Table Of ContentKlaus-Rainer Müller
Handbuch Unternehmenssicherheit
Klaus-Rainer Müller
Handbuch
Unternehmens-
sicherheit
Umfassendes Sicherheits-, Kontinuitäts-
und Risikomanagement mit System
2., neu bearbeitete Auflage
Mit 35Abbildungen
PRAXIS
Bibliografische Information der Deutschen Nationalbibliothek
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der
Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über
<http://dnb.d-nb.de> abrufbar.
Das vorliegende Buch wurde aus fachlicher, nicht aus juristischer Sicht geschrieben und nach bestem
Wissen und Gewissen sowie mit größter Sorgfalt erstellt und qualitätsgesichert. Weder Autor noch Ver-
lag können jedoch die Verantwortung oder Haftung für Schäden übernehmen, die im Zusammenhang
mit der Verwendung des vorliegenden Werkes und seiner Inhalte entstehen. Das Buch kann eine
B eratung nicht ersetzen.
Bei zitierten oder ins Deutsche übersetzten Textpassagen, die aus Originaldokumenten stammen,
g elten in Zweifelsfällen die Originaldokumente.
Die in diesem Buch angegebenen Quellen und Webseiten wurden zum Zeitpunkt ihrer Einsichtnahme
nach bestem Wissen und Gewissen sowie mit größter Sorgfalt ausgewählt. Eine Haftung, Garantie oder
Verantwortung für die in diesem Buch angegebenen Webseiten und Quellen sowie deren Inhalte kann
in keinerlei Hinsicht übernommen werden. Für Webseiten, welche aufgrund einer solchen Angabe
aufgerufen werden, wird keine Verantwortung übernommen. Dementsprechend distanziert sich der
Autor ausdrücklich von ihnen.
Der Umfang dieses Buches ist – im Gegensatz zur behandelten Thematik – begrenzt. Demzufolge
e rhebt das Werk keinen Anspruch auf Vollständigkeit.
Rechte Dritter wurden – soweit bekannt – nicht verletzt.
Für in diesem Werk genannte Markennamen, Warenbezeichnungen, Gebrauchsnamen, Handelsnamen
etc. gelten, auch wenn sie falsch oder nicht als solche gekennzeichnet sind, die entsprechenden
Schutzbestimmungen und -rechte in ihrer jeweils aktuellen Fassung.
Höchste inhaltliche und technische Qualität unserer Produkte ist unser Ziel. Bei der Produktion und
Auslieferung unserer Bücher wollen wir die Umwelt schonen. Dieses Buch ist auf säuref reiem und
chlorfrei gebleichtem Papier gedruckt. Die Einschweißfolie besteht aus Polyäthylen und damit aus
organischen Grundstoffen, die weder bei der Herstellung noch bei der Verb rennung Schadstoffe
freisetzen.
1. Auflage 2005
2., neu bearbeitete Auflage 2010
Alle Rechte vorbehalten
© Vieweg+Teubner Verlag|Springer Fachmedien Wiesbaden GmbH 2010
Lektorat: Christel Roß|Maren Mithöfer
Vieweg+Teubner Verlag ist eine Marke von Springer Fachmedien.
Springer Fachmedien ist Teil der Fachverlagsgruppe Springer Science+Business Media.
www.viewegteubner.de
Das Werk einschließlich aller seiner Teile ist urheberrechtlich ge schützt. Jede
Verwertung außerhalb der engen Grenzen des Ur heber rechts ge set zes ist ohne
Zustimmung des Verlags unzuläss ig und strafb ar. Das gilt insb es ondere für
Vervielfältigungen, Über setzun gen, Mikro verfil mungen und die Ein speiche rung
und Ver ar beitung in elek tro nischen Syste men.
Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk
berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im
Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher
von jedermann benutzt werden dürften.
Umschlaggestaltung: KünkelLopka Medienentwicklung, Heidelberg
Druck und buchbinderische Verarbeitung: MercedesDruck, Berlin
Gedruckt auf säurefreiem und chlorfrei gebleichtem Papier.
Printed in Germany
ISBN 978-3-8348-1224-7
Vorwort
Welches Ziel verfolgt dieses Buch?
Effiziente(cid:2)Existenz(cid:3)(cid:2)und(cid:2)Zukunftssicherung(cid:2)sowie(cid:2)zielgerichtete(cid:2)Risikosteuerung(cid:2)
sind(cid:2)entscheidende(cid:2)Managementaufgaben(cid:2)in(cid:2)einem(cid:2)Unternehmen.(cid:2)Ihre(cid:2)Bedeutung(cid:2)
wächst(cid:2)rasant(cid:2)aufgrund(cid:2)zunehmender(cid:2)gesetzlicher(cid:2)Vorgaben,(cid:2)wie(cid:2)KonTraG(cid:2)und(cid:2)
UMAG.(cid:2)Hinzu(cid:2)kommen(cid:2)branchenspezifische(cid:2)Regularien(cid:2)in(cid:2)Form(cid:2)von(cid:2)Basel(cid:2)II(cid:2)und(cid:2)
MaRisk(cid:2)für(cid:2)Banken(cid:2)sowie(cid:2)für(cid:2)Investmentgesellschaften(cid:2)und(cid:2)MaComp(cid:2)für(cid:2)Wertpa(cid:3)
pierdienstleistungsunternehmen.(cid:2)Bei(cid:2)Versicherungsunternehmen(cid:2)ergeben(cid:2)sich(cid:2)An(cid:3)
forderungen(cid:2)aus(cid:2)Solvency(cid:2)II(cid:2)und(cid:2)MaRisk.(cid:2)In(cid:2)der(cid:2)chemischen(cid:2)bzw.(cid:2)pharmazeuti(cid:3)
