463

Index

AAbhängige Schutzziele 276Abschlussbericht Audit 344Access Control List 129, 134Account 141Act-Phase 408, 430Ad-hoc-Modus 253Administration 125AES 216Aktiengesetz 69, 154Aktiv-Aktiv-Cluster 200Aktiv-Passiv-Cluster 200Alarmierung 57Alleinstehende Schutzziele 276Angriffspfad 271, 356Angriffsvektor 356Annualized Loss Expectancy 386Application-Firewall 239Asset siehe UnternehmenswertAssetmanagement 262, 293, 308Audit 96, 101, 325, 327Auftragsdatenverarbeitung 220, 226Ausfallsicherheit 197Authentisierung 129

what you are 130what you have 129what you know 129

Authentizität 90, 277Autorisierung 129Availability management siehe Verfüg-

barkeitsmanagementAwareness 26, 119, 453

BBackup siehe DatensicherungBalanced Scorecard 389

Bauliche Maßnahmen 199, 203Bedrohung 261, 264, 266, 271, 295

Listen 295Vorsätzliche 273Zufällige 273

Bedrohungslisten 295Bell-LaPaluda-Modell 132Benutzeraccount siehe AccountBereitschaftsregelung 175Betriebliche Grundsätze 121Betriebsübergabe 138Beweissicherung 349Bewertungsmatrix 109Biba-Modell 133Bring your own device 115Browser 245BS 7799 75BSI-Grundschutz 83, 308BSI-Standard 100-1 82BSI-Standard 100-2 82BSI-Standard 100-3 82BSI-Standard 100-4 83Bundesdatenschutzgesetz 69, 88, 125,

208, 219, 220Bürgerliches Gesetzbuch 92Business Continuity Management siehe

IT Business Continuity Manage-ment

Business Impact-Analyse 44, 149, 155, 160, 165, 171, 323, 425

CChain of custody 364Challenge Handshake Authentication

Protocol 134Chance 312

464

INDEX

Change Management 116, 144Check-Phase 408, 430Chiffrierung 223Clean-Desk-Richtlinie 29Cloud 225

Broad network access 227Datenschutz 232Infrastructure-as-a-Service 229Leistungsschein 236On-demand self service 227Platform-as-a-Service 229Resource Pooling 228Software-as-a-Service 228Storage-as-a-Service 229, 230Verschlüsselung 231Zugriffsgeschwindigkeit 227, 233

Cluster 191, 199CoBit 70Common Criteria 87Compliance 38, 68Control siehe MaßnahmeCOSO 70

DData Owner 32, 107, 126, 131Daten 20

Übertragung 216Vernichtung 115

Datenanalyse 348Datenschutz 56, 89, 110, 234, 236Datenschutzbeauftragter 56, 63, 111,

235, 355Datensicherung 199, 221, 383Datensparsamkeit 34Delphi-Methode 296, 299Denial of Service 245Digitale Signatur 225, 248Discretionary Access Control 131

DMZ 206Do-Phase 408, 428Dynamische Redundanz 198

EEinfaktor-Authentisierung 131Eingabekontrolle 218Eintrittswahrscheinlichkeit 308, 387E-Mail 143, 215, 243, 244Ereignisbaumanalyse 299Exceptions 293Excessive privileges 127

FFehlzustandsbaumanalyse 299Fingerabdruck 130Firewall 237, 356Forensik siehe IT-ForensikForensische Analyse 351, 363Forensische Untersuchung 362, 366Fragenkatalog Audit 341Funktionelle Redundanz 200Funktionstrennung 33

GGeheimtext 223Geltungsbereich 290, 413Genehmigungsprozess 145Gesetz gegen den unlauteren Wett-

bewerb 93Gewaltentrennung 55, 62GmbH-Gesetz 69, 124Governance 39Grundschutz 80GSTOOL 436

465

INDEX

HHaftung 124, 125Handelsgesetzbuch 154Hochverfügbarkeit 194Honeypot 252, 352Honeytoken 352Hotline 145HTTP 239, 242

