IT-Sicherheit

Name: IT-Sicherheit | Technologien und Best Practices für die Umsetzung im Unternehmen
Brand: Hanser
Price: 39.99 EUR
Availability: OnlineOnly

Technologien und Best Practices für die Umsetzung im Unternehmen

Michael Lang Hans Löhr(Herausgeber*in)

Hanser (Verlag)

2. Auflage

Erschienen am 7. Oktober 2024

444 Seiten

E-Book

ePUB mit Wasserzeichen-DRM

Systemvoraussetzungen

E-Book

PDF mit Wasserzeichen-DRM

Systemvoraussetzungen

978-3-446-48116-9 (ISBN)

39,99 €inkl. 7% MwSt.

Systemvoraussetzungen

für ePUB mit Wasserzeichen-DRM und PDF mit Wasserzeichen-DRM

(Hinweis: Die Auswahl des von Ihnen gewünschten Dateiformats und des Kopierschutzes erfolgt erst im System des E-Book Anbieters)

E-Book Einzellizenz

Als Download verfügbar

Beschreibung

- Kompakte Orientierungshilfe für CISOs, Sicherheitsverantwortliche in Unternehmen, Projektleitende, IT-Berater:innen
- Best Practices für die Umsetzung im Unternehmen
- Mit Erfahrungsberichten mehrerer Chief Information Security Officer (CISO)
- Ihr exklusiver Vorteil: E-Book inside beim Kauf des gedruckten Buches

Für Unternehmen ist es existenziell, die Sicherheit ihrer Informationen, Systeme und Produkte zu gewährleisten. Dies trifft heute mehr denn je zu, denn mit zunehmender Vernetzung wächst auch die Angriffsfläche: Jedes vernetzte Gerät ist ein potenzielles Einfallstor für Gefährdungen, und das erhöht das Risiko zusätzlich. Doch wie können Sie Ihr Unternehmen vor diesen Gefährdungen schützen und Sicherheit gewährleisten?
Die Antwort auf diese Frage - und viele hilfreiche Impulse und Best Practices - bietet Ihnen dieser Praxisratgeber zum Thema IT-Sicherheit. Es werden alle für Entscheider:innen relevanten Aspekte der IT-Sicherheit beschrieben und das für weiterführende Entscheidungen erforderliche Know-how zielgerichtet vermittelt. Das Buch dient als Leitfaden auf Ihrem Weg zur konsequenten und gleichzeitig effizienten Sicherstellung und Umsetzung von IT-Sicherheit im Unternehmen.

Aus dem Inhalt
- Ziele von IT Security (Vertraulichkeit, Integrität, Verfügbarkeit)
- Grundlegende Maßnahmen (Berechtigungen zuteilen, Ausfallplanung, Tests etc.)
- Absicherung der IT-Infrastruktur im Unternehmen
- IT Security in der Cloud
- Systematische Umsetzung von Bedrohungs- und Risikoanalysen
- Sichere Produktentwicklung
- Sicherheit in Produktionsnetzen und -anlagen
- Rechtliche Rahmenbedingungen
- Organisation des IT-Sicherheitsmanagements im Unternehmen
- Sicherheitsstandards und -zertifizierungen
- Relevante Wechselwirkungen zwischen Datenschutz und IT-Sicherheit

Bei den Autor:innen des Buches handelt es sich um ausgewiesene Expert:innen aus dem Themenbereich IT-Sicherheit. Dazu zählen Berater:innen, Entscheidungsträger:innen und Professor:innen sowie Sicherheitsverantwortliche aus Unternehmen.

Rezensionen / Stimmen

"Warum ist das Buch spannend? Es liefert praxistaugliche Einblicke in die neuesten Technologien und Best Practices, die Unternehmen dabei helfen, ihre IT-Sicherheit nachhaltig zu verbessern." Marc Oliver Thoma, mth-training, Dezember 2024

