Grundlagen des Datenschutzes und der IT-Sicherheit (Teil 2)

Transkript

1 Gliederung zur Vorlesung im Sommersemester 2006 an der Universität Ulm von 1. Anforderungen an 1.1 Einflussfaktoren der Einflussfaktor Recht * Sorgfaltspflicht * Datenschutz * Fernmeldegeheimnis * spezialrechtliche Vorgaben * vertragsrechtliche Verpflichtungen Einflussfaktor Technik * Eigenschaften des Rohstoffs Information * Fortentwicklung der Technik Einflussfaktor Unternehmensphilosophie * Marktstellung * innerbetriebliche Organisation 2

2 1. Anforderungen an (Forts.) 1.2 Anforderungen durch IT-Risiken Definition Risiko Ergebnisse aus Studien zu IT-Risiken Bedrohungsanalyse * Beispiele für Bedrohungen der * Mögliche Gegenmaßnahmen * Unterscheidung in aktive und passive Angriffe 3 2. Grundlagen zur 2.1 Mehrseitige Definition mehrseitiger Ziele mehrseitiger * Verlässlichkeit von IT-Systemen (Verfügbarkeit, Integrität, Vertraulichkeit) * Beherrschbarkeit von IT-Systemen (Zurechenbarkeit, Rechtsverbindlichkeit) 4

3 2. Grundlagen zur (Forts.) 2.2 Risikomanagement Techniken zur Risikoanalyse * Fehlermöglichkeits- und einflussanalyse * Fehlerbaumanalyse * Angriffsbaumanalyse * Vergleich der Analysetechniken Methoden zur Risikobewertung * Risikomatrix * Portfolio-Analyse * Risk Map 5 2. Grundlagen zur (2. Forts.) 2.3 Grundlagen der Netzwerksicherheit Kommunikation beim ISO/OSI-Referenzmodell * Schichtenmodell * Ende-zu-Ende-Verschlüsselung via IPSec, SSL & SSH * Verbindungsverschlüsselung via VPN Protokolle * TCP/UDP * IP Sicherheitsprobleme bei drahtlosen Netzwerken * WLAN * Bluetooth 6

4 2. Grundlagen zur (3. Forts.) 2.4 Grundlagen zur Systemsicherheit Verschlüsselung * Symmetrische Verschlüsselung * Asymmetrische Verschlüsselung * Vergleich der Verschlüsselungen Sicherung der Authentisierung * gängige Verfahren zur Identitätsfeststellung (Password, Chipkarte, Biometrie) * Überprüfung der Identität (MAC, digitale Signatur) Verfahren zur Zugriffskontrolle * ACL, Capabilities Physische Sicherheit 7 3. Standards zur 3.1 Historische Entwicklung der Sicherheitskriterien Orange Book (TCSEC) Grünbuch 3.2 Zertifizierbare Sicherheitsstandards ITSEC Common Criteria IT-Grundschutz-Kataloge * Pflichtbausteine * Sicherheitskonzept * Vorgehensmodell 8

5 3. Standards zur (Forts.) 3.2 Zertifizierbare Sicherheitsstandards (Forts.) BS 7799 * Risikomanagement nach BS ISO/IEC * Vorgehensmodell 3.3 Weitere Standards FIPS 140-1/ CobiT ITIL ISO TR Konzeption von 4.1 Sicherheitsmaßnahmen Sicherheit bei der Systemarchitektur Sicherheit im laufenden Betrieb Notfall-Vorsorge-Konzept Sicherheitsleitlinie Konsequenzen aus Schwachstellenanalysen Firewalling Einrichtung einer DMZ 10

6 4. Konzeption von (Forts.) 4.2 Konstruktion sicherer IT-Systeme Allgemeine Prinzipien Prinzipien für Sicherheitsprozesse Software-Qualität nach DIN V-Modell XT Konzeption von (2. Forts.) 4.3 Vergleich mit Datenschutz Gegensätze Datenschutzfreundliche Techniken * Prinzipien * DC-Netz * MIX-Netz 12