Handbuch Unternehmenssicherheit (eBook)

Dr.-Ing. Klaus-Rainer Müller leitet als Senior Management Consultant den Bereich Unternehmenssicherheit der ACG Automation Consulting Group GmbH in Frankfurt und berät das Management in den Themenfeldern Sicherheits-, Kontinuitäts- und Risikomanagement, IT-Governance, Service Level Management und Sourcing.

Vorwort 5
Welches Ziel verfolgt dieses Buch? 5
Wer sollte dieses Buch lesen? 6
Wie können Sie dieses Buch nutzen? 7
Für welche Unternehmensgröße eignet sich der Buchinhalt? 7
Wie ist dieses Buch aufgebaut? 8
Welche Struktur haben die Kapitel? 9
Was bedeuten die Piktogramme? 10
Was ist neu in dieser 2. Auflage? 10
Wem sage ich Dank? 10
Welche Qualität hat die Sicherheitspyramide? 11
Wem ist dieses Buch gewidmet? 12
Was ist sicher? 12
Was können Sie tun? 12
Inhaltsverzeichnis 13
1 Ausgangssituation und Zielsetzung 21
1.1 Ausgangssituation 22
1.1.1 Bedrohungen 22
1.1.2 Schwachstellen 30
1.1.2.1 Fehlende oder unklare Anforderungen 30
1.1.2.2. Unvollständiges Vorgehensmodell 31
1.1.2.3 Fehlende Lebenszyklusorientierung 31
1.1.2.4 Übermäßige Technologiefokussierung 32
1.1.2.5 Unzureichende Standardisierung 32
1.1.2.6 Keine geschäftszentrierte Notfall-, Krisenund Katastrophenvorsorge 33
1.1.3 Schutzbedarf und Haftung 33
1.2 Zielsetzung des Sicherheits-, Kontinuitätsund Risikomanagements 36
1.3 Lösung 36
1.4 Zusammenfassung 38
2 Kurzfassung und Überblick für Eilige 40
3 Zehn Schritte zum Sicherheitsmanagement 45
4 Definitionen zum Sicherheits-, Kontinuitätsund Risikomanagement 47
4.1 Unternehmenssicherheitsmanagementsystem 47
4.2 Informationssicherheitsmanagementsystem 48
4.3 Sicherheitsmanagement 49
4.4 Ingenieurmäßige Sicherheit – (Occupational) Health, Safety, Security and Continuity Engineering 52
4.5 Sicherheitspyramide 53
4.6 Sicherheitspolitik 55
4.7 Sicherheit im Lebenszyklus 56
4.8 Ressourcen, Schutzobjekte und -subjekte sowie -klassen 57
4.9 Sicherheitskriterien 59
4.10 Geschäftseinflussanalyse (Business Impact Analysis) 59
4.11 Geschäftskontinuität (Business Continuity) 59
4.12 Sicherheit und Sicherheitsdreiklang 59
4.13 Risiko und Risikodreiklang 61
4.14 Risikomanagement 63
4.15 Sicherheits-, Kontinuitäts-und Risikomanagement 63
4.16 Zusammenfassung 64
5 Die Sicherheitspyramide – Strategie und Vorgehensmodell 67
5.1 Überblick 68
5.2 Sicherheitshierarchie 72
5.2.1 Sicherheits-, Kontinuitäts-und Risikopolitik 72
5.2.2 Sicherheitsziele / Sicherheitsanforderungen 73
5.2.3 Sicherheitstransformation und Sicherheitsmerkmale 73
5.2.4 Sicherheitsarchitektur 74
5.2.5 Sicherheitsrichtlinien – Generische Sicherheitskonzepte 74
5.2.6 Spezifische Sicherheitskonzepte 75
5.2.7 Sicherheitsmaßnahmen 75
5.3 PROSim 76
5.4 Lebenszyklus von Prozessen, Ressourcen, Organisation, Produkten und (Dienst-)Leistungen (Services) 76
5.4.1 Geschäfts-, Support-und Begleitprozess-Lebenszyklus 77
