IT-Sicherheit mit System
Seit September 2018 ist die überarbeitete und deutlich erweiterte 6. Auflage von "IT-Sicherheit mit System" im Buchhandel.
Vielen Dank für das bisherige große Interesse und für konstruktiv-sachliches Feedback.
Wenn Sie sich einen Lese- bzw. Wissensvorsprung oder -Update verschaffen oder Ihre eigene Vorgehensweise prüfen oder gegebenenfalls weiter entwickeln wollen, können Sie das Buch im Buchhandel kaufen. Weitere Informationen finden Sie auf der zum Buch gehörenden Webseite des Springer-Verlags, wo Sie das Buch auch bestellen können.
Demgegenüber ist das inhaltsstarke Handbuch Unternehmenssicherheit für jene interessant, die zusätzlich zur IT-Sicherheit auch Aspekte wie Zutrittsschutz und gesetzliche sowie weitere externe Anforderungen kennenlernen möchte. Nähere Informationen zum Handbuch finden Sie auf der Seite "Sicherheit" dieses Webauftritts.
Das Buch "IT-Sicherheit mit System" basiert auf der über 25jährigen Erfahrung des Autors. Es ist der Praxis entsprungen und für sie geschrieben und positiv aufgenommen worden. Dem Feedback zufolge findet es sowohl bei Beratern, Verantwortlichen und Profis in der Praxis als auch in der Lehre bei Universitäten und Fachhochschulen aufgrund der guten Strukturierung, Praxisorientierung und umfassenden Behandlung des Themas offensichtlich erfreulich positive Resonanz, wofür ich mich ebenfalls bedanke. Ihr positives Feedback hat den Verlag zu einer 6. Auflage motiviert und mich zum Weiterschreiben angeregt.
Was bietet die 6. Auflage? – Ein eigenes Kapitel widmet sich externen Anforderungen, die sich aus Gesetzen, Verordnungen und Vorschriften sowie aufsichtsbehördlichen Regularien ergeben. Angesprochen werden diesbezüglich die Themenstellungen Haftungsrisiken, Risikomanagement, Buchführung, kritische Infrastrukturen und Datenschutz sowie branchenspezifische Anforderungen für Energieversorgungsunternehmen, Finanzinstitute und Versicherungsunternehmen sowie für die chemische Industrie.
Ein weiteres Kapitel beschäftigt sich mit Normen, Standards und Practices. Es geht ein auf den IT-Grundschutz nach BSI, behandelt die ISO-27000-Familie zur Informationssicherheit und die ISO 20000 zum IT Service Management sowie Practices wie ITIL® und stellt sie dem durchgängigen Vorgehensmodell anhand der dreidimensionalen Sicherheitspyramide gegenüber. Darüber hinaus sind dort Projektmanagement- und Entwicklungsmethoden sowie Programmier-/ Entwicklungsrichtlinien genannt.
In den folgenden weiteren Kapiteln beschreibt das Buch das top-down-orientierten Vorgehen anhand der Sicherheitspyramide und die IT-Managementprozesse einschließlich Risiko-, Kontinuitäts-, Architektur-, Projekt- und Qualitätsmanagement. Es geht ein auf Schutzbedarfsklassen und ein Vorgehen zur konsistenten Klassifizierung, bietet Beispiele für Richtlinien und Einzelanforderungen. Es behandelt die serviceorientierte Architektur, Grid und Cloud Computing, Data Leakage Prevention, biometrische Verfahren und Systeme sowie Mobile-Device-Management-Systeme und Bring Your Own Device. Der IT-Lebenszyklus enthält zusätzliche sicherheitsrelevante Elemente. Insgesamt hat das Buch nun 866 Seiten und damit deutlich mehr Inhalte und Seiten als die 5. Auflage.
Wie beurteilen Rezensentinnen/Rezensenten sowie LeserInnen das Buch?
Bei der ersten Auflage des Buches äußern sich Professoren über Klarheit und Struktur positiv.
Zur zweiten Auflage gibt es eine positive Rezension unter Wirtschaftsinformatik online.