IICMP 186Identifikation 129Identitätsmanagement 141identity management siehe Identitäts-

managementIncident Management 348Incident Response-Prozess 348, 350Information 20, 21Information Security Policy siehe Richt-

linienInfrastrukturmodus 253Initiator 265, 273, 357Integrität 90, 277Internet 243Intrusion Detection System (IDS) 250,

368Intrusion Prevention System (IPS) 252ISMS 75, 103, 385, 399ISO 14000 431ISO 15504 87, 110, 375, 421ISO 17021 450ISO 27001 73, 84, 91, 152, 308, 315, 342,

372, 419, 449ISO 27002 75, 113, 315, 419ISO 27004 375, 380ISO 27005 74, 107, 414ISO 27006 74, 450ISO 31010 87, 299ISO 9000 431ISO 9001 75, 403, 409

IT Business Continuity Management 118, 150

IT-Forensik 347, 365IT-Grundschutz-Kataloge 79, 342ITIL 70, 86, 374, 400IT-Risikomanagement siehe Risikoma-

nagementIT-Security Policy siehe Richtlinien

KKapazitätsmanagement 192Katastrophe 169Kennzahlen 44, 101, 192, 301, 319, 372Klartext 223Klassifizierung 109, 276, 279Klassifizierungsrichtlinie 108Konfigurationsmanagement 192Kontinuitätsmanagement siehe Verfüg-

barkeitsmanagementKonTraG 70Krise 170Kryptographie 223Kumulationsprinzip 280

LLaptopverschlüsselung 218Least privileges 127Leitlinie 96Leitlinie zur Informationssicherheit

siehe RichtlinienLightweight Extensible Authentication

Protocol 134Live-Forensik 351

MMail-Spoofing 244Malware siehe SchadsoftwareMandatory Access Control 131

466

INDEX

Masquerading 359Maßnahme 272, 308, 314, 425Maximum Tolerable Downtime (MTD)

195Maximumprinzip 280Metrics siehe KennzahlenMonitoring 317

Agent 318, 324Betrachtungsebenen 319Logfile-Monitoring 186, 219, 324System-Monitoring 185, 321

NNeed-to-know-Prinzip 33, 143Nichtabstreitbarkeit 278Nine-Steps-Model 391Notfall 169Notfallbewältigung 176, 180, 349Notfallhandbuch 168, 170, 177Notfallkonzept 167Notfallkrisenstab 177Notfallmanagement 150, 153, 164, 165,

349Notfallorganisation 175Notfallplan 138Notfallstrategie 166Notfallübung 164, 183Notfallvorsorge 170, 221

OObfuscation 140Offline-Forensik siehe Post-mortem-

AnalyseOnline-Forensik siehe Live-ForensikOperatives Risiko 265Organisation 47, 54, 60, 107, 114OSI 7-Schichten-Modell 239

PPaketfilter 239Password Authentication Protocol 134Passwort 116, 129, 360Patchmanagement 198PDCA-Regelkreis 74, 147, 404, 408Penetrationstest 136, 246, 334Personal-Firewall 237Personalmanagement 115PGP 245Ping 321PKI 216Plan-Phase 408, 414Poka Yoke 33Port-Scan 248Post-mortem-Analyse 351Pre-shared Key 223, 254Prinzipien 32, 124Proxyserver 237, 242Prozessdefinition 155Prozesserfassung 155Public-Key-Verfahren 223

QQualitätshandbuch 136Quantitative Risikoermittlung 263

RRAID 191, 199Redundante Systeme 150, 192, 198, 201Redundanzeffekt 280Regelwerk Firewall 241Reifegradmodell 285Restrisiko 263, 301, 305, 349Return on Security Investment (ROSI)

373Revisionsfähigkeit 90

467

INDEX

Richtlinien 96, 97, 445Attribute 98Basisrichtlinien 102Geltungsbereich 106, 114IT-Sicherheitsrichtlinie 112IT-Systemrichtlinie 116Kategorisierung 98Klassifizierungsrichtlinie 106, 132,

281, 414Notfallmanagement 165Richtlinien-Pyramide 97Risikomanagement 111, 258, 413Sicherheitsrichtlinie 103Überarbeitungsintervall 113, 117Verfügbarkeitsmanagement 192Versionierung 100

Risiko 259, 265, 273, 425akzeptieren 311reduzieren 312verlagern 313vermeiden 313

Risikoanalyse 80, 261Risikoarten 260, 266, 307Risikobehandlung 261, 306, 308, 414Risikoberechnung 301, 303Risikobewertung 261, 297, 309Risikoerfassung 262Risikokatalog 307Risikomanagement 40, 111, 255Risikomanagementkultur 258Risikomanagementprozess 264Risikomatrix 305Role-Based Access Control 131Rollen 48, 133

Gebäudemanagement 58Interne Revision 58IT-Administrator 59IT-Security Auditor 53Klassifizierungsrichtlinie 22Lokale IT-Security Manager 64

Manager IT-Compliance 53Manager IT-Security 49, 54Sicherheitsingenieur 58Unternehmensleitung 53Werkschutz 57

SS/MIME 245Sabotage 272SANS 269Sarbanes-Oxley Act 23, 70, 103, 325Schaden 260Schadensanalyse 158Schadensklasse 109, 287Schadsoftware 244Schulung 119, 272, 453Schutzbedarf 31, 108, 275, 280Schutzstufe 109, 278Schutzziele 30, 109, 267Schwachstelle 262, 264, 268, 271, 356

Logische 269Physische 271

Schweregrad 169Scope siehe GeltungsbereichScorecard 184Security Awareness Management 455Selbstauskunft 334Self-Assessment siehe Selbstauskunftseparation of duties siehe Gewaltentren-

nungService Delivery Assurance 192Service Level Agreement 101, 174, 187,

193, 320Service-Level Management 192Sicherheitseinstufung 132Sicherheitsklasse 132Sicherheitslandschaft 330Sicherheitsleitlinie siehe RichtlinienSicherheitsniveau 29

468

INDEX

Signator 249Signaturgesetz 249Single Loss Expectancy 387SmartCard 129SMTP 244Social Engineering 272, 358Software 134

Application Service Provider 135Betriebshandbuch 138Eigenentwicklung 135, 138im Auftrag entwickelt 135Implementierung 137Kaufsoftware 135Qualität 135, 140Versionierung 140

Software-Lifecycle 139Softwarequalität 135Sorgfaltspflicht 124, 125, 126, 154SPAM-Mail 245SPICE 285, 376Standardisierung 33, 124, 146Statische Redundanz 198Steuerungsfunktion 43Störung 169Strafgesetzbuch 93Strategie der IT-Security 28Strukturelle Redundanz 199

TTätigkeitsfelder 41Technisch-organisatorische

Maßnahmen 90, 208Telefonliste 170Telekommunikationsgesetz 92Telemediengesetz 92Token 129Transparenz 90, 124Two signatures 127

UUnternehmensstrategie 256Unternehmenswert 109, 159, 439Urheberrechtsgesetz 92USB 215, 354

VVerband der Automobilindustrie 342Verfassungsschutz 24Verfügbarkeit 90, 147, 150, 193, 221,

276Verfügbarkeitsklasse 194Verfügbarkeitskontrolle 221Verfügbarkeitsmanagement 153, 191,

221Verhältnismäßigkeitsprinzip 243, 274Verschlüsselung 126, 222, 231, 270

asymmetrisch 223, 224E-Mail 245Öffentlicher Schlüssel 224Privater Schlüssel 224Schlüssel 223Schlüsselaustausch 223symmetrisch 223

Verteilungseffekt 280Vertraulichkeit 90, 109, 276Vier-Augen-Prinzip 33, 116, 125, 127Virenschutz 221, 244Vor-Ort-Audit 332VPN 217, 224

WWahrscheinlichkeitsvorhersagen 299Weitergabekontrolle 215WEP 254Wireless LAN 252Wirtschaftlichkeit 32Workflow 145, 434, 439WPA 254

469

INDEX

ZZero Day Attack 269Zertifizierung

Grundschutz 82, 85ISO 27001 76, 85, 290, 447

Zivilprozeßordnung 248Zugangskontrolle 57, 115, 211Zugriffskontrolle 116, 131, 134, 213Zutrittskontrolle 209