5.4.2 Ressourcenlebenszyklen 77
5.4.3 Organisationslebenszyklus 78
5.4.4 Produkt-und Dienstleistungslebenszyklen 78
5.5 Sicherheitsregelkreis 78
5.6 Sicherheitsmanagementprozess 79
5.7 Zusammenfassung 79
6 Sicherheits-, Kontinuitäts-und Risikopolitik 81
6.1 Zielsetzung 82
6.2 Umsetzung 82
6.3 Inhalte 84
6.4 Checkliste 85
6.5 Praxisbeispiel Sicherheits-, Kontinuitäts-und Risikopolitik 87
6.6 Zusammenfassung 96
7 Sicherheitsziele/Sicherheitsanforderungen 97
7.1 Schutzbedarfsklassen 97
7.2 Schutzbedarfsanalyse 98
7.2.1 Prozessarchitektur und Prozesscharakteristika 99
7.2.2 Externe Anforderungen an das Unternehmen (Gesetze, Vorschriften, Normen, Practices) – Einleitung 100
7.2.3 Persönliche Haftungsrisiken und Strafbarkeit 101
7.2.4 Haftungsrisiken von Unternehmen 105
7.2.5 Risikomanagement 106
7.2.6 Buchführung 107
7.2.6.1 Deutschland 107
7.2.6.2 Schweiz 110
7.2.7 Verträge 110
7.2.8 Gleichbehandlung 110
7.2.9 Datenschutz 110
7.2.9.1 Deutschland 110
7.2.9.2 Europäische Union 112
7.2.9.3 Österreich und Schweiz 113
7.2.9.4 USA 113
7.2.10 Arbeitsschutz und Arbeitssicherheit 114
7.2.10.1 Deutschland 114
7.2.10.2 Österreich 120
7.2.10.3 Großbritannien 121
7.2.10.4 Europäische Union 121
7.2.10.5 USA 122
7.2.10.6 Internationale Arbeitsschutzorganisation 123
7.2.10.7 Sozialschutz (Social Compliance) 123
7.2.11 Weitere gesetzliche Anforderungen in Deutschland 123
7.2.12 Unternehmensführung, Corporate Governance 124
7.2.13 Finanzinstitute und Versicherungsunternehmen 124
7.2.13.1 Deutschland 124
7.2.13.2 Schweiz 138
7.2.13.3 Großbritannien 139
7.2.13.4 Europäische Union 139
7.2.13.5 USA 141
7.2.14 Chemische und pharmazeutische Industrie 141
7.2.15 Behörden 143
7.2.16 In USA börsennotierte Unternehmen 144
7.2.17 Weitere Anforderungen 145
7.2.18 Normen, Standards, Practices 145
7.2.18.1 Risikomanagement: ONR 49000 ff. 147
7.2.18.2 Risikomanagement: ISO 31000 147
7.2.18.3 BCM: BS 25999-1:2006 147
7.2.18.4 BCM: BS 25999-2:2007 149
7.2.18.5 IPOCM: ISO/PAS 22399:2007 150
7.2.19 Externe Anforderungen an das Unternehmen – Fazit 153
7.2.20 Geschäftseinflussanalyse (Business Impact Analysis) 154
7.2.21 Betriebseinflussanalyse (Operational Impact Analysis) 157
7.3 Tabelle Schadensszenarien 158
7.4 Praxisbeispiele 159
7.4.1 Schutzbedarf der Prozesse 159
7.4.2 Betriebseinflussanalyse 159
7.4.3 Schutzbedarfsklassen 163
7.5 Zusammenfassung 165
8 Sicherheitsmerkmale 166
8.1 Haus zur Sicherheit – „House of Occ. Health, Safety, Security and Continuity” (HHSSC) 167
8.2 „Occ. Health, Safety, Security and Continuity Function Deployment” 168
8.2.1 Transformation der Anforderungen auf Sicherheitsmerkmale 168
8.2.2 Detaillierung der Sicherheitsmerkmale 170
8.2.3 Abbildung der Merkmale auf den Lebenszyklus 170
8.3 Schutzbedarfsklassen 172
8.4 Praxisbeispiele 172
8.5 Zusammenfassung 174
9 Sicherheitsarchitektur 176
9.1 Überblick 177
