Prof. Dr. Norbert Pohlmann Hartmut F. Blumberg. Der IT-Sicherheitsleitfaden

Größe: px

Ab Seite anzeigen:

Download "Prof. Dr. Norbert Pohlmann Hartmut F. Blumberg. Der IT-Sicherheitsleitfaden"

Franz Kopp
vor 8 Jahren
Abrufe

1 Prof. Dr. Norbert Pohlmann Hartmut F. Blumberg Der IT-Sicherheitsleitfaden

2 Grußwort 13 Vorwort 15 Übersicht 17 Über die Autoren 21 Einleitung 25 Gefahren sehen und bemessen Gefahren erkannt, Gefahr gebannt Allgemeine Risiken und Bedrohungen Bedrohungen eines IT-Systems Passive Angriffe Aktive Angriffe Unbeabsichtigte Verfälschung Spezifische Bedrohungen der Endsysteme Die Angreifer Juristische Rahmenbedingungen Das Grundgesetz Das Volkszählungsurteil Landesverfassungen Bundesdatenschutzgesetz (BDSG) Signaturgesetz und Signaturverordnung Weitere Gesetze und Verordnungen Gefahren am Beispiel einer Verwaltungsbehörde Sicherheitsmanagement Kontinuitätsplanung Datensicherungskonzept Computervirenschutz-Konzept Gebäudesicherheit Räume für Server und technische Infrastruktur Datenträgerarchiv PC-Systeme 70

5 Juristische Rahmenbedingungen 62 1.5.1 Das Grundgesetz 63 1.5.2 Das Volkszählungsurteil 63 1.5.3 Landesverfassungen 64 1.5.4 Bundesdatenschutzgesetz (BDSG) 65 1.5.5 Signaturgesetz und Signaturverordnung 65 1.

3 1.6.9 Laptops, Notebooks und PDAs Server Heterogenes Netzwerk Kommunikation Internetzugriff IT-Dienste und Anwendungen Zusammenfassung 76 Ziele festlegen und gewichten IT-Sicherheit als Teil der wesentlichen Unternehmensziele Das Spannungsfeld der IT-Sicherheitslösungen Ergonomie Effektivität Ökonomie Klassifizierung der IT-Sicherheitsziele Klare Ziele: erreichbar und messbar Die IT-Sicherheitsleitlinie Die Inhalte einer IT-Sicherheitsleitlinie Erstellen einer IT-Sicherheitsleitlinie Die Organisation des IT-Risikomanagements Strategien zur Risikoanalyse und Risikobewertung Klassifizierung von Daten und Diensten Organisationsweite Richtlinien zu Sicherheitsmaßnahmen Kontinuitätsplanung Gewährleistung der Sicherheitsniveaus Der Lebenszyklus der IT-Sicherheitsleitlinie Beispiel einer IT-Sicherheitsleitlinie Einleitung Struktur der IT-Sicherheitsleitlinien des Unternehmens Ziele Gegenstand und Geltungsbereich der Leitlinie Begriffsbestimmung Verpflichtungserklärung der Unternehmensführung Outsourcing der IT Das IT-Sicherheitsmanagement Verantwortlichkeiten 114

2.3 Ökonomie 81 2.2.4 Klassifizierung der IT-Sicherheitsziele 81 2.3 Klare Ziele: erreichbar und messbar 83 2.4 Die IT-Sicherheitsleitlinie 84 2.4.1 Die Inhalte einer IT-Sicherheitsleitlinie 86 2.4.2 Erstellen einer IT-Sicherheitsleitlinie 86 2.

4 Allgemeine Anforderungen und Regeln 116 l! Sicherheitsrelevante Objekte Orgaspezifische Sicherheitsleitlinien Fortschreibung dieses Dokuments 136 I Risiken erkennen und bewerten Wirksames Risikomanagement braucht einen Startpunkt Normen und Standards der IT-Sicherheit Tools der IT-Sicherheit Die generelle Schutzbedarfsermittlung Erfassung aller vorhandenen und projektierten IT-Systeme Aufnahme der IT-Dienste Zuordnung der IT-Dienste zu den einzelnen IT-Systemen Klassifizierung des Schutzbedarfs für jedes IT-System Die Grundschutz-Analysemethodik Abbildung des IT-Systems durch vorhandene Bausteine Erfassen des jeweiligen Bausteins Analyse der Maßnahmenbeschreibungen Soll-Ist-Vergleich zwischen vorhandenen und empfohlenen Maßnahmen Die detaillierte Risikoanalyse Systemgrenzen definieren »Teile und Herrsche«: Modularisierung Analyse der Module Bewertung der Bedrohungssituation Schwachstellenanalyse Identifikation bestehender Schutzmaßnahmen Risikobewertung Auswertung und Aufbereitung der Ergebnisse Die Wirksamkeit der Schutzmaßnahmen Audit bislang umgesetzter Schutzmaßnahmen Der Idealfall Der pragmatische Ansatz Beispiele für Bewertungsmethodiken Schutzbedarfsfeststellung Detaillierte Risikoanalyse 171

