Informationssicherheitsbeauftragte: Aufgaben, notwendige Qualifizierung und Sensibilisierung praxisnah erklärt

Dieses Buch soll Ihnen helfen, sich dem Thema Informationssicherheit ganzheitlich zu nähern, ohne die Übersicht zu verlieren. Es werden vor allem die wichtigsten Grundkenntnisse zu der IT-Grundschutz-Vorgehensweise nach den BSI-Standards 200-x vermittelt - theoretisch und praktisch. Sie werden mit diesem Buch nicht nur praxisnah durch den Grundschutz geführt, sondern können auch parallel die Vorgehensweise am eigenen Rechner als kleines Szenario nachvollziehen.

Margit Christa Scholl (Prof. Dr. rer. nat.) Nach dem Studium der Physik und Meteorologie in Mainz und Berlin war Margit Scholl in den 80er-Jahren als Wissenschaftlerin für die Deutsche Forschungsgemeinschaft in einer Reihe von Projekten tätig und entwickelte numerische Modelle für die Wettervorhersage und Schadstoffdispersion unter Verarbeitung digitaler Satellitenbildaufnahmen. An der Freien Universität Berlin promovierte sie in Meteorologie. Margit Scholl hat zwei Söhne. Nach der Universitätszeit arbeitete sie u.a. als Referatsleiterin in der Berliner Verwaltung. In ihrer Freizeit bildete sie sich über Fernstudium sowohl in Betriebswirtschaft als auch in Informatik weiter. 1994 erhielt sie eine Professur an der Fachhochschule Bernau in Brandenburg und half 1997 bei der Übertragung der Pilotstudiengänge für die öffentliche Verwaltung an die Technische Fachhochschule Wildau, die heutige TH Wildau. Anschließend wurde sie Leiterin des IT-First-Level-Supports im heutigen ZIT-BB und unterstützte kurzfristig auch die Fachhochschule des Bundes für öffentliche Verwaltung in Berlin. Im Jahr 2001 kehrte sie als Professorin für Wirtschafts- und Verwaltungsinformatik an die TH Wildau in den heutigen Fachbereich Wirtschaft, Verwaltung, Recht (FB WIR) zurück.

Vorwort 1 1. Eine Roadmap und der modernisierte IT-Grundschutz nach BSI als Basis des Buches 3 1.1 Einführung 3 1.2 Zusammenfassung des Aufgabenspektrums von Informationssicherheitsbeauftragten 13 2. Standards und Normen zur Informationssicherheit: Grundlage des Sicherheitskonzepts einer Institution 15 2.1 Die internationale Normfamilie ISO/IEC 2700x 15 Durchführungsaspekte und Übungen für eine Schulung 17 2.2 Die BSI-Standards 200-x 19 Durchführungsaspekte und Übungen für eine Schulung 36 2.3 Das IT-Grundschutz Kompendium des BSI 41 Durchführungsaspekte und Übungen für eine Schulung 44 3 Toolgestützte Entwicklung eines Sicherheitskonzepts in der IT-Grundschutz-Vorgehensweise für eine Standard-Absicherung des Informationsverbundes 45 3.1 Vorbereitungen und Festlegung des Geltungsbereichs 45 Durchführungsaspekte und Übungen für eine Schulung 45 3.2 Die Strukturanalyse 48 3.3 Die Schutzbedarfsfeststellung 67 3.4 Die Modellierung 73 3.5 Der IT-Grundschutz-Check (Teil 1) 78 3.6 Realisierungsplanung I 81 3.7 Generierung eines Berichts 82 3.8 Die Risikoanalyse und die Konsolidierung 84 3.9 Der IT-Grundschutz-Check (Teil 2) und die abschließende Realisierungsplanung 91 4. Nachhaltige Sensibilisierung und zielgruppenorientierte Schulungen als Basis einer Akzeptanz von Sicherheitsmaßnahmen 95 4.1 Erkenntnisse aus der Forschung und den Trainings 98 4.2 Beispiele aus der Sensibilisierungskampagne der BAköV: Sicher gewinnt 100 4.3 Beispiele aus den Projekten IT-Sicherheit@KMU und SecAware4job 105 4.4 Beispiele aus dem Projekt Security 108 4.5 Beispiele aus dem Projekt SecAware4school 109 4.6 Lernszenarien zu Risikomanagement und Social Engineering für KMU im produzierenden Gewerbe (DIZ-Projekt) 111 4.7 Beispiele aus studentischen Projekten an der TH Wildau 112 5. Spezifische Themen der Informationssicherheit: Technisch-organisatorische Maßnahmen (TOM), ausgewählt für Informationssicherheitsbeauftragte 115 5.1 Infrastruktur für Mitarbeitende: Zutritt - Zugang - Zugriff 115 Durchführungsaspekte und Übungen zur Sensibilisierung für Informationssicherheit 121 5.2 Datensicherungskonzept und Datenträger 133 Durchführungsaspekte und Übungen zur Sensibilisierung für Informationssicherheit 138 5.3 Softwaremanagement, Software-Schwachstellen und Schadsoftware kurz zusammengefasst 147 Durchführungsaspekte und Übungen zur Sensibilisierung für Informationssicherheit 150 5.4 Datenschutz-Einführung für Informationssicherheitsbeauftragte 157 Durchführungsaspekte und Übungen zur Sensibilisierung für Informationssicherheit 160 5.5 Netze in aller Kürze 169 Durchführungsaspekte und Übungen zur Sensibilisierung für Informationssicherheit 172 5.6 Wissenswertes über Verschlüsselung und elektronische Signatur 177 Durchführungsaspekte und Übungen zur Sensibilisierung für Informationssicherheit 180 6 Impulse zum betrieblichen Kontinuitätsmanagement nach BSI-Standard 100-4 197 Durchführungsaspekte und Übungen zur Sensibilisierung und Schulung 201 7 Referenzen 205 8 Abbildungsverzeichnis 214 9 Tabellenverzeichnis 222 10 Abkürzungsverzeichnis 223 Kurzvita der Herausgeberin 225