schen(cid:2)Industrie(cid:2)sind(cid:2)das(cid:2)ChemG(cid:2)bzw.(cid:2)das(cid:2)AMG(cid:2)und(cid:2)die(cid:2)AMWHV(cid:2)sowie(cid:2)die(cid:2)
verschiedenen(cid:2)Guten(cid:2)Praktiken(cid:2)zu(cid:2)beachten.(cid:2)Wirtschaftliches,(cid:2)transparentes(cid:2)und(cid:2)
durchgängiges(cid:2)Sicherheits(cid:3),(cid:2)Kontinuitäts(cid:3)(cid:2)und(cid:2)Risikomanagement(cid:2)sind(cid:2)gefordert.(cid:2)
Trotz(cid:2)dieser(cid:2)hohen(cid:2)Bedeutung(cid:2)und(cid:2)der(cid:2)Haftungsrisiken(cid:2)weist(cid:2)die(cid:2)Sicherheits(cid:3)(cid:2)bzw.(cid:2)
Risikosituation(cid:2)in(cid:2)Unternehmen(cid:2)Defizite(cid:2)auf,(cid:2)z.(cid:2)B.(cid:2)bei(cid:2)Zielen,(cid:2)Strategie,(cid:2)Struktur,(cid:2)
Transparenz,(cid:2) Umsetzung(cid:2) und(cid:2) Effizienz.(cid:2) Hinzu(cid:2) kommt(cid:2) eine(cid:2) Fokussierung(cid:2) des(cid:2)(cid:2)
Sicherheits(cid:3),(cid:2)Kontinuitäts(cid:3)(cid:2)und(cid:2)Risikomanagements(cid:2)auf(cid:2)den(cid:2)Arbeitsschutz(cid:2)und(cid:2)den(cid:2)
IT(cid:3)Betrieb.(cid:2)Der(cid:2)Schutz(cid:2)der(cid:2)Geschäftsprozesse(cid:2)inklusive(cid:2)der(cid:2)Fertigungs(cid:3)(cid:2)und(cid:2)Pro(cid:3)
duktionsprozesse(cid:2)sowie(cid:2)der(cid:2)dazu(cid:2)benötigten(cid:2)Schutzobjekte(cid:2)wie(cid:2)z.(cid:2)B.(cid:2)Gebäude,(cid:2)(cid:2)
Infrastruktur,(cid:2)Informations(cid:3)(cid:2)und(cid:2)Kommunikationssysteme(cid:2)sowie(cid:2)Know(cid:3)how(cid:2)wird(cid:2)
oft(cid:2)vernachlässigt.(cid:2)Die(cid:2)Abhängigkeiten(cid:2)der(cid:2)Geschäftsprozesse(cid:2)voneinander(cid:2)und(cid:2)
von(cid:2) ihrer(cid:2) Umwelt(cid:2) werden(cid:2) häufig(cid:2) unzulänglich(cid:2) beachtet.(cid:2) Die(cid:2) Integration(cid:2) der(cid:2)(cid:2)
Sicherheit(cid:2)in(cid:2)den(cid:2)Lebenszyklus(cid:2)von(cid:2)Prozessen,(cid:2)Ressourcen,(cid:2)Organisation,(cid:2)Produk(cid:3)
ten(cid:2)und(cid:2)Dienstleistungen(cid:2)erfolgt(cid:2)oftmals(cid:2)nicht(cid:2)oder(cid:2)nur(cid:2)unzureichend.(cid:2)
Die(cid:2)dreidimensionale(cid:2)SicherheitspyramideDr.(cid:3)Ing.(cid:2)Müller(cid:2)liefert(cid:2)ein(cid:2)durchgängiges,(cid:2)pra(cid:3)
xisorientiertes(cid:2)und(cid:2)systematisches(cid:2)Vorgehensmodell(cid:2)für(cid:2)den(cid:2)Aufbau(cid:2)und(cid:2)die(cid:2)Wei(cid:3)
terentwicklung(cid:2)des(cid:2)Sicherheits(cid:3),(cid:2)Kontinuitäts(cid:3)(cid:2)und(cid:2)Risikomanagements.(cid:2)Sie(cid:2)be(cid:3)
rücksichtigt(cid:2) Prozesse,(cid:2) Ressourcen,(cid:2) Organisation(cid:2) und(cid:2) Lebenszyklen.(cid:2) In(cid:2) ihren(cid:2)
mehrdimensionalen(cid:2)Rahmen(cid:2)können(cid:2)Sie(cid:2)die(cid:2)unterschiedlichsten(cid:2)Sicherheits(cid:3)(cid:2)und(cid:2)
Risikothematiken(cid:2)„einklinken“,(cid:2)so(cid:2)Defizite(cid:2)reduzieren(cid:2)und(cid:2)die(cid:2)Effizienz(cid:2)steigern.(cid:2)
Die(cid:2)1995(cid:2)vorgestellte(cid:2)Sicherheitspyramide(cid:2)[1](cid:2)lässt(cid:2)sich(cid:2)für(cid:2)die(cid:2)gesamte(cid:2)Palette(cid:2)
von(cid:2)Sicherheitsthemen(cid:2)eines(cid:2)Unternehmens(cid:2)nutzen.(cid:2)Im(cid:2)Buch(cid:2)„IT(cid:3)Sicherheit(cid:2)mit(cid:2)
System“(cid:2)[2](cid:2)wurde(cid:2)sie(cid:2)dreidimensional(cid:2)und(cid:2)im(cid:2)Hinblick(cid:2)auf(cid:2)die(cid:2)Sicherheit(cid:2)der(cid:2)EDV(cid:2)
beschrieben.(cid:2)Das(cid:2)vorliegende(cid:2)Buch(cid:2)stellt(cid:2)die(cid:2)Sicherheitspyramide(cid:2)unter(cid:2)dem(cid:2)Fokus(cid:2)
der(cid:2)Unternehmens(cid:3)(cid:2)und(cid:2)der(cid:2)Geschäftsprozesssicherheit(cid:2)dar.(cid:2)Ich(cid:2)bezeichne(cid:2)sie(cid:2)hier(cid:2)
daher(cid:2)als(cid:2)Unternehmenssicherheitspyramide,(cid:2)kurz(cid:2)USiPyr(cid:2)(USP),(cid:2)bzw.(cid:2)Geschäfts(cid:3)
prozesssicherheitspyramide,(cid:2)kurz(cid:2)GeSiPyr(cid:2)(GSP).(cid:2)
Das(cid:2)Buch(cid:2)bietet(cid:2)Ihnen(cid:2)durch(cid:2)die(cid:2)Struktur(cid:2)der(cid:2)Sicherheitspyramide(cid:2)das(cid:2)notwendige(cid:2)
Handlungswissen,(cid:2)um(cid:2)das(cid:2)Unternehmen,(cid:2)seine(cid:2)Geschäftsprozesse,(cid:2)Ressourcen(cid:2)und(cid:2)
Organisation(cid:2)entlang(cid:2)dem(cid:2)Lebenszyklus(cid:2)systematisch,(cid:2)anschaulich,(cid:2)effizient(cid:2)und(cid:2)
ganzheitlich(cid:2)sowohl(cid:2)national(cid:2)als(cid:2)auch(cid:2)international(cid:2)auf(cid:2)die(cid:2)geforderte(cid:2)Sicherheit(cid:2)
auszurichten.(cid:2)(cid:2)
VI(cid:2) Vorwort(cid:2)
Wer sollte dieses Buch lesen?
