Willkommen auf meiner Homepage!

Ich freue mich, dass Sie meine Internet-Präsenz besuchen.

Auf diesen Seiten finden Sie Informationen zu meinen Publikationen zur IT-Sicherheit und zur Unternehmenssicherheit sowie zur dreidimensionalen Sicherheitspyramide nach Dr.-Ing. Müller, deren Architekt ich bin. Das Vorgehensmodell der Sicherheitspyramide ist der Praxis entsprungen. Der Begriff Sicherheitspyramide und ihre Darstellung wurden von mir Mitte der 90er Jahre geprägt und publiziert. Mein durchgängiges, umfassendes und systematisches Original der Sicherheitspyramide ist

• im Buch "IT-Sicherheit mit System", deren 4., neu bearbeitete Auflage Mitte Mai 2011 erschienen ist, und
  
• im "Handbuch Unternehmenssicherheit", dessen 2., neu bearbeitete Auflage Ende September 2010 erschienen ist,
  

umfangreich beschrieben.

2008 ist das Buch "IT für Manager" erschienen, das sich an Leserinnen und Leser wendet, die eher fachfremd sind, sich aber für die IT in Unternehmen interessieren, oder die sich einen Überblick verschaffen möchten. Gerade bei historisch gewachsener oder auch geschäftsbedingt schnell aus dem Boden gestampfter IT gibt es hier verschiedentlich Optimierungspotenzial zum Nutzen aller Beteiligten.

Sie interessiert die Vorreiterrolle, der Innovationsgrad und die Praxisorientierung meiner Bücher zur Sicherheit? Hierzu gibt Ihnen die folgende Aufzählung auszugsweise und beispielhaft Informationen.

• Wer die verschiedenen Auflagen meiner Bücher kennt und die Entwicklung bei Publikationen des BSI, z.B. des IT-Grundschutzhandbuchs (IT-GSHB) bzw. der IT-Grundschutzkataloge (IT-GSK) oder des angekündigten BSI 100-4 verfolgt, stellt fest, dass wegweisende Themen meiner Bücher nach deren Veröffentlichung in der Folge u.a. z.B. in Form von Maßnahmen im IT-GSHB von Ende 2005 in unterschiedlicher Ausprägung erstmalig behandelt werden.
  
  
• In die 10. Ergänzungslieferung der IT-Grundschutzkataloge vom Oktober 2008 hat das Patch- und Änderungsmanagement in Form von Maßnahmen Eingang gefunden. Lesern von "IT-Sicherheit mit System" oder dem Handbuch Unternehmenssicherheit ist diese Thematik seit Längerem bekannt.
  

• In der Zeitschrift <kes> 1, 2008, kündigt ein Artikel der Autoren Robert Kallwies und Angelika Jaschob im BSI-Forum für den Sommer 2008 den BSI-Standard BSI 100-4 an und skizziert dessen Inhalte. Der Artikel spricht hierbei Themen an und macht Aussagen, die Leserinnen  und Lesern meiner Bücher - teilweise bis hin zur Wortwahl - seit Längerem bekannt sind, weshalb sie sich über ihren Wissensvorsprung freuen dürften. So führen die Autoren des <kes>-Artikels aus, dass Informationssicherheit integraler Bestandteil aller Geschäftsprozesse ist, dass Wirtschaftsunternehmen von Versorgungsnetzen, wie Wasser- und Energie- sowie Informations- und Kommunikationsnetzen abhängig sind, dass durch die Synchronisation mit der ISO 27001 ein Paradigmenwechsel beim IT-Grundschutzhandbuch mit dem Ziel einer "ganzheitlichen prozessbezogenen Betrachtung der IT-Sicherheit" erfolgte, dass in einer Business Impact Analysis (BIA) Mindestanforderungen an einen potenziellen Notbetrieb erhoben werden können, dass der Umfang der Notfallvorsorge von der Risikobereitschaft abhängt, dass Kerninhalte sich u.a. auf Wiederanlauf, Notbetrieb, Wiederherstellung und Rückkehr in den Normalbetrieb beziehen und dass im Rahmen der Notfallvorsorge zu unterscheiden ist zwischen Tests und Übungen. Als Literaturquellen geben die Autoren nationale und internationale Standards und Practices an.
  Die von mir publizierten Bücher sowie verschiedene meiner Artikel zeigen und formulieren seit jeher eine ganzheitliche, durchgängige und zudem prozess- und lebenszyklusorientierte Sicht- und Vorgehensweise zur Unternehmens- und IT-Sicherheit. Meine Unterscheidung zwischen Test und Übung bei der Notfallvorsorge lernten LeserInnen bereits 2003 in der ersten Auflage von "IT-Sicherheit mit System" kennen, aber auch im Handbuch Unternehmenssicherheit aus dem Jahr 2005 und im Artikel "Geplant, geübt, für gut befunden", der 2007 erschienen ist. Das Handbuch Unternehmenssicherheit führt aus: "Damit Sicherheit ein integraler Bestandteil des Unternehmens ist, müssen in alle betroffenen Prozesse [...] des Unternehmens Sicherheitselemente integriert" werden. Das Handbuch Unternehmenssicherheit erläutert, dass die Geschäftseinflussanalyse, die BIA, z. B. „die Ermittlung des Mindestgeschäftsbetriebs“ einschließt. Weitere Begriffe des Handbuchs sind im <kes>-Artikel in vergleichbarem Kontext zu finden, wie z.B. die "Risikobereitschaft", oder die von mir gewählte Formulierung "Rückkehr in den Normalbetrieb". Fachlich bedingte Unterschiede gibt es jedoch auch. So verwendet z.B. das Handbuch Unternehmenssicherheit, aber auch die 3. Auflage von "IT-Sicherheit mit System", den Begriff "Übergang in den Notbetrieb" statt des weniger differenzierten "Wiederanlauf", das es in einem anderen Kontext nutzt. Auch verwendet es den Begriff Kontinuitätsmanagement statt des Teilbereichs Notfallmanagement.
  