9.2 Prinzipielle Sicherheitsanforderungen 178
9.3 Prinzipielle Bedrohungen 179
9.4 Strategien und Prinzipien 183
9.4.1 Risikostrategie (Risk Strategy) 184
9.4.2 Sicherheits-und Kontinuitätsstrategie (Occ. Health, Safety, Security and Continuity Strategy) 185
9.4.3 Prinzip der Wirtschaftlichkeit 186
9.4.4 Prinzip der Abstraktion 186
9.4.5 Prinzip der Klassenbildung 187
9.4.6 Poka-Yoke-Prinzip 188
9.4.7 Prinzip der Namenskonventionen 189
9.4.8 Prinzip der Redundanz (Principle of Redundancy) 190
9.4.9 Prinzip des „aufgeräumten” Arbeitsplatzes (Clear Desk Policy) 192
9.4.10 Prinzip des „gesperrten” Bildschirms (Clear Screen Policy) 193
9.4.11 Prinzip der Eigenverantwortlichkeit 193
9.4.12 Vier-Augen-Prinzip (Confirmed Double Check Principle) 193
9.4.13 Prinzip der Funktionstrennung (Segregation of Duties Principle) 193
9.4.14 Prinzip der Sicherheitsschalen (Security Shell Principle) 193
9.4.15 Prinzip der Pfadanalyse (Path Analysis Principle) 194
9.4.16 Prinzip der Geund Verbotsdifferenzierung 195
9.4.17 Prinzip des generellen Verbots (Deny All Principle) 195
9.4.18 Prinzip der Ausschließlichkeit 196
9.4.19 Prinzip der minimalen Rechte (Need to Know/Use Principle) 196
9.4.20 Prinzip der minimalen Dienste (Minimum Services Principle) 196
9.4.21 Prinzip der minimalen Nutzung (Minimum Usage Principle) 196
9.4.22 Prinzip der Nachvollziehbarkeit und Nachweisbarkeit 197
9.4.23 Prinzip des „sachverständigen Dritten“ 197
9.4.24 Prinzip der Sicherheitszonen und des Closed-Shop-Betriebs 197
9.4.25 Prinzip der Immanenz (Principle of Immanence) 198
9.4.26 Prinzip der Konsolidierung (Principle of Consolidation) 199
9.4.27 Prinzip der Standardisierung (Principle of Standardization) 201
9.4.28 Prinzip der Plausibilisierung (Principle of Plausibleness) 201
9.4.29 Prinzip der Konsistenz (Principle of Consistency) 202
9.4.30 Prinzip der Untergliederung (Principle of Compartmentalization) 202
9.4.31 Prinzip der Vielfältigkeit (Principle of Diversity) 202
9.4.32 Distanzprinzip 202
9.4.33 Prinzip der Vererbung 203
9.4.34 Prinzip der Subjekt-Objekt-bzw. Aktiv-Passiv-Differenzierung 204
9.5 Sicherheitselemente 204
9.5.1 Prozesse im Überblick 206
9.5.1.1 Kern-und Unterstützungsprozesse im Überblick 208
9.5.1.2 Begleitprozesse (Managementdisziplinen) im Überblick 209
9.5.2 Konformitätsmanagement (Compliance Management) 215
9.5.3 Arbeitsschutzmanagement (Occ. Health and Safety Management) 217
9.5.4 Datenschutzmanagement (Privacy Management) 219
9.5.5 Risikomanagement (Risk Management) 221
9.5.6 Leistungsmanagement (Service Level Management) 232
9.5.6.1 Prozessauslagerung (Business Process Outsourcing) 233
9.5.6.2 Vertragsmanagement 238
9.5.7 Finanzmanagement (Financial Management) 240
9.5.8 Projektmanagement (Project Management) 240
9.5.9 Qualitätsmanagement (Quality Management) 240
9.5.10 Ereignismanagement (Incident Management) 241
