IT Sicherheit

• Nicht alles steht in einem Katalog oder einer Checkliste
• Sonderbare Ideen haben meistens ihren Wert

Risikobewertung ist die Wahrscheinlichkeit, mit der eine Gafahr zum Schaden führt.

Eintrittswahrscheinlichkeit in %, Schaden in Geldeinheiten

• Indikatoren (Veränderung der Gefahr)
• Überprüfen + Kausalzusammenhänge + Korrelationsanalyse
• Schwellenwerte
• Planung/Maßnahmen in Abhängigkeit der Schwellenwerte
• Dokumentation + Kommunikation

Ist genauer und hat eher Recht als die klassische Wahrscheinlichkeit

\(P (K|T) = {{P(T|K) * P(K) } \over P (T|K) * P(K) + P(T|Kc)*P(Kc) } ~0,0186\)

P(A|B) = Wahrscheinlichkeit Ergebnis A under Bedingung, dass B eingetreten ist

P(A) Wahrscheinlichkeit für Ergebnis A

\(P(A|B) = {{P(B|A) * P(A) } \over P(B)}\)

große Zahl möglicher Grundlagen:

• Sicherheitsstandards i.e.S
• Gesetze
• Prüfungsstandards
• ergänzende Methodik (ISOs)

• BS 7799 - Britisch Standard 7799
• BSI Grundschutz - Sammlung von vier Standards zur Herstellung von IT Sicherheit
• NIST SP 800-12 - National Institute of Standardization and Technology
• OSA - Open Security Architacture

• BDSG - Bundesdatenschutzgesetzt
• EnWG - Energiewirtschaftsgesetz
• SOX/J-SOX - Sarbanes-Oxley Act
• ITSG - IT-Sicherheitsgesetz

• Cobis - Framework für Control Objectives for Information and Related Technology
• IDW PS 951 - Prüfungsstandard des Instituts der Wirtschaftsprüfer
• SAS 70 - Statement on Auditing Standards

• CMMI - Capability Maturity Model Integration
• ISO 900x - Internationale Norm für Qualitätsmanagement
• ITIL - IT Infrastructure Library
• VDA 6.3 - Verband der Automobilindustrie

• Im Bezug auf Qualität und Leistung als mustergültig angesehen wird
• Kann durch Gesetz verbindlich werden
• Nur für manche Branchen oder Berufsgruppen

• Gesetzliche Anforderungen
  • SOX
  • EnWG
  • Konzern
• Kundenwunsch
  • Automotive/Zulieferer
  • Zahlungssysteme
  • Kunde unterliegt gesetzlichen Verpflichtungen
• Eigene Entscheidung
  • strukturiert und systematische Vorgehensweise
• Sonstige
  • Branchentypische Auswahl
  • Wirtschaftsprüfer
  • Investoren
  • Nach Übernahme

ISO: Das Unternehmen hat alle erforderlichen Voraussetzungen geschaffen um voraussichtlich alle Anforderungen zu erfüllen

PS: Das Unternehmen hat im zurückliegenden Jahr alle erforderlichen Maßnahmen ergriffen. Im Ergebnis hat das Unterhemen alle ANforderungen erfüllt

Mit jeder Maschine, die man kauft, kauft man SOftware, von der man nicht weiß, ob und wie diese Funktioniert

Sie können noch so restriktive Rechte vergeben - Teile der Applikation erfordern regelmäßig privilegierte Statur

• In Deutschland Pflicht
• Zweck: Schutz des Einzelnen vor beeinträchtigung beim Umgang mit personenbezogenen Daten
• Wesentliche Grundsätze:
  • Verbot mit Erlaubnisvorbehalt (Zustimmung des Betroffenen)
  • Datensparsamkeit und Datenvermeidung (so wenig wie möglich personenbezogene Daten, Nutzung von Anonymisierung)

• Das Gesetz zum Thema
• Ziele:
  • Signifikante Verbesserung der Sicherheit von IT-Systemen
  • Schutz der Systeme im Hinblick auf Schutzgüter (CIA)
  • Verbesserung der IT-Sicherheit von Unternehmen
  • Stärkung von Zusammenhang mit BSI
• Auswirkungen
  • Vorschriften, das Beeinträchtigungen direkt gemeldet werden müssen (BSI/BNetzA)