• Die Maßnahme M 2.337, Integration der IT-Sicherheit in organisationsweite Abläufe und Prozesse, im IT-GSK 2005, reißt beispielsweise das vom Autor als prozessimmanente Sicherheit bezeichnete Thema an.
  
  
• Die Maßnahme M 2.338 im IT-GSK 2005 stellt in drei Ebenen eine dreiecksförmige Hierarchie von Sicherheitsdokumenten dar. Die Abbildung mit ihren Unterpunkten je Ebene und der Beschreibung weist Parallelen zur Sicherheitshierarchie der dreidimensionalen Sicherheitspyramide auf, wie sie z.B. in der ersten Auflage von "IT-Sicherheit mit System"  aus dem Jahr 2003 zu finden ist, aber auch in einer früheren Publikation von mir in der Zeitschrift KES aus dem Jahr 1996.
  
  
• Die Maßnahme M 2.378, System-Entwicklung, im IT-GSK 2005 greift das in meinen Büchern als Lebenszyklus bezeichnete Thema auf, wie sie z.B. in der ersten Auflage von "IT-Sicherheit mit System"  aus dem Jahr 2003 zu finden ist.
  Bereits in der Erstausgabe von "IT-Sicherheit mit System" aus dem Jahr 2003 sind beispielhafte Richtlinien angegeben zu den Themen E-Mail-Nutzung, Virenschutz und Datensicherung sowie Notfall- und Katastrophenvorsorge. Mitte 2004 veröffentlichte das BSI Beispielskonzepte für wichtige Sicherheitsthemen, zu denen auch die zuvor genannten Themen gehörten.
  

Die neu bearbeitete, aktualisierte und erweiterte 4. Auflage von "IT-Sicherheit mit System" ist Mitte Mai 2011 erschienen und kann im Buchhandel oder über die Homepage von VIEWEG+TEUBNER gekauft werden. Die 3. Auflage von "IT-Sicherheit mit System" war seit November 2010 aufgrund der hohen Nachfrage leider vergriffen. 

Gegenüber der 3. Auflage ist "IT-Sicherheit mit System"  in der 4. Auflage noch einmal sehr deutlich gewachsen. Die 4. Auflage widmet dem Themenfeld Standards, Normen und Practices ein eigenes Kapitel, dessen Inhalte jetzt deutlich umfangreicher sind und einen Vergleich mit meiner durchgängigen dreidimensionalen Sicherheitspyramide enthalten. Die Sicherheitspyramide liegt nun in der Version V vor. Das Thema Interdependenznetz ist ausführlicher behandelt. Zusätzlich zum Vorgehensmodell der Sicherheitspyramide für das Sicherheits-, Kontinuitäts- und Risikomanagement geht das Buch ein auf biometrische Verfahren und Systeme, die serviceorientierte Architektur, Grid und Cloud Computing sowie Data Leakage Prevention. Der System- bzw. Software-Entwicklungsprozess/ -Lebenszyklus hat sicherheitsrelevante Ergänzungen erfahren. Auf der Basis der dreidimensionalen Sicherheitspyramide nach Dr.-Ing. Müller bietet Ihnen  "IT-Sicherheit mit System" eine innovative, praxisorientierte, systematische und strategische Vorgehensweise zum Aufbau und zur Weiterentwicklung des IT-Sicherheitsmanagements in Ihrem Unternehmen. Wenn Sie sich mit IT-Sicherheitsthemen beschäftigen, empfehle ich Ihnen das Buch und  wünsche Ihnen eine interessante und anregende Lektüre.

Zunehmend sollen IT-Verantwortliche die Brücke bilden können zum Business und umfassenderes Wissen besitzen. Hierzu gehören Kenntnisse externer Anforderungen, z. B. in Form von Gesetzen, und deren Auswirkungen auf die IT sowie die Themen Kontinuitäts- und Risikomanagement.  Zutritts- und Objektschutz sind ebenfalls wichtige Aspekte. Diese Themen, die Vorgehensweise anhand der Sicherheitspyramide, die IT selbst von Firewall über NAS, SAN, VoIP, WarDriver, WLAN bis hin zu Zugriffsschutz und weitere sicherheitsrelevante Themen bis hin zur Arbeitssicherheit behandelt das Handbuch Unternehmenssicherheit.

Das "Handbuch Unternehmenssicherheit" ist in der 2. neu bearbeiteten Auflage im September 2010 erschienen. Es ist Trendsetter für die Konvergenz zwischen IT- und Unternehmenssicherheit sowie für das Zusammenführen von Sicherheits-, Kontinuitäts- und Risikomanagement. Das Handbuch basiert auf der dreidimensionalen Sicherheitspyramide nach Dr.-Ing. Müller und bietet Ihnen eine durchgängige, praxisorientierte und strategische Vorgehensweise zum Aufbau und zur Weiterentwicklung des Sicherheitsmanagements, Kontinuitätsmanagements und Risikomanagements in Ihrem Unternehmen von den Geschäftsprozessen bis hin zur IT.

Es kann als integratives, systematisches und anschauliches Vorgehensmodell gesehen werden, das nationale und verschiedene internationale gesetzliche und aufsichtliche Anforderungen anspricht, das Compliance Management behandelt sowie z. B. im IT-Bereich Aspekte nationaler und internationaler Standards, wie u. a. der ISO 27001, der ISO 27002, ITIL(R) und des IT-Grundschutzhandbuchs des BSI, umfasst. Wenn Sie sich mit dem Sicherheitsmanagement, dem Kontinuitätsmanagement und/oder dem Risikomanagement beschäftigen, empfehle ich Ihnen die Lektüre.

Das Handbuch findet nicht nur bei Leserinnen und Lesern Anklang, sondern ist auch in Bibliotheken anzutreffen, von jener der Bundesbank über FH- und Uni- bis hin zu Landesbibliotheken. Aufgrund meiner Beratungs-, Autoren- und Referententätigkeiten weiß ich, dass Sicherheitsverantwortliche in Unternehmen und auch Berater meine Bücher kennen, schätzen und nutzen.

Sollten Sie - wie auch andere namhafte Unternehmen - Beratungsbedarf zu einem dieser Themen oder auch zur Optimierung der Prozess- und Strukturorganisation einschließlich Sourcing haben, wenden Sie sich bitte an mich bei der ACG Automation Consulting Group GmbH in Frankfurt am Main: www.acg-gmbh.de

Im Hinblick auf Publikationen empfehle ich Dritten die Beachtung diesbezüglicher Schutzbestimmungen und -rechte in ihrer jeweils aktuellen Fassung. Das Gesetz über Urheberrecht und verwandte Schutzrechte beispielsweise fordert selbst für Zitate - sofern sie zulässig sind - die deutliche Quellenangabe. Diesbezügliche professionelle Bücher und Promotionsarbeiten liefern Beispiele für die korrekte Quellenangabe. Quellenangaben enthalten üblicherweise u.a. den Urheberrechtshinweis mit komplettem Namen des Autors, dem Titel des Werkes, dem Namen des Publikationsmediums, z.B. Zeitungs-, Zeitschriften- oder Verlagsname, sowie dem Erscheinungsdatum. Dies ist nicht zuletzt auch ein Zeichen von Professionalität. Ein Aphorimus zu diesem Thema findet sich im Vorwort der 3. Auflage von "IT-Sicherheit mit System".