SlideShare uma empresa Scribd logo

Informationssicherheitsmanagment

Claus Brell
Claus Brell

Einführung Informationssicherheit - und warum es mehr lohnt, in Menschen und Sicherheitsprozesse als in Virenscanner zu investieren. Video auf youtube: https://youtu.be/Sfs-plMfB1s Blogbeitrag: https://cbrell.de/blog/informationssicherheitsmanagement/ Prof. Dr. Claus Brell

Educação
1 de 22
Baixar para ler offline
Mit Wirtschaftsinformatik Wirtschaft neu gestalten. Methoden Von Null auf Hundert Managementmethoden Informationssicherheitsmanagement 1
Warum Informationssicherheitsmanagement? 2 Kein Problem. Wir brauchen einfach eine Firewall, dann verbieten wir den Mitarbeitern das Internet und kaufen die Überwachungssoftware “totsicherSuite“ … Was läuft hier falsch? Wir müssen IRGEND ETWAS tun. Man liest ja immer von Hackern und Datenschutzproblemen … Aber wir haben doch gar keine PCs … Brauchen wir das trotzdem? Die unsichere Geschäftsführerin Der IT-Spezialist
Warum Informationssicherheitsmanagement Gesetzliche Verpflichtung: • Am 24.7.2015 wurde das IT-Sicherheitsgesetz im Bundesgesetzblatt veröffentlicht. • Am 2.5.2016 wurde die Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) im Bundesgesetzblatt (BGBl. I Nr. 20, S. 958ff.) veröffentlicht. • Anwendungsgebiet: Kritische Infrastrukturen. Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. (Versorgungsunternehmen, Krankenhäuser ... ) Selbstschutz in Unternehmen: Daten sind das Rückgrat der meisten Unternehmen: • Verfügbarkeit • Vertraulichkeit • Integrität (Korrektheit) Informationssicherheitsmanagement, um Risiken in Unternehmen zu mindern. 3
Begriffe Informationssicherheit hat als Ziel den Schutz von Informationen jeglicher Art und Herkunft. - Informationen auf Papier - Informationen in Rechnersystemen - Informationen in den Köpfen der Menschen. IT-Sicherheit beschäftigt sich mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung. Informationssicherheit umfasst die IT-Sicherheit. 4
Informations- Sicherheit Begriffe 5 IT-Sicherheit technische Maßnahmen Informationssicherheitsmanagement planen, steuern, kontrollieren, verbessern organisatorische Maßnahmen
Warum nicht nur eine Firewall kaufen? Informationen: - Sind wichtige Werte für Unternehmen. - müssen angemessen geschützt werden. - Viele Informationen werden mit Informationstechnik (IT) erstellt, gespeichert, transportiert oder weiterverarbeitet. - Optimierung des Informationssicherheitsmanagements ist effektiver als Investitionen in Sicherheitstechnik. 6
Wo liegen „kritische“ Informationen - Einfallstore Speicherorte Wissen: Informationen und BewertungenDaten und Metadaten: Informationen Social Engineering Hacking, Phishing, … „Einfallstor Maschine“ „Einfallstor Mensch“ „Einfallstor Räume und Dinge“ Drei Einfallstore: 7
Was ist Social Engineering? Social Engineering zwischenmenschliche Beeinflussungen Ziel: Bei Personen bestimmte Verhalten hervorzurufen: • Preisgabe von vertraulichen Informationen • Kauf eines Produktes • Freigabe von Finanzmitteln. Social Engineers: spionieren das persönliche Umfeld ihres Opfers aus täuschen Identitäten vor nutzen Verhaltensweisen wie Autoritätshörigkeit aus. Ziel: geheime Informationen oder unbezahlte Dienstleistungen erlangen. Social Engineering als Vorbereitung (Social Hacking): Ziel: Eindringen in ein fremdes Computersystem 8
Drei Methoden des Social Engineering Computer Based Social Engineering Beim „Computer-Based Social Engineering“ werden erforderliche Informationen mit technischen Hilfsmitteln beschafft (Manipulierte Internetseiten, Mailanhänge oder Popup-Fenster mit Eingabefeldern) Human Based Social Engineering Beim „Human-Based Social Engineering“ werden die Informationen auf nicht- technischem Weg über die soziale Annäherung an Personen beschafft. Beispiel: Der Angreifer gibt sich als Supportmitarbeiter aus und hinterlässt für Probleme seine Kontaktdaten. Danach sorgt er für ein Problem mit dem Ziel, dass das Opfer ihn kontaktiert. Reverse Social Engineering Anwender wird dazu gebracht, Informationen freiwillig und aktiv an den Angreifer zu übermitteln. 9
Mensch als Risikofaktor Passwörter sind wie Unterhosen: • Wechseln Sie sie oft • Teilen Sie sie nicht mit anderen • Je länger desto besser • Lassen Sie sie nicht herumliegen 10 Gefahrenpunkt „neue Kultur der Smartphonenutzung“ Attraktive Apps fordern Berechtigungen, die für das Funktionieren offensichtlich nicht erforderlich sind. z.B.: Kontaktverzeichnis wird ausgelesen und auf einen Server hochgeladen. Berechtigungen werden vom Anwender trotz Kenntnis der Bedrohung gegeben. Rechte Dritter werden damit verletzt. Prominente Beispiele / Apps: • Angry Birds • Whats App • Taschenlampe