In hakin9, Heft 2/2007, werden für das Buch 5 von 5 Sternen vergeben.
Auf der Online-Seite der Zeitschrift CIO findet sich die 2. Auflage von "IT-Sicherheit mit System" verschiedentlich unter den Top 3 der meistverkauften Bücher der letzten 2 Wochen. Am 30.10.2006 belegte es Platz 3, am 15.11.2006 und am 12.3.2007 Platz 1.
Die dritte Auflage des Buches empfiehlt DuD in Heft 3/2008 im Hinblick auf das Sicherheitsmanagement diesbezüglichen Einsteigern und Fachleuten sowie Funktionsträgern und Managern.
hakin9 findet das Buch in Heft 2/2009 zwar inhaltlich top. Der Rezensent meint jedoch, eine gewisse Arroganz wahrzunehmen und stört sich an wiederkehrender Werbung im Text.
Anmerkung: Der Autor bedankt sich auf diesem Wege bei dem unbekannten Rezensenten für dessen positive Einschätzung des Buches sowie dessen Hinweise und bedauert gleichzeitig den geweckten Eindruck einer unterschwelligen Arroganz. Den Namen "ACG" finden Leser auf den über 500 Seiten des Buches an einer Stelle. Hinzu kommen die Nennungen im zweiseitigen Kurzprofil des Autors am Ende des Buches (4 Nennungen), im Literaturverzeichnis (1 Nennung) und im 12seitigen Vorwort (2 Nennungen in der Danksagung).
Zur fünften Auflage des Buches zieht Dr. Philipp Kramer im DATENSCHUTZ-BERATER, Nr. 03/2015 das Fazit: Das Werk gehört auf den Schreibtisch des Datenschutzbeauftragten.
Wo finden Sie das Buch? IT-Sicherheit mit System finden Sie außer im Buchhandel in verschiedenen Bibliotheken, u.a. in Unibibliotheken.
Wo ist das Buch angegeben oder zitiert? Als Literatur angegeben ist "IT-Sicherheit mit System" in Studiengängen im deutschsprachigen Raum (DACH), z.B. zur angewandten Informatik oder zur Wirtschaftsinformatik bei den jeweiligen Modulen zur IT-Sicherheit bzw. IT Security. Darüber hinaus finden Sie es zitiert in wissenschaftlichen Arbeiten, z.B. in in Dissertationen sowie in Diplom-, Master- und Bachelorarbeiten.
Wer sollte dieses Buch lesen? Das Buch richtet sich an Leserinnen und Leser, die für die IT-Sicherheit und insbesondere das IT-Sicherheitsmanagement im Unternehmen zuständig sind, wie z.B. IT-Sicherheitsbeauftragte, Chief Information Security Officers, Chief Information Officers, Sicherheitsauditoren, IT-Notfall- oder -Risikomanager, Bereichsleiter, Geschäftsführer und Vorstände. Aber auch Leserinnen und Leser, die sich für strukturiertes und systematisches IT-Sicherheitsmanagement interessieren, sollten die Inhalte des Buches kennen und nutzen.
Warum sollten Sie dieses Buch lesen? Durch zunehmende Vernetzung, Globalisierung und den technologischen Fortschritt sowie gestiegenes Allgemeinwissen nehmen die Bedrohungen kontinuierlich zu. Von fast jedem Punkt der Erde können mit entsprechendem Know-how, PC und Internetanbindung Angriffe gefahren werden. Darüber hinaus bedrohen Botnets, Denial-of-Service-Attacken, verschwundene oder entwendete Daten, Ransomware und Spionage durch Trojaner die Unternehmen. Die Überwachungsprogramme der NSA, aber auch anderer Geheimdienste, haben das Thema Datenschutz und Datensicherheit verstärkt in das Bewusstsein der Öffentlichkeit gehoben.
Aber auch äußere Ereignisse, wie Überschwemmungen, Stromausfall oder Ausfall des Kommunikationsnetzes stellen latente Bedrohungen dar. Das Hochwasser in MItteleuropa im Mai/Juni 2013 führte zu erheblichen Zerstörungen und Beinträchtigungen.