4.2 Aufnahme der IT-Dienste 145 3.4.3 Zuordnung der IT-Dienste zu den einzelnen IT-Systemen 146 3.4.4 Klassifizierung des Schutzbedarfs für jedes IT-System... 146 3.5 Die Grundschutz-Analysemethodik 148 3.

5 3.10 Verantwortung für die IT-Sicherheit Wer unterstützt Sie bei der Sicherheitsanalyse am besten? Angemessener Aufwand für die Erstellung einer IT-Sicherheitsstudie Resultate einer IT-Sicherheitsstudie Feststellung des Schutzbedarfs Schutzmaßnahmen priorisieren und umsetzen Rahmenbedingungen Organisatorische Schutzmaßnahmen Entwicklung einer IT-Sicherheitsleitlinie Realisierungsplanung Migrationspläne Fortschreibung des IT-Sicherheitskonzepts Administrative Schutzmaßnahmen Implementierung von Schutzmaßnahmen Dokumentation Sensibilisierung Schulung Audit von Sicherheitssystemen Infrastrukrur Personal Notfallbehandlung Zusammenfassung Technische Schutzmaßnahmen Technologische Grundlagen für Schutzmaßnahmen und Sicherheitsmechanismen Public-Key-Infrastrukturen Security Anti-SPAM-Technologie Die virtuelle Poststelle: Sicheres -Gateway Verschlüsselungssysteme gespeicherter Informationen Virtual Private Networks Secure Socket Layer (SSL), Transport Layer Security (TLS) Authentisierungsverfahren Firewallsysteme 295

2 Organisatorische Schutzmaßnahmen 190 4.2.1 Entwicklung einer IT-Sicherheitsleitlinie 191 4.2.2 Realisierungsplanung 194 4.2.3 Migrationspläne 200 4.2.4 Fortschreibung des IT-Sicherheitskonzepts 201 4.

6 114.ii Personal Firewall PC-Systeme durch benutzer- und anwendungsspezifische Rechte sichern Intrusion Detection Anti-Malware-Systeme Biometrische Verfahren WLAN-Sicherheit Bluetooth-Sicherheit Phishing Identity Management IP-Blacklisting Internet-Frühwarnsysteme Internet-Verfügbarkeitssysteme Internet-Analysesysteme Sicheres Chatten Sichere Betriebssysteme Die Sicherheitsplattform Sicherheit durch Minimalisierung und Isolation Fallbeispiele Das Ende des PIN-Codes Sicherheit für die Geschäftsprozesse in einer Bank Firewallsysteme - sicherer Internetzugriff bei großen Organisationen Authentisierungsverfahren mittels Mobiltelefon PKI im Finanzsektor Verschlüsselung von Notebooks Datei- und Verzeichnisverschlüsselung Sichere Ankopplung von Außendienstmitarbeitern Vertrauenswürdige Vernetzung 409 r 4.6 Zusammenfassung 411 x^sicherheit fortschreiben - die Wirksamkeit gewährleisten Nur eine kontinuierliche Sicherheit ist nachhaltig wirksam 413 H5-2 Der Faktor Mensch Vertretungsregelungen Nachhaltige Gewährleistung eines positiven Betriebsklimas Prüfung der Einhaltung der organisatorischen Vorgaben 416

4.23 Internet-Analysesysteme 379 4.4.24 Sicheres Chatten 386 4.4.25 Sichere Betriebssysteme 389 4.4.26 Die Sicherheitsplattform 392 4.4.27 Sicherheit durch Minimalisierung und Isolation 394 4.

