HMD 248, 43. Jahrgang, April 2006

Kosten & Nutzen von IT-Sicherheit

Messung der Informationssicherheit auf der Ebene der Sicherheitspolitik

Peter Windemann, Thomas Schlienger, Stephanie Teufel

Zusammenfassung

Bei der Informationssicherheit geht es um eine ganzheitliche Betrachtung der möglichen Bedrohungen und deren Auswirkungen auf ein Unternehmen in Anbetracht einer Minimierung der Kosten aus Schadensfällen und Verhinderungsmaßnahmen. Informationssicherheit muss zwingend auf strategischer Ebene geplant werden. Damit sich die Mitarbeitenden gemäß den Zielen und Vorgaben des Managements verhalten, benötigen sie ein Dokument, das kurz und prägnant die wichtigsten Kriterien verständlich zusammenfasst. Diese zentrale Doktrin ist die Sicherheitspolitik. Mittels eines Kennzahlensystems kann überprüft werden, ob die Vorgaben der Politik auch entsprechend gelebt und umgesetzt werden. Anhand von drei ausgewählten Elementen wird eine solche Metrik erstellt und die Anwendung verdeutlicht. Die Ergebnisse sind durch eine Expertenbefragung auf ihren Einsatz in der Praxis überprüft.

Inhaltsübersicht

  1. Einleitung
  2. Informationssicherheit
    1. Bezugsobjekt
    2. Risiken
    3. Umgang mit Risiken
  3. Sicherheitspolitik
    1. Überprüfung der Sicherheitspolitik
  4. Messen der Sicherheit
    1. Entwicklung einer Metrik
      1. Sieben-Punkte-Methode
      2. NIST-Methode
      3. Zusammenzug: Allgemeines Raster
    2. Anwendung der 4W-Methode
  5. Fazit
  6. Literatur