Weitere Details

Weitere Ausgaben

Personen

Inhalt

1 - Inhalt [Seite 7]
2 - Vorwort [Seite 17]
3 - 1 IT-Sicherheit konsequent und effizient umsetzen [Seite 19]
3.1 - 1.1 Einleitung [Seite 19]
3.1.1 - 1.1.1 Chancen durch die Digitalisierung [Seite 19]
3.1.2 - 1.1.2 Risiken durch die Digitalisierung [Seite 21]
3.1.3 - 1.1.3 IT-Sicherheitsbedürfnisse als Grundwerte der IT-Sicherheit [Seite 21]
3.2 - 1.2 Beispiele von aktuellen Angriffsvektoren [Seite 22]
3.3 - 1.3 IT-Sicherheitsstrategien [Seite 26]
3.3.1 - 1.3.1 Vermeiden von Angriffen [Seite 27]
3.3.2 - 1.3.2 Entgegenwirken von Angriffen [Seite 29]
3.3.3 - 1.3.3 Erkennen von Angriffen [Seite 31]
3.3.4 - 1.3.4 Reaktion auf Angriffe [Seite 31]
3.4 - 1.4 Umsetzung eines angemessenen IT-Sicherheitslevels [Seite 32]
3.5 - 1.5 IT-Sicherheitsmechanismen, die gegen Angriffe wirken [Seite 34]
3.6 - 1.6 Die wichtigsten Punkte in Kürze [Seite 43]
4 - 2 Grundprinzipien zur Gewährleistung der IT-Sicherheit [Seite 45]
4.1 - 2.1 Einleitung [Seite 45]
4.1.1 - 2.1.1 Trends [Seite 45]
4.1.2 - 2.1.2 Herausforderungen [Seite 46]
4.1.3 - 2.1.3 IT-Sicherheit vs. Sicherheit [Seite 48]
4.1.4 - 2.1.4 Schutzziele [Seite 49]
4.2 - 2.2 Grundprinzipien der IT-Sicherheit [Seite 55]
4.2.1 - 2.2.1 Kenne die Bedrohungen [Seite 55]
4.2.2 - 2.2.2 Sicherheit und Wirtschaftlichkeit [Seite 57]
4.2.3 - 2.2.3 Keine "Security through Obscurity" [Seite 58]
4.2.4 - 2.2.4 Security by Design [Seite 58]
4.2.5 - 2.2.5 Prinzip der geringsten Berechtigung [Seite 60]
4.2.6 - 2.2.6 Trennung der Verantwortlichkeiten [Seite 60]
4.2.7 - 2.2.7 Zugriffskontrolle [Seite 61]
4.2.8 - 2.2.8 Defense in Depth [Seite 62]
4.2.9 - 2.2.9 Der Mensch als Faktor [Seite 63]
4.2.10 - 2.2.10 Design for Resilience [Seite 64]
5 - 3 Organisation des IT-Sicherheitsmanagements im Unternehmen [Seite 67]
5.1 - 3.1 Einführende Bemerkungen [Seite 68]
5.2 - 3.2 Imperative des IT-Sicherheitsmanagements [Seite 69]
5.2.1 - 3.2.1 Sicherheit ist aktiv und proaktiv [Seite 69]
5.2.2 - 3.2.2 Routine [Seite 69]
5.2.3 - 3.2.3 Sicherheit liegt in der Verantwortung eines jeden [Seite 69]
5.2.4 - 3.2.4 Worst-Case-Szenario [Seite 70]
5.2.5 - 3.2.5 Es bedarf vieler Unterstützer [Seite 70]
5.2.6 - 3.2.6 Denken wie ein Angreifer [Seite 70]
5.2.7 - 3.2.7 Mehrschichtige Verteidigung verwenden [Seite 70]
5.3 - 3.3 Grundlegende Pfeiler einer IT-Sicherheitsorganisation [Seite 71]
5.3.1 - 3.3.1 Gängige Organisationsstrukturen nach organisatorischem Reifegrad [Seite 72]
5.3.1.1 - 3.3.1.1 Neugründung [Seite 72]
5.3.1.2 - 3.3.1.2 Kleine und mittlere Unternehmen (KMU) [Seite 73]
5.3.1.3 - 3.3.1.3 Großunternehmen [Seite 75]
5.3.2 - 3.3.2 Das Information Technology Risk Council (ITRC) [Seite 76]
5.3.2.1 - 3.3.2.1 ITRC-Vertreter [Seite 77]
5.3.2.2 - 3.3.2.2 ITRC-Rollen und Zuständigkeiten [Seite 77]
5.4 - 3.4 Die Rolle des CISO: Wie man eine Führungsrolle im Sicherheitsbereich gestaltet [Seite 79]
