Klaus-Rainer Müller Handbuch Unternehmenssicherheit Klaus-Rainer Müller Handbuch Unternehmens- sicherheit Umfassendes Sicherheits-, Kontinuitäts- und Risikomanagement mit System 2., neu bearbeitete Auflage Mit 35Abbildungen PRAXIS Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über <http://dnb.d-nb.de> abrufbar. Das vorliegende Buch wurde aus fachlicher, nicht aus juristischer Sicht geschrieben und nach bestem Wissen und Gewissen sowie mit größter Sorgfalt erstellt und qualitätsgesichert. Weder Autor noch Ver- lag können jedoch die Verantwortung oder Haftung für Schäden übernehmen, die im Zusammenhang mit der Verwendung des vorliegenden Werkes und seiner Inhalte entstehen. Das Buch kann eine B eratung nicht ersetzen. Bei zitierten oder ins Deutsche übersetzten Textpassagen, die aus Originaldokumenten stammen, g elten in Zweifelsfällen die Originaldokumente. Die in diesem Buch angegebenen Quellen und Webseiten wurden zum Zeitpunkt ihrer Einsichtnahme nach bestem Wissen und Gewissen sowie mit größter Sorgfalt ausgewählt. Eine Haftung, Garantie oder Verantwortung für die in diesem Buch angegebenen Webseiten und Quellen sowie deren Inhalte kann in keinerlei Hinsicht übernommen werden. Für Webseiten, welche aufgrund einer solchen Angabe aufgerufen werden, wird keine Verantwortung übernommen. Dementsprechend distanziert sich der Autor ausdrücklich von ihnen. Der Umfang dieses Buches ist – im Gegensatz zur behandelten Thematik – begrenzt. Demzufolge e rhebt das Werk keinen Anspruch auf Vollständigkeit. Rechte Dritter wurden – soweit bekannt – nicht verletzt. Für in diesem Werk genannte Markennamen, Warenbezeichnungen, Gebrauchsnamen, Handelsnamen etc. gelten, auch wenn sie falsch oder nicht als solche gekennzeichnet sind, die entsprechenden Schutzbestimmungen und -rechte in ihrer jeweils aktuellen Fassung. Höchste inhaltliche und technische Qualität unserer Produkte ist unser Ziel. Bei der Produktion und Auslieferung unserer Bücher wollen wir die Umwelt schonen. Dieses Buch ist auf säuref reiem und chlorfrei gebleichtem Papier gedruckt. Die Einschweißfolie besteht aus Polyäthylen und damit aus organischen Grundstoffen, die weder bei der Herstellung noch bei der Verb rennung Schadstoffe freisetzen. 1. Auflage 2005 2., neu bearbeitete Auflage 2010 Alle Rechte vorbehalten © Vieweg+Teubner Verlag|Springer Fachmedien Wiesbaden GmbH 2010 Lektorat: Christel Roß|Maren Mithöfer Vieweg+Teubner Verlag ist eine Marke von Springer Fachmedien. Springer Fachmedien ist Teil der Fachverlagsgruppe Springer Science+Business Media. www.viewegteubner.de Das Werk einschließlich aller seiner Teile ist urheberrechtlich ge schützt. Jede Verwertung außerhalb der engen Grenzen des Ur heber rechts ge set zes ist ohne Zustimmung des Verlags unzuläss ig und strafb ar. Das gilt insb es ondere für Vervielfältigungen, Über setzun gen, Mikro verfil mungen und die Ein speiche rung und Ver ar beitung in elek tro nischen Syste men. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. Umschlaggestaltung: KünkelLopka Medienentwicklung, Heidelberg Druck und buchbinderische Verarbeitung: MercedesDruck, Berlin Gedruckt auf säurefreiem und chlorfrei gebleichtem Papier. Printed in Germany ISBN 978-3-8348-1224-7 Vorwort Welches Ziel verfolgt dieses Buch? Effiziente(cid:2)Existenz(cid:3)(cid:2)und(cid:2)Zukunftssicherung(cid:2)sowie(cid:2)zielgerichtete(cid:2)Risikosteuerung(cid:2) sind(cid:2)entscheidende(cid:2)Managementaufgaben(cid:2)in(cid:2)einem(cid:2)Unternehmen.(cid:2)Ihre(cid:2)Bedeutung(cid:2) wächst(cid:2)rasant(cid:2)aufgrund(cid:2)zunehmender(cid:2)gesetzlicher(cid:2)Vorgaben,(cid:2)wie(cid:2)KonTraG(cid:2)und(cid:2) UMAG.(cid:2)Hinzu(cid:2)kommen(cid:2)branchenspezifische(cid:2)Regularien(cid:2)in(cid:2)Form(cid:2)von(cid:2)Basel(cid:2)II(cid:2)und(cid:2) MaRisk(cid:2)für(cid:2)Banken(cid:2)sowie(cid:2)für(cid:2)Investmentgesellschaften(cid:2)und(cid:2)MaComp(cid:2)für(cid:2)Wertpa(cid:3) pierdienstleistungsunternehmen.(cid:2)Bei(cid:2)Versicherungsunternehmen(cid:2)ergeben(cid:2)sich(cid:2)An(cid:3) forderungen(cid:2)aus(cid:2)Solvency(cid:2)II(cid:2)und(cid:2)MaRisk.(cid:2)In(cid:2)der(cid:2)chemischen(cid:2)bzw.(cid:2)pharmazeuti(cid:3) schen(cid:2)Industrie(cid:2)sind(cid:2)das(cid:2)ChemG(cid:2)bzw.