ebook img

Bürokommunikation und Informationssicherheit: Die Gestaltung eines Informationssicherheitssystems als Herausforderung für die Unternehmung in der Bürokommunikation PDF

216 Pages·1986·9.08 MB·German
Save to my drive
Quick download
Download
Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.

Preview Bürokommunikation und Informationssicherheit: Die Gestaltung eines Informationssicherheitssystems als Herausforderung für die Unternehmung in der Bürokommunikation

Gerd Wolfram Bürokommunikation und Informationssicherheit Programm Angewandte Informatik Herausgeber: Paul Schmitz Norbert Szyperski Wulf Werum I Hans Windauer: PEAR L, Processand Experiment Automation Realtime Language Wulf Werum I Hans Windauer: lntroduction to PEARL Processand Experiment Automation Realtime Language Joachim Kanngiesser: Die Abrechnung von ADV-Systemleistungen Eric D. Carlson I Wolfgang Metz I Günter Müller I Ra/ph H. Sprague I Jimmy A. Sutton: Display Generation and Management Systems (DGMS) for lnteractive Business Applications Bernd Rosenstengel I Udo Winand: Petri-Netze, Eine anwendungsorientierte Einführung NorbertSzyperski I Erwin Grochla I Ursula M. Richter I Wilfried P. Weitz (Eds.): Assessing the Impacts of Information Technology Paul Schmitz I Heinz Bons I Rudolf van Megen: Software-Qualitätssicherung- Testen im Software-Lebenszyklus Christina Tiedemann: Kostenrechnung für Rechenzentren Norbert Szyperski I Margot Eui-Bischoff: Interpretative Strukturmode II ieru ng Günther Becher: Datenverarbeitung im Luftverkehr Gerd Wolfram: Bürokommunikation und Informationssicherheit Gerd Wolfram Bürokommunikation und Informationssicherheit Die Gestaltung eines Informationssicherheitssystems als Herausforderung für die Untemehmung in der Bürokommunikation Springer Fachmedien Wiesbaden GmbH 1986 Alle Rechte vorbehalten © Springer Fachmedien Wiesbaden 1986 Ursprunglich erschienen bei Friedr. Vieweg & Verlagsgeselischaft mbH, Braunschweig 1986 Das Werk einschlieBlich aller seiner Teile ist urheberrechtlich geschiitzt. Jede Verwertung auBerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohn. Zustimmung des Verlags unzulăssig und strafbar. Das gilt insbesondere fi.ir Vervielfăltigungen, Obersetzungen, Mikroverfilmungen und die Einspeicheru und Verarbeitung in elektronischen Systemen. ISBN 978-3-528-03604-1 ISBN 978-3-322-89420-5 (eBook) DOI 10.1007/978-3-322-89420-5 V Vorwort der Herausgeber Die Problematik des Schutzes von Informationssystemen ist so alt wie die automatisierte Datenverarbeitung. Die rapide Verbreitung der Informationsverarbeitung und die zu nehmende Verknüpfung von Aufgaben bringt neuartige Gefährdungspotentiale. Die Wirkungen von Störungen des Informationssystems können bis zu einem totalen Zu sammenbruch der betreffenden Unternehmung bzw. zu ganz erheblichen wirtschaft lichen Verlusten bei Einbrüchen in das Sicherungssystem führen, wenn nicht in kürzester Zeit das Informationssystem wieder in Gang gesetzt werden kann. Die Wirkung dieser Gefährdungen und die Notwendigkeit, entsprechende Maßnahmen zu erarbeiten, wird in der Praxis zunehmend erkannt. Wegen fehlender umfassender Sicht weisen im Sinne integrierter Sicherheitssysteme sind die getroffenen Maßnahmen häufig völlig unzureichend. In der vorliegenden Arbeit wird eine umfassende Darstellung eines Sicherheitssystems gegeben. Den Ausgangspunkt bildet eine Analyse der Risiken bei integrierten Bürokom munikationssystemen. Im Anschluß daran folgt die Zielformulierung als Maßstab des Sicherheitssystems. Weiter werden die Rahmenbedingungen für die Gestaltung von Sicherheitssystemen, nämlich die organisatorisch-technischen Bedingungen, die Eigen schaften des zu schützenden lnformationssystems, die Eigenschaften der personellen Aktionsträger und die Umweltbedingungen erarbeitet. Es folgt dann die Darstellung von Maßnahmenkategorien und Komponenten eines Sicherheitssystems mit praktischen Hin weisen zur Auswahl geeigneter Maßnahmen. Die Arbeit schließt mit Hinweisen zur