5.4.1 - 3.4.1 Die richtige CISO-Rolle für Ihr Unternehmen entwerfen [Seite 79]
5.4.1.1 - 3.4.1.1 Identifizieren der dringlichsten sicherheitsrelevanten Herausforderungen [Seite 80]
5.4.1.2 - 3.4.1.2 Priorisierung der CISO-Rolle und -Verantwortlichkeiten [Seite 80]
5.4.1.3 - 3.4.1.3 CISO-RACI-Diagramm [Seite 82]
5.4.1.4 - 3.4.1.4 Häufig vertretene CISO-Profile [Seite 82]
5.5 - 3.5 Finale Anmerkungen [Seite 85]
6 - 4 Rechtliche Rahmenbedingungen der IT-Sicherheit [Seite 87]
6.1 - 4.1 Einleitung [Seite 87]
6.2 - 4.2 Vertrags- und haftungsrechtliche Risiken [Seite 88]
6.2.1 - 4.2.1 Allgemeine Sorgfaltspflichten [Seite 88]
6.2.2 - 4.2.2 Pflichten zur Gewährleistung der IT-Sicherheit [Seite 90]
6.2.3 - 4.2.3 Haftung für Verstöße gegen IT-sicherheitsrechtliche Anforderungen [Seite 90]
6.2.4 - 4.2.4 Anforderungen der DSGVO an technische und organisatorische Schutzmaßnahmen zum Schutz der IT-Sicherheit [Seite 92]
6.2.5 - 4.2.5 Anforderungen des TKG und des TTDSG an technische und organisatorische Schutzmaßnahmen zum Schutz der IT-Sicherheit [Seite 93]
6.2.6 - 4.2.6 Empfehlungen des BSI in Bezug auf technisch-organisatorische Maßnahmen [Seite 94]
6.3 - 4.3 Straf- und ordnungswidrigkeitsrechtliche Folgen bei der Verletzung der IT-Sicherheit [Seite 95]
6.3.1 - 4.3.1 Strafrechtliche Normen zum Schutz vor Cyberkriminalität [Seite 95]
6.3.2 - 4.3.2 Strafrechtliche Verantwortlichkeit der einzelnen Akteure [Seite 97]
6.4 - 4.4 Das IT-Sicherheitsgesetz (ITSiG 2.0) [Seite 98]
6.5 - 4.5 Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) [Seite 101]
6.6 - 4.6 Der Cyber Resilience Act [Seite 103]
6.7 - 4.7 Der AI-Act [Seite 104]
6.8 - 4.8 Die wichtigsten Punkte in Kürze [Seite 105]
7 - 5 Standards und Zertifizierungen [Seite 109]
7.1 - 5.1 Einleitung [Seite 109]
7.2 - 5.2 Standards [Seite 112]
7.2.1 - 5.2.1 Synergien zwischen Standards auflösen und nutzen [Seite 121]
7.2.2 - 5.2.2 Zertifizierung/Testierung [Seite 123]
7.3 - 5.3 Kompetenznachweise für Beteiligte der Informationssicherheit [Seite 127]
7.4 - 5.4 Die wichtigsten Punkte in Kürze [Seite 131]
8 - 6 Datenschutz und Informationssicherheit: ungleiche Zwillinge [Seite 133]
8.1 - 6.1 Einleitung [Seite 133]
8.2 - 6.2 Rahmenbedingungen [Seite 135]
8.2.1 - 6.2.1 Datenschutz [Seite 136]
8.2.2 - 6.2.2 Managementsysteme [Seite 138]
8.2.3 - 6.2.3 Das Standard-Datenschutzmodell (SDM) [Seite 138]
8.3 - 6.3 Strategische/präventive Aspekte [Seite 140]
8.3.1 - 6.3.1 Risikomanagement [Seite 140]
8.3.2 - 6.3.2 Regelmäßige Überprüfung der Maßnahmen [Seite 141]
8.3.3 - 6.3.3 Entwicklungsprozess [Seite 142]
8.4 - 6.4 Operative Aspekte: technische und organisatorische Maßnahmen [Seite 144]
8.4.1 - 6.4.1 Schutz der Vertraulichkeit [Seite 146]
8.4.2 - 6.4.2 Schutz der Integrität [Seite 148]
8.4.3 - 6.4.3 Schutz der Verfügbarkeit und Belastbarkeit [Seite 149]
