Sicherheitspyramide

Willkommen auf meiner Homepage!

Ich freue mich, dass Sie meine private Internet-Präsenz besuchen.

Auf diesen Seiten finden Sie Informationen zu meinen Publikationen zur IT-Sicherheit und zur Unternehmenssicherheit sowie zur dreidimensionalen Sicherheitspyramide nach Dr.-Ing. Müller, deren Architekt ich bin. Das Vorgehensmodell der Sicherheitspyramide ist der Praxis entsprungen. Der Begriff Sicherheitspyramide und ihre Darstellung wurden von mir Mitte der 90er Jahre geprägt und publiziert. Mein durchgängiges, umfassendes und systematisches Original der Sicherheitspyramide ist

  • im Buch "IT-Sicherheit mit System", deren 5., neu bearbeitete Auflage im März 2014 erschienen ist, und
  • im "Handbuch Unternehmenssicherheit", dessen 3., aktualisierte und erweiterte Auflage seit Juli 2015 verfügbar ist,

umfangreich beschrieben.

2008 ist das Buch "IT für Manager" erschienen, das sich an Leserinnen und Leser wendet, die eher fachfremd sind, sich aber für die IT in Unternehmen interessieren, oder die sich einen Überblick verschaffen möchten. Gerade bei historisch gewachsener oder auch geschäftsbedingt schnell aus dem Boden gestampfter IT gibt es hier verschiedentlich Optimierungspotenzial zum Nutzen aller Beteiligten.

Die neu bearbeitete, aktualisierte und erweiterte 5. Auflage von "IT-Sicherheit mit System" ist im März 2014 erschienen und kann im Buchhandel gekauft werden. Gegenüber der 4. Auflage ist "IT-Sicherheit mit System"  in der 5. Auflage noch einmal sehr deutlich gewachsen. Es umfasst 669 Seiten mit insgesamt 29 Kapiteln. Ab Kapitel 20 beginnen Verzeichnisse, die zur leichteren Auffindbarkeit erweitert wurden, z. B. um die Verzeichnisse für Checklisten und Beispiele. Kapitel 25 enthält das Verzeichnis über Gesetze, Vorschriften, Standards, Normen und Practices.

Die 5. Auflage widmet dem Themenfeld Standards, Normen und Practices ein eigenes Kapitel, dessen Inhalte jetzt umfangreicher sind und einen Vergleich mit meiner durchgängigen dreidimensionalen Sicherheitspyramide enthalten. In dem Kapitel enthalten sind auch Informationen zu Reifegradmodellen, Architekturmodellen und Programmier-/Entwicklungs-richtlinien.

Zusätzlich zum Vorgehensmodell der Sicherheitspyramide für das Sicherheits-, Kontinuitäts- und Risikomanagement geht die 5. Auflage des Buches ein auf den durchgängigen top-down-Aufbau des SIcherheitsmanagements, Sicherheitsprinzipien, IT-Prozesse einschließlich Risiko-, Kontinuitäts-, Architektur-, Projekt- und Qualitätsmanagement, biometrische Verfahren und Systeme, die serviceorientierte Architektur, Grid und Cloud Computing, Data Leakage Prevention, Mobile-Device-Management-Systeme sowie Bring Your Own Device.

Der System- bzw. Software-Entwicklungsprozess/ -Lebenszyklus hat in der 5. Auflage sicherheitsrelevante Ergänzungen erfahren.

Auf der Basis der dreidimensionalen Sicherheitspyramide nach Dr.-Ing. Müller bietet Ihnen  "IT-Sicherheit mit System" eine innovative, praxisorientierte, systematische und strategische Vorgehensweise zum Aufbau und zur Weiterentwicklung des IT- bzw. Informationssicherheitsmanagements in Ihrem Unternehmen. Wenn Sie sich mit IT-Sicherheitsthemen beschäftigen, empfehle ich Ihnen das Buch und  wünsche Ihnen eine interessante und anregende Lektüre.

Sie interessiert die Vorreiterrolle, der Innovationsgrad und die Praxisorientierung meiner Bücher zur Sicherheit? Hierzu gibt Ihnen die folgende Aufzählung auszugsweise und beispielhaft Informationen.
  • Wer die verschiedenen Auflagen meiner Bücher kennt und die Entwicklung bei Publikationen des BSI, z.B. des IT-Grundschutzhandbuchs (IT-GSHB) bzw. der IT-Grundschutzkataloge (IT-GSK) oder des angekündigten BSI 100-4 verfolgt, stellt fest, dass wegweisende Themen meiner Bücher nach deren Veröffentlichung in der Folge u.a. z.B. in Form von Maßnahmen im IT-GSHB von Ende 2005 in unterschiedlicher Ausprägung erstmalig behandelt werden.