Wie bekommt ein Angreifer Zugriff auf Ihr Ebay-Konto? Ist das die richtige Frage? Wie bekommt ein Angreifer Zugriff auf viele beliebige Ebay-Konten? 1. Man nehme ein paar Passwörter aus der Hitliste beliebter Passwörter. Z.B. „Sommer04“, „Schatzi“, … 2. Man besorge sich über ein Script ein paar tausend Ebay-Nutzernamen z.B. über die Bewertungen… 3. Man versuche, sich auf jedem mit den Passworten einzuloggen. Maßnahme, damit man nicht zu den Betroffenen gehört: gutes Passwort. 11
Schutzziele der Informationssicherheit – Vertraulichkeit, Integrität, Verfügbarkeit eine bestimmte Information dem zuständigen Anwender Schutz der Vertraulichkeit Unversehrtheit und Korrektheit der Daten Schutz der Integrität zur rechten Zeit am rechten Ort Schutz der Verfügbarkeit Informationssicherheit 12
Aufwand und Sicherheitszuwachs Wichtig ist: Mit Informationssicherheit überhaupt anfangen. Der größte Zuwachs an Sicherheit wird am Anfang erzielt. 100 % Sicherheit ist prinzipiell nicht erreichbar. Das Risiko kann lediglich auf ein definiertes Maß gesenkt werden. BSI Grundschutzkataloge 13
Spannungsdreieck Informationssicherheit Hohe Sicherheit Große Bequemlichkeit Geringe Kosten z.B. Unternehmen z.B. privat 14
Was ist Risiko? Risiko = Schadenshöhe x Schadenseintrittswahrscheinlichkeit Schritte bei der Risikobewertung: • Schätzung der Schadenshöhe • Schätzung Schadenseintrittswahrscheinlichkeit • Bewertung der Risiken in € Achtung: immaterielle Risiken (Ansehensverlust…) mitbewerten. 15
Risikominimierung 16 Zwei Möglichkeiten der Risikominimierung: 1. Senkung der Schadenshöhe 2. Senkung der Schadenseintrittswahrscheinlichkeit Reduktion des Risikos auf Null ist nicht möglich. Ausgaben für Risikominimierung < Risiko (Return of Invest) Beispiel: Schaden für einmalige Korrumpierung der Webseite: etwa 10.000 Euro Auftretenswahrscheinlichkeit einmal pro 2 Jahre. Jahreskosten für Maßnahmen < 10.000 Euro *0,5 pro Jahr Letzter Schritt: Risikominimierung durch Sicherheitsmaßnahmen.
Schritte zum Informationssicherheitsmanagement 17 Erfassung des Informationsverbundes (Topologie, Verfahren und Module) Feststellung des Schutzbedarfes Erstellung der Sicherheitsleitlinie bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/umsetzungshinweise/ISMS/Um setzungshinweise_zum_Baustein_ISMS_1_Sicherheitsmanagement.html Maßnahmen Planung Maßnahmen Implementierung Überprüfung der Wirksamkeit Initiierung:Projekt Betrieb:Kontinuierlicher Verbesserungsprozess
Kontinuierlicher Verbesserungsprozess Umsetzung des PDCA- Modells bei der Erstellung des Sicherheits- konzepts 18
Übungsaufgabe Problembeschreibung: Frau Tausendschön, Sachbearbeiterin der kleinen Partnervermittlungsagentur „Ewige Treue GmbH“ muss einmal im Quartal alle Kundendaten (gut situierte Personen auf Partnersuche) zum Dienstleister Bermuda-Data-GbR für die automatisierte Abrechnung schicken. Der Dienstleister möchte die Daten gerne via Mail bekommen. Bisher hat Frau Tausendschön die Daten als Excel-Datei mit Namen Kundendaten-Partnervermittlung-ewige-Treue.xls als Mail-Anhang über ihren privaten Webmail-Account an den Dienstleister verschickt. Der Firmengründerin von Ewige-Treue-GmbH kommen nun Zweifel, ob Ihren Kunden das gefällt und bittet Sie (als Berater/in), einmal mit Frau Tausendschön zu sprechen. Aufgabe: Diskutieren Sie: 1.Frage: Wie bewerten Sie das Vorgehen von Frau Tausendschön. Kann mit den Daten etwas passieren? 2.Frage: Wie würden Sie das Risiko, wenn es eins gibt, abschätzen? (Spekulieren Sie und machen Sie Annahmen.) 3. Frage: Was schlagen Sie Frau Tausendschön als Maßnahme vor, was sie zukünftig tun soll? 19
Verständnisfragen 1. Welche drei Schutzziele hat Informationssicherheit? 2. Welche drei sicherheitskritischen "Einfallstore" für Angreifer hinsichtlich der Informationssicherheit gibt es? 3. In welchen Schritten gelangt man zu Informationssicherheitsmanagement? 4. Was hat Informationssicherheitsmanagement mit PDCA zu tun? 5. Was ist „Risiko“? 6. Wie kann man die sinnvolle Größenordnung von Investitionen in Informationssicherheit abschätzen? 20
Literatur und Links 21 [1] Abts/Mülder (2011) Grundkurs Wirtschaftsinformatik . 7. Auflage 2011, S. 465-467, 471-472, 481-482, 488-489 [2] Hansen, Mendling & Neumann (2019) Wirtschaftsinformatik. De Gruyter, Berlin. 12. Auflage. S. 381 -436 [3] www.bsi.bund.de, insbesondere „BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS)“ [4] Kritische Infrastrukturen https://www.bbk.bund.de/DE/AufgabenundAusstattung/KritischeInfrastrukt uren/kritischeinfrastrukturen_node.html [5] Uwe Baumann, Klaus Schimmer, Andreas Fendel (2005): SAP Pocketseminar. „Faktor Mensch – Die Kunst des Hackens oder warum Firewalls nichts nützen“.
22 Prof. Dr. rer. nat. Claus Brell http://claus-brell.de https://twitter.com/clausbrell claus.brell@hs-niederrrhein.de Texte zur diesen Folien: https://cbrell.de/blog/informationssicherheitsmanagement/

