Bibliographic Metadata

Title
Anwendbarkeit und Grenzen des Prozessmodells der ISO/IEC 27001 zur Vermeidung und Bewältigung von Cyber-Krisen
Additional Titles
Applicability and limitations of the ISO/IEC 27001 process model for the avoidance of and coping with cyber-crises
AuthorPetrovic, Marco
Thesis advisorKob, Timo ; Körmer, Claudia
Published2016
Date of SubmissionOctober 2016
LanguageGerman
Document typeBachelor Thesis
Keywords (DE)Krisenvermeidung / Krisenbewältigung / Krisenmanagement / Cyber-Krise / Cyber-Krisenmanagement / ISO 27001 / Risikomanagement / Informationssicherheitsmanagement / Kritische Infrastruktur
Keywords (EN)Crisis prevention / Crisis response / Crisis management / Cyber crisis / Cyber crisis management / ISO 27001 / Risk management / information security management / critical infrastructure
Restriction-Information
 _
Classification
Abstract (German)

Kontext und Fragestellung

Im Zeitalter der digitalen Revolution steht der technologische Fortschritt einem komplexen Bedrohungsmuster gegenüber. Diverse Akteure versuchen mit den unterschiedlichsten Motiven Cyber-Angriffe zu verüben. Teile dieser Angriffe treffen auch kritische Infrastrukturen beziehungsweise ihre IT- und Industrie-steuerungssysteme. Politik und Sicherheitsbehörden reagieren auf diese Entwicklung mit entsprechenden Strategien und Programmen zur Steigerung der Cyber-Sicherheit bei kritischen Infrastrukturen. Diese zeigen jedoch klar auf, dass die Betreiber kritischer Infrastrukturen selbst für den Schutz ihrer Systeme, Anlagen und Geschäftsprozesse verantwortlich sind. Zur Erreichung eines angemessenen Sicherheitsniveaus wird auf bestehende Normen und Standards im Bereich Informationssicherheits-, Risiko- und Business Continuity Management verwiesen. Angesichts der Komplexität des modernen Cyber-Bedrohungsspektrums stellt sich die Frage nach der Anwendbarkeit dieser Normen und Standards zur Vermeidung und Bewältigung von Cyber-Krisen.

Ziele der Arbeit

Ziel der vorliegenden Arbeit ist die praktische Erhebung der Anforderungen, Ansichten, Meinungen und Erfahrungswerten von Sicherheits- und Krisenmanagementbeauftragten kritischer Infrastrukturen. Diese sollen anschließend an die Struktur eines international anerkannten Standards für Informationssicherheits-Managementsysteme herangetragen werden um dessen Anwendbarkeit zur Vermeidung und Bewältigung von Cyber-Krisen zu hinterfragen. Dabei sollen besonders organisatorische Schnittstellen und Synergien, interne Eskalationsprozesse sowie Besonderheiten von Cyber-Krisen herausgearbeitet werden.

Theorie

Als theoretisches Fundament diente hierzu der Standard ISO/IEC 27001:2015, welcher abstrakte Anforderungen an die Planung, die Umsetzung, die Aufrechterhaltung und die fortlaufende Verbesserung eines Managementsystems für Informationssicherheit beschreibt. Diese Anforderungen wurden systematisch operationalisiert und in den Kontext des ihm zugrundeliegenden vier-Phasen-Modells gebracht.

Wissenschaftliche Methoden

Die zur Anwendung gekommene wissenschaftliche Methode ist die qualitative Inhaltsanalyse nach Mayring. Im Zuge dessen kam das deduktive Verfahren der strukturierenden Inhaltsanalyse zur Geltung.

Ergebnisse

Die Ergebnisse zeigen eine Kompatibilität des Standards mit der Vermeidung und Bewältigung von Cyber-Krisen bei Betreibern kritischer Infrastrukturen und ermöglichen sogar die Nutzung von Synergien. Aufbauend auf die präventive Herangehensweise der Standards konnten durch die Experteninterviews interessante Zusammenhänge zur Organisation des Cyber-Krisenmanagements hergestellt werden. Das entscheidende Bindeglied zwischen Sicherheitsmanagement und Business Continuity Management bildet dabei das Risikomanagement.

Abstract (English)

Context of the Thesis

In the age of digital revolution the technological progress is facing komplex threats. Different players are trying to undertake cyber attacks based on various motivations. Some of these cyber attacks aim to target critical infrastructures and related IT- as well as Industrial Control Systems. Therefore, politics and security authorities try to raise cyber security by developing special strategies and programs for the protection of critical infrastructure. Legal and effective standards determine that the operators of critical infrastructure are solely responsible for implementing effective security measures for their systems, industrial plants and business processes. Therefore, standards in the information security, risk management and business continuity environment shall be applied in order to meet the complex requirements of cybersecurity in an appropriate way. With respect to these requirements the question arises, whether existing standards are sufficiently adressing komplex threats out of cyber-space and the resulting requirements for appropriate prevention and response in the context of cyber-crisis-management.

Aims of this paper

The aim of this thesis is to identify the requirements, the aspects and opinions as well as the experience of security and crisis management officers, who have been performing their duties within companies and organisations that have been identified as operators of critical infrastructure. The results should then be compared to the structure of an internationally approved standard for information security management systems in order to learn about its applicability in terms of prevention and response to cyber-crises. Special attention should therefore be paid to organizational interfaces, potential synergies, escalation procedures as well as the complex characteristics of cyber-crises.

Theory

The international standard ISO/IEC 27001:2015 serves as a basis for this research. If defines requirements for the planning, implementation, evaluation and continuous improvement of an information security management system and has therefore been operationalized within the first step.

Research methods

To achieve the research objectives, an empirically-deductive research approach has been chosen as the appropriate method. The evaluation of the interviews was conducted according to the qualitative content analysis of Mayring.

Results

The results show a compatibility of the reviewed standard with procedures for the avoidance and response to cyber crises within organizations that are operating critical infrastructure. Based on the preventative approach of the standard the expert interviews made it possible to establish some interesting connections to the organisation of cyber crisis management. Risk management is therefore seen as the crucial link between information security and business continuity management.