Ich habe das Buch im Rahmen der Testleseaktion. Eine positive Bewertung wurde dabei nicht gefordert.

Ich bin im Bereich Informationssicherheit tätig und muss sagen, dass mir das Fachbuch recht gut gefällt.
Es ist gut strukturiert, übersichtlich und einfach formuliert, so dass man es auch als Anfänger gut verstehen kann. Es gibt viele gute Tipps und Beispiele als für den Arbeitsalltag. Zudem ist es weniger technisch orientiert, was es einfacher macht, es durchzulesen.
Alles in allem ist es ein wirklich gutes Fachbuch als Nachschlagewerk oder Impulsgebung zur Umsetzung in der Praxis.

Um das große und sehr aktuelle Thema IT-Security Management anzugehen, gibt es viele Informationsquellen. Doch eine so informative, prägnante Sichtweise auf die vielfältigen Themen suchte ich in der Vergangenheit vergeblich. Gut gefallen hat mir der Fakt, dass sowohl Einsteiger als auch schon Erfahrenere daraus viel ziehen können und die Beispiel bzw. Darlegungen sich durch einen hohen Praxisbezug auszeichnen. Ich fand vor allem die Darlegung der Policies gut, denn daran scheitert man besonders als Anfänger immer wieder einmal. Die Struktur des Buches ist nachvollziehbar und zieht sich wie ein roter Fadden durch das Thema. Nach dem Lesen des Buches hat man das nötige Rüstzeug, um gut in das Thema IT-Security-Management zu starten.

"IT-Sicherheit mangen" gibt einen umfassenden Überblick über alle relevanten Themen der IT-Sicherheit und bietet einen Leitfaden für die Einführung eines IT-Sicherheitssystem im Unternehmen. Sowohl Aspekte der Infrastruktur als auch Softwareentwicklung werden dabei ebenso betrachtet, wie die unterschiedlichen Herausforderungen in verschiedenen Unternehmensgrößen.
Ausgehend von den rechtlichen Rahmenbedingungen und Perspektiven eines strukturierten Managementsystems für die IT-Sicherheit beschreibt das Buch die strategischen Ansätze zur Umsetzung. Im weiteren Verlauf nehmen sich die Autoren verschiedene Einsatzgebiete der IT-Sicherheit vor und beschreiben Methoden und Verfahren der konkreten Umsetzung. Betrachtet werden dabei neben der Softwareentwicklung unter anderem das Cloud-Computing, IoT und Automatisierungsansätze sowie natürlich KRITIS-Umgebungen.
Insgesamt bietet das Werk nicht nur eine gute Einführung die Grundlagen der IT-Sicherheit, sondern liefert den Sicherheitsbeauftragten in Unternehmen auch das Material, die Anforderungen und Umsetzungsmöglichkeiten im eigenen Unternehmen zu erkennen.

Als IT-Verantwortlicher, der sich regelmäßig mit Sicherheitsfragen auseinandersetzt, hat mich IT Security managen direkt abgeholt. Das Buch legt einen klaren Fokus auf die organisatorischen und rechtlichen Aspekte der Informationssicherheit, was in vielen anderen Werken oft zu kurz kommt. Besonders hilfreich finde ich, dass neben technischen Themen auch Management-Prozesse, Policies, Notfallkonzepte und Incident-Handling im Detail beschrieben werden.

Die Inhalte sind praxisnah aufbereitet und berücksichtigen nicht nur Grundlagen, sondern auch aktuelle Rahmenbedingungen wie DSGVO, Cybersecurity-Gesetzgebung und branchenspezifische Vorschriften. Damit eignet es sich nicht nur als Einstieg, sondern auch als Nachschlagewerk für erfahrenere Kollegen.

Fazit
Ein rundum gelungenes Fachbuch, das zeigt, dass IT-Security weit mehr ist als Firewalls und Virenscanner. Wer Informationssicherheit ganzheitlich managen möchte – organisatorisch, technisch und rechtlich –, bekommt hier ein strukturiertes, praxisorientiertes Werkzeug an die Hand.

Ich habe das Buch „IT Security managen als kostenloses Probeexemplar erhalten, wurde aber nicht gebeten, eine positive Rezension zu verfassen.
Das Buch überzeugt durch seinen klaren Aufbau und die praxisnahe Darstellung. Besonders die öfters eingestreuten Fallbeispiele – etwa eine Darstellung zur Beachtung für ein gutes Notfallmanagment von Seite 224 – 241. Darin wird sehr gut erklärt, dass Krisensituationen weniger an fehlender Technik, sondern oft an unzureichend abgestimmten Prozessen scheitern können. Die Liste mit Fragen helfen, die Inhalte direkt im eigenen Arbeitsalltag umzusetzen.
Der Schwerpunkt liegt für mich auf Organisation, Prozessen und Managementfragen. Damit ist es weniger ein Technikhandbuch, sondern ein Leitfaden für den Aufbau und die Steuerung von IT-Sicherheitsstrukturen. Was mir allerdings gefehlt hat, ist die Datenschutz-Folgenabschätzung (DSFA): Sie wird zwar am Rande in den Kontext von Risikomanagement und Compliance eingeordnet, aber nicht als eigenes Instrument erläutert oder mit einer Vorlage abgebildet. Gerade bei einem Werk, das „IT Security managen“ im Titel trägt, hätte ich hier etwas mehr erwartet.
Fazit: Es ist ein nützliches, praxistaugliches Nachschlagewerk.

Im Berufsalltag begegne ich Maßnahmen zur Förderung der IT-Sicherheit. Klaus Schmidt ist es in diesem Buch gelungen, mir den Blick auf die organisatorischen Ziele, Prozesse und die rechtlichen Erfordernisse dahinter zu öffnen. Dabei werden die Themen immer wieder durch Beispiele aus dem Unternehmensalltag greifbar gemacht.

- Grundbegriffe wie Risiko und Sicherheit werden definiert und dargestellt, wie Schwachstellen über einen Angriffspfad durch einen Auslöser zu einer (potentiellen) Bedrohung werden. Risikoszenario betrachten die Auswirkungen, wenn diese Bedrohung eintritt.

- Es wird dargestellt, wie das Sicherheitsmanagement im Unternehmen organisiert wird und eine IT Security Policy den Soll-Zustand fordert und Maßnahmen definiert.

- Mir ist klarer geworden, wie für den Notfall geplant wird, und wie ein IT-Vorfall behandelt wird, auch im Hinblick auf die Beweissicherung.

- Spannend fand ich die Perspektive des sozitechnischen Systems: Wieso Änderungen auf Widerstand stoßen und wie ich damit umgehen kann.

Das Buch IT Security Management von Klaus Schmidt, erschienen in der zweiten, überarbeiteten Auflage im Hanser Verlag, ist ein äußerst gelungenes und praxisnahes Standardwerk für alle, die sich mit den vielfältigen Facetten der Informationssicherheit beschäftigen. Schmidt gelingt es, ein komplexes Themenfeld verständlich und strukturiert aufzubereiten, ohne dabei an fachlicher Tiefe einzubüßen.

Besonders positiv hervorzuheben ist der klare Aufbau des Buches. Der Autor führt systematisch in die Grundlagen des IT-Sicherheitsmanagements ein und schlägt dabei die Brücke zwischen Theorie und praktischer Umsetzung. Wichtige Standards und Normen wie ISO/IEC 27001, BSI-Grundschutz oder aktuelle regulatorische Anforderungen werden nicht nur beschrieben, sondern auch in Bezug auf ihre Anwendung im Unternehmensalltag eingeordnet. So erhalten Leser nicht nur Wissen, sondern konkrete Orientierung für die Umsetzung eigener Sicherheitsstrategien.

Die zweite Auflage berücksichtigt zudem aktuelle Entwicklungen in der IT-Security-Landschaft. Neue Bedrohungsszenarien, Aspekte der Cloud-Sicherheit sowie moderne Governance-, Risk- und Compliance-Ansätze werden ausführlich behandelt. Damit ist das Werk nicht nur für Studierende oder Einsteiger in die Thematik relevant, sondern auch für erfahrene IT-Manager, CISOs oder Auditoren, die ihre Kenntnisse auffrischen oder vertiefen wollen.

