Willkommen auf meiner Homepage!
Dass Sie meine private Internet-Präsenz besuchen, freut mich.
Auf diesen Seiten finden Sie Informationen zu meinen Publikationen zur IT-Sicherheit und zur Unternehmenssicherheit sowie zur dreidimensionalen Sicherheitspyramide nach Dr.-Ing. Müller, deren Architekt ich bin.
Das Vorgehensmodell der Sicherheitspyramide ist der Praxis entsprungen. Der Begriff Sicherheitspyramide und ihre Darstellung wurden von mir Mitte der 1990er Jahre geprägt und publiziert. Mein durchgängiges, umfassendes und systematisches Original der Sicherheitspyramide ist
- im Buch "IT-Sicherheit mit System", deren 6., überarbeitete und erweiterte Auflage im September 2018 erschienen ist, und
- im "Handbuch Unternehmenssicherheit", dessen 4., aktualisierte und erweiterte Auflage seit Februar 2023 verfügbar ist,
umfangreich beschrieben.
IT-Sicherheit mit System
Die überarbeitete und erweiterte 6. Auflage von "IT-Sicherheit mit System" ist im September 2018 erschienen. Gegenüber der 5. Auflage ist "IT-Sicherheit mit System" in der 6. Auflage noch einmal sehr deutlich gewachsen. Es umfasst 866 Seiten mit insgesamt 27 Kapiteln. Ab Kapitel 20 beginnen Verzeichnisse, die zur leichteren Auffindbarkeit dienen, z. B. die Verzeichnisse für Abbildungen, Tabellen, Checklisten, Beispiele und Tipps. Kapitel 27 enthält das umfangreiche Verzeichnis über Gesetze, Vorschriften, Standards, Normen und Practices.
Die 6. Auflage enthält ein eigenes Kapitel zum Themenfeld Gesetze, Verordnungen, Vorschriften und Anforderungen sowie ein weiteres zu Normen, Standards und Practices. In letzterem enthalten sind auch Informationen zu Reifegradmodellen, Architekturmodellen und Programmier-/Entwicklungs-richtlinien. Beide Kapitel unterstützen bei der Synchronisierung des Informationssicherheits-, IT-Sicherheits-, Informationsrisiko- und Kontinuitätsmanagements einer Organisation mit dem Umfeld.
Zusätzlich zum Vorgehensmodell der Sicherheitspyramide für das Sicherheits-, Kontinuitäts- und Risikomanagement, das ab Kapitel 7 umfangreich beschrieben ist, geht die 6. Auflage des Buches ein auf den durchgängigen top-down-Aufbau des SIcherheitsmanagements, auf Schutzbedarfsklassen und eine Vorgehensweise zur konsistenten Klassifizierung, auf Sicherheitsprinzipien, auf IT-Prozesse einschließlich Risiko-, Kontinuitäts-, Architektur-, Projekt- und Qualitätsmanagement, auf Beispiele von Richtlinien und Einzelanforderungen, auf biometrische Verfahren und Systeme, die serviceorientierte Architektur, Grid und Cloud Computing, Data Leakage Prevention, Kennzahlen, Mobile-Device-Management-Systeme sowie Bring Your Own Device.
Der Kapitel Lebenszyklus mit System- bzw. Software-Entwicklungsprozess/ -Lebenszyklus hat in der 6. Auflage Ergänzungen erfahren.
Auf der Basis der dreidimensionalen Sicherheitspyramide nach Dr.-Ing. Müller bietet Ihnen "IT-Sicherheit mit System" eine innovative, praxisorientierte, systematische und strategische Vorgehensweise zum Aufbau und zur Weiterentwicklung des IT- bzw. Informationssicherheitsmanagements in Ihrem Unternehmen. Wenn Sie sich mit IT-Sicherheitsthemen beschäftigen, empfehle ich Ihnen das Buch und wünsche Ihnen eine interessante und anregende Lektüre.
Sie interessiert die Vorreiterrolle, der Innovationsgrad und die Praxisorientierung meiner Bücher zur Sicherheit? Hierzu gibt Ihnen die folgende Aufzählung auszugsweise und beispielhaft Informationen.
Wer die verschiedenen Auflagen meiner Bücher kennt und die Entwicklung bei Publikationen des BSI, z.B. des IT-Grundschutzhandbuchs (IT-GSHB) bzw. der IT-Grundschutzkataloge (IT-GSK) bzw. des IT-Grundschutz-Kompendiums oder der BSI-Standards verfolgt, stellt fest, dass wegweisende Themen meiner Bücher nach deren Veröffentlichung in der Folge u.a. z.B. in Form von Maßnahmen im IT-GSHB von Ende 2005 in unterschiedlicher Ausprägung erstmalig behandelt werden.
In die 10. Ergänzungslieferung der IT-Grundschutzkataloge vom Oktober 2008 hat das Patch- und Änderungsmanagement in Form von Maßnahmen Eingang gefunden. Lesern von "IT-Sicherheit mit System" oder dem Handbuch Unternehmenssicherheit ist diese Thematik seit Längerem bekannt.
