Simon Lang
Master Thesis, Hochschule Wismar, September 2023
Autor: Simon Lang
Titel: Engineering
Abstrakt
Die Anzahl der IT-Sicherheitsvorfälle steigt jährlich, in 2021 wurde bereits bei 86 Prozent der deutschen Unternehmen ein Schaden durch IT-Sicherheitsvorfälle verursacht. Des Weitern wurde 2022 das erste Mal der Katastrophenfall wegen eines IT-Sicherheitsvorfalles ausgerufen und für 207 Tage aufrechterhalten. Damit die Ausfallzeiten bzw. der entstandene Schaden verringert wird, ist es wichtig zügig zu einem geordneten Unternehmensbetrieb zurückzukehren. Um für den Ernstfall vorbereitet zu sein, ist es wichtig, eine Strategie für ITSCM im Voraus zu entwickeln. Trotzdem steht mit der ISO 27031 nur ein internationaler Standard zur Verfügung, der keine Umsetzungshilfe bietet. Allerdings ist insbesondere bei kleinen und mittelständischen Organisationen die Implementierungsrate eines ITSCM auf Grund mehrerer Herausforderungen gering. Weshalb eine möglichst leicht zu implementierende Vorgehensweise wünschenswert ist. Es werden in der Arbeit deshalb elf IT-Standards auf Eigenschaften von ITSCM geprüft. Anschließend werden der BSI 200-4 und die VdS 10000, anhand eines exemplarischen Unternehmens, ausgearbeitet. Weiterhin werden Vor- und Nachteile der detailliert analysierten Standards und das allgemeine Synergiepotenzial dargestellt. Die Übersicht über die verschiedenen Methoden soll die Auswahl eines geeigneten Standards erleichtern. Es bietet aber auf Grund der Menge an verfügbaren Vorgehensweisen keinen vollständigen Überblick. Beim Vergleich der verschiedenen Standards stellt man fest, dass keiner eine vollständige und detaillierte Implementierung eines ITSCM abbildet. Weiterhin sind insbesondere für kleinste und kleine Organisationen eine weitere Vereinfachung und individuelle Anpassung der Vorgehensweisen ratsam.
Abstract
The number of IT security incidents is increasing every year and by 2021, 86 per cent of German companies had already suffered damage from IT security incidents. In addition, 2022 was the first year that an IT security incident leads to a disaster that lasts for 207 days. In order to reduce downtime or the damage caused, it is important to return swiftly to normal business operations. To be prepared for an emergency, an ITSCM strategy must be developed in advance. ISO 27031 is the only international standard for ITSCM, however is does not provide implementation guidance. The implementation rate of ITSCM is low, especially in small and medium-sized organisations, due to several challenges. Therefore, an approach that is as easy to implement as possible is desirable. For this reason, eleven IT standards are examined for ITSCM characteristics. Subsequently, the BSI 200-4 and the VdS 10000 are eloberated on the basis of an exemplary company. Furthermore, the advantages and disadvantages of the standards considered in detail and general synergy potentials are presented. The overview of the different methods is intended to facilitate the selection of a suitable standard, but does not provide a complete overview due to the number of methods available. A comparison of the various standards shows that none of them represents a complete and detailed implementation of ITSCM. Furthermore, a further simplification and individual adaptation of the procedures is advisable, especially for the tiny and small organisations.