Ein großer Pluspunkt des Buches ist der Praxisbezug. Zahlreiche Fallbeispiele, Checklisten und konkrete Handlungsempfehlungen erleichtern die Übertragung der Inhalte in den Arbeitsalltag. Schmidt gelingt es, komplexe Zusammenhänge anschaulich zu erklären und dabei stets den Blick für die organisatorische und menschliche Dimension der IT-Sicherheit zu bewahren. Denn deutlich wird: IT-Security ist nicht nur eine technische, sondern vor allem auch eine Management- und Führungsaufgabe.

Sprachlich ist das Buch klar und gut verständlich geschrieben, wodurch es auch für Leser ohne tiefgehenden technischen Hintergrund zugänglich bleibt. Gleichzeitig wird genügend Fachwissen vermittelt, um auch Experten einen echten Mehrwert zu bieten.

Insgesamt ist IT Security Management von Klaus Schmidt ein hochaktuelles, praxisorientiertes und umfassendes Werk, das als Standardliteratur im Bereich Informationssicherheit gelten kann. Es eignet sich sowohl zum Selbststudium als auch als Nachschlagewerk im beruflichen Alltag. Wer sich mit dem Aufbau, der Steuerung und der kontinuierlichen Verbesserung eines professionellen IT-Sicherheitsmanagements auseinandersetzen möchte, findet in diesem Buch einen kompetenten, verlässlichen und inspirierenden Begleiter.

Aus Transparenzgründen möchte ich erwähnen, dass mir dieses Buch im Rahmen der Testleseaktion kostenlos zur Verfügung gestellt wurde. Dabei bestand jedoch keine Verpflichtung zu einer positiven Bewertung.

Das Buch beleuchtet IT-Sicherheit aus der Management-Perspektive und hält, was es verspricht. Der Schwerpunkt liegt dabei auf die organisatorischen Aspekte besonders bei großen Unternehmen, die jedoch ganzheitlich betrachtet werden. Auch wenn manches der potenziellen Zielgruppe schon bekannt sein dürfte, bietet dieses Buch dennoch einen hilfreichen Leitfaden für Verantwortliche. Es regt an, vorhandenes Wissen im richtigen Kontext zu betrachten und das eigene Handeln wie auch die des Unternehmens einmal zu hinterfragen. Dabei merkt man dem Autor seine Erfahrung als Berater an, da er seine Punkte zugänglich darstellt, ohne allzu tiefe IT-Kenntnisse vorauszusetzen.

In dem Buch werden die Themen aufgegriffen, die für das Managen der IT Security notwendig sind, und die Liste der Themen ist lang.
Anfänger finden hier einen Einstieg in alle Themen. Wer schon mit dem Thema zu tun hatte, dem werden die meisten Bereiche bekannt sein, aber sicher nicht in dieser geschlossenen Darstellung. Dazu bietet das Buch bietet dann eine gute Referenz und Grundlage für die Umsetzung in einem Unternehmen. Es ist jedoch kein Rezeptbuch für eine angeleitete Umsetzung, sondern lässt den Spielraum, die IT Security so umzusetzen, wie es für das Unternehmen angemessen und angepasst ist.

Das Thema IT Security hat seinen Ursprung in der IT, strahlt aber mit all seinen Aspekten auf weitere Bereiche des Unternehmens. Damit stellt sich neben dem Thema IT Architektur die Frage, in wieweit IT Rollen im Rahmen ihrer Befugnisse unternehmensweite Aufgaben übernehmen können und dürfen. Das kommt besonders deutlich in den Bereichen Sicherheitsorganisation, Business Continuity und Notfallmanagement zum Tragen.
Man muss sich auch bewusst sein, dass die ganzen Bemühungen zur Verbesserung der IT Security darauf ausgerichtet sind, um Vorfälle zu verhindern, die nie eintreten sollen und für die keine Erfahrungswerte vorliegen. Deshalb müssen bei der Planung und Vorbereitung für viele Dinge Annahmen und Einschätzungen zur Bewertung der Prioritäten einfließen. Insofern hängt das Ergebnis stark vom Geschick der Verantwortlichen ab.