1. Gefahrenquellen
1.1. Höhere Gewalt
1.1.1. Unwetter, Feuer, Wasser, etc.
1.2. Technisches Versagen
1.2.1. Ausfall von Komponenten
1.3. Organisatorische Mängel
1.3.1. Zuständigkeiten nicht klar
1.3.2. nicht ausreichend geschultes Personal
1.3.3. Keine Worst-Case-Szenarioplanung
1.3.4. Fehlende Konzepte (z.B. Backup)
1.3.5. Fehlende oder unzureichende Dokumentation bzw. Regelungen
1.3.6. Unzureichende Kontrolle
1.4. Menschliches Fehlverhalten
1.4.1. Fehlerhafte Administration
1.4.2. Auskunft an nicht vertrauenswürdige Personen (Social Engineering)
1.4.3. Sorglosigkeit im Umgang mit Informationen (z.B. vertrauliche Informationen an öffentlichen Plätzen diskutieren)
1.4.4. Vertraulichkeits-, Integritätsverlust
1.4.5. Fahrlässiges Handeln
1.4.6. Unbeaufsichtigte Manipulation
1.5. Vorsätzliche Handlungen
1.5.1. Manipulation/Zerstörung von IT-Geräten
1.5.2. Manipulation von Daten oder Software
1.5.3. Unbefugtes Eindringen in ein Gebäude
2. Risikomanagement
2.1. Risikoidentifikation
2.2. Risikobewertung
2.2.1. Fehlermöglichkeits- und Einflussanalyse
2.2.2. Hazard and Operability Study
2.2.3. Hazard Analysis and Critical Control Points
2.2.4. Zurich Hazard Analysis
2.2.4.1. Risikomatrix
2.2.4.1.1. Auswertung Eintrittswahrscheinlichkeit
2.3. Risikosteuerung
2.3.1. Vermeiden
2.3.2. Vermindern
2.3.3. Auslagern / Abwälzen
2.3.4. Selbst tragen (Personalschulung)
2.4. Risikoüberwachung
2.4.1. Reporting
3. Grundwerte IT-Sicherheit
3.1. Vertraulichkeit
3.1.1. Nur bestimmte Personen haben Zugriff auf vertrauliche Daten
3.2. Integrität
3.2.1. Informationen sind vollständig, unverfälscht und korrekt
3.3. Verfügbarkeit
3.3.1. Systemverfügbarkeit messbar in Wartezeiten, Verarbeitungsgeschwindigkeit
3.4. Verbindlichkeit
3.4.1. Einhaltung gesetzlicher und vertraglicher Bestimmungen; Nachweisbarkeit; juristische Akzeptanz von Rechtsgeschäften
4. Datensicherheit
4.1. Gesamtheit aller technischen und organisatorischen Maßnahmen zum Schutz der Daten, Programme, Datenverarbeitungsanlagen gegen Verlust, Verfälschung, Zugriff, technischen Pannen, menschliches Versagen, mutwilligen Eingriffen
5. Datenschutz
5.1. Schutz von personenbezogenen Informationen
5.2. Schutz vor Missbrauch, Einsicht Verfälschung
5.3. Schutz der Privatsphäre
6. Maßnahmen
6.1. Infrastruktur
6.1.1. Zutrittschutz
6.1.2. Notstrom
6.1.3. Blitz- und Brandschutz
6.1.4. Alarmanlage
6.1.5. Klimatisierung
6.2. Personal
6.2.1. Weisungen festlegen
6.2.2. Schulungen
6.2.3. Sorgfaltspflicht
6.2.4. Sensibilisierung
6.2.5. Vertretungsregelungen
6.3. Organisation
6.3.1. Sicherheitsdienst
6.3.2. Konzepte / Standards / Handbücher
6.3.3. Verantwortlichkeitsregelungen
6.3.4. Kontrollmaßnahmen
6.4. Hard- und Software
6.4.1. Flächendeckender Virenschutz
6.4.2. Firewall
6.4.3. Verschlüsselung
6.4.4. Authentifizierung
6.4.4.1. Administrierte Rechtevergabe
6.4.4.2. Vertrauliche Daten authentifizieren
6.4.4.2.1. Digitale Zertifikate
6.4.4.2.2. Verschlüsselte Verbindungen
6.4.4.2.3. Passwortgeschützt
6.4.4.3. Passwortrichtlinie
6.4.5. Schutz von Notebooks
6.4.5.1. Boot von externen Medien unterbinden
6.4.5.2. Installationen nur vom Admin
6.4.5.3. Verschlüsselung der Datenträger
6.4.5.4. Spyware- und Virenschutzprogramm einsetzen
6.4.5.5. Sichere Platzierung der Hardware
6.4.5.6. Kein Fremdzugang zur Hardware
6.5. Kommunikation
6.5.1. Verkabelung
6.5.2. Router, Switch / Modem
6.5.3. Remote-Zugang
6.5.3.1. VPN
6.5.3.2. VDI
6.5.3.3. Proxy
6.5.4. Mobiltelefone, WLAN
6.6. Notfallvorsorge
6.6.1. Redundante Betriebsmittel
6.6.2. Notfallkonzepte
6.6.3. Datensicherung / Archivierung
6.6.4. Lieferanten-Vereinbarungen / Versicherung
6.6.5. Notfallübungen
6.6.6. Alarmierungsplan