IT-Sicherheit für Dummies
Beschreibung
Weitere Details
Weitere Ausgaben
Andere Ausgaben
Personen
Dr.-Ing. Sebastian R. Gerling ist Chief Digital Officer der Universität Hamburg und Berater für IT-Sicherheit. Er hat im Bereich IT-Sicherheit promoviert, hält Vorträge und schreibt Artikel zum Thema.
Inhalt
Über die Autoren 7
Einleitung 19
Über dieses Buch 19
Törichte Annahmen über den Leser 19
Was Sie nicht lesen müssen 20
Wie dieses Buch aufgebaut ist 20
Teil I: Informationssicherheit, IT-Sicherheit und Datenschutz 20
Teil II: Rechtliche Anforderungen 21
Teil III: Organisation der Informationssicherheit 21
Teil IV: Bausteine der technischen IT-Sicherheit 22
Teil V: Lösungen und Umsetzungen 22
Teil VI: Der Top-Ten-Teil 22
Symbole, die in diesem Buch verwendet werden 23
Konventionen in diesem Buch 23
Wie es weitergeht 24
Teil I: Informationssicherheit, IT-Sicherheit und Datenschutz 25
Kapitel 1: Irrtümer und häufige Fehler 27
Internet-Sicherheit 27
Mobile und Cloud-Sicherheit 29
Endgerätesicherheit 31
E-Mail-Sicherheit 32
Kapitel 2: Grundlagen der Informationssicherheit 35
Was ist Informationssicherheit? 35
Was ist IT-Sicherheit? 35
Was ist Cybersicherheit? 38
Klassische Schutzziele der Informationssicherheit 39
Verfügbarkeit 39
Integrität 41
Vertraulichkeit 42
Authentizität 42
Verantwortlichkeit 42
Benutzbarkeit 43
Weitere Schutzziele 44
Kapitel 3: Bausteine der Informationssicherheit 47
Risikomanagement 48
Meldepflichten bei Vorfällen 51
Einhaltung von Sicherheitsstandards 54
Nachweis der Einhaltung durch Audits 55
Kapitel 4: Datenschutz und technisch-organisatorische Maßnahmen 59
Teil II: Rechtliche Anforderungen 63
Kapitel 5: Die DS-GVO und das BDSG 65
Die acht Gebote des Datenschutzes (BDSG a F.) 65
Stand der Technik 67
Implementierungskosten 70
Gewährleistungsziele des Datenschutzes 73
Kapitel 6: Gesetze zur IT-Sicherheit 75
NIS-Richtlinie (EU) 75
Rechtsakt zur Cybersicherheit (EU) 77
eIDAS-Verordnung (EU) 79
Single-Digital-Gateway-(SDG-)Verordnung (EU) 81
BSI-Gesetz (D) 81
BSI-Kritisverordnung (D) 85
Geschäftsgeheimnisgesetz (D) 86
Onlinezugangsgesetz (D) 87
Sozialgesetzbuch V (D) 88
TKG, TMG und TTDSG (D) 92
Kapitel 7: ISO-Normen 95
ISO/IEC 270xx Informationssicherheit 96
Anforderungsnormen 98
Leitfäden 100
ISO/IEC 27701 Datenschutz 102
Kapitel 8: BSI und Grundschutz 105
IT-Grundschutz 105
BSI-Standards 106
IT-Grundschutz-Kompendium 108
Standard-Datenschutzmodell und IT-Grundschutz 113
Technische Richtlinien des BSI 115
Kapitel 9: Weitere Standards 119
Prozessorientierte Standards 119
VdS 10000: ISMS für KMU 120
ISIS12 wird CISIS12 122
TISAX 122
Finanzstandards 123
Vorgaben für die öffentliche Verwaltung 124
Technikorientierte Standards 125
Common Criteria 125
PCI-DSS 127
FIPS 129
ITIL 130
Kapitel 10: Technisch-organisatorische Maßnahmen (TOM) 131
Vertraulichkeit 131
Zutrittskontrolle, physische und umgebungsbezogene Sicherheit 132
Zugangskontrolle, Zugangssteuerung 133
Zugriffskontrolle 134
[Trennungskontrolle], Nichtverkettbarkeit 135
Pseudonymisierung 137
Verschlüsselung, Kryptografie 139
Integrität 141
Eingabekontrolle 141
Digitale Signatur, Hashfunktionen 142
Weitergabekontrolle, Kommunikationssicherheit 143
Löschkontrolle (»Recht auf Vergessen werden«) 144
Verfügbarkeit und Belastbarkeit 145