Der(cid:2)Titel(cid:2)sagt(cid:2)es(cid:2)bereits(cid:2)–(cid:2)das(cid:2)Buch(cid:2)richtet(cid:2)sich(cid:2)an(cid:2)Leserinnen(cid:2)und(cid:2)Leser,(cid:2)die(cid:2)sich(cid:2)
direkt(cid:2)oder(cid:2)indirekt(cid:2)mit(cid:2)der(cid:2)Sicherheit(cid:2)des(cid:2)Unternehmens(cid:2)und(cid:2)dementsprechend(cid:2)
mit(cid:2) dem(cid:2) Sicherheitsmanagement,(cid:2) dem(cid:2) Kontinuitäts(cid:3)(cid:2) und/oder(cid:2) dem(cid:2) Risiko(cid:3)
management(cid:2)außerhalb(cid:2)und(cid:2)innerhalb(cid:2)der(cid:2)IT(cid:2)befassen:(cid:2)
(cid:2) Chief(cid:2)Security(cid:2)Officers,(cid:2)Sicherheitsbeauftragte,(cid:2)Fachkräfte(cid:2)für(cid:2)Arbeitssicherheit(cid:2)
und(cid:2)Notfallmanager,(cid:2)die(cid:2)für(cid:2)die(cid:2)Sicherheit(cid:2)des(cid:2)Unternehmens(cid:2)insgesamt(cid:2)oder(cid:2)
für(cid:2)Teile,(cid:2)z.(cid:2)B.(cid:2)die(cid:2)Arbeitssicherheit,(cid:2)verantwortlich(cid:2)sind,(cid:2)sollten(cid:2)wissen,(cid:2)wie(cid:2)sie(cid:2)
das(cid:2)Sicherheitsmanagement(cid:2)ganzheitlich(cid:2)und(cid:2)strukturiert(cid:2)aufbauen(cid:2)und(cid:2)weiter(cid:3)
entwickeln(cid:2)können.(cid:2)
(cid:2) Chief(cid:2)Information(cid:2)Officers(cid:2)(CIO)(cid:2)sowie(cid:2)IT(cid:3)Verantwortliche,(cid:2)die(cid:2)für(cid:2)die(cid:2)Infor(cid:3)
mations(cid:3)(cid:2)und(cid:2)Kommunikationstechnologie(cid:2)(IKT)(cid:2)sowie(cid:2)für(cid:2)deren(cid:2)Sicherheit(cid:2)
verantwortlich(cid:2)sind,(cid:2)ferner(cid:2)Chief(cid:2)Information(cid:2)Security(cid:2)Officers(cid:2)(CISO)(cid:2)und(cid:2)IT(cid:3)
Sicherheitsbeauftragte,(cid:2)die(cid:2)für(cid:2)die(cid:2)Sicherheit(cid:2)der(cid:2)IKT(cid:2)im(cid:2)Unternehmen(cid:2)sowie(cid:2)
für(cid:2)deren(cid:2)zielgerichteten(cid:2)strategischen(cid:2)Aufbau(cid:2)verantwortlich(cid:2)sind,(cid:2)sollten(cid:2)wis(cid:3)
sen,(cid:2)wie(cid:2)das(cid:2)IKT(cid:3)Sicherheitsmanagement(cid:2)in(cid:2)das(cid:2)Sicherheitsmanagement(cid:2)des(cid:2)
Unternehmens(cid:2)integriert(cid:2)sein(cid:2)sollte,(cid:2)welche(cid:2)Zusammenhänge(cid:2)bestehen(cid:2)und(cid:2)wie(cid:2)
es(cid:2)sich(cid:2)ganzheitlich,(cid:2)systematisch,(cid:2)strategisch(cid:2)und(cid:2)praxisorientiert(cid:2)aufbauen(cid:2)
und(cid:2)steuern(cid:2)lässt(cid:2)(s.(cid:2)a.(cid:2)„IT(cid:3)Sicherheit(cid:2)mit(cid:2)System“(cid:2)[2]).(cid:2)
(cid:2) Sicherheitsauditoren,(cid:2)die(cid:2)die(cid:2)Sicherheit(cid:2)im(cid:2)Unternehmen(cid:2)prüfen(cid:2)und(cid:2)Hand(cid:3)
lungsempfehlungen(cid:2)geben,(cid:2)sollten(cid:2)wissen,(cid:2)wie(cid:2)diese(cid:2)Prüfungen(cid:2)in(cid:2)das(cid:2)Sicher(cid:3)
heitsmanagement(cid:2)eingebettet(cid:2)sind,(cid:2)wie(cid:2)sie(cid:2)durchgeführt(cid:2)werden(cid:2)können(cid:2)und(cid:2)
wie(cid:2)die(cid:2)Zielkonstellation(cid:2)eines(cid:2)Sicherheitsmanagements(cid:2)aussehen(cid:2)sollte.(cid:2)
(cid:2) Chief(cid:2)Risk(cid:2)Officer(cid:2)(CRO)(cid:2)und(cid:2)Risikomanager,(cid:2)die(cid:2)für(cid:2)das(cid:2)Risikomanagement(cid:2)
im(cid:2)Unternehmen(cid:2)verantwortlich(cid:2)sind,(cid:2)sollten(cid:2)wissen,(cid:2)wie(cid:2)sich(cid:2)dieses(cid:2)anhand(cid:2)
der(cid:2)Sicherheits(cid:3)(cid:2)bzw.(cid:2)der(cid:2)Risiko(management)pyramide(cid:2)strukturieren(cid:2)lässt(cid:2)und(cid:2)
welche(cid:2)Verbindungsstellen(cid:2)es(cid:2)vom(cid:2)Risiko(cid:3)(cid:2)zum(cid:2)Sicherheitsmanagement(cid:2)gibt.(cid:2)
(cid:2) Chief(cid:2)Compliance(cid:2)Officers(cid:2)(CCO)(cid:2)sollten(cid:2)die(cid:2)gesetzlichen(cid:2)und(cid:2)aufsichtsbehörd(cid:3)
lichen(cid:2) Anforderungen(cid:2) kennen,(cid:2) deren(cid:2) Einhaltung(cid:2) einfordern,(cid:2) verfolgen(cid:2) und(cid:2)
steuern(cid:2)sowie(cid:2)die(cid:2)Anforderungen(cid:2)an(cid:2)das(cid:2)Sicherheits(cid:3),(cid:2)Kontinuitäts(cid:3)(cid:2)und(cid:2)Risiko(cid:3)
management(cid:2)kennen.(cid:2)
(cid:2) Leiter(cid:2)Organisation(cid:2)oder(cid:2)Verwaltung(cid:2)sowie(cid:2)Bereichsleiter,(cid:2)die(cid:2)für(cid:2)Geschäfts(cid:3)
prozesse(cid:2)bzw.(cid:2)Organisationseinheiten(cid:2)verantwortlich(cid:2)sind,(cid:2)sollten(cid:2)wissen,(cid:2)wie(cid:2)
sie(cid:2)ihre(cid:2)Sicherheitsanforderungen(cid:2)erheben(cid:2)und(cid:2)auf(cid:2)die(cid:2)Schutzobjekte(cid:2)abbilden(cid:2)
sowie(cid:2)ihren(cid:2)Verantwortungsbereich(cid:2)absichern(cid:2)können.(cid:2)
(cid:2) Vorstände(cid:2)und(cid:2)Geschäftsführer,(cid:2)die(cid:2)für(cid:2)die(cid:2)Sicherheit,(cid:2)die(cid:2)Geschäftskontinuität(cid:2)
und(cid:2)das(cid:2)Risikomanagement(cid:2)im(cid:2)Unternehmen(cid:2)verantwortlich(cid:2)sind,(cid:2)sollten(cid:2)die(cid:2)
Entwicklung(cid:2)der(cid:2)Bedrohungslage,(cid:2)die(cid:2)gesetzlichen(cid:2)Rahmenbedingungen(cid:2)und(cid:2)
ihre(cid:2)persönlichen(cid:2)Haftungsrisiken(cid:2)kennen(cid:2)und(cid:2)wissen,(cid:2)wie(cid:2)das(cid:2)Sicherheits(cid:3)
management(cid:2) durch(cid:2) Sicherheitspolitik,(cid:2) Sicherheitspyramide(cid:2) und(cid:2) Sicherheits(cid:3)
regelkreis(cid:2)zielgerichtet(cid:2)und(cid:2)effizienzorientiert(cid:2)gesteuert(cid:2)werden(cid:2)kann.(cid:2)Auch(cid:2)
Aufsichtsräte(cid:2)sollten(cid:2)ihr(cid:2)Haftungsrisiken(cid:2)kennen.(cid:2)
(cid:2)
Vorwort(cid:2) VII(cid:2)
Wie können Sie dieses Buch nutzen?
