Methoden und Werkzeuge für das Informationssicherheitsmanagement großer betrieblicher Anwendungssysteme

Heutige Organisationen sind zunehmend abhängig von großen betrieblichen Anwendungssystemen (Very Large Business Applications VLBA). Neben der Wertbeitragslieferung muss auch die Qualität von Anwendungssystemen sichergestellt werden. Hervorzuheben ist hier die Informationssicherheit, da sie nicht nur ein alleinstehendes Qualitätsmerkmal ist, sondern gleichzeitig auch die Erreichung der Unternehmensziele sicherstellt. Hierfür existieren Informationssicherheitsmanagementsysteme (ISMS), welche zwar auch (stark strukturierte) Anwendungssysteme vorsehen, jedoch nur im Rahmen von Maßnahmenvorschlägen für Einzelobjekte. Betrachtet man ein Anwendungssystem nun jedoch nicht isoliert, sondern sieht die in der Praxis üblichen schwach strukturierten, föderierten Landschaften betrieblicher Anwendungssysteme, dann wird deutlich, dass weder mit einem allgemeinen IT-Governance-Modell, noch mit einem allgemeinen ISMS eine ausreichend spezifische Vorgabe zur Unterstützung des Wertbeitrages und der Gewährleistung der Qualitätsansprüche von VLBA möglich ist. Die Kernfrage des vorliegenden Projektes lautet daher: wie lassen sich schwach strukturierte Anwendungssysteme wertschöpfend, jedoch ohne Verlust der Sicherheitsmerkmale betreiben? Hierzu wird ein Modell entwickelt, welches der Realisierung eines angemessenen Informationssicherheitsniveaus speziell für VLBA dient. Neben einer Optimierung üblicher GRC-Prozesse speziell für VLBA ist auch eine eigens entwickelte Modellierungsbasis für die Erfassung relevanter VLBA-IT-Objekte vorgesehen. Diese VLBA-CMDB (Configuration Management Database für VLBA) soll einen Mehrwert bei der Identifizierung kritischer Zusammenhänge zwischen verknüpften Objekten geben, die mit anderen VLBA-Objekten (oder Objekten aus ihrer unmittelbaren Umgebung in der Organisation) verknüpft sind. Hierbei soll den verschiedenen Blickwinkeln (und ihren Abstraktionsebenen) der IT-Governance-Akteure Rechnung getragen werden bspw. denen eines Risk Managers und eines Administrators.