Verfügbarkeitskontrolle und Informationssicherheitsaspekte
beim Business Continuity Management 146
Auftragskontrolle, Lieferantenbeziehungen 147
Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM 149
Teil III: Organisation der Informationssicherheit 153
Kapitel 11: Organisation im Unternehmen 155
Verantwortung für die Informationssicherheit 155
Organisatorische Strukturen 155
Geschäftsleitung 156
Chief Information Officer/Chief Digital Officer 156
Informationssicherheitsbeauftragter 156
IT-Leitung 157
Computer Emergency Response Team (CERT) 158
Informationssicherheitsausschuss 159
Richtlinien und Regeln 159
Kapitel 12: Der Deming-Kreis (PDCA) und die ständige Verbesserung 163
Kapitel 13: Risikoanalyse und Kronjuwelen 165
Klassifizierung der Daten 165
Klassifizierung der Systeme 166
Bedrohungsanalyse 168
Metriken und Bewertung 169
Kapitel 14: Grundlegende Dokumentation 171
Asset- und Konfigurationsmanagement 174
Nutzermanagement und Zugriffskontrolle 180
Kapitel 15: Meldepflichten und Vorfallsmanagement 185
Datenschutzvorfälle 185
IT-Sicherheitsvorfälle 187
Angriffserkennung 189
Security Information and Event Management (SIEM) 190
Dokumentation von Vorfällen und Forensik 191
Sharing von Threat-Informationen 192
Kapitel 16: Awareness und Beschäftigte 197
Teil IV: Bausteine der technischen IT-Sicherheit 201
Kapitel 17: Grundlagen der Verschlüsselung 203
Symmetrische Verschlüsselung 208
Betriebsarten der Blockverschlüsselung 210
Asymmetrische Verschlüsselung 214
Diffie-Hellman-Merkle-Schlüsselaustausch 214
Das RSA-Verfahren 215
Hybride Verschlüsselung 220
Hashfunktionen 221
Digitale und elektronische Signaturen 225
Elliptische-Kurven-Kryptografie 227
DLIES und ECIES 229
Vertrauensmodelle 229
Persönlicher Kontakt 232
Zertifizierungsstellen 233
Web of Trust 235
Trust on First Use 237
Kryptograpische Forschung 237
Homomorphe Verschlüsselung 238
Post-Quantenkryptografie 240
Kapitel 18: Biometrie 243
Hautleisten 246
Venenmuster 247
Iris-Scan 247
Gesichtserkennung 247
Kapitel 19: Chipkarten und Secure Hardware Token 249
Einmalpasswort-Token 252
Teil V: Lösungen und Umsetzungen 255
Kapitel 20: Backup & Co 257
Datensicherung 258
Kontrollfragen 261
Aufbewahrungspflichten 262
Archivierung 263
Redundanz 264
Kapitel 21: Netzwerksicherheit 267
Grundlagen 269
Sicherheitserweiterungen von Netzwerkprotokollen 270
DNS, Anwendungsschicht 270
HTTPS, SMTPS, Anwendungsschicht 272
TCP und UDP, Transportschicht 272
IP und IPsec, Netzwerkschicht 276
ARP und 802.1X, Verbindungsschicht 277
Netzwerkzugang 278
Netzwerksegmentierung 280
Denial-of-Service-Angriffe 281
Anonymisierung in Netzwerken 283
Funknetze 284
WLAN 284
Bluetooth 286
NFC, RFID 288
Das sichere Internet der Zukunft 290
Kapitel 22: Firewalls 291
Grundlagen von Firewalls 291
Packet Filter 294
Stateful Inspection Firewall 294
Network Address Translation (NAT) 295
Proxy-Server und Application Layer Firewall 296
NG Firewall und Deep Packet Inspection 297
Firewall in der Cloud 298
Kapitel 23: Verschlüsselung im Einsatz 301
Daten in Ruhe 301
Datenträgerverschlüsselung 304
Partitionsverschlüsselung 307
Containerverschlüsselung 307
Dateiverschlüsselung 308
Daten in Bewegung 309
Transportverschlüsselung 309
E-Mail-Verschlüsselung 311
Virtuelle private Netzwerke (VPN) 311