8.4.4 - 6.4.4 Vorfallsbehandlung (Incident Management) [Seite 149]
8.5 - 6.5 Organisationsaspekte [Seite 151]
8.6 - 6.6 Fazit [Seite 152]
9 - 7 IT-Sicherheit durch Bedrohungs- und Risikoanalysen stärken [Seite 155]
9.1 - 7.1 Einleitung [Seite 155]
9.2 - 7.2 Nutzen und Mehrwert von Bedrohungs- und Risikoanalysen [Seite 156]
9.3 - 7.3 Ablauf von Bedrohungs- und Risikoanalysen [Seite 158]
9.4 - 7.4 Einbindung in Unternehmensprozesse [Seite 160]
9.4.1 - 7.4.1 Anforderungsanalyse und Konzeptphase [Seite 160]
9.4.2 - 7.4.2 Tests planen und priorisieren, Testergebnisse bewerten [Seite 166]
9.4.3 - 7.4.3 Schwachstellen bewerten und behandeln [Seite 166]
9.4.4 - 7.4.4 Laufende Systeme bewerten [Seite 167]
9.5 - 7.5 Auswahlkriterien für geeignete Methoden [Seite 168]
9.6 - 7.6 Die wichtigsten Punkte in Kürze [Seite 169]
10 - 8 Sicherheitstesten [Seite 171]
10.1 - 8.1 Sicherheitstesten - ein Grundverständnis [Seite 172]
10.1.1 - 8.1.1 Testen als Analysemethode [Seite 172]
10.1.2 - 8.1.2 Spezifische Herausforderungen beim Sicherheitstesten [Seite 174]
10.1.3 - 8.1.3 Testobjekte beim Sicherheitstesten [Seite 175]
10.1.4 - 8.1.4 Grundlagen und Ziele des Sicherheitstestens [Seite 177]
10.1.5 - 8.1.5 Definition von Sicherheitstestzielen [Seite 178]
10.2 - 8.2 Testmethoden und Testtechniken [Seite 179]
10.2.1 - 8.2.1 Audits und Reviews [Seite 179]
10.2.2 - 8.2.2 Statische Analyse [Seite 180]
10.2.3 - 8.2.3 Der funktionale Sicherheitstest [Seite 181]
10.2.4 - 8.2.4 Fuzz-Testing [Seite 182]
10.2.5 - 8.2.5 Last- und Performanztesten [Seite 184]
10.2.6 - 8.2.6 Schwachstellen-Scanning [Seite 184]
10.2.7 - 8.2.7 Monitoring und passives Testen [Seite 185]
10.2.8 - 8.2.8 Risikobasiertes Sicherheitstesten [Seite 186]
10.2.9 - 8.2.9 Penetrationstesten [Seite 187]
10.3 - 8.3 Prozessuale Einbettung des Sicherheitstestens [Seite 188]
10.3.1 - 8.3.1 Der Sicherheitstestprozess [Seite 189]
10.3.2 - 8.3.2 Sicherheitstesten im SDLC [Seite 190]
10.3.3 - 8.3.3 Sicherheitstesten in agiler Entwicklung und DevOps [Seite 192]
10.4 - 8.4 Chancen und Herausforderungen durch KI [Seite 194]
10.4.1 - 8.4.1 KI-gestützte Automatisierung beim Sicherheitstest [Seite 194]
10.4.2 - 8.4.2 Sicherheitstesten von KI [Seite 196]
10.5 - 8.5 Zusammenfassung [Seite 197]
11 - 9 Der Faktor Mensch [Seite 201]
11.1 - 9.1 Der Mensch als Lösung [Seite 202]
11.2 - 9.2 Der Mensch als Bedrohung [Seite 204]
11.2.1 - 9.2.1 Sicheres und unsicheres Verhalten [Seite 205]
11.2.2 - 9.2.2 Gründe für unsicheres Verhalten [Seite 207]
11.3 - 9.3 Der Mensch als Opfer [Seite 210]
11.3.1 - 9.3.1 Social Engineering [Seite 210]
11.3.2 - 9.3.2 Instrumente im Social Engineering [Seite 211]
11.3.3 - 9.3.3 Psychologische Tricks [Seite 214]
11.4 - 9.4 Menschen sensibilisieren [Seite 218]
11.4.1 - 9.4.1 Information Security Awareness [Seite 218]