(cid:2)das(cid:2)AMG(cid:2)und(cid:2)die(cid:2)AMWHV(cid:2)sowie(cid:2)die(cid:2) verschiedenen(cid:2)Guten(cid:2)Praktiken(cid:2)zu(cid:2)beachten.(cid:2)Wirtschaftliches,(cid:2)transparentes(cid:2)und(cid:2) durchgängiges(cid:2)Sicherheits(cid:3),(cid:2)Kontinuitäts(cid:3)(cid:2)und(cid:2)Risikomanagement(cid:2)sind(cid:2)gefordert.(cid:2) Trotz(cid:2)dieser(cid:2)hohen(cid:2)Bedeutung(cid:2)und(cid:2)der(cid:2)Haftungsrisiken(cid:2)weist(cid:2)die(cid:2)Sicherheits(cid:3)(cid:2)bzw.(cid:2) Risikosituation(cid:2)in(cid:2)Unternehmen(cid:2)Defizite(cid:2)auf,(cid:2)z.(cid:2)B.(cid:2)bei(cid:2)Zielen,(cid:2)Strategie,(cid:2)Struktur,(cid:2) Transparenz,(cid:2) Umsetzung(cid:2) und(cid:2) Effizienz.(cid:2) Hinzu(cid:2) kommt(cid:2) eine(cid:2) Fokussierung(cid:2) des(cid:2)(cid:2) Sicherheits(cid:3),(cid:2)Kontinuitäts(cid:3)(cid:2)und(cid:2)Risikomanagements(cid:2)auf(cid:2)den(cid:2)Arbeitsschutz(cid:2)und(cid:2)den(cid:2) IT(cid:3)Betrieb.(cid:2)Der(cid:2)Schutz(cid:2)der(cid:2)Geschäftsprozesse(cid:2)inklusive(cid:2)der(cid:2)Fertigungs(cid:3)(cid:2)und(cid:2)Pro(cid:3) duktionsprozesse(cid:2)sowie(cid:2)der(cid:2)dazu(cid:2)benötigten(cid:2)Schutzobjekte(cid:2)wie(cid:2)z.(cid:2)B.(cid:2)Gebäude,(cid:2)(cid:2) Infrastruktur,(cid:2)Informations(cid:3)(cid:2)und(cid:2)Kommunikationssysteme(cid:2)sowie(cid:2)Know(cid:3)how(cid:2)wird(cid:2) oft(cid:2)vernachlässigt.(cid:2)Die(cid:2)Abhängigkeiten(cid:2)der(cid:2)Geschäftsprozesse(cid:2)voneinander(cid:2)und(cid:2) von(cid:2) ihrer(cid:2) Umwelt(cid:2) werden(cid:2) häufig(cid:2) unzulänglich(cid:2) beachtet.(cid:2) Die(cid:2) Integration(cid:2) der(cid:2)(cid:2) Sicherheit(cid:2)in(cid:2)den(cid:2)Lebenszyklus(cid:2)von(cid:2)Prozessen,(cid:2)Ressourcen,(cid:2)Organisation,(cid:2)Produk(cid:3) ten(cid:2)und(cid:2)Dienstleistungen(cid:2)erfolgt(cid:2)oftmals(cid:2)nicht(cid:2)oder(cid:2)nur(cid:2)unzureichend.(cid:2) Die(cid:2)dreidimensionale(cid:2)SicherheitspyramideDr.(cid:3)Ing.(cid:2)Müller(cid:2)liefert(cid:2)ein(cid:2)durchgängiges,(cid:2)pra(cid:3) xisorientiertes(cid:2)und(cid:2)systematisches(cid:2)Vorgehensmodell(cid:2)für(cid:2)den(cid:2)Aufbau(cid:2)und(cid:2)die(cid:2)Wei(cid:3) terentwicklung(cid:2)des(cid:2)Sicherheits(cid:3),(cid:2)Kontinuitäts(cid:3)(cid:2)und(cid:2)Risikomanagements.(cid:2)Sie(cid:2)be(cid:3) rücksichtigt(cid:2) Prozesse,(cid:2) Ressourcen,(cid:2) Organisation(cid:2) und(cid:2) Lebenszyklen.(cid:2) In(cid:2) ihren(cid:2) mehrdimensionalen(cid:2)Rahmen(cid:2)können(cid:2)Sie(cid:2)die(cid:2)unterschiedlichsten(cid:2)Sicherheits(cid:3)(cid:2)und(cid:2) Risikothematiken(cid:2)„einklinken“,(cid:2)so(cid:2)Defizite(cid:2)reduzieren(cid:2)und(cid:2)die(cid:2)Effizienz(cid:2)steigern.(cid:2) Die(cid:2)1995(cid:2)vorgestellte(cid:2)Sicherheitspyramide(cid:2)[1](cid:2)lässt(cid:2)sich(cid:2)für(cid:2)die(cid:2)gesamte(cid:2)Palette(cid:2) von(cid:2)Sicherheitsthemen(cid:2)eines(cid:2)Unternehmens(cid:2)nutzen.(cid:2)Im(cid:2)Buch(cid:2)„IT(cid:3)Sicherheit(cid:2)mit(cid:2) System“(cid:2)[2](cid:2)wurde(cid:2)sie(cid:2)dreidimensional(cid:2)und(cid:2)im(cid:2)Hinblick(cid:2)auf(cid:2)die(cid:2)Sicherheit(cid:2)der(cid:2)EDV(cid:2) beschrieben.(cid:2)Das(cid:2)vorliegende(cid:2)Buch(cid:2)stellt(cid:2)die(cid:2)Sicherheitspyramide(cid:2)unter(cid:2)dem(cid:2)Fokus(cid:2) der(cid:2)Unternehmens(cid:3)(cid:2)und(cid:2)der(cid:2)Geschäftsprozesssicherheit(cid:2)dar.(cid:2)Ich(cid:2)bezeichne(cid:2)sie(cid:2)hier(cid:2) daher(cid:2)als(cid:2)Unternehmenssicherheitspyramide,(cid:2)kurz(cid:2)USiPyr(cid:2)(USP),(cid:2)bzw.(cid:2)Geschäfts(cid:3) prozesssicherheitspyramide,(cid:2)kurz(cid:2)GeSiPyr(cid:2)(GSP).(cid:2) Das(cid:2)Buch(cid:2)bietet(cid:2)Ihnen(cid:2)durch(cid:2)die(cid:2)Struktur(cid:2)der(cid:2)Sicherheitspyramide(cid:2)das(cid:2)notwendige(cid:2) Handlungswissen,(cid:2)um(cid:2)das(cid:2)Unternehmen,(cid:2)seine(cid:2)Geschäftsprozesse,(cid:2)Ressourcen(cid:2)und(cid:2) Organisation(cid:2)entlang(cid:2)dem(cid:2)Lebenszyklus(cid:2)systematisch,(cid:2)anschaulich,(cid:2)effizient(cid:2)und(cid:2) ganzheitlich(cid:2)sowohl(cid:2)national(cid:2)als(cid:2)auch(cid:2)international(cid:2)auf(cid:2)die(cid:2)geforderte(cid:2)Sicherheit(cid:2) auszurichten.(cid:2)(cid:2) VI(cid:2) Vorwort(cid:2) Wer sollte dieses Buch lesen? Der(cid:2)Titel(cid:2)sagt(cid:2)es(cid:2)bereits(cid:2)–(cid:2)das(cid:2)Buch(cid:2)richtet(cid:2)sich(cid:2)an(cid:2)Leserinnen(cid:2)und(cid:2)Leser,(cid:2)die(cid:2)sich(cid:2) direkt(cid:2)oder(cid:2)indirekt(cid:2)mit(cid:2)der(cid:2)Sicherheit(cid:2)des(cid:2)Unternehmens(cid:2)und(cid:2)dementsprechend(cid:2) mit(cid:2) dem(cid:2) Sicherheitsmanagement,(cid:2) dem(cid:2) Kontinuitäts(cid:3)(cid:2) und/oder(cid:2) dem(cid:2) Risiko(cid:3) management(cid:2)außerhalb(cid:2)und(cid:2)innerhalb(cid:2)der(cid:2)IT(cid:2)befassen:(cid:2) (cid:2) Chief(cid:2)Security(cid:2)Officers,(cid:2)Sicherheitsbeauftragte,(cid:2)Fachkräfte(cid:2)für(cid:2)Arbeitssicherheit(cid:2) und(cid:2)Notfallmanager,(cid:2)die(cid:2)für(cid:2)die(cid:2)Sicherheit(cid:2)des(cid:2)Unternehmens(cid:2)insgesamt(cid:2)oder(cid:2) für(cid:2)Teile,(cid:2)z.(cid:2)B.(cid:2)die(cid:2)Arbeitssicherheit,(cid:2)verantwortlich(cid:2)sind,(cid:2)sollten(cid:2)wissen,(cid:2)wie(cid:2)sie(cid:2) das(cid:2)Sicherheitsmanagement(cid:2)ganzheitlich(cid:2)und(cid:2)strukturiert(cid:2)aufbauen(cid:2)und(cid:2)weiter(cid:3) entwickeln(cid:2)können.(cid:2) (cid:2) Chief(cid:2)Information(cid:2)Officers(cid:2)(CIO)(cid:2)sowie(cid:2)IT(cid:3)Verantwortliche,(cid:2)die(cid:2)für(cid:2)die(cid:2)Infor(cid:3) mations(cid:3)(cid:2)und(cid:2)Kommunikationstechnologie(cid:2)(IKT)(cid:2)sowie(cid:2)für(cid:2)deren(cid:2)Sicherheit(cid:2) verantwortlich(cid:2)sind,(cid:2)ferner(cid:2)Chief(cid:2)Information(cid:2)Security(cid:2)Officers(cid:2)(CISO)(cid:2)und(cid:2)IT(cid:3) Sicherheitsbeauftragte,(cid:2)die(cid:2)für(cid:2)die(cid:2)Sicherheit(cid:2)der(cid:2)IKT(cid:2)im(cid:2)Unternehmen(cid:2)sowie(cid:2) für(cid:2)deren(cid:2)zielgerichteten(cid:2)strategischen(cid:2)Aufbau(cid:2)verantwortlich(cid:2)sind,(cid:2)sollten(cid:2)wis(cid:3) sen,(cid:2)wie(cid:2)das(cid:2)IKT(cid:3)Sicherheitsmanagement(cid:2)in(cid:2)das(cid:2)Sicherheitsmanagement(cid:2)des(cid:2) Unternehmens(cid:2)integriert(cid:2)sein(cid:2)sollte,(cid:2)welche(cid:2)Zusammenhänge(cid:2)bestehen(cid:2)und(cid:2)wie(cid:2) es(cid:2)sich(cid:2)ganzheitlich,(cid:2)systematisch,(cid:2)strategisch(cid:2)und(cid:2)praxisorientiert(cid:2)aufbauen(cid:2) und(cid:2)steuern(cid:2)lässt(cid:2)(s.(cid:2)a.(cid:2)„IT(cid:3)Sicherheit(cid:2)mit(cid:2)System“(cid:2)[2]).(cid:2) (cid:2) Sicherheitsauditoren,(cid:2)die(cid:2)die(cid:2)Sicherheit(cid:2)im(cid:2)Unternehmen(cid:2)prüfen(cid:2)und(cid:2)Hand(cid:3) lungsempfehlungen(cid:2)geben,(cid:2)sollten(cid:2)wissen,(cid:2)wie(cid:2)diese(cid:2)Prüfungen(cid:2)in(cid:2)das(cid:2)Sicher(cid:3) heitsmanagement(cid:2)eingebettet(cid:2)sind,(cid:2)wie(cid:2)sie(cid:2)durchgeführt(cid:2)werden(cid:2)können(cid:2)und(cid:2) wie(cid:2)die(cid:2)Zielkonstellation(cid:2)eines(cid:2)Sicherheitsmanagements(cid:2)aussehen(cid:2)sollte.(cid:2) (cid:2) Chief(cid:2)Risk(cid:2)Officer(cid:2)(CRO)(cid:2)und(cid:2)Risikomanager,(cid:2)die(cid:2)für(cid:2)das(cid:2)Risikomanagement(cid:2) im(cid:2)Unternehmen(cid:2)verantwortlich(cid:2)sind,(cid:2)sollten(cid:2)wissen,(cid:2)wie(cid:2)sich(cid:2)dieses(cid:2)anhand(cid:2) der(cid:2)Sicherheits(cid:3)(cid:2)bzw.(cid:2)der(cid:2)Risiko(management)pyramide(cid:2)strukturieren(cid:2)lässt(cid:2)und(cid:2) welche(cid:2)Verbindungsstellen(cid:2)es(cid:2)vom(cid:2)Risiko(cid:3)(cid:2)zum(cid:2)Sicherheitsmanagement(cid:2)gibt.(cid:2) (cid:2) Chief(cid:2)Compliance(cid:2)Officers(cid:2)(CCO)(cid:2)sollten(cid:2)die(cid:2)gesetzlichen(cid:2)und(cid:2)aufsichtsbehörd(cid:3) lichen(cid:2) Anforderungen(cid:2) kennen,(cid:2) deren(cid:2) Einhaltung(cid:2) einfordern,(cid:2) verfolgen(cid:2) und(cid:2) steuern(cid:2)sowie(cid:2)die(cid:2)Anforderungen(cid:2)an(cid:2)das(cid:2)Sicherheits(cid:3),(cid:2)Kontinuitäts(cid:3)(cid:2)und(cid:2)Risiko(cid:3) management(cid:2)kennen.(cid:2) (cid:2) Leiter(cid:2)Organisation(cid:2)oder(cid:2)Verwaltung(cid:2)sowie(cid:2)Bereichsleiter,(cid:2)die(cid:2)für(cid:2)Geschäfts(cid:3) prozesse(cid:2)bzw.(cid:2)Organisationseinheiten(cid:2)verantwortlich(cid:2)sind,(cid:2)sollten(cid:2)wissen,(cid:2)wie(cid:2) sie(cid:2)ihre(cid:2)Sicherheitsanforderungen(cid:2)erheben(cid:2)und(cid:2)auf(cid:2)die(cid:2)Schutzobjekte(cid:2)abbilden(cid:2) sowie(cid:2)ihren(cid:2)Verantwortungsbereich(cid:2)absichern(cid:2)können.