Sie(cid:2)können(cid:2)das(cid:2)Buch(cid:2)komplett(cid:2)oder(cid:2)auch(cid:2)nur(cid:2)einzelne(cid:2)Kapitel(cid:2)lesen.(cid:2)Wer(cid:2)es(cid:2)insge(cid:3)
samt(cid:2)liest,(cid:2)kann(cid:2)sich(cid:2)einen(cid:2)Überblick(cid:2)über(cid:2)Trends(cid:2)bei(cid:2)Bedrohungen(cid:2)und(cid:2)Schutz(cid:3)
bedarf(cid:2)sowie(cid:2)häufige(cid:2)Schwachstellen(cid:2)verschaffen.(cid:2)Gleichzeitig(cid:2)findet(cid:2)er(cid:2)(cid:2)eine(cid:2)sys(cid:3)
tematische,(cid:2)durchgängige(cid:2)und(cid:2)ganzheitliche(cid:2)Vorgehensweise(cid:2)zum(cid:2)Aufbau(cid:2)eines(cid:2)
geschäftszentrierten(cid:2)Sicherheits(cid:3),(cid:2)Kontinuitäts(cid:3)(cid:2)und(cid:2)Risikomanagements(cid:2)anhand(cid:2)
der(cid:2)dreidimensionalen(cid:2)Sicherheitspyramide,(cid:2)ferner(cid:2)weitere(cid:2)von(cid:2)mir(cid:2)entwickelte(cid:2)
Begrifflichkeiten(cid:2)und(cid:2)Methoden(cid:2)sowie(cid:2)Beispiele(cid:2)und(cid:2)Checklisten.(cid:2)Das(cid:2)Buch(cid:2)geht(cid:2)
umfangreich(cid:2)auf(cid:2)externe(cid:2)Anforderungen(cid:2)ein,(cid:2)die(cid:2)sich(cid:2)aus(cid:2)Gesetzen(cid:2)und(cid:2)aufsichts(cid:3)
behördlichen(cid:2)Vorgaben(cid:2)ergeben(cid:2)und(cid:2)sich(cid:2)von(cid:2)Haftung(cid:2)über(cid:2)Buchführung(cid:2)bis(cid:2)hin(cid:2)
zum(cid:2)Daten(cid:3)(cid:2)und(cid:2)Arbeitsschutz(cid:2)erstrecken.(cid:2)Alternativ(cid:2)können(cid:2)sich(cid:2)die(cid:2)Leserin(cid:2)oder(cid:2)
der(cid:2)Leser(cid:2)ihrem(cid:2)Wissensbedarf(cid:2)entsprechend(cid:2)einzelnen(cid:2)Kapiteln(cid:2)zuwenden,(cid:2)bei(cid:3)
spielsweise(cid:2)dem(cid:2)Thema(cid:2)Sicherheits(cid:3),(cid:2)Kontinuitäts(cid:3)(cid:2)und(cid:2)Risikopolitik,(cid:2)sicherheits(cid:3)
bezogene(cid:2) Anforderungen(cid:2) und(cid:2) Business(cid:2) Impact(cid:2) Analysis,(cid:2) Sicherheitsmerkmale,(cid:2)(cid:2)
Sicherheitsarchitektur,(cid:2)Sicherheitsprinzipien,(cid:2)Richtlinien,(cid:2)Konzepte(cid:2)und(cid:2)Lebens(cid:3)
zyklus.(cid:2)Auch(cid:2)der(cid:2)Sicherheitsmanagementprozess(cid:2)sowie(cid:2)der(cid:2)Sicherheitsregelkreis(cid:2)
und(cid:2)Reifegradmodelle(cid:2)sind(cid:2)dargestellt.(cid:2)Darüber(cid:2)hinaus(cid:2)behandelt(cid:2)das(cid:2)Buch(cid:2)spezi(cid:3)
fische(cid:2)Themen(cid:2)wie(cid:2)z.(cid:2)B.(cid:2)Brand(cid:3),(cid:2)Zutritts(cid:3),(cid:2)Post(cid:3)(cid:2)und(cid:2)Wareneingangsschutz,(cid:2)Ver(cid:3)
schlüsselung(cid:2)und(cid:2)Datensicherung.(cid:2)
Sie(cid:2)können(cid:2)das(cid:2)Buch(cid:2)außerdem(cid:2)als(cid:2)Nachschlagewerk(cid:2)verwenden,(cid:2)indem(cid:2)Sie(cid:2)die(cid:2)be(cid:3)
reitgestellten(cid:2)Checklisten,(cid:2)das(cid:2)Verzeichnis(cid:2)über(cid:2)Gesetze,(cid:2)Vorschriften,(cid:2)Standards(cid:2)
und(cid:2) Normen,(cid:2) das(cid:2) Glossar(cid:2) und(cid:2) Abkürzungsverzeichnis(cid:2) sowie(cid:2) das(cid:2) Sachwort(cid:3)
verzeichnis(cid:2)nutzen.(cid:2)(cid:2)
Kapitel(cid:2)2(cid:2)bietet(cid:2)Eiligen(cid:2)einen(cid:2)ersten(cid:2)schnellen(cid:2)Überblick.(cid:2)Die(cid:2)Einleitungen(cid:2)der(cid:2)Ka(cid:3)
pitel(cid:2)geben(cid:2)Ihnen(cid:2)einen(cid:2)Einblick(cid:2)in(cid:2)die(cid:2)jeweils(cid:2)behandelten(cid:2)Themen.(cid:2)Die(cid:2)Zusam(cid:3)
menfassungen(cid:2)am(cid:2)Kapitelende(cid:2)sind(cid:2)für(cid:2)den(cid:2)„Schnelldurchlauf”(cid:2)gedacht(cid:2)und(cid:2)ver(cid:3)
schaffen(cid:2)schnell(cid:2)gezielten(cid:2)Nutzen.(cid:2)(cid:2)
Außerdem(cid:2)können(cid:2)Sie(cid:2)sich(cid:2)anhand(cid:2)der(cid:2)illustrierenden(cid:2)Abbildungen(cid:2)die(cid:2)Sach(cid:3)
verhalte(cid:2)vor(cid:2)Augen(cid:2)führen(cid:2)oder(cid:2)die(cid:2)Checklisten,(cid:2)Gliederungen(cid:2)und(cid:2)Tabellen(cid:2)nut(cid:3)
zen,(cid:2)um(cid:2)den(cid:2)Einstieg(cid:2)in(cid:2)die(cid:2)Thematik(cid:2)des(cid:2)Sicherheits(cid:3),(cid:2)Kontinuitäts(cid:3)(cid:2)und(cid:2)Risiko(cid:3)
managements(cid:2)zu(cid:2)beschleunigen.(cid:2) (cid:2)
Für welche Unternehmensgröße eignet sich der Buchinhalt?
