Schweitzer Fachinformationen
Wenn es um professionelles Wissen geht, ist Schweitzer Fachinformationen wegweisend. Kunden aus Recht und Beratung sowie Unternehmen, öffentliche Verwaltungen und Bibliotheken erhalten komplette Lösungen zum Beschaffen, Verwalten und Nutzen von digitalen und gedruckten Medien.
Im Laufe des letzten Jahrzehnts hat der Einsatz von Technologien weltweit explosionsartig zugenommen, und Unternehmen haben Mühe, Schritt zu halten. Benutzbarkeit und Gewinnerzielung waren die treibenden Faktoren, oft unter Vernachlässigung eines proaktiven Designs und der Sicherheit, die für eine langfristige Stabilität erforderlich sind. Mit der Zunahme von spektakulären Hacks, rekordverdächtigen Datendiebstählen und Ransomware-Angriffen ist es unsere Aufgabe, nicht nur die normalen Installationen durchzuführen, sondern auch unsere Daten und unsere anderen Güter nach besten Möglichkeiten abzusichern. Es wird immer wieder Fälle geben, in denen Sie in eine Umgebung geraten, die ein metaphorisches Fiasko mit so vielen Baustellen ist, dass Sie gar nicht wissen, wo Sie anfangen sollen. Dieses Buch gibt Ihnen, was Sie brauchen, um ein solides und sicheres Design für die meisten Situationen zu schaffen, die Ihnen begegnen werden.
Heutige Angriffe können aus vielen unterschiedlichen Motivationen heraus geschehen und von ganz unterschiedlichen Personen ausgeführt werden: von organisierten Verbrechergruppen, die damit viel Geld machen wollen, ebenso wie von Hacktivisten, die Unternehmen bestrafen wollen, die sie für unmoralisch oder menschenfeindlich halten. Wie auch immer die Motivation lautet und wer auch immer die Attacken fährt - viele Angriffe sind gut organisiert und werden von Expertinnen und Experten durchgeführt, oft mit einer Menge Geld im Hintergrund.
Diese Änderung in der Landschaft hat dazu geführt, dass viele Organisationen in einer Art Wettlauf gefangen sind und merken, dass ihr Informationssicherheitsprogramm entweder nicht die Managementunterstützung bekommen hat, die es verdient, oder dass noch nie existiert hat. Diese Organisationen versuchen, dies zu ändern, indem sie ihre Sicherheitsinitiativen weiterführen oder überhaupt erst einmal starten. Dabei gibt es jedoch ein Problem.
Die Informationssicherheit ist eine Branche, in der aktuell eine Zeit der negativen Beschäftigungslosigkeit herrscht. Das heißt, es gibt mehr offene Stellen als Personen, die diese Stellen besetzen können. Menschen einzustellen, ist schwer, und gute Menschen einzustellen, ist noch schwerer. Das kann für diejenigen, die eine Anstellung suchen, von Vorteil sein. Für die Arbeitgeber besteht dagegen ein gewisses Risiko, da sie einem neuen Angestellten nicht nur eine Menge Geld bieten, sondern auch ein gewisses Vertrauen entgegenbringen müssen.
Aus diesem Grund gehen viele Unternehmen, die jetzt ein Informationssicherheitsprogramm aufsetzen wollen, lieber den Weg, jemanden aus einer anderen Rolle auf diese Posten zu hieven, etwa einen Systemadministrator oder eine Systemarchitektin. Eine andere verbreitete Vorgehensweise besteht darin, einen Berufsanfänger einzustellen und von diesem zu erwarten, in der Praxis alles Nötige zu lernen. Das sind Situationen, in denen dieses Buch weiterhelfen möchte.
Viele der Probleme, die Unternehmen mit einem unausgereiften Informationssicherheitsprogramm haben, können mit einer einfachen Sicherheitshygiene behoben oder zumindest beträchtlich verringert werden. Wenn man eine neue und unausgereifte Sicherheitsabteilung erbt, könnte die reflexartige Reaktion darin bestehen, so viele Geräte mit schön blinkenden LEDs zu kaufen, wie es geht, in der Hoffnung, dass die Probleme damit verschwinden. Manche Menschen würden sogar lieber ein anderes Unternehmen unter Vertrag nehmen, damit es ihnen bei der Sicherheit hilft. Beide Optionen kosten Geld. Oft stehen dafür jedoch keine Mittel zur Verfügung - und es bleibt nur, die Werkzeuge zu benutzen, die in der Umgebung bereits vorhanden sind.
Unser Ziel ist es nicht nur, dieses Buch zu einem Standard zu machen, der auf die meisten Unternehmensnetzwerke angewandt werden kann, sondern das auch auf unterhaltsame Weise zu tun. Es gibt bereits jede Menge tiefgreifender Standards sowohl von Regierungsstellen als auch von privaten Organisationen, die sich endlos über die Gültigkeit der einen oder anderen Sicherheitsmaßnahme verbreiten. Wir möchten, dass dies ein informativer Dialog ist, der auf realen Erfahrungen aus der Branche basiert. Es ist hoffentlich eine ansprechende Mischung aus guten Richtlinien, bewährten Praktiken, Codeschnipseln, Screenshots, Komplettlösungen und Lästereien. Wir wollen die Massen erreichen - Netzwerkadmins, die keine Unterstützung anheuern dürfen, Manager, die wissen wollen, dass sie nicht die einzigen sind, die tagaus, tagein ebensolche Kämpfe ausfechten müssen wie wir, und Menschen, die sich am Ende wirklich die Hände schmutzig machen und nicht hinterherkommen, um Whitepapers und RFCs zu lesen.
