Open Access

Patrick Wachholz

• Die vorliegende Masterarbeit ist im Bereich der Informationssicherheit und dem Informationssicherheitsmanagement angesiedelt. Ziel der Arbeit war es, einen allgemeinen Ansatz für die Entwicklung von Informationssicherheitsrichtlinien zu entwickeln. Aufgrund der Größe des Themenfeldes behandelt diese Arbeit vor allem das Richtliniendesign im Kontext der ISO 27001. Der erste Teil der Arbeit deckt den theoretischen Hintergrund von Informationssicherheitsmanagement, Kryptographie und den gesetzlichen Vorgaben dazu ab. Das Ergebnis dieses Teils war ein grundsätzliches Verständnis davon, wie Informationssicherheitsmanagement funktioniert und welchen Beitrag Kryptographie dazu leisten kann. Außerdem wurde festgestellt, dass es für die öffentliche Verwaltung keine besonderen Gesetze im Bereich der Informationssicherheit gibt. Der zweite Teil der Arbeit widmet sich dem Design von Informationssicherheitsrichtlinien. Aufgrund dessen, dass es noch keinen allgemeinen Ansatz für die Entwicklung solcher Richtlinien gab, wurde ein eigenes Vorgehensmodell dafür entwickelt. Basis für die Entwicklung des Modells waren die Erkenntnisse aus der Literaturrecherche hinsichtlich der Erfolgsfaktoren von Informationssicherheit. Im nächsten Schritt wurden fünf Fachleute aus dem Bereich der Informationssicherheit zu dem entwickelten Modell befragt. Das Ergebnis dieser Befragung war eine verbesserte Version des aufgestellten Modells. Mit Hilfe dieses Modells wurde dann in einem weiteren Schritt eine Richtlinie für die Anwendung von kryptographischen Verfahren entwickelt. Außerdem ist deutlich geworden, dass die verschiedenen Richtlinien für Informationssicherheit so unterschiedlich sind, wie die Unternehmen, in denen sie Anwendung finden und dass die Unternehmenskultur einen großen Einfluss auf den Erfolg dieser Richtlinien hat. Zusätzlich wurde festgestellt, dass es verschiedene Arten von Anforderungen innerhalb der ISO 27002 gibt. Einige können direkt umgesetzt und mit Richtlinien erfüllt werden, und andere wirken sich auf viele Unternehmensbereiche aus. Aufgrund dessen war eine Beantwortung der Forschungsfrage schwierig. Das entwickelte Modell versucht den verschiedenen Ansprüchen verschiedener Organisationen gerecht zu werden, aber die letztendlich entwickelte Richtlinie ist nicht auf andere Organisationen übertragbar.
• This master's thesis is placed in the fields of information security and information security management. The purpose was to develop a general approach for the design of information security policies. Since the area of information security is vast, this master's thesis particularly covers a general approach, as mentioned above, and the design of a policy for cryptographic controls as defined by the ISO 27001. The first part of the research covers the theoretical background of information security management systems, cryptography and the potential legal obligations for the regional government. The outcome of this research was a general understanding of how information security management systems and cryptography work and the information that there are no legal obligations, particularly for regional governments. The second part is dedicated to the design of a policy for cryptographic controls. Since there is no general approach for the development of such a policy or other information security policies, a new procedure model was developed. The first version of the model was based on the findings regarding success factors of information security. In the next step, the model was presented to and discussed with five experts in the field of information security. The result was an improved version of the model. With this model, the policy for cryptographic controls was designed. Besides that, it became apparent that the policies for information security are as diverse as the organisations implementing them. Moreover, the culture of the organisations has a huge impact on the success of information security policies. Furthermore, there are different kinds of ISO 27001 policies. Some are directly effective and others (like the policy in this master's thesis) have an indirect influence on business processes and services. Thus, it was difficult to clearly answer the research question of this master's thesis. The developed model is trying to cope with the different organisational needs, but the final policy is rather not applicable in other organisations.