11.4.2 - 9.4.2 Psychologische Grundlagen von Awareness [Seite 221]
11.4.3 - 9.4.3 Individualisierung [Seite 223]
11.5 - 9.5 Awareness fördern [Seite 225]
11.5.1 - 9.5.1 Wissen erhöhen und Fähigkeiten fördern [Seite 226]
11.5.2 - 9.5.2 Verhaltensabsicht fördern und beeinflussen [Seite 229]
11.5.3 - 9.5.3 Salienz fördern [Seite 236]
11.5.4 - 9.5.4 Gewohnheiten fördern [Seite 238]
11.6 - 9.6 Ausblick [Seite 241]
11.7 - 9.7 Die wichtigsten Punkte in Kürze [Seite 243]
12 - 10 IT-Sicherheit - Aus dem Blickwinkel eines CISO [Seite 247]
12.1 - 10.1 Einleitung [Seite 247]
12.1.1 - 10.1.1 Das Wichtigste beim Start mit IT-Sicherheit [Seite 248]
12.1.2 - 10.1.2 Strategien, Methoden und Tools [Seite 250]
12.2 - 10.2 Organisatorische Verankerung [Seite 259]
12.2.1 - 10.2.1 Rollen in der IT-Sicherheit [Seite 262]
12.2.2 - 10.2.2 Kompetenzen in der IT-Sicherheit [Seite 263]
12.3 - 10.3 Entscheidende Änderungen bei IT-Sicherheit [Seite 265]
12.4 - 10.4 Besondere IT-Sicherheitsherausforderungen [Seite 266]
12.5 - 10.5 Erfolge erzielen - Fehler vermeiden [Seite 266]
12.5.1 - 10.5.1 Erfolgsfaktoren [Seite 267]
12.5.2 - 10.5.2 Fehler, die zu vermeiden sind [Seite 267]
12.5.3 - 10.5.3 Verbesserungspotenziale [Seite 268]
12.5.4 - 10.5.4 Lessons Learned [Seite 268]
12.5.5 - 10.5.5 Was könnte man anders machen? [Seite 269]
12.6 - 10.6 Zusammenfassung [Seite 270]
12.6.1 - 10.6.1 Hot Topics [Seite 271]
12.6.2 - 10.6.2 Top-3-Ratschläge [Seite 272]
13 - 11 Warum IT-Sicherheit zwischen Erfolg und Insolvenz entscheidet [Seite 275]
13.1 - 11.1 Das Wichtigste beim Start mit IT-Sicherheit [Seite 275]
13.2 - 11.2 Organisatorische Verankerung [Seite 277]
13.3 - 11.3 Verbesserungspotenzial [Seite 278]
13.4 - 11.4 Entscheidende Änderungen bei IT-Sicherheit [Seite 279]
13.5 - 11.5 Besondere IT-Sicherheitsherausforderungen in der eigenen Branche [Seite 280]
13.6 - 11.6 Rolle des "IT-Sicherheitsverantwortlichen" [Seite 281]
13.7 - 11.7 Kompetenzen der IT-Sicherheitsverantwortlichen sowie aller Beschäftigen [Seite 282]
13.8 - 11.8 Top-3-Ratschläge [Seite 283]
14 - 12 IT-Sicherheit heute und morgen - aus Sicht eines CISO [Seite 285]
14.1 - 12.1 Das Wichtigste beim Start mit IT-Sicherheit [Seite 285]
14.2 - 12.2 Aufnahme des IST-Zustands [Seite 287]
14.2.1 - 12.2.1 Verständnis der Angriffsvektoren/Angreiferlage [Seite 289]
14.2.2 - 12.2.2 Verständnis der Angriffspfade [Seite 290]
14.3 - 12.3 Typische Fehler [Seite 291]
14.4 - 12.4 Organisation [Seite 293]
14.5 - 12.5 Erfolgsfaktoren [Seite 295]
14.5.1 - 12.5.1 Kommunikation [Seite 295]
14.5.2 - 12.5.2 Großes technisches Wissen [Seite 296]
14.5.3 - 12.5.3 Umfangreiches Wissen über Security bzw. die Angreiferlage [Seite 297]
14.5.4 - 12.5.4 Lösungsorientierung [Seite 297]
14.5.5 - 12.5.5 Doppelte Absicherung/Avoid Vendor Lock-in [Seite 298]
14.5.6 - 12.5.6 Betriebliche Nähe [Seite 298]
14.6 - 12.6 Verbesserungspotenziale [Seite 299]