Recomendados

EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)
Michael Rohrlich
 
FMK2015: Informationssicherheit und Risikomanagement by Patrick Risch
FMK2015: Informationssicherheit und Risikomanagement by Patrick RischFMK2015: Informationssicherheit und Risikomanagement by Patrick Risch
FMK2015: Informationssicherheit und Risikomanagement by Patrick Risch
Verein FM Konferenz
 
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Holliday Consulting
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
Maxime ALAY-EDDINE
 
Intelligent system by SHAHIN ELAHI BOX
Intelligent system by SHAHIN ELAHI BOXIntelligent system by SHAHIN ELAHI BOX
Intelligent system by SHAHIN ELAHI BOX
Shahin Alam
 
Báo cáo thực tập hàng tuần - Các chuẩn bảo mật web (OWASP)
Báo cáo thực tập hàng tuần - Các chuẩn bảo mật web (OWASP)Báo cáo thực tập hàng tuần - Các chuẩn bảo mật web (OWASP)
Báo cáo thực tập hàng tuần - Các chuẩn bảo mật web (OWASP)
Luc Cao
 
Modul 4 keamanan informasi & penjaminan informasi
Modul 4 keamanan informasi & penjaminan informasiModul 4 keamanan informasi & penjaminan informasi
Modul 4 keamanan informasi & penjaminan informasi
Ir. Zakaria, M.M
 
IT Audit Methodologies
IT Audit MethodologiesIT Audit Methodologies
IT Audit Methodologies
SALIH AHMED ISLAM
 

Recomendados

EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)
Michael Rohrlich
 
FMK2015: Informationssicherheit und Risikomanagement by Patrick Risch
FMK2015: Informationssicherheit und Risikomanagement by Patrick RischFMK2015: Informationssicherheit und Risikomanagement by Patrick Risch
FMK2015: Informationssicherheit und Risikomanagement by Patrick Risch
Verein FM Konferenz
 
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Holliday Consulting
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
Maxime ALAY-EDDINE
 
Intelligent system by SHAHIN ELAHI BOX
Intelligent system by SHAHIN ELAHI BOXIntelligent system by SHAHIN ELAHI BOX
Intelligent system by SHAHIN ELAHI BOX
Shahin Alam
 
Báo cáo thực tập hàng tuần - Các chuẩn bảo mật web (OWASP)
Báo cáo thực tập hàng tuần - Các chuẩn bảo mật web (OWASP)Báo cáo thực tập hàng tuần - Các chuẩn bảo mật web (OWASP)
Báo cáo thực tập hàng tuần - Các chuẩn bảo mật web (OWASP)
Luc Cao
 
Modul 4 keamanan informasi & penjaminan informasi
Modul 4 keamanan informasi & penjaminan informasiModul 4 keamanan informasi & penjaminan informasi
Modul 4 keamanan informasi & penjaminan informasi
Ir. Zakaria, M.M
 
IT Audit Methodologies
IT Audit MethodologiesIT Audit Methodologies
IT Audit Methodologies
SALIH AHMED ISLAM
 
WS - Security
WS - SecurityWS - Security
WS - Security
Prabath Siriwardena
 
Eventlog
EventlogEventlog
Eventlog
Shashi Kanth
 
The CIA Triad - Assurance on Information Security
The CIA Triad - Assurance on Information SecurityThe CIA Triad - Assurance on Information Security
The CIA Triad - Assurance on Information Security
Bharath Rao
 
Security in Windows operating system
Security in Windows operating systemSecurity in Windows operating system
Security in Windows operating system
abdullah roomi
 
ISMS User_Awareness Training.pptx
ISMS User_Awareness Training.pptxISMS User_Awareness Training.pptx
ISMS User_Awareness Training.pptx
Mukesh Pant
 
Information Security
Information SecurityInformation Security
Information Security
Dr. Himanshu Gupta
 
Information security
Information securityInformation security
Information security
AlaaMahmoud108
 
Operating Systems: Computer Security
Operating Systems: Computer SecurityOperating Systems: Computer Security
Operating Systems: Computer Security
Damian T. Gordon
 
Man in The Middle Attack
Man in The Middle AttackMan in The Middle Attack
Man in The Middle Attack
Deepak Upadhyay
 
HA & DR System Design - Concepts and Solution
HA & DR System Design - Concepts and SolutionHA & DR System Design - Concepts and Solution
HA & DR System Design - Concepts and Solution
Continuity and Resilience
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernance
PECB
 