Kapitel 24: Monitoring 319
Metriken der IT-Sicherheit 319
Angriffserkennungssysteme 322
Angriffserkennungssysteme (netzwerkbasiert) 323
Angriffserkennungssysteme (hostbasiert) 324
Managed Security 325
Schadsoftware 326
Abwehrstrategien 327
Analyse von Schadsoftware 328
Kapitel 25: Patch Management 331
Kapitel 26: Zugangssicherung und Authentisierung 335
Passwörter im Unternehmen 335
Zwei-Faktor-Authentisierung 338
Biometrie 339
Single Sign-on 340
Kapitel 27: Anwendungssicherheit 343
Chat 343
E-Mail 344
Verschlüsselung 345
Allgemeine Sicherheit 346
Videokonferenzen 347
Multipoint Control Unit 347
Selective Forwarding Unit 348
Peer to Peer 348
Webanwendungen 349
Datenbanken 351
Cloud 352
Speichern in der Cloud 353
Verarbeiten in der Cloud 353
Blockchain 354
Künstliche Intelligenz 356
Teil VI: Der Top-Ten-Teil 359
Kapitel 28: Zehn Maßnahmen für den technischen Basisschutz 361
Backup 361
Schutz vor Schadsoftware 361
Netzwerkschutz 361
Firewall 362
Patch-Management 362
Verschlüsselt speichern 362
Verschlüsselt kommunizieren 362
Passwort-Management 362
Biometrie und Zwei-Faktor-Authentifikation 362
Spam-Abwehr 363
Kapitel 29: Zehn Maßnahmen für den organisatorischen Überbau 365
Übernahme der Verantwortung 365
Leitlinie zur Informationssicherheit 365
Richtlinien zur Informationssicherheit 365
Definition und Besetzung der Rollen 366
Definition der fundamentalen Prozesse 366
Risikobetrachtung 366
Klassifizierung der Daten und Systeme 366
Awareness 366
Krisenmanagement 366
Regelmäßige Überprüfung 367
Literaturverzeichnis 369
Abbildungsverzeichnis 373
Stichwortverzeichnis 379
Einleitung
Informationssicherheit stellt eine der elementaren Grundlagen für eine gesetzeskonforme und verlässliche Nutzung von Informationstechnologien und der digitalen Transformation dar.
Wer sich heute für Informationssicherheit interessiert, muss sich sowohl mit den organisatorischen als auch mit den technischen Grundlagen der Informationssicherheit befassen. Moderne Vorlesungen zur Informationssicherheit decken nicht nur den technischen Teil ab, sondern widmen sich genauso umfangreich den organisatorischen Strukturen. Leider fehlt es in der Informatikerausbildung aber häufig noch an der fachbereichsübergreifenden Darstellung und die IT-Sicherheit wird rein technisch gelehrt.
Das ist sicherlich mit ein Grund dafür, dass die Informationssicherheit noch lange nicht flächendeckend auf dem Niveau ist, auf dem sie sein sollte. Auch die regulatorischen Vorgaben durch den Gesetzgeber werden mehr. Die DS-GVO und die IT-Sicherheitsgesetzgebung fordern heute deutlich mehr IT-Sicherheit und technisch-organisatorische Maßnahmen als noch vor ein paar Jahren. Auch der IT-Planungsrat kümmert sich um einheitliche Informationssicherheitsvorgaben für Behörden. Tangiert wird das außerdem auch von den Rechnungshöfen des Bundes und der Länder, die im Rahmen ihrer Wirtschaftlichkeitsprüfungen auch die Informationssicherheit prüfen.
Das weltumspannende Internet sollten wir sicher nutzen können, deshalb benötigen wir eine einheitliche Regulierung der Informationssicherheit. Die Gültigkeit nationalen Rechts endet an der Landesgrenze. Internationale Regelungen, wie sie die EU schafft, vereinheitlichen die Vorgaben. Hier bedarf es noch weiterer internationaler Anstrengungen.