14.7 - 12.7 Entscheidende Änderungen bei IT-Sicherheit [Seite 299]
14.8 - 12.8 Besondere IT-Sicherheitsherausforderungen in der eigenen Branche [Seite 301]
14.9 - 12.9 Hot Topics [Seite 302]
14.10 - 12.10 Rolle des IT-Sicherheitsverantwortlichen [Seite 303]
14.11 - 12.11 Lessons Learned [Seite 304]
14.12 - 12.12 Kompetenzen eines erfolgreichen Sicherheitsverantwortlichen [Seite 305]
14.13 - 12.13 Top-3-Ratschläge [Seite 306]
14.14 - 12.14 Die wichtigsten Punkte in Kürze [Seite 307]
15 - 13 Entwicklung sicherer Software [Seite 309]
15.1 - 13.1 Einleitung [Seite 309]
15.2 - 13.2 Vorgehensmodelle der Softwareentwicklung [Seite 311]
15.3 - 13.3 Secure Development Lifecycles [Seite 313]
15.4 - 13.4 Requirements Engineering [Seite 315]
15.5 - 13.5 Architektur und Entwurf [Seite 316]
15.6 - 13.6 Implementierung [Seite 317]
15.7 - 13.7 Coding-Standards [Seite 318]
15.8 - 13.8 Wahl der Programmiersprache [Seite 320]
15.9 - 13.9 Tests [Seite 322]
15.10 - 13.10 Code Reviews [Seite 322]
15.11 - 13.11 Static Code Analysis [Seite 323]
15.12 - 13.12 Formale Analyse [Seite 323]
15.13 - 13.13 Validierung [Seite 324]
15.14 - 13.14 Maintenance [Seite 325]
15.15 - 13.15 Die wichtigsten Punkte in Kürze [Seite 326]
16 - 14 Cybersicherheit in Produktion, Automotive und intelligenten Gebäuden [Seite 329]
16.1 - 14.1 Einleitung [Seite 329]
16.1.1 - 14.1.1 Automatisierungstechnik [Seite 330]
16.1.2 - 14.1.2 Spezifische Anforderungen der Automatisierungstechnik [Seite 332]
16.1.3 - 14.1.3 Spezifische Eigenschaften der Automatisierungstechnik [Seite 334]
16.2 - 14.2 Schöne neue Welt - das Internet der Dinge [Seite 336]
16.2.1 - 14.2.1 Internet der Dinge (IoT) [Seite 336]
16.2.2 - 14.2.2 IoT-Chancen für die Automatisierungstechnik [Seite 337]
16.2.3 - 14.2.3 IoT-Risiken für die Automatisierungstechnik [Seite 338]
16.3 - 14.3 Was läuft schief? [Seite 338]
16.3.1 - 14.3.1 Zu viel Vertrauen in andere [Seite 339]
16.3.2 - 14.3.2 Zu wenig Management-Fokus [Seite 339]
16.3.3 - 14.3.3 Sicherheits-Features zu teuer oder nicht genutzt [Seite 339]
16.3.4 - 14.3.4 Es ist noch nie etwas passiert - und das bleibt auch so [Seite 340]
16.3.5 - 14.3.5 Never change a running system [Seite 340]
16.3.6 - 14.3.6 Sensibilisierung und Weiterbildung zu teuer/aufwendig [Seite 341]
16.4 - 14.4 Was ist zu tun? [Seite 342]
16.4.1 - 14.4.1 Cybersicherheit allgemein [Seite 342]
16.4.2 - 14.4.2 Cybersicherheit in der Automatisierung [Seite 343]
16.5 - 14.5 Praxisbeispiel: Einführung von Cybersicherheit in der Produktion (Orientierung an ISA/IEC 62?443) [Seite 346]
16.5.1 - 14.5.1 Audit [Seite 347]
16.5.2 - 14.5.2 Festlegen eines Sicherheitslevels [Seite 348]
16.5.3 - 14.5.3 Risikobeurteilung [Seite 348]
16.5.4 - 14.5.4 Defense in Depth [Seite 349]
16.5.5 - 14.5.5 Zonierung [Seite 350]
16.5.6 - 14.5.6 Patchmanagement [Seite 351]