organisatorischen Gestaltung eines Sicherheitssystems. Das Buch zeigt zum Themenbereich grundlegende Aspekte auf und leistet eine Hilfe stellung für die Entwicklung individueller Sicherheitssysteme. Zielgruppen sind Leiter der DV-Abteilungen und Organisation, Revisoren, die sowohl in privaten als auch in öffentlichen Unternehmungen bei der Planung und Einführung von neuen Technologien im Büro mitwirken. Paul Schmitz, Norbert Szyperski VI Vorwort des Verfassers Die Gestaltung und Implementierung _integrierter Bürosystane im Büro und Verwaltungsbereich industrieller und öffentlicher Unternehmungen bringt neben technischen und sozialen Problemen in entscheidendem Maße auch organisatorische Probleme mit sich. Insbesondere ergeben sich durch den Einsatz neuer Technologien vermehrte und neuartige, bisher nicht beachtete aber auch nicht bekannte Gefahren und Risiken für den Schutz und die Sicherheit von Informationen jeder Art in den Unterneh mungen. Dieser Problemstellung wurde bisher in Literatur und Praxis nur wenig Beachtung geschenkt. Es fehlen sowohl empirische Grundlagen als auch Handlungsvorschläge bzw. -anweisungen für den Praktiker. Daß mit den neuen Verfahren und Systemen der Bürokanmunikation ein qualitativer Sprung in der Schutz- und Sicherungsproblematik vollzogen wird, ist ei ne Erkenntnis, die sich roch auf einen engen Expertenkreis beschränkt. Die vorliegende Arbeit versucht daher einen Beitrag zur pragmatischen Behandlung dieses Bereiches Informationssicherheit zu liefern. Sie möchte auf der einen Seite Hilfestellungen für den Anwender neuer Tech nologien im Bürobereich liefern, die Sicherheit von Informationen si cherzustellen, und auf der anderen Seite den Herstellern neuer Geräte und Systene der Bürokommunikation Hinweise liefern, welche Sicherungs anforderungen an ihre Produkte gestellt werden. Das Gesamtziel besteht im Aufzeigen und Erarbeiten potentieller Risikofelder für den Schutz und die Sicherung von Informationen bei integrierten Bürokanmunikati onssystemen und die Entwicklung von Maßnahmen bzw. eines integrierten Informationssicherheitssystens - bestehend aus systemtechnischen, orga nisatorischen, personellen und versicherungstechnischen Maßnahmen -, das diese Risiken beseitigt bzw. vermindert. Bei der Gestaltung eines derartigen Informationssicherheitssystems sind seine Komponenten in Form von Zielen, unternehmungsspezifischen Bedingungen und Risiken zu beachten. Durch ein solches umfassendes Sicherheitssystem kann ein Bei trag zur Beherrschung der Informationstechnologie in der Unternehmung geleistet werden. Vorwort des Verfassers VII Zur weiteren Einarbeitung in diese Thematik wird auf die angegebene Li teratur verwiesen. Für Anregungen zu Inhalt und Aufbau der Arbeit bin ich dankbar. Das vorliegende Buch entstand auf der Grundlage neiner Diplomarbeit, die ich bei Herrn Prof. Dr. Dr. h.c. mult. Erwin Grochla am Lehrstuhl für Betriebswirtschaftliche Organisationslehre an der Universität zu Köln im November 1983 angefertigt habe. Die Diplomarbeit wurde in enger Anlehnung an ein wissenschaftliches Projekt geschrieben, das das BIFOA (Betriebswirtschaftliches Institut für Organisation und Automation an der Universität zu Köln) durchführte. In diesem Zusanunenhang nöchte ich Herrn Jörg Breithardt und Herrn Dr. Heiko Lippold für die gute Betreu ung, Unterstützung und Diskussionsbereitschaft danken, die sie für nei ne Arbeit aufgebracht haben. Ferner bin ich Frau Patricia Schmidt für das Anfertigen von Zeichnungen und Korrekturen dankbar, die sie im Zuge der Überarbeitung gemacht hat. Mein Dank gilt auch neiner Frau, die durch ihr Verständnis, ihre Motivation und ihren Optimismus einen er heblichen Anteil am Gelingen der Arbeit hatte. Nicht zuletzt danke ich den Herausgebern des Buches für die Möglichkeit einer Veröffentlichung in der Reihe der 'Angewandten Informatik'. Köln, im Mai 1985 Gerd Wolfram VIII Inhaltsverzeichnis Seite Abkürzungsverzeichnis ............................................. XI Anmerkung zur Zitier:weise ••••••••••••••••••••••••••••••••••••••••• XIII A. Einführung ................................................... 1 I. Problernstellung ............................................ 2 II. Ziel der Arbeit und Vorgehensweise ••••••••••••••••••••••••• 3 III. Inhalt und Abgrenzung der Begriffe ••••••••••••••••••••••••• 7 a) Informationsverarbeitung Lm Büro •••••••••••••••••••••••• 7 b) Integrierte Bürokommunikationssysteme •••••••••••••••••• lO c) Informationsschutz, Informations- sicherung, Informationssicherheit •••••••••••••••••••••• l4 d) Informationssicherheitssystem •••••••••••••••••••••••••• l8 B. Analyse der Risiken bei integrierten Büro- kommunikat ionssys temen .................................... 20 I. Stellung der Risikoanalyse innerhalb des Risikomanagements ••••••••••••••••••••••••••••••••••••••••• 21 II. Ansätze und Methoden der Risikoanalyse •••••••••••••••••••• 23 III. Analyse der Schwachstellen ................................ 26 a) Konzeptionelle und organisatorische Schwachstellen ......................................... 27 b) Personelle Schwachstellen •••••••••••••••••••••••••••••• 30 c) Technische Schwachstellen •••••••••••••••••••••••••••.•• 31 1) Benutzernahe Ebene •••••••••••••••••••••••••••••••••• 33 2) Netzwerkebene ••••••••••••••••••••••••••••••••••••••• 35 3) Hintergrundebene ••.•.•••••••••••••••••••.•••..•••.•• 48 IV. Analyse der Gefahren •••••••••••••••••••••••••••••••••••••• 51 a) Zufällige Gefahren ••••••••••••••••••••••••••••••••••••• 52 b) Bewußt herbeigeführte Gefahren ••••••••••••••••••••••••• 54 V. Risikobewertung •••••.••••••••••••••••••••••••••••••••••••• 56 a) Auswirkungen der Risikoereignisse •••••••••••••••••••••• 56 b) Eintrittswahrscheinlichkeiten der Risikoereignisse ••••••••••••••••••••••••••••••••••••••• 58 c) Schadensausmaß von Risikoereignissen ••••••••••••••••••• 59 Inhaltsverzeichnis IX c. Ziele als Maßstab des Sicherbeitssystems •••••••••••••• 60 I • Sa.cllz iele ••••••••••••••••••••••••••••••••••••••••••••••••• 6 2 a) Gewährleistung von Infor:mations- s icllertle i t •••••••••••••••••••.••••••.•..•••.•••..•..•.. 6 3 b) Wahrung der Schutzrechte und In- teressen der Betroffenen ••••••••••••••••••••••••••••••• 64 c) Gewährleistung einer störungsfreien Informationsverarbeitung ••••••••••••••••••••••••••••••• 67 d) Erkennung und Verhiooerung von Ri- s ikoereignissen •••••••••••••••••••••••••••••••••••••••• 70 II. F'ot111a.lziele ••••••••••••••••••••••••••••••••••••••••••••••• 71 a) Ordnungsmäßigkeit und Rectrt:rnäßigk.eit ••••••••••••••••••••••••••••••••••••••••• 71 b) Wirtschaftlichkeit ••••••••••••••••••••••••••••••••••••• 75 c) Arlgertle!'sseMeit ••••••••••••••••••••••••••••••••••••••••• 77 d) Benutzerfreundlichkeit• •••••••••••••••••••••••••••••••• 78 III. Zielsystelne ••••••••••••••••••••••••••••••••••••••••••••••• 80 D. Rahmenbedingungen für die Gestaltung eines Sicherbei tssystems ••••••••••••••••••••••••••••••••••••.•••• 82 I. ~anisatorisch-technische Bedingungen •••••••••••••••••••• 83 a) Eigenschaften des zu schützenden Infonnatiol1Ssy-stens •••••••••••••••••••••••••••••••••••• 83 b) Risiken und ihre Wirkmgen ••••••••••••••••••••••••••••• 87 c) Stand der Sicherungsmethoden ••••••••••••••••••••••••••• 87 d) Finanzielle Restriktionen •••••••••••••••••••••••••••••• 90 II. Eigenschaften der personellen Ak.tiol1Sträger ••••••••••••••••••••••••••••••••••••••••••••• 91 a) Sicherheitsbewußtsein •••••••••••••••••••••••••••••••••• 92 b) Qualifikation der Mitarbeiter •••••••••••••••••••••••••• 93 c) Benutzerakzeptanz •••••••••••••••••••••••••••••••••••••• 96 III. lJr'[Meltl:::>edi.I'li3'UI"'lg'en ••••••••••••••••••••••••••••••••••••••••• 98 a) Normen des Datenschutzes und der DateilSidlerul'lg ••••••••••••••••••••••••••••••••••••••••• 99 b) Normen der Rechnungslegung •••••••••••••••••••••••••••• l03 c) SoilStige Nonnen ••••••••••••••••••••••••••••••••••••••• 106

See more

The list of books you might like

Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.