9.5.11 Problemmanagement (Problem Management) 246
9.5.12 Änderungsmanagement (Change Management) 247
9.5.13 Releasemanagement (Release Management) 249
9.5.14 Konfigurationsmanagement (Configuration Management) 249
9.5.15 Lizenzmanagement (Licence Management) 251
9.5.16 Kapazitätsmanagement (Capacity Management) 252
9.5.16.1 Infrastruktur-Management 254
9.5.16.2 Rechnermanagement 254
9.5.16.3 Speichermanagement (Storage Management) 254
9.5.17 Wartungsmanagement (Maintenance Management) 264
9.5.18 Kontinuitätsmanagement (Continuity Management) 265
9.5.18.1 Vermeidung durch Prävention 281
9.5.18.2 Unterlagensicherung 285
9.5.18.3 Datensicherung 286
9.5.18.4 Versicherung 291
9.5.18.5 Checkliste Kontrollen (Controls) 292
9.5.19 Securitymanagement (Security Management) 292
9.5.19.1 Sicherheitsschalenmodell / Sicherheitsschirm 294
9.5.19.2 Berechtigungsmodell 298
9.5.19.3 Rechtevergabe 301
9.5.19.4 Rechtedokumentation 302
9.5.19.5 Rechtesteuerung und -verwaltung 302
9.5.19.6 Objektschutz 302
9.5.19.7 Identifikation und Authentisierung 308
9.5.19.8 Zufahrtsschutz 317
9.5.19.9 Zutritts-, Post-und Wareneingangsschutz 317
9.5.19.10 Zugangsschutz 323
9.5.19.11 Zugriffsschutz 323
9.5.19.12 Leseschutz 324
9.5.19.13 Wiederaufbereitung 327
9.5.19.14 Absendekontrolle 328
9.5.19.15 Übertragungssicherung 328
9.5.19.16 Abgangskontrolle 330
9.5.19.17 Transportsicherung 330
9.5.19.18 Abfahrtskontrolle 331
9.5.19.19 Alarmierung 332
9.5.19.20 Protokollierung und Beweissicherung 332
9.5.19.21 Protokollauswertung und Berichtswesen 333
9.5.20 Architekturmanagement (Architecture Management) 334
9.5.21 Innovationsmanagement (Innovation Management) 334
9.5.22 Personalmanagement (Human Resources Management) 337
9.5.23 Ressourcen im Überblick 342
9.5.23.1 IKT-Hard-und -Software 342
9.5.23.2 Infrastruktur 349
9.5.23.3 Material 351
9.5.23.4 Methoden und Verfahren 351
9.5.23.5 Dokumente 351
9.5.23.6 Personal 351
9.5.24 Organisation im Überblick 352
9.5.25 Lebenszyklus im Überblick 352
9.6 Hilfsmittel Sicherheits-und Risikoarchitekturmatrix 352
9.7 Zusammenfassung 354
10 Sicherheitsrichtlinien/-standards – Generische Sicherheitskonzepte 355
10.1 Übergreifende Richtlinien 356
10.1.1 Sicherheitsregeln 356
10.1.2 Kommunikation 357
10.1.3 Prozessvorlage 358
10.1.4 Sourcing 360
10.1.5 Fax 363
10.1.6 IKT-Benutzerordnung 363
10.1.7 E-Mail-Nutzung 365
10.1.8 Internet-Nutzung 367
10.2 Kern-, Support-, Begleitprozesse (Managementdisziplinen) 368
10.2.1 Datenschutzmanagement 368
10.2.2 Sicherheits-, Kontinuitäts-und Risikomanagement 369
10.2.3 Kapazitätsmanagement 370
10.2.4 Kontinuitätsmanagement 372
10.2.4.1 Vermeidung durch Prävention 377
10.2.4.2 Datensicherung 379
10.2.4.3 Notfall-, Krisen-und Katastrophenvorsorge 381
10.2.4.4 Prinzipielles Beispiel: Vorbeugender Brandschutz 387
10.2.4.5 Prinzipielles Beispiel: Formblatt Drohanruf 388
10.2.4.6 Beispiel: Flucht-und Rettungsplan 389
