IT-Sicherheit
Wikipedia
http://de.wikipedia.org/wiki/Hauptseite
MediaWiki 1.6alpha
first-letter
Media
Spezial
Diskussion
Benutzer
Benutzer Diskussion
Wikipedia
Wikipedia Diskussion
Bild
Bild Diskussion
MediaWiki
MediaWiki Diskussion
Vorlage
Vorlage Diskussion
Hilfe
Hilfe Diskussion
Kategorie
Kategorie Diskussion
Portal
Portal Diskussion
IT-Sicherheit
24670
13318351
2006-02-03T08:02:45Z
ElRaki
38533
Änderungen von [[Benutzer:84.191.48.142]] rückgängig gemacht und letzte Version von [[Benutzer:Pd]] wiederhergestellt
'''IT-Sicherheit''' hat sich von einem mehr oder weniger inhaltslosen [[Schlagwort]] in den letzten Jahren zu einem Feld umfassender Tätigkeiten entwickelt.
Grundsätzlich ist die Bedeutung des Stichwortes IT-Sicherheit im unternehmerischen Bereich deutlich gefestigt, im privaten Bereich ergeben sich vielfältige Synonyme. Unter [[Computersicherheit]] sind viele gute Informationen verfügbar, die zu Hause hilfreich sein können.
==Ziel==
Hintergrund von IT-Sicherheit ist es, den quasi unerlässlich gewordenen Einsatz von [[IT]] mit entsprechender Sicherheit zu unterlegen und dies zu dokumentieren, um Unternehmen und Kunden einen möglichst hohen Schutz zu gewähren. Der Schutz besteht darin, sensitive Daten und Geschäftsvorgänge zu schützen sowie eine Beeinträchtigung der Geschäftstätigkeiten durch Pannen in der IT, die auch existenzbedrohend sein können, nach Möglichkeit auszuschließen.
==Durchführung==
Allgemein wird für eine erfolgreiche Etablierung des IT-Sicherheitsprozesses ein [[Top-Down-Prozess]] als unerlässlich angesehen. Der für das Unternehmen im Außenverhältnis Verantwortliche für IT-Sicherheit, also der Vorstand/Geschäftsführer o.ä. muss sich der Bedeutung des Themas bewusst werden und es innerhalb der [[Unternehmensphilosophie]] (hinter diesem Link verbirgt sich ein Redirect auf Unternehmenskultur, was mE zu differenzieren ist) oder der [[Unternehmensleitlinie|Unternehmensleitlinien]] verankern.
Erst wenn dies erfolgt ist, kann die Umsetzung des IT-Sicherheitsgedankens erfolgen.
Die weiteren Schritte können vielfältig sein. Hier sollen nur Eckpunkte und Meilensteine genannt werden.
===IT-Sicherheitsbeauftragter===
Da der Vorstand/Geschäftsführer i.d.R. nicht die zeitlichen Möglichkeiten hat, sich um das Thema vollumfänglich zu kümmern, wird er einen IT-Sicherheitsbeauftragten bestimmen. Dieser sollte
* eine deutliche Affinität zur IT haben
* allgemeines Vertrauen genießen
* Erfahrung in Projektarbeit besitzen
* die Stelle besetzen wollen und nicht müssen
* direkt dem Vorstand/Geschäftsführer unterstellt werden
* mit ausreichenden zeitlichen Mitteln ausgestattet sein.
Der IT-Sicherheitsbeauftragte (ITSB) nebst seiner hierarchischen Stellung, den Aufgaben und den Kompetenzen wird dem Gesamtunternehmen bekanntgegeben. Er ist fortan Ansprechpartner für sämtliche Fragen IT-Sicherheit betreffend und sollte auch dringend bei Entscheidungsfindungs- und Auswahlprozessen in Sachen Software, IT-Struktur, Neubau und vergleichbarem hinzugezogen werden.
===Sicherheitspolitik===
Die Sicherheitspolitik umfasst gesteckte Ziele der IT-Sicherheit, hier wird also ein Soll-Zustand ermittelt. Mit diesem Soll-Zustand erreicht das Unternehmen den gewünschten Grad seiner IT-Sicherheit.
===Sicherheitscheck===
In diesem aufwendigen Bereich werden die Ziele mit dem aktuellen Ist-Zustand verglichen um daraus fällige Maßnahmen zu bilden. Diese Maßnahmen müssen nach wirtschaftlichen Gesichtspunkten abgewägt werden und münden damit in die Massnahmenplanung.
===Massnahmenplanung===
In diesem Plan wird festgehalten bis wann welche Maßnahme durch wen unter Zuhilfenahme welcher Mittel durchgeführt wird. Als Basis für diese Maßnahmen gelten die jeweils definierten Sicherheitsziele eines Unternehmens.
In der Praxis handelt es sich hierbei um einen extrem umfangreichen Prozess, der eine stringente Dokumentation und fortdauernde Pflege voraussetzt, um sinnvoll eingesetzt zu werden und auf Dauer erfolgreich ist. Der ITSB wird meistens durch ein IT-Sicherheitsteam (ITST) unterstützt, das sich klassischerweise aus (IT-)Organisation, Revision, Controlling und/oder anderen entsprechenden Schlüsselfiguren zusammensetzt.
==Umsetzungsbereiche==
===IT-Sicherheit bei [[Sparkasse|Sparkassen]] und [[Banken]]===
Zur Beschleunigung des Prozesses und Hervorhebung der Wichtigkeit haben unter anderem die Ergebnisse von [[Basel II]], die Vorschriften von [[BaFin]] und des [[KWG]] sowie der einzelnen Verbandsrevisionen der [[Sparkasse|Sparkassen]] und [[Banken]] beigetragen.
Verstärkt werden sowohl externe als auch interne Prüfungen auf dieses Thema ausgelegt.
Gleichzeitig entstand ein umfangreiches Dienstleistungsangebot zur Durchführung verschiedener Projekte, die einen IT-Sicherheitsprozesses in Unternehmen etablieren sollen. Anbieter sind sowohl innerhalb der jeweiligen Unternehmensgruppe als auch auf dem externen Markt zu finden.
===IT-Sicherheit bei anderen Unternehmen des Finanzdienstleistungssektors===
Bei anderen Finanzdienstleistungsinstituten, Versicherungsunternehmen und den Unternehmen des Wertpapierhandels wird das Konzept im Allgemeinen identisch sein, wobei hier zum Beispiel auch andere Gesetze eine Rolle spielen können.
===IT-Sicherheit bei anderen Unternehmen===
In den weiteren Sektoren der Wirtschaft sind weniger relevante Aufsichtsbehörden, Gesetzgebungen u.ä. aber auch weniger prüfende Stellen wie zum Beispiel Revisionen zu finden. Die Bedeutung von IT-Sicherheit behält trotzdem auch hier ihren Stellenwert. Hilfestellung gewährt hier das [[GSHB|Grundschutzhandbuch]] des [[Bundesamt für Sicherheit in der Informationstechnik|BSI]], dessen Nutzung kostenfrei ist.
===IT-Sicherheit öffentlichen Einrichtungen und Behörden===
In diesem Bereich ist das [[GSHB|Grundschutzhandbuch]] des BSI das Standardwerk. In großem Maße erhalten diese Stellen das zugehörige [[GSTool|Grundschutztool]], welches die Durchführung deutlich vereinfacht, kostenlos.
===IT-Sicherheit - Sensibilisierung der Mitarbeiter===
Ein wichtiger Aspekt in der Umsetzung von Sicherheitsrichtlinien ist die Ansprache der eigenen Mitarbeiter, die Bildung von sogenannter IT-Security Awareness. Hier fordern die ersten Arbeitsrichter den Nachweis der erfolgten Mitarbeitersensibilisierung für den Fall eines etwaigen Verstoßes gegen die Firmenrichtlinien.
Mitarbeitersensibilisierung variiert typischerweise von Unternehmen zu Unternehmen. Ausgehend von Präsenzveranstaltungen über [http://www.mainskill.de web basierte Seminare] bis hin zu Sensibilisierungskampagnen.
== Literatur ==
* [[Frederik Humpert]]: ''IT-Grundschutz umsetzen mit GSTOOL''. Hanser, ISBN 3-446-22984-1
* [[Klaus-Rainer Müller]]: ''IT-Sicherheit mit System''. 2. Auflage 2005. VIEWEG, ISBN 3-528-15838-7
* [[Bruce Schneier]]: ''Secrets & Lies: IT-Sicherheit in einer vernetzten Welt''. Broschiert 2004. dpunkt Verlag, ISBN 3-89864-302-6
==Weblinks==
* [http://www.bsi.bund.de/ Website des Bundesamts für Sicherheit und Informationstechnik]
* [http://www.bsi-fuer-buerger.de/ ''Ins Internet – Mit Sicherheit'' (Informations-Website des BSI für Internetnutzer)]
* [http://www.its.rub.de/ Studiengang "Sicherheit in der Informationstechnik" an der Ruhr-Universität Bochum]
* [http://www.computec.ch computec.ch] - deutschsprachiges Portal zum Thema IT-Sicherheit
[[Kategorie:IT-Sicherheit|!]]
Diese Version des Artikels stammt vom 20.02.2006.
Der Inhalt dieser Seite basiert auf dem Artikel
„IT-Sicherheit“ aus der freien Enzyklop�die
Wikipedia und ist unter der
GNU-Lizenz f�r freie Dokumentation ver�ffentlicht. Auf der Wikipedia-Seite ist eine
Liste der Autoren einzusehen.