Prüfungsstandard des Instituts der Deutschen WIrtschaftsprüfer

• Ziel: Beurteilung des IT-gestützen Rechnungslegungssystem ob es den gesetzlichen Anforderungen entspricht, um die Ordnunngsmäßigkeit der Buchführung zu treffen
• Umfang: Insoweit, das alle Elemente, die Daten über Geschäftsvorfälle oder betriebliche Aktivitäten verarbeiten, welche direkt in die IT-gestützte Rechnungslegung einfließen /rechnungslegungsrelevante Daten)

• Buchführung
• Jahresabschluss/Konzernabschluss
• Lagebericht/Konzernlagebericht

Prüfungsgegenstand:

• IT-Kontrollsystem/IT-Organisation/IT-Umfeld
• IT-System
  • IT-gestützte Geschäftsprozesse
  • IT-Anwendungen
  • IT-Infrastruktur

Anforderungen:

• Ordnungsmäßigkeit (Vollständigkeit)
• Richtigkeit
• Zeitgerechtigkeit
• Nachvollziehbarkeit

IT-Fehlerrisiken:

• Geschäftsprozessrisiken
• Anwendungsrisiken
• Infrastrukturrisiken

Bild

• Verbindlichkeit
• Vertraulichkeit
• Authentizität
• Autorisierung
• Ingetrität
• Verfügbarkeit

Viel Viel Arbeit (sowohl für WP als auch für Unternehmen)

Outsourcing (hochsensible Schnittstelle) schafft Notwendigkeit, die lückenlose Kontrolle der Geschäftsprozesse nachzuweisen

Sect 404: Name, Beschreibung, Typ, Design, Walkthrough, Testing

Type 1 /SSAE 16): ledigliche Prüfung des Kontrolldesigns + Implementierung der Kontrolle ohne Stichproben der Kontrollmaßnahmen.

Type 2 /SSAE 16): zusätzliche Prüfung + Ausführung der Kontrollen über definierten Zeitraum

Nationalisierung des SSAE 16

Strategie: Die Lehre vom Gebrauch der Gefechte zum Zwecke des Krieges

Taktik: Lehre vom Gefecht

Ein IT Service basiert auf dem Einsatz von IT und unterstützt Geschäftsprozesse. Besteht aus Kombination von Personen, Pozessen und Technologien. Wird in einem Service Level Agreement definiert

Steuerungs- und Regelungssystem im Sinn von Strukturen einer politsch-gesellschaftlichen Einheit.

Beinhaltet folgende Prinzipien: Responsibility, accountability, transparency, fairness

Control OBjectives for Information and related Technology

Modell zur effizienten und effektiven Überwachung und Steuerung der gesamten IT Umgebung.

Stellt sicher, dass

• eingesetzte IT die Geschäftsziele abdeckt
• Ressourcen verantwortungsvoll eingesetzt werden
• Risiken angemessen überwacht werden

Verbindung von Proess mit Zielen und Kontrollanforderungen

• Kontrolle von IT-Prozessen -->
• zur Erfüllung von Geschäftsanforderungen -->
• wird ermöglicht durch Kontrollaussagen -->
• und Berücksichtigung von Kontrollpraktiken

1. Optimised
2. Managed and Measurable
3. defined
4. -
5. -
6. Repeatable, Ad Hoc, Non-existent

1. Optimised
2. Predictable
3. Establisched
4. Managed
5. Performed
6. Incomplete

Entstanden aufs Initiative der britischen Regierung

"Best practice framework"

Einzuordnen (Pyramide, von oben nach Unten) zwischen

• Spezifikation
• Code of Prectice
• ITIL
• Unternehmsspezifische Richtlinien, ABläufe, Verfahren, Prozesse (KVP)

BILD

• Service Strategy
  • definiert Strategie für Bereitstellung und Management von IT-Services
• Service Design
  • Design: IT-Services, regulierende Praktiken, Prozesse, Richtlinien; die für realisierung von IT-Services notwendig sind
• Service Transition
  • verantwortlich für die Planung von IT-Service Transaktionen- Koordination von Ressourcen
• Service Operation
  • Koordinierung und Ausführung der Aktivität und Prozesse.
  • Management der Technologie zur Erbringung von IT-Services
• Continoual Service Improvement
  • verantwortlich für Definition und Management der Schritte zur Umsetzung von Verbesserungen.
  • Erhöhung von Effizienz, Effektivität, Wirtschaftlichkeit von IT-Services