Diese Arbeit verfolgt das Ziel, Herausforderungen der Informationssicherheit und lösungsorientierte Handlungsempfehlungen aus organisatorischer und technischer Sicht für Unternehmen herauszuarbeiten. Dazu wird in dieser Arbeit der methodische Vorgang zur Erstellung von Sicherheitskonzepten für ein ISMS auf Grundlage des IT-Grundschutzes vom Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) erarbeitet. Das Ergebnis dieser Arbeit soll als Referenzmodell dienen und damit einen leicht umsetzbaren Rahmen bieten, an dem sich Unternehmen orientieren können.
Die stetige Weiterentwicklung im Bereich der IT hat das Wirtschaftswachstum stark vorangetrieben und dadurch wurden die Produktivität und Kosteneffizienz in Unternehmen deutlich verbessert. Sowohl in Unternehmen, als auch im täglichen Leben hat sich die IT als allgegenwärtiger Bestandteil entwickelt und die Systeme, die diesen Prozess vorantreiben, werden immer offener und vernetzter. In diesem Zusammenhang wird eine umfangreiche Menge an Informationen in Unternehmen eingesetzt, verarbeitet und verbreitet. Mittlerweile hat sich der Austausch dieser Informationen, das Versenden und Empfangen von Mails mit Anhängen und der Aufbau von Fernverbindungen im Alltag etabliert. Jedoch werden die damit verbundenen Risiken leicht vergessen, denn zusätzlich zum Fortschritt der Technologie haben auch die Informationsrisiken in den letzten Jahren zugenommen.
Die größte Gefahr geht dabei von Unbefugten aus, die Sicherheitslücken ausnutzen und sich somit Zugriff auf das Informationssystem von Unternehmen verschaffen. Trotzdem gehen viele Unternehmen zu nachlässig mit geschäftskritischen Informationen um und sind beispielsweise nicht auf Cyberangriffe vorbereitet. Obwohl viele Unternehmen durch Hackerangriffe, Datendiebstahl und andere Arten der Cyberkriminalität bedroht werden, sind die Präventionsstrategien der Unternehmen meist nicht ausreichend.
Inhaltsverzeichnis
- 1 Einleitung
- 2 Grundlagen und aktuelle Situation
- 2.1 Informationen, Informationssicherheit und IT-Sicherheit
- 2.1.1 Grundwerte der Informationssicherheit
- 2.1.2 Abhängigkeit der Unternehmen von ISMS
- 2.2 Governance, Compliance und Risikomanagement
- 2.3 Bedrohung und Schwachstellen
- 2.3.1 Gefahren in Unternehmen
- 2.3.2 Angreifergruppen und deren Schadenspotential
- 2.4 Staat, Wirtschaft und Gesellschaft
- 3 Gegenüberstellung von IT-Standards
- 3.1 Nutzen von Standards und COSO
- 3.2 ITIL
- 3.3 COBIT
- 3.4 ISO/IEC 27000er-Reihe
- 3.5 IT-Grundschutz
- 3.5.1 IT-Grundschutz-Kompendium
- 3.5.2 BSI-Standards
- 4 Sicherheitskonzepte des BSI-Standards 200-2
- 4.1 Initiierung der Sicherheitskonzepte
- 4.2 Organisation der Sicherheitskonzepte
- 4.3 BSI 200-2: Basis Absicherung
- 4.3.1 Modellierung des Informationsverbundes
- 4.3.2 IT-Grundschutz-Check
- 4.3.3 Vorgehen nach der Umsetzung
- 4.4 BSI 200-2: Kern Absicherung
- 4.4.1 Festlegung kritischer Komponenten
- 4.4.2 Strukturanalyse
- 4.4.3 Schutzbedarfserstellung und weitere Schritte
- 4.4.4 Risikoanalyse und Umsetzung des Konzepts
- 4.5 BSI 200-2: Standard-Absicherung
- 4.6 Umsetzung des Sicherheitskonzepts
- 4.7 Referenzmodell zur Umsetzung eines Sicherheitskonzepts
- 5 Fazit
Zielsetzung und Themenschwerpunkte
Diese Bachelor-Arbeit untersucht die Informationssicherheit in Unternehmen und die Erstellung von Sicherheitskonzepten auf Basis des BSI-Standards 200-2. Ziel ist es, ein umfassendes Verständnis der relevanten Grundlagen und des Standards zu vermitteln und dessen praktische Anwendung aufzuzeigen.