Die(cid:2)vorangegangenen(cid:2)Ausführungen(cid:2)deuten(cid:2)bereits(cid:2)an,(cid:2)dass(cid:2)die(cid:2)hier(cid:2)vorgestellte(cid:2)
Vorgehensweise(cid:2)einem(cid:2)ganzheitlichen(cid:2)Ansatz(cid:2)folgt.(cid:2)Dies(cid:2)erweckt(cid:2)leicht(cid:2)den(cid:2)Ein(cid:3)
druck,(cid:2)dass(cid:2)sie(cid:2)nur(cid:2)für(cid:2)mittlere(cid:2)und(cid:2)große(cid:2)Unternehmen(cid:2)geeignet(cid:2)ist.(cid:2)Ist(cid:2)dies(cid:2)tat(cid:3)
sächlich(cid:2)so?(cid:2)
Ich(cid:2)denke:(cid:2)nein.(cid:2)Gesetze,(cid:2)Verordnungen,(cid:2)Standards(cid:2)und(cid:2)Normen(cid:2)gelten(cid:2)meist(cid:2)für(cid:2)
alle(cid:2)Unternehmensgrößen.(cid:2)Der(cid:2)Unterschied(cid:2)zwischen(cid:2)großen(cid:2)und(cid:2)kleinen(cid:2)Unter(cid:3)
nehmen(cid:2)liegt(cid:2)häufig(cid:2)darin,(cid:2)dass(cid:2)sich(cid:2)Umfang,(cid:2)Detaillierungsgrad,(cid:2)Sicherheits(cid:3)(cid:2)und(cid:2)
Regelungsbedarf(cid:2)unterscheiden.(cid:2)Während(cid:2)Sie(cid:2)bei(cid:2)größeren(cid:2)Unternehmen(cid:2)unter(cid:3)
schiedliche(cid:2)Standorte,(cid:2)mehrere(cid:2)Gebäude,(cid:2)verschiedenartige(cid:2)Produktionsanlagen,(cid:2)
differenzierte(cid:2)Verantwortlichkeiten,(cid:2)vielfältige(cid:2)und(cid:2)zum(cid:2)Teil(cid:2)komplexe(cid:2)IT(cid:3)Infra(cid:3)
struktur(cid:2)sowie(cid:2)eigene(cid:2)Softwareentwicklung(cid:2)finden,(cid:2)nehmen(cid:2)die(cid:2)Komplexität(cid:2)und(cid:2)
die(cid:2)Sicherheitsanforderungen(cid:2)bei(cid:2)kleineren(cid:2)Unternehmen(cid:2)oftmals(cid:2)ab,(cid:2)sind(cid:2)aber(cid:2)
VIII(cid:2) Vorwort(cid:2)
vorhanden.(cid:2)Jedes(cid:2)Unternehmen(cid:2)sollte(cid:2)sich(cid:2)daher(cid:2)Gedanken(cid:2)über(cid:2)Sicherheitsbedarf,(cid:2)
Risikotragfähigkeit(cid:2)und(cid:2)Risikobereitschaft(cid:2)machen.(cid:2)
Ein(cid:2)häufig(cid:2)auch(cid:2)für(cid:2)kleine(cid:2)und(cid:2)mittlere(cid:2)Unternehmen(cid:2)(KMUs)(cid:2)erforderlicher(cid:2)zu(cid:3)
sätzlicher(cid:2)Regelungs(cid:3)(cid:2)und(cid:2)Schutzbedarf(cid:2)wird(cid:2)so(cid:2)manches(cid:2)Mal(cid:2)übersehen(cid:2)und(cid:2)führt(cid:2)
dann(cid:2)zu(cid:2)unliebsamen(cid:2)Folgen.(cid:2)Zwar(cid:2)ist(cid:2)es(cid:2)für(cid:2)viele(cid:2)Unternehmen(cid:2)selbstverständ(cid:3)
lich,(cid:2)dass(cid:2)der(cid:2)Zutritt(cid:2)zu(cid:2)den(cid:2)Räumlichkeiten(cid:2)geschützt(cid:2)ist,(cid:2)dass(cid:2)das(cid:2)Verhalten(cid:2)in(cid:2)
Notfällen(cid:2)und(cid:2)Räumungspläne(cid:2)dokumentiert(cid:2)sind,(cid:2)dass(cid:2)Feuerlöscher(cid:2)gewartet(cid:2)und(cid:2)
Lizenzen(cid:2)eingehalten(cid:2)werden(cid:2)und(cid:2)dass(cid:2)Vereinbarungen(cid:2)zur(cid:2)Geheimhaltung,(cid:2)zum(cid:2)
Datenschutz(cid:2)und(cid:2)zum(cid:2)Surfen(cid:2)im(cid:2)Internet(cid:2)existieren.(cid:2)Auch(cid:2)Datensicherungen(cid:2)und(cid:2)
Virenscanner(cid:2)gehören(cid:2)quasi(cid:2)zum(cid:2)Standard,(cid:2)ebenso(cid:2)wie(cid:2)Firewalls(cid:2)und(cid:2)Spam(cid:3)Filter.(cid:2)(cid:2)
Doch(cid:2)kennen(cid:2)Sie(cid:2)auch(cid:2)Ihre(cid:2)Risiken?(cid:2)Ist(cid:2)Ihnen(cid:2)bekannt,(cid:2)welche(cid:2)Folgen(cid:2)der(cid:2)Ausfall(cid:2)
eines(cid:2)Geschäftsprozesses,(cid:2)einer(cid:2)Produktionsanlage,(cid:2)der(cid:2)Räumlichkeiten,(cid:2)der(cid:2)IT,(cid:2)der(cid:2)
Telefonanlage(cid:2) oder(cid:2) eines(cid:2) Service(cid:3)Gebers(cid:2) hat(cid:2) und(cid:2) in(cid:2) welcher(cid:2) Kosten(cid:3)Nutzen(cid:3)
Relation(cid:2)entsprechende(cid:2)Sicherheitsmaßnahmen(cid:2)stehen?(cid:2)Was(cid:2)dürfen(cid:2)Ihre(cid:2)Mitarbei(cid:3)
ter?(cid:2)Kennen(cid:2)die(cid:2)Verantwortlichen(cid:2)gesetzliche(cid:2)Anforderungen(cid:2)und(cid:2)ihre(cid:2)Haftungs(cid:3)
risiken?(cid:2)Werden(cid:2)Datensicherungen(cid:2)an(cid:2)einen(cid:2)sicheren(cid:2)Ort(cid:2)ausgelagert(cid:2)und(cid:2)ihre(cid:2)
Lesbarkeit(cid:2)geprüft?(cid:2)Werden(cid:2)Virenscanner(cid:2)aktuell(cid:2)gehalten?(cid:2)Betreiben(cid:2)Sie(cid:2)insge(cid:3)
samt(cid:2)eine(cid:2)angemessene(cid:2)Unternehmenssicherung?(cid:2)
Zugegebenermaßen:(cid:2)Fragen(cid:2)über(cid:2)Fragen(cid:2)und(cid:2)noch(cid:2)längst(cid:2)nicht(cid:2)alle.(cid:2)Doch(cid:2)ihre(cid:2)(cid:2)
Beantwortung(cid:2)liefert(cid:2)einen(cid:2)Beitrag(cid:2)zur(cid:2)Risikolage(cid:2)und(cid:2)durch(cid:2)entsprechende(cid:2)oft(cid:3)
mals(cid:2)einfache(cid:2)Umsetzung(cid:2)in(cid:2)der(cid:2)Folge(cid:2)zur(cid:2)Unternehmens(cid:3)(cid:2)und(cid:2)Existenzsicherung.(cid:2)
Geringere(cid:2)Komplexität(cid:2)und(cid:2)Anforderungsfülle(cid:2)bei(cid:2)kleinen(cid:2)Unternehmen(cid:2)führen(cid:2)so(cid:2)
zu(cid:2)einem(cid:2)schlankeren(cid:2)Sicherheitsmanagement,(cid:2)das(cid:2)aber(cid:2)trotzdem(cid:2)ganzheitlich,(cid:2)
systematisch(cid:2)und(cid:2)unternehmensbezogen(cid:2)vollständig(cid:2)sein(cid:2)sollte.(cid:2)
Wie ist dieses Buch aufgebaut?