  • In die 10. Ergänzungslieferung der IT-Grundschutzkataloge vom Oktober 2008 hat das Patch- und Änderungsmanagement in Form von Maßnahmen Eingang gefunden. Lesern von "IT-Sicherheit mit System" oder dem Handbuch Unternehmenssicherheit ist diese Thematik seit Längerem bekannt.
  • In der Zeitschrift <kes> 1, 2008, kündigt ein Artikel der Autoren Robert Kallwies und Angelika Jaschob im BSI-Forum für den Sommer 2008 den BSI-Standard BSI 100-4 an und skizziert dessen Inhalte. Der Artikel spricht hierbei Themen an und macht Aussagen, die Leserinnen  und Lesern meiner Bücher - teilweise bis hin zur Wortwahl - seit Längerem bekannt sind, weshalb sie sich über ihren Wissensvorsprung freuen dürften. So führen die Autoren des <kes>-Artikels aus, dass Informationssicherheit integraler Bestandteil aller Geschäftsprozesse ist, dass Wirtschaftsunternehmen von Versorgungsnetzen, wie Wasser- und Energie- sowie Informations- und Kommunikationsnetzen abhängig sind, dass durch die Synchronisation mit der ISO 27001 ein Paradigmenwechsel beim IT-Grundschutzhandbuch mit dem Ziel einer "ganzheitlichen prozessbezogenen Betrachtung der IT-Sicherheit" erfolgte, dass in einer Business Impact Analysis (BIA) Mindestanforderungen an einen potenziellen Notbetrieb erhoben werden können, dass der Umfang der Notfallvorsorge von der Risikobereitschaft abhängt, dass Kerninhalte sich u.a. auf Wiederanlauf, Notbetrieb, Wiederherstellung und Rückkehr in den Normalbetrieb beziehen und dass im Rahmen der Notfallvorsorge zu unterscheiden ist zwischen Tests und Übungen. Als Literaturquellen geben die Autoren nationale und internationale Standards und Practices an.
    Die von mir publizierten Bücher sowie verschiedene meiner Artikel zeigen und formulieren seit jeher eine ganzheitliche, durchgängige und zudem prozess- und lebenszyklusorientierte Sicht- und Vorgehensweise zur Unternehmens- und IT-Sicherheit. Meine Unterscheidung zwischen Test und Übung bei der Notfallvorsorge lernten LeserInnen bereits 2003 in der ersten Auflage von "IT-Sicherheit mit System" kennen, aber auch im Handbuch Unternehmenssicherheit aus dem Jahr 2005 und im Artikel "Geplant, geübt, für gut befunden", der 2007 erschienen ist. Das Handbuch Unternehmenssicherheit führt aus: "Damit Sicherheit ein integraler Bestandteil des Unternehmens ist, müssen in alle betroffenen Prozesse [...] des Unternehmens Sicherheitselemente integriert" werden. Das Handbuch Unternehmenssicherheit erläutert, dass die Geschäftseinflussanalyse, die BIA, z. B. „die Ermittlung des Mindestgeschäftsbetriebs“ einschließt. Weitere Begriffe des Handbuchs sind im <kes>-Artikel in vergleichbarem Kontext zu finden, wie z.B. die "Risikobereitschaft", oder die von mir gewählte Formulierung "Rückkehr in den Normalbetrieb". Fachlich bedingte Unterschiede gibt es jedoch auch. So verwendet z.B. das Handbuch Unternehmenssicherheit, aber auch die 3. Auflage von "IT-Sicherheit mit System", den Begriff "Übergang in den Notbetrieb" statt des weniger differenzierten "Wiederanlauf", das es in einem anderen Kontext nutzt. Auch verwendet es den Begriff Kontinuitätsmanagement statt des Teilbereichs Notfallmanagement.
  • Die Maßnahme M 2.337, Integration der IT-Sicherheit in organisationsweite Abläufe und Prozesse, im IT-GSK 2005, reißt beispielsweise das vom Autor als prozessimmanente Sicherheit bezeichnete Thema an.

  • Die Maßnahme M 2.338 im IT-GSK 2005 stellt in drei Ebenen eine dreiecksförmige Hierarchie von Sicherheitsdokumenten dar. Die Abbildung mit ihren Unterpunkten je Ebene und der Beschreibung weist Parallelen zur Sicherheitshierarchie der dreidimensionalen Sicherheitspyramide auf, wie sie z.B. in der ersten Auflage von "IT-Sicherheit mit System"  aus dem Jahr 2003 zu finden ist, aber auch in einer früheren Publikation von mir in der Zeitschrift KES aus dem Jahr 1996.

  • Die Maßnahme M 2.378, System-Entwicklung, im IT-GSK 2005 greift das in meinen Büchern als Lebenszyklus bezeichnete Thema auf, wie sie z.B. in der ersten Auflage von "IT-Sicherheit mit System"  aus dem Jahr 2003 zu finden ist.
    Bereits in der Erstausgabe von "IT-Sicherheit mit System" aus dem Jahr 2003 sind beispielhafte Richtlinien angegeben zu den Themen E-Mail-Nutzung, Virenschutz und Datensicherung sowie Notfall- und Katastrophenvorsorge. Mitte 2004 veröffentlichte das BSI Beispielskonzepte für wichtige Sicherheitsthemen, zu denen auch die zuvor genannten Themen gehörten.

