SlideShare uma empresa Scribd logo

Strategische IT-Sicherheit für die Landeshauptstadt München

Stanislav Milanovic
Stanislav Milanovic

Ausgehend von der IT-Sicherheitsleitlinie der Landeshauptstadt München (LHM) und dem dort beschriebenen Kräftedreieck ist es das Hauptziel dieser Präsentation, ein strategisches IT-Sicherheitsmanagement grob zu skizzieren. Ein weiteres Ziel ist es, einen Überblick über die Kerninhalte der IT-Sicherheitsleitline der LHM darzustellen.

Tecnologia
1 de 19
Unified Backhaul Performance Optimization Strategische IT-Sicherheit für die Landeshauptstadt München (LHM) Dr.-Ing. Stanislav Milanovic
Kurzfassung Ausgehend von der IT-Sicherheitsleitlinie der LHM und dem dort beschriebenen Kräftedreieck ist es das Hauptziel dieser Präsentation, ein strategisches IT-Sicherheitsmanagement grob zu skizzieren. Ein weiteres Ziel ist es, einen Überblick über die Kerninhalte der IT-Sicherheitsleitline der LHM darzustellen.
IT-Sicherheitsleitlinie der LHM besteht aus Eckpunkten „Rechtliche Rahmenbedingungen“, „Flexibilität der Arbeitsumgebung“ und „Schutzbedarf der Daten“. „Rechtliche Rahmenbedingungen“ betreffen die Maßnahmen zum Schutz von sensiblen Informationen, Daten, IT-Systemen und IT-Ressourcen entsprechen den jeweils gültigen gesetzlichen Auflagen und Verordnungen. Es gibt eine Vielzahl an internationalem Völkerrecht, EU-weiten Verordnungen/Richtlinien/Kodizes und nationalen Gesetzesgrundlagen, die bei der Umsetzung und Implementierung von IT-Governance oder-Compliance-Maßnahmen beachtet werden müssen. „Flexibilität der Arbeitsumgebung“ bedeutet eine zunehmende Auflösung bestehender Strukturen und eine Mobilisierung auch innerhalb von Büroumgebungen. „Schutzbedarf der Daten“ kann nach dem Ansatz der Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) durch die Annahme eines Schutzbedarfes und der Umsetzung vorgeschlagener Standardmaßnahmen, in Zusammenhang mit einem vertiefenden Risk-Assessment, formuliert werden. Überblick über die Kerninhalte der IT-Sicherheitsleitlinie
Datenschutz und IT-Grundschutz
Modell des IT-Sicherheitsprozesses
IT-Sicherheitsmanagement IT-Sicherheitsmanagement wird sich auf im Kern zyklische Prozesse abstützen (Deming-Zyklus für Qualitätsmanagement und Produktlebenszyklen), um effektiv zu sein. IT-Sicherheitsmanagement wird nach der IT-Grundschutz (BSI-Standard 100-1) mit konkreten technischen Maßnahmen und einem alternativen Ansatz zur Risikoanalyse umgesetzt. Für die Messung der Qualität von IT-Sicherheitsprozessen wird das Fähigkeit- Reifegrad-Modell (Capability Maturity Model - CMM) verwendet werden.
IT-Sicherheitsmanagement (fort.) Um die Aufrechterhaltung des Schutzniveaus im Zeitablauf zu gewährleisten, ist das IT-Sicherheitsmanagement als Prozess mit den sich wiederholenden Teilschritten • Informationswertanalyse (Aufstellung der schützenswerten Informationen und Systeme) • Schwachstellenanalyse • Bedrohungsanalyse • Risikoanalyse • Planung der Abwehrmaßnahmen sowie • Umsetzungskontrolle im Zeitablauf zu installieren. Neben der rein sachlichen Beschäftigung mit Bedrohungen und Schutzmaßnahmen umfasst das IT-Sicherheitsmanagement auch eine organisatorische Komponente. Im Rahmen des IT-Sicherheitsmanagements gilt es, eine Infrastruktur in Form einer Aufbauorganisation, Zuordnung von Verantwortlichkeiten, Personal- und Mittelbereitstellung zu schaffen, die die Durchführung der zuvor benannten Teilschritte ermöglicht. Häufigste Organisationsform ist die Zuordnung als Stabsstelle zur IT-Abteilung.
Wirtschaftliche Gründe Der gezielte und effiziente Einsatz von einem strategischen IT-Sicherheitsmanagement bei der LHM hat zur Folge, dass geplante unternehmerische Ziele wie z.B. Kostensenkung und Gewinnsteigerung erreicht werden können. Voraussetzung dafür ist, dass dies verlässlich arbeitet und permanent zur Verfügung steht. In diesem Fall hat die LHM die Chance, durch optimierte Bedingungen die geplanten wirtschaftlichen Ziele zu erreichen oder gar zu übertreffen.
Strategisches IT-Sicherheitsmanagement für die Landeshauptstadt München Das Hauptziel eines effektiven IT-Sicherheitsmanagements für die Landeshauptstadt München ist es, die Geschäftsprozesse und die darin verarbeiteten Informationen hinsichtlich Vertraulichkeit, Integrität und erfügbarkeit zu schützen. In einem Initial-Audit wird der Status quo des IT-Sicherheitsmanagements im Unternehmen auditiert. Dabei sollte der individuelle Bedarf an IT-Sicherheitsmaßnahmen immer mit Augenmaß und in Abhängigkeit der zu schützenden Geschäftsprozesse definiert werden. Auf Basis dieser Ergebnisse wird die IT-Sicherheitsstrategie definiert. Des Weiteren werden die aus den Handlungsempfehlungen des Audits resultierenden technischen und organisatorischen Maßnahmen geplant und umgesetzt. Die Umsetzung wird kontrolliert, regelmäßig hinsichtlich Effektivität und Effizienz (re-) auditiert und durch bedarfsabhängige IT-Sicherheitsberatung ergänzt. Eingebettet in eine funktionierende IT-Sicherheits-Organisation und –Kultur wird durch professionelles Projektmanagement sichergestellt, dass die Ziele unter Berücksichtigung von Zeit, Kosten und Qualität erreicht werden können.
Phase 1: Ist-Analyse Effektives IT-Sicherheitsmanagement gewährleistet Vertraulichkeit, Integrität und Verfügbarkeit der Geschäftsprozesse der LHM und die in ihnen verarbeiteten Informationen. Wie gut die bestehenden Maßnahmen diese Aufgabe erfüllen, wird im Rahmen eines Initial-Audits analysiert und bewertet. Auf Basis dieser Erkenntnisse können im Anschluss der weitere Projektverlauf systematisch geplant und die einzurichtenden technischen und organisatorischen Maßnahmen ausgewählt werden. Folgende Schritte werden beim Initialaudit durchgeführt:
Phase 1: Ist-Analyse (fort.) IT-Risikoanalyse Die Risikoanalyse gibt im Ergebnis Aufschluss über die IT-Infrastruktur, die die technische Grundlage für effektive und effiziente Geschäftsprozesse ist. Für alle relevanten Geschäftsprozesse wird gemeinsam mit den Prozessverantwortlichen eine Einschätzung der Kritikalität hinsichtlich Vertraulichkeit, Verfügbarkeit und Integrität vorgenommen. Anschließend werden die für die Ausführung der Geschäftsprozesse notwendigen Applikationen, IT-Systeme, Räume und Gebäude aus den Ergebnissen der Strukturanalyse ausgewählt. Die Kritikalität des betrachteten Geschäftsprozesses „vererbt“ sich auf die darunterliegende IT-Infrastruktur.
Phase 1: Ist-Analyse (fort.) Vor-Ort-Interviews Zur Einschätzung des IT-Sicherheitsniveaus wird der Ist- Zustand der Sicherheitsmaßnahmen für definierte Elemente mit Soll-Vorgaben verglichen. Hierzu wird ein eigens entwickelter Auditkatalog genutzt, der unter Berücksichtigung der Vorgaben der wichtigsten Standards für IT-Sicherheit erstellt wurde. Dieser Katalog wird auf die Rahmenbedingungen des jeweiligen Unternehmens individuell angepasst. Angaben des Unternehmens werden durch Stichprobenuntersuchungen vor Ort verifiziert. Die Ergebnisse der Untersuchung und konkrete Handlungsempfehlungen werden anschließend im Auditbericht zusammengefasst.
Phase 2: Strategie definieren und Maßnahmen planen Die Ergebnisse des Audits werden der LHM im Rahmen einer Ergebnispräsentation vorgestellt und erläutert. Basierend auf diesen Ergebnissen wird gemeinsam mit den Verantwortlichen eine IT-Sicherheitsstrategie entwickelt und geeignete technische und organisatorische Maßnahmen zur Umsetzung abgeleitet. Neben technischen Maßnahmen aus dem Bereich IT- und Informationssicherheit werden auch organisatorische Maßnahmen wie die Etablierung einer IT-Sicherheitsorganisation, Festlegung der Verantwortlichkeit für IT-Sicherheit im Unternehmen, Schulungs- und Sensibilisierungsmaßnahmen für die Mitarbeiter oder die Erstellung und Veröffentlichung des IT-Sicherheitshandbuchs berücksichtigt. Alle diese Maßnahmen werden in dieser Phase geplant. Abschließend wird nach einer Priorisierung der Maßnahmen ein Zeitplan erarbeitet und die Frequenz für zukünftige Audit-Zyklen festgelegt.
Phase 3: Strategien und Maßnahmen implementieren Die geplanten technischen und organisatorischen Maßnahmen werden gemäß der festgelegten Priorisierung von der LHM umgesetzt. Phase 4: Re-Audit/Wartung und Übung Als wichtiger Bestandteil des IT-Sicherheitsmanagements wird der Implementierungsgrad der Maßnahmen in Folgeaudits zyklisch kontrolliert und ausgewertet. Dazu wird ein Reifegradmodell verwendet, welches einerseits eine Übersicht über den aktuellen Status der IT-Sicherheit im Unternehmen zulässt und zum anderen einen direkten Vergleich mit früheren Auditergebnissen ermöglicht. Regelmäßiges Reporting an die Verantwortlichen in der LHM gehört ebenso zur Umsetzungskontrolle wie die professionelle Dokumentation von Status und Fortschritt des Informationssicherheits-Managementsystems. Begleitende Aktivität: Etablierung einer IT-Sicherheitsorganisation und -Kultur Das größte Sicherheitsrisiko im Unternehmen ist der Mensch, was zeigt sehr deutlich, dass ohne eine ausreichende Sensibilisierung (z.B. durch gezielte Schulungen) aller Mitarbeiter im Unternehmen, kein den Anforderungen entsprechendes Maß an IT-Sicherheit erreicht werden kann.
Grafische Darstellung des IT-Sicherheitsreifegrads nach untersuchten Bereichen
Vorgehensmodell IT-Sicherheitsmanagement für die Landeshauptstadt München
Kontrollsystem Zur Qualitätssicherung im Sicherheitsprozess, für den Nachweis der Angemessenheit der veranlassten Maßnahmen und zur Sicherstellung ihrer Wirksamkeit sind regelmäßig Kontrollen vorzunehmen. Sicherheitsrelevante Vorfälle werden durch den Beauftragten für IT-Sicherheit unverzüglich untersucht werden, damit deren Ursachen und Auswirkungen eingeschätzt und beseitigt werden. Die Gewährleistung von IT-Sicherheit ist eine kontinuierliche Aufgabe, die in alle Arbeitsabläufe integriert ist. Das dafür nötige ganzheitliche Vorgehen wird durch das enge Zusammenwirken von IT-Sicherheitsmanagement, IT-Servicebereich, betrieblicher Datenschutzbeauftragter und Konzern-Revision unterstützt.
Aufbauorganisation IT-Sicherheitsmanagement für die Landeshauptstadt München
Fazit Für ein erfolgreiches IT-Sicherheitsmanagement bei der Landeshauptstadt München ist die Erkennung und Bewertung bestehender Sicherheitsrisiken Voraussetzung. Die umfassende Nutzung von Netzwerkinfrastrukturen und der zunehmende Einsatz von mobilen, medienkonvergenten Endgeräten erhöhen dabei zwangsläufig das Sicherheitsbedürfnis der Unternehmen, denn mit der Komplexität und Anzahl der genutzten IT-Systeme wachsen auch Anzahl und Schweregrad möglicher Angriffe. Um diesen Risiken im Bereich der IT-Sicherheit wirksam begegnen zu können, benötigt die Landeshauptstadt München ein geplantes, strukturiertes und methodisches IT-Risikomanagement sowie die notwendige Sensibilität für Warnsignale und potentielle Sicherheitslücken. Der Schlüssel zum Erfolg der Umsetzung der einzelnen Bausteine des IT-Sicherheitsmanagements der Landeshauptstadt München ist also ein individuelles Vorgehensmodell.

