IT-Sicherheit Einführung



Ähnliche Dokumente
Sicherheitsaspekte der kommunalen Arbeit

BSI Technische Richtlinie

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

Datenschutz der große Bruder der IT-Sicherheit

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

Informationssicherheitsmanagement

BSI Technische Richtlinie

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen

SSZ Policy und IAM Strategie BIT

Scannen Sie schon oder blättern Sie noch?

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen

Überblick. Zugriffskontrolle. Protokollierung. Archivierung. Löschung

» IT-Sicherheit nach Maß «

Das digitale Klassenund Notizbuch

D , neue Perspektiven für die elektronische Kommunikation

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Informations- / IT-Sicherheit - Warum eigentlich?

"Umsetzung der Richtlinie Modularer Anforderungskatalog" Dr. Astrid Schumacher/Dietmar Bremser, BSI

Pressemitteilung. Sichere Dokumente in der Cloud - Neue Open Source Dokumenten-Verschlüsselung

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

Fakultätsname Informatik Institut für Systemarchitektur, Professur Datenschutz und Datensicherheit. Datenschutz-Schutzziele

Datenschutz beim Smart Metering Eine Herausforderung für die Wohnungsunternehmen?

Erfahrungen mit Hartz IV- Empfängern

Prof. Dr. Norbert Pohlmann, Institut für Internet Sicherheit - if(is), Fachhochschule Gelsenkirchen. Lage der IT-Sicherheit im Mittelstand

Informationssicherheit und Cloud-Computing Was bei Migration und Demigration von Daten und Anwendungen in eine Cloud berücksichtigt werden sollte

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

Herzlich willkommen bei tetraguard Ihrem Spezialisten für Sicherheitssoftware!

agitat Werkzeuge kann man brauchen und missbrauchen - vom Einsatz von NLP in der Führung

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung

Mehr IT-Souveränität durch Zusammenarbeit Vertrauen ist eine Herausforderung für die Zukunft

Webseiten mit fragwürdigen Aufrufen von "spy & track" - Unternehmen

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Die neue Datenträgervernichter DIN 66399

Informationssicherheit mit Zertifikat! Dr. Holger Grieb. IT Sicherheitstag NRW Köln, 04. Dezember 2013

Sicherheitsanalyse von Private Clouds

MM IT-Sicherheit

Informationssicherheit als Outsourcing Kandidat

Haben Sie über elektronisches Schließfachmanagement nachgedacht? Ein Schließfach ist ohne ein solides Schloss nicht komplett.

Dieter Brunner ISO in der betrieblichen Praxis

Glaube an die Existenz von Regeln für Vergleiche und Kenntnis der Regeln

Der IT Security Manager

Befragung zum Migrationshintergrund

Kirchlicher Datenschutz

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Die Umsetzung von IT-Sicherheit in KMU

Internet- und -Überwachung in Unternehmen und Organisationen

Test zur Bereitschaft für die Cloud

Studie Autorisierungsverfahren Online-Banking n = 433, Befragungszeitraum: Februar bis März 2014

Geyer & Weinig: Service Level Management in neuer Qualität.

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

THE KNOWLEDGE PEOPLE. CompanyFlyer.indd :48:05

Sehr geehrter Herr Pfarrer, sehr geehrte pastorale Mitarbeiterin, sehr geehrter pastoraler Mitarbeiter!

Agieren statt Reagieren. Risikomanagement das Werkzeug der Zukunft

GPP Projekte gemeinsam zum Erfolg führen

Akkreditierung gemäß D -Gesetz

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

Lagedarstellung Cybercrime

Aussage: Das Seminar ist hilfreich für meine berufliche Entwicklung

teamsync Kurzanleitung

Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg

opus i Preisliste 5 Seiten Änderungen vorbehalten

Steuern. Die elektronische Lohnsteuerkarte

61a - 61h Unterabschnitt 1 Erfassung und Übermittlung von Antragsdaten zur Herstellung von Dokumenten

Vorlage zur Kenntnisnahme. Stellungnahme des Senats zum Bericht des Berliner Beauftragten für Datenschutz und Informationsfreiheit für das Jahr 2009

GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT

Projektmanagement in der Spieleentwicklung

Seite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse

BSI Technische Richtlinie

Bei der Tagung werden die Aspekte der DLRL aus verschiedenen Perspektiven dargestellt. Ich habe mich für die Betrachtung der Chancen entschieden,

1 Allgemeiner Grundsatz. 2 Gegenstand und Geltungsbereich

Tag des Datenschutzes

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Anleitung zum Öffnen meiner Fotoalben bei web.de

Welche Vorteile bietet die Anmeldung eines Kindes mit dem kita finder+?