- Grundlagen der Informationssicherheit und IT-Sicherheit
- Analyse verschiedener IT-Standards und deren Vergleich
- Detaillierte Beschreibung des BSI-Standards 200-2 und seiner Sicherheitskonzepte
- Praktische Umsetzung von Sicherheitskonzepten anhand des BSI-Standards 200-2
- Entwicklung eines Referenzmodells für die Umsetzung
Zusammenfassung der Kapitel
1 Einleitung: Dieses Kapitel führt in das Thema Informationssicherheit in Unternehmen ein und beschreibt den Aufbau der Arbeit. Es erläutert die Relevanz des Themas und die Zielsetzung der Arbeit, nämlich die Erarbeitung und Darstellung von Sicherheitskonzepten basierend auf dem BSI-Standard 200-2. Die Einleitung skizziert den weiteren Verlauf der Arbeit und hebt die zentralen Aspekte hervor, die in den nachfolgenden Kapiteln behandelt werden.
2 Grundlagen und aktuelle Situation: Dieses Kapitel legt die theoretischen Grundlagen für die Arbeit. Es definiert die Begriffe Informationssicherheit und IT-Sicherheit, beleuchtet die Grundwerte der Informationssicherheit und die Abhängigkeit von Unternehmen von Informationssicherheitsmanagementsystemen (ISMS). Weiterhin werden Governance, Compliance und Risikomanagement im Kontext der Informationssicherheit behandelt. Ein besonderer Fokus liegt auf Bedrohungen und Schwachstellen, einschließlich der Beschreibung von Angreifergruppen und deren Schadenspotential. Abschließend wird der Zusammenhang zwischen Staat, Wirtschaft und Gesellschaft im Bereich Informationssicherheit betrachtet.
3 Gegenüberstellung von IT-Standards: In diesem Kapitel werden verschiedene relevante IT-Standards vorgestellt und miteinander verglichen. Der Nutzen von Standards im Allgemeinen und der COSO-Rahmen werden erläutert. Die Kapitel beleuchten ITIL, COBIT und die ISO/IEC 27000er-Reihe, wobei ein besonderer Schwerpunkt auf dem IT-Grundschutz und dem BSI-Standard 200-2 liegt. Der Vergleich der Standards soll die Besonderheiten und den Stellenwert des BSI-Standards 200-2 im Kontext der Informationssicherheit hervorheben.
4 Sicherheitskonzepte des BSI-Standards 200-2: Dieses Kapitel bildet den Kern der Arbeit und beschreibt detailliert die Sicherheitskonzepte des BSI-Standards 200-2. Es behandelt die Initiierung und Organisation von Sicherheitskonzepten und analysiert die verschiedenen Absicherungsstufen (Basis, Kern, Standard). Für jede Stufe werden die jeweiligen Schritte, Methoden und Vorgehensweisen detailliert dargestellt. Besonderes Augenmerk liegt auf der Modellierung des Informationsverbundes, dem IT-Grundschutz-Check, der Risikoanalyse und der Umsetzung der Konzepte. Das Kapitel schließt mit einem Referenzmodell zur Umsetzung eines Sicherheitskonzepts.
Schlüsselwörter
Informationssicherheit, IT-Sicherheit, BSI-Standard 200-2, Sicherheitskonzepte, Risikomanagement, IT-Grundschutz, ISMS, Compliance, Governance, ISO/IEC 27000, COBIT, ITIL, Angriffsszenarien, Schwachstellenanalyse.
