Developing an Information Security Strategy

Master Studiengang Information Security

Dipl.-Ing. Armin Kraus, BSc

Betreuer: FH-Prof. Dr. Simon Tjoa

Ausgangslage

Die strategische Führung von Unternehmen hat sich innerhalb der letzten 25 Jahren entwickelt. Organisationen mussten lernen, ihre aktuelle Situation zu analysieren und ihre Position zu identifizieren, um Wettbewerbsvorteile zu schaffen. Es wurden viele verschiedene Ansätze getestet, um das dynamische Umfeld des Wettbewerbs zu meistern. Die Erfahrungen aus diesen Tests führten zu einer Empfehlung, wie Unternehmensstrategien definiert werden sollten. Als Basis für eine Strategie dienen Geschäftsmodelle. Diese definieren, wie ein Unternehmen arbeiten soll und wie Werte geschaffen werden können. Als wesentlicher Bestandteil der Strategieentwicklung unterstützen Geschäftsmodelle bei der Identifizierung von Kernproblemen und liefern eine Ausgangsbasis. Je nach Methode unterstützt es die Organisationen bei der Ermittlung der aktuellen Situation und lässt Rückschlüsse auf zukünftige Ereignisse zu. Die Literatur zeigt, dass die meisten Methoden für das Management von Geschäftsstrategien entwickelt wurden, Methoden zur Entwicklung von Informationssicherheitsstrategien sind aber nur spärlich vorhanden.

Ziel

Das Hauptziel dieser Forschung ist die Analyse bestehender Geschäftsmodelle bzw. Geschäftsentwicklungsmethoden und Modifikation des Anwendungsgebietes, um die Entwicklung einer Informationssicherheitsstrategie zu ermöglichen. Des Weiteren sollen die Grundbausteine einer solchen Strategie identifiziert werden.

Ergebnis

Es werden Informationen über die wesentlichen Fakten von Informationssicherheit präsentiert, wozu diese benötigt werden und welche Notwendigkeit es für eine Informationssicherheitsstrategie im Unternehmen gibt. Insgesamt wurden fünf bestehende Geschäftsmodelle bzw. Methoden adaptiert und für den Rahmen der Erstellung einer Informationssicherheitsstrategie verändert. Des Weiteren werden Hilfestellungen zur Vermeidung der üblichen Fehlerquellen gegeben. Zusätzlich wird noch jede entwickelte Methode anhand eines Beispiels mit einem fiktiven Unternehmen erläutert. Abschließend findet sich eine exemplarische Informationssicherheitsstrategie, die einen Überblick gibt, wie eine solche Strategie aussehen kann.