Dieses Buch soll als Einmaleins der Sicherheit dienen, das sich für so viele Umgebungen eignet wie möglich, um mit einem minimalen finanziellen Aufwand eine maximale Verbesserung Ihrer Sicherheitslage zu erreichen. Zu den Positionen, die Kenntnisse und anwendbare Daten mitnehmen können, gehören die IT-Leitung bzw. die Chief Information Officers (CIO) ebenso wie Geschäftsführer, Sicherheitsanalytiker, Systemadministratoren und andere technische Rollen.
Wir haben das Buch bewusst so geschrieben, dass Sie nicht erst alles lesen müssen, um einen Nutzen daraus zu ziehen. Jedes der Kapitel kann für sich genommen ein bestimmtes Wissensgebiet vermitteln. Sie können sich also die Themen herauspicken, die Sie interessieren, und alles andere ignorieren. Das Ziel ist nicht, Konformität mit einem bestimmten Framework oder Compliance-Regime zu erreichen, sondern die aktuelle Situation in vernünftigen, pragmatischen, machbaren Schritten zu verbessern.
Das Buch beginnt mit den Grundlagen für den Aufbau oder die Umgestaltung eines Informationssicherheitsprogramms. Es führt Sie dann vom Grundgerüst der Programmerstellung in die Tiefen der eher technischen Themen. Viele Menschen erkennen gar nicht, wie viele Implementierungen in einem Unternehmen erledigt werden können, bevor man viel Geld in die Hand nehmen muss. Ein großes Problem im Bereich der Informationssicherheit besteht oft darin, dass man um die Zustimmung der Führungsebene kämpfen muss. Die beste Methode, um ein Budget zugewiesen zu bekommen, bestünde darin, zu beweisen, dass Sie bereits sorgfältig vorgearbeitet haben. Ein Großteil dieses Buchs enthält Schritte, Werkzeuge, Prozesse und Ideen, mit denen Sie eine Umgebung sichern und schützen können, auch wenn Ihnen nicht viel Geld zur Verfügung steht.
Nach den ersten Planungsschritten für das neue und glänzende Sicherheitsprogramm kommen wir zu einem grundlegenden Satz an Richtlinien, Standards und Prozeduren. Wenn Sie diese schon im Anfangsstadium Ihres Sicherheitsprogramms einrichten, haben Sie einen guten Ausgangspunkt für weiteres Wachstum und die Reifung Ihrer Maßnahmen. Indem Sie die Richtlinien als Mittel nutzen, um Ihre Erwartungen zu kommunizieren, können Sie die Personen in Ihrer Organisation in Einklang mit dem bringen, was von ihnen und ihrer Rolle erwartet wird.
Wir sind bereits früh in diesem Buch auf die Benutzerschulungen eingegangen, da es tatsächlich nie zu früh ist, Ihren Angestellten zu vermitteln, worauf sie achten müssen (und sie als entscheidenden Faktor beim Entdecken von Problemen einzusetzen). Je nach der derzeitigen Stärke Ihrer Verteidigung sollte dies jedoch erst dann Ihr Hauptaugenmerk sein, wenn Sie eine solide Grundlage geschaffen haben. Angreifer werden sich kaum um die menschliche Interaktion kümmern, wenn sie einfach aus der Ferne Verbindungen herstellen können, ohne dass echte Personen beteiligt sind.
Das Buch geht dann zu den Planungen über sowie zum Umgang mit Einbrüchen, Katastrophen, Compliance und der physischen Sicherheit. Alle diese Dinge kombinieren die Management- und die organisatorische Seite der Informationssicherheit mit den physischen Werkzeugen und der Infrastruktur, die erforderlich sind, um Sicherheit herzustellen. Bereit zu sein für physische oder technische Notfälle kann den Unterschied machen zwischen einer geschmeidigen und stetigen Wiederherstellung und einem Komplettausfall des gesamten Unternehmens - und allen Stufen zwischen diesen beiden Extremen.
Ein gutes, solides Grundgerüst ist erst der Anfang. Nachdem wir den Entwurfsteil des Programms behandelt haben, kommen wir zu den eher technischen Kategorien und der Sicherheitsarchitektur, beginnend mit den zwei Hauptrichtungen bei den Betriebssystemen. Sowohl Microsoft als auch Unix haben ihre Pros und Kontras. In Bezug auf Microsoft wird einiges davon abgedeckt mit der Installation des Enhanced Mitigation Experience Toolkit (EMET), optimal eingerichteten Gruppenrichtlinien und Microsoft-SQL-Sicherheit. Bei Unix behandeln wir Drittanbieter-Updates und das Härten von Server bzw. Betriebssystem, was das Deaktivieren von Diensten, das Verständnis von Dateiberechtigungen, hostbasierte Firewalls, Festplattenpartitionen und andere Zugriffskontrollen einschließt. Auch die Endpunktverwaltung fällt in diese...
Dateiformat: ePUBKopierschutz: Wasserzeichen-DRM (Digital Rights Management)
Systemvoraussetzungen:
Das Dateiformat ePUB ist sehr gut für Romane und Sachbücher geeignet - also für „fließenden” Text ohne komplexes Layout. Bei E-Readern oder Smartphones passt sich der Zeilen- und Seitenumbruch automatisch den kleinen Displays an. Mit Wasserzeichen-DRM wird hier ein „weicher” Kopierschutz verwendet. Daher ist technisch zwar alles möglich – sogar eine unzulässige Weitergabe. Aber an sichtbaren und unsichtbaren Stellen wird der Käufer des E-Books als Wasserzeichen hinterlegt, sodass im Falle eines Missbrauchs die Spur zurückverfolgt werden kann.
Weitere Informationen finden Sie in unserer E-Book Hilfe.