First Climate AG IT Consulting und Support. Information Security Management System nach ISO/IEC 27001:2013 AUDIT REVISION BERATUNG

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

Windows 10 - Probleme

IT-Sicherheit Prof. Dr. Claudia Eckert

Der Schutz von Patientendaten

Das sogenannte Beamen ist auch in EEP möglich ohne das Zusatzprogramm Beamer. Zwar etwas umständlicher aber es funktioniert

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

Elternzeit Was ist das?

Das elektronische Personenstandsbuch

Vorstellung des BMBF-Projektes FluSs aus Sicht eines Endanwenders. Düsseldorf Maritim-Hotel, 09. Juli 2013 Mark Zwirner

Datenschutz-Politik der MS Direct AG

Musterprozesse für das Datenschutzmanagement

Rechtssicheres dokumentenersetzendes Scannen Entwicklung einer Technischen Richtlinie

Kryptographie in der Moderne

Smart Home - Rechtskonforme Gestaltung eines intelligent vernetzten Haushalts

[Customer Service by KCS.net] KEEPING CUSTOMERS SUCCESSFUL

Informationssystemanalyse Problemstellung 2 1. Trotz aller Methoden, Techniken usw. zeigen Untersuchungen sehr negative Ergebnisse:

Engagement der Industrie im Bereich Cyber Defense. Blumenthal Bruno Team Leader Information Security RUAG Defence Aarau, 25.

IT-Security Herausforderung für KMU s

Transkript:

Karl Martin Kern IT-Sicherheit Einführung (http://www.xkcd.com/834/)

Über mich... Dipl.-Inform. (FH) Karl Martin Kern (htwg@kmkern.de) Studium der technischen Informatik an der HTWG (damals Fachhochschule) Konstanz bis 2002 mit Abschluß als Diplom-Informatiker (Fachhochschule). Seitdem in Konstanz als Softwareentwickler und -architekt tätig. Seit 2006 bei der Seitenbau GmbH zunächst als Entwickler. Seit etwa 8 Jahren Projektleiter, Softwarearchitekt und Consultant vor allem im Bereich Identity Management Seit Februar 2015 Teamleiter IT-Service und Support

SEITENBAU GmbH Diese Vorlesung wird Ihnen präsentiert von der Seitenbau GmbH. ;-)

Kooperation mit der HTWG Intensive, wachsende Kooperation zwischen HTWG und SEITENBAU Betreuung von Praktika und Abschlußarbeiten Gemeinsame Forschungsprojekte Übernahme von Lehraufträgen

Zurück zur Vorlesung: Organisatorisches Vorlesung: Freitags 9:45 13:00h, Raum F109 Slides und weitere Unterlagen auf meiner Website: https://www.geckolino.de/htwg/itsec RSS-Feed für kurzfristige Ankündigungen Link auf der News-Site auf der obigen Website

Organisatorisches Prüfungen: Klausur 90-minütige schriftliche Prüfung Keine Hilfsmittel zugelassen Schein Bestehen eines Testats (30-minütiger schriftlicher Test) genaue Termine werden noch bekanntgegeben Pro Testat 50% der Punkte zum Bestehen erforderlich

Organisatorisches Credit Points (ECTS) & Aufwand: Für die Vorlesung werden 6 ECTS angerechnet wöchentlicher Arbeitsaufwand: ca. 9 Stunden Vorlesung: 3 Stunden pro Woche Selbstlernanteil: 6 Stunden pro Woche, aufgeteilt auf Vorlesungsvorbereitung Vorlesungsnachbereitung eigenes Üben