Recomendados

FMK2015: Informationssicherheit und Risikomanagement by Patrick Risch
FMK2015: Informationssicherheit und Risikomanagement by Patrick RischFMK2015: Informationssicherheit und Risikomanagement by Patrick Risch
FMK2015: Informationssicherheit und Risikomanagement by Patrick RischVerein FM Konferenz
 
Chiriac maria evaluarea_-_ghid_al_activitatilor_din_gradinita
Chiriac maria evaluarea_-_ghid_al_activitatilor_din_gradinita Chiriac maria evaluarea_-_ghid_al_activitatilor_din_gradinita
Chiriac maria evaluarea_-_ghid_al_activitatilor_din_gradinita Anghel Iulia
 
French PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfFrench PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfControlCase
 
02. Akhlak Terhadap Diri Sendiri
02. Akhlak Terhadap Diri Sendiri02. Akhlak Terhadap Diri Sendiri
02. Akhlak Terhadap Diri Sendiriyasin5582
 
Idea
IdeaIdea
IdeaOuissem eddine Amir BOUDOUR
 
Security Transformation Services
Security Transformation ServicesSecurity Transformation Services
Security Transformation Servicesxband
 
KEPEMIMPINAN ABU BAKAR ASH-SHIDDIQ
KEPEMIMPINAN ABU BAKAR ASH-SHIDDIQKEPEMIMPINAN ABU BAKAR ASH-SHIDDIQ
KEPEMIMPINAN ABU BAKAR ASH-SHIDDIQabelianuraini
 
WHY SOC Services needed?
WHY SOC Services needed?WHY SOC Services needed?
WHY SOC Services needed?manoharparakh
 

Recomendados

FMK2015: Informationssicherheit und Risikomanagement by Patrick Risch
FMK2015: Informationssicherheit und Risikomanagement by Patrick RischFMK2015: Informationssicherheit und Risikomanagement by Patrick Risch
FMK2015: Informationssicherheit und Risikomanagement by Patrick RischVerein FM Konferenz
 
Chiriac maria evaluarea_-_ghid_al_activitatilor_din_gradinita
Chiriac maria evaluarea_-_ghid_al_activitatilor_din_gradinita Chiriac maria evaluarea_-_ghid_al_activitatilor_din_gradinita
Chiriac maria evaluarea_-_ghid_al_activitatilor_din_gradinita Anghel Iulia
 
French PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfFrench PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfControlCase
 
02. Akhlak Terhadap Diri Sendiri
02. Akhlak Terhadap Diri Sendiri02. Akhlak Terhadap Diri Sendiri
02. Akhlak Terhadap Diri Sendiriyasin5582
 
Idea
IdeaIdea
IdeaOuissem eddine Amir BOUDOUR
 
Security Transformation Services
Security Transformation ServicesSecurity Transformation Services
Security Transformation Servicesxband
 