7 5.2.4 Geregelte Verfahrensweise bei vermuteten Sicherheitsverletzungen Externe Mitarbeiter S chulung und S ensibilisierung zu IT-Schutzmaßnahmen Sicherheitssensibilisierung und Schulung für neue Mitarbeiter und neue IT-Systeme Betreuung und Beratung der IT-Nutzer Aktionen beim Auftreten von Sicherheitsproblemen (Incident-Handling-Pläne) Schulung des Wartungs- und Administrationspersonals Einweisung in die Regelungen der Handhabung von Kommunikationsmedien Qualitätssicherung der Sicherheit Kriterien zur Fortschreibung der Sicherheitsziele Reaktion auf Sicherheitsvorfälle Kontinuierliche Administration und Schwachstellenanalyse Die Sicherheitsadministration Die kontinuierliche Schwachstellenanalyse Das Computer Emergency Response Team Audits und Reviews Minimal-Checkliste IT-Sicherheitsmanagement Sicherheit von IT-Systemen Vernetzung und Internet-Anbindung Beachtung von Sicherheitserfordernissen Wartung von IT-Systemen: Umgang mit Updates Passwörter und Verschlüsselung Kontinuitätsplanung Datensicherung Infrastruktursicherheit Mobile Sicherheit Sicherheit und Vertrauenswürdigkeit in der Informationsgesellschaft Einleitung Sicherheit Kryptographie: Ein Wettlauf um die Sicherheit Firewallsysteme

3 Qualitätssicherung der Sicherheit 423 5.4 Kriterien zur Fortschreibung der Sicherheitsziele 423 5.5 Reaktion auf Sicherheitsvorfälle 424 5.

8 6.2.3 Biometrie-Verfahren Betriebssysteme Fazit Vertrauenswürdigkeit Sichere Betriebssysteme Administrative Schutzmaßnahmen Organisatorische Schutzmaßnahmen Rechtliche Rahmenbedingungen Internationale Kooperationen IT-Sicherheit kostet Geld Total Risk Management Sicherheitsaudits Fazit und Ausblick Philosophische Aspekte der Informationssicherheit Die Grenzen der technischen Risikoanalyse Der Beitrag philosophischer Disziplinen zur Wertediskussion Die»postmoderne«Informationsgesellschaft Das Internet - ein»böses«medium? Der Wert der Privatsphäre Schlussfolgerung Wirtschaftlichkeitsbetrachtung von IT-Schutzmaßnahmen Einführung IT-Sicherheitsrisiken und -investment Total Cost of Ownership - Kostenaspekte Beschaffungsphase Aufrechterhaltung des Betriebs Zusammenfassung: Total Cost of Ownership Kosten-Nutzen-Betrachtung im Hinblick auf das zu tragende Risiko Diskussion der Kosten-Nutzen-Betrachtung Wahrscheinlichkeit eines bestimmten Profits Return on Security Investment (RoSI) - Nutzenaspekt Beispiel: Notebookverluste Return on Security Investment (RoSI) - Berechnung Kosten-Nutzen-Betrachtung - Internet als : < Kommunikationsplattform 476 n

4 Philosophische Aspekte der Informationssicherheit 446 6.4.1 Die Grenzen der technischen Risikoanalyse 447 6.4.2 Der Beitrag philosophischer Disziplinen zur Wertediskussion 449 6.4.3 Die»postmoderne«Informationsgesellschaft 449 6.

9 7.7 Kosten-Nutzen-Betrachtung im Hinblick auf eine Nicht-Nutzung des Internets Gesamtwirtschaftliche Betrachtung von IT-Sicherheit Zusammenfassung 480 A Literaturverzeichnis 483 A.i Fundstellen im Internet 488 A.2 CERT (Computer Emergency Response Teams) 489 A.3 Standards und Zertifizierung 489 A.4 Datenschutz 490 B Glossar, Abkürzungen 491 Stichwortverzeichnis 521 1

9 Zusammenfassung 480 A Literaturverzeichnis 483 A.i Fundstellen im Internet 488 A.

Ähnliche Dokumente

Grußwort... 17 Vorwort... 19 Übersicht... 21 Über die Autoren... 25 Einleitung... 27

Grußwort... 17 Vorwort... 19 Übersicht... 21 Über die Autoren... 25 Einleitung... 27 ITIVZ.fm Seite 5 Mittwoch, 10. Dezember 2003 11:34 11 Grußwort................................................. 17 Vorwort.................................................. 19 Übersicht.................................................