäquate IT-Architekturen, koordinierte Technologieführung und die Definition von Rollen und Verantwortungsbereichen über das ganze Unternehmen hinweg zu schaffen. Dies alles sollte unter Berücksichtigung von etablierten Security Richtlinien, Standards und Methoden ermöglicht werden. Stärken und Schwächen bestehender Systeme müssen analysiert werden, um notwendige Korrekturen durchzuführen und eine kontinuierliche Verbesserung sowohl der IT-Landschaft als auch des Sicherheitsbewusstseins innerhalb der Unternehmen zu gewährleisten. Zielsetzung dieser Masterarbeit ist die Schaffung eines nachhaltigen IT-Security Managementkonzepts für kleine und mittlere Unternehmen (KMU). Dies erfolgt unter Berücksichtigung der im deutschsprachigen Raum meistverbreiteten existierenden Planungsansätze der IT-Security. Zu diesen zählen die ISO-2700x Normreihe, der IT-Grundschutzkatalog bzw. die IT-Grundschutzvorgehensweise des Bundesamt für Sicherheit in der Informationstechnik (BSI), in Österreich das österreichische Informationssicherheitshandbuch, sowie der Common Criteria for Information Technology Security Evaluation Standard (CC) zur Bewertung der Sicherheit von Informationstechnologie. Aufbauend auf die existierenden Planungsansätze sowie die in der Arbeit identifizierten bestehenden und zukünftigen Herausforderungen für den Entwurf eines IT-Security Managementkonzepts für KMUs werden Anforderungen dafür abgeleitet. Diese werden in weiterer Folge in ein Konzept eingearbeitet, welches sicherstellt, dass mit vertretbarem Aufwand ein umfassender und nachhaltiger Beitrag zur Verbesserung der IT-Security in KMUs gewährleistet werden kann. Der nachhaltige Beitrag wird unter anderem dadurch garantiert, dass neben der Berücksichtigung existierender Planungsansätze und Best Practices, Trends hinsichtlich der IT-Security, die in den nächsten 3-4 Jahren immer mehr an Bedeutung gewinnen werden, ebenfalls berücksichtigt sind. Es wird kleinen und mittleren Unternehmen ein einfaches Vorgehenskonzept zur Verfügung gestellt, das ihnen ermöglicht, schnell effiziente Maßnahmen zur Einrichtung eines nachhaltigen IT-Security Managements auszuwählen und durchzuführen. Die Überprüfung auf Praxistauglichkeit des entwickelten Konzepts erfolgt anschließend in Kooperation mit der ViaDonau - Österreichische Wasserstraßen-Gesellschaft mbH.In recent years the subject of IT security has developed into an essential topic in companies worldwide. Originally viewed as a nice add-on, nowadays the field of IT security is in the center of planning- and establishment activities for IT-infrastructures of any organisation. Various surveys in the media indicate that the issue of security is increasingly growing to one of the main priorities in the information and communication technology sector. Especially terms like "Security Management" and "Information Security" are moving into the focus of IT professionals in today's businesses. An essential task is to create adequate IT architectures, coordinated technology management and the definition of roles and responsibilities throughout the enterprises. This has to be done under consideration of established security policies, standards and methods. Strengths and weaknesses of existing systems must be analyzed in order to carry out necessary adjustments and to ensure a continuous improvement of the IT environment, as well as security awareness within the companies. The objective of this thesis is to create a sustainable IT-Security Management Concept for small and medium enterprises (SMEs). It takes into account the most common existing planning approaches for IT security. These include the ISO 2700x standards, the IT-Baseline Protection Catalog (IT-Grundschutzkatalog des BSI), the IT-Baseline Protection Approach of the Federal Office for Information Security in Germany (IT-Grundschutzvorgehensweise des BSI), the Austrian Information Security Manual (Österreichisches Sicherheitshandbuch) and the Common Criteria for Information Technology Security Evaluation Standard (CC) for the security evaluation of information technology. Based on the established planning approaches mentioned before and the identified existing and future challenges concerning the design of an IT-Security Management Concept for SMEs, the requirements are derived. Subsequently they are incorporated into a concept, which will guarantee that, with justifiable effort, a comprehensive and lasting contribution for the improvement of SMEs IT security is ensured. Moreover the lasting contribution of this work should be guaranteed considering the trends of IT security, which will get more and more influence in the next 3-4 years. For small and medium-sized businesses a simple process concept is provided that allows them to quickly carry out effective measures for establishing a sustainable IT-Security Management. The verification of the concept on suitability for daily use is carried out in cooperation with the ViaDonau - Österreichische Wasserstraßen-Gesellschaft mbH