KEPEMIMPINAN ABU BAKAR ASH-SHIDDIQ
KEPEMIMPINAN ABU BAKAR ASH-SHIDDIQKEPEMIMPINAN ABU BAKAR ASH-SHIDDIQ
KEPEMIMPINAN ABU BAKAR ASH-SHIDDIQabelianuraini
 
WHY SOC Services needed?
WHY SOC Services needed?WHY SOC Services needed?
WHY SOC Services needed?manoharparakh
 
Best Practices for Password Creation
Best Practices for Password CreationBest Practices for Password Creation
Best Practices for Password CreationnFront Security
 
CISSP - Chapter 3 - System security architecture
CISSP - Chapter 3 - System security architectureCISSP - Chapter 3 - System security architecture
CISSP - Chapter 3 - System security architectureKarthikeyan Dhayalan
 
Hash crypto
Hash cryptoHash crypto
Hash cryptoHarry Potter
 
CyberOps Associate Modul 27 Working with Network Security Data
CyberOps Associate Modul 27 Working with Network Security DataCyberOps Associate Modul 27 Working with Network Security Data
CyberOps Associate Modul 27 Working with Network Security DataPanji Ramadhan Hadjarati
 
Umar bin abdul aziz
Umar bin abdul azizUmar bin abdul aziz
Umar bin abdul azizahfa42
 
Soc
SocSoc
SocMukesh Chaudhari
 
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?BGA Cyber Security
 
Mehari
MehariMehari
MehariImane ABOU EL MARAI
 
Information and data security cryptographic hash functions
Information and data security cryptographic hash functionsInformation and data security cryptographic hash functions
Information and data security cryptographic hash functionsMazin Alwaaly
 
Cryptography
CryptographyCryptography
CryptographyArjun Shukla
 
Cryptography chap#6.pptx
Cryptography chap#6.pptxCryptography chap#6.pptx
Cryptography chap#6.pptxHamnaMalik31
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıBGA Cyber Security
 
interviul psihologic
interviul psihologic interviul psihologic
interviul psihologicLau Laura
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernancePECB
 
Cybersecurity in Industrial Control Systems (ICS)
Cybersecurity in Industrial Control Systems (ICS)Cybersecurity in Industrial Control Systems (ICS)
Cybersecurity in Industrial Control Systems (ICS)Joan Figueras Tugas
 
Siber Güvenlik 2022.pptx
Siber Güvenlik 2022.pptxSiber Güvenlik 2022.pptx
Siber Güvenlik 2022.pptxİpek Aral
 
Hijrah Nabi & perang Badar
Hijrah Nabi & perang BadarHijrah Nabi & perang Badar
Hijrah Nabi & perang BadarAbdul Rahman Ab Hadi
 
Metoda balantei
Metoda balanteiMetoda balantei
Metoda balanteiÉva Biró
 
4 أنواع خوارزميات التشفير
4 أنواع خوارزميات التشفير4 أنواع خوارزميات التشفير
4 أنواع خوارزميات التشفيررياض خليفة
 
Ciberseguridad en el Sector Salud | CISObeat Webinar
Ciberseguridad en el Sector Salud | CISObeat WebinarCiberseguridad en el Sector Salud | CISObeat Webinar
Ciberseguridad en el Sector Salud | CISObeat WebinarCISObeat
 
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementEN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementSven Wohlgemuth
 
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting Hans Peter Knaust
 

Mais conteúdo relacionado

Mais procurados

Best Practices for Password Creation
Best Practices for Password CreationBest Practices for Password Creation
Best Practices for Password CreationnFront Security
 
CISSP - Chapter 3 - System security architecture
CISSP - Chapter 3 - System security architectureCISSP - Chapter 3 - System security architecture
CISSP - Chapter 3 - System security architectureKarthikeyan Dhayalan
 
CyberOps Associate Modul 27 Working with Network Security Data
CyberOps Associate Modul 27 Working with Network Security DataCyberOps Associate Modul 27 Working with Network Security Data
CyberOps Associate Modul 27 Working with Network Security DataPanji Ramadhan Hadjarati
 
Umar bin abdul aziz
Umar bin abdul azizUmar bin abdul aziz
Umar bin abdul azizahfa42
 
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?BGA Cyber Security
 
Information and data security cryptographic hash functions
Information and data security cryptographic hash functionsInformation and data security cryptographic hash functions
Information and data security cryptographic hash functionsMazin Alwaaly
 
Cryptography chap#6.pptx
Cryptography chap#6.pptxCryptography chap#6.pptx
Cryptography chap#6.pptxHamnaMalik31
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıBGA Cyber Security
 
interviul psihologic
interviul psihologic interviul psihologic
interviul psihologicLau Laura
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernancePECB
 
Cybersecurity in Industrial Control Systems (ICS)
Cybersecurity in Industrial Control Systems (ICS)Cybersecurity in Industrial Control Systems (ICS)
Cybersecurity in Industrial Control Systems (ICS)Joan Figueras Tugas
 
Siber Güvenlik 2022.pptx
Siber Güvenlik 2022.pptxSiber Güvenlik 2022.pptx
Siber Güvenlik 2022.pptxİpek Aral
 
Metoda balantei
Metoda balanteiMetoda balantei
Metoda balanteiÉva Biró
 
4 أنواع خوارزميات التشفير
4 أنواع خوارزميات التشفير4 أنواع خوارزميات التشفير
4 أنواع خوارزميات التشفيررياض خليفة
 
Ciberseguridad en el Sector Salud | CISObeat Webinar
Ciberseguridad en el Sector Salud | CISObeat WebinarCiberseguridad en el Sector Salud | CISObeat Webinar
Ciberseguridad en el Sector Salud | CISObeat WebinarCISObeat
 

Mais procurados (20)

Best Practices for Password Creation
Best Practices for Password CreationBest Practices for Password Creation
Best Practices for Password Creation
 
CISSP - Chapter 3 - System security architecture
CISSP - Chapter 3 - System security architectureCISSP - Chapter 3 - System security architecture
CISSP - Chapter 3 - System security architecture
 
Hash crypto
Hash cryptoHash crypto
Hash crypto
 
CyberOps Associate Modul 27 Working with Network Security Data
CyberOps Associate Modul 27 Working with Network Security DataCyberOps Associate Modul 27 Working with Network Security Data
CyberOps Associate Modul 27 Working with Network Security Data
 
Umar bin abdul aziz
Umar bin abdul azizUmar bin abdul aziz
Umar bin abdul aziz
 
Soc
SocSoc
Soc
 
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
 
Mehari
MehariMehari
Mehari
 
Information and data security cryptographic hash functions
Information and data security cryptographic hash functionsInformation and data security cryptographic hash functions
Information and data security cryptographic hash functions
 
Cryptography
CryptographyCryptography
Cryptography
 
Cryptography chap#6.pptx
Cryptography chap#6.pptxCryptography chap#6.pptx
Cryptography chap#6.pptx
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
 
interviul psihologic
interviul psihologic interviul psihologic
interviul psihologic
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernance
 
Cybersecurity in Industrial Control Systems (ICS)
Cybersecurity in Industrial Control Systems (ICS)Cybersecurity in Industrial Control Systems (ICS)
Cybersecurity in Industrial Control Systems (ICS)
 
Siber Güvenlik 2022.pptx
Siber Güvenlik 2022.pptxSiber Güvenlik 2022.pptx
Siber Güvenlik 2022.pptx
 
Hijrah Nabi & perang Badar
Hijrah Nabi & perang BadarHijrah Nabi & perang Badar
Hijrah Nabi & perang Badar
 
Metoda balantei
Metoda balanteiMetoda balantei
Metoda balantei
 
4 أنواع خوارزميات التشفير
4 أنواع خوارزميات التشفير4 أنواع خوارزميات التشفير
4 أنواع خوارزميات التشفير
 
Ciberseguridad en el Sector Salud | CISObeat Webinar
Ciberseguridad en el Sector Salud | CISObeat WebinarCiberseguridad en el Sector Salud | CISObeat Webinar
Ciberseguridad en el Sector Salud | CISObeat Webinar
 

Semelhante a Strategische IT-Sicherheit für die Landeshauptstadt München

EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementEN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementSven Wohlgemuth
 
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting Hans Peter Knaust
 
Microsoft Kompendium IT-Compliance und -Security
Microsoft Kompendium IT-Compliance und -SecurityMicrosoft Kompendium IT-Compliance und -Security
Microsoft Kompendium IT-Compliance und -SecurityMichael Hettich
 
Navigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Navigator im Compliance-Dickicht - computerworld.ch - Matthias LeisiNavigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Navigator im Compliance-Dickicht - computerworld.ch - Matthias LeisiMatthias Leisi
 
B3 Act Lotusday 08 09 2009
B3 Act Lotusday 08 09 2009B3 Act Lotusday 08 09 2009
B3 Act Lotusday 08 09 2009Andreas Schulte
 
Lost in translation – ein praktischer Wegweiser
Lost in translation – ein praktischer WegweiserLost in translation – ein praktischer Wegweiser
Lost in translation – ein praktischer WegweiserDigicomp Academy AG
 
Tuws08 Wl Folien
Tuws08 Wl FolienTuws08 Wl Folien
Tuws08 Wl Folienguest49e60a
 
Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting Sopra Steria Consulting
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Carsten Muetzlitz
 
Seminar tu do-20090625_3 [kompatibilitätsmodus]
Seminar tu do-20090625_3 [kompatibilitätsmodus]Seminar tu do-20090625_3 [kompatibilitätsmodus]
Seminar tu do-20090625_3 [kompatibilitätsmodus]CGI Germany
 
Aufbau eines integrierten Management-Systems (IMS) mit SharePoint
Aufbau eines integrierten Management-Systems (IMS) mit SharePointAufbau eines integrierten Management-Systems (IMS) mit SharePoint
Aufbau eines integrierten Management-Systems (IMS) mit SharePointIOZ AG
 
Auswahlhilfe informationssicherheitssystem 2015dt
Auswahlhilfe informationssicherheitssystem 2015dtAuswahlhilfe informationssicherheitssystem 2015dt
Auswahlhilfe informationssicherheitssystem 2015dtIris Maaß
 
Informationssicherheit mit System Sopra Steria Consulting
Informationssicherheit mit System Sopra Steria Consulting Informationssicherheit mit System Sopra Steria Consulting
Informationssicherheit mit System Sopra Steria Consulting Sopra Steria Consulting
 
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...jiricejka
 
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Holliday Consulting
 
BUYING Butler Tutorial No.3 Software-Asset-Management ist nichts anderes als ...
BUYING Butler Tutorial No.3 Software-Asset-Management ist nichts anderes als ...BUYING Butler Tutorial No.3 Software-Asset-Management ist nichts anderes als ...
BUYING Butler Tutorial No.3 Software-Asset-Management ist nichts anderes als ...Axel Oppermann
 
