Freitag, 10. September 2010
FHDW in Bergisch Gladbach
Kontakt
Prof. Dr. Ralf Schumann
FHDW
Hauptstraße 2
51465 Bergisch Gladbach
Telefon 02202 9527-02
Telefax 02202 9527-200
E-Mail ralf.schumann@fhdw.de
Competence Center Information Security
Das Competence Center Information Security unter der Leitung von Prof. Dr. Ralf Schumann befasst sich ganzheitlich mit dem Thema Informationssicherheit.
Unsere Zeit ist geprägt von
- gesetzlichen Regulierungen (SOX, EuroSOX, KontraG) und externern Überprüfungen
- der Gefährdung von Know-how und geistigen Eigentums (Industriespionage)
- organisierter Kriminalität im Internet (Identitätsdiebstahl, SPAM, Botnets)
- der Vernetzung von Firmen mit Kunden und Geschäftspartnern
- der Verlagerung von Betrieb und Entwicklung an Service Provider, teilweise außerhalb der EU (off-shoring).
Daher spielt die Informationssicherheit eine zentrale Rolle und wird zum Managementthema. Die IT Compliance ist hierbei einer der wesentlichen Treiber.
Ganzheitliche Betrachtung der Informationssicherheit
Information Security steht damit in einem Spannungsfeld zwischen einerseits technischen Fragestellungen (Cryptographie, Bufferoverflows, Cross-Site-Scripting) und andererseits einer managementorientierten Herangehens- und Betrachtungsweise (Organisation, Governance, KPIs, Risk-Management). In diesem Spannungsfeld kann Informationssicherheit nur ganzheitlich betrachtet werden. Hierzu gehören die technische, operationale und Managementebene. Alle Ebenen sind im Kontext etablierter Standards zu betrachten (ISO 27000, CoBiT, NIST), in denen sich Fachwissen konsolidiert und die häufig als Maßstab für die Bewertung der Angemessenheit herangezogen werden.
Auf der technischen Ebene geht es um den Einsatz technischer Maßnahmen wie Netzwerkzugangskontrolle, Verschlüsselung, Virenschutz, Sicherheitsgateways usw. sowie um technische Überprüfungen wie Schwachstellen-Scans und Penetrationstests.
Die operationale Ebene befasst sich mit Sicherheitskonzepten und -Verfahren auf Grundlage anerkannter, internationale Best Practices (ISO 27002, NIST, BSI). Hierzu gehören Change Management, Incident Management, Technical Vulnerability Management, Mobile Computing, Malware Protection usw.
Auf der Managementebene geht es um die Steuerung (Goverance) der Informationssicherheit (ISMS). Auch hier kann auf internationale Standards wie ISO 27001 als Grundlage zurückgegriffen werden. Wesentliche Bestandteile eines solchen Managementsystems sind:
- Prozesse zum Management von Informationssicherheitsrisiken, die mit den Konzernweiten Risikomanagement-Prozessen integriert sind.
- Prozesse zur Überwachung der Umsetzung und Effektivität von Sicherheitsmaßnahmen. Dies umfasst neben Verfahren zum Umgang mit Sicherheitsvorfällen (Incident Management) vor allem auch Kennzahlen (KPIs) als Grundlage für die Steuerung.
- Prozesse zur Ermittlung und Einhaltung extern und interner Anforderungen (Compliance)
- Prozesse zu unabhängigen Überprüfung (interne und externe Audits) und zur kontinuierlichen Verbesserung.
- Prozesse zur Budget- und Ressourcenplanung für Maßnahmen der Informationssicherheit.
Prof. Dr. Ralf Schumann kann auf zahlreiche Publikationen und Vorträge auf renommierten internationalen Tagungen zu den Themen Verteilte Datenbanken, Kommunikation in verteilten Systemen und Mobile Kommunikation verweisen.