Methode zur Gestaltung sicherer präskriptiver Systeme für die Therapieunterstützung

Die vorliegende Arbeit befasst sich mit der Gestaltung sicherer präskriptiver Systeme für die Therapieunterstützung. Ziel dabei ist es, den Entwicklungsprozess von der Definition der Ziele, bis hin zur Abwicklung beim Endkunden abzubilden und verschiedene organisatorische, technische, sicherheitskritische und therapeutische Aspekte explizit einzubinden. Dabei lassen sich vorab Probleme und Hindernisse im Entwicklungsprozess abwenden, die möglicherweise ein Scheitern oder eine Inakzeptanz nach sich ziehen würden. Im speziellen Fokus der Methode liegt die explizite Betrachtung und Abbildung der Sicherheit von lernenden und automatisierten entscheidungsunterstützenden Algorithmen, welche eine Therapieunterstützung aktiv fördern. Dies wird mit einer ausdrücklichen Darstellung von sicherheitsrelevanten Anforderungen und deren Integration in alle Phasen des Vorgehensmodells der Methode, in den in dieser Arbeit entwickelten Ansatz, eingebracht. Hierbei spielen nicht nur die technischen und die organisatorischen Absicherungen eine Rolle, sondern ebenso der Brückenschlag zwischen Entwicklung und Domäne, welcher durchgängig im Vorgehensmodell der Methode einen kontinuierlichen Wissenstransfer zur Gewährleistung der Sicherheit und Nützlichkeit des Therapiesystems ermöglicht. Zusätzlich, zu der Wissenskopplung zwischen Entwicklung und Domäne, unterstützt das entwickelte Messsystem zur Risikoabschätzung von präskriptiven Algorithmen die Bewertung von Sicherheitsrisiken, indem es in bestehende Managementmethoden eine prozessuale und bewertbare Risikoabschätzung integriert. Insgesamt stellt die entwickelte Methode mit ihren Komponenten Techniken, Verfahren und Abläufe zur Verfügung, um die Gestaltung von sicheren und therapeutisch zielgerichteten entscheidungsunterstützenden Systemen, unter Einbezug der Zielgruppe, zu ermöglichen

Betriebliche Anwendungssysteme : Tagungsband zur AKWI-Fachtagung vom 11. bis 14.09.2011 an der Fachhochschule Worms

In heutigen Unternehmen werden im Kern alle Aufgaben durch Anwendungssysteme direkt oder durch diese unterstützt erledigt. Folglich beschreiben betriebliche Anwendungssysteme heute im Grunde, welche Aufgaben in Unternehmen überhaupt zu lösen sind und welche davon automatisiert und somit durch Software erledigt bzw. unterstützt werden können. Die Arbeit an und mit Betrieblichen Anwendungssystemen ist gekennzeichnet durch eine große thematische Breite und demonstriert die für die Wirtschaftsinformatik charakteristische Nutzung von Ansätzen der Betriebswirtschaftslehre sowie der Informatik. Deswegen erwarteten die Herausgeber sehr heterogene Themenvorschläge und sie wurden nicht enttäuscht. Die letztlich ausgewählten Themen stellen aktuelle Entwicklungs- und anwendungsorientierte Forschungsprojekte zu Geschäftsprozessen, Standardsoftware, Softwareentwicklung und Betrieb von Anwendungssystemen vor. Dadurch beschreiben sie das heute existierende Berufsbild von Wirtschaftsinformatikern und -innen in der industriellen Praxis

Harmonisierung des Risikomanagements für Einsatz und Outsourcing von Informationstechnologie

Die vorliegende Arbeit stellt ein Integrationsmodell zur Harmonisierung des Risikomanagements für den Einsatz und das Outsourcing von Informationstechnologie vor. Nach der einführenden Darlegung von Kontext, Motivation und Forschungsfrage werden wesentliche Begriffsdefinitionen vorgenommen sowie die Arbeit von bestehenden Werken abgegrenzt. In einem ersten Schritt erfolgt eine umfassende Darstellung der verwendeten Ansätze, die im Rahmen einer objektorientierten Analyse auf inhaltlicher und struktureller Ebene betrachtet werden. In der anschließenden Design-Phase werden die zuvor ermittelten Konzepte gegenübergestellt und bewertet, sowie im finalen Schritt ein Integrationsmodell erarbeitet, welches Begriffs- und Prozessgruppen als UML-Klassen- und Aktivitätsdiagramme definiert. Es findet eine Validierung des Integrationsmodells durch einen Falsifikationsversuch im Sinne des kritischen Rationalismus statt. Eine Zusammenfassung, Schlussfolgerungen und weiterführende Fragestellungen runden die Arbeit ab.This paper presents an integration model to harmonize heterogenous risk management approaches used in IT operations and outsourcing. Having defined the working context, motivation and research question, this paper introduces necessary terms and concepts and distinguishes its core topic from related work. As a first step, the relevant risk management approaches are being described in detail, and their contents and structure are being explored using an object-oriented data-modeling approach. During the design phase, the identified concepts are being compared, evaluated and finally transformed into an integrated UML-based class and activity model containing the necessary groups of terms, definitions and processes. The integration model is validated using an attempt to falsify it in terms of critical rationalism. The paper is concluded by a summary and the deduction of implications as well as questions for further research

Informationssicherheit und Persönlichkeit : Konzept, Empirie und Handlungsempfehlungen

[no abstract

Colloquium 2010

Der dritte Band der Schriftenreihe der Universitätsfrauenbeauftragten der Universität Bamberg zum Kolloquium Forschende Frauen in Bamberg bietet Einblick in die Vielfalt der Forschung von Wissenschaftlerinnen an der Otto-Friedrich-Universität Bamberg. Dieses Buch begleitet das gleichnamige Forschungskolloquium der Frauenbeauftragten der Otto-Friedrich-Universität Bamberg. Im Sommersemester 2008 ins Leben gerufen, bietet es seitdem jungen Wissenschaftlerinnen Gelegenheit, ihre Forschungsprojekte in der Universität unter Beteiligung der Öffentlichkeit vorzustellen und Vortragspraxis zu sammeln, sich zu vernetzen und die Vorträge zu publizieren. An der Otto-Friedrich-Universität Bamberg gedeiht eine bunte Forschungslandschaft. Nachwuchswissenschaftlerinnen zeigen als forschende Frauen in den vielfältigsten Bereichen Engagement, Tatkraft und Profil. In diesem Buch finden sich interessante Beiträge zum Fixkostenmanagement in mittelständischen Unternehmen (Staffel), zu sozialen Ungleichheiten beim Erwerb von Wohneigentum in Ost- und Westdeutschland (Kolb), zum subversiven Erzählen bei E.T.A. Hoffmann und Heinrich von Kleist (Wagner) sowie zur Autorisierung in Informationssystemen (Fischer). Frau Dr. des. Zuzana Güllendi-Cimprichová stellt mit ihrem Beitrag zum Prager Werk des slowenischen Architekten J. Plečnik ihre Dissertationsschrift, die in Kürze veröffentlicht wird, in Auszügen vor.The third volume of a series of books edited by the women’s representatives of the University of Bamberg shows the variety of topics female scientists are researching at the University of Bamberg

Ringen um Versöhnung II: Versöhnungsprozesse zwischen Religion, Politik und Gesellschaft

Seit der zweiten Hälfte des 20. Jahrhunderts wird im politisch-gesellschaftlichen Kontext der eigentlich religiös konnotierte Begriff "Versöhnung" immer häufiger zur Beschreibung von Konfliktlösungsstrategien benutzt. Doch was bedeutet Versöhnung bezogen auf Politik und Gesellschaft? Welche Faktoren sind relevant für Versöhnungsprozesse? Womit lassen sich Erfolge, aber auch Hindernisse und Rückschläge auf dem Weg der Versöhnung erklären? In dem vorliegenden Band gehen internationale Forscherinnen und Forscher aus Geschichtswissenschaft, Politikwissenschaft, Soziologie und Theologie diesen Fragen nach. In ihren Beiträgen wird Versöhnung auf zwei Ebenen reflektiert. Auf der ersten Ebene handelt es sich um übergreifende Analysen von Faktoren, die Versöhnungsprozesse beeinflussen. Auf der zweiten Ebene werden bestimmte Aspekte von Versöhnungsprozessen an einschlägigen Fallbeispielen aus dem Kontext des deutsch-französischen und russisch-finnischen Verhältnisses, des ehemaligen Jugoslawiens, Süd- und Nordkorea, der DDR und Südafrika veranschaulicht. Alle Beiträge machen deutlich, dass, obwohl unterschiedlichen Versöhnungsprozessen bestimmte Elemente gemeinsam sind, Versöhnung als ein sich dynamisch wandelnder, immer kontextgebundener Aushandlungsprozess erscheint, der multilateral von Akteuren aus Kirchen, Politik und Gesellschaft getragen wird