RAPPORT Magic Quadrant 2022 de Gartner pour la gestion des accès à privilè...
RAPPORT Magic Quadrant 2022 de Gartner pour la gestion des accès à privilè...RAPPORT Magic Quadrant 2022 de Gartner pour la gestion des accès à privilè...
RAPPORT Magic Quadrant 2022 de Gartner pour la gestion des accès à privilè...
AGILLY
 
Begriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsBegriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des Datenschutzrechts
Michael Rohrlich
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
Emna Tfifha
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
Alghajati
 
CNIT 123 8: Desktop and Server OS Vulnerabilities
CNIT 123 8: Desktop and Server OS VulnerabilitiesCNIT 123 8: Desktop and Server OS Vulnerabilities
CNIT 123 8: Desktop and Server OS Vulnerabilities
Sam Bowne
 
Operating System Security
Operating System SecurityOperating System Security
Operating System Security
Ramesh Upadhaya
 
Iso27001- Nashwan Mustafa
Iso27001- Nashwan MustafaIso27001- Nashwan Mustafa
Iso27001- Nashwan Mustafa
Fahmi Albaheth
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm
 
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
ISACA Chapitre de Québec
 
EN 6.3: 3 Sicherheitsmodelle
EN 6.3: 3 SicherheitsmodelleEN 6.3: 3 Sicherheitsmodelle
EN 6.3: 3 Sicherheitsmodelle
Sven Wohlgemuth
 
Sicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITSicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der IT
Fraunhofer AISEC
 

Mais conteúdo relacionado

Mais procurados

RAPPORT Magic Quadrant 2022 de Gartner pour la gestion des accès à privilè...
RAPPORT Magic Quadrant 2022 de Gartner pour la gestion des accès à privilè...RAPPORT Magic Quadrant 2022 de Gartner pour la gestion des accès à privilè...
RAPPORT Magic Quadrant 2022 de Gartner pour la gestion des accès à privilè...
AGILLY
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm
 

Mais procurados (20)

WS - Security
WS - SecurityWS - Security
WS - Security
 
Eventlog
EventlogEventlog
Eventlog
 
The CIA Triad - Assurance on Information Security
The CIA Triad - Assurance on Information SecurityThe CIA Triad - Assurance on Information Security
The CIA Triad - Assurance on Information Security
 
Security in Windows operating system
Security in Windows operating systemSecurity in Windows operating system
Security in Windows operating system
 
ISMS User_Awareness Training.pptx
ISMS User_Awareness Training.pptxISMS User_Awareness Training.pptx
ISMS User_Awareness Training.pptx
 
Information Security
Information SecurityInformation Security
Information Security
 
Information security
Information securityInformation security
Information security
 
Operating Systems: Computer Security
Operating Systems: Computer SecurityOperating Systems: Computer Security
Operating Systems: Computer Security
 
Man in The Middle Attack
Man in The Middle AttackMan in The Middle Attack
Man in The Middle Attack
 
HA & DR System Design - Concepts and Solution
HA & DR System Design - Concepts and SolutionHA & DR System Design - Concepts and Solution
HA & DR System Design - Concepts and Solution
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernance
 
RAPPORT Magic Quadrant 2022 de Gartner pour la gestion des accès à privilè...
RAPPORT Magic Quadrant 2022 de Gartner pour la gestion des accès à privilè...RAPPORT Magic Quadrant 2022 de Gartner pour la gestion des accès à privilè...
RAPPORT Magic Quadrant 2022 de Gartner pour la gestion des accès à privilè...
 
Begriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsBegriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des Datenschutzrechts
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
CNIT 123 8: Desktop and Server OS Vulnerabilities
CNIT 123 8: Desktop and Server OS VulnerabilitiesCNIT 123 8: Desktop and Server OS Vulnerabilities
CNIT 123 8: Desktop and Server OS Vulnerabilities
 
Operating System Security
Operating System SecurityOperating System Security
Operating System Security
 
Iso27001- Nashwan Mustafa
Iso27001- Nashwan MustafaIso27001- Nashwan Mustafa
Iso27001- Nashwan Mustafa
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
 
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
 

Semelhante a Informationssicherheitsmanagment

Social Engineering- Wie Soft Skills zur Sicherheitsfalle werden können
Social Engineering- Wie Soft Skills zur Sicherheitsfalle werden könnenSocial Engineering- Wie Soft Skills zur Sicherheitsfalle werden können
Social Engineering- Wie Soft Skills zur Sicherheitsfalle werden können
LEITWERK AG
 
IT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitIT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-Sicherheit
Filipe Felix
 
Enterprise Search Technologien im Dienste der DSGVO / GDPR
Enterprise Search Technologien im Dienste der DSGVO / GDPREnterprise Search Technologien im Dienste der DSGVO / GDPR
Enterprise Search Technologien im Dienste der DSGVO / GDPR
B-S-S Business Software Solutions GmbH
 
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
Symantec
 
Schützen Sie Ihr Unternehmen mit einem mehrstufigen Lösungsansatz für AntiPh...
Schützen Sie Ihr Unternehmen mit einem mehrstufigen Lösungsansatz für AntiPh...Schützen Sie Ihr Unternehmen mit einem mehrstufigen Lösungsansatz für AntiPh...
Schützen Sie Ihr Unternehmen mit einem mehrstufigen Lösungsansatz für AntiPh...
Ivanti
 

Semelhante a Informationssicherheitsmanagment (20)

EN 6.3: 3 Sicherheitsmodelle
EN 6.3: 3 SicherheitsmodelleEN 6.3: 3 Sicherheitsmodelle
EN 6.3: 3 Sicherheitsmodelle
 
Sicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITSicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der IT
 
Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter
 
Werner Panhauser (Helvetia Versicherungen)
Werner Panhauser (Helvetia Versicherungen)Werner Panhauser (Helvetia Versicherungen)
Werner Panhauser (Helvetia Versicherungen)
 
Social Engineering- Wie Soft Skills zur Sicherheitsfalle werden können
Social Engineering- Wie Soft Skills zur Sicherheitsfalle werden könnenSocial Engineering- Wie Soft Skills zur Sicherheitsfalle werden können
Social Engineering- Wie Soft Skills zur Sicherheitsfalle werden können
 
IT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitIT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-Sicherheit
 
Cyber risk
Cyber riskCyber risk
Cyber risk
 
Sicherheit im Internet
Sicherheit im InternetSicherheit im Internet
Sicherheit im Internet
 
Enterprise Search Technologien im Dienste der DSGVO / GDPR
Enterprise Search Technologien im Dienste der DSGVO / GDPREnterprise Search Technologien im Dienste der DSGVO / GDPR
Enterprise Search Technologien im Dienste der DSGVO / GDPR
 
Dr. Manfred Wöhrl (Gerichtssachverständiger, Sicherheitsexperte)
Dr. Manfred Wöhrl (Gerichtssachverständiger, Sicherheitsexperte)Dr. Manfred Wöhrl (Gerichtssachverständiger, Sicherheitsexperte)
Dr. Manfred Wöhrl (Gerichtssachverständiger, Sicherheitsexperte)
 
Walter Khom, MBA (bit media e-solutions)
Walter Khom, MBA (bit media e-solutions)Walter Khom, MBA (bit media e-solutions)
Walter Khom, MBA (bit media e-solutions)
 
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securityabtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
 
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
 
Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)
 
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorabtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
 
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptx
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptxModul 8 - Externe Krisenauslöser - Technologiekrise.pptx
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptx
 
Rethink! ITIS 2016 - Post Event Report
Rethink! ITIS 2016 - Post Event ReportRethink! ITIS 2016 - Post Event Report
Rethink! ITIS 2016 - Post Event Report
 
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
 
Social Engineering
Social EngineeringSocial Engineering
Social Engineering
 
Schützen Sie Ihr Unternehmen mit einem mehrstufigen Lösungsansatz für AntiPh...
Schützen Sie Ihr Unternehmen mit einem mehrstufigen Lösungsansatz für AntiPh...Schützen Sie Ihr Unternehmen mit einem mehrstufigen Lösungsansatz für AntiPh...
Schützen Sie Ihr Unternehmen mit einem mehrstufigen Lösungsansatz für AntiPh...
 

Mais de Claus Brell

Leichter imkern-191110
Leichter imkern-191110 Leichter imkern-191110
Leichter imkern-191110
Claus Brell
 
Webservices - was ist das und wie programmiert man sie
Webservices - was ist das und wie programmiert man sieWebservices - was ist das und wie programmiert man sie
Webservices - was ist das und wie programmiert man sie
Claus Brell
 

Mais de Claus Brell (20)

Vortrag Substitution Beteiligung KI 200911
Vortrag Substitution Beteiligung KI 200911 Vortrag Substitution Beteiligung KI 200911
Vortrag Substitution Beteiligung KI 200911
 
Poster brell-kuron-muelder-ki-substituiert-akteurbeteiligung-lwda2020
Poster brell-kuron-muelder-ki-substituiert-akteurbeteiligung-lwda2020Poster brell-kuron-muelder-ki-substituiert-akteurbeteiligung-lwda2020
Poster brell-kuron-muelder-ki-substituiert-akteurbeteiligung-lwda2020
 
Empirische Methoden 3 Auswertung 200502
Empirische Methoden 3 Auswertung 200502Empirische Methoden 3 Auswertung 200502
Empirische Methoden 3 Auswertung 200502
 
Empirische Methoden 1 Erkenntnistheorie 200501
Empirische Methoden 1 Erkenntnistheorie 200501Empirische Methoden 1 Erkenntnistheorie 200501
Empirische Methoden 1 Erkenntnistheorie 200501
 
Wissensmanagement
WissensmanagementWissensmanagement
Wissensmanagement
 
Projektmanagement 200420
Projektmanagement 200420Projektmanagement 200420
Projektmanagement 200420
 
Funktionshierarchiebaum 200409
Funktionshierarchiebaum 200409Funktionshierarchiebaum 200409
Funktionshierarchiebaum 200409
 
Zieldiagramm 200409
Zieldiagramm 200409Zieldiagramm 200409
Zieldiagramm 200409
 
Baumstruktur 200409
Baumstruktur 200409Baumstruktur 200409
Baumstruktur 200409
 
Flussdiagramme 200407
Flussdiagramme 200407Flussdiagramme 200407
Flussdiagramme 200407
 
2 1b-prozessmodellierung-eepk-erweiterung-200406
2 1b-prozessmodellierung-eepk-erweiterung-2004062 1b-prozessmodellierung-eepk-erweiterung-200406
2 1b-prozessmodellierung-eepk-erweiterung-200406
 