Literatur und Links Eckert, Claudia: "IT-Sicherheit: Konzepte - Verfahren - Protokolle". Oldenbourg-Verlag, 7. Auflage 2011, ISBN 978-3486706871 Schneier, Bruce: "Angewandte Kryptographie - Der Klassiker. Protokolle, Algorithmen und Sourcecode in C", Addison-Wesley Verlag, 1. Auflage 2005, ISBN 978-3827372284 Website des Bundesamts für Sicherheit in der Informationstechnik: https://www.bsi.bund.de/ Stephenson, Neal: "Cryptonomicon", z.b. im englischen Original vom Avon-Verlag, ISBN 978-0060512804. http://www.xkcd.com - A webcomic of romance, sarcasm, math, and language.

Informations- und IT-Sicherheit Was ist das?

Inhaltsüberblick Einführung: Informations- und IT-Sicherheit Überblick Informationssicherheitsmanagement (uff...) Begriffsdefinitionen Bereiche der IT-Sicherheit

Inhaltsüberblick Kryptologie als elementare Grundlage kurzer Abriß der Geschichte historische kryptographische Verfahren und Grundprinzipien kryptographische Grundprinzipien einfache kryptanalytische Verfahren, Angriffsmethoden weitergehende kryptographische Techniken kurze Einführung in Java-Kryptographie (JCE)

Inhaltsüberblick Gefährdungsszenarien Grundprinzipien Angriffsmethoden

Inhaltsüberblick Netzwerksicherheit Netzwerkstrukturen Private Netzwerke Paketfilter und Firewalls

Inhaltsüberblick Anwendungssicherheit Identity Management Autorisierungsszenarien Authentisierung und Autorisierung in der Cloud

Inhaltsüberblick Sicherheit bei der Softwareentwicklung (Security Engineering)

Informationssicherheit Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und -lagernden Systemen, die die Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von Schäden und der Minimierung von Risiken. Die Informationssicherheit umfasst neben der Sicherheit der IT-Systeme und der darin gespeicherten Daten auch die Sicherheit von nicht elektronisch verarbeiteten Informationen. (http://de.wikipedia.org/wiki/informationssicherheit)

IT-Sicherheit IT-Sicherheit hat die Aufgabe, Unternehmen und deren Werte (Know-How, Kundendaten, Personaldaten) zu schützen und wirtschaftliche Schäden, die durch Vertraulichkeitsverletzungen, Manipulationen oder auch Störungen der Verfügbarkeit von Diensten des Unternehmens entstehen können, zu verhindern. Da eine vollständige Vermeidung oder Verhinderung von Angriffen in der Praxis nicht möglich ist, umfasst das Gebiet der IT-Sicherheit insbesondere auch Maßnahmen und Konzepte, um das Ausmaß potentieller Schäden, die durch Sicherheitsvorfälle entstehen können, zu reduzieren (Claudia Eckert, IT-Sicherheit )

Informations- vs. IT-Sicherheit IT-Sicherheit ist nur ein Teil von Informationssicherheit Diese Lehrveranstaltung betrachtet hauptsächlich den Bereich IT-Sicherheit Trotzdem erst mal ein kurzer Überblick über Informationssicherheit insgesamt

Informationssicherheitsmanagement Viele Faktoren zu koordinieren Managementsystem erforderlich Verschiedene Normen / Standards: ISO2700x IT-Grundschutz (Aus BSI-Standard 100-1)

Managementprinzipien Übernahme der Gesamtverantwortung Integration in alle Prozesse und Projekte Initiieren, Steuern und Überwachen des Sicherheitsprozesses Festlegen der Strategie und der Sicherheitszielen Analyse der Sicherheitsrisiken Schaffung der organisatorischen Rahmenbedingungen Bereitstellung der notwendigen Ressourcen Motivation der Mitarbeiter Kosten-Nutzen-Abwägung

Sicherheitsstrategie (Aus BSI-Standard 100-1)

Umsetzung der Sicherheitsstrategie (Aus BSI-Standard 100-1)

Sicherheit als Prozess Alle Faktoren ändern sich mit der Zeit Geänderte Infrastrukturen und Systeme Geänderter Schutzbedarf Neue Risiken und Bedrohungen (Aus BSI-Standard 100-1)

