Grußwort Vorwort Übersicht Über die Autoren Einleitung... 25

Transkript

1 Grußwort Vorwort Übersicht Über die Autoren Einleitung Gefahren sehen und bemessen Gefahren erkannt, Gefahr gebannt Allgemeine Risiken und Bedrohungen Bedrohungen eines IT-Systems Passive Angriffe Aktive Angriffe Unbeabsichtigte Verfälschung Spezifische Bedrohungen der Endsysteme Die Angreifer Juristische Rahmenbedingungen Das Grundgesetz Das Volkszählungsurteil Landesverfassungen Bundesdatenschutzgesetz (BDSG) Signaturgesetz und Signaturverordnung Weitere Gesetze und Verordnungen Gefahren am Beispiel einer Verwaltungsbehörde Sicherheitsmanagement Kontinuitätsplanung Datensicherungskonzept Computervirenschutz-Konzept Gebäudesicherheit Räume für Server und technische Infrastruktur Datenträgerarchiv PC-Systeme

2 1.6.9 Laptops, Notebooks und PDAs Server Heterogenes Netzwerk Kommunikation Internetzugriff IT-Dienste und Anwendungen Zusammenfassung Ziele festlegen und gewichten IT-Sicherheit als Teil der wesentlichen Unternehmensziele Das Spannungsfeld der IT-Sicherheitslösungen Ergonomie Effektivität Ökonomie Klassifizierung der IT-Sicherheitsziele Klare Ziele: erreichbar und messbar Die IT-Sicherheitsleitlinie Die Inhalte einer IT-Sicherheitsleitlinie Erstellen einer IT-Sicherheitsleitlinie Die Organisation des IT-Risikomanagements Strategien zur Risikoanalyse und Risikobewertung Klassifizierung von Daten und Diensten Organisationsweite Richtlinien zu Sicherheitsmaßnahmen Kontinuitätsplanung Gewährleistung der Sicherheitsniveaus Der Lebenszyklus der IT-Sicherheitsleitlinie Beispiel einer IT-Sicherheitsleitlinie Einleitung Struktur der IT-Sicherheitsleitlinien des Unternehmens Ziele Gegenstand und Geltungsbereich der Leitlinie Begriffsbestimmung Verpflichtungserklärung der Unternehmensführung Outsourcing der IT Das IT-Sicherheitsmanagement Verantwortlichkeiten

3 Allgemeine Anforderungen und Regeln Sicherheitsrelevante Objekte Orgaspezifische Sicherheitsleitlinien Fortschreibung dieses Dokuments Risiken erkennen und bewerten Wirksames Risikomanagement braucht einen Startpunkt Normen und Standards der IT-Sicherheit Tools der IT-Sicherheit Die generelle Schutzbedarfsermittlung Erfassung aller vorhandenen und projektierten IT-Systeme Aufnahme der IT-Dienste Zuordnung der IT-Dienste zu den einzelnen IT-Systemen Klassifizierung des Schutzbedarfs für jedes IT-System Die Grundschutz-Analysemethodik Abbildung des IT-Systems durch vorhandene Bausteine Erfassen des jeweiligen Bausteins Analyse der Maßnahmenbeschreibungen Soll-Ist-Vergleich zwischen vorhandenen und empfohlenen Maßnahmen Die detaillierte Risikoanalyse Systemgrenzen definieren »Teile und Herrsche«: Modularisierung Analyse der Module Bewertung der Bedrohungssituation Schwachstellenanalyse Identifikation bestehender Schutzmaßnahmen Risikobewertung Auswertung und Aufbereitung der Ergebnisse Die Wirksamkeit der Schutzmaßnahmen Audit bislang umgesetzter Schutzmaßnahmen Der Idealfall Der pragmatische Ansatz Beispiele für Bewertungsmethodiken Schutzbedarfsfeststellung Detaillierte Risikoanalyse

4 3.10 Verantwortung für die IT-Sicherheit Wer unterstützt Sie bei der Sicherheitsanalyse am besten? Angemessener Aufwand für die Erstellung einer IT-Sicherheitsstudie Resultate einer IT-Sicherheitsstudie Feststellung des Schutzbedarfs Schutzmaßnahmen priorisieren und umsetzen Rahmenbedingungen Organisatorische Schutzmaßnahmen Entwicklung einer IT-Sicherheitsleitlinie Realisierungsplanung Migrationspläne Fortschreibung des IT-Sicherheitskonzepts Administrative Schutzmaßnahmen Implementierung von Schutzmaßnahmen Dokumentation Sensibilisierung Schulung Audit von Sicherheitssystemen Infrastruktur Personal Notfallbehandlung Zusammenfassung Technische Schutzmaßnahmen Technologische Grundlagen für Schutzmaßnahmen und Sicherheitsmechanismen Public-Key-Infrastrukturen Security Anti-SPAM-Technologie Die virtuelle Poststelle: Sicheres -Gateway Verschlüsselungssysteme gespeicherter Informationen Virtual Private Networks Secure Socket Layer (SSL), Transport Layer Security (TLS) Authentisierungsverfahren Firewallsysteme