Kapitel(cid:2)1(cid:2)geht(cid:2)auf(cid:2)die(cid:2)Ausgangssituation(cid:2)und(cid:2)Entwicklungstrends(cid:2)bei(cid:2)Bedrohun(cid:3)
gen(cid:2)und(cid:2)Schutzbedarf(cid:2)sowie(cid:2)die(cid:2)Sicherheitssituation(cid:2)in(cid:2)Unternehmen(cid:2)ein.(cid:2)Ferner(cid:2)
erläutert(cid:2)es(cid:2)die(cid:2)Notwendigkeit(cid:2)für(cid:2)ein(cid:2)systematisches(cid:2)und(cid:2)strategisches(cid:2)Sicher(cid:3)
heits(cid:3),(cid:2)Kontinuitäts(cid:3)(cid:2)und(cid:2)Risikomanagement.(cid:2)
Für(cid:2)Eilige(cid:2)gibt(cid:2)Kapitel(cid:2)2(cid:2)einen(cid:2)kurzgefassten(cid:2)Überblick(cid:2)über(cid:2)die(cid:2)Inhalte(cid:2)der(cid:2)Sicher(cid:3)
heitspyramide.(cid:2)
Kapitel(cid:2)3(cid:2)nennt(cid:2)Ihnen(cid:2)kurz(cid:2)und(cid:2)prägnant(cid:2)10(cid:2)Schritte(cid:2)zum(cid:2)Sicherheitsmanagement.(cid:2)
Kapitel(cid:2)4(cid:2)stellt(cid:2)Begriffe(cid:2)und(cid:2)Definitionen(cid:2)aus(cid:2)dem(cid:2)Sicherheits(cid:3),(cid:2)Kontinuitäts(cid:3)(cid:2)und(cid:2)
Risikomanagement(cid:2)vor,(cid:2)die(cid:2)in(cid:2)diesem(cid:2)Buch(cid:2)verwendet(cid:2)werden.(cid:2)Es(cid:2)behandelt(cid:2)u.(cid:2)a.(cid:2)
ingenieurmäßige(cid:2) Sicherheit,(cid:2) Ressourcen,(cid:2) Schutzobjekte(cid:2) und(cid:2) (cid:3)subjekte(cid:2) sowie(cid:2)(cid:2)
Sicherheitskriterien,(cid:2) Business(cid:2) Impact(cid:2) Analysis,(cid:2) Geschäftskontinuität(cid:2) (Business(cid:2)
Continuity),(cid:2)Sicherheits(cid:3)(cid:2)und(cid:2)Risikodreiklang(cid:2)sowie(cid:2)Risikomanagement.(cid:2)
Kapitel(cid:2)5(cid:2)gibt(cid:2)eine(cid:2)zusammenfassende(cid:2)Beschreibung(cid:2)des(cid:2)Aufbaus(cid:2)und(cid:2)der(cid:2)Inhalte(cid:2)
der(cid:2)dreidimensionalen(cid:2)Sicherheitspyramide.(cid:2)
Die(cid:2)Kapitel(cid:2)6(cid:2)bis(cid:2)14(cid:2)erläutern(cid:2)die(cid:2)einzelnen(cid:2)Elemente(cid:2)der(cid:2)Sicherheitspyramide.(cid:2)Ent(cid:3)
sprechend(cid:2)der(cid:2)pyramidenförmigen(cid:2)Darstellung(cid:2)nimmt(cid:2)der(cid:2)Umfang(cid:2)und(cid:2)Detaillie(cid:3)
(cid:2)
Vorwort(cid:2) IX(cid:2)
rungsgrad(cid:2)der(cid:2)Sicherheitspyramide(cid:2)in(cid:2)der(cid:2)Praxis(cid:2)von(cid:2)Ebene(cid:2)zu(cid:2)Ebene(cid:2)zu.(cid:2)Zuerst(cid:2)
wird(cid:2)der(cid:2)hierarchische(cid:2)Aufbau(cid:2)beschrieben.(cid:2)Er(cid:2)beginnt(cid:2)bei(cid:2)der(cid:2)Sicherheits(cid:3),(cid:2)Konti(cid:3)
nuitäts(cid:3)(cid:2)und(cid:2)Risikopolitik,(cid:2)gefolgt(cid:2)von(cid:2)der(cid:2)Ebene(cid:2)der(cid:2)Sicherheitsziele(cid:2)und(cid:2)(cid:3)anforde(cid:3)
rungen(cid:2)mit(cid:2)Schutzbedarfsklassen,(cid:2)Schutzbedarfsanalyse(cid:2)für(cid:2)Prozesse(cid:2)und(cid:2)Ressour(cid:3)
cen(cid:2)und(cid:2)den(cid:2)vielfältigen(cid:2)extern(cid:2)vorgegebenen(cid:2)Sicherheitsanforderungen.(cid:2)Der(cid:2)an(cid:3)
schließende(cid:2)Transformationsvorgang(cid:2)mit(cid:2)dem(cid:2)Haus(cid:2)zur(cid:2)Sicherheit(cid:2)(„House(cid:2)of(cid:2)
Health,(cid:2)Safety,(cid:2)Security(cid:2)and(cid:2)Continuity“)(cid:2)wandelt(cid:2)die(cid:2)Sicherheitsanforderungen(cid:2)in(cid:2)
Sicherheitsmerkmale(cid:2)der(cid:2)genutzten(cid:2)Ressourcen(cid:2)und(cid:2)Prozesse.(cid:2)(cid:2)
Die(cid:2)Architektur(cid:2)liefert(cid:2)die(cid:2)Basis(cid:2)für(cid:2)die(cid:2)Richtlinien,(cid:2)Konzepte(cid:2)und(cid:2)Maßnahmen(cid:2)
und(cid:2)wird(cid:2)in(cid:2)diesem(cid:2)Buch(cid:2)daher(cid:2)ausgiebig(cid:2)behandelt.(cid:2)Sie(cid:2)umfasst(cid:2)prinzipielle(cid:2)(cid:2)
Sicherheitsanforderungen(cid:2)und(cid:2)Bedrohungen,(cid:2)Strategien,(cid:2)Prinzipien(cid:2)und(cid:2)Sicher(cid:3)
heitselemente(cid:2)sowie(cid:2)die(cid:2)Kern(cid:3),(cid:2)Support(cid:3)(cid:2)und(cid:2)Begleitprozesse.(cid:2)Dem(cid:2)Architektur(cid:3)