2 1a-prozessmodellierung-epk-einfuehrung-200406
2 1a-prozessmodellierung-epk-einfuehrung-2004062 1a-prozessmodellierung-epk-einfuehrung-200406
2 1a-prozessmodellierung-epk-einfuehrung-200406
 
Topologien verstehen und erstellen - Methoden der Wirtschaftsinformatik-200329
Topologien verstehen und erstellen - Methoden der Wirtschaftsinformatik-200329Topologien verstehen und erstellen - Methoden der Wirtschaftsinformatik-200329
Topologien verstehen und erstellen - Methoden der Wirtschaftsinformatik-200329
 
Organigramm - Modellierung mit ARIS 200327
Organigramm - Modellierung mit ARIS 200327Organigramm - Modellierung mit ARIS 200327
Organigramm - Modellierung mit ARIS 200327
 
Leichter imkern-191110
Leichter imkern-191110 Leichter imkern-191110
Leichter imkern-191110
 
Wirtschaftsinformatik Basics für Betriebswirte und Ingenieure
Wirtschaftsinformatik Basics für Betriebswirte und IngenieureWirtschaftsinformatik Basics für Betriebswirte und Ingenieure
Wirtschaftsinformatik Basics für Betriebswirte und Ingenieure
 
Raspberry Pi Lehrerworkshop
Raspberry Pi LehrerworkshopRaspberry Pi Lehrerworkshop
Raspberry Pi Lehrerworkshop
 
Motivationstheorien 190524
Motivationstheorien 190524Motivationstheorien 190524
Motivationstheorien 190524
 
Vorgehensmodelle - Methoden der Wirtschaftsinformatik
Vorgehensmodelle - Methoden der WirtschaftsinformatikVorgehensmodelle - Methoden der Wirtschaftsinformatik
Vorgehensmodelle - Methoden der Wirtschaftsinformatik
 
Webservices - was ist das und wie programmiert man sie
Webservices - was ist das und wie programmiert man sieWebservices - was ist das und wie programmiert man sie
Webservices - was ist das und wie programmiert man sie
 

Último

1029-Danh muc Sach Giao Khoa khoi 12.pdf
1029-Danh muc Sach Giao Khoa khoi 12.pdf1029-Danh muc Sach Giao Khoa khoi 12.pdf
1029-Danh muc Sach Giao Khoa khoi 12.pdf
QucHHunhnh
 
1029-Danh muc Sach Giao Khoa khoi 11.pdf
1029-Danh muc Sach Giao Khoa khoi 11.pdf1029-Danh muc Sach Giao Khoa khoi 11.pdf
1029-Danh muc Sach Giao Khoa khoi 11.pdf
QucHHunhnh
 

Último (8)

LAKO Kreativpreis_2024_Startnummer_02_(LFS_LA).pdf
LAKO Kreativpreis_2024_Startnummer_02_(LFS_LA).pdfLAKO Kreativpreis_2024_Startnummer_02_(LFS_LA).pdf
LAKO Kreativpreis_2024_Startnummer_02_(LFS_LA).pdf
 
1029-Danh muc Sach Giao Khoa khoi 12.pdf
1029-Danh muc Sach Giao Khoa khoi 12.pdf1029-Danh muc Sach Giao Khoa khoi 12.pdf
1029-Danh muc Sach Giao Khoa khoi 12.pdf
 
Wirtschaftsingenieurwesen an der Universität Duisburg-Essen
Wirtschaftsingenieurwesen an der Universität Duisburg-EssenWirtschaftsingenieurwesen an der Universität Duisburg-Essen
Wirtschaftsingenieurwesen an der Universität Duisburg-Essen
 
Betriebswirtschaftslehre (B.Sc.) an der Universität Duisburg Essen
Betriebswirtschaftslehre (B.Sc.) an der Universität Duisburg EssenBetriebswirtschaftslehre (B.Sc.) an der Universität Duisburg Essen
Betriebswirtschaftslehre (B.Sc.) an der Universität Duisburg Essen
 
Angewandte Kognitions- und Medienwissenschaft an der Universität Duisburg_Essen
Angewandte Kognitions- und Medienwissenschaft an der Universität Duisburg_EssenAngewandte Kognitions- und Medienwissenschaft an der Universität Duisburg_Essen
Angewandte Kognitions- und Medienwissenschaft an der Universität Duisburg_Essen
 
Welche KI-Kompetenzen brauchen Lehrpersonen?!
Welche KI-Kompetenzen brauchen Lehrpersonen?!Welche KI-Kompetenzen brauchen Lehrpersonen?!
Welche KI-Kompetenzen brauchen Lehrpersonen?!
 
Angewandte Philosophie an der Universität Duisburg-Essen.
Angewandte Philosophie an der Universität Duisburg-Essen.Angewandte Philosophie an der Universität Duisburg-Essen.
Angewandte Philosophie an der Universität Duisburg-Essen.
 