Kopie von PROSPER - Module 1 - Unit 5 de.pptx
Kopie von PROSPER - Module 1 - Unit 5 de.pptxKopie von PROSPER - Module 1 - Unit 5 de.pptx
Kopie von PROSPER - Module 1 - Unit 5 de.pptxcaniceconsulting
 

Semelhante a Strategische IT-Sicherheit für die Landeshauptstadt München (20)

EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementEN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
 
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
 
Microsoft Kompendium IT-Compliance und -Security
Microsoft Kompendium IT-Compliance und -SecurityMicrosoft Kompendium IT-Compliance und -Security
Microsoft Kompendium IT-Compliance und -Security
 
Navigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Navigator im Compliance-Dickicht - computerworld.ch - Matthias LeisiNavigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Navigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
 
B3 Act Lotusday 08 09 2009
B3 Act Lotusday 08 09 2009B3 Act Lotusday 08 09 2009
B3 Act Lotusday 08 09 2009
 
Lost in translation – ein praktischer Wegweiser
Lost in translation – ein praktischer WegweiserLost in translation – ein praktischer Wegweiser
Lost in translation – ein praktischer Wegweiser
 
Tuws08 Wl Folien
Tuws08 Wl FolienTuws08 Wl Folien
Tuws08 Wl Folien
 
Cobit
CobitCobit
Cobit
 
Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting
 
Regelkonforme Assekuranz
Regelkonforme AssekuranzRegelkonforme Assekuranz
Regelkonforme Assekuranz
 
Prozessoptimierung mit ITIL
Prozessoptimierung mit ITILProzessoptimierung mit ITIL
Prozessoptimierung mit ITIL
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
 
Seminar tu do-20090625_3 [kompatibilitätsmodus]
Seminar tu do-20090625_3 [kompatibilitätsmodus]Seminar tu do-20090625_3 [kompatibilitätsmodus]
Seminar tu do-20090625_3 [kompatibilitätsmodus]
 
Aufbau eines integrierten Management-Systems (IMS) mit SharePoint
Aufbau eines integrierten Management-Systems (IMS) mit SharePointAufbau eines integrierten Management-Systems (IMS) mit SharePoint
Aufbau eines integrierten Management-Systems (IMS) mit SharePoint
 
Auswahlhilfe informationssicherheitssystem 2015dt
Auswahlhilfe informationssicherheitssystem 2015dtAuswahlhilfe informationssicherheitssystem 2015dt
Auswahlhilfe informationssicherheitssystem 2015dt
 
Informationssicherheit mit System Sopra Steria Consulting
Informationssicherheit mit System Sopra Steria Consulting Informationssicherheit mit System Sopra Steria Consulting
Informationssicherheit mit System Sopra Steria Consulting
 
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
 
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
 
BUYING Butler Tutorial No.3 Software-Asset-Management ist nichts anderes als ...
BUYING Butler Tutorial No.3 Software-Asset-Management ist nichts anderes als ...BUYING Butler Tutorial No.3 Software-Asset-Management ist nichts anderes als ...
BUYING Butler Tutorial No.3 Software-Asset-Management ist nichts anderes als ...
 
Kopie von PROSPER - Module 1 - Unit 5 de.pptx
Kopie von PROSPER - Module 1 - Unit 5 de.pptxKopie von PROSPER - Module 1 - Unit 5 de.pptx
Kopie von PROSPER - Module 1 - Unit 5 de.pptx
 