kapitel(cid:2) folgen(cid:2) die(cid:2) Sicherheitsrichtlinien(cid:2) mit(cid:2) prinzipiellen(cid:2) Beispielen(cid:2) sowie(cid:2) die(cid:2)(cid:2)
Sicherheitskonzepte(cid:2)und(cid:2)–maßnahmen.(cid:2)
Prozessuale,(cid:2)ressourcenbezogene(cid:2)(z.(cid:2)B.(cid:2)technologische(cid:2)und(cid:2)personelle)(cid:2)sowie(cid:2)orga(cid:3)
nisatorische(cid:2) Aspekte(cid:2) runden(cid:2) die(cid:2) Beschreibung(cid:2) der(cid:2) hierarchischen(cid:2) Ebenen(cid:2) der(cid:2)(cid:2)
Sicherheitspyramide(cid:2)ab.(cid:2)
Es(cid:2)folgt(cid:2)die(cid:2)Darstellung(cid:2)des(cid:2)Lebenszyklus(cid:2)von(cid:2)Prozessen,(cid:2)Produkten(cid:2)und(cid:2)Dienst(cid:3)
leistungen.(cid:2)Kapitel(cid:2)14(cid:2)enthält(cid:2)die(cid:2)Erläuterung(cid:2)des(cid:2)Sicherheitsregelkreises(cid:2)von(cid:2)der(cid:2)
Beschreibung(cid:2) verschiedener(cid:2) Methoden(cid:2) für(cid:2) Sicherheitsprüfungen(cid:2) bis(cid:2) hin(cid:2) zum(cid:2)
Controlling(cid:2)mit(cid:2)Berichtswesen(cid:2)und(cid:2)Scorecard.(cid:2)
Kapitel(cid:2)15(cid:2)erläutert(cid:2)Reifegradmodelle(cid:2)sowie(cid:2)das(cid:2)von(cid:2)mir(cid:2)entwickelte(cid:2)Reifegradmo(cid:3)
dell(cid:2)der(cid:2)Sicherheit,(cid:2)mit(cid:2)dem(cid:2)sich(cid:2)der(cid:2)Leser(cid:2)einen(cid:2)ersten(cid:2)Überblick(cid:2)über(cid:2)den(cid:2)Reife(cid:3)
grad(cid:2)des(cid:2)Sicherheitsmanagements(cid:2)im(cid:2)eigenen(cid:2)Unternehmen(cid:2)verschaffen(cid:2)kann.(cid:2)
Kapitel(cid:2)16(cid:2)beschreibt(cid:2)–(cid:2)ausgehend(cid:2)von(cid:2)der(cid:2)Sicherheitspyramide(cid:2)–(cid:2)den(cid:2)Sicherheits(cid:3)
managementprozess,(cid:2)durch(cid:2)den(cid:2)das(cid:2)Sicherheitsmanagement(cid:2)geplant,(cid:2)aufgebaut,(cid:2)
betrieben(cid:2)und(cid:2)gesteuert,(cid:2)geprüft,(cid:2)weiter(cid:2)entwickelt(cid:2)und(cid:2)am(cid:2)Leben(cid:2)gehalten(cid:2)wird.(cid:2)
Den(cid:2)Abschluss(cid:2)des(cid:2)Buches(cid:2)bilden(cid:2)das(cid:2)Abbildungs(cid:3)(cid:2)und(cid:2)Markenverzeichnis,(cid:2)das(cid:2)
Verzeichnis(cid:2)über(cid:2)Gesetze,(cid:2)Vorschriften,(cid:2)Standards(cid:2)und(cid:2)Normen(cid:2)sowie(cid:2)das(cid:2)Litera(cid:3)
tur(cid:3)(cid:2) und(cid:2) Quellenverzeichnis.(cid:2) Nach(cid:2) dem(cid:2) Glossar(cid:2) und(cid:2) Abkürzungs(cid:3)(cid:2) sowie(cid:2) dem(cid:2)
Sachwortverzeichnis(cid:2)folgen(cid:2)im(cid:2)letzten(cid:2)Kapitel(cid:2)Informationen(cid:2)über(cid:2)den(cid:2)Autor.(cid:2)(cid:2)
In(cid:2)diesem(cid:2)Buch(cid:2)wird(cid:2)–(cid:2)ausschließlich(cid:2)zur(cid:2)besseren(cid:2)Lesbarkeit(cid:2)–(cid:2)das(cid:2)generische(cid:2)
Maskulinum,(cid:2)d.(cid:2)h.(cid:2)die(cid:2)männliche(cid:2)Form,(cid:2)verwendet,(cid:2)auch(cid:2)wenn(cid:2)beide(cid:2)Geschlechter(cid:2)
gemeint(cid:2)sind.(cid:2)
In(cid:2)späteren(cid:2)Kapiteln(cid:2)finden(cid:2)Sie(cid:2)die(cid:2)Begriffe(cid:2)Ressourcen(cid:2)und(cid:2)Schutzobjekte.(cid:2)Nur(cid:2)aus(cid:2)
Gründen(cid:2) der(cid:2) Systematik(cid:2) ordne(cid:2) ich(cid:2) diesen(cid:2) Begriffen(cid:2) auch(cid:2) Menschen(cid:2) (Human(cid:2)(cid:2)
Resources),(cid:2)d.(cid:2)h.(cid:2)Personen,(cid:2)zu.(cid:2)Dies(cid:2)erfordert(cid:2)nach(cid:2)wie(cid:2)vor(cid:2)einen(cid:2)humanen(cid:2)Um(cid:3)
gang(cid:2)und(cid:2)das(cid:2)Bewusstsein(cid:2)für(cid:2)die(cid:2)außerordentlichen(cid:2)menschlichen(cid:2)Fähigkeiten.(cid:2)
Ungeachtet(cid:2)dieser(cid:2)Systematik(cid:2)können(cid:2)Sie(cid:2)für(cid:2)sich(cid:2)selbst(cid:2)entscheiden,(cid:2)den(cid:2)Begriff(cid:2)
Personen(cid:2)als(cid:2)eigenständiges(cid:2)Element(cid:2)aufzunehmen.(cid:2)
Welche Struktur haben die Kapitel?