Über dieses Buch
Wir stellen im Buch die organisatorischen und die technischen Grundlagen der Informationssicherheit gemeinsam dar. Das Buch gibt eine umfassende Orientierung zur Einordnung der Informationssicherheit in das regulatorische Umfeld (Deutschland, EU), die erforderlichen organisatorischen Strukturen im Unternehmen beziehungsweise in der Behörde und die technischen Grundlagen der Informationssicherheit.
Törichte Annahmen über den Leser
Sie wollen Informationssicherheit lernen. Das ist gut und Sie sind hier richtig.
Sie haben kein Vorwissen. Kein Problem! Die Inhalte werden so präsentiert, dass sie im Wesentlichen ohne Vorwissen verständlich sind.
Sie studieren Informatik, Mathematik oder Jura. Sie denken darüber nach, eine Berufslaufbahn in der Informationssicherheit einzuschlagen. Dann sollten Sie neben den technischen Grundlagen der Informationssicherheit (eher Informatik-Themen) auch die rechtlichen und organisatorischen Grundlagen (eher juristische, Wirtschafts- und Wirtschaftsinformatik-Themen) beherrschen. Das Buch führt das erforderliche Wissen aus den Schnittstellen zu den relevanten Fachgebieten (Informatik, Rechtswissenschaften, Wirtschaftswissenschaften und Wirtschaftsinformatik) zusammen und stellt es einheitlich dar.
Was Sie nicht lesen müssen
Wenn Sie beginnen, ein Kapitel zu lesen, und Sie den Inhalt schon kennen, überspringen Sie das Kapitel. Bei einem Querschnittthema mit juristischen, technischen und betrieblichen Inhalten ist es unvermeidbar, dass Sie, je nach Ausbildung, in dem einen oder anderen dieser Themen schon Vorkenntnisse haben. Die Juristen unter Ihnen kennen sich mit den Gesetzen aus und die Mathematiker oder Informatiker unter Ihnen wissen vermutlich schon einiges über Verschlüsselung.
Beispiele und Anekdoten können Sie überspringen, wenn Sie den Sachverhalt auch so verstehen oder der Hintergrund für Sie nicht so wichtig ist.
Wie dieses Buch aufgebaut ist
Wie jedes Buch der ». für Dummies«-Reihe ist auch dieses Buch in mehrere große Teile gegliedert. Die Einführung der grundlegenden Begriffe und Anforderungen geschieht in Teil I. In Teil II lernen Sie die rechtlichen und regulatorischen Anforderungen kennen. Die Organisation im Unternehmen ist der Schwerpunkt von Teil III. Teil IV soll Ihnen die technischen Grundlagen und Bausteine vermitteln. Aus den Bausteinen bauen wir dann im Teil V das IT-Sicherheitshaus auf.
Teil I: Informationssicherheit, IT-Sicherheit und Datenschutz
IT-Sicherheit und Informationssicherheit ist das nicht dasselbe? Und was hat Datenschutz damit zu tun? Sie lernen die Definitionen und Unterschiede der Begriffe der Informationssicherheit, nämlich die klassischen Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit kennen. Wenn Sie sich mit der Umsetzung von Informationssicherheit beschäftigen wollen, müssen Sie zuerst lernen, was Informationssicherheit ist.
Erstaunlicherweise finden Sie diese Grundbegriffe nicht nur in Lehrbüchern und Standarddokumenten zur Informationssicherheit, sondern zunehmend auch in Gesetzen. Die immer weiter gehende Digitalisierung führt auch zu vermehrten Anforderungen an die Informationssicherheit. Von der Praxis Ihres Hausarztes bis zur Steuerung der Energieversorgung Ihrer Wohnung: überall werden Computer eingesetzt. Und wenn die Computer gestört sind, fällt die Dienstleistung oder Versorgungsleistung aus. Im Juli 2021 wurde in Deutschland erstmalig der Cyberkatastrophenfall ausgelöst, und zwar im Landkreis Anhalt-Bitterfeld. Störungen der Informationssicherheit können tatsächlich katastrophale Auswirkungen haben. Deshalb muss Informationssicherheit nicht nur Schutz vor Angriffen, sondern auch Vorsorge vor Katastrophen und Unfällen sein.
Die vier Begriffe Risikomanagement, Meldepflichten, Sicherheitsstandards und Audits ziehen sich wie ein roter Faden durch alle Regelungen zur IT-Sicherheit. Sie werden lernen, was es damit auf sich hat.
