Konzipierung und Interaktion technischer und organisatorischer Maßnahmen zur Gewährleistung von Informationssicherheit

Bachelor-Studiengang IT Security

Peter Schönegger, BSc

Betreuer: Dipl.-Ing. Herfried Geyer

Ausgangslage

Es existieren zahllose approbierte Vorgehensweisen und Strategien, welche Herausforderungen unterschiedlichster Formen in der Gewährleistung von IT-Sicherheit adressieren. Unternehmen werden jedoch trotz etablierter und interagierender Lösungen weiterhin durch einfachste Vorgehensweisen kompromittiert. Systeme und Prozesse werden von Unternehmen gezielt integriert und konzipiert. Somit scheint das Finden von Maßnahmen gegen Bedrohungen und Risiken zu funktionieren. Sind jedoch gesetzte Maßnahmen immer bzw. bis zu welchem Maß an vorhandene Risiken angepasst? Ist deren Relevanz aus Unternehmenssicht abgestimmt? Und welchen Wirkungsgrad erzielen jene bzw. könnten jene im besten Fall erzielen?

Ziel

Diese Arbeit beschäftigt sich mit der Visualisierung verfügbarer Maßnahmen und den Möglichkeiten, diese zur Gewährleistung von IT-Sicherheit zu finden und erfolgreich zu integrieren. Weiters wird dargestellt, wie interne und externe Einflussfaktoren unterschiedlichster Bereiche die Selektion, Bewertung und Realisierung von Maßnahmen verändern und wie diese auf das Ziel der Steigerung der IT- und Unternehmenssicherheit positiv oder negativ einwirken können. Zentrale Themenbereiche sind das Darlegen von Schnittstellen und Abhängigkeiten zwischen Sicherheitsmechanismen, sowie Auswirkungen von Einflussfaktoren auf die Planung, das Design und die Entwicklung von IT-Sicherheit. Dies wird, durch die Beschreibung und Identifizierung möglicher Einflussfaktoren unter anschließender Projektion von Abhängigkeiten und deren Relevanz auf Basis der Vorgänge, beschrieben in dem ISO/IEC 27005 Risikomanagementprozess, durchgeführt.

Ergebnis

Die durchgeführte Analyse, in Form einer Projektion von Einflussfaktoren auf Vorgänge des ISO/IEC 27005 Standards, hat einige, für das IT-Sicherheitsmanagement notwendige, Bestandteile aufgezeigt. Das Wirken und Interagieren von verschiedenen Einflussfaktoren konnte als kritischer Punkt für den Erfolg, das Fehlschlagen oder das Resultieren in unzureichendem, nicht-adäquaten oder an die eigentlichen Unternehmensziele ausgerichteten Output einer oder mehreren Phasen identifiziert werden. Gezeigt wurden die Relevanz des Faktors „Mensch“, wie auch anderer Einflussfaktoren in jeder einzelnen Phase des Risikomanagements. Dies impliziert, dass die Qualität erzielter technischer sowie organisatorischer Maßnahmen und Kontrollen von der Abstimmung, Kommunikation und Koordinierung von Einflussfaktoren abhängt und somit möglicherweise noch vor der Betrachtung technischer Herausforderungen oder Konzepte zu berücksichtigen ist.