Die Komplexität zur Entwicklung und zum Nachweis eines sicheren IT-Betriebs hat in den letzten Jahren drastisch zugenommen. Themen wie Cloud-Integration, Internet of Things oder auch KRITIS generieren immer umfangreichere Anforderungen mit oftmals beträchtlicher Fokussierung auf einzelne Sicherheitsaspekte. Die vorherrschende Methode der Zusammenstellung von "Best-Practice-Katalogen" hat vielfach zur Denkhaltung geführt, dass die isolierte Abarbeitung von Maßnahmen automatisch eine ausreichende Sicherheit generiert. Die Orientierung an Geschäftszielen, die Bewertung der Angemessenheit oder auch die Beachtung von Abhängigkeiten zwischen Maßnahmen gerät hierbei schnell aus dem Blickfeld.

Das Anliegen des Buches ist es, das Wechselspiel zwischen geschäftlichen Anforderungen, geschäftlichen IT-Systemen und notwendigen Sicherheitsfunktionen strukturierter und methodischer zu erfassen. Hierzu wird die Herangehensweise verfolgt, etablierte System-Engineering Ansätze - wie etwa der ISO 15288 - auf das Ökosystem der Informationssicherheit zu übertragen.

In der Konsequenz führt dies zu einer grundlegenden Neuausrichtung der Sicht auf die Informationssicherheit. Sicherheitsmaßnahmen sind nicht mehr Ergänzungen, sondern werden zu einem eigenständigen System gebündelt. Das Security-System als Pendant zu den IT-Systemen der Geschäfts-Prozesse sichert spezifische Entwicklungs- und Betriebsmöglichkeiten, ist aber weiterhin strikt an übergeordnete Anforderungen und Nachweispflichten gekoppelt. Damit können auch Verantwortungsbereiche und Wirtschaftlichkeitsaspekte klarer ausgerichtet werden.

Die Zielgruppen

Informationssicherheitsverantwortliche

Datenschutzbeauftragte

Managementbeauftragte

Informationssicherheitsarchitekten

Unternehmensberater

Der Autor

Bernhard Barz war fast 20 Jahre als Informationssicherheitsbeauftragter eines IT-Dienstleisters tätig. Sein Interesse gilt der Weiterentwicklung und Fundierung der Informationssicherheit durch Anwendung system- und ingenieurtechnischer Methoden.

Das Anliegen des Buches ist es, das Wechselspiel zwischen geschäftlichen Anforderungen, geschäftlichen IT-Systemen und notwendigen Sicherheitsfunktionen strukturierter und methodischer zu erfassen. Hierzu wird die Herangehensweise verfolgt, etablierte System-Engineering Ansätze - wie etwa der ISO 15288 - auf das Ökosystem der Informationssicherheit zu übertragen.