Beispiele für den Ausfall kritischer Infrastrukturen sind die Stromausfälle im August 2003 im Norden Amerikas und in Kanada sowie in London, am 23. September 2003 in Teilen Dänemarks und Südschwedens sowie am 28. September 2003 in Italien, dessen Rückwirkungen auf das deutsche Stromnetz beherrscht wurden. Der Stromausfall im Münsterland Ende November 2005 ist sicherlich vielen noch in Erinnerung. Manch einer weiß vom Stromausfall Mitte 2006 in Münster, in dessen Folge der Entwicklungs- und Produktionsvorstand eines IT-Service-Providers seiner Aufgaben entbunden wurde. Im März 2014 fallen im Kraftwerk des Volkswagen-Konzerns vier Stromgeneratoren aus, die auch Wolfsburg versorgen.
Ein Beispiel aus dem Kommunikationsbereich ist der fast 14stündige Ausfall eines Mobilfunknetzes im Großraum Frankfurt am 4. September 2003 sowie der mehrstündige Ausfall der Sprach- und SMS-Dienste am 21. April 2009 eines Mobilfunknetzes. Im Januar 2013 fallen im Siegerland das Festnetz und zeitweise das Mobilfunknetz aus.
Neben Auswirkungen z. B. auf die Produktion können Stromausfälle durch Stillstand von Bahnen und Ausfall von Ampelanlagen dazu führen, dass eine Vielzahl von Mitarbeitern erst deutlich verspätet ihre Arbeit aufnehmen. Somit können derartige Ausfälle die Informations- und Kommunikationstechnologie nicht nur direkt, sondern auch indirekt über Personalausfälle beeinträchtigen.
Darüber hinaus ist die Handlungsfähigkeit der Unternehmen immer stärker abhängig von der Informations- und Kommunikationstechnologie. Dies macht sie verwundbar.
Welche Maßnahmen ergreifen Unternehmen dagegen? Verfügen sie über ein durchgängiges und ganzheitliches Sicherheitsmanagement? Die Erfahrung zeigt, dass dies nicht immer der Fall ist. "Schnellschuss-Lösungen", Sicherheitslücken und mangelndes Sicherheitsbewusstsein prägen oftmals den Unternehmensalltag, schaffen Risiken und senken durch erforderliche Nachbesserungen die Effizienz. Eine Konsolidierung bestehender Konzepte, die Fortentwicklung ergriffener Sicherheitsmaßnahmen und ein zielorientiertes gemeinsames Verständnis fehlen häufig.
Was beinhaltet das Buch? Haben Sie ein ganzheitliches Konzept, eine Vorgehensweise, eine Strategie für die IT-Sicherheit Ihres Unternehmens? Kennen Sie Ihr Sicherheitsniveau und ihre Risiken? Haben Sie ein Sicherheitsmanagement mit Verantwortlichkeiten definiert, das Ihre Sicherheitsanforderungen erfüllt, das Sie zielgerichtet steuern und kontinuierlich weiter entwickeln? - Wenn nicht, dann kann das Buch „IT-Sicherheit mit System" für Sie nützlich sein. Dort finden Sie das systematische und strategische Vorgehensmodell des Autors zur Konsolidierung, zum Aufbau und zur Weiterentwicklung des Informations- und IT-Sicherheitsmanagements.
Das Vorgehensmodell, die dreidimensionale Sicherheitspyramide nach Dr.-Ing. Müller, hat der Autor erstmals Mitte der 1990er Jahre publiziert und danach kontinuierlich weiterentwickelt. Es baut das Sicherheitsmanagement in der ersten Dimension der Pyramide top-down auf. Es geht von der Sicherheitspolitik des Unternehmens aus und leitet hieraus die Sicherheitsziele/ Sicherheitsanforderungen ab, erläutert die Bildung von Schutzbedarfsklassen und eine effiziente Vorgehensweise zur konsistenten Klassifizierung. Über weitere Schritte, wie z.B. die Sicherheitsarchitektur mit Sicherheitsprinzipien und Sicherheitselementen gelangen Sie zu den Sicherheitskonzepten und den Sicherheitsmaßnahmen. In den weiteren Dimensionen der Sicherheitspyramide nach Dr.-Ing. Müller werden die IT-Prozesse, die Ressourcen und der Lebenszyklus berücksichtigt.