16.5.7 - 14.5.7 Dienstleister [Seite 353]
16.6 - 14.6 Zusammenfassung und Fazit [Seite 354]
17 - 15 Edge Computing: Chancen und Sicherheitsrisiken [Seite 357]
17.1 - 15.1 Einleitung [Seite 357]
17.2 - 15.2 Was ist Edge Computing? [Seite 359]
17.2.1 - 15.2.1 Das Internet der Dinge [Seite 359]
17.2.2 - 15.2.2 Von der Cloud zur Edge [Seite 360]
17.2.3 - 15.2.3 Impulsgeber für IoT Edge Computing [Seite 362]
17.3 - 15.3 Chancen und Sicherheitsrisiken [Seite 363]
17.3.1 - 15.3.1 Eröffnung neuer Möglichkeiten durch IoT Edge Computing [Seite 364]
17.3.2 - 15.3.2 IoT Edge Computing bringt auch neue Sicherheitsrisiken [Seite 366]
17.4 - 15.4 Entwicklung sicherer Edge-Computing-Plattformen [Seite 369]
17.4.1 - 15.4.1 Security-by-Design-Prinzipien [Seite 369]
17.4.2 - 15.4.2 Privacy-by-Design-Prinzipien [Seite 371]
17.4.3 - 15.4.3 Spezielle Entwicklungsprinzipien für Edge Computing [Seite 372]
17.5 - 15.5 Technologien für sichere Edge-Computing-Plattformen [Seite 374]
17.5.1 - 15.5.1 Sicherheitskerne [Seite 374]
17.5.2 - 15.5.2 Trusted Execution Environments und Confidential Computing [Seite 377]
17.5.3 - 15.5.3 Kryptoagilität [Seite 377]
17.6 - 15.6 Die wichtigsten Punkte in Kürze [Seite 379]
18 - 16 Cybersicherheit für kritische Infrastrukturen (KRITIS) [Seite 381]
18.1 - 16.1 Einleitung [Seite 381]
18.1.1 - 16.1.1 Technische Grundlagen [Seite 383]
18.1.2 - 16.1.2 Regulierungen und Pflichten [Seite 384]
18.1.3 - 16.1.3 Bedrohungen durch Cyberangriffe [Seite 387]
18.2 - 16.2 Herausforderungen [Seite 389]
18.2.1 - 16.2.1 IT/OT-Konvergenz [Seite 389]
18.2.2 - 16.2.2 "Safety first" [Seite 390]
18.2.3 - 16.2.3 Mangelnde physische Sicherheit [Seite 391]
18.2.4 - 16.2.4 Mangelnde Eigeninitiative [Seite 392]
18.3 - 16.3 Cyberangriffe verstehen [Seite 393]
18.3.1 - 16.3.1 Fähigkeiten des Angreifers [Seite 393]
18.3.2 - 16.3.2 Vorgehen und Ablauf [Seite 395]
18.4 - 16.4 Gegenmaßnahmen [Seite 398]
18.4.1 - 16.4.1 Prävention [Seite 400]
18.4.2 - 16.4.2 Detektion [Seite 403]
18.4.3 - 16.4.3 Reaktion [Seite 405]
18.5 - 16.5 Fazit [Seite 407]
18.6 - 16.6 Die wichtigsten Punkte in Kürze [Seite 408]
19 - 17 Sicherheit in der Cloud [Seite 411]
19.1 - 17.1 Einleitung [Seite 411]
19.2 - 17.2 Nutzungsmodelle [Seite 412]
19.2.1 - 17.2.1 Servicemodelle [Seite 412]
19.2.2 - 17.2.2 Bereitstellungsmodelle [Seite 414]
19.3 - 17.3 Risiken des Cloud-Computing [Seite 415]
19.3.1 - 17.3.1 Überblick [Seite 415]
19.3.2 - 17.3.2 Beispiele [Seite 417]
19.4 - 17.4 Sicherheitsmaßnahmen [Seite 418]
19.4.1 - 17.4.1 Sicherheitsrahmen [Seite 418]
19.4.2 - 17.4.2 Zugangskontrolle [Seite 421]
19.4.3 - 17.4.3 Datensicherheit [Seite 422]
19.4.4 - 17.4.4 Monitoring und Überwachung [Seite 424]
19.5 - 17.5 Zusammenfassung [Seite 427]
19.6 - 17.6 Die wichtigsten Punkte in Kürze [Seite 427]
20 - Herausgeber, Autorin und Autoren [Seite 429]
21 - Index [Seite 437]

