Grußwort... 13 Vorwort... 15 Übersicht... 17 Über die Autoren... 21 Einleitung... 25



Ähnliche Dokumente
Prof. Dr. Norbert Pohlmann Hartmut F. Blumberg. Der IT-Sicherheitsleitfaden

Der IT-Sicherheitsleitfaden

Grußwort Vorwort Übersicht Über die Autoren Einleitung... 27

DE 098/2008. IT- Sicherheitsleitlinie

Prüfaspekte zur Wirksamkeit eines ISMS. Schicht 1. Sicherheitsorganisation

Thomas W. Harich. IT-Sicherheit im Unternehmen

Verbindliche Prüfthemen für die IS-Kurzrevision

Start-up Session IT-Sicherheitsgesetz: Risikomanagement, Compliance und Governance in einer cloudbasierten Wissensdatenbank umsetzen

Inhaltsverzeichnis. Informationssicherheits-Management nach ISACA

Amtliche Bekanntmachung der Universität Konstanz

Regelwerk der Informationssicherheit: Ebene 1

Leitlinie für die Informationssicherheit

Systemgestütztes Management der IT-Sicherheit mit der GRC-Suite iris

IT-Sicherheit für Stadtwerke Sind Sie READY für ein zertifiziertes ISMS? Thomas Steinbach Leipzig, 10. Mai 2017

Informations-Sicherheitsmanagement und Compliance

Unternehmensvorstellung

Immer noch nicht sicher? Neue Strategien und Lösungen!

Grundlagen des Datenschutzes und der IT-Sicherheit

SC124 Kritische Infrastrukturen gem. ISO u. ISO 27019

Inhalt. 1 Einführung... 1

Management operationaler IT- und Prozess-Risiken

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg

Datenschutz und IT-Sicherheit an der UniBi

Sicherheitsaspekte der kommunalen Arbeit

Schutz vor moderner Malware

Secuda Solutions Datenschutz & Informationssicherheit. Das KMU-Projekt

IT Sicherheitsbeauftragte in der öffentlichen Verwaltung

ICT-Sicherheitsleitlinie vom 11. August 2015

Agenda INTELLIGENT. EINFACH. PREMIUM.

IT-SICHERHEITSMANAGEMENT: FORDERUNGEN DER ABNEHMERINDUSTRIEN

Checkliste ISO/IEC 27001:2013 Dokumente und Aufzeichnungen

ISO / ISO Vorgehen und Anwendung

Die Lage der IT-Sicherheit

Der externe IT-SB; Informationssicherheit durch das krz

Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis

Cyber Security der Brandschutz des 21. Jahrhunderts

Definitionen Schwachstellen und Bedrohungen von IT-Systemen Sicherheitsmanagement Katastrophenmanagement Trends und Entwicklungen bei IT-Bedrohungen

Securitykosten ermitteln: Gibt es einen RoSI?

Checkliste für den Baustein Personal

BSI-Modernisierung Grundschutz: Nicht Alt Nicht Neu Aber Anders. 27. September 2016 Simone Hock & Denny Dittrich

SICHERHEIT IN DER INFORMATIONSTECHNOLOGIE SIE SIND SICHER

Security. Voice +41 (0) Fax +41 (0) Mobile +41 (0) Web

Informationssicherheit

Der IT Security Manager

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 1.

DS-GVO und IT-Grundschutz

10 IT-Gebote. Burkhard Kirschenberger Tel: Fax: Version Okt.

Umsetzung von Informationssicherheitsprozessen. DFN-Teilnehmern. Dr. Christian Paulsen DFN-CERT Services GmbH

zum Stand der Diskussion

Die DSGVO in der IT-Praxis: Welche technischen und organisatorischen Maßnahmen sind wichtig für KMU?