In der Zeitschrift <kes> 1, 2008, kündigt ein Artikel der Autoren Robert Kallwies und Angelika Jaschob im BSI-Forum für den Sommer 2008 den BSI-Standard BSI 100-4 an und skizziert dessen Inhalte. Der Artikel spricht hierbei Themen an und macht Aussagen, die Leserinnen und Lesern meiner Bücher - teilweise bis hin zur Wortwahl - seit Längerem bekannt sind, weshalb sie sich über ihren Wissensvorsprung freuen dürften. So führen die Autoren des <kes>-Artikels aus, dass Informationssicherheit integraler Bestandteil aller Geschäftsprozesse ist, dass Wirtschaftsunternehmen von Versorgungsnetzen, wie Wasser- und Energie- sowie Informations- und Kommunikationsnetzen abhängig sind, dass durch die Synchronisation mit der ISO 27001 ein Paradigmenwechsel beim IT-Grundschutzhandbuch mit dem Ziel einer "ganzheitlichen prozessbezogenen Betrachtung der IT-Sicherheit" erfolgte, dass in einer Business Impact Analysis (BIA) Mindestanforderungen an einen potenziellen Notbetrieb erhoben werden können, dass der Umfang der Notfallvorsorge von der Risikobereitschaft abhängt, dass Kerninhalte sich u.a. auf Wiederanlauf, Notbetrieb, Wiederherstellung und Rückkehr in den Normalbetrieb beziehen und dass im Rahmen der Notfallvorsorge zu unterscheiden ist zwischen Tests und Übungen. Als Literaturquellen geben die Autoren nationale und internationale Standards und Practices an.
Die von mir publizierten Bücher sowie verschiedene meiner Artikel zeigen und formulieren seit jeher eine ganzheitliche, durchgängige und zudem prozess- und lebenszyklusorientierte Sicht- und Vorgehensweise zur Unternehmens- und IT-Sicherheit. Meine Unterscheidung zwischen Test und Übung bei der Notfallvorsorge lernten LeserInnen bereits 2003 in der ersten Auflage von "IT-Sicherheit mit System" kennen, aber auch im Handbuch Unternehmenssicherheit aus dem Jahr 2005 und im Artikel "Geplant, geübt, für gut befunden", der 2007 erschienen ist. Das Handbuch Unternehmenssicherheit führt aus: "Damit Sicherheit ein integraler Bestandteil des Unternehmens ist, müssen in alle betroffenen Prozesse [...] des Unternehmens Sicherheitselemente integriert" werden. Das Handbuch Unternehmenssicherheit erläutert, dass die Geschäftseinflussanalyse, die BIA, z. B. „die Ermittlung des Mindestgeschäftsbetriebs“ einschließt. Weitere Begriffe des Handbuchs sind im <kes>-Artikel in vergleichbarem Kontext zu finden, wie z.B. die "Risikobereitschaft", oder die von mir gewählte Formulierung "Rückkehr in den Normalbetrieb". Fachlich bedingte Unterschiede gibt es jedoch auch. So verwendet z.B. das Handbuch Unternehmenssicherheit, aber auch die 3. Auflage von "IT-Sicherheit mit System", den Begriff "Übergang in den Notbetrieb" statt des weniger differenzierten "Wiederanlauf", das es in einem anderen Kontext nutzt. Auch verwendet es den Begriff Kontinuitätsmanagement statt des Teilbereichs Notfallmanagement.
Die Maßnahme M 2.337, Integration der IT-Sicherheit in organisationsweite Abläufe und Prozesse, im IT-GSK 2005, reißt beispielsweise das vom Autor als prozessimmanente Sicherheit bezeichnete Thema an.
Die Maßnahme M 2.338 im IT-GSK 2005 stellt in drei Ebenen eine dreiecksförmige Hierarchie von Sicherheitsdokumenten dar. Die Abbildung mit ihren Unterpunkten je Ebene und der Beschreibung weist Parallelen zur Sicherheitshierarchie der dreidimensionalen Sicherheitspyramide auf, wie sie z.B. in der ersten Auflage von "IT-Sicherheit mit System" aus dem Jahr 2003 zu finden ist, aber auch in einer früheren Publikation von mir in der Zeitschrift KES aus dem Jahr 1996.
Die Maßnahme M 2.378, System-Entwicklung, im IT-GSK 2005 greift das in meinen Büchern als Lebenszyklus bezeichnete Thema auf, wie sie z.B. in der ersten Auflage von "IT-Sicherheit mit System" aus dem Jahr 2003 zu finden ist.
Bereits in der Erstausgabe von "IT-Sicherheit mit System" aus dem Jahr 2003 sind beispielhafte Richtlinien angegeben zu den Themen E-Mail-Nutzung, Virenschutz und Datensicherung sowie Notfall- und Katastrophenvorsorge. Mitte 2004 veröffentlichte das BSI Beispielskonzepte für wichtige Sicherheitsthemen, zu denen auch die zuvor genannten Themen gehörten.