(cid:2) (cid:2) Vorstände(cid:2)und(cid:2)Geschäftsführer,(cid:2)die(cid:2)für(cid:2)die(cid:2)Sicherheit,(cid:2)die(cid:2)Geschäftskontinuität(cid:2) und(cid:2)das(cid:2)Risikomanagement(cid:2)im(cid:2)Unternehmen(cid:2)verantwortlich(cid:2)sind,(cid:2)sollten(cid:2)die(cid:2) Entwicklung(cid:2)der(cid:2)Bedrohungslage,(cid:2)die(cid:2)gesetzlichen(cid:2)Rahmenbedingungen(cid:2)und(cid:2) ihre(cid:2)persönlichen(cid:2)Haftungsrisiken(cid:2)kennen(cid:2)und(cid:2)wissen,(cid:2)wie(cid:2)das(cid:2)Sicherheits(cid:3) management(cid:2) durch(cid:2) Sicherheitspolitik,(cid:2) Sicherheitspyramide(cid:2) und(cid:2) Sicherheits(cid:3) regelkreis(cid:2)zielgerichtet(cid:2)und(cid:2)effizienzorientiert(cid:2)gesteuert(cid:2)werden(cid:2)kann.(cid:2)Auch(cid:2) Aufsichtsräte(cid:2)sollten(cid:2)ihr(cid:2)Haftungsrisiken(cid:2)kennen.(cid:2) (cid:2) Vorwort(cid:2) VII(cid:2) Wie können Sie dieses Buch nutzen? Sie(cid:2)können(cid:2)das(cid:2)Buch(cid:2)komplett(cid:2)oder(cid:2)auch(cid:2)nur(cid:2)einzelne(cid:2)Kapitel(cid:2)lesen.(cid:2)Wer(cid:2)es(cid:2)insge(cid:3) samt(cid:2)liest,(cid:2)kann(cid:2)sich(cid:2)einen(cid:2)Überblick(cid:2)über(cid:2)Trends(cid:2)bei(cid:2)Bedrohungen(cid:2)und(cid:2)Schutz(cid:3) bedarf(cid:2)sowie(cid:2)häufige(cid:2)Schwachstellen(cid:2)verschaffen.(cid:2)Gleichzeitig(cid:2)findet(cid:2)er(cid:2)(cid:2)eine(cid:2)sys(cid:3) tematische,(cid:2)durchgängige(cid:2)und(cid:2)ganzheitliche(cid:2)Vorgehensweise(cid:2)zum(cid:2)Aufbau(cid:2)eines(cid:2) geschäftszentrierten(cid:2)Sicherheits(cid:3),(cid:2)Kontinuitäts(cid:3)(cid:2)und(cid:2)Risikomanagements(cid:2)anhand(cid:2) der(cid:2)dreidimensionalen(cid:2)Sicherheitspyramide,(cid:2)ferner(cid:2)weitere(cid:2)von(cid:2)mir(cid:2)entwickelte(cid:2) Begrifflichkeiten(cid:2)und(cid:2)Methoden(cid:2)sowie(cid:2)Beispiele(cid:2)und(cid:2)Checklisten.(cid:2)Das(cid:2)Buch(cid:2)geht(cid:2) umfangreich(cid:2)auf(cid:2)externe(cid:2)Anforderungen(cid:2)ein,(cid:2)die(cid:2)sich(cid:2)aus(cid:2)Gesetzen(cid:2)und(cid:2)aufsichts(cid:3) behördlichen(cid:2)Vorgaben(cid:2)ergeben(cid:2)und(cid:2)sich(cid:2)von(cid:2)Haftung(cid:2)über(cid:2)Buchführung(cid:2)bis(cid:2)hin(cid:2) zum(cid:2)Daten(cid:3)(cid:2)und(cid:2)Arbeitsschutz(cid:2)erstrecken.(cid:2)Alternativ(cid:2)können(cid:2)sich(cid:2)die(cid:2)Leserin(cid:2)oder(cid:2) der(cid:2)Leser(cid:2)ihrem(cid:2)Wissensbedarf(cid:2)entsprechend(cid:2)einzelnen(cid:2)Kapiteln(cid:2)zuwenden,(cid:2)bei(cid:3) spielsweise(cid:2)dem(cid:2)Thema(cid:2)Sicherheits(cid:3),(cid:2)Kontinuitäts(cid:3)(cid:2)und(cid:2)Risikopolitik,(cid:2)sicherheits(cid:3) bezogene(cid:2) Anforderungen(cid:2) und(cid:2) Business(cid:2) Impact(cid:2) Analysis,(cid:2) Sicherheitsmerkmale,(cid:2)(cid:2) Sicherheitsarchitektur,(cid:2)Sicherheitsprinzipien,(cid:2)Richtlinien,(cid:2)Konzepte(cid:2)und(cid:2)Lebens(cid:3) zyklus.(cid:2)Auch(cid:2)der(cid:2)Sicherheitsmanagementprozess(cid:2)sowie(cid:2)der(cid:2)Sicherheitsregelkreis(cid:2) und(cid:2)Reifegradmodelle(cid:2)sind(cid:2)dargestellt.(cid:2)Darüber(cid:2)hinaus(cid:2)behandelt(cid:2)das(cid:2)Buch(cid:2)spezi(cid:3) fische(cid:2)Themen(cid:2)wie(cid:2)z.(cid:2)B.(cid:2)Brand(cid:3),(cid:2)Zutritts(cid:3),(cid:2)Post(cid:3)(cid:2)und(cid:2)Wareneingangsschutz,(cid:2)Ver(cid:3) schlüsselung(cid:2)und(cid:2)Datensicherung.(cid:2) Sie(cid:2)können(cid:2)das(cid:2)Buch(cid:2)außerdem(cid:2)als(cid:2)Nachschlagewerk(cid:2)verwenden,(cid:2)indem(cid:2)Sie(cid:2)die(cid:2)be(cid:3) reitgestellten(cid:2)Checklisten,(cid:2)das(cid:2)Verzeichnis(cid:2)über(cid:2)Gesetze,(cid:2)Vorschriften,(cid:2)Standards(cid:2) und(cid:2) Normen,(cid:2) das(cid:2) Glossar(cid:2) und(cid:2) Abkürzungsverzeichnis(cid:2) sowie(cid:2) das(cid:2) Sachwort(cid:3) verzeichnis(cid:2)nutzen.(cid:2)(cid:2) Kapitel(cid:2)2(cid:2)bietet(cid:2)Eiligen(cid:2)einen(cid:2)ersten(cid:2)schnellen(cid:2)Überblick.(cid:2)Die(cid:2)Einleitungen(cid:2)der(cid:2)Ka(cid:3) pitel(cid:2)geben(cid:2)Ihnen(cid:2)einen(cid:2)Einblick(cid:2)in(cid:2)die(cid:2)jeweils(cid:2)behandelten(cid:2)Themen.(cid:2)Die(cid:2)Zusam(cid:3) menfassungen(cid:2)am(cid:2)Kapitelende(cid:2)sind(cid:2)für(cid:2)den(cid:2)„Schnelldurchlauf”(cid:2)gedacht(cid:2)und(cid:2)ver(cid:3) schaffen(cid:2)schnell(cid:2)gezielten(cid:2)Nutzen.