Die IT-Sicherheitsverordnung der EKD

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

ANHANG 17-A SCHUTZ- UND SICHERHEITSVERFAHREN

Cloud Security. Compliance in der Cloud sicherstellen. Managed Hosting Cloud Hosting Managed Services

Inhaltsverzeichnis. I Grundlagen der Datensicherheitstechnik 1

ISO 27001: Basis für formales Verfahren zur Zertifzierung; seit 2005 internationaler Standard; Prozessorientierter Ansatz

ISO 9001:2015 Prozessorientierte IT-Lösungen als Schlüsselfaktor. [[ Projekt GESINE ]] AristaFlow GmbH. Jürgen Huhle,

Informationssicherheitsmanagementsystem (ISMS) KO-Kriterien zum Erfolg: Koordination, Kooperation, Kommunikation

ES200 Behördlicher IT-Sicherheitsbeauftragter (mit Zertifizierung)

IT - Sicherheit. Maximilian Zubke zubke@iwi.uni-hannover.de. Institut für Wirtschaftsinformatik Leibniz Universität Hannover

Informatiksteuerungsorgan Bund ISB Nachrichtendienst des Bundes NDB Melde- und Analysestelle Informationssicherung MELANI.

12. Symposium on Privacy and Security Datenschutz und Informationssicherheit in die Prozesse integrieren

Penetrationstests Risiko Sicherheitslücken in IT-Netzwerken

Management von Informationssicherheit und Informationsrisiken Februar 2016

IT-Sicherheit. Eine wichtige Erfolgsvoraussetzung. Norbert Pohlmann. Vorstand Utimaco Safeware AG. Internet. Security. Mobile/Desktop.

TEIL 1 allgemeiner Teil

Informationssicherheit an der RWTH

Vorgehensweise zur Einführung der ISO/IEC 27001: Sven Schulte

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Neues deutsches IT-Sicherheitsgesetz Was bedeutet das für die Kunden? Wie können wir helfen?

DSGVO erfolgreich meistern

Hacking und die rechtlichen Folgen für die Geschäftsleitung

M U S T E R. (Stand:September 2008/Version:1.0) IS-Prüfplan. zur. Informationssicherheitsrevision auf Basis von IT-Grundschutz

Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie -Einrichten eines IT-Sicherheitsmanagements

Informationsrisikomanagement

ISIS12 als Informationssicherheitsmanagementsystem Wenn weniger manchmal mehr ist! Ralf Wildvang

ANHANG 17-G FRAGENKATALOG ZU NACHWEISEN INTERNATIONALER NORMEN UND ZERTIFIZIERUNGEN

zentric IT-Security Sicherheit Braucht Vergangenheit

IT-Sicherheitsgesetz Sie müssen handeln! Was bedeutet das für Ihr Unternehmen?

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

T.I.S.P. Community Meeting 2010 Köln, 03./

Vorstellung, Status & Vision

Erkennung von Angriffen auf Industrieanlagen Alternative Ansätze vs. Methoden der Office-IT

IT-Sicherheit beim Landkreis Goslar

Checkliste für Ihre Informationssicherheit

Datenblatt. VICCON Compliance Navigator Enterprise Edition V1.5. Stand: 7. März , VICCON GmbH

Praxis-WORKSHOP. IT-Sicherheits-Management. Umsetzung des IT-Sicherheits-Prozess MODUL 2. nach BSI Standard 100. Zielgruppen:

SEMINAR "WIRTSCHAFTSSTRAFRECHT- COMPLIANCE" (17./18. JUNI 2016)

IT Security Investments 2003

CONSULTING TRAINING SERVICES. Datenschutz und Informationssicherheit

Informationsklassifizierung der Schlüssel zum Dokumentenschutz Praxisbericht

ISIS12 Tipps und Tricks

Erfahrungen in der Netzwerksicherheit. Torsten Krüger Lead Security Consultant

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

Softwarelösung für den Prozess der IT-Sicherheit. Wie sicher ist Ihre IT?

