© Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2018

Thomas Barton, Christian Müller und Christian Seel (Hrsg.)Digitalisierung in UnternehmenAngewandte Wirtschaftsinformatikhttps://doi.org/10.1007/978-3-658-22773-9_15

15. Sichere Digitalisierung

Sachar Paulus¹  

(1)

Hochschule Mannheim, Mannheim, Deutschland

 

 

Sachar Paulus

Email: paulus@hs-mannheim.de

Zusammenfassung

Digitalisierung ist ohne Sicherheit nicht ernsthaft einsetzbar – die beiden wesentlichen Merkmale der Digitalisierung, Standardisierung und Vernetzung, machen die Systeme leicht angreifbar. Um die zunehmend steigenden Risiken kontrollieren zu können, ist ein Informationssicherheits-Managementsystem (ISMS) erforderlich. Dieses wird schon von vielen Unternehmen gefordert, und bildet den Stand der Technik ab. Software-Architekturen für die Digitalisierung müssen zudem bestimmte Entwurfsmuster und Vorgehensweisen berücksichtigen. Es wird Anwendern der Digitalisierung empfohlen, ein ISMS zu betreiben.

Schlüsselwörter

Sichere DigitalisierungCybersecurityHacker-AngriffeSocial EngineeringSchwachstellenSicherheitsmanagementRisikomanagementPräventionReaktionBewusstseinsbildungKritische InfrastrukturenStand der TechnikSecurity Design PatternsSecurityPrivacy by Design

15.1 Einleitung

Digitalisierung klingt leicht und schnell – das wird uns zumindest versprochen: Mit der Digitalisierung wird alles leichter und schneller. Und in der Tat ermöglicht die Digitalisierung viele neue Nutzungsszenarien, Einsparungen und schnellere Prozesse [1]. Doch das ist nicht ohne Risiken: durch die Vernetzung der Systeme und die Standardisierung der Protokolle werden Angriffe immer leichter, und ohne geeignete Maßnahmen setzt man sich mit der Digitalisierung erheblichen Risiken aus [2].

Der vorliegende Beitrag stellt daher die Frage: Wie kann man die Digitalisierung wagen, und dabei möglichst wenige nicht akzeptable Risiken eingehen? Dazu werden verschiedene Aspekte von IT- und Informationssicherheit im Konzept der Digitalisierung betrachtet, Anforderungen diskutiert und es werden Empfehlungen für die Umsetzung gegeben.

Dieser Beitrag gibt zuerst einen Überblick über die Gefahren der Digitalisierung, diskutiert dann, was mit Sicherheit in der Digitalisierung genau gemeint sein könnte, und führt in Informationssicherheits-Managementsysteme ein. Im Anschluss werden die aktuell gültigen rechtlichen Anforderungen betrachtet und schließlich werden Anforderungen an Software-Architekturen der Digitalisierung abgeleitet. Im Fazit werden Empfehlungen für den Umgang mit Sicherheit in der Digitalisierung gegeben.

15.2 Überblick über die Gefahren der Digitalisierung

15.2.1 Beispiele

Digitalisierung wird von vielen sehr zurückhaltend angegangen – und als Grund dafür werden „Sicherheitsprobleme“ genannt. Doch welche Sicherheitsprobleme sind damit konkret gemeint? Es gibt vielerlei digitale Risiken – von ganz technischen Risiken wie Abhängigkeit vom Internet, wenn man Cloud-Lösungen bezieht, über Anwendungsrisiken wie Angst vor dem „Hacken“ von Bankkonten bis hin zu eher persönlichen Risiken wie etwa „Cyberabhängigkeit“; all diese Aspekte werden landläufig unter „Security-Problemen der Digitalisierung“ subsummiert.

15.2.2 Abgrenzung

Es gibt natürlich noch weitere Risiken der Digitalisierung. Zum einen etwa solche, die durch die Veränderung von Geschäftsmodellen auftreten – neue Player haben das Potenzial, am Markt schnell erfolgreich zu sein, doch oft auf Kosten bestehender Akteure. Sind diese nicht in der Lage, sich schnell genug anzupassen, bleiben sie auf der Strecke – daher empfinden solche Unternehmen die Digitalisierung als eine Bedrohung, zumal sie oft nicht verstehen, welche Chancen die Digitalisierung für sie bringen kann. Oder zum anderen etwa solche, die mit Veränderungen für das Personal einhergehen. Diese Art von Risiken wird in diesem Kapitel nicht behandelt; der geneigte Leser wird hierzu gebeten, die einschlägigen Kapitel in diesem Buch zu Rate zu ziehen.

Dieses Kapitel konzentriert sich auf Risiken der Digitalisierung, welche durch die technischen Neuerungen direkt, unmittelbar entstehen. Diese werden in der Literatur auch als „Cyberrisiken“ oder „Cybersecurity-Risiken“ bezeichnet. Sie gehen in der Regel von externen, aktiven Angreifern aus. Security-Risiken, die ohne Angreifer auftauchen können (wie etwa, dass durch das Abreißen der Internet-Verbindung der Zugriff auf kritische Unternehmensdaten in der Cloud nicht mehr möglich ist), sind normaler Weise mit zu betrachten, stellen aber keine grundsätzliche Bedrohung dar und können durch bessere Service-Qualitäten von Anbietern kompensiert werden. Diese werden daher ebenfalls nicht weiter betrachtet.

15.2.3 Angriffsarten

Die Angriffe können wie folgt eingeteilt werden: durch Spionage wird versucht, interessante Information aus Unternehmen abzuziehen – etwa Produktionsgeheimnisse, Kundendaten oder neue Entwicklungen. Sabotage hat zum Ziel, Informationen oder die Produktion bösartig zu verändern, um dem Unternehmen zu schaden. Auch werden Informationen zum Zwecke der Erpressung verschlüsselt. Um diese Ziele zu erreichen, verwenden Angreifer verschiedene Angriffswege, unter anderem den Angriff über das Web (z. B. indem versucht wird, über eine Webanwendung in das Unternehmen einzudringen), durch den Einsatz von Malware (Viren, Trojaner) welche dem Zielunternehmen zugespielt wird und nicht zuletzt dadurch, Mitarbeiter dazu zu verleiten, Informationen preiszugeben (etwa über Phishing) oder Webseiten zu besuchen (über so genannte Drive-by-Exploits), welche dann Malware im Unternehmen installiert. Schließlich sind der Diebstahl von Rechenleistung für das Knacken von Passwörtern, oder das Versenden von SPAM-E-Mails und der Diebstahl von Identitäten (Anmeldedaten, oder auch Kreditkarten) Teil der kriminellen Aktivitäten.

