Fachhochschule Brandenburg Foundation for International Business Administration Accreditation

Publikationen im Bereich Security Management

Bulletin Security Management

1. Auslagerung von IT-Services: Klassifikation und Risikomodell

Anwender können für den Betrieb von Informationstechnologie (IT) Fremdleistungen in Anspruch nehmen. Die Arbeitsteilung zwischen IT-Leistungserbringer und Anwender kann dabei sehrunterschiedlich ausgestaltet werden. Entsprechend verschieden sind die Dienstleistungsmodelle der Anbieter. Der Beitrag beschreibt ein Schema zur Klassifizierung der Fremdleistungen und erläutert wichtige Dienstleistungsmodelle. Ein wesentliches Kriterium bei der Auswahl durch den Anwender sind die Risiken, die mit dem jeweiligen Modell verbunden sind, bei einem anderen aber eventuell gar nicht bestehen. Als Grundlage für die erforderliche differenzierte Risikobetrachtung wird der Begriff Risiko definiert und in vier Dimensionenaufgespaltet. Jedeist auf eigene Weise relevant in Bezug auf die Sicherheitsbewertung von Fremdleistungen und mit bestimmten Aufgaben für den Anwender verbunden. Das Klassifikationsschema für IT-Services und die Dimensionen im Risikomodell unterstützen Anwender dabei, ein systematisches und umfassendes Verfahren zur Bewertung von Risiken und damit der Informationssicherheit nutzen zu können.

2. Sicherheitsaspekte beim Cloud-Computing

Anwender konzentrieren sich auf das Kerngeschäft und lagern IT-Leistungen zunehmend an externe Dienstleister aus. Jedes der angebotenen Modelle ist mit spezifischen Risiken bezüglich der IT-Sicherheit verbunden, mit denen sich die Anwender im Rahmen ihre Risikomanagements auseinander setzen müssen. Um „Unsicherheiten“ im Sinne von mangelndem Wissen über real vorhandenen Risiken zu beseitigen, müssen Anwender vorab ihre Anbieter, deren Services und die Art der Serviceerbringung evaluieren. Der Beitragzeigt wichtige Aspekte, Fragestellungen und eventuelle Grenzen bei der Herstellungder benötigten Transparenz speziell am Beispiel Cloud-Computing. Auf dieser Basis müssen dann gegebenenfalls „Unsicherheiten“ im Sinne unakzeptabler Risiken (durchmangelndeIT-Sicherheit) beseitigt werden. Dazu muss der Anwender im Rahmen eines im Beitrag skizzierten Vorgehensmodells seine Anforderungen genau spezifizieren. Dies kann gesetzliche Datenschutzanforderungen (BDSG) einschließen. Erst dann kann die Umsetzung auf operativer Ebene bewertet werden. Die Arbeitsteilung in modernen Dienstleistungsmodellen schafft aber nicht nur Risiken, sondern senkt die Kosten und kann sogar das Sicherheitsniveau anheben. In jedem Falle hat der Anwender eine geschäftliche Entscheidung zutreffen. Der Beitrag bietet Hilfestellungen dazu.

3. Rollen der Informationssicherheit in einer Best-Practice-Organisation

Die Reife eines Unternehmens im Hinblick auf den Umgang mit Informationssicherheit hängt sehr stark von der Art ab, wie diese organisatorisch im Unternehmenverankert ist. Dabei geht es vor allem um Prozesse des Informationssicherheitsmanagements und um die Verantwortlichkeiten im Umfeld der Informationssicherheit. Die ISO 27001:2005 beziehungsweise ISO 27002:2005 als detaillierte Referenznorm gibt den groben Rahmen unter anderem für die Organisation von Informationssicherheit im Unternehmen und mit Blick auf externe Partner vor. Sie lässt jedoch offen, wie im Einzelnen die Rollenverteilt sein sollen. Die Zuweisung und Wahrnehmung von Verantwortlichkeiten ist aber entscheidend, da geschäftliche Entscheidungen zu treffen sind hinsichtlich der aufzuwendenden Mittel einerseits und des als adäquat angestrebten Sicherheitsniveaus andererseits. Da jedes Unternehmen andere Ausgangsvoraussetzungen mitbringt, gibt es hierfür kein Patentrezept, wohl aber Best-Practices. Der Beitrag zeigt, wie Informationssicherheit von den unterschiedlichen Führungspositionen wahrgenommen und bewertet wird und stellt dem Empfehlungen für Rollenmodelle gegenüber. Auf Spezifika beim Mittelstand wird hingewiesen.Den Empfehlungen werden abschließend die Ergebnisse einer Erhebung in deutschen Unternehmen gegenübergestellt. Die Diskrepanzen sind teilweise deutlich.

4. ISO/IEC 27001 in der Praxis

Dieser Beitrag beschreibt die Entstehung des ISO/IEC 27001 Standards und die Gründe warum seine Akzeptanz ständig zunimmt. Es wird dargestellt, welchen Status ISO/IEC 27001 heute hat und wie Unternehmen vorgehen, um ein ISMS basierend auf ISO/IEC 27001 aufzubauen. DerHauptteil besteht aus einer Betrachtung der verschiedenen Phasen von Implementierung, Prüfung und Zertifizierung. Dabei werden auch notwendige Investitionen benannt. Den Abschluss bilden Beobachtungen, wie Unternehmen Prüfung und Zertifizierung in der Praxis effizient vorbereiten und durchführen können.

Master-Thesis

1. Ontologiebasierte Zugriffskontrolle in Serviceorientierten Architekturen

Die Bedeutung von serviceorientierten Architekturen wächst stetig. Dabei rücken neben der funktionalen vor allem sicherheitsrelevanten Anforderungen in den Fokus der Betrachtung. Zur Realisierung von offenen, kollaborativen und sicheren Systemen sind dies im Besonderen Zugriffskontrollmechanismen. Die Umsetzung feingranularer Zugriffskontrollen mit Hilfe von standardisierten Methoden und Modellen, ist vor dem Hintergrund der Grundprinzipien serviceorientierter Architekturen von entscheidender Bedeutung. (Master-Thesis von Heiko Kirsch)
Diese Master-Thesis wurde mit dem ASQF-Förderpreis (PDF-Dokument) ausgezeichnet.

Allgemein Publikationen

1. EKIAS Studie

Ziel des Projektes ist die Erstellung einer Studie, mit der geprüft werden soll, inwieweit PKI-Verfahren die ursprünglich geplanten technischen, wissenschaftlichen und politischen Zielstellungen erreicht haben bzw. inwieweit diese mit ihnen umgesetzt werden konnten oder nicht. Weitere Informationen zum Forschungsprojekt finden Sie unter https://www.ekias.de/.