Transkript:

Grußwort................................................. 13 Vorwort.................................................. 15 Übersicht................................................. 17 Über die Autoren.......................................... 21 Einleitung................................................ 25 1 Gefahren sehen und bemessen................................... 41 1.1 Gefahren erkannt, Gefahr gebannt............................ 41 1.2 Allgemeine Risiken und Bedrohungen........................ 42 1.3 Bedrohungen eines IT-Systems.............................. 44 1.3.1 Passive Angriffe.................................... 45 1.3.2 Aktive Angriffe..................................... 48 1.3.3 Unbeabsichtigte Verfälschung........................ 52 1.3.4 Spezifische Bedrohungen der Endsysteme.............. 55 1.4 Die Angreifer............................................. 60 1.5 Juristische Rahmenbedingungen............................. 62 1.5.1 Das Grundgesetz................................... 63 1.5.2 Das Volkszählungsurteil............................. 63 1.5.3 Landesverfassungen................................. 64 1.5.4 Bundesdatenschutzgesetz (BDSG)..................... 65 1.5.5 Signaturgesetz und Signaturverordnung................ 65 1.5.6 Weitere Gesetze und Verordnungen................... 66 1.6 Gefahren am Beispiel einer Verwaltungsbehörde................ 66 1.6.1 Sicherheitsmanagement............................. 66 1.6.2 Kontinuitätsplanung................................ 67 1.6.3 Datensicherungskonzept............................. 67 1.6.4 Computervirenschutz-Konzept........................ 68 1.6.5 Gebäudesicherheit.................................. 69 1.6.6 Räume für Server und technische Infrastruktur.......... 70 1.6.7 Datenträgerarchiv................................... 70 1.6.8 PC-Systeme........................................ 70

1.6.9 Laptops, Notebooks und PDAs........................ 72 1.6.10 Server............................................ 73 1.6.11 Heterogenes Netzwerk.............................. 73 1.6.12 E-Mail-Kommunikation............................. 74 1.6.13 Internetzugriff..................................... 75 1.6.14 IT-Dienste und Anwendungen....................... 76 1.7 Zusammenfassung........................................ 76 2 Ziele festlegen und gewichten................................... 77 2.1 IT-Sicherheit als Teil der wesentlichen Unternehmensziele....... 77 2.2 Das Spannungsfeld der IT-Sicherheitslösungen................ 79 2.2.1 Ergonomie........................................ 80 2.2.2 Effektivität........................................ 80 2.2.3 Ökonomie........................................ 81 2.2.4 Klassifizierung der IT-Sicherheitsziele................. 81 2.3 Klare Ziele: erreichbar und messbar.......................... 83 2.4 Die IT-Sicherheitsleitlinie................................... 84 2.4.1 Die Inhalte einer IT-Sicherheitsleitlinie................ 86 2.4.2 Erstellen einer IT-Sicherheitsleitlinie.................. 86 2.4.3 Die Organisation des IT-Risikomanagements........... 88 2.4.4 Strategien zur Risikoanalyse und Risikobewertung....... 91 2.4.5 Klassifizierung von Daten und Diensten............... 93 2.4.6 Organisationsweite Richtlinien zu Sicherheitsmaßnahmen............................. 94 2.4.7 Kontinuitätsplanung................................ 97 2.4.8 Gewährleistung der Sicherheitsniveaus................ 99 2.4.9 Der Lebenszyklus der IT-Sicherheitsleitlinie............ 100 2.5 Beispiel einer IT-Sicherheitsleitlinie.......................... 101 2.5.1 Einleitung........................................ 101 2.5.2 Struktur der IT-Sicherheitsleitlinien des Unternehmens.. 103 2.5.3 Ziele............................................. 104 2.5.4 Gegenstand und Geltungsbereich der Leitlinie.......... 105 2.5.5 Begriffsbestimmung................................ 105 2.5.6 Verpflichtungserklärung der Unternehmensführung..... 107 2.5.7 Outsourcing der IT................................. 107 2.5.8 Das IT-Sicherheitsmanagement...................... 111 2.5.9 Verantwortlichkeiten................................ 114 6

