INFORMATIONSSICHERHEIT. Weitere Top-Infos unter ITWissen.info

Größe: px
Ab Seite anzeigen:

Download "INFORMATIONSSICHERHEIT. Weitere Top-Infos unter ITWissen.info"

Transkript

1 1

2 Sponsered by: Inhalt Impressum: Herausgeber: Klaus Lipinski Informationssicherheit Copyrigt 2009 DATACOM-Buchverlag GmbH Dietersburg Alle Rechte vorbehalten. Keine Haftung für die angegebenen Informationen. Produziert von Media-Schmid Abhörsicherheit Angriff Anwendungssicherheit Authentifizierung Authentizität Autorisierung Backdoor Bedrohung Broadcaststurm Brute-Force-Angriff BS 7799 BSI, Bundesamt für Sicherheit in der Informationstechnik CC, Common Criteria Compliance Content-Sicherheit Cracker CRAMM, computer risk analysis and management method Crasher Datensicherheit DoS, denial of service EAL, evaluation assurence level Flaming Hacker Heuristik Hijacking Hoax Identifikation Identität Informationssicherheit Internetsicherheit ISMS, information security management system ISO IT-Sicherheit ITSEC, information technology security evaluation criteria Makrovirus Malware Man-in-the-Middle-Angriff Netzwerksicherheit Phishing Phreaking PSE, personal security environment Risiko Risikoanalyse Sabotage Schwachstelle Schwachstellenmanagement Sicherheit Sicherheitsarchitektur Sicherheitsdienst Sicherheitsinfrastruktur Sicherheitsmanagement Sicherheitspolitik Sicherheitsprotokoll Sicherheitsrichtlinie Sicherheitsstufe Sicherheitsvereinbarung Snooping Spam Spoofing Spyware Virus Wurm ZSI, Zentralstelle für die Sicherheit in der Informationstechnik 2

3 Abhörsicherheit bug proof Angriff attack Anwendungssicherheit application security 3 Unter Abhörsicherheit versteht man ganz allgemein die Sicherheit gegen unberechtigtes Mithören von Dritten bei der Übertragung zwischen Endteilnehmern. Dabei kann es sich sowohl um die drahtlose Übertragung mittels Funktechnik handeln als auch um das Abhören der leitungsgebundenen Übertragung über Kabel oder Lichtwellenleiter. Das Abhören betrifft die Daten- als auch die Sprachkommunikation, wobei letztere durch das Fernmeldegeheimnis geschützt ist. Zur Vermeidung des Abhörens werden verschiedene Techniken eingesetzt. Diese reichen von der Feldstärkemessung über die OTDR-Technik und der Dämpfungsmessung der Übertragungsstrecke bis zur Verschlüsselung der Information, der gängigsten Methode gegen unberechtigtes Abhören. Bei der Mobilkommunikation, bei der die Luftschnittstelle offen ist, werden zu diesem Zweck alle Gespräche individuell verschlüsselt. Als Verschlüsselungsalgorithmus wird ein teilnehmereigener Primzahlen-Algorithmus verwendet, der sich auf der SIM-Karte befindet, aber nicht ausgelesen werden kann. Angriffe sind unerlaubte und nichtautorisierte Aktivitäten zum Schaden von Ressourcen, Dateien und Programmen. Man unterscheidet zwischen passiven und aktiven Angriffen. Passive Angriffe bedrohen die Vertraulichkeit der Kommunikation, beeinflussen aber nicht die Kommunikation oder den Nachrichteninhalt. Sie zielen ausschließlich auf die unerlaubte Informationsbeschaffung. Die Abhörsicherheit kann durch diverse Verfahren unterlaufen werden. Eines der bekanntesten ist Tempest, bei dem die elektromagnetische Strahlung von Bildschirmen, Computerboards und Datenkabel empfangen und ausgewertet wird. Ein großes Angriffspotential bieten alle Datenkabel, Telefonleitungen, Lichtwellenleiter und vor allem die Funktechnik, die besonders gefährdet ist. Ist es bei Datenkabeln die elektromagnetische Strahlung, die abgehört werden kann, so besteht bei Lichtwellenleitern die Möglichkeit diese stark zu krümmen, bis die Moden das Kernglas verlassen und die optischen Signale austreten. Bei den aktiven Angriffen werden die Nachrichten, die Komponenten des Kommunikationssystems oder die Kommunikation verfälscht. Es kann sich dabei um Angriffe kann auf Netze, um diese funktional zu stören, wie beispielsweise eine DoS-Attacke, um Angriffe auf den Zugang zu Systemen oder um die Entschlüsselung verschlüsselter Daten und Nachrichten. Ein aktiver Angreifer kann durch Einfügen, Löschen oder Modifizieren von Inhalten bestimmte Reaktionen des Empfängers auslösen und dessen Verhaltensweisen steuern. Zu diesen aktiven Angriffen gehören das Übermitteln von Viren, Würmern und Trojanern. Der Schutz der Anwendungsebene ist ein wesentlicher Aspekt der IT-Sicherheit, da die Angriffe über Web- Applikationen erfolgen und nicht unmittelbar erkennbar sind. Die Angriffe reichen von Datendiebstahl über Wirtschaftsspionage und Datenmissbrauch bis hin zu Vandalismus. So können auf dieser Ebene Dateien mit unternehmenskritischen Informationen und schützenswerten Zugriffsberechtigungen entnommen oder E- Commerce auf fremden Accounts missbräuchlich ausgeführt werden. Application Security dient dem präventiven Schutz und kann durch Erkennen von IT-Risiken in die Applikationsebene implementiert werden. Bei der Anwendungssicherheit wird der Inhalt der Datenpakete überprüft und nicht der Header. Ansatzpunkte liegen in der genutzten Software, in einer möglichen Authentifizierung bei der Anwendung oder durch geeignete Verschlüsselungsmaßnahmen. So kann man beispielsweise Angriffe, die gleichartig ablaufen, durch Einbau entsprechender Codes abwehren.

4 Authentifizierung authentication Authentizität authenticity Autorisierung authorization Backdoor backdoor 4 Unter der Authentifizierung versteht man die Aufgaben- und Benutzer-abhängige Zugangs- und/oder Zugriffsberechtigung. Die Authentifizierung hat den Zweck Systemfunktionen vor Missbrauch zu schützen. In der Kommunikation stellt die Authentifizierung sicher, dass der Kommunikationspartner auch derjenige ist, für den er sich ausgibt. Bei der Authentifizierung wird zwischen einseitiger und gegenseitiger Authentifizierung unterschieden. In der Praxis ist meistens die einseitige Authentifizierung üblich, wobei beispielsweise beim Login der Benutzer mit seinem Passwort eingibt und damit den nachweist, dass er wirklich der angegebene Benutzer ist. Als Sicherheitsdienst für die einseitige Identifikation dient der Empfängernachweis durch den die Benutzer- Identität und damit auch der Benutzungsberechtigung gegenüber dem System nachgewiesen werden. Dazu dienen hauptsächlich Passwörter, Passwortverfahren, persönliche ID-Nummern, kryptografische Techniken sowie Magnet- oder Chip-Ausweiskarten. Eine strenge Authentifizierung kann mit der Vergabe von Einmalpasswörtern (OTP) und OTP-Token erfolgen. Darüber hinaus gibt es Authentisierungssysteme die mit biometrischen Daten arbeiten und Mehrfaktorsysteme, die auf so genannte USB-Token setzen. Sicherer als die einseitige Authentifizierung ist die gegenseitige, bei der alle Kommunikationspartner ihre Identität beweisen müssen, bevor untereinander vertrauliche Daten ausgetauscht werden. So sollte beispielsweise bei Geldautomaten dieser vor Eingabe der PIN-Nummer beweisen, dass es sich bei dem POS-Terminal um ein echtes Geldterminal handelt und nicht um eine Attrappe. Authentizität ist die Echtheit, Zuverlässigkeit, Glaubwürdigkeit einer Mitteilung. Sie ist in vielen Fällen nach heutiger Rechtsauffassung nur bei originaler Mitteilung, z.b. Direktkommunikation oder Schriftgut mit originaler Unterschrift der zur Abgabe von schriftlichen Willenserklärungen autorisierten Personen, gewährleistet; in einigen Fällen schreibt das Gesetz zur Bestimmung der Authentizität notarielle Beglaubigung, Beurteilung oder Beurkundung vor. Die Autorisierung ist eine Berechtigung, eine explizite Zulassung, die sich auf einen Benutzer bezieht. Sie definiert, wer was in einem Netz was tun oder welche System-Ressourcen nutzen darf. Bei der Autorisierung werden dem Nutzer Rechte zugewiesen. Sie berechtigen den Benutzer eine bestimmte Aktion auszuüben. Um einen wirksamen Schutz zu erreiche, sollten bei der Rechtevergabe der Nutzer nur für die Ressourcen autorisiert werden, die er unbedingt benötigt. Eine Autorisierung setzt eine Prüfung der ausführende Person oder Kommunikationseinrichtung voraus. Erst nach der Ermächtigung kann die gewünschte Aktion oder Transaktion ausgeführt werden. So wird beispielsweise eine Transaktion mittels einer Kreditkarte zuerst durch den Kreditkartenherausgeber autorisiert, nach dem die Kartendaten überprüft wurden. Backdoors sind unberechtigte Zugriffe auf Rechner und deren Datenbestände. Wie der Name sagt, erfolgt der unberechtigte Zugriff durch die Hintertür. Der Angreifer erlangt über ein verstecktes, ständig laufendes Programm häufig uneingeschränkte Zugriffsrechte. Im Gegensatz zu Trojanern ermöglichen Backdoors einen direkten Zugriff auf den betroffenen Rechner, spionieren interessante und persönliche Daten aus und