Und mit den technisch-organisatorischen Maßnahmen, kurz TOM, kommt dann auch der Datenschutz ins Spiel. Um den technischen Schutz der personenbezogenen Daten zu gewährleisten, sind TOMs erforderlich. Datenschutz braucht unterstützend die IT-Sicherheit, auch wenn die Datenschutzziele nicht allein durch IT-Sicherheitsmaßnahmen erreicht werden können.
Teil II: Rechtliche Anforderungen
Da Computer und Digitalisierung immer weiter in unser Leben vordringen und deshalb die Informationssicherheit immer wichtiger wird, regelt der Gesetzgeber in immer mehr Gesetzen und Verordnungen die Anforderungen an die Informationssicherheit.
Viele Unternehmen müssen sich intensiv um Informationssicherheit kümmern. Dabei spielt es keine Rolle, ob ihnen das wichtig ist oder nicht: Es ist ihnen gesetzlich vorgeschrieben.
Sie erfahren, welche europäischen Vorschriften (Netzwerk- und Informationssicherheits-Richtlinie, Rechtsakt zur Cybersicherheit, Datenschutz-Grundverordnung) und welche deutschen Vorschriften (BSI-Gesetz, Geschäftsgeheimnisgesetz, Telekommunikationsgesetz und etliche andere) den Unternehmen Vorgaben zur IT-Sicherheit machen.
Neben den rechtlichen Vorgaben lernen Sie auch die Standards und Normen zur Informationssicherheit (ISO-Normen, BSI-Grundschutz und andere) kennen. Diese Standards sind wichtig, da sich die rechtlichen Vorgaben teilweise für die Umsetzung auf diese Standards beziehen. Gesetze haben eine deutliche längere Lebensdauer als IT-Systeme. Deshalb ist es für den Gesetzgeber schwer, IT in Gesetzen detailliert zu regeln. Der Bezug auf Standards, die sich schneller aktualisieren lassen, ist der Ausweg aus diesem Dilemma.
Und nochmal Datenschutz: Wie strukturieren Sie im Unternehmen die TOMs? Wir schauen uns gemeinsam an, was bei den TOMs wichtig ist.
Teil III: Organisation der Informationssicherheit
Ein Unternehmen muss seine Prozesse durch interne Vorgaben und Regeln gestalten. Teilweise sind das relativ banale Dinge, wie eine Nutzerordnung oder eine Passwortrichtlinie. Welche Regeln und vor allem welche Inhalte der Regeln wollen Sie als zukünftige Expertin oder zukünftiger Experte für Informationssicherheit Ihrem Unternehmen empfehlen? Sie lernen in diesem Teil, was Sie regeln sollen und wie Sie es regeln sollen.
Wer hat im Unternehmen welche Aufgaben in der Informationssicherheit? Vom Chef über den Informationssicherheitsbeauftragten und den IT-Leiter bis zur Nutzerin, jede und jeder trägt seinen Teil zur Bewältigung der Aufgabe »Informationssicherheit« bei.
Wie machen Sie eine Risikoanalyse? Was sind die Kronjuwelen im Unternehmen? Was dürfen die Nutzerinnen? Wie gehen Sie mit Sicherheitsvorfällen um? Mit all diese Fragen beschäftigen wir uns in diesem dritten Teil.
Eine der wichtigsten organisatorischen Fragen beschäftigt sich mit der alten Frage: »Wie sag ich es meinen Mitarbeitern?« Awareness und Schulung sind wichtige Maßnahmen, die Sie kennenlernen werden.
Teil IV: Bausteine der technischen IT-Sicherheit
Im vierten Teil, zugegeben ein ziemlich anspruchsvoller Abschnitt, spielen die technischen Grundlagen der IT-Sicherheit die Hauptrolle. Einen breiten Raum nehmen die Grundlagen der Verschlüsselung ein. Ganz ohne Mathematik geht es nicht, aber die Anschaulichkeit steht im Vordergrund.
Ein weiteres wichtiges Thema ist die Biometrie. Eine Anmeldung am Smartphone mit Fingerabdruck oder Gesichtserkennung haben Sie bestimmt schon gemacht. Türöffnung im Sicherheitsbereich mit Iris-Scan ist in manchen...