Die Digitalisierung erlaubt es dabei, die Angriffe aus der Ferne durchzuführen – Vernetzung und Verwendung von standardisierten Protokollen machen einen Zugriff über das Internet leicht(er) möglich.

15.2.4 Angreifergruppen

Wer sind die Angreifer? Im Wesentlichen kann man heute drei verschiedene Angreifergruppen unterscheiden. Zum einen gibt es eine immer noch wachsende Gruppe von staatlichen Akteuren, in der Regel Geheimdiensten, die zum Ziel haben, Staaten Vorteile zu verschaffen (sowohl strategisch als auch taktisch, z. B. durch Wirtschaftsspionage) oder das bestehende Regime zu stabilisieren (in der Regel durch Überwachung der eigenen Bürger). Zum anderen ist die kriminelle Szene inzwischen stark organisiert, und es finden sich vorrangig mafiöse Strukturen. Diese bieten entsprechenden Interessenten an, im Auftrag Hacking-Dienstleistungen zu übernehmen. Schließlich gibt es auch eine Szene von Kleinkriminellen, die Gelegenheiten nutzen, wenn sie sich ihnen bieten, etwa bei Verschlüsselungstrojanern oder Identitätsdiebstahl.

15.2.5 Sorglosigkeit/Unachtsamkeit

Dadurch, dass die Technologie in den letzten Jahren immer sicherer geworden ist, hat sich der Schwerpunkt der Angriffe, um in die Unternehmen hinein zu kommen, auf die Menschen verlagert. Denn in den meisten Fällen ist ein Angriff auf IT-Systeme eines Unternehmens nur dann erfolgreich, wenn es eine „interne“ Person gibt, die sozusagen die Tür öffnet. Dementsprechend werden die Überzeugungstechniken, die Mitarbeiter auszunutzen, immer ausgeklügelter. Wir erklären dies am Beispiel von Phishing: Phishing ist ein Kunstwort und ist zusammen gesetzt aus „Password“ und „Phishing“, also dem Angeln nach Passwörtern – die ersten Phishing-E-Mails haben das Opfer unter einem fadenscheinigen Grund dazu aufgefordert, sich an einer Webseite anzumelden, um an dessen Anmeldedaten heran zu kommen. Inzwischen ist meist eine Anmeldung gar nicht mehr nötig, da mit Schadcode verseuchte Webseiten oft schon ausreichen, um Rechner zu übernehmen.

Umso wichtiger ist daher die Aufmerksamkeit und Sensibilität von Mitarbeitern – denn gegen die beschriebene Art von Angriffen ist Sicherheitssoftware in der Regel machtlos. Nur wenn das benutzte IT-System die neuesten Updates eingespielt hat, kann der Schaden vielleicht noch begrenzt werden, der Angriff an sich kann aber nur vermieden werden, wenn der Mensch mitdenkt. Wobei dies durchaus schwierig sein kann, da die Täuschungsmanöver durchaus sehr echt und glaubwürdig wirken können. Daher ist eine ständige Beschäftigung mit den neuesten Techniken Pflicht, um die Aufmerksamkeit und Entscheidungsfähigkeit hoch zu halten.

Überhaupt ist es für eine Security-Betrachtung eines IT-Systems wichtig, die handelnden Personen mit zu berücksichtigen – denn nur, wenn man auch die Menschen mit ihren Entscheidungen und Handlungsweisen mitberücksichtigt, ist es möglich, ein gesamthaftes Bild der Sicherheitslage zu zeichnen. Die Forschung verwendet für die gesamthafte Betrachtung den Begriff des „sozio-technischen Systems“ [3], mit denen man vertrauensvolles Verhalten eines Systems untersuchen – und auch befördern kann.

Dabei ist es von großem Wert, die verschiedenen Archetypen in Betracht zu ziehen. Eine interessante Klassifikation stammt von Deutschland sicher im Netz e.V. [4]: dort werden Nutzer entlang zweier Dimensionen, nämlich Motivation, sich richtig zu verhalten, und Kompetenz, die richtigen Entscheidungen zu treffen, eingeteilt. So ergeben sich in diesem Modell vier Archetypen von Nutzern (die Namen stehen für sich): Naive, Unbeteiligte, Sorglose und Kompetente.

15.2.6 Digitalisierung als Schere in der Gesellschaft

Die Digitalisierung ermöglicht zwar jede Menge Chancen – sie kann aber auch die Schere zwischen Arm und Reich noch vergrößern. Auf jeden Fall zieht sie heute schon einen Graben durch unsere Gesellschaft – nämlich zwischen denen, die in der Lage sind, mündig mit ihren Geräten umzugehen, und denen, die das eben nicht können. Letztere werden deutlich leichter Opfer für Angreifer werden – umso wichtiger ist es, die Digitalisierung möglichst sicher voranzutreiben, und damit für einen Ausgleich in der Gesellschaft zu sorgen.

15.3 Was ist Sicherheit?

Für Sicherheit gibt es keine eindeutige Definition, oder alternativ zu viele. Sicherheit ist darüber hinaus subjektiv, bzw. ist es sehr schwer, sich in einer Organisation auf eine „gleiche“, objektive Sicherheit zu einigen. Es bietet sich daher an, eine Definition zu verwenden, die diese Subjektivität berücksichtigt, und dennoch einheitlich verwendbar ist. Wir verwenden die folgende Definition: „Sicherheit ist die Freiheit von unvertretbaren Risiken“ (nach IEC 61508). Dabei können die Risiken objektiviert werden, und mit den klassischen Methoden bewertet werden – dennoch ist dem Individuum (bzw. im Business-Kontext dem Entscheider oder dem Risiko-Verantwortlichen) überlassen, wo seine Vertretbarkeitsgrenze liegt.

Ein Risiko ist dabei ein erwarteter Schaden, und wird durch das Produkt von Eintrittswahrscheinlichkeit/Häufigkeit des Eintretens in einem gegebenen Zeitraum (meist 3 Jahre) und Schadenshöhe berechnet. Ein Risiko wird in der Regel in einer Finanzwährung bewertet – schließlich sind aus betriebswirtschaftlicher Sicht für Risiken Rückstellungen in der Größenordnung der Risiken (den Erwartungswerten für die möglichen Schäden) erforderlich. Für einfache Anwendungen reicht es aber auch aus, Stufen für Eintrittswahrscheinlichkeit und Schadenshöhe festzulegen (etwa: 3x3).

15.3.1 100 % Sicherheit gibt es nicht

Mit dieser Definition ist klar, dass es keine hundertprozentige Sicherheit geben kann: es gibt in der Praxis immer Risiken, die akzeptabel sind, und daher wird man sich genau gegen diese Risiken (aus Gründen des Aufwands oder der damit verbundenen Einschränkungen) nicht schützen (z. B. dass der Computer zu Hause geklaut wird). Auch kann es sein, dass man bestimmte Risiken gar nicht „im Blick“ hat, und sich eben auch gegen diese nicht schützt (z. B. die schon angesprochenen Drive-by-Exploits bei Anklicken fremder/untergeschobener Webseiten). Festzuhalten ist also: Sicherheit ist ein relativer Zustand, abhängig von der Risikosituation und dem (individuellen) Schutzbedarf.

Sicherheit ist, genauer betrachtet, sogar ein sehr volatiler Zustand, d. h. er ist häufigen Änderungen unterworfen, und es ist sehr aufwändig, das Niveau der Sicherheit annähernd gleich zu lassen. Folgende wesentlichen Größen beeinflussen den aktuellen Zustand der Sicherheit:

• Motivation und Kompetenz der Angreifer – ein plötzliches Interesse an einem Unternehmen oder einer Technologie (etwa durch die Auftraggeber der Angreifer) kann die Sicherheitslage drastisch beeinflussen – genauso umgekehrt: durch ein Nachlassen des Interesses kann die Sicherheit plötzlich stark steigen!

• Wirksamkeit der bereits ergriffenen Maßnahmen – der wesentlichste Faktor für die vorhandene Sicherheit besteht darin, dass die für die Reduktion der Risiken geplanten Maßnahmen auch tatsächlich wie erwartet funktionieren – nun nicht etwa zusätzlich weitere Risiken „öffnen“. So wirkt etwa eine Passwort-Policy, die eine Mindestkomplexität fordert, gut gegen Brüte-Force-Hacking und „Raten“ der Passwörter, aber sie verleiten dazu, dass Passwörter aufgeschrieben werden – digital oder in Papierform – und so entsteht durch eine eigentlich gute Maßnahme ein höheres Risiko.

• Fehlerfreiheit der eingesetzten Systeme – die meisten technischen Angriffe (wenn die Firewall durch Social Engineering überwunden wurde) nutzen technische Fehler in Software aus, so genannte Schwachstellen (engl. „vulnerabilities“, Verwundbarkeiten). Diese entstehen durch Unachtsamkeit und Unprofessionalität von Software-Entwicklern und sind inhärent in Software vorhanden; sobald sie aber entdeckt werden, werden so genannte Exploits gebaut (das sind Programme, die die Schwachstelle für die Zwecke eines Hackers ausnutzen) und in die Welt gebracht. Die Überwachung von Ankündigungen über Schwachstellen in Software und Information darüber, wann und wie der Hersteller der Software gedenkt, die Fehler zu beheben, ist daher ebenfalls sehr wichtig für eine aktuelle Einschätzung der Sicherheitslage.

15.3.2 Sicherheit ist ein Prozess

Durch die Volatilität der Sicherheit und insbesondere die extrem schnell mögliche Änderung des Sicherheitszustands spricht man in der IT- und Informationssicherheit davon, dass „Sicherheit ein Prozess ist“ [5]. Damit ist gemeint, dass nur durch gut funktionierende, nachhaltige Prozesse ein akzeptabler (wenngleich schwankender) Sicherheitszustand erhalten werden kann. Zu diesen Prozessen gehören etwa: Risikoanalyse, Maßnahmenidentifikation, Wirksamkeitskontrolle der Maßnahmen, oder Schwachstellenmanagement.

15.3.3 Sicherheitsziele und Schutzbedarf

Wie kann man nun die Zielvorstellung von „Sicherheit“ beschreiben? Natürlich kann man alle Risiken simultan betrachten – und das machen Management-Systeme auch genau so, wie wir noch sehen werden -, aber diese sehr individuelle und feingranulare Herangehensweise ist nicht hilfreich, um etwa geeignete Basisschutzmaßnahmen zu identifizieren, also Maßnahmen, die eine große Menge von Risiken adressieren, oder umgekehrt, einen Großteil der Risiken „auf einen Schlag“ minimieren. Um dies zu erreichen, bedient man sich einer Vereinfachung: man bildet die Risiken auf Sicherheitseigenschaften von Informationen oder Prozessen ab. Die typischen Informations-Sicherheits-Ziele sind Verfügbarkeit, Vertraulichkeit und Integrität; typische Prozess-Sicherheits-Ziele sind Nachvollziehbarkeit, Nicht-Abstreitbarkeit und Integrität. Man spricht dann von Sicherheitszielen (oder auch Schutzzielen). Es gibt je nach Autor/Sicherheitsmodell auch noch weitere Sicherheitsziele – es lassen sich aber theoretisch alle Sicherheitsziele auf die drei Ziele Verfügbarkeit – Vertraulichkeit – Integrität von Information zurückführen [6].

Daher werden Sicherheitsmaßnahmen in der Regel nach ihrem zu erreichenden Sicherheitsziel klassifiziert: Anti-Virus etwa zur Sicherstellung der Integrität eines Systems, Verschlüsselung etwa zur Sicherstellung der Vertraulichkeit, und etwa Load-Balancing oder Back-up zur Sicherstellung der Verfügbarkeit. Umgekehrt kann man auch Mindest-Maßnahmen für eine Information, ein System oder einen Prozess identifizieren, welche sich darauf auswirkende Risiken auf eine akzeptable Höhe senken. Dann spricht man von Schutzbedarf der Informationen, Systeme oder Prozesse.

15.3.4 IT-Sicherheit vs. Informationssicherheit vs. Datenschutz

Die beispielhafte Zuordnung von Sicherheitsmaßnahmen zu den Sicherheitszielen zeigt schon eine gewisse Präferenz für die eine oder andere Maßnahme – je, nachdem welche Sicherheitsperspektive man einnimmt. Dies nimmt noch deutlichere Formen an, wenn man die stark überlappenden, aber nicht identischen Themenbereiche „IT-Sicherheit“, „Informationssicherheit“ und „Datenschutz“ betrachtet.

• IT-Sicherheit hat den Schutz der IT-Infrastruktur, der IT-Systeme und der IT-Anwendungen zum Ziel. Der wichtigste Stakeholder der IT-Sicherheit ist der IT-Leiter: sein Interesse besteht darin, dass die von ihm bereitgestellten Services möglichst störungsfrei (und kostengünstig) laufen. Der Schutz der eigentlich verarbeiteten Informationen steht dabei nicht im Vordergrund. Überwiegend werden für die IT-Sicherheit technische Maßnahmen eingesetzt.

• Informationssicherheit hat zum Ziel, die verarbeiteten Informationen bzw. die verarbeitenden Prozesse entsprechend ihrem Schutzbedarf zu schützen. Dabei geht es um die Sicherstellung der Sicherheitsziele für die Informationen bzw. Prozesse – die die Verarbeitung erbringenden Systeme stehen dabei nicht im Fokus. Im Gegenteil: dem Informationseigner kann es sogar egal sein, mit welchen Systemen die Verarbeitung erfolgt (zur Not mit Bleistift und Papier), solange die Sicherheitsziele sichergestellt werden. Oft sind daher gerade nicht-technische Maßnahmen für die Gewährleistung der Sicherheitsziele im Einsatz.

• Datenschutz hat den Schutz von Persönlichkeitsrechten zum Ziel, und zwar bei der Bearbeitung von personenbezogenen oder personenbeziehbaren Daten. Die Risiken sind aus Sicht der betroffenen Personen zu betrachten, und geeignete risikosenkende Maßnahmen zu ermitteln (im Datenschutz heißen diese „TOMs“ = technische und organisatorische Maßnahmen).

Die Zielsetzungen sind sehr unterschiedlich und können in manchen Fällen sogar widersprüchlich sein; die Maßnahmen sind aber sehr oft (fast) deckungsgleich.

15.3.5 Einschätzung von Risiken

Neben den Prozessen für die Ermittlung der Wirksamkeit der Maßnahmen und der Einschätzung der Auswirkungen von Schwachstellen sind die wesentlichen Kenngrößen, um die Sicherheitslage bewerten zu können, Aussagen rund um Risiken (Eintrittswahrscheinlichkeit, Schadenshöhe, risikosenkende Wirkung einer Maßnahme, ggf. sogar Risikopropagation und -Aggregation bei fortgeschrittenen Modellen). Daher kommt der Ermittlung der damit verbundenen Kenngrößen eine besondere Bedeutung im Hinblick auf die Aussagefähigkeit einer Risikoanalyse und -bewertung zu.

Die Schadenshöhe eines Risikos, also eines erwarteten Schadens, kann durch zwei Ansätze berechnet werden: bei dem ersten Ansatz werden die direkten und indirekten Kosten eines Schadens aufsummiert (etwa bei erfolgreicher Spionage: Verlust der Wettbewerbsfähigkeit durch Rückgang der Verkaufszahlen). Bei dem zweiten Ansatz werden die Kosten geschätzt, um den Originalzustand vor dem Schaden wiederherzustellen (dies eignet sich gut im Falle von Image-Risiken).

Die Eintrittswahrscheinlichkeit ist, anders als bei systemischen Risiken (bei denen sich das Auftreten über alle Aspekte eines Systems verteilen kann, wie etwa Unwetter, Fahrzeugunfälle oder Feuer durch Unfall), nicht durch Statistiken bestimmbar. Hier ist es daher hilfreicher, Eigenschaften über Angriffswege (= die Schwachstellen) und über die Angreifer zu betrachten. Beispielsweise kann man Kenntnis und Ausnutzbarkeit einer Schwachstelle, und Motivation und Kompetenz von Angreifern als Kriterien zur Ermittlung der Wahrscheinlichkeit heranziehen (OWASP Risk Rating). Damit ist natürlich keine „skalare“ Wahrscheinlichkeit mehr möglich, bzw. muss das Ergebnis künstlich auf eine Skala abgebildet werden.

Wenn man mit dem Risikomanagement detailliert arbeitet, liegt der Teufel im Detail; letztlich sollte man die gleiche „Fehlertoleranz“ bei allen Risiken anwenden, um eine Vergleichbarkeit der Ergebnisse zu bekommen – denn das Ziel des Risikomanagements liegt ja darin, bestimmte Risiken zu akzeptieren, um den Aufwand für Maßnahmen zu reduzieren.

15.3.6 Resilienz

Sehr en vogue sind zurzeit Systeme mit künstlicher Intelligenz, oder zumindest mit der Fähigkeit, maschinell lernen zu können. Die langfristige Zielsetzung dabei ist aus Sicherheitssicht, dass die Systeme sich zu einem gewissen Grad selbst heilen können, und damit die definierten und von den Nutzern erwarteten Services ohne oder nur mit geringen Störungen bereitstellen können. Dabei spricht man von Resilienz, also der Fähigkeit, auch unter Störungen weiter die erwarteten Services erbringen zu können – ähnlich zur Fähigkeit des menschlichen Organismus, unter Viren- und Bakterienbefall weiter funktionieren zu können, aber auch Heilungsprozesse einleiten zu können, um zur vollen Funktionsfähigkeit zurückkehren zu können.

15.4 Sicherheitsmanagement

Um den sich ständig ändernden Sicherheitsstatus dennoch auf einem akzeptablen Niveau zu halten, wird – ganz analog zum Qualitätsmanagement – ein Management-System eingesetzt, welches ein Zielniveau definiert, und mit unterschiedlichsten Maßnahmen die Erreichung bzw. Einhaltung dieses Ziels verfolgt. Ein solches Management-System heißt Sicherheitsmanagement – oder, je nach Schwerpunkt auch Informationssicherheits-Managementsystem (ISMS) oder IT-Sicherheits-Management. In aller Munde ist zurzeit die Norm ISO/IEC 27001, nach welcher man sein ISMS zertifizieren lassen kann.

Wichtig bei einem ISMS sind der so genannte Geltungsbereich, sowie die festgelegten Schutzziele. Der Geltungsbereich besagt, in welchem Teil einer Organisation (ein Standort, eine Abteilung, ein Prozess) die Informationen sicher gehalten werden, und die Schutzziele, welche Sicherheitseigenschaften sichergestellt werden. IT-Dienstleister werben oft damit, dass sie ein ISO 27001-Zertifikat haben – da sie die Kundendaten aber nicht kennen, ist nicht klar, welche Schutzziele sie dabei einhalten. Kunden von IT-Dienstleistern sind deutlich besser damit bedient, wenn letzterer eine ITIL®- oder ISO 20000-Zertifizierung hat, denn dann kann er nachweisen, dass er seine Dienstleistungen nachhaltig in gleichartiger Qualität (incl. Sicherheit!) erbringt. Die ISO 27001 ist vielmehr dafür gedacht, dass sich die Organisationen, die Informationen verantworten, nachweisen können, dass sie nachhaltig und gleichartig sicher damit umgehen können.

Der wesentliche Unterschied zum Qualitätsmanagement besteht in der Geschwindigkeit, mit der Reaktionen erfolgen können müssen, um das Sicherheitsniveau zu halten. Darüber hinaus sind die meisten Elemente, insbesondere die, die die Steuerung des Management-Systems betreffen, im Wesentlichen identisch. Es gibt also einige Synergien zwischen Informationssicherheitsmanagement und Qualitätsmanagement, auch wenn es Besonderheiten gibt. Ähnlich sieht es beim Datenschutz aus: das von der neuen EU-Datenschutzgrundverordnung (s. auch im weiteren Verlauf) geforderte Datenschutzmanagement-System ist im Wesentlichen identisch zu einem Informationssicherheits-Managementsystem – mit einem wesentlichen Unterschied: die Perspektive, aus welcher die Risiken erfasst und bewertet werden. Allen gemein ist die Anforderung, kontinuierlich nach Verbesserung zu streben, und dies auch zu dokumentieren.

Die wesentlichen Komponenten eines Informationssicherheits-Managementsystems werden in der Folge beschrieben.

15.4.1 Leitbild und Zielsetzung

In einem ersten Schritt müssen die Sicherheitsziele festgestellt werden. Dafür müssen die in der Organisation verarbeiteten Informationen erfasst und auf ihre Bedeutung für das Unternehmen hin eingeschätzt werden. Sicherheitsziele und Schutzbedarf werden abgeleitet und in einem zentralen Dokument (Leitbild, oder Leitlinie) festgehalten. Diese Festlegung ist wichtig, da sie in der Folge die Aktivitäten bestimmt, welche dazu dienen sollen, die Sicherheit der Informationen aufrechtzuerhalten, und es eben nicht möglich ist, alle Informationen 100 % „sicher“ zu halten. Das Leitbild sollte in größeren, regelmäßigen Abständen daraufhin überprüft werden, ob es noch aktuell ist (oder ob sich etwa die Geschäftstätigkeiten geändert haben, und so auch die Sicherheitsziele angepasst werden müssen).

15.4.2 Risiken managen

Im Zentrum eines ISMS steht die möglichst aktuelle Kenntnis über die Risiken, die die Sicherheitsziele betreffen. Dafür sind einige Prozesse in der Organisation aufzusetzen: in jedem Bereich müssen Risiken regelmäßig erfasst und bewertet werden, die Risiken müssen zusammengeführt und verglichen werden, die Wirksamkeit der Maßnahmen muss bekannt sein, sowie natürlich Änderungen der Sicherheitslage (Angreifer, Angriffe in der „Nachbarschaft“, Schwachstellen etc.) und deren Auswertung auf die Risiken erfasst werden.

Diese Information muss dem jeweils verantwortlichen Management vorgelegt werden, und es muss dort entschieden werden, ob die Risiken tragbar sind, oder weitere risikosenkende Maßnahmen (bis hin zur Einstellung der kritischen Geschäftstätigkeit) zu treffen sind. Aufgrund der grundsätzlich sehr volatilen Sicherheitslage sollte das Management sich regelmäßig – und je nach Bedeutung der Informationssicherheit für die Geschäftstätigkeit auch sehr häufig – mit der Sicherheits- und Risikolage beschäftigen. Während für produzierende Unternehmen ein monatlicher Rhythmus sinnvoll sein kann, ist für Banken o. ä. ein tägliches Update u. U. angezeigt. Grundsätzlich kann folgende Faustregel herangezogen werden: der Abstand zwischen zwei Management-Meetings zu Informationssicherheit sollte nicht größer sein als die Zeit, in der das Unternehmen durch Hacker-Angriffe erheblich beeinträchtigt werden kann [7].

15.4.3 Prävention

Um das Eintreten von Risiken von vornherein zu vermeiden, werden präventive Maßnahmen eingesetzt. Dazu gehören die Standard-Maßnahmen der IT-Sicherheit (Firewalls, Netzwerksegmentierung, Anti-Malware-Lösungen etc.) aber auch zusätzliche Maßnahmen, die gezielt gegen einzelne Risiken wirken, wie z. B. Verschlüsselung von bestimmten Informationen, oder Nutzung von dedizierten IT-Systemen für bestimmte Anwendungen. Es gibt verschiedene Sammlungen von Best Practices für solche präventiven Maßnahmen; die folgenden sind empfehlenswert:

• die Maßnahmen im Anhang A der ISO/IEC 27001: dort sind 135 Maßnahmen aufgelistet, welche grundsätzlich für eine Zertifizierung erforderlich sind (grundsätzlich bedeutet dabei, dass sie mit entsprechender Begründung auch abgewählt werden können). Diese Maßnahmen bilden im Wesentlichen einen allgemein akzeptierten Katalog, und decken alle wichtigen Bereiche ab.

• die Maßnahmen der Grundschutzkataloge des BSI: diese Sammlung ist sehr erschöpfend und umfasst für viele Systeme konkrete Handlungsempfehlungen, um Schwachstellen zu schließen und Risiken zu senken.

• die Maßnahmen des VdS-Standards 3473: der Verband der Schadensversicherer hat den Maßnahmenkatalog der ISO/IEC 27001 weiter abgespeckt und zu einer guten Empfehlung entwickelt.

Die Maßnahmen sind regelmäßig auf ihre Wirksamkeit zu prüfen – denn nur, wenn die Maßnahmen auch funktionieren, schützen sie vor Angriffen und Schäden. Dies erfolgt in der Regel durch (Stichproben-) Audits, etwa werden alle Maßnahmen turnusmäßig in 3 Jahren geprüft; führt man 2 Audits im Jahr durch, so prüft man in jedem Audit dann ca. 1/6 der Maßnahmen. Wird festgestellt, dass die Maßnahmen nicht wirken oder nicht vollständig funktionieren, so sind die Risiken, die durch diese Maßnahmen auf ein akzeptables Maß gesenkt werden, neu zu bewerten – und es sind ggf. zusätzlich Maßnahmen zu treffen, um die (hoffentlich temporäre) Lücke zu beheben.

15.4.4 Reaktion

Wie schon mehrfach betont, ist ein Sicherheitszustand sehr volatil. Daher sind die Reaktionsprozesse eines Informationssicherheitsmanagement-Systems von großer Bedeutung. Zu den Reaktionsprozessen zählt man die folgenden Prozesse:

• Schwachstellenmanagement: im Rahmen dieses Prozesses werden neue, bekannt gewordene Schwachstellen in IT-Systemen daraufhin geprüft, ob sie für das Unternehmen relevant sind, und falls ja, welche Maßnahmen zu ergreifen sind. In vielen Fällen gibt es Patches, dann sind deren Einspielungen in die Systeme einzuplanen. Aber auch wenn es keine Patches gibt, sind geeignete Maßnahmen zu ergreifen, um die durch die Schwachstelle kurzzeitig vergrößerte Angriffsoberfläche zu minimieren. In jedem Fall ist die Auswirkung von Schwachstellen auf die Risiken auszuwerten und dem Verantwortlichen mitzuteilen. Voraussetzung für ein funktionierendes Schwachstellenmanagement ist die Kenntnis über alle in der Organisation eingesetzten Systeme und Anwendungen – oft ist dies schon eine große Herausforderung.

• Vorfallsmanagement: während Schwachstellen nur potenzielle neue Angriffe darstellen, und „nur“ das Risiko ggf. erhöht wird, handelt es sich bei Vorfällen um tatsächliche Angriffe (oder Anzeichen dafür). So sollten alle Mitarbeiter in der Lage sein, Auffälligkeiten an eine Vorfallsbearbeitung zu melden, welche diese auswertet und ggf. weitere Eskalationsstufen einleitet. Bei Vorfällen der Informationssicherheit kann der Schaden in sehr kurzer Zeit sehr groß werden (z. B. ist das Versenden von internen Informationen oft schnell und unbemerkt möglich), daher ist es wichtig, sehr schnell reagieren zu können. Dementsprechend müssen Betroffene wie auch Experten schnell erreichbar sein, und kurzfristig (ggf. auch virtuell) zusammenkommen können – sie bilden dann ein so genanntes Computer Emergency Response Team (CERT). Kann der Vorfall nicht auf der Arbeitsebene eingedämmt werden, ist ggf. das Ausrufen einer Krise im Rahmen von Krisenmanagement-Prozessen der nächste Eskalationsschritt.

• Krisenmanagement: nehmen Vorfälle Entwicklungen an, die das gesamte Unternehmen erheblich in Mitleidenschaft ziehen können (und bei Informationssicherheitsvorfällen kann das aus Reputationsgründen sehr schnell passieren), dann sollte ein Krisenteam, bestehend aus darin trainierten Personen der zweiten Führungsebene, die Behandlung der Krise vollständig übernehmen. Dafür sind vorbereitend Ausbildungs-, Alarmierungs- und Übungsprozesse einzurichten.

15.4.5 Verantwortlichkeiten

Grundsätzlich ist das Management immer für den angemessenen Umgang mit Risiken verantwortlich (s. auch den Abschnitt zu kaufmännischer Sorgfaltspflicht). Dabei kann das Management über die Angemessenheit selbst entscheiden – solange die Entscheidungen nicht fahrlässig sind.

Für die Umsetzung der hier beschriebenen Aktivitäten des Informationssicherheits-Managementsystems wird in der Regel ein Informations-Sicherheits-Beauftragter eingesetzt. Er ist nicht für die Sicherheit verantwortlich, wohl aber für die ordnungsgemäße und zeitnahe Umsetzung der Prozesse und Tätigkeiten. In der Regel sollte es ein Experte sein, der auch Maßnahmen empfiehlt und bei der Bewertung unterstützt.

Ist die Organisation zu groß, um von einem Beauftragten vollständig erfasst werden zu können, ist eine Informationssicherheits-Organisation erforderlich, bestehend aus – zusätzlich zum Beauftragten -zusätzlichen lokalen Ansprechpartnern pro Division oder Standort.

Grundsätzlich ist es keine gute Idee, die Verantwortung für die Informationssicherheit innerhalb der IT-Abteilung anzusiedeln, und zwar aus folgendem Grund: die IT liefert die Anwendungen und Dienste, mit denen die Fachabteilungen die für sie relevanten Informationen verarbeiten. Eine realistische Bewertung der Risiken aus Unternehmenssicht ist daher nur in der jeweiligen Fachabteilung möglich; die IT-Abteilung würde die Risiken immer aus „Ihrer“ Brille betrachten und so zu völlig anderen Bewertungen kommen. Daher ist die Idealbesetzung für den Informations-Sicherheits-Beauftragten eine Stabsstelle.

15.4.6 Sicherheitsbewusstsein

Das größte Einfallstor für Angreifer bildet heute der Mensch. Die IT-Systeme sind, wenn entsprechend gut betreut, schon recht sicher. Erst wenn ein Mitarbeiter mithilft – meist unwissentlich -, dann wird ein Angreifer erfolgreich sein. Um dieses Risiko so senken, ist es erforderlich, Mitarbeiter (wie auch Externe) über die Risiken aufzuklären und sie zu sicherheitskonformem Verhalten aufzufordern. Dies geschieht am besten mit an die Kultur der Organisation angepassten Awareness-Maßnahmen. Dabei sollte man trennen zwischen den zwei wichtigen Lernzielen: die Erhöhung der Kompetenz der Mitarbeiter, z. B. bei der Einschätzung der Unbedenklichkeit von eigenen Aktionen, und die Erhöhung der Motivation, sich sicher zu verhalten, etwa wenn vertrauliche Dateien denn doch nicht via Messenger an den Partner verschickt werden. Kompetenzsteigernde Maßnahmen sollten eher themenorientiert (z. B. Spionagerisiken auf Auslandsreisen) geschult werden (dazu eignen sich auch Online-Trainings), während motivationssteigernde Maßnahmen eher zielgruppenorientiert stattfinden sollten (z. B. für Ingenieure getrennt von Vertrieblern), da die Zielgruppen in der Regel unterschiedliche Motivationslagen haben.

15.5 Gesetzliche Vorgaben und Stand der Technik

Welche von diesen Aktivitäten sind gesetzlich verbindlich? Auf den ersten Blick erscheinen Tätigkeiten zur IT- und Informationssicherheit, speziell für die Digitalisierung, freiwillig zu sein. Dem ist aber mitnichten so!

15.5.1 IT-Sicherheitsgesetz

Das IT-Sicherheitsgesetz (ITSG, [8]) hat zum Ziel, für eine angemessene IT-Sicherheit in kritischen Bereichen unserer Gesellschaft zu sorgen. Dies betrifft daher zum einen kritische Infrastrukturen und zum anderen IT-Dienste über das Internet. Kritische Infrastrukturen sind Unternehmen und Organisationen aus den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen, Staat und Verwaltung und Medien und Kultur, welche mehr als 500.000 Bürger bedienen. Kritische Infrastrukturbetreiber müssen ein Informationssicherheitsmanagementsystem einsetzen (die Details regeln Verordnungen und nachgelagerte Behörden, wie etwa die Bundes-Netz-Agentur (BNetzA) und das Bundesamt für Sicherheit in der Informationstechnik (BSI)), und dieses zertifizieren lassen, also deren Wirksamkeit durch externe unabhängige Gutachter bestätigen lassen. IT-Dienste-Anbieter müssen ebenfalls ein ISMS betreiben, haben aber keine Zertifizierungspflicht.

Im Rahmen ihrer Verantwortung können Betreiber Kritischer Infrastrukturen auch Anforderungen an ihre Zulieferer stellen, um das Risiko entlang der Lieferkette zu senken. Hier können die IT-Sicherheits-Anforderungen nach „unten“ kaskadieren. Es gibt bereits branchenspezifische Anforderungen für eine sichere Kollaboration im Rahmen von Industrie 4.0, z. B. in der Automobilindustrie (TISAX Modell).

15.5.2 Datenschutzgrundverordnung

Die EU-Datenschutzgrundverordnung (DSGVO, [9]) ersetzt ab Mai 2018 das Bundesdatenschutzgesetz und regelt einen einheitlichen Datenschutz-Standard in Europa. Die Verordnung ist direkt geltendes Recht; dennoch gibt es weiterhin Bundes- und Landesdatenschutzgesetze, die weitere Details spezifizieren – sie können aber die Inhalte der Verordnung nicht aufheben! Neu an der DSGVO sind unter anderem die folgenden Aspekte:

• die Strafen sind sehr empfindlich (bis zu 4 % des Jahresumsatzes der Muttergesellschaft) und die Aufsichtsbehörden können ohne Anlass auf Basis der Dokumentenlage Strafen aussprechen,

• die Rechte der Betroffenen im Hinblick auf das „Recht auf Vergessenwerden“ oder die „Mitnahme von Daten“ sind deutlich gestärkt worden und

• es ist ein Datenschutzmanagement-System erforderlich, welches sich in genau einem Punkt von einem Informationssicherheitsmanagement-System unterscheidet: es erfordert, dass die Risikobetrachtung aus Sicht der Betroffenen durchgeführt wird. Die zentralen Betriebsprozesse eines DSMS sind vollkommen identisch zu denen eines ISMS, nur die Bewertung und die betrachteten Inhalte sind „andere“ (zumindest aus einer anderen Perspektive betrachtet).

Damit fordert die DSGVO die gleichen Kompetenzen, Prozesse und Transparenz wie das IT-Sicherheitsgesetz (plus weitere Aktivitäten zur Erfüllung der Betroffenenrechte).

15.5.3 Kaufmännische Sorgfaltspflicht

Es gehört zur kaufmännischen Sorgfaltspflicht, mit unangemessenen Risiken geeignet umzugehen. Dafür ist der Stand der Technik einzusetzen (im rechtlichen Sinne, nicht im Sinne von Patenten und Erfindungen). Durch die Verankerung eines ISMS in den beiden oben genannten Gesetzen ist damit quasi ein ISMS (oder zumindest ein Management-System, man könnte die Informationssicherheitsrisiken auch mit einem Qualitätsmanagementsystem behandeln) verbindlich einzusetzen – wenn auch nicht zu zertifizieren.

Zusammengefasst: Jedes Unternehmen muss nun, um angemessen mit den Risiken der Digitalisierung umzugehen, ein Informationssicherheits-Managementsystem betreiben – zumindest in Grundzügen.

15.6 Notwendige Sicherheitskonzepte

Die Digitalisierung hat zwei wesentliche Merkmale, welche für die Sicherheit von besonderer Bedeutung sind: Standardisierung und Vernetzung. Während die Vernetzung es ermöglicht, dass Angreifer aus der Ferne in Ruhe ihre Angriffe vorbereiten und durchführen können, sorgt die Standardisierung dafür, dass Angreifer sich nicht erst in die Technologie ihrer Zielorganisation einarbeiten müssen, sondern sozusagen sofort einsatzbereit sind. In der Konsequenz bedeutet dies, dass alle Schutzmechanismen davon ausgehen sollten, dass der Angreifer zum einen auf alle Schnittstellen Zugriff hat und zum zweiten die Protokolle beherrscht – sozusagen ein Analogon zum Kerckhoff’schen Prinzip aus der Kryptografie, welches besagt, dass die Sicherheit eines Verschlüsselungsverfahrens nicht an der Geheimhaltung des Verfahrens hängen darf.

Diese Annahme schließt einige heute gängige Software-Architektur-Patterns aus. Leider finden sich noch zu oft solche Elemente in heutigen Implementierungen für digitalisierte Lösungen, zum Großteil werden die veränderten Anforderungen in der Referanzarchitektur zu Industrie 4.0 berücksichtigt [10]. In der Folge werden einige Konzepte diskutiert.

15.6.1 Trennung von Anwendungslogik und Benutzerverwaltung

Eine sichere und gut benutzbare Benutzerverwaltung ist sehr komplex zu implementieren. Benutzerverwaltungen ermöglichen es an vielen Stellen, Angreifern einzudringen, wenn die Sicherheitsaspekte nicht geeignet berücksichtigt werden. Stolperfallen bestehen etwa beim Session Management, bei der Passwort-Speicherung, oder bei der Rollen-Verwaltung.

Im Idealfall haben moderne Anwendungen selbst keine Benutzerverwaltung mehr, sondern nutzen die Möglichkeiten, die externe Benutzerverwaltungen bieten. Dabei können Prozesse der Föderation und des Entitlements verwendet werden, welche einen dediziert gesteuerten Zugriff auf Ressourcen ermöglichen, und dabei Rollen und Berechtigungsstrukturen (Gruppen etc.) umsetzen, ohne dass Benutzerinformationen in der Anwendung gehalten werden müssen. Die Protokolle zur Integration von externen Benutzerverwaltungen sind standardisiert (etwa SAML, OAuth 2.0) und es gibt Bibliotheken zur einfachen Verwendung.

15.6.2 Nachrichtenbasierte Schutzkonzepte statt netzwerkbasierter Ansätze

Noch immer hält sich der Glaube hartnäckig, dass durch eine geeignete Trennung von Anwendungen und Systemen auf Netzwerkebene die Sicherheit von Systemen sichergestellt werden kann. Das hat in einer Zeit funktioniert, als die Protokolle noch nicht standardisiert und nicht alle Geräte vernetzt waren – nun funktioniert diese Schutzmaßnahme nicht mehr. Firewalls etwa sind heute dazu da, Massenangriffe über Internet-Protokolle abzufangen, und Regeln für die ausgehende Kommunikation durchzusetzen. Da aber ein Großteil der Kommunikation über http erfolgt, zudem auf wenigen, immer gleichen Ports, und darüber hinaus sogar über https gesichert ablaufen, ist auch diese Aufgabe zunehmend schwerer.

Der richtige Ansatz in Zeiten der Digitalisierung besteht darin, dass die einzelnen Informationen, die zwischen Systemen ausgetauscht werden, sich selbst schützen – so dass es ihnen letztlich egal ist, wo die Information gerade fließt und wie der Schutz auf der Übertragungsebene aussieht. Die Standards und Protokolle sind dafür vorhanden, und werden auch von modernen Industrie 4.0-Ansätzen eingesetzt: digitale Signatur und Policy-basierte Verschlüsselung von einzelnen Nachrichten (XML, JSON) [10].

15.6.3 Security & Privacy by Design statt Funktionalisierung der Sicherheit

Viele Lösungen für die Digitalisierung werden entwickelt nach dem Prinzip: „um die Sicherheit kann sich ja dann jemand anders kümmern“. Die Grundannahme hinter diesem Gedanken besteht darin, dass sich die erforderlichen Sicherheitseigenschaften funktionalisieren lassen. Damit ist gemeint, dass Sicherheitseigenschaften einer Gesamtlösung so erreicht werden können, indem bestimmte sicherheitsbezogene Features implementiert werden (und als separates Produkt verkauft werden) können. Um etwa Malware in E-Mail-Programmen zu vermeiden, wird eine Antiviruslösung entwickelt und verkauft.

Der Ansatz der Funktionalisierung hat seine Grenzen in der Komplexität – einfache Features sind damit gut möglich; ist jedoch die Sicherheitseigenschaft zunehmend komplex und stark in die Anwendung verwoben, dann scheitert die Funktionalisierung. Stattdessen müssen die Anwendungen „von sich aus“ sicher sein. Dies wird durch die Konzepte „Security by Design“ bzw. „Privacy by Design“ (für Datenschutz-Eigenschaften) realisiert [11–13].

Security & Privacy by Design fordert, dass sich Systeme und Anwendungen nicht auf externe, spezialisierte Security-Produkte verlassen und stattdessen selbst für die gebotenen oft nicht-funktionalen Sicherheits- und Datenschutzeigenschaften sorgen. Dies erfordert zusätzliche Investitionen auf Seiten der System- und Anwendungshersteller, ermöglicht aber deutlich leichter, die Gesamt-Sicherheitsziele eines integrierten Systems zu erreichen [2, 14].

15.7 Fazit

Digitalisierung ohne Sicherheit ist wie Fliegen ohne Fallschirm: man wird entweder unangemessene Risiken eingehen oder nur in ungefährlichen Situationen manövrieren. Anders gesagt: Erst die Informationssicherheit ermöglicht einen ernsthaften Einsatz der Digitalisierung.

Neue Innovationen und interessante Prototypen werden oft sehr schnell entwickelt; ein produktiver und professioneller Einsatz hingegen wird erst möglich, wenn die dafür erforderliche Sicherheit auch vorhanden ist. Da Sicherheit aufgrund der hohen Komplexität erheblich langsameren Innovationszyklen folgt als „normale“ Innovation, verzögert die Sicherheit sozusagen die Digitalisierung.

Ein Informationssicherheits-Managementsystem ermöglicht das kontrollierte Eingehen von Risiken – dementsprechend ist es durchaus möglich, mit Digitalisierungsprojekten zu starten, wenn man die Risiken „im Griff“ hat, ggf. alternative, zeitlich begrenzte Präventionsmaßnahmen einsetzt und gut auf Vorfälle vorbereitet ist.

Die Rechtslage wird sich nach Ansicht des Autors noch weiter verschärfen – je vernetzter die Welt wird, desto mehr Bedarf wird bestehen, die Sicherheit regulativ zu steuern, um kritische Aspekte schützen zu können.

Die zentrale Empfehlung des Autors lautet daher: Implementieren Sie ein Informationssicherheits-Managementsystem. Dies bietet Ihnen die Möglichkeit, die Digitalisierung mit Sicherheit zu wagen!

Literatur

1. 1.
   Baums A, Schössler M, Scott B (2015) Industrie 4.0: Wie digitale Plattformen unsere Wirtschaft verändern – und wie die Politik gestalten kann. Kompendium Digitale Standortpolitik, Bd 2
2. 2.
   Paulus S, Mohammadi NG, Weyer T (2013) Trustworthy software development. In: IFIP international conference on communications and multimedia security. Springer, Berlin/Heidelberg, S 233–247Crossref
3. 3.
   Baxter G, Sommerville I (2011) Socio-technical systems: from design methods to systems engineering. Interact Comput 23(1):4–17Crossref
4. 4.
   Deutschland sicher im Netz e.V. https://​www.​sicher-im-netz.​de/​. Zugegriffen am 05.03.2018
5. 5.
   Sowa A (2017) Wichtige Begriffe rund um Informationssicherheit. In: Management der Informationssicherheit. Springer Vieweg, Wiesbaden, S 5–15Crossref
6. 6.
   Eckert C (2013) IT-Sicherheit: Konzepte-Verfahren-Protokolle. de Gruyter, MünchenCrossref
7. 7.
   Paulus S (2005) Informationssicherheit. In: Müller KR (Hrsg) Handbuch Unternehmenssicherheit. Umfassendes Sicherheits-, Kontinuitäts- und Risikomanagement mit System. Vieweg, Wiesbaden
8. 8.
   Deutscher Bundestag (2015) Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz). Bundesgesetzblatt I(31):1324–1331
9. 9.
   Europäische Union (2016) Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung). EG (Datenschutz-Grundverordnung) Amtsblatt der Europäischen Union
10. 10.
    Adolphs P, Bedenbender H, Dirzus D, Ehlich M, Epple U, Hankel M, Koziolek H et al (2015) Reference architecture model industrie 4.0 (rami4. 0). ZVEI and VDI, Status Report
11. 11.
    Danezis G, Domingo-Ferrer J, Hansen M, Hoepman JH, Metayer DL, Tirtea R, Schiffner S (2015) Privacy and data protection by design-from policy to engineering. arXiv preprint arXiv:1501.03726
12. 12.
    Mohammadi NG, Bandyszak T Paulus S, Meland PH, Weyer T, Pohl K (2014) Extending development methodologies with trustworthiness-by-design for socio-technical systems. Trust, S 206–207
13. 13.
    Mohammadi NG, Paulus S, Bishr M, Metzger A, Könnecke H, Hartenstein S, Pohl K et al (2013) Trustworthiness attributes and metrics for engineering trusted internet-based software systems. In: International conference on cloud computing and services science. Springer, Cham, S 19–35
14. 14.
    Paulus S (2012) Basiswissen Sichere Software: Aus-und Weiterbildung zum ISSECO Certified Professionell for Secure Software Engineering. dpunkt, Heidelberg