1029-Danh muc Sach Giao Khoa khoi 11.pdf
1029-Danh muc Sach Giao Khoa khoi 11.pdf1029-Danh muc Sach Giao Khoa khoi 11.pdf
1029-Danh muc Sach Giao Khoa khoi 11.pdf
 

Informationssicherheitsmanagment

  • 1. Mit Wirtschaftsinformatik Wirtschaft neu gestalten. Methoden Von Null auf Hundert Managementmethoden Informationssicherheitsmanagement 1
  • 2. Warum Informationssicherheitsmanagement? 2 Kein Problem. Wir brauchen einfach eine Firewall, dann verbieten wir den Mitarbeitern das Internet und kaufen die Überwachungssoftware “totsicherSuite“ … Was läuft hier falsch? Wir müssen IRGEND ETWAS tun. Man liest ja immer von Hackern und Datenschutzproblemen … Aber wir haben doch gar keine PCs … Brauchen wir das trotzdem? Die unsichere Geschäftsführerin Der IT-Spezialist
  • 3. Warum Informationssicherheitsmanagement Gesetzliche Verpflichtung: • Am 24.7.2015 wurde das IT-Sicherheitsgesetz im Bundesgesetzblatt veröffentlicht. • Am 2.5.2016 wurde die Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) im Bundesgesetzblatt (BGBl. I Nr. 20, S. 958ff.) veröffentlicht. • Anwendungsgebiet: Kritische Infrastrukturen. Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. (Versorgungsunternehmen, Krankenhäuser ... ) Selbstschutz in Unternehmen: Daten sind das Rückgrat der meisten Unternehmen: • Verfügbarkeit • Vertraulichkeit • Integrität (Korrektheit) Informationssicherheitsmanagement, um Risiken in Unternehmen zu mindern. 3
  • 4. Begriffe Informationssicherheit hat als Ziel den Schutz von Informationen jeglicher Art und Herkunft. - Informationen auf Papier - Informationen in Rechnersystemen - Informationen in den Köpfen der Menschen. IT-Sicherheit beschäftigt sich mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung. Informationssicherheit umfasst die IT-Sicherheit. 4
  • 6. Warum nicht nur eine Firewall kaufen? Informationen: - Sind wichtige Werte für Unternehmen. - müssen angemessen geschützt werden. - Viele Informationen werden mit Informationstechnik (IT) erstellt, gespeichert, transportiert oder weiterverarbeitet. - Optimierung des Informationssicherheitsmanagements ist effektiver als Investitionen in Sicherheitstechnik. 6
  • 7. Wo liegen „kritische“ Informationen - Einfallstore Speicherorte Wissen: Informationen und BewertungenDaten und Metadaten: Informationen Social Engineering Hacking, Phishing, … „Einfallstor Maschine“ „Einfallstor Mensch“ „Einfallstor Räume und Dinge“ Drei Einfallstore: 7
  • 8. Was ist Social Engineering? Social Engineering zwischenmenschliche Beeinflussungen Ziel: Bei Personen bestimmte Verhalten hervorzurufen: • Preisgabe von vertraulichen Informationen • Kauf eines Produktes • Freigabe von Finanzmitteln. Social Engineers: spionieren das persönliche Umfeld ihres Opfers aus täuschen Identitäten vor nutzen Verhaltensweisen wie Autoritätshörigkeit aus. Ziel: geheime Informationen oder unbezahlte Dienstleistungen erlangen. Social Engineering als Vorbereitung (Social Hacking): Ziel: Eindringen in ein fremdes Computersystem 8
  • 9. Drei Methoden des Social Engineering Computer Based Social Engineering Beim „Computer-Based Social Engineering“ werden erforderliche Informationen mit technischen Hilfsmitteln beschafft (Manipulierte Internetseiten, Mailanhänge oder Popup-Fenster mit Eingabefeldern) Human Based Social Engineering Beim „Human-Based Social Engineering“ werden die Informationen auf nicht- technischem Weg über die soziale Annäherung an Personen beschafft. Beispiel: Der Angreifer gibt sich als Supportmitarbeiter aus und hinterlässt für Probleme seine Kontaktdaten. Danach sorgt er für ein Problem mit dem Ziel, dass das Opfer ihn kontaktiert. Reverse Social Engineering Anwender wird dazu gebracht, Informationen freiwillig und aktiv an den Angreifer zu übermitteln. 9
  • 10. Mensch als Risikofaktor Passwörter sind wie Unterhosen: • Wechseln Sie sie oft • Teilen Sie sie nicht mit anderen • Je länger desto besser • Lassen Sie sie nicht herumliegen 10 Gefahrenpunkt „neue Kultur der Smartphonenutzung“ Attraktive Apps fordern Berechtigungen, die für das Funktionieren offensichtlich nicht erforderlich sind. z.B.: Kontaktverzeichnis wird ausgelesen und auf einen Server hochgeladen. Berechtigungen werden vom Anwender trotz Kenntnis der Bedrohung gegeben. Rechte Dritter werden damit verletzt. Prominente Beispiele / Apps: • Angry Birds • Whats App • Taschenlampe
  • 11. Wie bekommt ein Angreifer Zugriff auf Ihr Ebay-Konto? Ist das die richtige Frage? Wie bekommt ein Angreifer Zugriff auf viele beliebige Ebay-Konten? 1. Man nehme ein paar Passwörter aus der Hitliste beliebter Passwörter. Z.B. „Sommer04“, „Schatzi“, … 2. Man besorge sich über ein Script ein paar tausend Ebay-Nutzernamen z.B. über die Bewertungen… 3. Man versuche, sich auf jedem mit den Passworten einzuloggen. Maßnahme, damit man nicht zu den Betroffenen gehört: gutes Passwort. 11