2.5.10 Allgemeine Anforderungen und Regeln................ 116 2.5.11 Sicherheitsrelevante Objekte.......................... 119 2.5.12 Orgaspezifische Sicherheitsleitlinien................... 135 2.5.13 Fortschreibung dieses Dokuments..................... 136 3 Risiken erkennen und bewerten.................................. 137 3.1 Wirksames Risikomanagement braucht einen Startpunkt......... 137 3.2 Normen und Standards der IT-Sicherheit...................... 139 3.3 Tools der IT-Sicherheit...................................... 142 3.4 Die generelle Schutzbedarfsermittlung........................ 144 3.4.1 Erfassung aller vorhandenen und projektierten IT-Systeme........................................ 145 3.4.2 Aufnahme der IT-Dienste............................ 145 3.4.3 Zuordnung der IT-Dienste zu den einzelnen IT-Systemen....................................... 146 3.4.4 Klassifizierung des Schutzbedarfs für jedes IT-System.... 146 3.5 Die Grundschutz-Analysemethodik........................... 148 3.5.1 Abbildung des IT-Systems durch vorhandene Bausteine... 150 3.5.2 Erfassen des jeweiligen Bausteins..................... 151 3.5.3 Analyse der Maßnahmenbeschreibungen............... 152 3.5.4 Soll-Ist-Vergleich zwischen vorhandenen und empfohlenen Maßnahmen........................... 152 3.6 Die detaillierte Risikoanalyse................................. 152 3.6.1 Systemgrenzen definieren............................ 153 3.6.2»Teile und Herrsche«: Modularisierung................ 154 3.6.3 Analyse der Module................................. 155 3.6.4 Bewertung der Bedrohungssituation................... 156 3.6.5 Schwachstellenanalyse............................... 158 3.6.6 Identifikation bestehender Schutzmaßnahmen.......... 159 3.6.7 Risikobewertung.................................... 160 3.6.8 Auswertung und Aufbereitung der Ergebnisse........... 160 3.7 Die Wirksamkeit der Schutzmaßnahmen...................... 161 3.8 Audit bislang umgesetzter Schutzmaßnahmen................. 164 3.8.1 Der Idealfall....................................... 164 3.8.2 Der pragmatische Ansatz............................ 164 3.9 Beispiele für Bewertungsmethodiken.......................... 165 3.9.1 Schutzbedarfsfeststellung............................ 165 3.9.2 Detaillierte Risikoanalyse............................ 171 7

3.10 Verantwortung für die IT-Sicherheit.......................... 179 3.11 Wer unterstützt Sie bei der Sicherheitsanalyse am besten?....... 179 3.12 Angemessener Aufwand für die Erstellung einer IT-Sicherheitsstudie....................................... 181 3.13 Resultate einer IT-Sicherheitsstudie.......................... 182 3.14 Feststellung des Schutzbedarfs.............................. 182 4 Schutzmaßnahmen priorisieren und umsetzen.................... 187 4.1 Rahmenbedingungen..................................... 189 4.2 Organisatorische Schutzmaßnahmen........................ 190 4.2.1 Entwicklung einer IT-Sicherheitsleitlinie............... 191 4.2.2 Realisierungsplanung.............................. 194 4.2.3 Migrationspläne................................... 200 4.2.4 Fortschreibung des IT-Sicherheitskonzepts............. 201 4.3 Administrative Schutzmaßnahmen.......................... 201 4.3.1 Implementierung von Schutzmaßnahmen............. 202 4.3.2 Dokumentation.................................... 203 4.3.3 Sensibilisierung................................... 204 4.3.4 Schulung......................................... 205 4.3.5 Audit von Sicherheitssystemen....................... 206 4.3.6 Infrastruktur...................................... 207 4.3.7 Personal.......................................... 213 4.3.8 Notfallbehandlung................................. 215 4.3.9 Zusammenfassung................................. 216 4.4 Technische Schutzmaßnahmen............................. 216 4.4.1 Technologische Grundlagen für Schutzmaßnahmen und Sicherheitsmechanismen........................ 217 4.4.2 Public-Key-Infrastrukturen.......................... 225 4.4.3 E-Mail-Security.................................... 239 4.4.4 Anti-SPAM-Technologie............................ 245 4.4.5 Die virtuelle Poststelle: Sicheres E-Mail-Gateway........ 255 4.4.6 Verschlüsselungssysteme gespeicherter Informationen..................................... 262 4.4.7 Virtual Private Networks............................ 265 4.4.8 Secure Socket Layer (SSL), Transport Layer Security (TLS)..................................... 279 4.4.9 Authentisierungsverfahren.......................... 282 4.4.10 Firewallsysteme................................... 295 8