5 ermöglichen die Manipulation von Hard- und Software. Backdoor werden häufig dazu benutzt um Viren, Würmer oder Trojaner auf dem angegriffenen Rechner zu installieren oder diesen für unbefugte Operationen wie DDoS-Attacken zu benutzen. Bedrohung threat Broadcaststurm broadcast storm Brute-Force-Angriff brute force attack 5 Ganz allgemein versteht man unter Bedrohung eine potentielle Gefahr, die durch eine Schwachstelle ausgelöst wird. Es kann sich dabei um ein Ereignis handeln, das Schaden verursacht, um einen Angriff auf ein System, eine Übertragungstrecke oder auf den Informationsinhalt einer Nachricht, um Spionage oder Sabotage oder auch um Gefahren, die unbeabsichtigt oder durch natürliche Ereignisse wie Stromausfall, absichtlich oder vorsätzlich von Mitarbeitern ausgehen. Bedrohung kann von der Technik selbst ausgehen, durch Fehlbedienungen oder Gewaltanwendung. In der Informations- und Kommunikationstechnik kann sich die Bedrohung auf die Verfügbarkeit von Systemen und Ressourcen beziehen oder ebenso auf die Integrität und Vertraulichkeit von Nachrichten. Das Potential von Bedrohungen ist unermesslich, da es sich gleichermaßen auf Systeme und Übertragungstechniken, auf Programme und Anwendungen beziehen kann. Es gibt die aktive Bedrohung bei der Informationen oder der Systemstatus verändert werden, oder die passive Bedrohung, deren Fokus sich auf das Ausspähen von Informationen bezieht. Mit der Bedrohungsanalyse werden alle möglichen Bedrohungsszenarien eines Kommunikations- oder Informationssystems erkannt, analysiert und dokumentiert. Broadcaststürme entstehen dann, wenn viele Stationen gleichzeitig eine Antwort an die sendende Station senden. In der Regel hat die sendende Station einen Broadcast gesendet, der gleichzeitig von vielen Stationen beantwortet wird, was mit re-broadcasten bezeichnet werden kann. Da das Re-Broadcasten einer gewissen Wahrscheinlichkeit unterliegt, hängt die Anzahl der beantworteten Broadcast von dieser ab. Ist die Wahrscheinlichkeit gering, bekommen einige Knoten im Netzwerk keine Nachricht, ist sie dagegen hoch, verhält sich das Antwortverhalten wie beim Flooding. In der Regel handelt es sich bei Broadcaststürmen um Probleme in der Redundanz, der Konkurrenzsituation und/oder von Kollisionen. So können beispielsweise topologische Schleifen im Netzwerk Verursacher von Broadcaststürmen sein. Broadcaststürme können einen erheblichen Schaden anrichten, da sie hinlänglich Netzwerkressourcen binden und dadurch den eigentlichen Datenverkehr beeinträchtigen. Ein Brute-Force-Angriff stellt einen gewaltsamen Angriff auf einen kryptografischen Algorithmus dar. Das Verfahren probiert systematisch alle möglichen Kombinationen durch, um den Krypto-Algorithmus zu knacken. Brute-Force-Angriffe können ebenso auf verschlüsselte Dateien, Nachrichten und Informationen oder auch auf Passwörter angesetzt werden. Damit Brute-Force-Angriffe möglichst zeitintensiv sind, setzen die meisten Verschlüsselungssysteme sehr lange Schlüssel ein. Bei einem 32-Bit-Schlüssel wären es vier Milliarden Möglichkeiten, die heutige Personal Computer in Minuten durchprobiert hätten. Entsprechend länger dauert die Ermittlung eines 48-Bit-Schlüssels oder gar eines 64-Bit-Schlüssels, der nur in mehreren tausend Jahren zu knacken wäre.

6 BS 7799 British Standard 7799 Sicherheitskonzept BSI, Bundesamt für Sicherheit in der Informationstechnik 6 Der British Standard BS 7799 von 1995 führt die offizielle Bezeichnung Code of Practise for Information Security Management und bildet die Prüfungsgrundlage für die Sicherheit von IT-Systemen. Der britische Standard bildet eine international anerkannte Norm für die Bewertung der Sicherheit von IT-Umgebungen. Aus diesem Standard ist der internationale Standard ISO hervorgegangen, der als Referenzdokument für die Erstellung eines Informationssicherheits-Managementsystems (ISMS) dient. Das Ziel dieser Norm ist die Einführung eines Prozessansatzes, mit dem ein organisationsbezogenes ISMS entwickelt, umgesetzt, überwacht und verbessert werden kann. Bei den Zertifizierungen nach BS 7799 steht das gesamte IT-System auf dem Prüfstand und wird auf vorhandenes Risikopotenzial hin untersucht; und nicht einzelne Anwendungen, Subsysteme oder Dateien. Der Schutz sensibler Daten und wichtiger Geschäftsprozesse stehen im Vordergrund. Wichtige Aspekte des Standards sind die Definition, Spezifikation und Implementierung eines Informationssicherheits- Managementsystems (ISMS), die Entwicklung organisationsbezogener Normen und Praktiken hinsichtlich der Informationssicherheit sowie die Überwachung der Einhaltung von Vereinbarungen an die Informationssicherheit. Der Standard besteht aus zehn Kapiteln, die die Grundlagen für den praktischen Einsatz bilden: Security Policy, Security Organization, Asset Classification and Control, Personal Security, Physical and Environmental Security, Computer and Network Management, System Access Control, System Development and Maintenance, Business Continuity and Disaster Recovery Planning, Compliance. Der Standard BS 7799 besteht aus zwei Teilen: Teil 1: Leitfaden zum Management von Informationssicherheit, Teil 2 von 1999: Spezifikation für Managementsysteme der Informationssicherheit. Im Jahre 2002 wurde der zweite Teil an internationale Management-Standards und die OECD-Richtlinien angepasst. Damit können Unternehmen einen Sicherheitsprozess etablieren, der den Sicherheitswert systematisch auf einem zu definierenden Niveau verbessert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde 1991 nach Inkrafttreten des BSI- Errichtungsgesetzes gegründet. Der Aufgabenbereich des BSI liegt in der Entwicklung und Förderung von Technologien für sichere IT-Netze. Schwerpunkte der BSI-Aktivitäten sind der Schutz gegen Computer-Viren, die elektronische Signatur, die

7 Internetsicherheit, der IT-Grundschutz, die Überprüfung von Sicherheitsarchitekturen und das E- Government. Verschiedenen Arbeitsgruppen befassen sich mit der Fortentwicklung des E-Government, der Bereitstellung von Computer-Dienstleistungen für Bundesbehörden sowie der Sicherheit des Internet. Das BSI erstellt Dokumente für die genannten Schwerpunkte, die über das Internet abgerufen werden können. CC, Common Criteria Entwicklung der Common Criteria (CC) Sicherheitslevels nach ITSEC und Common Criteria (CC) Compliance compliance 7 Common Criteria for Information Technology Security Evaluation (CC) ist die Weiterentwicklung von ITSEC, der TCSEC der USA und der kanadischen CTCPEC. Es handelt sich um weltweit anerkannte Sicherheitsstandards für die Bewertung und Zertifizierung informationstechnischer Systeme. Die Common-Criteria-Zertifizierung wurde 1998 von den Regierungsstellen in den USA, Kanada, Deutschland, Großbritannien und Frankreich begründet und bereits von mehreren anderen Ländern übernommen. Dabei hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) bei der Entwicklung der Common Criteria eine aktive Rolle übernommen. Die Common Criteria wurden von der NIST veröffentlicht und sind international von der ISO standardisiert. Der Standard ISO beschreibt die Bewertung der Sicherheitsfunktionen von IT- Produkten. In den Common Criterias werden der Geltungsbereich für die sicherheitsrelevante Evaluierung beschrieben, darüber hinaus die funktionalen Anforderungen in Zusammenhang mit der Bedrohung und den Sicherheitszielen und die Anforderungen an die Vertrauenswürdigkeit. Die Klassifizierung der IT-Sicherheitsprüfung im Rahmen der Common Criteria erfolgt in sieben so genannten EAL-Stufen, die auch als Schutzprofile bezeichnet werden. Diese reichen von EAL1 für unzureichendes Vertrauen bis hin zu EAL7 für den formal verifizierten Entwurf und Test des IT- Equipments. Der Begriff Compliance umschreibt ein regelkonformes Verhalten eines Unternehmens in Bezug auf die gesetzlichen und regulativen Bestimmungen. Die Compliance soll sicherstellen, dass die unternehmerischen Risiken erkannt, bewertet und durch die Implementierung technischer Lösungen erfüllt werden.

8 Die Rechtskonformität betrifft in gleichem Maße die handelsrechtliche und steuerrechtliche Dokumentation von Vorgängen, aber ebenso sicherheitsrelevante Lösungen der elektronischen Kommunikation und vor allem der Archivierung. Einschlägige Richtlinien für sicherheitstechnische Konformität finden sich in dem British Standard BS 7799, dem IT-Grundschutzhandbuch des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI GsHb), in den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) und in den Grundsätzen für ordnungsgemäße DV-gestützte Buchführungssysteme (GoBS). An weiteren Richtlinien und Gesetzen, die unternehmensspezifische Aspekte berücksichtigen, sind Basel II zu nennen, in denen die Eigenkapitalvorschriften festgelegt sind, die International Financial Reporting Standards (IFRS) für die Rechnungslegungen, das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) mit der die Corporate Governance in deutschen Unternehmen verbessert werden soll und den Sarbanes-Oxley-Act, der bei international tätigen Unternehmen die Bilanztransparenz erhöht. Content-Sicherheit content security Cracker cracker CRAMM, computer risk analysis and management method 8 Die Content-Security befasst sich mit dem Schutz der Informationen vor allen bekannten Viren, Würmern und Trojanern, sowie mit der Erkennung von neuen Gefahren und die Verhinderung von Spams. Zur Content- Security gehören Sicherheitslösungen für die Abwehr von Hackerangriffen, die über Sicherheitslücken in Netzwerken und Anwendungen Schaden anrichten. Bei der Content-Security werden die Daten hinsichtlich ihrer Integrität geprüft; des Weiteren wird geprüft ob sie verschlüsselt gesendet, empfangen und genutzt werden dürfen. Diese Sicherheitsprüfungen erfolgen nach einem festgelegten Regelwerk, den Policies, mit dem organisatorische und personenspezifische Kenndaten überprüft werden. Die Maßnahmen für die Content-Security reichen von Anti-Virus-Programmen mit denen der Web-Verkehr und alle s gescannt werden, über die Abwehr von Hackerangriffen bis hin zu nachgeschalteten Anti- Spam-Filtern, Web-Filtern und -Filtern. Wobei die Web-Filterung unerwünschte Webseiten ausfiltert und die -Filterung die s inhaltsabhängig nach Text- und Anhängen durchsucht und entsprechend ausfiltert. Ein Cracker ist eine Person, die unberechtigt in ein Computersystem eindringt. Ziel der Cracker - der Begriff wird oft synonym mit Hacker verwendet - ist es, die Sicherheitssysteme zu knacken und die gewonnenen vertraulichen Daten nicht zum wirtschaftlichen oder sozialen Nachteil für das betroffene Unternehmen oder die betroffene Institution auszunutzen. Cracker verursachen häufig Schäden an den Systemen, im Gegensatz zu Hackern, die meistens nur ihre spezifische Visitenkarte hinterlassen. Im deutschen Sprachgebrauch versteht man unter einem Cracker eine Person die den Kopierschutz von Systemen knackt. CRAMM ist ein bereits 1987 vorgestelltes Software-Paket für das wissensbasierte Risikomanagement, das dem britischen Sicherheitsstandard BS 7799 entspricht und nach ISO zertifiziert ist. CRAMM basiert auf einer toolgestützten Struktur mit der Geschäftsprozesse modelliert und Schwachstellen