Handbuch Unternehmenssicherheit
Zunehmend sollen IT-Verantwortliche die Brücke bilden können zum Business und umfassenderes Wissen besitzen. Hierzu gehören Kenntnisse externer Anforderungen, z. B. in Form von Gesetzen, und deren Auswirkungen auf die IT sowie die Themen Kontinuitäts- und Risikomanagement. Zutritts- und Objektschutz sind ebenfalls wichtige Aspekte. Diese Themen, die Vorgehensweise anhand der Sicherheitspyramide, die IT selbst von Firewall über NAS, SAN, VoIP, WarDriver, WLAN bis hin zu Zugriffsschutz und weitere sicherheitsrelevante Themen bis hin zur Arbeitssicherheit behandelt das Handbuch Unternehmenssicherheit.
Das "Handbuch Unternehmenssicherheit" ist in der 4., aktualisierten und erweiterten Auflage seit Februar 2023 in digitaler Form auf der Plattform SpringerLink und in der Print-Fassung verfügbar.
Das "Handbuch Unternehmenssicherheit" ist Trendsetter für die Konvergenz zwischen IT- und Unternehmenssicherheit sowie für das Zusammenführen von Sicherheits-, Kontinuitäts- und Risikomanagement. Das Handbuch basiert auf der dreidimensionalen Sicherheitspyramide nach Dr.-Ing. Müller und bietet Ihnen eine durchgängige, praxisorientierte und strategische Vorgehensweise zum Aufbau und zur Weiterentwicklung des Sicherheitsmanagements, Kontinuitätsmanagements und Risikomanagements in Ihrem Unternehmen von den Geschäftsprozessen bis hin zur IT.
Es kann als integratives, systematisches und anschauliches Vorgehensmodell gesehen werden, das nationale und verschiedene internationale gesetzliche und aufsichtsbehördliche Anforderungen anspricht, das Compliance Management behandelt, auf Standards zum Business Continuity Management, zum Risikomanagement und zum Arbeitsschutz eingeht, Gute Praktiken (GxP) anspricht sowie z. B. im IT-Bereich Aspekte nationaler und internationaler Standards, wie u. a. der ISO 27001, sowie der IT-Grundschutzkataloge des BSI, anführt. Wenn Sie sich mit dem Sicherheitsmanagement, dem Kontinuitätsmanagement und/oder dem Risikomanagement beschäftigen, empfehle ich Ihnen die Lektüre.
Das Handbuch ist in der 4. Auflage umfangreich aktualisiert und erweitert worden und nochmals deutlich auf über 800 Seiten gewachsen. Im Kapitel Gesetze und Anforderungen spricht das Buch u.a. das IT-Sicherheitsgesetz 2.0 und das Energiewirtschaftsgesetz sowie arbeitsstättenbezogene Regelungen und die DGUV-Vorschriften an. Die Prinzipien sind erweitert worden, z.B. um das Prinzip des abgesicherten Ausfalls und Zero Trust. Im Kapitel der Sicherheitsrichtlinien finden sich die Themen Flucht- und Rettungspläne sowie Pandemievorsorge. Das Kapitel zu Standards und Normen ist umfangreich aktualisiert worden.
Das Handbuch findet nicht nur bei Leser*innen Anklang, sondern ist in unterschiedlichen Auflagen auch in Bibliotheken anzutreffen, von jener der Bundesbank über FH- und Uni- bis hin zu Landesbibliotheken. Aufgrund meiner Beratungs-, Autoren- und Referententätigkeiten weiß ich, dass Sicherheitsverantwortliche in Unternehmen und auch Berater meine Bücher kennen, schätzen und nutzen.
Im Hinblick auf Publikationen empfehle ich Dritten die Beachtung diesbezüglicher Schutzbestimmungen und -rechte in ihrer jeweils aktuellen Fassung. Das Gesetz über Urheberrecht und verwandte Schutzrechte beispielsweise fordert selbst für Zitate - sofern sie zulässig sind - die deutliche Quellenangabe. Diesbezügliche professionelle Bücher und Promotionsarbeiten liefern Beispiele für die korrekte Quellenangabe. Quellenangaben enthalten üblicherweise u.a. den Urheberrechtshinweis mit komplettem Namen des Autors, dem Titel des Werkes, dem Namen des Publikationsmediums, z.B. Zeitungs-, Zeitschriften- oder Verlagsname, sowie dem Erscheinungsdatum. Dies ist nicht zuletzt auch ein Zeichen von Professionalität. Ein Aphorimus zu diesem Thema findet sich im Vorwort ab der 3. Auflage von "IT-Sicherheit mit System".
IT für Manager
2008 ist das Buch "IT für Manager" erschienen, das sich an Leserinnen und Leser wendet, die eher fachfremd sind, sich aber für die IT in Unternehmen interessieren, oder die sich einen Überblick verschaffen möchten. Gerade bei historisch gewachsener oder auch geschäftsbedingt schnell aus dem Boden gestampfter IT gibt es hier verschiedentlich Optimierungspotenzial zum Nutzen aller Beteiligten.