Strategische IT-Sicherheit für die Landeshauptstadt München

  • 1. Unified Backhaul Performance Optimization Strategische IT-Sicherheit für die Landeshauptstadt München (LHM) Dr.-Ing. Stanislav Milanovic
  • 2. Kurzfassung Ausgehend von der IT-Sicherheitsleitlinie der LHM und dem dort beschriebenen Kräftedreieck ist es das Hauptziel dieser Präsentation, ein strategisches IT-Sicherheitsmanagement grob zu skizzieren. Ein weiteres Ziel ist es, einen Überblick über die Kerninhalte der IT-Sicherheitsleitline der LHM darzustellen.
  • 3. IT-Sicherheitsleitlinie der LHM besteht aus Eckpunkten „Rechtliche Rahmenbedingungen“, „Flexibilität der Arbeitsumgebung“ und „Schutzbedarf der Daten“. „Rechtliche Rahmenbedingungen“ betreffen die Maßnahmen zum Schutz von sensiblen Informationen, Daten, IT-Systemen und IT-Ressourcen entsprechen den jeweils gültigen gesetzlichen Auflagen und Verordnungen. Es gibt eine Vielzahl an internationalem Völkerrecht, EU-weiten Verordnungen/Richtlinien/Kodizes und nationalen Gesetzesgrundlagen, die bei der Umsetzung und Implementierung von IT-Governance oder-Compliance-Maßnahmen beachtet werden müssen. „Flexibilität der Arbeitsumgebung“ bedeutet eine zunehmende Auflösung bestehender Strukturen und eine Mobilisierung auch innerhalb von Büroumgebungen. „Schutzbedarf der Daten“ kann nach dem Ansatz der Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) durch die Annahme eines Schutzbedarfes und der Umsetzung vorgeschlagener Standardmaßnahmen, in Zusammenhang mit einem vertiefenden Risk-Assessment, formuliert werden. Überblick über die Kerninhalte der IT-Sicherheitsleitlinie
  • 6. IT-Sicherheitsmanagement IT-Sicherheitsmanagement wird sich auf im Kern zyklische Prozesse abstützen (Deming-Zyklus für Qualitätsmanagement und Produktlebenszyklen), um effektiv zu sein. IT-Sicherheitsmanagement wird nach der IT-Grundschutz (BSI-Standard 100-1) mit konkreten technischen Maßnahmen und einem alternativen Ansatz zur Risikoanalyse umgesetzt. Für die Messung der Qualität von IT-Sicherheitsprozessen wird das Fähigkeit- Reifegrad-Modell (Capability Maturity Model - CMM) verwendet werden.
  • 7. IT-Sicherheitsmanagement (fort.) Um die Aufrechterhaltung des Schutzniveaus im Zeitablauf zu gewährleisten, ist das IT-Sicherheitsmanagement als Prozess mit den sich wiederholenden Teilschritten • Informationswertanalyse (Aufstellung der schützenswerten Informationen und Systeme) • Schwachstellenanalyse • Bedrohungsanalyse • Risikoanalyse • Planung der Abwehrmaßnahmen sowie • Umsetzungskontrolle im Zeitablauf zu installieren. Neben der rein sachlichen Beschäftigung mit Bedrohungen und Schutzmaßnahmen umfasst das IT-Sicherheitsmanagement auch eine organisatorische Komponente. Im Rahmen des IT-Sicherheitsmanagements gilt es, eine Infrastruktur in Form einer Aufbauorganisation, Zuordnung von Verantwortlichkeiten, Personal- und Mittelbereitstellung zu schaffen, die die Durchführung der zuvor benannten Teilschritte ermöglicht. Häufigste Organisationsform ist die Zuordnung als Stabsstelle zur IT-Abteilung.
  • 8. Wirtschaftliche Gründe Der gezielte und effiziente Einsatz von einem strategischen IT-Sicherheitsmanagement bei der LHM hat zur Folge, dass geplante unternehmerische Ziele wie z.B. Kostensenkung und Gewinnsteigerung erreicht werden können. Voraussetzung dafür ist, dass dies verlässlich arbeitet und permanent zur Verfügung steht. In diesem Fall hat die LHM die Chance, durch optimierte Bedingungen die geplanten wirtschaftlichen Ziele zu erreichen oder gar zu übertreffen.
  • 9. Strategisches IT-Sicherheitsmanagement für die Landeshauptstadt München Das Hauptziel eines effektiven IT-Sicherheitsmanagements für die Landeshauptstadt München ist es, die Geschäftsprozesse und die darin verarbeiteten Informationen hinsichtlich Vertraulichkeit, Integrität und erfügbarkeit zu schützen. In einem Initial-Audit wird der Status quo des IT-Sicherheitsmanagements im Unternehmen auditiert. Dabei sollte der individuelle Bedarf an IT-Sicherheitsmaßnahmen immer mit Augenmaß und in Abhängigkeit der zu schützenden Geschäftsprozesse definiert werden. Auf Basis dieser Ergebnisse wird die IT-Sicherheitsstrategie definiert. Des Weiteren werden die aus den Handlungsempfehlungen des Audits resultierenden technischen und organisatorischen Maßnahmen geplant und umgesetzt. Die Umsetzung wird kontrolliert, regelmäßig hinsichtlich Effektivität und Effizienz (re-) auditiert und durch bedarfsabhängige IT-Sicherheitsberatung ergänzt. Eingebettet in eine funktionierende IT-Sicherheits-Organisation und –Kultur wird durch professionelles Projektmanagement sichergestellt, dass die Ziele unter Berücksichtigung von Zeit, Kosten und Qualität erreicht werden können.
  • 10. Phase 1: Ist-Analyse Effektives IT-Sicherheitsmanagement gewährleistet Vertraulichkeit, Integrität und Verfügbarkeit der Geschäftsprozesse der LHM und die in ihnen verarbeiteten Informationen. Wie gut die bestehenden Maßnahmen diese Aufgabe erfüllen, wird im Rahmen eines Initial-Audits analysiert und bewertet. Auf Basis dieser Erkenntnisse können im Anschluss der weitere Projektverlauf systematisch geplant und die einzurichtenden technischen und organisatorischen Maßnahmen ausgewählt werden. Folgende Schritte werden beim Initialaudit durchgeführt:
  • 11. Phase 1: Ist-Analyse (fort.) IT-Risikoanalyse Die Risikoanalyse gibt im Ergebnis Aufschluss über die IT-Infrastruktur, die die technische Grundlage für effektive und effiziente Geschäftsprozesse ist. Für alle relevanten Geschäftsprozesse wird gemeinsam mit den Prozessverantwortlichen eine Einschätzung der Kritikalität hinsichtlich Vertraulichkeit, Verfügbarkeit und Integrität vorgenommen. Anschließend werden die für die Ausführung der Geschäftsprozesse notwendigen Applikationen, IT-Systeme, Räume und Gebäude aus den Ergebnissen der Strukturanalyse ausgewählt. Die Kritikalität des betrachteten Geschäftsprozesses „vererbt“ sich auf die darunterliegende IT-Infrastruktur.
  • 12. Phase 1: Ist-Analyse (fort.) Vor-Ort-Interviews Zur Einschätzung des IT-Sicherheitsniveaus wird der Ist- Zustand der Sicherheitsmaßnahmen für definierte Elemente mit Soll-Vorgaben verglichen. Hierzu wird ein eigens entwickelter Auditkatalog genutzt, der unter Berücksichtigung der Vorgaben der wichtigsten Standards für IT-Sicherheit erstellt wurde. Dieser Katalog wird auf die Rahmenbedingungen des jeweiligen Unternehmens individuell angepasst. Angaben des Unternehmens werden durch Stichprobenuntersuchungen vor Ort verifiziert. Die Ergebnisse der Untersuchung und konkrete Handlungsempfehlungen werden anschließend im Auditbericht zusammengefasst.
  • 13. Phase 2: Strategie definieren und Maßnahmen planen Die Ergebnisse des Audits werden der LHM im Rahmen einer Ergebnispräsentation vorgestellt und erläutert. Basierend auf diesen Ergebnissen wird gemeinsam mit den Verantwortlichen eine IT-Sicherheitsstrategie entwickelt und geeignete technische und organisatorische Maßnahmen zur Umsetzung abgeleitet. Neben technischen Maßnahmen aus dem Bereich IT- und Informationssicherheit werden auch organisatorische Maßnahmen wie die Etablierung einer IT-Sicherheitsorganisation, Festlegung der Verantwortlichkeit für IT-Sicherheit im Unternehmen, Schulungs- und Sensibilisierungsmaßnahmen für die Mitarbeiter oder die Erstellung und Veröffentlichung des IT-Sicherheitshandbuchs berücksichtigt. Alle diese Maßnahmen werden in dieser Phase geplant. Abschließend wird nach einer Priorisierung der Maßnahmen ein Zeitplan erarbeitet und die Frequenz für zukünftige Audit-Zyklen festgelegt.
  • 14. Phase 3: Strategien und Maßnahmen implementieren Die geplanten technischen und organisatorischen Maßnahmen werden gemäß der festgelegten Priorisierung von der LHM umgesetzt. Phase 4: Re-Audit/Wartung und Übung Als wichtiger Bestandteil des IT-Sicherheitsmanagements wird der Implementierungsgrad der Maßnahmen in Folgeaudits zyklisch kontrolliert und ausgewertet. Dazu wird ein Reifegradmodell verwendet, welches einerseits eine Übersicht über den aktuellen Status der IT-Sicherheit im Unternehmen zulässt und zum anderen einen direkten Vergleich mit früheren Auditergebnissen ermöglicht. Regelmäßiges Reporting an die Verantwortlichen in der LHM gehört ebenso zur Umsetzungskontrolle wie die professionelle Dokumentation von Status und Fortschritt des Informationssicherheits-Managementsystems. Begleitende Aktivität: Etablierung einer IT-Sicherheitsorganisation und -Kultur Das größte Sicherheitsrisiko im Unternehmen ist der Mensch, was zeigt sehr deutlich, dass ohne eine ausreichende Sensibilisierung (z.B. durch gezielte Schulungen) aller Mitarbeiter im Unternehmen, kein den Anforderungen entsprechendes Maß an IT-Sicherheit erreicht werden kann.
  • 15. Grafische Darstellung des IT-Sicherheitsreifegrads nach untersuchten Bereichen
  • 17. Kontrollsystem Zur Qualitätssicherung im Sicherheitsprozess, für den Nachweis der Angemessenheit der veranlassten Maßnahmen und zur Sicherstellung ihrer Wirksamkeit sind regelmäßig Kontrollen vorzunehmen. Sicherheitsrelevante Vorfälle werden durch den Beauftragten für IT-Sicherheit unverzüglich untersucht werden, damit deren Ursachen und Auswirkungen eingeschätzt und beseitigt werden. Die Gewährleistung von IT-Sicherheit ist eine kontinuierliche Aufgabe, die in alle Arbeitsabläufe integriert ist. Das dafür nötige ganzheitliche Vorgehen wird durch das enge Zusammenwirken von IT-Sicherheitsmanagement, IT-Servicebereich, betrieblicher Datenschutzbeauftragter und Konzern-Revision unterstützt.
  • 19. Fazit Für ein erfolgreiches IT-Sicherheitsmanagement bei der Landeshauptstadt München ist die Erkennung und Bewertung bestehender Sicherheitsrisiken Voraussetzung. Die umfassende Nutzung von Netzwerkinfrastrukturen und der zunehmende Einsatz von mobilen, medienkonvergenten Endgeräten erhöhen dabei zwangsläufig das Sicherheitsbedürfnis der Unternehmen, denn mit der Komplexität und Anzahl der genutzten IT-Systeme wachsen auch Anzahl und Schweregrad möglicher Angriffe. Um diesen Risiken im Bereich der IT-Sicherheit wirksam begegnen zu können, benötigt die Landeshauptstadt München ein geplantes, strukturiertes und methodisches IT-Risikomanagement sowie die notwendige Sensibilität für Warnsignale und potentielle Sicherheitslücken. Der Schlüssel zum Erfolg der Umsetzung der einzelnen Bausteine des IT-Sicherheitsmanagements der Landeshauptstadt München ist also ein individuelles Vorgehensmodell.