Die(cid:2)Kapitel(cid:2)enthalten(cid:2)–(cid:2)sofern(cid:2)sinnvoll(cid:2)–(cid:2)eine(cid:2)Einführung(cid:2)und(cid:2)einleitende(cid:2)Darstel(cid:3)
lung(cid:2)der(cid:2)jeweils(cid:2)folgenden(cid:2)Unterkapitel.(cid:2)Im(cid:2)Anschluss(cid:2)an(cid:2)die(cid:2)thematischen(cid:2)Be(cid:3)
schreibungen(cid:2)in(cid:2)den(cid:2)Unterkapiteln(cid:2)finden(cid:2)Sie(cid:2)verschiedentlich(cid:2)praxisorientierte(cid:2)
X(cid:2) Vorwort(cid:2)
Hilfsmittel,(cid:2)z.(cid:2)B.(cid:2)Checklisten(cid:2)und(cid:2)Vorgehenselemente,(cid:2)die(cid:2)den(cid:2)erstmaligen(cid:2)Aufbau(cid:2)
unterstützen(cid:2)und(cid:2)zum(cid:2)Gegencheck(cid:2)bei(cid:2)bereits(cid:2)etablierten(cid:2)Sicherheitsmanagement(cid:3)
systemen(cid:2)dienen(cid:2)können.(cid:2)Verschiedene(cid:2)aus(cid:2)und(cid:2)für(cid:2)die(cid:2)Praxis(cid:2)angepasste(cid:2)Beispiele(cid:2)
veranschaulichen(cid:2)die(cid:2)jeweilige(cid:2)Thematik.(cid:2)Eine(cid:2)Zusammenfassung(cid:2)bildet(cid:2)den(cid:2)Ab(cid:3)
schluss(cid:2)insbesondere(cid:2)größerer(cid:2)Kapitel.(cid:2)
Abbildungen(cid:2)und(cid:2)Tabellen(cid:2)visualisieren(cid:2)und(cid:2)strukturieren(cid:2)die(cid:2)Texte(cid:2)und(cid:2)machen(cid:2)
sie(cid:2)transparent.(cid:2)(cid:2)
Was bedeuten die Piktogramme?
(cid:2)
Dieses(cid:2)Zeichen(cid:2)kennzeichnet(cid:2)Informationen,(cid:2)die(cid:2)z.(cid:2)B.(cid:2)aus(cid:2)der(cid:2)Presse(cid:2)stam(cid:3)
men.(cid:2)
(cid:3)
Abschnitte,(cid:2)in(cid:2)denen(cid:2)Erfahrungen(cid:2)oder(cid:2)Erlebnisse,(cid:2)die(cid:2)ich(cid:2)gemacht(cid:2)habe,(cid:2)dar(cid:3)
gestellt(cid:2)sind,(cid:2)werden(cid:2)durch(cid:2)dieses(cid:2)Zeichen(cid:2)hervorgehoben.(cid:2)Sie(cid:2)dienen(cid:2)der(cid:2)Illus(cid:3)
tration(cid:2)der(cid:2)jeweiligen(cid:2)Kapitel(cid:2)und(cid:2)stellen(cid:2)den(cid:2)Praxisbezug(cid:2)her.(cid:2)
(cid:3)
Dieses(cid:2)Zeichen(cid:2)macht(cid:2)Tipps(cid:2)kenntlich.(cid:2)
Was ist neu in dieser 2. Auflage?
Die(cid:2)1.(cid:2)Auflage(cid:2)vom(cid:2)August(cid:2)2005,(cid:2)die(cid:2)im(cid:2)Oktober(cid:2)2005(cid:2)erschienen(cid:2)ist,(cid:2)baute(cid:2)auf(cid:2)der(cid:2)
2.(cid:2)Auflage(cid:2)des(cid:2)Buchs(cid:2)„IT(cid:3)Sicherheit(cid:2)mit(cid:2)System“(cid:2)erweiternd(cid:2)auf.(cid:2)Die(cid:2)vorliegende(cid:2)
2.(cid:2)Auflage(cid:2)nutzt(cid:2)ein(cid:2)breiteres(cid:2)Seitenformat,(cid:2)um(cid:2)Ihnen(cid:2)je(cid:2)Seite(cid:2)noch(cid:2)mehr(cid:2)Informa(cid:3)
tionen(cid:2)bieten(cid:2)zu(cid:2)können.(cid:2)Kursive(cid:2)Fettschrift(cid:2)im(cid:2)Text(cid:2)ersetzt(cid:2)die(cid:2)vormaligen(cid:2)Margi(cid:3)
nalien(cid:2)und(cid:2)unterstützt(cid:2)Sie(cid:2)beim(cid:2)Finden(cid:2)von(cid:2)Themen.(cid:2)Das(cid:2)Sachwortverzeichnis(cid:2)
steht(cid:2)weiterhin(cid:2)zum(cid:2)gezielten(cid:2)und(cid:2)seitenübergreifenden(cid:2)Finden(cid:2)zur(cid:2)Verfügung.(cid:2)
Die(cid:2)vorliegende(cid:2)Auflage(cid:2)wurde(cid:2)umfangreich(cid:2)aktualisiert,(cid:2)noch(cid:2)stärker(cid:2)auf(cid:2)Unter(cid:3)
nehmenssicherheit(cid:2)fokussiert(cid:2)und(cid:2)verschiedentlich(cid:2)deutlich(cid:2)erweitert,(cid:2)z.(cid:2)B.:(cid:2)
(cid:2) Externe(cid:2)Sicherheitsanforderungen:(cid:2)Haftungsrisiken,(cid:2)Garantenpflicht,(cid:2)Compli(cid:3)
ance,(cid:2)MaRisk,(cid:2)Solvency(cid:2)II,(cid:2)BS(cid:2)25999,(cid:2)ISO(cid:2)22399,(cid:2)IDW(cid:2)PS(cid:2)951(cid:2)
(cid:2) Prinzipien:(cid:2) Plausibilisierung,(cid:2) Konsistenz,(cid:2) Vererbung,(cid:2) Subjekt(cid:3)Objekt(cid:3)/Aktiv(cid:3)
Passiv(cid:3)Differenzierung(cid:2)
(cid:2) ubiquitäre(cid:2)bzw.(cid:2)pervasive(cid:2)Sicherheit(cid:2)bzw.(cid:2)Kontinuität(cid:2)
(cid:2) Datenschutz(cid:3),(cid:2)Risiko(cid:3)(cid:2)und(cid:2)Kontinuitätsmanagement,(cid:2)Interdependenzen(cid:2)
(cid:2) Sicherheitsrichtlinien(cid:2)
(cid:2) Reporting,(cid:2)Kennzahlen,(cid:2)Balanced(cid:2)Pyramid(cid:2)Scorecard.(cid:2)
Wem sage ich Dank?
Auch(cid:2)dieses(cid:2)Buch(cid:2)entstand(cid:2)an(cid:2)langen(cid:2)Abenden,(cid:2)an(cid:2)Wochenenden(cid:2)und(cid:2)in(cid:2)Urlau(cid:3)
ben.(cid:2)Von(cid:2)daher(cid:2)bedanke(cid:2)ich(cid:2)mich(cid:2)bei(cid:2)meiner(cid:2)Familie,(cid:2)deren(cid:2)Toleranz(cid:2)ich(cid:2)stark(cid:2)be(cid:3)
anspruchte.(cid:2)
Meiner(cid:2)Frau,(cid:2)Lektorin(cid:2)und(cid:2)Wissenschaftsjournalistin(cid:2)sowie(cid:2)Co(cid:3)Autorin(cid:2)verschiede(cid:3)
ner(cid:2)Lexika(cid:2)und(cid:2)Bücher,(cid:2)danke(cid:2)ich(cid:2)für(cid:2)wertvolle(cid:2)Hinweise.(cid:2)
(cid:2)