Zunehmend sollen IT-Verantwortliche die Brücke bilden können zum Business und umfassenderes Wissen besitzen. Hierzu gehören Kenntnisse externer Anforderungen, z. B. in Form von Gesetzen, und deren Auswirkungen auf die IT sowie die Themen Kontinuitäts- und Risikomanagement.  Zutritts- und Objektschutz sind ebenfalls wichtige Aspekte. Diese Themen, die Vorgehensweise anhand der Sicherheitspyramide, die IT selbst von Firewall über NAS, SAN, VoIP, WarDriver, WLAN bis hin zu Zugriffsschutz und weitere sicherheitsrelevante Themen bis hin zur Arbeitssicherheit behandelt das Handbuch Unternehmenssicherheit.

Das "Handbuch Unternehmenssicherheit" ist in der 3. aktualisierten und erweiterten Auflage seit Juli 2015 verfügbar
. Es ist Trendsetter für die Konvergenz zwischen IT- und Unternehmenssicherheit sowie für das Zusammenführen von Sicherheits-, Kontinuitäts- und Risikomanagement. Das Handbuch basiert auf der dreidimensionalen Sicherheitspyramide nach Dr.-Ing. Müller und bietet Ihnen eine durchgängige, praxisorientierte und strategische Vorgehensweise zum Aufbau und zur Weiterentwicklung des Sicherheitsmanagements, Kontinuitätsmanagements und Risikomanagements in Ihrem Unternehmen von den Geschäftsprozessen bis hin zur IT.

Es kann als integratives, systematisches und anschauliches Vorgehensmodell gesehen werden, das nationale und verschiedene internationale gesetzliche und aufsichtsbehördliche Anforderungen anspricht, das Compliance Management behandelt, auf Standards zum Business Continuity Management, zum Risikomanagement und zum Arbeitsschutz eingeht, Gute Praktiken (GxP) anspricht sowie z. B. im IT-Bereich Aspekte nationaler und internationaler Standards, wie u. a. der ISO 27001, sowie der IT-Grundschutzkataloge des BSI, anführt. Wenn Sie sich mit dem Sicherheitsmanagement, dem Kontinuitätsmanagement und/oder dem Risikomanagement beschäftigen, empfehle ich Ihnen die Lektüre.

Das Handbuch ist in der 3. Auflage umfangreich aktualisiert und erweitert worden und nochmals deutlich auf über 600 Seiten gewachsen sowie an die Gliederungsstruktur von „IT-Sicherheit mit System“ angepasst worden. Im Kapitel Gesetze und Anforderungen spricht das Buch das IT-Sicherheitsgesetz und das Energiewirtschaftsgesetz sowie die Mindestanforderungen an die Sicherheit von Internetzahlungen ebenso an wie DGUV-Vorschriften und arbeitsstättenbezogene Regelungen. Die Prinzipien sind strukturell vereinheitlicht worden und neue Analysen hinzugekommen. Im Kapitel der Sicherheitsrichtlinien finden sich die Themen Flucht- und Rettungspläne sowie Pandemievorsorge. Das Kapitel zu Standards und Normen ist umfangreich aktualisiert worden.

Das Handbuch findet nicht nur bei Leserinnen und Lesern Anklang, sondern ist in unterschiedlichen Auflagen auch in Bibliotheken anzutreffen, von jener der Bundesbank über FH- und Uni- bis hin zu Landesbibliotheken. Aufgrund meiner Beratungs-, Autoren- und Referententätigkeiten weiß ich, dass Sicherheitsverantwortliche in Unternehmen und auch Berater meine Bücher kennen, schätzen und nutzen.

Sollten Sie - wie auch andere namhafte Unternehmen - Beratungsbedarf zu einem dieser Themen oder auch zur Optimierung der Prozess- und Strukturorganisation einschließlich Sourcing haben, wenden Sie sich bitte an mich bei der ACG Automation Consulting Group GmbH in Frankfurt am Main: www.acg-gmbh.de

Im Hinblick auf Publikationen empfehle ich Dritten die Beachtung diesbezüglicher Schutzbestimmungen und -rechte in ihrer jeweils aktuellen Fassung. Das Gesetz über Urheberrecht und verwandte Schutzrechte beispielsweise fordert selbst für Zitate - sofern sie zulässig sind - die deutliche Quellenangabe. Diesbezügliche professionelle Bücher und Promotionsarbeiten liefern Beispiele für die korrekte Quellenangabe. Quellenangaben enthalten üblicherweise u.a. den Urheberrechtshinweis mit komplettem Namen des Autors, dem Titel des Werkes, dem Namen des Publikationsmediums, z.B. Zeitungs-, Zeitschriften- oder Verlagsname, sowie dem Erscheinungsdatum. Dies ist nicht zuletzt auch ein Zeichen von Professionalität. Ein Aphorimus zu diesem Thema findet sich im Vorwort ab der 3. Auflage von "IT-Sicherheit mit System".