4.4.11 Personal Firewall................................... 312 4.4.12 PC-Systeme durch benutzer- und anwendungsspezifische Rechte sichern................. 318 4.4.13 Intrusion Detection................................. 321 4.4.14 Anti-Malware-Systeme............................... 333 4.4.15 Biometrische Verfahren.............................. 335 4.4.16 WLAN-Sicherheit................................... 341 4.4.17 Bluetooth-Sicherheit................................ 346 4.4.18 Phishing.......................................... 350 4.4.19 Identity Management................................ 358 4.4.20 IP-Blacklisting..................................... 365 4.4.21 Internet-Frühwarnsysteme........................... 371 4.4.22 Internet-Verfügbarkeitssysteme....................... 375 4.4.23 Internet-Analysesysteme............................. 379 4.4.24 Sicheres Chatten................................... 386 4.4.25 Sichere Betriebssysteme............................. 389 4.4.26 Die Sicherheitsplattform............................. 392 4.4.27 Sicherheit durch Minimalisierung und Isolation......... 394 4.5 Fallbeispiele.............................................. 395 4.5.1 Das Ende des PIN-Codes............................. 395 4.5.2 Sicherheit für die Geschäftsprozesse in einer Bank....... 397 4.5.3 Firewallsysteme sicherer Internetzugriff bei großen Organisationen.............................. 399 4.5.4 Authentisierungsverfahren mittels Mobiltelefon......... 401 4.5.5 PKI im Finanzsektor................................ 403 4.5.6 Verschlüsselung von Notebooks....................... 404 4.5.7 Datei- und Verzeichnisverschlüsselung................. 406 4.5.8 Sichere Ankopplung von Außendienstmitarbeitern....... 407 4.5.9 Vertrauenswürdige Vernetzung....................... 409 4.6 Zusammenfassung......................................... 411 5 Sicherheit fortschreiben die Wirksamkeit gewährleisten............ 413 5.1 Nur eine kontinuierliche Sicherheit ist nachhaltig wirksam....... 413 5.2 Der Faktor Mensch......................................... 414 5.2.1 Vertretungsregelungen.............................. 415 5.2.2 Nachhaltige Gewährleistung eines positiven Betriebsklimas..................................... 416 5.2.3 Prüfung der Einhaltung der organisatorischen Vorgaben.......................................... 416 9

5.2.4 Geregelte Verfahrensweise bei vermuteten Sicherheitsverletzungen............................. 417 5.2.5 Externe Mitarbeiter................................. 417 5.2.6 Schulung und Sensibilisierung zu IT-Schutzmaßnahmen.............................. 418 5.2.7 Sicherheitssensibilisierung und Schulung für neue Mitarbeiter und neue IT-Systeme..................... 420 5.2.8 Betreuung und Beratung der IT-Nutzer................ 421 5.2.9 Aktionen beim Auftreten von Sicherheitsproblemen (Incident-Handling-Pläne)........................... 421 5.2.10 Schulung des Wartungs- und Administrationspersonals.. 422 5.2.11 Einweisung in die Regelungen der Handhabung von Kommunikationsmedien........................ 422 5.3 Qualitätssicherung der Sicherheit............................ 423 5.4 Kriterien zur Fortschreibung der Sicherheitsziele............... 423 5.5 Reaktion auf Sicherheitsvorfälle............................. 424 5.6 Kontinuierliche Administration und Schwachstellenanalyse...... 425 5.6.1 Die Sicherheitsadministration........................ 425 5.6.2 Die kontinuierliche Schwachstellenanalyse............. 425 5.6.3 Das Computer Emergency Response Team............. 427 5.7 Audits und Reviews....................................... 427 5.8 Minimal-Checkliste....................................... 430 5.8.1 IT-Sicherheitsmanagement.......................... 430 5.8.2 Sicherheit von IT-Systemen.......................... 431 5.8.3 Vernetzung und Internet-Anbindung.................. 431 5.8.4 Beachtung von Sicherheitserfordernissen.............. 432 5.8.5 Wartung von IT-Systemen: Umgang mit Updates....... 432 5.8.6 Passwörter und Verschlüsselung..................... 432 5.8.7 Kontinuitätsplanung............................... 433 5.8.8 Datensicherung................................... 433 5.8.9 Infrastruktursicherheit.............................. 433 5.8.10 Mobile Sicherheit.................................. 433 6 Sicherheit und Vertrauenswürdigkeit in der Informationsgesellschaft.. 435 6.1 Einleitung............................................... 435 6.2 Sicherheit................................................ 435 6.2.1 Kryptographie: Ein Wettlauf um die Sicherheit.......... 435 6.2.2 Firewallsysteme................................... 437 10