(cid:2)(cid:2) Außerdem(cid:2)können(cid:2)Sie(cid:2)sich(cid:2)anhand(cid:2)der(cid:2)illustrierenden(cid:2)Abbildungen(cid:2)die(cid:2)Sach(cid:3) verhalte(cid:2)vor(cid:2)Augen(cid:2)führen(cid:2)oder(cid:2)die(cid:2)Checklisten,(cid:2)Gliederungen(cid:2)und(cid:2)Tabellen(cid:2)nut(cid:3) zen,(cid:2)um(cid:2)den(cid:2)Einstieg(cid:2)in(cid:2)die(cid:2)Thematik(cid:2)des(cid:2)Sicherheits(cid:3),(cid:2)Kontinuitäts(cid:3)(cid:2)und(cid:2)Risiko(cid:3) managements(cid:2)zu(cid:2)beschleunigen.(cid:2) (cid:2) Für welche Unternehmensgröße eignet sich der Buchinhalt? Die(cid:2)vorangegangenen(cid:2)Ausführungen(cid:2)deuten(cid:2)bereits(cid:2)an,(cid:2)dass(cid:2)die(cid:2)hier(cid:2)vorgestellte(cid:2) Vorgehensweise(cid:2)einem(cid:2)ganzheitlichen(cid:2)Ansatz(cid:2)folgt.(cid:2)Dies(cid:2)erweckt(cid:2)leicht(cid:2)den(cid:2)Ein(cid:3) druck,(cid:2)dass(cid:2)sie(cid:2)nur(cid:2)für(cid:2)mittlere(cid:2)und(cid:2)große(cid:2)Unternehmen(cid:2)geeignet(cid:2)ist.(cid:2)Ist(cid:2)dies(cid:2)tat(cid:3) sächlich(cid:2)so?(cid:2) Ich(cid:2)denke:(cid:2)nein.(cid:2)Gesetze,(cid:2)Verordnungen,(cid:2)Standards(cid:2)und(cid:2)Normen(cid:2)gelten(cid:2)meist(cid:2)für(cid:2) alle(cid:2)Unternehmensgrößen.(cid:2)Der(cid:2)Unterschied(cid:2)zwischen(cid:2)großen(cid:2)und(cid:2)kleinen(cid:2)Unter(cid:3) nehmen(cid:2)liegt(cid:2)häufig(cid:2)darin,(cid:2)dass(cid:2)sich(cid:2)Umfang,(cid:2)Detaillierungsgrad,(cid:2)Sicherheits(cid:3)(cid:2)und(cid:2) Regelungsbedarf(cid:2)unterscheiden.(cid:2)Während(cid:2)Sie(cid:2)bei(cid:2)größeren(cid:2)Unternehmen(cid:2)unter(cid:3) schiedliche(cid:2)Standorte,(cid:2)mehrere(cid:2)Gebäude,(cid:2)verschiedenartige(cid:2)Produktionsanlagen,(cid:2) differenzierte(cid:2)Verantwortlichkeiten,(cid:2)vielfältige(cid:2)und(cid:2)zum(cid:2)Teil(cid:2)komplexe(cid:2)IT(cid:3)Infra(cid:3) struktur(cid:2)sowie(cid:2)eigene(cid:2)Softwareentwicklung(cid:2)finden,(cid:2)nehmen(cid:2)die(cid:2)Komplexität(cid:2)und(cid:2) die(cid:2)Sicherheitsanforderungen(cid:2)bei(cid:2)kleineren(cid:2)Unternehmen(cid:2)oftmals(cid:2)ab,(cid:2)sind(cid:2)aber(cid:2) VIII(cid:2) Vorwort(cid:2) vorhanden.(cid:2)Jedes(cid:2)Unternehmen(cid:2)sollte(cid:2)sich(cid:2)daher(cid:2)Gedanken(cid:2)über(cid:2)Sicherheitsbedarf,(cid:2) Risikotragfähigkeit(cid:2)und(cid:2)Risikobereitschaft(cid:2)machen.(cid:2) Ein(cid:2)häufig(cid:2)auch(cid:2)für(cid:2)kleine(cid:2)und(cid:2)mittlere(cid:2)Unternehmen(cid:2)(KMUs)(cid:2)erforderlicher(cid:2)zu(cid:3) sätzlicher(cid:2)Regelungs(cid:3)(cid:2)und(cid:2)Schutzbedarf(cid:2)wird(cid:2)so(cid:2)manches(cid:2)Mal(cid:2)übersehen(cid:2)und(cid:2)führt(cid:2) dann(cid:2)zu(cid:2)unliebsamen(cid:2)Folgen.(cid:2)Zwar(cid:2)ist(cid:2)es(cid:2)für(cid:2)viele(cid:2)Unternehmen(cid:2)selbstverständ(cid:3) lich,(cid:2)dass(cid:2)der(cid:2)Zutritt(cid:2)zu(cid:2)den(cid:2)Räumlichkeiten(cid:2)geschützt(cid:2)ist,(cid:2)dass(cid:2)das(cid:2)Verhalten(cid:2)in(cid:2) Notfällen(cid:2)und(cid:2)Räumungspläne(cid:2)dokumentiert(cid:2)sind,(cid:2)dass(cid:2)Feuerlöscher(cid:2)gewartet(cid:2)und(cid:2) Lizenzen(cid:2)eingehalten(cid:2)werden(cid:2)und(cid:2)dass(cid:2)Vereinbarungen(cid:2)zur(cid:2)Geheimhaltung,(cid:2)zum(cid:2) Datenschutz(cid:2)und(cid:2)zum(cid:2)Surfen(cid:2)im(cid:2)Internet(cid:2)existieren.(cid:2)Auch(cid:2)Datensicherungen(cid:2)und(cid:2) Virenscanner(cid:2)gehören(cid:2)quasi(cid:2)zum(cid:2)Standard,(cid:2)ebenso(cid:2)wie(cid:2)Firewalls(cid:2)und(cid:2)Spam(cid:3)Filter.(cid:2)(cid:2) Doch(cid:2)kennen(cid:2)Sie(cid:2)auch(cid:2)Ihre(cid:2)Risiken?(cid:2)Ist(cid:2)Ihnen(cid:2)bekannt,(cid:2)welche(cid:2)Folgen(cid:2)der(cid:2)Ausfall(cid:2) eines(cid:2)Geschäftsprozesses,(cid:2)einer(cid:2)Produktionsanlage,(cid:2)der(cid:2)Räumlichkeiten,(cid:2)der(cid:2)IT,(cid:2)der(cid:2) Telefonanlage(cid:2) oder(cid:2) eines(cid:2) Service(cid:3)Gebers(cid:2) hat(cid:2) und(cid:2) in(cid:2) welcher(cid:2) Kosten(cid:3)Nutzen(cid:3) Relation(cid:2)entsprechende(cid:2)Sicherheitsmaßnahmen(cid:2)stehen?(cid:2)Was(cid:2)dürfen(cid:2)Ihre(cid:2)Mitarbei(cid:3) ter?(cid:2)Kennen(cid:2)die(cid:2)Verantwortlichen(cid:2)gesetzliche(cid:2)Anforderungen(cid:2)und(cid:2)ihre(cid:2)Haftungs(cid:3) risiken?(cid:2)Werden(cid:2)Datensicherungen(cid:2)an(cid:2)einen(cid:2)sicheren(cid:2)Ort(cid:2)ausgelagert(cid:2)und(cid:2)ihre(cid:2) Lesbarkeit(cid:2)geprüft?(cid:2)Werden(cid:2)Virenscanner(cid:2)aktuell(cid:2)gehalten?(cid:2)Betreiben(cid:2)Sie(cid:2)insge(cid:3) samt(cid:2)eine(cid:2)angemessene(cid:2)Unternehmenssicherung?(cid:2) Zugegebenermaßen:(cid:2)Fragen(cid:2)über(cid:2)Fragen(cid:2)und(cid:2)noch(cid:2)längst(cid:2)nicht(cid:2)alle.(cid:2)Doch(cid:2)ihre(cid:2)(cid:2) Beantwortung(cid:2)liefert(cid:2)einen(cid:2)Beitrag(cid:2)zur(cid:2)Risikolage(cid:2)und(cid:2)durch(cid:2)entsprechende(cid:2)oft(cid:3) mals(cid:2)einfache(cid:2)Umsetzung(cid:2)in(cid:2)der(cid:2)Folge(cid:2)zur(cid:2)Unternehmens(cid:3)(cid:2)und(cid:2)Existenzsicherung.(cid:2) Geringere(cid:2)Komplexität(cid:2)und(cid:2)Anforderungsfülle(cid:2)bei(cid:2)kleinen(cid:2)Unternehmen(cid:2)führen(cid:2)so(cid:2) zu(cid:2)einem(cid:2)schlankeren(cid:2)Sicherheitsmanagement,(cid:2)das(cid:2)aber(cid:2)trotzdem(cid:2)ganzheitlich,(cid:2) systematisch(cid:2)und(cid:2)unternehmensbezogen(cid:2)vollständig(cid:2)sein(cid:2)sollte.(cid:2) Wie ist dieses Buch aufgebaut? Kapitel(cid:2)1(cid:2)geht(cid:2)auf(cid:2)die(cid:2)Ausgangssituation(cid:2)und(cid:2)Entwicklungstrends(cid:2)bei(cid:2)Bedrohun(cid:3) gen(cid:2)und(cid:2)Schutzbedarf(cid:2)sowie(cid:2)die(cid:2)Sicherheitssituation(cid:2)in(cid:2)Unternehmen(cid:2)ein.(cid:2)Ferner(cid:2) erläutert(cid:2)es(cid:2)die(cid:2)Notwendigkeit(cid:2)für(cid:2)ein(cid:2)systematisches(cid:2)und(cid:2)strategisches(cid:2)Sicher(cid:3) heits(cid:3),(cid:2)Kontinuitäts(cid:3)(cid:2)und(cid:2)Risikomanagement.(cid:2) Für(cid:2)Eilige(cid:2)gibt(cid:2)Kapitel(cid:2)2(cid:2)einen(cid:2)kurzgefassten(cid:2)Überblick(cid:2)über(cid:2)die(cid:2)Inhalte(cid:2)der(cid:2)Sicher(cid:3) heitspyramide.(cid:2) Kapitel(cid:2)3(cid:2)nennt(cid:2)Ihnen(cid:2)kurz(cid:2)und(cid:2)prägnant(cid:2)10(cid:2)Schritte(cid:2)zum(cid:2)Sicherheitsmanagement.(cid:2) Kapitel(cid:2)4(cid:2)stellt(cid:2)Begriffe(cid:2)und(cid:2)Definitionen(cid:2)aus(cid:2)dem(cid:2)Sicherheits(cid:3),(cid:2)Kontinuitäts(cid:3)(cid:2)und(cid:2) Risikomanagement(cid:2)vor,(cid:2)die(cid:2)in(cid:2)diesem(cid:2)Buch(cid:2)verwendet(cid:2)werden.(cid:2)Es(cid:2)behandelt(cid:2)u.(cid:2)a.(cid:2) ingenieurmäßige(cid:2) Sicherheit,(cid:2) Ressourcen,(cid:2) Schutzobjekte(cid:2) und(cid:2) (cid:3)subjekte(cid:2) sowie(cid:2)(cid:2) Sicherheitskriterien,(cid:2) Business(cid:2) Impact(cid:2) Analysis,(cid:2) Geschäftskontinuität(cid:2) (Business(cid:2) Continuity),(cid:2)Sicherheits(cid:3)(cid:2)und(cid:2)Risikodreiklang(cid:2)sowie(cid:2)Risikomanagement.(cid:2) Kapitel(cid:2)5(cid:2)gibt(cid:2)eine(cid:2)zusammenfassende(cid:2)Beschreibung(cid:2)des(cid:2)Aufbaus(cid:2)und(cid:2)der(cid:2)Inhalte(cid:2) der(cid:2)dreidimensionalen(cid:2)Sicherheitspyramide.(cid:2) Die(cid:2)Kapitel(cid:2)6(cid:2)bis(cid:2)14(cid:2)erläutern(cid:2)die(cid:2)einzelnen(cid:2)Elemente(cid:2)der(cid:2)Sicherheitspyramide.(cid:2)Ent(cid:3) sprechend(cid:2)der(cid:2)pyramidenförmigen(cid:2)Darstellung(cid:2)nimmt(cid:2)der(cid:2)Umfang(cid:2)und(cid:2)Detaillie(cid:3) (cid:2) Vorwort(cid:2) IX(cid:2) rungsgrad(cid:2)der(cid:2)Sicherheitspyramide(cid:2)in(cid:2)der(cid:2)Praxis(cid:2)von(cid:2)Ebene(cid:2)zu(cid:2)Ebene(cid:2)zu.(cid:2)Zuerst(cid:2) wird(cid:2)der(cid:2)hierarchische(cid:2)Aufbau(cid:2)beschrieben.(cid:2)Er(cid:2)beginnt(cid:2)bei(cid:2)der(cid:2)Sicherheits(cid:3),(cid:2)Konti(cid:3) nuitäts(cid:3)(cid:2)und(cid:2)Risikopolitik,(cid:2)gefolgt(cid:2)von(cid:2)der(cid:2)Ebene(cid:2)der(cid:2)Sicherheitsziele(cid:2)und(cid:2)(cid:3)anforde(cid:3) rungen(cid:2)mit(cid:2)Schutzbedarfsklassen,(cid:2)Schutzbedarfsanalyse(cid:2)für(cid:2)Prozesse(cid:2)und(cid:2)Ressour(cid:3) cen(cid:2)und(cid:2)den(cid:2)vielfältigen(cid:2)extern(cid:2)vorgegebenen(cid:2)Sicherheitsanforderungen.(cid:2)Der(cid:2)an(cid:3) schließende(cid:2)Transformationsvorgang(cid:2)mit(cid:2)dem(cid:2)Haus(cid:2)zur(cid:2)Sicherheit(cid:2)(„House(cid:2)of(cid:2) Health,(cid:2)Safety,(cid:2)Security(cid:2)and(cid:2)Continuity“)(cid:2)wandelt(cid:2)die(cid:2)Sicherheitsanforderungen(cid:2)in(cid:2) Sicherheitsmerkmale(cid:2)der(cid:2)genutzten(cid:2)Ressourcen(cid:2)und(cid:2)Prozesse.