{"id":2873,"date":"2014-11-01T12:31:38","date_gmt":"2014-11-01T10:31:38","guid":{"rendered":"http:\/\/www.bernhardschloss.de\/blog\/?p=2873"},"modified":"2014-11-01T12:31:38","modified_gmt":"2014-11-01T10:31:38","slug":"631-informationssicherheit-guiding-questions","status":"publish","type":"post","link":"https:\/\/www.bernhardschloss.de\/blog\/631-informationssicherheit-guiding-questions\/","title":{"rendered":"#631 Informationssicherheit &#8211; Guiding Questions"},"content":{"rendered":"<p>Bei dem ganzen Hype, der dem Thema Informationssicherheit in den letzten Jahren widerfahren ist, darf man eines nicht vergessen: Informationssicherheit ist kein Selbstzweck, sie dient lediglich zur Sicherstellung des eigentlichen Gesch\u00e4ftszweckes\/des eigentlichen Auftrags. Demnach gilt: Business first!<\/p>\n<p>Beim Thema Informationssicherheit darf es nicht um die Befriedigung aus Normen abgeleiteter Anforderungen gehen, sondern es ist stets eine Abw\u00e4gung aus Business Sicht. Dies gilt insbesondere, da es eine 100%-Sicherheit nicht gibt, insofern ist Informationssicherheit immer auch ein Risikomanagement-Prozess.<\/p>\n<p>Bei einem gro\u00dfen Rollout-Projekt zur Implementierung eines IT-Security-Prozesses im IT Service-Management, mussten wir lernen, dass wir die Kollegen immer wieder \u00fcberfordert haben. Zum Einen ging die eben erw\u00e4hnte Business-Perspektive in den K\u00f6pfen immer wieder verloren, zum Anderen verloren die Kollegen bei der Vielzahl der Security Requirements schnell den \u00dcberblick und haben den Wald vor lauter B\u00e4umen nicht mehr gesehen. Da wurden dann technische Betriebs-Details\u00a0 formal mit dem Provider gekl\u00e4rt, anstatt sich grunds\u00e4tzlich mit der Frage auseinander zu setzen, was (im konkreten Fall) eine Cloud-L\u00f6sung \u00fcberhaupt ist und ob man die eigenen Daten wirklich in fremde H\u00e4nde geben m\u00f6chte. Nat\u00fcrlich braucht es auch dedizierte Anforderungen, aber ohne ein entsprechendes Mindset wurde die Bearbeitung schnell zum sinnentleerten Papiertiger.<\/p>\n<p>Vor diesem Hintergrund habe ich eine Reihe von Guiding Questions formuliert, um die Kollegen wieder &#8222;abzuholen&#8220;. Nat\u00fcrlich gilt als oberster Grundsatz die Orientierung am Gesch\u00e4ftszweck (1), dann ist ein generelles L\u00f6sungsverst\u00e4ndnis erforderlich (2) um \u00fcberhaupt die klassischen Dimensionen der Informationssicherheit bearbeiten zu k\u00f6nnen (3-5). Zur Visualisierung habe ich mich des<a title=\"schlossBlog: IT Security Canvas\" href=\"http:\/\/www.bernhardschloss.de\/blog\/?p=2637\" target=\"_blank\"> IT Security Canvas<\/a> bedient:<\/p>\n<p>(1) <strong>Business first!<\/strong><\/p>\n<p>(2)<strong>\u00a0L\u00f6sung &amp; Architektur<\/strong><br \/>\nUm ein allgemeines Verst\u00e4ndnis unserer L\u00f6sung zu entwickeln:<\/p>\n<ul type=\"disc\">\n<li>Wie sieht das generelle Design\/die Architektur der L\u00f6sung aus?<\/li>\n<li>Gibt es Schnittstellen zu anderen Systemen?<\/li>\n<li>Wo sind diese Systeme r\u00e4umlich angesiedelt?<\/li>\n<li>Wo werden Daten gespeichert, verarbeitet oder transportiert?<\/li>\n<li>Welche Parteien sind involviert (Benutzer, Administratoren, Dienstleister,\u2026)?<\/li>\n<li>Gibt es ein IT-Service-Management?<\/li>\n<\/ul>\n<p><img decoding=\"async\" src=\"https:\/\/lh6.googleusercontent.com\/VA31_SqDzj8ivNQwgC0yIg60f6SakRq3LjYh8fQ_KAk=w337-h181-p-no\" alt=\"\" width=\"180\" \/><br \/>\n&nbsp;<br \/>\n&nbsp;<br \/>\n&nbsp;<br \/>\n&nbsp;<br \/>\n&nbsp;<\/p>\n<p>(3) <strong>Vertraulichkeit \/ Confidentiality<\/strong><br \/>\nWenn Vertraulichkeit von besonderer Relevanz f\u00fcr unsere L\u00f6sung ist:<\/p>\n<ul type=\"disc\">\n<li>Welche Personengruppen und Systeme sind beteiligt bzw. haben Zugriff?<\/li>\n<li>Deckt die Zugriffskontrolle all diese ab?<\/li>\n<li>Werden Verschl\u00fcsselungstechniken eingesetzt? Bei der Speicherung? Bei der \u00dcbertragung?<\/li>\n<\/ul>\n<p><img decoding=\"async\" src=\"https:\/\/lh3.googleusercontent.com\/0h04fDGI81cr29dKbiFm74cnUnPcnr5e6v2JkZ5rKtw=w338-h181-p-no\" alt=\"\" width=\"180\" \/><br \/>\n&nbsp;<br \/>\n&nbsp;<br \/>\n&nbsp;<br \/>\n&nbsp;<br \/>\n&nbsp;<\/p>\n<p>(4)<strong> Integrit\u00e4t \/ Integrity<\/strong><br \/>\nWenn Integrit\u00e4t von besonderer Relevanz f\u00fcr unsere L\u00f6sung ist:<\/p>\n<ul type=\"disc\">\n<li>Wie kann ein Integrationsverlust bemerkt werden?<\/li>\n<li>Gibt es Optionen zur Wiederherstellung?<\/li>\n<li>Werden unterst\u00fctzende Features wie Plausibilisierungen, Verschl\u00fcsselung, Backups, etc. genutzt?<\/li>\n<\/ul>\n<p><img decoding=\"async\" src=\"https:\/\/lh5.googleusercontent.com\/Gxrf-6_4-5WCMlbuYw8k2I6-zMYb3s92omnp_J--13I=w336-h181-p-no\" alt=\"\" width=\"180\" \/><br \/>\n&nbsp;<br \/>\n&nbsp;<br \/>\n&nbsp;<br \/>\n&nbsp;<br \/>\n&nbsp;<\/p>\n<p>(5) <strong>Verf\u00fcgbarkeit\u00a0\/\u00a0Availability<\/strong><br \/>\nWenn die Verf\u00fcgbarkeit von besonderer Relevanz f\u00fcr unsere L\u00f6sung ist:<\/p>\n<ul type=\"disc\">\n<li>Ist unsere L\u00f6sung in einem IT Disaster Recovery und\/oder in einem Business Continuity Management zu ber\u00fccksichtigen?<\/li>\n<li>Decken Disaster Recovery und Business Continuity Pl\u00e4ne alle beteiligten Systeme und Parteien ab?<\/li>\n<\/ul>\n<p><img decoding=\"async\" src=\"https:\/\/lh4.googleusercontent.com\/Gf8JPLDZF71ODBvE-NvtYKUkqzjugoyM6VRSRGkawY4=w406-h216-p-no\" alt=\"\" width=\"180\" \/><\/p>\n<div class=\"twoclick_social_bookmarks_post_2873 social_share_privacy clearfix 1.6.4 locale-de_DE sprite-de_DE\"><\/div><div class=\"twoclick-js\"><script type=\"text\/javascript\">\/* <![CDATA[ *\/\njQuery(document).ready(function($){if($('.twoclick_social_bookmarks_post_2873')){$('.twoclick_social_bookmarks_post_2873').socialSharePrivacy({\"services\":{\"facebook\":{\"status\":\"on\",\"txt_info\":\"\",\"perma_option\":\"off\",\"action\":\"recommend\",\"language\":\"de_DE\"},\"twitter\":{\"reply_to\":\"schlossblog\",\"tweet_text\":\"%23631%20Informationssicherheit%20%E2%80%93%20Guiding%20Questions%20%C2%BB%20schlossBlog\",\"status\":\"on\",\"txt_info\":\"\",\"perma_option\":\"off\",\"language\":\"de\",\"referrer_track\":\"\"},\"xing\":{\"status\":\"on\",\"txt_info\":\"\",\"perma_option\":\"off\",\"language\":\"de\",\"referrer_track\":\"\"},\"t3n\":{\"status\":\"on\",\"txt_info\":\"2 Klicks f\\u00fcr mehr Datenschutz: Erst wenn Sie hier klicken, wird der Button aktiv und Sie k\\u00f6nnen Ihre Empfehlung an t3n senden. Schon beim Aktivieren werden Daten an Dritte \\u00fcbertragen - siehe <em>i<\\\/em>.\",\"perma_option\":\"off\"},\"linkedin\":{\"status\":\"on\",\"txt_info\":\"2 Klicks f\\u00fcr mehr Datenschutz: Erst wenn Sie hier klicken, wird der Button aktiv und Sie k\\u00f6nnen Ihre Empfehlung an LinkedIn senden. Schon beim Aktivieren werden Daten an Dritte \\u00fcbertragen - siehe <em>i<\\\/em>.\",\"perma_option\":\"off\"}},\"txt_help\":\"\",\"settings_perma\":\"\",\"info_link\":\"\",\"uri\":\"https:\\\/\\\/www.bernhardschloss.de\\\/blog\\\/631-informationssicherheit-guiding-questions\\\/\",\"post_id\":2873,\"post_title_referrer_track\":\"%23631+Informationssicherheit+%26%238211%3B+Guiding+Questions\",\"display_infobox\":\"on\"});}});\n\/* ]]> *\/<\/script><\/div>","protected":false},"excerpt":{"rendered":"<p>Bei dem ganzen Hype, der dem Thema Informationssicherheit in den letzten Jahren widerfahren ist, darf man eines nicht vergessen: Informationssicherheit ist kein Selbstzweck, sie dient lediglich zur Sicherstellung des eigentlichen Gesch\u00e4ftszweckes\/des eigentlichen Auftrags. Demnach gilt: Business first! Beim Thema Informationssicherheit darf es nicht um die Befriedigung aus Normen abgeleiteter Anforderungen gehen, sondern es ist stets [&hellip;]<\/p>\n","protected":false},"author":4,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_crdt_document":"","footnotes":""},"categories":[6,381,10],"tags":[529,497,530],"class_list":["post-2873","post","type-post","status-publish","format-standard","hentry","category-it-management","category-it-security","category-risikomanagement","tag-guiding-questions","tag-informationssicherheit","tag-it-security-canvas"],"_links":{"self":[{"href":"https:\/\/www.bernhardschloss.de\/blog\/wp-json\/wp\/v2\/posts\/2873","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.bernhardschloss.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.bernhardschloss.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.bernhardschloss.de\/blog\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/www.bernhardschloss.de\/blog\/wp-json\/wp\/v2\/comments?post=2873"}],"version-history":[{"count":14,"href":"https:\/\/www.bernhardschloss.de\/blog\/wp-json\/wp\/v2\/posts\/2873\/revisions"}],"predecessor-version":[{"id":2887,"href":"https:\/\/www.bernhardschloss.de\/blog\/wp-json\/wp\/v2\/posts\/2873\/revisions\/2887"}],"wp:attachment":[{"href":"https:\/\/www.bernhardschloss.de\/blog\/wp-json\/wp\/v2\/media?parent=2873"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.bernhardschloss.de\/blog\/wp-json\/wp\/v2\/categories?post=2873"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.bernhardschloss.de\/blog\/wp-json\/wp\/v2\/tags?post=2873"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}