Häufig gestellte Fragen zur Bachelorarbeit: Informationssicherheit und Sicherheitskonzepte nach BSI-Standard 200-2
Was ist der Gegenstand dieser Bachelorarbeit?
Die Bachelorarbeit befasst sich umfassend mit dem Thema Informationssicherheit in Unternehmen und der Erstellung von Sicherheitskonzepten basierend auf dem BSI-Standard 200-2. Sie analysiert die relevanten Grundlagen, vergleicht verschiedene IT-Standards und zeigt die praktische Anwendung des BSI-Standards 200-2 auf.
Welche Themen werden in der Arbeit behandelt?
Die Arbeit deckt ein breites Spektrum an Themen ab, darunter die Grundlagen der Informationssicherheit und IT-Sicherheit, die Analyse und der Vergleich verschiedener IT-Standards (z.B. ITIL, COBIT, ISO/IEC 27000, IT-Grundschutz), die detaillierte Beschreibung des BSI-Standards 200-2 und seiner Sicherheitskonzepte (Basis-, Kern- und Standardabsicherung), die praktische Umsetzung von Sicherheitskonzepten und die Entwicklung eines Referenzmodells für die Umsetzung.
Welche IT-Standards werden verglichen?
Die Arbeit vergleicht verschiedene relevante IT-Standards, darunter COSO, ITIL, COBIT, die ISO/IEC 27000er-Reihe und den IT-Grundschutz mit besonderem Fokus auf den BSI-Standard 200-2. Der Vergleich soll die Besonderheiten und den Stellenwert des BSI-Standards 200-2 im Kontext der Informationssicherheit hervorheben.
Wie wird der BSI-Standard 200-2 in der Arbeit behandelt?
Der BSI-Standard 200-2 bildet den Kern der Arbeit. Die Arbeit beschreibt detailliert die Sicherheitskonzepte des Standards, einschließlich der Initiierung und Organisation von Sicherheitskonzepten sowie der verschiedenen Absicherungsstufen (Basis, Kern, Standard). Für jede Stufe werden die Schritte, Methoden und Vorgehensweisen detailliert dargestellt, mit besonderem Augenmerk auf Modellierung des Informationsverbundes, IT-Grundschutz-Check, Risikoanalyse und Umsetzung der Konzepte.
Was ist das Ziel der Arbeit?
Das Ziel der Arbeit ist es, ein umfassendes Verständnis der relevanten Grundlagen und des BSI-Standards 200-2 zu vermitteln und dessen praktische Anwendung aufzuzeigen. Die Arbeit soll ein praxisrelevantes Referenzmodell für die Umsetzung von Sicherheitskonzepten nach BSI 200-2 liefern.
Welche Schlüsselwörter beschreiben den Inhalt der Arbeit?
Schlüsselwörter, die den Inhalt der Arbeit treffend beschreiben, sind: Informationssicherheit, IT-Sicherheit, BSI-Standard 200-2, Sicherheitskonzepte, Risikomanagement, IT-Grundschutz, ISMS, Compliance, Governance, ISO/IEC 27000, COBIT, ITIL, Angriffsszenarien, Schwachstellenanalyse.
Wie ist die Arbeit aufgebaut?
Die Arbeit gliedert sich in fünf Kapitel: Einleitung, Grundlagen und aktuelle Situation, Gegenüberstellung von IT-Standards, Sicherheitskonzepte des BSI-Standards 200-2 und Fazit. Jedes Kapitel behandelt spezifische Aspekte der Informationssicherheit und des BSI-Standards 200-2, wobei Kapitel 4 den detaillierten Ausführungen zum Standard gewidmet ist.
- Quote paper
- Onur Güldali (Author), 2018, Informationssicherheit in Unternehmen, Munich, GRIN Verlag, https://www.grin.com/document/1038627