9 in IT- und Kommunikationssystemen bewertet werden können. Darüber hinaus kann CRAMM Sicherheitsvorschläge unterbreiten, Notversorgungsmaßnahmen planen, ISMS generieren und zu schützende Objekte identifizieren. Mit dem Ergebnis, das als Report ausgegeben werden kann, kann das Management Schwachstellen und Risiken in den IT-gestützten Geschäftsprozessen, in Software und Hardware, Netzwerken, Personal, Gebäude u.a. erfassen, bewerten und beseitigen. Crasher crasher Datensicherheit data security DoS, denial of service DoS-Attacke EAL, evaluation assurence level 9 Die Begriffe Hacker, Cracker und Crasher haben unterschiedliche Bedeutung. Bei einem Crasher handelt es sich um jemanden, der Vandalismus in Computersystemen ausübt, diese zum Absturz bringt und vorsätzlich Schaden anrichtet. Unter Datensicherheit sind gesetzliche Regelungen und technische Maßnahmen zu verstehen, durch die die unberechtigte Speicherung, Verarbeitung und Weitergabe schutzwürdiger Daten verhindert werden soll. Ziel ist es, die Persönlichkeitsrechte des Menschen vor den Folgen der Erfassung seiner Individualdaten bei der manuellen und automatischen Datenverarbeitung zu schützen. Innerhalb eines Betriebs gehören dazu personelle, organisatorische und revisionstechnische Regelungen, außerdem geräte- und programmtechnische Schutzmechanismen. Datenschutz, Datenintegrität und Datensicherung bilden die verlässliche Informationsverarbeitung. In Deutschland ist der Datenschutz durch das Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung vom im Bundesdatenschutzgesetz (BDSG) verankert. Gewerbliche oder staatliche Computeranwender mit schutzbedürftigen Daten müssen Datenschutzbeauftragte einsetzen. Darüber hinaus gibt es in Deutschland das Bundesgesetz über den Datenschutzgesetz vom Es lautet: Wer personenbezogene Daten für sich selbst oder im Auftrag für andere elektronisch bearbeitet, muss durch geeignete Maßnahmen den Verlust und den Missbrauch dieser Daten verhindern. Denial of Service (DoS) sind Attacken im Internet zur Beeinträchtigung von Webservices, die damit außer Betrieb gesetzt werden. Diese Angriffe können durch Überlastung von Servern ausgelöst werden, so beispielsweise mittels der Bombardierung eines Mail-Servers mit einer so großen Anzahl von Mails, dass dieser seine Funktion wegen Überlast nicht mehr ausüben kann, oder durch die Überflutung eines Netzwerks mit Datenpaketen. DoS-Attacken zielen in der Regel nicht auf den Zugang zum Netzwerk, System oder zu den Datenbeständen ab, sondern haben das Ziel einen Dienst einzuschränken, zu blockieren oder unbenutzbar zu machen. Dazu werden die zur Verfügung stehenden Programme oder Netzwerk-Ressourcen außerordentlich überbelastet. Ein DoS-Angriffe kann durch IP-Spoofing vorbereitet werden. Der Angreifer nutzt dazu eine autorisierte IP- Adresse und gelangt so in das System oder das Netzwerk, um dann seine DoS-Attacke auszuführen. Neben dem Mail-Bombing, gibt es noch das SYN-Flooding, das Ping-Flooding und die DDoS-Attacken. Die Evaluation Assurence Level (EAL) kennzeichnen die Vertrauenswürdigkeit in eine Sicherheitsleistung. Im Rahmen der Common Criteria (CC) werden sie für die Bestimmung der Sicherheitsprüfungen verwendet.

10 Sicherheitslevels nach ITSEC und Common Criteria (CC) Flaming flaming Hacker hacker Heuristik heuristics Hijacking hijacking 10 Es gibt sieben EAL-Stufen, die mit den Ziffern 1 bis 7 gekennzeichnet sind und mit steigender Ziffer einen höheren Sicherheitsstandard repräsentieren. So bietet die EAL-Stufe EAL1 einen einfachen Funktionalitätstest, der ein unzureichendes Vertrauen in die IT-Sicherheitsprüfungen darstellt; EAL7 bietet als höchster Sicherheitstandard eine formal logische Verifizierung. Anhand der EAL-Stufen ist eine Vergleichbarkeit der Sicherheitsfunktionalitäten von Programmen und Systemen gegeben. Allerdings sind bei der Bewertung der Sicherheitsleistungen die Schwachstellen, über die Eindringlinge in das oder Attacken auf das System ausgeführt werden können, zu analysieren. Flaming ist ein Internet-Jargon für eine bösartige, oft persönliche oder gar beleidigende Angriffe auf den Verfasser eines Artikels in einer Newsgroup, in Diskussionsforen oder auch beim Schreiben von s. Flaming sind verbale Auswüchse, die gegen die Netiquette verstoßen und unterbleiben sollten. Unter Hacker versteht man Personen, die sich über öffentliche Netze oder IP-Netze unberechtigten Zugang zu anderen Systemen verschaffen und versuchen auf den Datenbestand in fremden Systemen zuzugreifen. Der unberechtigte Zugang erfolgt in der Regel unter Umgehung der Sicherheitssysteme. Das Eindringen kann bei der Datenübertragung, auf den Leitungen, den Übertragungskomponenten oder Protokollen stattfinden. Als Gegenmaßnahmen gegen Hacker empfehlen sich u.a. das regelmäßige Auswechseln von Passwörtern, die Beseitigung von Schwachstellen im System, das Abschalten von nicht genutzten Systemdiensten, das Callback als Kommunikationsroutine, die Überwachung von Service- Eingängen und der Einsatz von IDS-Systemen. Heuristik ist die Lehre von Methoden zum Auffinden neuer Erkenntnisse. Heuristische Verfahren werden beispielsweise beim Aufspüren neuer Viren angewendet und zwar vorwiegend in dem Zeitraum, in dem noch kein neues Update für die Virenscanner entwickelt wurde. Um zu verhindern, dass in dem Zeitraum in dem die Hersteller die Updates für neue Viren entwickeln, der Schaden durch ein neues Virus möglichst gering gehalten wird, werden die Schädlinge mittels heuristischer Verfahren abgefangen. Hierbei suchen die Virenscanner nach verdächtigen Codes, der beispielsweise die Festplatte formatiert oder unerwartete Online-Verbindungen aufbaut. Das Erkennen solcher Phänomene wird vom Virenscanner angezeigt. Das Hijacking wird in IP-Netzen angewendet indem der Angreifer eine aktive IP-Sitzung übernimmt. Der Angreifer schlüpft dabei nach der Authorisierung des Nutzers in dessen Rolle und übernimmt die IP- Verbindung. Beim UDP-Prokoll ist dies besonders einfach; beim TCP-Protokoll muss er die Sequenznummer erraten.

11 Hoax hoax Identifikation identification Identität identity Informationssicherheit information security Schwachstellen in der Informationssicherheit 11 Hoaxes sind elektronische Falschmeldungen, die bewusst durch Dritte über s verbreitet werden. Die Hoaxes enthalten Text, der in die Irre führen soll wie eine Zeitungsente oder ein Aprilscherz, richten aber keinen direkten Schaden an. Um eine weite Verbreitung zu finden, werden sie als Kettenbrief gehandhabt. Eine Hoax kann alle Themenbereiche tangieren, von Unternehmens- und Börsennachrichten über den Umweltschutz, das Wetter bis hin zu Warnhinweisen. Sie verbreiten sich extrem schnell und werden von Virenscannern nicht erkannt. Die Identifikation ist die Überprüfung einer Person oder eines Objektes in Bezug auf vorgelegte, eindeutig kennzeichnende Merkmale, die Identität. Diese Identität kann anhand von eindeutigen Merkmalen, die denen eines Ausweises entsprechen, überprüft werden. Oder auch mittels Passwörtern und gespeicherten Referenzpasswörtern. Für die Identifizierung gibt es verschiedene Medien und Verfahren; u.a. Chipkarten, Magnetkarten, Smartkarten und biometrische Verfahren. Darüber hinaus werden in der Warenwirtschaft Strichcodes, 2D- Codes und RFID für die eindeutige Warenkennzeichnung eingesetzt. <br> Bei der biometrischen Identifikation werden individuelle, körperspezifische Merkmale wie der Fingerabdruck, das Gesichtsfeld oder die Iris für die Identifikation genutzt. Eine Identität ist der eindeutige Identifikator für eine Person, Organisation, Ressource oder einen Service zusammen mit optionaler zusätzlicher Information (z.b. Berechtigungen, Attributen). Die Identität umfasst eindeutig kennzeichnende Merkmale. Es gibt verschiedene Techniken zur eindeutigen Identitäskennzeichnung wie die ID-Nummer oder der elektronische Schlüssel, der die Identität eines Benutzers sicherstellt, und diverse Verfahren zur Prüfung und Feststellung der Identität. Informationssicherheit ist der Präventivschutz für Persönlichkeits- und Unternehmens- Informationen und ist auf kritische Geschäftsprozesse fokussiert. Ein solcher Schutz bezieht sich gleichermaßen auf Personen, Unternehmen, Systeme und Prozesse und wird durch Integrität, Verfügbarkeit, Vertraulichkeit, Verbindlichkeit, Nachweisbarkeit und Authentizität erzielt. Die Informationssicherheit soll den Verlust, die Manipulation, den

