Korrelationsbasierte Einflussfaktoren der Informationssicherheit

Master-Studiengang Information Security

Dipl.-Ing. Maximilian Korten, BSc

Betreuer: Dipl.-Ing. Herfried Geyer

Ausgangslage

Der Schutz von Informationen stellt Unternehmen in der heutigen Zeit vor immer größer werdende Herausforderungen. Die Diplomarbeit befasst sich daher mit der Erhebung der Informationssicherheit innerhalb einer Organisation. Da die einzelnen Aspekte innerhalb der Information Security allerdings nicht als unabhängige Säulen gesehen werden sollten, gilt es nun, auch die Korrelationen zwischen diesen Bereichen zu erheben und zu beschreiben. Der Schwerpunkt der Arbeit liegt nun nicht in der Erhebung des Levels der Informationssicherheit selbst, sondern in der Analyse und Darstellung der Zusammenhänge und Abhängigkeiten zwischen den verschiedenen Einflussbereichen der Informationssicherheit. Die dabei verarbeiteten Schwerpunkte beziehen sich zum Großteil auf die verschiedenen Kapitel der Normen ISO 27001 und ISO 27002.

Ziel

Ziel der Arbeit ist es, eine Einflussmatrix der Informationssicherheit zu erarbeiten. Diese kann die Abhängigkeiten zwischen den einzelnen Bereichen beschreiben und abbilden. Anhand von Analysen der verschiedenen Anforderungen, entsprechend der Normenreihe ISO 27000, sowie durchgeführten Experteninterviews zeigt die Matrix die unterschiedlich starken Auswirkungen zwischen den Teilbereichen der Informationssicherheit. Sie bietet somit eine Berechnungsgrundlage, um diese detailliert beschriebenen Wechselwirkungen auch in weiterführenden Forschungsarbeiten anzuwenden und konkret in weitere Tools zu implementieren. Dieser Ansatz öffnet eine neue Tür, welche eine zusätzliche und noch genauere Betrachtungsweise der verschiedenen Aspekte innerhalb der Information Security ermöglicht.

Ergebnis

Im Rahmen dieser Arbeit entsteht ein Assessment-Tool für Informationssicherheit, welches sich unter anderem den Kapiteln der beschriebenen Normen bedient und darauf aufbaut. Dieses stellt ein vollwertiges Werkzeug dar, welches zur Steuerung der Informationssicherheit in kleinen und mittelständischen Organisationen, aber auch als Checkliste für Audits nach ISO 27001 und ISO 27002 eingesetzt werden kann. Den bedeutsamsten Teil der Entwicklung stellt allerdings die Implementierung der Einflussmatrix dar, welche in dem Tool eine praktische Anwendung findet.