(cid:2)(cid:2) Die(cid:2)Architektur(cid:2)liefert(cid:2)die(cid:2)Basis(cid:2)für(cid:2)die(cid:2)Richtlinien,(cid:2)Konzepte(cid:2)und(cid:2)Maßnahmen(cid:2) und(cid:2)wird(cid:2)in(cid:2)diesem(cid:2)Buch(cid:2)daher(cid:2)ausgiebig(cid:2)behandelt.(cid:2)Sie(cid:2)umfasst(cid:2)prinzipielle(cid:2)(cid:2) Sicherheitsanforderungen(cid:2)und(cid:2)Bedrohungen,(cid:2)Strategien,(cid:2)Prinzipien(cid:2)und(cid:2)Sicher(cid:3) heitselemente(cid:2)sowie(cid:2)die(cid:2)Kern(cid:3),(cid:2)Support(cid:3)(cid:2)und(cid:2)Begleitprozesse.(cid:2)Dem(cid:2)Architektur(cid:3) kapitel(cid:2) folgen(cid:2) die(cid:2) Sicherheitsrichtlinien(cid:2) mit(cid:2) prinzipiellen(cid:2) Beispielen(cid:2) sowie(cid:2) die(cid:2)(cid:2) Sicherheitskonzepte(cid:2)und(cid:2)–maßnahmen.(cid:2) Prozessuale,(cid:2)ressourcenbezogene(cid:2)(z.(cid:2)B.(cid:2)technologische(cid:2)und(cid:2)personelle)(cid:2)sowie(cid:2)orga(cid:3) nisatorische(cid:2) Aspekte(cid:2) runden(cid:2) die(cid:2) Beschreibung(cid:2) der(cid:2) hierarchischen(cid:2) Ebenen(cid:2) der(cid:2)(cid:2) Sicherheitspyramide(cid:2)ab.(cid:2) Es(cid:2)folgt(cid:2)die(cid:2)Darstellung(cid:2)des(cid:2)Lebenszyklus(cid:2)von(cid:2)Prozessen,(cid:2)Produkten(cid:2)und(cid:2)Dienst(cid:3) leistungen.(cid:2)Kapitel(cid:2)14(cid:2)enthält(cid:2)die(cid:2)Erläuterung(cid:2)des(cid:2)Sicherheitsregelkreises(cid:2)von(cid:2)der(cid:2) Beschreibung(cid:2) verschiedener(cid:2) Methoden(cid:2) für(cid:2) Sicherheitsprüfungen(cid:2) bis(cid:2) hin(cid:2) zum(cid:2) Controlling(cid:2)mit(cid:2)Berichtswesen(cid:2)und(cid:2)Scorecard.(cid:2) Kapitel(cid:2)15(cid:2)erläutert(cid:2)Reifegradmodelle(cid:2)sowie(cid:2)das(cid:2)von(cid:2)mir(cid:2)entwickelte(cid:2)Reifegradmo(cid:3) dell(cid:2)der(cid:2)Sicherheit,(cid:2)mit(cid:2)dem(cid:2)sich(cid:2)der(cid:2)Leser(cid:2)einen(cid:2)ersten(cid:2)Überblick(cid:2)über(cid:2)den(cid:2)Reife(cid:3) grad(cid:2)des(cid:2)Sicherheitsmanagements(cid:2)im(cid:2)eigenen(cid:2)Unternehmen(cid:2)verschaffen(cid:2)kann.(cid:2) Kapitel(cid:2)16(cid:2)beschreibt(cid:2)–(cid:2)ausgehend(cid:2)von(cid:2)der(cid:2)Sicherheitspyramide(cid:2)–(cid:2)den(cid:2)Sicherheits(cid:3) managementprozess,(cid:2)durch(cid:2)den(cid:2)das(cid:2)Sicherheitsmanagement(cid:2)geplant,(cid:2)aufgebaut,(cid:2) betrieben(cid:2)und(cid:2)gesteuert,(cid:2)geprüft,(cid:2)weiter(cid:2)entwickelt(cid:2)und(cid:2)am(cid:2)Leben(cid:2)gehalten(cid:2)wird.(cid:2) Den(cid:2)Abschluss(cid:2)des(cid:2)Buches(cid:2)bilden(cid:2)das(cid:2)Abbildungs(cid:3)(cid:2)und(cid:2)Markenverzeichnis,(cid:2)das(cid:2) Verzeichnis(cid:2)über(cid:2)Gesetze,(cid:2)Vorschriften,(cid:2)Standards(cid:2)und(cid:2)Normen(cid:2)sowie(cid:2)das(cid:2)Litera(cid:3) tur(cid:3)(cid:2) und(cid:2) Quellenverzeichnis.(cid:2) Nach(cid:2) dem(cid:2) Glossar(cid:2) und(cid:2) Abkürzungs(cid:3)(cid:2) sowie(cid:2) dem(cid:2) Sachwortverzeichnis(cid:2)folgen(cid:2)im(cid:2)letzten(cid:2)Kapitel(cid:2)Informationen(cid:2)über(cid:2)den(cid:2)Autor.(cid:2)(cid:2) In(cid:2)diesem(cid:2)Buch(cid:2)wird(cid:2)–(cid:2)ausschließlich(cid:2)zur(cid:2)besseren(cid:2)Lesbarkeit(cid:2)–(cid:2)das(cid:2)generische(cid:2) Maskulinum,(cid:2)d.(cid:2)h.(cid:2)die(cid:2)männliche(cid:2)Form,(cid:2)verwendet,(cid:2)auch(cid:2)wenn(cid:2)beide(cid:2)Geschlechter(cid:2) gemeint(cid:2)sind.(cid:2) In(cid:2)späteren(cid:2)Kapiteln(cid:2)finden(cid:2)Sie(cid:2)die(cid:2)Begriffe(cid:2)Ressourcen(cid:2)und(cid:2)Schutzobjekte.(cid:2)Nur(cid:2)aus(cid:2) Gründen(cid:2) der(cid:2) Systematik(cid:2) ordne(cid:2) ich(cid:2) diesen(cid:2) Begriffen(cid:2) auch(cid:2) Menschen(cid:2) (Human(cid:2)(cid:2) Resources),(cid:2)d.(cid:2)h.(cid:2)Personen,(cid:2)zu.(cid:2)Dies(cid:2)erfordert(cid:2)nach(cid:2)wie(cid:2)vor(cid:2)einen(cid:2)humanen(cid:2)Um(cid:3) gang(cid:2)und(cid:2)das(cid:2)Bewusstsein(cid:2)für(cid:2)die(cid:2)außerordentlichen(cid:2)menschlichen(cid:2)Fähigkeiten.(cid:2) Ungeachtet(cid:2)dieser(cid:2)Systematik(cid:2)können(cid:2)Sie(cid:2)für(cid:2)sich(cid:2)selbst(cid:2)entscheiden,(cid:2)den(cid:2)Begriff(cid:2) Personen(cid:2)als(cid:2)eigenständiges(cid:2)Element(cid:2)aufzunehmen.(cid:2) Welche Struktur haben die Kapitel? Die(cid:2)Kapitel(cid:2)enthalten(cid:2)–(cid:2)sofern(cid:2)sinnvoll(cid:2)–(cid:2)eine(cid:2)Einführung(cid:2)und(cid:2)einleitende(cid:2)Darstel(cid:3) lung(cid:2)der(cid:2)jeweils(cid:2)folgenden(cid:2)Unterkapitel.