Kontrollelemente sowie ein Regelkreis mit Kennzahlen ermöglicht die Statusverfolgung und die Steuerung des Sicherheitsmanagements. Über das vom Autor entwickelte Modell können Sie darüber hinaus den Reifegrad Ihres Sicherheitsmanagements feststellen und sich mittels einer Checkliste einen ersten Überblick verschaffen. Der Sicherheitsmanagementprozess, orientiert am PDCA-Zyklus, rundet die Sicherheitsthematik ab.
Auch die 6. Auflage enthält zusätzlich zur praxisorientierten Vorgehensweise eine Vielzahl aktueller Themen, die hier nur ausschnittsweise angegeben sind, z. B. biometrische Systeme, Business Continuity, Business Impact Analyse, Cloud Computing, Compliance, Datensicherungsmethoden, Datenlöschung, Datenträgervernichtung, Firewall, Forensische Computeranalyse, Honeynet, Honeypot, Ingenieurmäßige Sicherheit, Intrusion-Detection-/Prevention-Systeme, IT-Governance, Kryptographie, Mobile-Device-Management-Systeme, NAS, Next Generation Firewall (NGFW), Notfallvorsorge, RAID, Redundanz, SAN, Schwachstellenscanner, Security-Appliances, Security-Scanner, SIEM-Systeme und Single Sign-on, WAF, XML Security Gateway.
Wie ist das Buch aufgebaut? Die Kapitel des Buchs sind - soweit sinnvoll - nach der gleichen Grundstruktur aufgebaut. Dies vereinfacht die Orientierung. Kursiver Fettdruck und Zusammenfassungen unterstützen eilige Leser. Beispiele, Tipps und Checklisten erleichtern den Einstieg. Abbildungen veranschaulichen die Sachverhalte. Ein Sachwortverzeichnis hilft Ihnen beim Finden.
Wie kann das Buch gelesen werden? Sie können das Buch entweder von Anfang bis Ende lesen und dadurch Ihr Wissen erweitern, vertiefen oder bestätigen. Oder Sie lesen nur einzelne Kapitel oder deren Zusammenfassungen. Vielleicht interessiert Sie ja auch das Glossar, wo Sie Erläuterungen zu einzelnen Begriffen suchen.
Was können Sie tun? Jeder Autor - und so auch ich - lebt vom Feedback seiner Leserinnen und Leser. Sollten Sie Anregungen zu dem Buch haben, so teilen Sie mir diese bitte unter der E-Mail-Adresse mit, die im Impressum angegeben ist. Wenn Ihnen das Buch gefällt, können Sie andere Leserinnen und Leser von Ihrer Meinung profitieren lassen, indem Sie diese beispielsweise bei Amazon oder dem Buchkatalog als Buchbesprechung einstellen, oder sich bei Amazon der Meinung eines Rezensenten anschließen. Über Weiterempfehlungen freue ich mich natürlich auch.
Errata: Sollten sich trotz größter Sorgfalt Fehler, wie z. B. Druck- oder Tippfehler, eingeschlichen haben, so werden diese von mir gesammelt und können auf Anforderung per E-Mail zur Verfügung gestellt werden.
Preis:
- Profis können sich verschiedentlich sehr viele Stunden Arbeit ersparen, die sie zur (Weiter-)Entwicklung eines durchgängigen Vorgehensmodells und bei der Entwicklung von Gliederungsvorlagen, Checklisten und Richtlinien oder für langwierige und vielleicht wenig erfolgreiche Internet-Recherchen aufwenden müssten.
- Im Sicherheitsmanagement weniger erfahrene LeserInnen können ihr Wissen weiterentwickeln oder sich sogar einen Wissensvorsprung verschaffen.
- Daher empfehle ich dieses Buch in beiden Fällen und betrachte es als angemessene Investition.