Informationsrisiko-management
Jedes Unternehmen hat im Rahmen des Managements der Informationsrisiken den jeweiligen Schutzbedarf zu ermitteln, auf dieser Grundlage Soll-Maßnahmen festzulegen, diese mit den wirksam umgesetzten Ist-Maßnahmen abzugleichen und Anpassungen vorzunehmen, sofern dies erforderlich ist.
18 Vertraulichkeit
Unter Vertraulichkeit im Sinne der IT-Sicherheit versteht man die Tatsache, dass die Information nur Befugten zugänglich ist und kein unbefugter Informationsgewinn stattfinden kann.
Verweise
FAIT 1: 3.1
GoBS: Kap. 5
BAIT (2017) §3.11 bzw.
BAIT (2020) §3.4
19 Datenintegrität
Die Integrität (engl.: integrity) besagt, dass Daten nicht unbemerkt verändert werden dürfen. Zudem müssen alle Änderungen nachvollziehbar sein.
Verweise
FAIT 1: 3.1
FAIT 3: Tz. 25, 35, 38
GoBS: Kap. 5
20 Availability Management
Availability Management sorgt für das Definieren, Analysieren, Planen, Messen und Verbessern aller Faktoren, die für die Verfügbarkeit von IT-Services wesentlich sind.
Verweise
FAIT 1: Tz. 23, 88
MaRisk: AT 7.2
MaRisk VA: 7.2.2.2
COBIT v. 4.1: DS 3.1-5 oder
COBIT v. 5: BAI04.01-05
ISO/IEC FDIS 20000-1 2018: Kap. 8.7.2
ITIL (Service Design)
21 Kontoinformationen
Account Hijacking ist eine gängige Taktik, bei der Cyberkriminelle gestohlene Kontoinformationen eines Opfers missbrauchen. Beispielsweise für das Ausspionieren von Unternehmensaktivitäten und Finanztransaktionen, Datenmanipulation und Datendiebstahl sowie weiterführende Spear Phishing-Angriffe auf (...)
Account Hijacking ist eine gängige Taktik, bei der Cyberkriminelle gestohlene Kontoinformationen eines Opfers missbrauchen. Beispielsweise für das Ausspionieren von Unternehmensaktivitäten und Finanztransaktionen, Datenmanipulation und Datendiebstahl sowie weiterführende Spear Phishing-Angriffe auf Kollegen und Geschäftspartner.
Verweise
TMG §§ 11-15a
BGB: §§ 675c-676c
DSGVO
22 IT-Risikomanagement
Das IT-Risikomanagement umfasst alle Aktivitäten zum systematischen, strukturierten und effizienten Umgang mit Risiken, die der Einsatz von Informationstechnologie bedingt. Zu diesem Prozess gehören die Identifikation, Analyse, Bewältigung und Steuerung der IT-Risiken im Unternehmen, die (...)
Das IT-Risikomanagement umfasst alle Aktivitäten zum systematischen, strukturierten und effizienten Umgang mit Risiken, die der Einsatz von Informationstechnologie bedingt. Zu diesem Prozess gehören die Identifikation, Analyse, Bewältigung und Steuerung der IT-Risiken im Unternehmen, die institutionalisierte Überwachung des Erfolgs von Maßnahmen zur Risikominimierung sowie die Überwachung der Effektivität IT-Risikomanagementmaßnahmen.
Verweise
FAIT 1: Tz. 6, Tz. 22, Tz. 76, Tz. 77
MaRisk: AT 2.2, AT 3, AT 4.1, AT 4.2.2, AT 4.3.2, BTO 1.3, BTO 1.4, BTR 4
MaRisk VA: 7.3.2-7.3.4, 7.5
BAIT (2017) §3.8-3.14, 7.49-7.50, 8.53 -8.56 bzw.
BAIT (2020) §3.1-3.11, 8.5-8.6, 9.2-9.5
COBIT v. 4.1: PO9.1-6, ME 4.5 oder
COBIT v. 5: APO01.03, APO12.1-6, EDM03.02
KWG § 25a Abs. 1
AktG: § 91 Abs. 2
BSI 200-3
ISO/IEC 27005:2018
23 Verbindlichkeit
Verbindlichkeit im Sinne der IT-Sicherheit bezeichnet die Möglichkeit, einer IT-Transaktion während und nach der Durchführung zweifelsfrei und gegebenenfalls gerichtsverwertbar dem Durchführenden zuordnen zu können. Dies kann z.B. durch die Nutzung von qualifizierten digitalen Signaturen und eine (...)
Verbindlichkeit im Sinne der IT-Sicherheit bezeichnet die Möglichkeit, einer IT-Transaktion während und nach der Durchführung zweifelsfrei und gegebenenfalls gerichtsverwertbar dem Durchführenden zuordnen zu können. Dies kann z.B. durch die Nutzung von qualifizierten digitalen Signaturen und eine sichere Aufbewahrung von Logdateien erreicht werden.
Verweise
FAIT 1: 3.1
AO: § 146 Abs. 1