6.2.3 Biometrie-Verfahren................................ 438 6.2.4 Betriebssysteme.................................... 440 6.2.5 Fazit.............................................. 440 6.3 Vertrauenswürdigkeit....................................... 441 6.3.1 Sichere Betriebssysteme............................. 442 6.3.2 Administrative Schutzmaßnahmen.................... 443 6.3.3 Organisatorische Schutzmaßnahmen.................. 443 6.3.4 Rechtliche Rahmenbedingungen...................... 443 6.3.5 Internationale Kooperationen......................... 444 6.3.6 IT-Sicherheit kostet Geld............................. 444 6.3.7 Total Risk Management.............................. 444 6.3.8 Sicherheitsaudits................................... 445 6.3.9 Fazit und Ausblick.................................. 445 6.4 Philosophische Aspekte der Informationssicherheit.............. 446 6.4.1 Die Grenzen der technischen Risikoanalyse............. 447 6.4.2 Der Beitrag philosophischer Disziplinen zur Wertediskussion.................................... 449 6.4.3 Die»postmoderne«Informationsgesellschaft............ 449 6.4.4 Das Internet ein»böses«medium?................... 451 6.4.5 Der Wert der Privatsphäre............................ 453 6.4.6 Schlussfolgerung................................... 454 7 Wirtschaftlichkeitsbetrachtung von IT-Schutzmaßnahmen............ 457 7.1 Einführung............................................... 457 7.2 IT-Sicherheitsrisiken und -investment......................... 460 7.3 Total Cost of Ownership Kostenaspekte...................... 461 7.3.1 Beschaffungsphase................................. 461 7.3.2 Aufrechterhaltung des Betriebs....................... 463 7.3.3 Zusammenfassung: Total Cost of Ownership............ 466 7.4 Kosten-Nutzen-Betrachtung im Hinblick auf das zu tragende Risiko 467 7.4.1 Diskussion der Kosten-Nutzen-Betrachtung............. 468 7.4.2 Wahrscheinlichkeit eines bestimmten Profits............ 469 7.5 Return on Security Investment (RoSI) Nutzenaspekt........... 470 7.5.1 Beispiel: Notebookverluste........................... 472 7.5.2 Return on Security Investment (RoSI) Berechnung..... 473 7.6 Kosten-Nutzen-Betrachtung Internet als Kommunikationsplattform.................................. 476 11

7.7 Kosten-Nutzen-Betrachtung im Hinblick auf eine Nicht-Nutzung des Internets................................ 479 7.8 Gesamtwirtschaftliche Betrachtung von IT-Sicherheit........... 480 7.9 Zusammenfassung........................................ 480 A Literaturverzeichnis....................................... 483 A.1 Fundstellen im Internet.................................... 488 A.2 CERT (Computer Emergency Response Teams)................ 489 A.3 Standards und Zertifizierung............................... 489 A.4 Datenschutz............................................. 490 B Glossar, Abkürzungen..................................... 491 Stichwortverzeichnis...................................... 521 12

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback