20 Verzeichnis der Abbildungen Abbildung 2-1: Dreidimensionale IT- bzw. IKT- bzw. IKT-Sicherheits- (management)pyramideDr.-Ing. Müller V bzw. ISM- PyramideDr.-Ing. Müller ............................................................................ 30 Abbildung 5-1: ISO-27000-Familie (Teil 1/2) .......................................................... 107 Abbildung 5-2: ISO-27000-Familie (Teil 2/2) .......................................................... 107 Abbildung 5-3: ITIL Service Life Cycle ................................................................. 152 Abbildung 5-4: Software Assurance Maturity Model ........................................... 168 Abbildung 5-5: Struktur einer SOAP-Nachricht (Beispiel) ................................... 174 Abbildung 6-1: Schutzobjektklassen ........................................................................ 210 Abbildung 6-2: Detaillierter SicherheitsdreiklangDr.-Ing. Müller ................................. 212 Abbildung 6-3: Detaillierter RisikodreiklangDr.-Ing. Müller ......................................... 215 Abbildung 7-1: SicherheitspyramideDr.-Ing. Müller, Version V, bzw. Sicherheitsmanagementpyramide Dr.-Ing. Müller, Version V ............ 222 Abbildung 10-1: House of Safety, Security and Continuity (HoSSC) ................... 269 Abbildung 10-2: Safety, Security and Continuity Function Deployment (SSCFD) ............................................................................................ 270 Abbildung 11-1: Risikolandkarte und Risikoklassen (Beispiel) ............................. 289 Abbildung 11-2: Management-, Kern-, Support- und Begleitprozesse im Lebenszyklus ................................................................................... 330 Abbildung 11-3: Begleitprozesse (Managementdisziplinen) ................................. 337 Abbildung 11-4: Risiko(management)pyramideDr.-Ing. Müller Version V ................... 351 Abbildung 11-5: Risikoermittlung auf Basis des RisikodreiklangsDr.-Ing. Müller ....... 354 Abbildung 11-6: Business Continuity Management mit der Sicherheits- pyramide V ...................................................................................... 397 Abbildung 11-7: KontinuitätspyramideDr.-Ing. Müller, Version V bzw. KontinuitätsmanagementpyramideDr.-Ing. Müller, Version V .......... 398 Abbildung 11-8: Business Continuity PyramidDr.-Ing. Müller, Version V or BCM pyramidDr.-Ing. Müller, Version V ........................................................ 400 Abbildung 11-9: Datensicherungsmethoden ............................................................ 420 Abbildung 11-10: Über-Kreuz-Sicherung ................................................................... 425 © Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2018 K.-R. Müller, IT-Sicherheit mit System, https://doi.org/10.1007/978-3-658-22065-5 20 Verzeichnis der Abbildungen 733 Abbildung 11-11: Allgemeines SicherheitsschalenmodellDr.-Ing. Müller ........................ 429 Abbildung 11-12: Elemente des Securitymanagements gemäß SicherheitsschalenmodellDr.-Ing. Müller ............................................... 434 Abbildung 11-13: Berechtigungswürfel bzw. -kubus ................................................ 436 Abbildung 11-14: Subjekt-Subjektgruppe-Recht-Objektgruppe-Objekt-Modell .... 437 Abbildung 11-15: Taschenauthentifikator (Prinzipdarstellung)............................... 443 Abbildung 11-16: Verschlüsselungsverfahren ............................................................ 455 Abbildung 11-17: Schadenskategorien ......................................................................... 473 Abbildung 11-18: Bezugsgruppen (Stakeholder)........................................................ 474 Abbildung 11-19: Generische Akteure/Akteursgruppen im Lebenszyklus (Auszug) ........................................................................................... 475 Abbildung 11-20: Speichermedien ................................................................................ 506 Abbildung 11-21: DAS, NAS, SAN ............................................................................... 511 Abbildung 11-22: Firewallebenen (Prinzipdarstellung) ............................................ 518 Abbildung 11-23: Webanwendungen (Prinzip der Sicherheitszonen) .................... 521 Abbildung 11-24: Interdependenznetz (prinzipielles und vereinfachtes Beispiel) .................................................................... 552 Abbildung 12-1: Notfallablauf .................................................................................... 609 Abbildung 12-2: EskalationstrichterDr.-Ing. Müller ........................................................... 611 Abbildung 16-1: Sicherheits-/RiSiKo-Studie/-Analyse ............................................. 687 Abbildung 16-2: Sicherheitsregelkreis ....................................................................... 695 Abbildung 17-1: ReifegradmodellDr.-Ing. Müller, hier für Sicherheit und RiSiKo ........ 714 Abbildung 18-1: Sicherheits-/RiSiKo-(Management-)prozessDr.-Ing. Müller ................ 723 21 Verzeichnis der Tabellen Tabelle 3-1: Zehn Schritte zum Sicherheitsmanagement ...................................... 38 Tabelle 9-1: Primäre und sekundäre Sicherheits- und Kontinuitätskriterien ... 257 Tabelle 11-1: Sicherheitszonen-Maßnahmen-Matrix (SZMM) ............................. 311 Tabelle 11-2: Prinzipien versus Sicherheitskriterien .............................................. 326 Tabelle 11-3: Datenschutzkontrollen ....................................................................... 348 Tabelle 11-4: Prozentuale Verfügbarkeit und maximale Ausfalldauer ............... 402 Tabelle 11-5: Vor- und Nachteile von Datensicherungsmethoden ...................... 421 Tabelle 11-6: Verschlüsselungsverfahren und Standards ..................................... 456 Tabelle 11-7: Sicherheits-Hash-Algorithmen .......................................................... 458 Tabelle 11-8: Sicherheitskriterien und Schutzmaßnahmen................................... 462 Tabelle 11-9: Präventive Datenträgererneuerung [65]........................................... 507 Tabelle 11-10: Schutzmaßnahmen und Sicherheitsklassen (Gebäude, Räume, Versorgung) (Beispiel) ........................................................................ 548 Tabelle 11-11: RiSiKo-Architekturmatrix .................................................................. 554 Tabelle 12-1: Definitionen für Störung, Notfall, Krise, Katastrophe im Über- blick ....................................................................................................... 595 Tabelle 12-2: Schadensszenarien .............................................................................. 617 Tabelle 15-1: Kompakte Phasen-Ergebnistypen-Tabelle ....................................... 683 Tabelle 18-1: RiSiKo-Managementprozess (Input, Aktivitäten, Methoden, Ergebnisse) ........................................................................................... 729 22 Verzeichnis der Checklisten Checkliste 12-1: Kontrollen zum Konformitätsmanagement (Compliance) .......... 582 Checkliste 12-2: Kontrollen zum Kontinuitätsmanagement .................................... 599 Checkliste 12-3: Kontrollen zur Sicherheits-, Kontinuitäts- und Risikopolitik ..... 614 Checkliste 17-1: ReifegradmodellDr.-Ing. Müller ................................................................ 721 Checkliste 19-1: Minimalistische Sicherheit ............................................................... 731 © Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2018 K.-R. Müller, IT-Sicherheit mit System, https://doi.org/10.1007/978-3-658-22065-5 23 Verzeichnis der Beispiele Beispiel 8-1: Sicherheits-, kontinuitäts- und risikopolitische Leitsätze Versicherung....................................................................................... 244 Beispiel 8-2: Sicherheits-, Kontinuitäts- und Risikopolitik ................................. 253 Beispiel 10-1: Sicherheitskriterium Verfügbarkeit: Einflussfaktoren (Auszug) .............................................................................................. 275 Beispiel 10-2: Maßnahmen-Klassen-Matrix (MKM) .............................................. 277 Beispiel 11-1: Bedrohungslandkarte (Auszug) ....................................................... 285 Beispiel 11-2: Redundante Stromversorgung ......................................................... 297 Beispiel 11-3: Physische Sicherheitszonen (schematisch) ..................................... 309 Beispiel 11-4: Definition von Klassifizierungsstufen ............................................ 355 Beispiel 11-5: Risikoinventar (Auszug) ................................................................... 356 Beispiel 11-6: Bruttorisikomatrix.............................................................................. 360 Beispiel 12-1: Richtlinie Faxgeräte und Fax-Nutzung mit Einzel- anforderungen .................................................................................... 564 Beispiel 12-2: Richtlinie Drucker und Ausdrucke mit Einzelanforderungen .... 564 Beispiel 12-3: IKT-Benutzerordnung mit Einzelanforderungen .......................... 575 Beispiel 12-4: Richtlinie E-Mail-Nutzung mit Einzelanforderungen .................. 577 Beispiel 12-5: Richtlinie Internet-Nutzung mit Einzelanforderungen ................ 578 Beispiel 12-6: Richtlinie Datenschutzmanagement mit Einzelanforderungen .. 586 Beispiel 12-7: Richtlinie