12 unberechtigten Zugriff und die Verfälschung von Daten verhindern. Die Basis für die Informationssicherheit kann durch konzeptionelle, organisatorische und operative Maßnahmen erreicht werden. Dazu gehört die Umsetzung von sicherheitsrelevanten Grundsätzen eines Unternehmens, die so genannte Informationssicherheitspolitik. In dieser sind die Ziele des Unternehmens und die Realisierung festgelegt. Ein wichtiger Ansatz für die Sicherheit von Informationssystemen ist der British Standard BS 7799 sowie der ISO-Standard als Implementierungsleitfaden. Diese beiden Sicherheitsstandards werden in der Security-Norm ISO berücksichtigt. Internetsicherheit Internet security Übertragungsstrecke mit Web-Shield ISMS, information security management system Informationssicherheits- Managementsystem 12 Als weltweit größter Netzverbund bietet das Internet Angreifern hinreichende Möglichkeiten, sich unberechtigten Zugriff auf Datenbestände und Ressourcen zu verschaffen, Datenbestände und übertragene Daten zu manipulieren und zu sabotieren. Die technischen Möglichkeiten für das unberechtigte Eindringen in fremde Datenbestände reichen vom Abhören von Passwörtern, über das IP-Spoofing, bei dem sich der Eindringling einer gefälschten IP-Adresse bedient, über das IP-Hijacking, bei dem der Angreifer eine bestehende IP-Verbindung übernimmt, den Replay-Angriff, bei dem der Angreifer gezielt vorher gesammelte Informationen einsetzt, um dadurch fehlerhafte Transaktionen auszuführen, über das SYN-Flooding, einem gezielten Angriff auf den Server, um diesen durch Überlast von seinen eigentlichen Aufgaben abzulenken, bis hin zum Man-in-the-Middle-Angriff, einer Attacke, bei der die Kommunikation zwischen zwei Partnern abgefangen und manipuliert wird. Wirkungsvolle Maßnahmen gegen diese Bedrohungen der Internetsicherheit bieten so genannte Web-Shields, die als Application Layer Gateway (ALG), auch bekannt als Web Application Firewall (WAF), agieren. Im Gegensatz zu klassischen Firewalls und IDS-Systemen untersuchen die genannten Systeme die Kommunikation auf der Anwendungsebene. Ein Informationssicherheits-Managementsystem (ISMS), das nach der Normenreihe ISO 2700x zertifiziert wird, erfüllt die Voraussetzungen für ein qualifiziertes Sicherheitsmanagement. Ein solches ISMS-System, bestehend aus Richtlinien, Maßnahmen und Tools, beherrscht spezifische IT-Risiken und garantiert die geforderte IT-Sicherheit. Ein ISMS-System mit einem Prozess-orientierten Ansatz bildet die Grundlage für das Unternehmen und

13 dessen Positionierung hinsichtlich der Informationssicherheit. In einem solchen Ansatz sollten die Bedeutung, die Anforderungen und die Ziele der Informationssicherheit festlegt sein. Des Weiteren sollte die Effektivität des ISMS kontrolliert und das System ständig nachvollziehbar verbessert werden. Bei diesem Prozess-orientierten Ansatz kann jede Aktivität, die Ressourcen nutzt, als Prozess betrachtet werden. Wobei jeder Prozess den Input für den folgenden Prozess bilden kann. Ein ISMS-System muss in allen Hierarchieebenen eines Unternehmens implementiert sein und von Verantwortlichen betreut werden. In der Implementierung eines solchen Systems spiegelt sich die Organisation mit ihren unternehmerischen Anforderungen wider. Die Normenreihe ISO 2700x behandelt die Thematik ISMS, dabei geht die Norm ISO auf die Zertifizierungsanforderungen ein und ISO gibt Anleitungen für die Entwicklung und die Implementierung eines Information Security Management Systems (ISMS). ISO Vom BS 7799 über die ISO zur ISO IT-Sicherheit IT security 13 Der im Jahre 2000 verabschiedete internationale Standard ISO für die IT-Sicherheit ist aus dem British Standard BS 7799 hervorgegangen. Der Standard mit dem Titel Code of Practice for Information Security Management bietet eine Auswahl an Kontrollmechanismen, die auf Methoden und Verfahren basieren, die sich in der IT-Sicherheit bewährt haben. In dem Standard werden keine konkreten Sicherheitslösungen empfohlen; allerdings sollten Unternehmen und Organisationen aller Branchen die im Standard aufgeführten Richtlinien beachten und umsetzen. Die ISO hat mit ISO ein formelles Anerkennungs- und Zertifizierungsverfahren für die Einhaltung der Standards eingeführt, wodurch sich die allgemeine Qualität des Standards verbessert hat. Dieser Standard, der den ersten Teil von BS 7799 umfasst, ist weltweit akzeptiert. Im Jahre 2005 wurde ISO überarbeitet und in der neuen Fassung unter der Normenreihe ISO 2700x als ISO veröffentlicht. ISO ist eine Sammlung von Empfehlungen, die für die IT- Sicherheit und das Business Continuity Management (BCM) angewendet werden. Diese Richtlinien haben sich in der Praxis bewährt können in allen Hierarchieebenen von Unternehmen, Institutionen und Organisationen eingesetzt werden. Da die Vielfalt der Sicherheitsaspekte von der Systemumgebung und der Unternehmensorganisation geprägt ist, ist ISO ein flexibler Standard, der eigene Interpretationen zulässt. Die IT-Sicherheit tangiert alle technischen Maßnahmen zur Verringerung des Gefährdungspotenzials für IT- Anwendungen und -Systeme. Alle mit dem Gefährdungspotenzial in Zusammenhang stehenden Schutzmaßnahmen, wie die Entwicklung von Sicherheitskonzepten, die Vergabe von Zugriffsberechtigungen und die Implementierung von Sicherheitsstandards, sind Aspekte der IT-Sicherheit. IT-Sicherheit ist die technische Umsetzung der Sicherheitskonzepte unter wirtschaftlichen Aspekten.

14 Sicherheitskonzept ITSEC, information technology security evaluation criteria Entwicklung der ITSEC 14 Die IT-Sicherheit umfasst alle gefährdeten und daher schützenswerten Einrichtungen, Systeme und Personen. Dazu gehören u.a. Gebäude, Netze, Hardware und Software sowie die an den Systemen Arbeitenden. Ziel der IT-Sicherheit ist es, die Verfügbarkeit von Systemen und Daten sicherzustellen, die Vertraulichkeit zu gewährleisten, damit weder Unbefugte auf Dateien zugreifen können und die Dateien auch bei der Übertragung weiterhin vertraulich bleiben, die Sicherstellung der Authentizität und der Integrität der Daten. Für die physikalische IT-Sicherheit gibt es mehrere nationale und europäische Standards, so die Definition der Brandabschnitte nach DIN 4102 oder die in den EN-1047-Standards spezifizierten Belastungsgrenzen für Daten und Systeme. Darüber hinaus gibt es Richtlinien und Güteklassen für den Einbruchschutz mit der Beschreibung des Mauerwerks. Die Information Technology Security Evaluation Criteria (ITSEC) sind europäische Sicherheitsstandards, die der Bewertung und Zertifizierung der Sicherheit von IT-Systemen dienen. Es handelt sich um eine technisch orientierte, produktbezogene Sicherheitsrichtlinie. ITSEC ist aus verschiedenen europäischen Sicherheitsrichtlinien, den UK Confidence Levels, German Criteria, French Criteria und dem US Orange Book TCSEC hervorgegangen. Die Kriterien sind in einem Katalog zusammengefasst und sind nur für den europäischen Raum gültig. Das Vertrauen in die Sicherheitsstufen von ITSEC ist in so genannte Evolutionsstufen gegliedert. Es gibt die Stufen E0, was ein unzureichendes Vertrauen widerspiegelt, bis E6 für höchstes Vertrauen. Je höher die Evolutionsstufe, desto fachkundiger sind die Eindringlinge. Die Evaluierung beinhaltet die Prüfung und Bewertung der Sicherheitseigenschaften eines IT- Produkts nach den festgelegten Sicherheitskriterien. Die Weiterentwicklung des ITSEC sind die Common Criteria for Information Technology Security Evaluation. Die ITSEC, die 1991 von der EU-Kommission verabschiedet wurde und vom Bundesamt für Sicherheit

15 in der Informationstechnik (BSI) angewendet wird, ist das europäische Gegenstück zur amerikanischen TCSEC. Aus beiden wurden die Common Criteria (CC) entwickelt. Makrovirus macro virus Malware malware Man-in-the-Middle-Angriff man-in-the-middle attack Netzwerksicherheit network security 15 Makroviren werden im Gegensatz zu normalen Viren in einer Makrosprache erstellt. Da Makros wiederkehrende Tastatureingaben und Programmabläufe automatisieren helfen, können Computerviren über Makroprogramme erstellt und reproduziert werden. Makroviren sind in Dokumenten eingelagert und werden bei Aufruf und Weitergabe der Dateien verteilt. Durch diese einfache Verbreitung können Makroviren enorme Schäden verursachen, beispielsweise durch Veränderung der Zahlen in einer Tabellenkalkulation. Unter den Oberbegriff Malware fallen alle unerwünschten Software-Aktivitäten, die die IT-Sicherheit oder die Funktionsfähigkeit von Computern und Systemen beeinträchtigt. Dazu zählen im Einzelnen Viren, Trojaner und Würmer, Flooding und DoS-Attacken, Spyware, Spams, Hoaxes usw. Bei Malware handelt es sich immer um Aktivitäten, die vom Benutzer nicht erwünscht sind. Die technischen Verfahren mit denen die Malware-Aggressoren ihre Opfer ausspähen sind auf einem hohen technischen Niveau. Gängige Antiviren- und Anti-Malware-Programme sind auf nicht in der Lage die Angriffe zu erkennen oder aufzuspüren. Wenn die Malware-Angriffe ihre Aufgaben erfüllt und Konstruktionspläne, Kontennummern oder andere Informationen ausgespäht haben, verwischen die Programme ihre eigenen Spuren. Häufig kann der entstandene Schaden und das Eindringen erst dann rekonstruiert werden, wenn der Privatmann oder das Unternehmen bereits geschädigt wurde. Man-in-the-Middle ist ein Angriff auf den Kommunikationskanal zwischen zwei Partnern. Der Angreifer versucht dabei den Kommunikationskanal unter seine Kontrolle zu bringen, und zwar in der Art und Weise, dass die Kommunikationspartner nicht feststellen können ob sie miteinander oder mit dem Angreifer kommunizieren. Abhilfe schaffen hier nur eindeutige Identifikation der Teilnehmer, ohne dem Angreifer die Identifikation preiszugeben. Die Netzwerksicherheit ist eine Symbiose aus Richtlinien und Vorschriften, aus Produkten und Diensten. Sie tangiert alle Unternehmensebenen, vom Benutzer über den Administrator bis hin zur Unternehmensführung. Es ist ein Maßnahmenkatalog in Form einer Security Policy, die dafür sorgen muss, dass die Zugriffsberechtigung, Autorisierung, Identifikation und Authentifizierung verwaltet werden, dass jede Attacke, jeder unerlaubte Zugriff, jede Art der Sabotage, der Manipulation, des Missbrauchs und der Beeinflussung der Datenbestände und Ressourcen verhindert oder unmittelbar erkannt wird und dass das Einschleusen von Viren, Würmern oder Trojanern, DoS-Attacken oder IP-Spoofing nicht möglich ist. Ausgehend von einem solchen Maßnahmenkatalog können technische Lösungen implementiert werden. An netzwerkumfassenden Konzepten gibt es Network Access Control (NAC) von Cisco und anderen Unternehmen, Network Access Protection (NAP) von Microsoft und Trusted Network Connect (TNC) von der Trusting Computing Group.

16 Phishing phishing Beispiel, in der die Postbank auf gefälschte Home-Pages zum Zwecke des Phishings hinweist Phreaking phreaking 16 Mit der Wortschöpfung Phishing, das sich aus Passwort und Fishing zusammensetzt, ist ebenso wie das Pharming eine Technik, bei der der Angreifer versucht, die persönliche Identifikations-Nummer (PIN) und die Transaktionsnummer (TAN) von Bankkunden über das Internet abzufragen und damit Finanztransaktionen durchzuführen. Die Angreifer, die Phisher, fragen über gefälschte Bank-Homepages die vertraulichen Daten ab. Zu diesem Zweck wird eine nachgemachte Homepage eines Geldinstituts ins Internet gestellt. Nach dem Zufallsprinzip werden s mit einem Link auf die gefälschte Hompage versandt. In diesen E- Mails werden Sicherheitsaspekte oder bankrelevante Themen behandelt mit dem Hinweis auf die angebliche Homepage. Die in die nachgebildeten Hompages eingetragenen persönliche Identifikationsnummern und Transaktionsnummern werden ausgefiltert und stehen den Angreifern unmittelbar für unberechtigte Finanztransaktionen auf der richtigen Homepage zur Verfügung. Das Phreaking ist eine ältere Methode zu Umgehung von Telefonkosten, die ursächlich mit den Vermittlungstechniken in Telefonnetzen und dort im Besonderen mit der Signalisierung zusammenhängt. Die Kreativität der Phreaker, das sind Diejenigen die das Phreaking beherrschen, hat sich nicht nur auf das Nachbilden von Signalisierungssequenzen beschränkt. Phreaker analysieren und modifizieren die Schwachstellen der verschiedenen Einwahltechniken und Bezahlformen, einschließlich der Telefonkarten oder Callingcards, und setzen die Erkenntnisse konsequent zum eigenen kostenlosen Telefonieren ein. Was die Signalisierung betrifft, so arbeiten Fernmeldenetze in den USA, in Kanada, Australien und China mit der älteren C5-Signalisierung, die als Innenband-Signalisierung mit Zweiton- und Mehrtonverfahren im Sprachkanal arbeitet, also keinen unabhängigen Signalisierungskanal benutzt, wie beispielsweise das Signalisierungssystem Nr. 7 (CCS7). Die Steuersignale und -sequenzen der C5-Signalisierung können somit direkt aus dem Sprachkanal ausgefiltert und für eigene Zwecke missbraucht werden. Da die Betreibergesellschaften die Steuersequenzen wegen des Phreaking ändern, arbeiten die Phreaker mit Frequenzscannern, die die Frequenzen automatisch scannen, die Sequenzen aufzeichnen und das Ganze noch in einen Softwaredialer einbringen. Über das Monitoring der Carrier können Phreaker mittels Fangschaltung erfasst werden. Das Phreaking, das besonders bei internationalen Verbindungen interessant ist, ist ein globales Problem. National ist das Phreaking, bedingt durch die verwendete Außenband-Signalisierung schwierig.

17 PSE, personal security environment Risiko risk Risikoanalyse risk analysis Faktoren der Risikoanalyse Sabotage sabotage 17 In dem Personal Security Environment (PSE) sind persönliche sicherheitsrelevante Informationen gespeichert. Das sind alle schützenswerten Informationen eines Benutzers: die kryptografischen Schlüssel, Zertifikate und einige den Benutzer betreffende Kontrollinformationen. Physikalische Träger solcher geheim zu haltenden Sicherheits-Informationen sind Speichermedien wie Disketten, Compact Discs (CD) oder Smartcards. Einige PSE-Informationen können frei zugänglich, wie der Name oder das Zertifikat, andere hingegen können mit PIN oder Passwort geschützt. Die PSE wird u.a. bei der digitalen Signatur angewendet. Eine Schnittstelle für PSEs ist PKCS in der Version PKCS#11. Unter Risiko versteht man die Wahrscheinlichkeit für den Eintritt eines Schadensfalles. Ein solches Schadensereignis kann in der IT-Technik durch bestimmte Schwachstellen in den Systemen, Komponenten, Kommunikationsnetzen oder Software auftreten, die zufällig oder vorsätzlich ausgenutzt werden. Das bedeutet, dass die Sicherheit der Systeme unmittelbar von dem Risiko abhängig ist: Je höher das Risiko, desto geringer ist die vorhandene Sicherheit und umgekehrt. Das Risiko beginnt da, wo die Sicherheit aufhört. Je höher die Sicherteit veranschlagt wird, desto geringer ist das Risiko. Werden die risikobehafteten Schwachstellen durch methodische Verfahren ermittelt, spricht man von Risikoanalyse. Bei einer solchen Analyse werden technische und menschliche Schwachstellen erforscht, damit die Häufigkeit und die Länge der Schadensfälle eingeschränkt und reduziert werden kann. Die Ergebnisse der Risikoanalyse fließen in das Risikomanagement ein. Risiken lassen sich klassifizieren nach den Objekten, den Aktivitäten, den Urhebern und der Ursache, nach der Häufigkeit und der Schadenshöhe. Die Risikoanalyse arbeitet mit methodischen Verfahren und beschäftigt sich mit der Erkennung und Bewertung von Gefahren und Bedrohungen, denen die Informationssysteme ausgesetzt sind. Sie erforscht menschliche und technische Schwachstellen um die Schadensfälle zu analysieren und deren Häufigkeit und Dauer zu reduzieren. Neben der analytischen Bewertung des Risikos und der Abschätzung der Wahrscheinlichkeit zukünftiger Gefahren, geht es bei der Risikoanalyse um die Konsequenzen und die Kosten, die sich aus den Ausfallzeiten der IT-Systeme und einem möglichen Datenverlust ergeben. Die Ergebnisse der Risikoanalyse gehen unmittelbar in das Risikomanagement ein. Sabotage ist ein vorsätzlicher Eingriff in ein System oder Programm um dessen Funktion zu beeinträchtigen und den wirtschaftlichen Ablauf zu stören. Sie kann sich auch auf die Beschädigung von Einrichtungen oder Systemen beziehen. Im Gegensatz zur Manipulation setzt die Sabotage kriminelle Energie voraus.

18 Schwachstelle vulnerability Schwachstellenmanagement VM, vulnerability management Sicherheit security Sicherheitsarchitektur security architecture 18 Der Begriff Vulnerability, zu deutsch Schwachstelle, wird in der Informationssicherheit in dem Sinne benutzt, als dass es sich um einen Fehler der Software handelt, der von Hackern genutzt werden kann und ihnen den Zugriff auf Systeme oder Netzwerke ermöglicht. In Zusammenhang mit den Common Vulnerabilities and Exposures (CVE) geht es bei der Vulnerability um die Verletzung der Sicherheitspolitik eines IT-Systems durch einen Angreifer. Das Vulnerability Management (VM) erarbeitet Verfahren und Prozesse um die sicherheitsrelevanten Schachstellen in IT-Systemen zu erkennen und beseitigen. Das Vulnerability Management (VM) befasst sich mit den sicherheitsrelevanten Schachstellen in IT- Systemen. Mit dem VM-Management sollen Prozesse und Techniken erarbeitet werden, mit denen zur Steigerung der IT-Sicherheit eine Sicherheitskonfiguration in Unternehmen eingeführt und verwaltet werden kann. Das Vulnerability Management umfasst die Schwachstellenanalyse unter Berücksichtigung der in den Standards BS 7799 resp. ISO detailliert beschriebenen Faktoren Mensch, Maschine, Umgebung und Daten. Darüber hinaus spielt beim VM-Management das Common Vulnerability Scoring System (CVSS), mit dem ein Rating- Index erstellt wird, eine wesentliche Rolle. Unter Sicherheit sind alle technischen und organisatorischen Maßnahmen zu verstehen die Daten schützen. Dieser Schutz wird bei den Bedienenden realisiert, in Systemen und Computern, bei der Übertragung sowie in Diensten und Anwendungen. Unter Berücksichtigung des möglichen Gefährdungspotentials werden Sicherheitsmechanismen implementiert, die das Eindringen in Systeme, das Abhören der Übertragungswege, die Manipulation, die Sabotage und das Löschen von Datensätzen verhindern soll. Zu den personenbezogenen Schutzmechanismen gehören die Autorisierung und Authentifizierung durch Passwörter oder persönlicher Identifikationsnummer (PIN), biometrische Daten oder Signaturen. Die systembezogenen Sicherheitskriterien gehören zur IT-Sicherheit und umfassen technische und organisatorische Maßnahmen. Dazu gehören die Installation eigener Sicherheitsarchitekturen mit Firewalls, das Sicherheitsmanagement und die Schlüsselverwaltung. Kennzeichnend für die übertragungstechnische Sicherheit, die Netzwerksicherheit und die Internetsicherheit, sind die Verschlüsselungsverfahren und die Datenübertragung mit Sicherheitsprotokollen. Anwendungsorientierte Schutzmaßnahmen haben branchenspezifische Eigenschaften, wie beispielsweise bei geschäftlichen Transaktionen, bei denen digitale Signaturen und Transaktionsnummern die Sicherheit verbessern. Unter Sicherheit fallen alle Kriterien, die die Integrität, Verfügbarkeit, Vertraulichkeit, Verbindlichkeit, Betriebssicherheit und Authentizität betreffen. Die Sicherheitsarchitektur der ISO bildet den zweiten Teil des OSI-Referenzmodells und ist die Basis für die Integration von Sicherheit in offenen Kommunikationssystemen. Die OSI-Sicherheitsarchitektur beschreibt keine bestimmte Technologie, wie Sicherheit in offenen Systemen erreicht wird, sondern sie befasst sich mit den Sicherheitsaspekten in offenen Kommunikationssystemen und definiert die zugehörige Gedanken- und

19 Begriffswelt sowie Richtlinien und Maßnahmen um vorhandene Standards zu verbessern und neue zu entwickeln. Die OSI-Sicherheitsarchitektur stellt die Beziehungen zwischen den Sicherheitsdiensten und - mechanismen mit den Schichten des OSI-Referenzmodells her. Die verschiedenen Sicherheitsdienste und - mechanismen sind auf allen sieben Schichten des OSI-Referenzmodells angesiedelt; von der Bitübertragungsschicht bis hin zur Anwendungsschicht. Sicherheitsdienst security service Sicherheitsdienste und deren -mechanismen Sicherheitsinfrastruktur PKI, public key infrastructure 19 Sicherheitsdienste sollen Angriffe abwehren. Es handelt sich dabei um Technologie-unabhängige Sicherheitsmaßnahmen, die durch ihre Leistungsmerkmale genau definiert sind und in die Schichtenstruktur der Sicherheitsarchitektur eingebunden werden. Die fünf primären Sicherheitsdienste Vertraulichkeit, Integrität, Authentifizierung, Zugriffskontrolle und Unwiderrufbarkeit werden durch Sicherheitsmechanismen realisiert. Neben den genannten Sicherheitsdiensten gibt es weitere, die detaillierter sind, wie die Unversehrtheit der Nachricht oder der Kommunikationsnachweis. Jeder Sicherheitsdienst basiert auf einem oder mehreren Sicherheitsmechanismen. Ein Sicherheitsdienst ist die Vertraulichkeit, mit der sichergestellt wird, dass nur Befugte auf entsprechende Informationen zugreifen können. Sie schützt vor passiven Angriffen und damit vor dem unbefugten Mitlesen von übertragenen Nachrichten und gespeicherten Informationen. Bei den aktiven Angriffen steht die Veränderung der Information und die damit einhergehende Reaktion des Empfängers im Vordergrund. Die Vertraulichkeit basiert auf den Sicherheitsmechanismen Verschlüsselung und Integrität. Der Sicherheitsdienst Datenintegrität überprüft die Datenunversehrtheit und zeigt an ob Datenströme verändert, manipuliert, modifiziert, gelöscht oder vertauscht wurden. Ein weiterer Sicherheitsdienst ist die Zugriffskontrolle, die durch entsprechende Mechanismen die Möglichkeiten des unberechtigten Zugriffs auf Programme und Daten weitestgehend eingeschränkt. Mit der Vertraulichkeit wird sichergestellt, dass Informationen nur für Befugte zugänglich sind. Die Authentifikation des Kommunikationspartners und des Ursprungs der Nachrichten, der Empfänger- und Urhebernachweis, sind weitere sicherheitsrelevante Dienste. Unter einer Public Key Infrastructure (PKI) versteht man eine Umgebung, in der Services zur Verschlüsselung und digitalen Signatur auf Basis von Public-Key-Verfahren bereitgestellt werden. Bei dieser Sicherheitsstruktur wird der öffentliche Schlüssel eines Zertifikatnehmers (ZN) mit den entsprechenden Identifikationsmerkmalen durch eine digitale Signatur von einer Zertifizierungsinstanz (CA) autorisiert.

Informatik für Ökonomen II HS 09

Informatik für Ökonomen II HS 09 Informatik für Ökonomen II HS 09 Übung 5 Ausgabe: 03. Dezember 2009 Abgabe: 10. Dezember 2009 Die Lösungen zu den Aufgabe sind direkt auf das Blatt zu schreiben. Bitte verwenden Sie keinen Bleistift und

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem Fachbericht zum Thema: Anforderungen an ein Datenbanksystem von André Franken 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis 1 2 Einführung 2 2.1 Gründe für den Einsatz von DB-Systemen 2 2.2 Definition: Datenbank

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen conhit Kongress 2014 Berlin, 06.Mai 2014 Session 3 Saal 3 Gesundheitsdaten und die NSA Haben Patienten in Deutschland ein Spionageproblem?

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement nach ISO 27001 und BSI Grundschutz Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

s-sparkasse Verlassen Sie sich darauf: giropay ist sicher. Sparkassen-Finanzgruppe

s-sparkasse Verlassen Sie sich darauf: giropay ist sicher. Sparkassen-Finanzgruppe s-sparkasse Verlassen Sie sich darauf: giropay ist sicher. Sparkassen-Finanzgruppe Mit Sicherheit: giropay. Online-Bezahlverfahren müssen einfach, schnell und sicher sein. Und genau diese Kriterien erfüllt

Mehr

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Multicast Security Group Key Management Architecture (MSEC GKMArch) Multicast Security Group Key Management Architecture (MSEC GKMArch) draft-ietf-msec-gkmarch-07.txt Internet Security Tobias Engelbrecht Einführung Bei diversen Internetanwendungen, wie zum Beispiel Telefonkonferenzen

Mehr

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. NetworkedAssets GmbH Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. Dezember 2006 Rechtliche Aspekte Administration Gliederung Praktische

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie BSI Technische Richtlinie Bezeichnung: Accountmanagement IT-Sicherheit Anwendungsbereich: De-Mail Kürzel: BSI TR 01201 Teil 2.3 Version: 1.2 Bundesamt für Sicherheit in der Informationstechnik Postfach

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie Seite 1 von 8 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: Kürzel: De-Mail Dokumentenablage IT-Sicherheit BSI TR 01201 Anwendungsbereich: Version:

Mehr

Sicherheitsaspekte der kommunalen Arbeit

Sicherheitsaspekte der kommunalen Arbeit Sicherheitsaspekte der kommunalen Arbeit Was ist machbar, finanzierbar, umzusetzen und unbedingt notwendig? Sicherheit in der Gemeinde Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen,

Mehr

Autorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente

Autorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente Autorisierung Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente Dokumentation zum Referat von Matthias Warnicke und Joachim Schröder Modul: Komponenten basierte Softwareentwickelung

Mehr

Patch-Management. Leibniz-Akademie Hannover Wirtschaftsinformatik B. Sc. Praxisreflexion im Bereich Management im SS 2011

Patch-Management. Leibniz-Akademie Hannover Wirtschaftsinformatik B. Sc. Praxisreflexion im Bereich Management im SS 2011 Leibniz-Akademie Hannover Wirtschaftsinformatik B. Sc. Praxisreflexion im Bereich Management im SS 2011 Patch-Management Thomas Beer Abgabedatum: 28.03.2011 Anmerkung: Diese Wissenschaftliche Arbeit ist

Mehr

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

EIN C.A.F.E. FÜR DEN DATENSCHUTZ EIN C.A.F.E. FÜR DEN DATENSCHUTZ Organisatorische Datenschutzbeauftragter Martin Esken Datenschutzbeauftragter (TÜV) Organisatorische Technische gemäß 9 Satz 1 Punkte 1-8 BUNDESDATENSCHUTZGESETZ Organisatorische

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Mit der in Windows Vista integrierten Firewall Schützen Sie Ihren Computer gegen Angriffe aus dem Internet.

Mit der in Windows Vista integrierten Firewall Schützen Sie Ihren Computer gegen Angriffe aus dem Internet. 1. Schritt: Firewall aktivieren Mit der in Windows Vista integrierten Firewall Schützen Sie Ihren Computer gegen Angriffe aus dem Internet. Klicken Sie auf Start > Systemsteuerung > Sicherheit > Windows-Firewall

Mehr

IT-Sicherheit. Glossar

IT-Sicherheit. Glossar Glossar IT-Sicherheit 1 Index IT-Sicherheit Abhörsicherheit Angriff Anwendungssicherheit Authentifizierung Authentizität Autorisierung Backdoor Bedrohung Broadcaststurm Brute-Force-Angriff BS 7799 BSI,

Mehr

GPP Projekte gemeinsam zum Erfolg führen

GPP Projekte gemeinsam zum Erfolg führen GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Atos Worldline GmbH Hahnstraße 25 60528 Frankfurt/Main für das PIN Change-Verfahren Telefonbasierte Self Selected

Mehr

IT-Security Herausforderung für KMU s

IT-Security Herausforderung für KMU s unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/

Mehr

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1. Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz (SigG) datenschutz cert GmbH Version Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für Bestätigungen

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

Informations- / IT-Sicherheit - Warum eigentlich?

Informations- / IT-Sicherheit - Warum eigentlich? Informations- / IT-Sicherheit - Warum eigentlich? Hagen, 20.10.2015 Uwe Franz Account Manager procilon IT-Solutions GmbH Niederlassung Nord-West Londoner Bogen 4 44269 Dortmund Mobil: +49 173 6893 297

Mehr

Windows-Sicherheit in 5 Schritten. Version 1.1 Weitere Texte finden Sie unter www.buerger-cert.de.

Windows-Sicherheit in 5 Schritten. Version 1.1 Weitere Texte finden Sie unter www.buerger-cert.de. Windows-Sicherheit in 5 Schritten Version 1.1 Weitere Texte finden Sie unter www.buerger-cert.de. Inhalt: 1. Schritt: Firewall aktivieren 2. Schritt: Virenscanner einsetzen 3. Schritt: Automatische Updates

Mehr

Sparkasse Duisburg. E-Mail versenden aber sicher! Sichere E-Mail. Anwendungsleitfaden für Kunden

Sparkasse Duisburg. E-Mail versenden aber sicher! Sichere E-Mail. Anwendungsleitfaden für Kunden Sparkasse Duisburg E-Mail versenden aber sicher! Sichere E-Mail Anwendungsleitfaden für Kunden ,,Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität.

Mehr

Endpoint Web Control Übersichtsanleitung

Endpoint Web Control Übersichtsanleitung Endpoint Web Control Übersichtsanleitung Sophos Web Appliance Sophos UTM (Version 9.2 oder höher) Sophos Enterprise Console Sophos Endpoint Security and Control Stand: Dezember 2013 Inhalt 1 Endpoint Web

Mehr

Datenschutz und Datensicherheit in mittelständischen Betrieben

Datenschutz und Datensicherheit in mittelständischen Betrieben Datenschutz und Datensicherheit in mittelständischen Betrieben Vortrag beim MHUT-Mülheimer Unternehmer Treff e.v. Dienstag, 9. Februar 2010, 19.00 Uhr Datenschutz + Datensicherheit = IT-Sicherheit IT-Sicherheit

Mehr

ANYWHERE Zugriff von externen Arbeitsplätzen

ANYWHERE Zugriff von externen Arbeitsplätzen ANYWHERE Zugriff von externen Arbeitsplätzen Inhaltsverzeichnis 1 Leistungsbeschreibung... 3 2 Integration Agenda ANYWHERE... 4 3 Highlights... 5 3.1 Sofort einsatzbereit ohne Installationsaufwand... 5

Mehr

IT Security Investments 2003

IT Security Investments 2003 Grafische Auswertung der Online-Befragung IT Security Investments 2003 1) Durch welche Vorfälle wurde die IT-Sicherheit Ihres Unternehmens / Ihrer Organisation im letzten Jahr besonders gefährdet beziehungsweise

Mehr

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit

Mehr

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk 20.01.2009

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk 20.01.2009 Netzsicherheit I, WS 2008/2009 Übung 12 Prof. Dr. Jörg Schwenk 20.01.2009 Aufgabe 1 1 Zertifikate im Allgemeinen a) Was versteht man unter folgenden Begriffen? i. X.509 X.509 ist ein Standard (Zertifikatsstandard)

Mehr

Benutzerhandbuch. Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer.

Benutzerhandbuch. Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer. Benutzerhandbuch Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer. 1 Startseite Wenn Sie die Anwendung starten, können Sie zwischen zwei Möglichkeiten wählen 1) Sie können eine Datei für

Mehr

Sicherheit in der E-Mail-Kommunikation.

Sicherheit in der E-Mail-Kommunikation. Sicherheit in der E-Mail-Kommunikation. Kundeninformation zum E-Mail Zertifikat von S-TRUST Neue Möglichkeiten der sicheren und vertraulichen E-MailKommunikation. S - t r u s t Z e r t i f i z i e r u

Mehr

Was sind Soziale Netzwerke? Stelle dazu selbstständig Überlegungen an!

Was sind Soziale Netzwerke? Stelle dazu selbstständig Überlegungen an! Erkundungsbogen Datenspionage Klassenstufen 7-9 Spionage gibt es nicht nur in Film und Fernsehen, sondern hat über viele Jahrhunderte auch unser Leben sehr beeinflusst! Mit den neuen, digitalen Medien

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit und der IT-Sicherheit Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit 9.1 Vergleich Sicherheitsziele & Aufgabe: Kontrollbereiche Ordnen Sie die im BDSG genannten Kontrollbereiche

Mehr

Grundlagen des Datenschutzes

Grundlagen des Datenschutzes und der IT-Sicherheit Musterlösung zur 7. Übung im SoSe 2009: Vergleich Fehlerbaum und Angriffsbaum 7.1 Fehlerbaum Erstellen Sie eine Fehlerbaum (Fault Tree Analysis) zu dem Fehlerereignis "mangelnde Verfügbarkeit

Mehr

Kundeninformationen zur Sicheren E-Mail

Kundeninformationen zur Sicheren E-Mail S Sparkasse der Stadt Iserlohn Kundeninformationen zur Sicheren E-Mail Informationen zur Sicheren E-Mail erhalten Sie bei Ihrem Berater, oder bei den Mitarbeiter aus dem Team ElectronicBanking unter der

Mehr

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen Dirk Loomans, Micha-Klaus Müller Bedrohungs- und Schwachstellenanalysen Übersicht über die Arbeitshilfen risikoanalyse.doc Das Klammersymbol Checkliste zur Durchführung einer Risikoanalyse im Text verweist

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

SICHERHEIT IM NETZWERK

SICHERHEIT IM NETZWERK Willkommen zur Präsentation über SICHERHEIT IM NETZWERK Dipl.-Ing.(FH) Marcus Faller 1 Wer ist arbre? Wo sind die Gefahrenquellen? Was für Gefahren gibt es? Wie schütze ich mich? Sicherheit bei Email und

Mehr

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz Rudolf Schraml Beratung und Vertrieb IT-Security und Datenschutz Effektives IT-Risikomanagement Chance oder Risiko Was vor einiger Zeit nur für die großen Unternehmen galt, ist jetzt auch im Mittelstand

Mehr

Mehr IT-Souveränität durch Zusammenarbeit Vertrauen ist eine Herausforderung für die Zukunft

Mehr IT-Souveränität durch Zusammenarbeit Vertrauen ist eine Herausforderung für die Zukunft Mehr IT-Souveränität durch Zusammenarbeit Vertrauen ist eine Herausforderung für die Zukunft Prof. Dr. (TU NN) Norbert Pohlmann Vorstandsvorsitzender TeleTrusT - Bundesverband IT-Sicherheit e.v. Professor

Mehr

Dieter Brunner ISO 27001 in der betrieblichen Praxis

Dieter Brunner ISO 27001 in der betrieblichen Praxis Seite 1 von 6 IT-Sicherheit: die traditionellen Sichtweise Traditionell wird Computer-Sicherheit als technisches Problem gesehen Technik kann Sicherheitsprobleme lösen Datenverschlüsselung, Firewalls,

Mehr

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234 IT Sicherheitskonzept Registernummer bei der Bundesnetzagentur: 14/234 1. Geltungsbereich 1.Dieses IT-Sicherheitskonzept gilt strukturell für Systemkomponenten des Freifunknetzes, welche vom selbst betrieben

Mehr

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am 14.08.08

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am 14.08.08 Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements von Stephanie Wilke am 14.08.08 Überblick Einleitung Was ist ITIL? Gegenüberstellung der Prozesse Neuer

Mehr

Taxifahrende Notebooks und andere Normalitäten. Frederik Humpert

Taxifahrende Notebooks und andere Normalitäten. Frederik Humpert Taxifahrende Notebooks und andere Normalitäten Frederik Humpert Ein paar Zahlen Von September 2004 bis Februar 2005 wurden weltweit 11.300 Laptops 31.400 Handhelds 200.000 Mobiltelefone in Taxis vergessen

Mehr

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Cloud Computing aus Sicht von Datensicherheit und Datenschutz Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen

Mehr

Endpoint Web Control Übersichtsanleitung. Sophos Web Appliance Sophos Enterprise Console Sophos Endpoint Security and Control

Endpoint Web Control Übersichtsanleitung. Sophos Web Appliance Sophos Enterprise Console Sophos Endpoint Security and Control Endpoint Web Control Übersichtsanleitung Sophos Web Appliance Sophos Enterprise Console Sophos Endpoint Security and Control Stand: Dezember 2011 Inhalt 1 Endpoint Web Control...3 2 Enterprise Console...4

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

E-Mail-Verschlüsselung viel einfacher als Sie denken!

E-Mail-Verschlüsselung viel einfacher als Sie denken! E-Mail-Verschlüsselung viel einfacher als Sie denken! Stefan Cink Produktmanager stefan.cink@netatwork.de Seite 1 Welche Anforderungen haben Sie an eine E-Mail? Seite 2 Anforderungen an die E-Mail Datenschutz

Mehr

Programmiertechnik II

Programmiertechnik II X.509: Eine Einführung X.509 ITU-T-Standard: Information Technology Open Systems Interconnection The Directory: Public Key and attribute certificate frameworks Teil des OSI Directory Service (X.500) parallel

Mehr

Sichere E-Mail Kommunikation mit Ihrer Sparkasse

Sichere E-Mail Kommunikation mit Ihrer Sparkasse Ein zentrales Anliegen der Sparkasse Freyung-Grafenau ist die Sicherheit der Bankgeschäfte unserer Kunden. Vor dem Hintergrund zunehmender Wirtschaftskriminalität im Internet und aktueller Anforderungen

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2007: Einführung in die IT-Sicherheit 5.1 Beispiele für Bedrohungen der IT-Sicherheit (1) Bedrohungen der Verfügbarkeit: Höhere Gewalt (z.b. Unwetter)

Mehr

Secure Mail der Sparkasse Holstein - Kundenleitfaden -

Secure Mail der Sparkasse Holstein - Kundenleitfaden - Secure Mail der Sparkasse - Kundenleitfaden - Nutzung des Webmail Interface Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität. Selbst modernste

Mehr

COMPUTER MULTIMEDIA SERVICE

COMPUTER MULTIMEDIA SERVICE Umgang mit Web-Zertifikaten Was ist ein Web-Zertifikat? Alle Webseiten, welche mit https (statt http) beginnen, benötigen zwingend ein Zertifikat, welches vom Internet-Browser eingelesen wird. Ein Web

Mehr

«Zertifizierter» Datenschutz

«Zertifizierter» Datenschutz «Zertifizierter» Datenschutz Dr.iur. Bruno Baeriswyl Datenschutzbeauftragter des Kantons Zürich CH - 8090 Zürich Tel.: +41 43 259 39 99 datenschutz@dsb.zh.ch Fax: +41 43 259 51 38 www.datenschutz.ch 6.

Mehr

Firewalls für Lexware Info Service konfigurieren

Firewalls für Lexware Info Service konfigurieren Firewalls für Lexware Info Service konfigurieren Inhaltsverzeichnis: 1. MANUELLER DOWNLOAD 1 2. ALLGEMEIN 1 3. EINSTELLUNGEN 1 4. BITDEFENDER VERSION 10 2 5. GDATA INTERNET SECURITY 2007 4 6. ZONE ALARM

Mehr

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes und nachhaltiges Surf-Vergnügen. www.bsi-fuer-buerger.

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes und nachhaltiges Surf-Vergnügen. www.bsi-fuer-buerger. Surfen, aber sicher! Basisschutz leicht gemacht 10 Tipps für ein ungetrübtes und nachhaltiges Surf-Vergnügen www.bsi-fuer-buerger.de Ins Internet mit Sicherheit! Im Internet surfen ist wie Autofahren reinsetzen

Mehr

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich ISO 27001 im Kundendialog Informationssicherheit intern und extern organisieren Juni 2014 Was steckt hinter der ISO/IEC 27001:2005? Die internationale Norm ISO/IEC 27001:2005 beschreibt ein Modell für

Mehr

FTP-Leitfaden RZ. Benutzerleitfaden

FTP-Leitfaden RZ. Benutzerleitfaden FTP-Leitfaden RZ Benutzerleitfaden Version 1.4 Stand 08.03.2012 Inhaltsverzeichnis 1 Einleitung... 3 1.1 Zeitaufwand... 3 2 Beschaffung der Software... 3 3 Installation... 3 4 Auswahl des Verbindungstyps...

Mehr

Sicherheitszertifikat überprüfen. 128-Bit-Verschlüsselung. Passwort und PIN-Code für den Kartenleser. Schutz vor Manipulationen

Sicherheitszertifikat überprüfen. 128-Bit-Verschlüsselung. Passwort und PIN-Code für den Kartenleser. Schutz vor Manipulationen Verbindung zur Bank Rufen Sie für die E-Banking-Loginseite ausschliesslich über unsere Webseite http://www.zugerkb.ch oder via Direktlink https://wwwsec.ebanking.zugerkb.ch auf. Sollten Sie per E-Mail

Mehr

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. willkommen in sicherheit. 02...03 UNSER GEZIELTER ANGRIFF, IHRE BESTE VERTEIDIGUNG. Hackerangriffe sind eine wachsende Bedrohung

Mehr

Bedienungsanleitung BITel WebMail

Bedienungsanleitung BITel WebMail 1. BITel WebMail Ob im Büro, auf Geschäftsreise, oder im Urlaub von überall auf der Welt kann der eigene elektronische Posteingang abgerufen und die Post wie gewohnt bearbeitet, versendet oder weitergeleitet

Mehr

1. Schritt: Benutzerkontensteuerung aktivieren

1. Schritt: Benutzerkontensteuerung aktivieren Inhalt: 1. Schritt: Benutzerkontensteuerung aktivieren 2. Schritt: Firewall aktivieren 3. Schritt: Virenscanner einsetzen 4. Schritt: Automatische Updates aktivieren 5. Schritt: Sicherungskopien anlegen

Mehr

Technische Aspekte der ISO-27001

Technische Aspekte der ISO-27001 ISO/IEC 27001 - Aktuelles zur IT-Sicherheit Technische Aspekte der ISO-27001 Donnerstag, 19. September 2013, 14.00-18.30 Uhr Österreichische Computer Gesellschaft. 1010 Wien Überblick Norm Anhang A normativ

Mehr

Datenempfang von crossinx

Datenempfang von crossinx Datenempfang von crossinx Datenempfang.doc Seite 1 von 6 Inhaltsverzeichnis 1 Einführung... 3 2 AS2... 3 3 SFTP... 3 4 FTP (via VPN)... 4 5 FTPS... 4 6 Email (ggf. verschlüsselt)... 5 7 Portalzugang über

Mehr

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6 Datenschutz ist... Inhalt Datenschutz ist Grundrechtsschutz 4 Wessen Daten werden geschützt? 5 Wer muss den Datenschutz beachten? 6 Welche Daten werden vom Datenschutzrecht erfasst? 7 Wann dürfen personenbezogene

Mehr

Cloud-Computing. Selina Oertli KBW 28.10.2014

Cloud-Computing. Selina Oertli KBW 28.10.2014 2014 Cloud-Computing Selina Oertli KBW 0 28.10.2014 Inhalt Cloud-Computing... 2 Was ist eine Cloud?... 2 Wozu kann eine Cloud gebraucht werden?... 2 Wie sicher sind die Daten in der Cloud?... 2 Wie sieht

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Anleitung WLAN BBZ Schüler

Anleitung WLAN BBZ Schüler Anleitung WLAN BBZ Schüler Wir möchten Sie darauf hinweisen, dass eine Weitergabe Ihres Kennworts an Dritte untersagt ist. Sollten Sie den Verdacht haben, dass Ihr Passwort weiteren Personen bekannt ist,

Mehr

Diese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

Diese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung Datenschutzbestimmung 1. Verantwortliche Stelle Diese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung Pieskower Straße

Mehr

So gelingt die sichere Kommunikation mit jedem Empfänger. E-Mail-Verschlüsselung ist kein Hexenwerk

So gelingt die sichere Kommunikation mit jedem Empfänger. E-Mail-Verschlüsselung ist kein Hexenwerk So gelingt die sichere Kommunikation mit jedem Empfänger Andreas Richter EVP Marketing & Product Management GROUP Business Software AG E-Mail-Verschlüsselung ist kein Hexenwerk Datenschutz im Fokus der

Mehr

E-Mail-Verschlüsselung

E-Mail-Verschlüsselung E-Mail-Verschlüsselung In der Böllhoff Gruppe Informationen für unsere Geschäftspartner Inhaltsverzeichnis 1 E-Mail-Verschlüsselung generell... 1 1.1 S/MIME... 1 1.2 PGP... 1 2 Korrespondenz mit Böllhoff...

Mehr

Nutzung dieser Internetseite

Nutzung dieser Internetseite Nutzung dieser Internetseite Wenn Sie unseren Internetauftritt besuchen, dann erheben wir nur statistische Daten über unsere Besucher. In einer statistischen Zusammenfassung erfahren wir lediglich, welcher

Mehr

OP-LOG www.op-log.de

OP-LOG www.op-log.de Verwendung von Microsoft SQL Server, Seite 1/18 OP-LOG www.op-log.de Anleitung: Verwendung von Microsoft SQL Server 2005 Stand Mai 2010 1 Ich-lese-keine-Anleitungen 'Verwendung von Microsoft SQL Server

Mehr

Sichere E-Mail Kommunikation mit Ihrer Sparkasse

Sichere E-Mail Kommunikation mit Ihrer Sparkasse Ein zentrales Anliegen der Sparkasse Rottal-Inn ist die Sicherheit der Bankgeschäfte unserer Kunden. Vor dem Hintergrund zunehmender Wirtschaftskriminalität im Internet und aktueller Anforderungen des

Mehr

Seminar Grid-Computing. Oktay Tugan, WS 2006/07 SICHERHEIT

Seminar Grid-Computing. Oktay Tugan, WS 2006/07 SICHERHEIT Seminar Grid-Computing Oktay Tugan, WS 2006/07 SICHERHEIT Überblick Motivation Sicherheitsfunktionen und Schwierigkeiten Anforderungen Beispiel GSI Weitere Sicherheitsmechanismen Gesellschaftliche Probleme

Mehr

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert: Firewall für Lexware professional konfigurieren Inhaltsverzeichnis: 1. Allgemein... 1 2. Einstellungen... 1 3. Windows XP SP2 und Windows 2003 Server SP1 Firewall...1 4. Bitdefender 9... 5 5. Norton Personal

Mehr

Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing

Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing Finanzbuchhaltung Wenn Sie Fragen haben, dann rufen Sie uns an, wir helfen Ihnen gerne weiter - mit Ihrem Wartungsvertrag

Mehr

Fragen und Antworten zu Secure E-Mail

Fragen und Antworten zu Secure E-Mail Fragen und Antworten zu Secure E-Mail Inhalt Secure E-Mail Sinn und Zweck Was ist Secure E-Mail? Warum führt die Suva Secure E-Mail ein? Welche E-Mails sollten verschlüsselt gesendet werden? Wie grenzt

Mehr

Installationsanleitung HZV Online Key

Installationsanleitung HZV Online Key Installationsanleitung HZV Online Key Stand: 22.01.2014 2013 HÄVG Rechenzentrum GmbH Seite 1 von 6 Inhaltsverzeichnis 1. Überblick... 3 2. Voraussetzungen... 3 3. Installation des HZV Online Key... 3 4.

Mehr

Sicherheitshinweise für Administratoren. - Beispiel -

Sicherheitshinweise für Administratoren. - Beispiel - Sicherheitshinweise für Administratoren - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 VERANTWORTUNGSBEREICH... 2 3 VERWALTUNG DER IT-DIENSTE... 3 3.1 KONFIGURATION DER IT-DIENSTE...

Mehr

SharePoint - Security

SharePoint - Security SharePoint - Security SharePoint Control Manager Technologien Lösungen Trends Erfahrung Inhalt 1 GRUNDSATZ...3 2 VORGEHENSMODELL UND LÖSUNGSANSATZ...4 3 TECHNISCHES KONZEPT...4 4 COMPLIANCE / REPORTS...4

Mehr

Tag des Datenschutzes

Tag des Datenschutzes Tag des Datenschutzes Datenschutz und Software: Vertrauen ist gut, Kontrolle ist besser Dr. Michael Stehmann Zur Person Rechtsanwalt Dr. Michael Stehmann Studium der Rechtswissenschaft an der Universität

Mehr

Sichere Freigabe und Kommunikation

Sichere Freigabe und Kommunikation Sichere Freigabe und Kommunikation F-SECURE PROTECTION FOR SERVERS, EMAIL AND COLLABORATION Die Bedeutung von Sicherheit Die meisten Malware-Angriffe nutzen Softwareschwachstellen aus, um an ihr Ziel zu

Mehr

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern Windows XP in fünf Schritten absichern Inhalt: 1. Firewall Aktivierung 2. Anwendung eines Anti-Virus Scanner 3. Aktivierung der automatischen Updates 4. Erstellen eines Backup 5. Setzen von sicheren Passwörtern

Mehr

Firewalls für Lexware Info Service konfigurieren

Firewalls für Lexware Info Service konfigurieren Firewalls für Lexware Info Service konfigurieren Inhaltsverzeichnis: 1. Manueller Download... 2 2. Allgemein... 2 3. Einstellungen... 2 4. Bitdefender Version 10... 3 5. GDATA Internet Security 2007...

Mehr

DFN-AAI Sicherheitsaspekte und rechtliche Fragen

DFN-AAI Sicherheitsaspekte und rechtliche Fragen DFN-AAI Sicherheitsaspekte und rechtliche Fragen Ulrich Kähler, DFN-Verein kaehler@dfn.de Seite 1 Gliederung Sicherheitsaspekte Rechtliche Fragen Seite 2 Sicherheit Die Sicherheit in der DFN-AAI ist eine

Mehr

Stadt-Sparkasse Solingen. Kundeninformation zur "Sicheren E-Mail"

Stadt-Sparkasse Solingen. Kundeninformation zur Sicheren E-Mail Kundeninformation zur "Sicheren E-Mail" 2 Allgemeines Die E-Mail ist heute eines der am häufigsten verwendeten technischen Kommunikationsmittel. Trotz des täglichen Gebrauchs tritt das Thema "Sichere E-Mail"

Mehr

Anleitung Thunderbird Email Verschlu sselung

Anleitung Thunderbird Email Verschlu sselung Anleitung Thunderbird Email Verschlu sselung Christoph Weinandt, Darmstadt Vorbemerkung Diese Anleitung beschreibt die Einrichtung des AddOn s Enigmail für den Mailclient Thunderbird. Diese Anleitung gilt

Mehr

Gesetzliche Aufbewahrungspflicht für E-Mails

Gesetzliche Aufbewahrungspflicht für E-Mails Gesetzliche Aufbewahrungspflicht für E-Mails sind Sie vorbereitet? Vortragsveranstaltung TOP AKTUELL Meins und Vogel GmbH, Plochingen Dipl.-Inf. Klaus Meins Dipl.-Inf. Oliver Vogel Meins & Vogel GmbH,

Mehr

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement Eine Einführung Risikomanagement ist nach der Norm ISO 31000 eine identifiziert, analysiert

Mehr