  • 12. Schutzziele der Informationssicherheit – Vertraulichkeit, Integrität, Verfügbarkeit eine bestimmte Information dem zuständigen Anwender Schutz der Vertraulichkeit Unversehrtheit und Korrektheit der Daten Schutz der Integrität zur rechten Zeit am rechten Ort Schutz der Verfügbarkeit Informationssicherheit 12
  • 13. Aufwand und Sicherheitszuwachs Wichtig ist: Mit Informationssicherheit überhaupt anfangen. Der größte Zuwachs an Sicherheit wird am Anfang erzielt. 100 % Sicherheit ist prinzipiell nicht erreichbar. Das Risiko kann lediglich auf ein definiertes Maß gesenkt werden. BSI Grundschutzkataloge 13
  • 14. Spannungsdreieck Informationssicherheit Hohe Sicherheit Große Bequemlichkeit Geringe Kosten z.B. Unternehmen z.B. privat 14
  • 15. Was ist Risiko? Risiko = Schadenshöhe x Schadenseintrittswahrscheinlichkeit Schritte bei der Risikobewertung: • Schätzung der Schadenshöhe • Schätzung Schadenseintrittswahrscheinlichkeit • Bewertung der Risiken in € Achtung: immaterielle Risiken (Ansehensverlust…) mitbewerten. 15
  • 16. Risikominimierung 16 Zwei Möglichkeiten der Risikominimierung: 1. Senkung der Schadenshöhe 2. Senkung der Schadenseintrittswahrscheinlichkeit Reduktion des Risikos auf Null ist nicht möglich. Ausgaben für Risikominimierung < Risiko (Return of Invest) Beispiel: Schaden für einmalige Korrumpierung der Webseite: etwa 10.000 Euro Auftretenswahrscheinlichkeit einmal pro 2 Jahre. Jahreskosten für Maßnahmen < 10.000 Euro *0,5 pro Jahr Letzter Schritt: Risikominimierung durch Sicherheitsmaßnahmen.
  • 17. Schritte zum Informationssicherheitsmanagement 17 Erfassung des Informationsverbundes (Topologie, Verfahren und Module) Feststellung des Schutzbedarfes Erstellung der Sicherheitsleitlinie bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/umsetzungshinweise/ISMS/Um setzungshinweise_zum_Baustein_ISMS_1_Sicherheitsmanagement.html Maßnahmen Planung Maßnahmen Implementierung Überprüfung der Wirksamkeit Initiierung:Projekt Betrieb:Kontinuierlicher Verbesserungsprozess
  • 19. Übungsaufgabe Problembeschreibung: Frau Tausendschön, Sachbearbeiterin der kleinen Partnervermittlungsagentur „Ewige Treue GmbH“ muss einmal im Quartal alle Kundendaten (gut situierte Personen auf Partnersuche) zum Dienstleister Bermuda-Data-GbR für die automatisierte Abrechnung schicken. Der Dienstleister möchte die Daten gerne via Mail bekommen. Bisher hat Frau Tausendschön die Daten als Excel-Datei mit Namen Kundendaten-Partnervermittlung-ewige-Treue.xls als Mail-Anhang über ihren privaten Webmail-Account an den Dienstleister verschickt. Der Firmengründerin von Ewige-Treue-GmbH kommen nun Zweifel, ob Ihren Kunden das gefällt und bittet Sie (als Berater/in), einmal mit Frau Tausendschön zu sprechen. Aufgabe: Diskutieren Sie: 1.Frage: Wie bewerten Sie das Vorgehen von Frau Tausendschön. Kann mit den Daten etwas passieren? 2.Frage: Wie würden Sie das Risiko, wenn es eins gibt, abschätzen? (Spekulieren Sie und machen Sie Annahmen.) 3. Frage: Was schlagen Sie Frau Tausendschön als Maßnahme vor, was sie zukünftig tun soll? 19
  • 20. Verständnisfragen 1. Welche drei Schutzziele hat Informationssicherheit? 2. Welche drei sicherheitskritischen "Einfallstore" für Angreifer hinsichtlich der Informationssicherheit gibt es? 3. In welchen Schritten gelangt man zu Informationssicherheitsmanagement? 4. Was hat Informationssicherheitsmanagement mit PDCA zu tun? 5. Was ist „Risiko“? 6. Wie kann man die sinnvolle Größenordnung von Investitionen in Informationssicherheit abschätzen? 20
  • 21. Literatur und Links 21 [1] Abts/Mülder (2011) Grundkurs Wirtschaftsinformatik . 7. Auflage 2011, S. 465-467, 471-472, 481-482, 488-489 [2] Hansen, Mendling & Neumann (2019) Wirtschaftsinformatik. De Gruyter, Berlin. 12. Auflage. S. 381 -436 [3] www.bsi.bund.de, insbesondere „BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS)“ [4] Kritische Infrastrukturen https://www.bbk.bund.de/DE/AufgabenundAusstattung/KritischeInfrastrukt uren/kritischeinfrastrukturen_node.html [5] Uwe Baumann, Klaus Schimmer, Andreas Fendel (2005): SAP Pocketseminar. „Faktor Mensch – Die Kunst des Hackens oder warum Firewalls nichts nützen“.
  • 22. 22 Prof. Dr. rer. nat. Claus Brell http://claus-brell.de https://twitter.com/clausbrell claus.brell@hs-niederrrhein.de Texte zur diesen Folien: https://cbrell.de/blog/informationssicherheitsmanagement/