(cid:2)Im(cid:2)Anschluss(cid:2)an(cid:2)die(cid:2)thematischen(cid:2)Be(cid:3) schreibungen(cid:2)in(cid:2)den(cid:2)Unterkapiteln(cid:2)finden(cid:2)Sie(cid:2)verschiedentlich(cid:2)praxisorientierte(cid:2) X(cid:2) Vorwort(cid:2) Hilfsmittel,(cid:2)z.(cid:2)B.(cid:2)Checklisten(cid:2)und(cid:2)Vorgehenselemente,(cid:2)die(cid:2)den(cid:2)erstmaligen(cid:2)Aufbau(cid:2) unterstützen(cid:2)und(cid:2)zum(cid:2)Gegencheck(cid:2)bei(cid:2)bereits(cid:2)etablierten(cid:2)Sicherheitsmanagement(cid:3) systemen(cid:2)dienen(cid:2)können.(cid:2)Verschiedene(cid:2)aus(cid:2)und(cid:2)für(cid:2)die(cid:2)Praxis(cid:2)angepasste(cid:2)Beispiele(cid:2) veranschaulichen(cid:2)die(cid:2)jeweilige(cid:2)Thematik.(cid:2)Eine(cid:2)Zusammenfassung(cid:2)bildet(cid:2)den(cid:2)Ab(cid:3) schluss(cid:2)insbesondere(cid:2)größerer(cid:2)Kapitel.(cid:2) Abbildungen(cid:2)und(cid:2)Tabellen(cid:2)visualisieren(cid:2)und(cid:2)strukturieren(cid:2)die(cid:2)Texte(cid:2)und(cid:2)machen(cid:2) sie(cid:2)transparent.(cid:2)(cid:2) Was bedeuten die Piktogramme? (cid:2) Dieses(cid:2)Zeichen(cid:2)kennzeichnet(cid:2)Informationen,(cid:2)die(cid:2)z.(cid:2)B.(cid:2)aus(cid:2)der(cid:2)Presse(cid:2)stam(cid:3) men.(cid:2) (cid:3) Abschnitte,(cid:2)in(cid:2)denen(cid:2)Erfahrungen(cid:2)oder(cid:2)Erlebnisse,(cid:2)die(cid:2)ich(cid:2)gemacht(cid:2)habe,(cid:2)dar(cid:3) gestellt(cid:2)sind,(cid:2)werden(cid:2)durch(cid:2)dieses(cid:2)Zeichen(cid:2)hervorgehoben.(cid:2)Sie(cid:2)dienen(cid:2)der(cid:2)Illus(cid:3) tration(cid:2)der(cid:2)jeweiligen(cid:2)Kapitel(cid:2)und(cid:2)stellen(cid:2)den(cid:2)Praxisbezug(cid:2)her.(cid:2) (cid:3) Dieses(cid:2)Zeichen(cid:2)macht(cid:2)Tipps(cid:2)kenntlich.(cid:2) Was ist neu in dieser 2. Auflage? Die(cid:2)1.(cid:2)Auflage(cid:2)vom(cid:2)August(cid:2)2005,(cid:2)die(cid:2)im(cid:2)Oktober(cid:2)2005(cid:2)erschienen(cid:2)ist,(cid:2)baute(cid:2)auf(cid:2)der(cid:2) 2.(cid:2)Auflage(cid:2)des(cid:2)Buchs(cid:2)„IT(cid:3)Sicherheit(cid:2)mit(cid:2)System“(cid:2)erweiternd(cid:2)auf.(cid:2)Die(cid:2)vorliegende(cid:2) 2.(cid:2)Auflage(cid:2)nutzt(cid:2)ein(cid:2)breiteres(cid:2)Seitenformat,(cid:2)um(cid:2)Ihnen(cid:2)je(cid:2)Seite(cid:2)noch(cid:2)mehr(cid:2)Informa(cid:3) tionen(cid:2)bieten(cid:2)zu(cid:2)können.(cid:2)Kursive(cid:2)Fettschrift(cid:2)im(cid:2)Text(cid:2)ersetzt(cid:2)die(cid:2)vormaligen(cid:2)Margi(cid:3) nalien(cid:2)und(cid:2)unterstützt(cid:2)Sie(cid:2)beim(cid:2)Finden(cid:2)von(cid:2)Themen.(cid:2)Das(cid:2)Sachwortverzeichnis(cid:2) steht(cid:2)weiterhin(cid:2)zum(cid:2)gezielten(cid:2)und(cid:2)seitenübergreifenden(cid:2)Finden(cid:2)zur(cid:2)Verfügung.(cid:2) Die(cid:2)vorliegende(cid:2)Auflage(cid:2)wurde(cid:2)umfangreich(cid:2)aktualisiert,(cid:2)noch(cid:2)stärker(cid:2)auf(cid:2)Unter(cid:3) nehmenssicherheit(cid:2)fokussiert(cid:2)und(cid:2)verschiedentlich(cid:2)deutlich(cid:2)erweitert,(cid:2)z.(cid:2)B.:(cid:2) (cid:2) Externe(cid:2)Sicherheitsanforderungen:(cid:2)Haftungsrisiken,(cid:2)Garantenpflicht,(cid:2)Compli(cid:3) ance,(cid:2)MaRisk,(cid:2)Solvency(cid:2)II,(cid:2)BS(cid:2)25999,(cid:2)ISO(cid:2)22399,(cid:2)IDW(cid:2)PS(cid:2)951(cid:2) (cid:2) Prinzipien:(cid:2) Plausibilisierung,(cid:2) Konsistenz,(cid:2) Vererbung,(cid:2) Subjekt(cid:3)Objekt(cid:3)/Aktiv(cid:3) Passiv(cid:3)Differenzierung(cid:2) (cid:2) ubiquitäre(cid:2)bzw.(cid:2)pervasive(cid:2)Sicherheit(cid:2)bzw.(cid:2)Kontinuität(cid:2) (cid:2) Datenschutz(cid:3),(cid:2)Risiko(cid:3)(cid:2)und(cid:2)Kontinuitätsmanagement,(cid:2)Interdependenzen(cid:2) (cid:2) Sicherheitsrichtlinien(cid:2) (cid:2) Reporting,(cid:2)Kennzahlen,(cid:2)Balanced(cid:2)Pyramid(cid:2)Scorecard.(cid:2) Wem sage ich Dank? Auch(cid:2)dieses(cid:2)Buch(cid:2)entstand(cid:2)an(cid:2)langen(cid:2)Abenden,(cid:2)an(cid:2)Wochenenden(cid:2)und(cid:2)in(cid:2)Urlau(cid:3) ben.(cid:2)Von(cid:2)daher(cid:2)bedanke(cid:2)ich(cid:2)mich(cid:2)bei(cid:2)meiner(cid:2)Familie,(cid:2)deren(cid:2)Toleranz(cid:2)ich(cid:2)stark(cid:2)be(cid:3) anspruchte.(cid:2) Meiner(cid:2)Frau,(cid:2)Lektorin(cid:2)und(cid:2)Wissenschaftsjournalistin(cid:2)sowie(cid:2)Co(cid:3)Autorin(cid:2)verschiede(cid:3) ner(cid:2)Lexika(cid:2)und(cid:2)Bücher,(cid:2)danke(cid:2)ich(cid:2)für(cid:2)wertvolle(cid:2)Hinweise.(cid:2) (cid:2)