10.2.4.7 Berichtswesen 389
10.2.5 Securitymanagement 390
10.2.5.1 Antrags- und Genehmigungsverfahren 390
10.2.5.2 Zufahrtsschutz 391
10.2.5.3 Zutrittsschutz 393
10.2.5.4 Zugangsschutz 396
10.2.5.5 Zugriffsschutz 399
10.2.5.6 Leseschutz 400
10.2.5.7 Protokollierung/Beweissicherung 400
10.3 Ressourcen 401
10.4 Organisation 401
10.5 Zusammenfassung 403
11 Spezifische Sicherheitskonzepte 404
11.1 Prozesse 405
11.1.1 Kontinuitätsmanagement 405
11.1.1.1 Datensicherung 405
11.2 Ressourcen 406
11.2.1 Betriebssystem 406
11.2.1.1 Systemspezifische Passworteinstellungen 406
11.3 Zusammenfassung 406
12 Sicherheitsmaßnahmen 407
12.1 Ressourcen 407
12.1.1 Betriebssystem: Protokoll Passworteinstellungen 407
12.2 Zusammenfassung 408
13 Prozess-, Produkt-und Dienstleistungslebenszyklen 409
13.1 Prozesslebenszyklus 410
13.2 Produkt-und Dienstleistungslebenszyklus 414
13.3 Entscheidungsprozesslebenszyklus 416
13.4 Zusammenfassung 417
14 Sicherheitsregelkreis 418
14.1 Sicherheitsprüfungen 419
14.1.1 Sicherheitsstudie/-analyse 419
14.1.2 Penetrationstests 422
14.1.3 IT-Security-Scans 424
14.2 Sicherheitscontrolling 424
14.3 Berichtswesen (Occ. Health, Safety, Security and Continuity Reporting) 426
14.3.1 Anforderungen 426
14.3.2 Inhalte 428
14.4 Safety-Security-Continuity-Benchmarks 437
14.5 Hilfsmittel IT-Sicherheitsfragen 437
14.6 Zusammenfassung 438
15 Reifegradmodell des Sicherheits-, Kontinuitäts-und Risikomanagements 439
15.1 Systems Security Engineering – Capability Maturity Model® 440
15.2 Information Technology Security Assessment Framework 441
15.3 Maturity Model nach COBIT® 441
15.4 Reifegradmodell Unternehmenssicherheit 443
15.4.1 Stufe 0: unbekannt 443
15.4.2 Stufe 1: begonnen 444
15.4.3 Stufe 2: konzipiert 444
15.4.4 Stufe 3: standardisiert 444
15.4.5 Stufe 4: integriert 444
15.4.6 Stufe 5: gesteuert 444
15.4.7 Stufe 6: selbst lernend 445
15.5 Checkliste Reifegrad 445
15.6 Praxisbeispiel 446
15.7 Zusammenfassung 447
16 Sicherheitsmanagementprozess 448
16.1 Deming-bzw. PDCA-Zyklus 448
16.2 Planung 449
16.3 Durchführung 450
16.4 Prüfung 451
16.5 Verbesserung 451
16.6 Zusammenfassung 452
17 Abbildungsverzeichnis 454
18 Markenverzeichnis 455
19 Verzeichnis über Gesetze, Vorschriften, Standards, Normen 456
19.1 Gesetze, Verordnungen und Richtlinien 456
19.1.1 Deutschland: Gesetze und Verordnungen 456
19.1.2 Österreich: Gesetze und Verordnungen 457
19.1.3 Schweiz: Gesetze, Verordnungen und Rundschreiben 457
19.1.4 Großbritannien: Gesetze, Vorschriften 458
19.1.5 Europa: Entscheidungen und Richtlinien 458
19.1.6 USA: Gesetze, Practices und Prüfvorschriften 459
19.2 Ausführungsbestimmungen, Grundsätze, Vorschriften 460
19.3 Standards, Normen, Leitlinien und Rundschreiben 462
20 Literatur-und Quellenverzeichnis 471
21 Glossar und Abkürzungsverzeichnis 475
22 Sachwortverzeichnis 493
23 Über den Autor 522