5 Personal Firewall PC-Systeme durch benutzer- und anwendungsspezifische Rechte sichern Intrusion Detection Anti-Malware-Systeme Biometrische Verfahren WLAN-Sicherheit Bluetooth-Sicherheit Phishing Identity Management IP-Blacklisting Internet-Frühwarnsysteme Internet-Verfügbarkeitssysteme Internet-Analysesysteme Sicheres Chatten Sichere Betriebssysteme Die Sicherheitsplattform Sicherheit durch Minimalisierung und Isolation Fallbeispiele Das Ende des PIN-Codes Sicherheit für die Geschäftsprozesse in einer Bank Firewallsysteme sicherer Internetzugriff bei großen Organisationen Authentisierungsverfahren mittels Mobiltelefon PKI im Finanzsektor Verschlüsselung von Notebooks Datei- und Verzeichnisverschlüsselung Sichere Ankopplung von Außendienstmitarbeitern Vertrauenswürdige Vernetzung Zusammenfassung Sicherheit fortschreiben die Wirksamkeit gewährleisten Nur eine kontinuierliche Sicherheit ist nachhaltig wirksam Der Faktor Mensch Vertretungsregelungen Nachhaltige Gewährleistung eines positiven Betriebsklimas Prüfung der Einhaltung der organisatorischen Vorgaben

6 5.2.4 Geregelte Verfahrensweise bei vermuteten Sicherheitsverletzungen Externe Mitarbeiter Schulung und Sensibilisierung zu IT-Schutzmaßnahmen Sicherheitssensibilisierung und Schulung für neue Mitarbeiter und neue IT-Systeme Betreuung und Beratung der IT-Nutzer Aktionen beim Auftreten von Sicherheitsproblemen (Incident-Handling-Pläne) Schulung des Wartungs- und Administrationspersonals Einweisung in die Regelungen der Handhabung von Kommunikationsmedien Qualitätssicherung der Sicherheit Kriterien zur Fortschreibung der Sicherheitsziele Reaktion auf Sicherheitsvorfälle Kontinuierliche Administration und Schwachstellenanalyse Die Sicherheitsadministration Die kontinuierliche Schwachstellenanalyse Das Computer Emergency Response Team Audits und Reviews Minimal-Checkliste IT-Sicherheitsmanagement Sicherheit von IT-Systemen Vernetzung und Internet-Anbindung Beachtung von Sicherheitserfordernissen Wartung von IT-Systemen: Umgang mit Updates Passwörter und Verschlüsselung Kontinuitätsplanung Datensicherung Infrastruktursicherheit Mobile Sicherheit Sicherheit und Vertrauenswürdigkeit in der Informationsgesellschaft Einleitung Sicherheit Kryptographie: Ein Wettlauf um die Sicherheit Firewallsysteme

7 6.2.3 Biometrie-Verfahren Betriebssysteme Fazit Vertrauenswürdigkeit Sichere Betriebssysteme Administrative Schutzmaßnahmen Organisatorische Schutzmaßnahmen Rechtliche Rahmenbedingungen Internationale Kooperationen IT-Sicherheit kostet Geld Total Risk Management Sicherheitsaudits Fazit und Ausblick Philosophische Aspekte der Informationssicherheit Die Grenzen der technischen Risikoanalyse Der Beitrag philosophischer Disziplinen zur Wertediskussion Die»postmoderne«Informationsgesellschaft Das Internet ein»böses«medium? Der Wert der Privatsphäre Schlussfolgerung Wirtschaftlichkeitsbetrachtung von IT-Schutzmaßnahmen Einführung IT-Sicherheitsrisiken und -investment Total Cost of Ownership Kostenaspekte Beschaffungsphase Aufrechterhaltung des Betriebs Zusammenfassung: Total Cost of Ownership Kosten-Nutzen-Betrachtung im Hinblick auf das zu tragende Risiko Diskussion der Kosten-Nutzen-Betrachtung Wahrscheinlichkeit eines bestimmten Profits Return on Security Investment (RoSI) Nutzenaspekt Beispiel: Notebookverluste Return on Security Investment (RoSI) Berechnung Kosten-Nutzen-Betrachtung Internet als Kommunikationsplattform

8 7.7 Kosten-Nutzen-Betrachtung im Hinblick auf eine Nicht-Nutzung des Internets Gesamtwirtschaftliche Betrachtung von IT-Sicherheit Zusammenfassung A Literaturverzeichnis A.1 Fundstellen im Internet A.2 CERT (Computer Emergency Response Teams) A.3 Standards und Zertifizierung A.4 Datenschutz B Glossar, Abkürzungen Stichwortverzeichnis