Werkzeuge zu Planung und Umsetzung Verschiedene Werkzeuge für verschiedene Anforderungen Vorgefertigte Analysen und Maßnahmenkataloge für Standardsituationen Auch als Basis für weitergehende Analysen bei höherem Schutzbedarf z. B. IT-Grundschutzkataloge des BSI

Grundbegriffe (nach Eckert, IT-Sicherheit ) IT-System Ein dynamisches technisches System mit der Fähigkeit zur Speicherung und Verarbeitung von Informationen Kann geschlossen (beschränkter Benutzerkreis, ohne Kommunikation mit anderen Systemen) oder offen (mit anderen Systemen vernetzt, meist unter Nutzung von Standards) Bestandteil übergreifender sozialer Systeme (Unternehmen etc.), sehr unterschiedliche Benutzerkreise und Zwecke Sicherheitsbetrachtung muss über technische Ebene hinausgreifen.

Grundbegriffe (nach Eckert, IT-Sicherheit ) Datenobjekte Information ist zunächst ein abstraktes Konzept Repräsentation in Form von Datenobjekten Passive Datenobjekte (Datei, Datenbankeintrag) Aktive Datenobjekte (Prozess) Sind über wohldefinierte Schnittstellen von anderen Objekten des Systems oder der Umwelt des Systems (Benutzer, vernetzte Systeme) nutzbar. Benutzer eines Systems oder Objekte, die im Auftrag eines Nutzers aktiv sind, nennt man Subjekte.

Grundbegriffe (nach Eckert, IT-Sicherheit ) Informationskanäle Informationsaustausch zwischen Subjekten Aufteilung in Speicherkanäle gemeinsam genutzte Objekte Legitime Kanäle Zum Informationstransfer vorgesehene Kanäle Verdeckte Kanäle Nicht zum Informationstransfer vorgesehen, aber dafür nutzbar

Grundbegriffe (nach Eckert, IT-Sicherheit ) Sicherheit Funktionssicherheit (safety): tatsächliches Verhalten entspricht Soll-Verhalten, System funktioniert unter allen (normalen) Betriebsbedingungen Informationssicherheit (security): System erlaubt keine unautorisierte Informationsveränderung oder -gewinnung Datensicherheit (protection): System erlaubt keinen unautorisierten Zugriff auf Daten und Systemresourcen (auch Schutz vor Datenverlusten, Backup) Datenschutz (privacy): Kontrolle der Weitergabe von personenbezogenen Informationen

Was bedeutet IT-Sicherheit? Verschiedene Schutzziele Verschiedene Schutzebenen Verschiedene Schutzbedarfsstufen Risikoanalyse und Bewertung Sicherheitskonzept Sicherheit als Prozeß

Schutzziele: Datenintegrität Schutz vor unautorisierter und unbemerkter Veränderung der Daten Festlegung und Überprüfung von Berechtigungen (Authentisierung /Autorisierung) Manipulationserkennung (z. B. über kryptographische Verfahren)

Schutzziele: Vertraulichkeit Schutz vor unautorisiertem Zugriff auf Informationen Zugriffskontrolle (Authentisierung / Autorisierung) Kontrolle von Informationsflüssen Nicht nur auf technischer Ebene

Schutzziele: Verbindlichkeit Unabstreitbare Zuordnungsmöglichkeit einer Aktion zu einem Subjekt Rechtsverbindlichkeit Abrechenbarkeit Protokollierung Digitale Signaturen

Schutzziele: Verfügbarkeit Schutz vor Beeinträchtigung der Nutzung durch authentisierte und autorisierte Subjekte Beschränkungen (Quota) bei Nutzung von Ressourcen Redundante Auslegung von Systemen

Verfügbarkeit (http://www.xkcd.com/705/)

Schutzebenen Aus BSI: Überblick IT-Grundschutz

Schutzbedarfsstufen Hundertprozentigen Schutz gibt es nicht Schutzbedarf hängt vom potentiellen Schaden ab. Abwägung zwischen Schadenspotential und Schutzaufwand

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback