post

LV – IT Security Audit

by Posted in Lehrveranstaltung Tagged , , , , , , , , , , , , , , , , ,

IT Security Audit and Assessment

Nur wer weis, wo er sich gerade befindet und wo er hin möchte, ist in der Lage, den richtigen Kurs einzuschlagen und sich auf den schnellsten Weg zum Ziel zu machen. Was in diesem Bild so einleuchtend klingt, ist in der Realität der IT-/ Informationssicherheit vieler Unternehmen leider häufig keine Praxis.
IT-/ Informationssicherheit ist für die meisten Unternehmen eine Querschnittsfunktion außerhalb des geschäftlichen Fokus. Echte Management-Attention ist in der Regel knapp, ebenso wie Budget und Ressourcen. Statt sich zunächst mit der individuellen Gefährdungslage und resultierend der eigentlichen Zielsetzung zu beschäftigen, wird mancherorts in werbewirksam vermarktete, scheinbar wichtige Komponenten und Hype-Themen investiert. Als Folge binden Unternehmen die ohnehin knappen Ressourcen an einzelne Themen/ Produkte und bleiben damit nur unzureichend vor den für ihr Business wirklich relevanten Bedrohungen geschützt. Sicherheit gibt es leider in den seltensten Fällen „out of the box“.
Wer sich bei angemessenem Ressourenaufwand vor aktuellen Bedrohungen schützen will, muss sich mit IT-/ Informationssicherheitsmanagement beschäftigen und den Grad der Wirksamkeit regelmäßig durch Messungen bestimmen. Nur so kann ein Unternehmen sicherstellen, dass Ressourcen zielführend in die richtigen Themen investiert werden.

In der Lehrveranstaltung „IT Security Audit and Assessment“ widme ich mich dieser wichtigen Management-Komponente aus der IT-/ Informationssicherheit. Im Rahmen eines Semesters zeige ich in 15 Kapiteln, wie der Umsetzungsgrad an IT-/ Informationssicherheit bestimmt werden kann und welche Bedeutung eine regelmäßige Messung hat.

Neben der Erörterung aktueller Bedrohungen wie Viren, Trojanern und Cyper-Attacken gebe ich einen Überblick über etablierte Standards, Methoden und Verfahren. Besonderes Augenmerk  lege ich auf die Vermittlung von relevanten Kenntnissen hinsichtlich

– der Auswahl geeigneter Standards,
– der Durchführung von Business Impact Analysen (BIA) und Bedrohungsanalysen,
– der Erstelleung von Risikoanalysen,
– der Vorbereitung von Audits und Assessments,
– der Messung des Grades an Compliance bezüglich bestimmter Sicherheitsstandards,
– der Bestimmung der Maßnahmenqualität bzw. des tatsächlich installierten Schutznivenaus,
– der Verdichtung und Zusammenfassung von Ergebnissen sowie
– der Aufbereitung von Entscheidungsvorlagen bezüglich der Adressierung von wichtigen Maßnahmen.

Die vermittelten Kenntnisse eignen sich sowohl für die Vorbereitung auf eine Position als fachverantwortlicher Sicherheitsbeauftragter eines Unternehmens mit dem Fokus auf Implementierung, Betrieb und Optimierung eines Sicherheitsmanagement-Systems als auch für angehende Sicherheitsauditoren, die Unternehmen im Rahmen von Zertifizierungsvorhaben prüfen oder beraten.

Die Lehrveranstaltung richtet sich wegen einer starken Methoden-Orientierung an Master-Studenten. Sie setzt sich zu gleichen Teilen aus Vorträgen und Laborübungen (je 2 SWS) zusammen. Die Teilnehmer sollten für diese Veranstaltung bereits über ein Basiswissen in IT-/ Informationssicherheit verfügen. Der Lernerfolg wird über eine in kleinen Teams durchzuführende Projektübung und eine schriftliche Klausur ermittelt. Bei Erfolg erhalten Studenten für diesen Kurs 7,5 CP’s. Lehrgangssprache ist Englisch.