1 IT-Sicherheit konsequent und effizient umsetzen

Norbert Pohlmann

In diesem Beitrag erfahren Sie,

welche Chancen und Risiken die fortschreitende Digitalisierung mit sich bringt,

welche Angriffsvektoren heute für erfolgreiche Angriffe genutzt werden,

welche IT-Sicherheitsstrategien helfen Risiken zu reduzieren und mit verbleibenden Risiken umzugehen und

welche IT-Sicherheitsmechanismen, gegen welche Angriffe wirken.

1.1 Einleitung

Wir befinden uns gerade in einer digitalen Transformation, die mit einer radikalen Umgestaltung unseres Alltags und unserer Arbeitswelt sowie aller Geschäftsmodelle und Verwaltungsprozesse einhergeht. Wirtschaftskraft und Wohlstand sowie die Leistungsfähigkeit unserer modernen Gesellschaft werden durch den gelungenen digitalen Wandel bestimmt.

1.1.1 Chancen durch die Digitalisierung

Die Digitalisierung eröffnet über alle Branchen und Unternehmensgrößen hinweg enorme Wachstumschancen und führt zu immer besseren Prozessen, die die Effizienz steigern und Kosten reduzieren. Die Digitalisierung beschleunigt auf allen Ebenen und der Wertschöpfungsanteil der IT in allen Produkten und Lösungen wird immer größer (Pohlmann 2020), siehe Bild 1.1, obere Kurve.

Bild 1.1 Entwicklung der Digitalisierung und des korrespondierenden Risikos

Mögliche Erfolgsfaktoren der Digitalisierung sind vielfältig:

Mit 5G- und Glasfasernetzen erhöhen sich Kommunikationsgeschwindigkeit und -qualität, wodurch neue Anwendungen möglich werden.

Smarte Endgeräte wie Smartwatches, Smartphones, PADs oder IoT-Geräte bringen viele neue sinnvolle Anwendungen mit sich.

Zunehmend leistungsfähige zentrale IT-Systeme wie Cloudsysteme, Edge-Computing oder Hyperscaler schaffen Innovationen mit großen Potenzialen.

Da immer mehr Daten zur Verfügung stehen, ist die Verwendung von KI (ML .) ein weiterer Treiber von neuen Geschäftsmodellen (Pohlmann 2019a).

Moderne Benutzerschnittstellen, wie Sprache und Gestik, vereinfachen die Bedienung der smarten Endgeräte.

Die Optimierung von Prozessen schafft ein enormes Rationalisierungspotenzial, das es zu heben gilt, um wettbewerbsfähig zu bleiben und Wachstumschancen zu nutzen.

Neue Optionen wie Video-Konferenzen, Cloudanwendungen ermöglichen im Homeoffice zu arbeiten und damit die Personenmobilität zu reduzieren sowie letztendlich die Umwelt zu schonen.

1.1.2 Risiken durch die Digitalisierung

Wir müssen aber auch feststellen, dass seit Beginn der IT - sowie jetzt mit der zunehmenden Digitalisierung - die IT-Sicherheitsprobleme jedes Jahr größer werden und auf absehbare Zeit definitiv nicht abnehmen. Eine wichtige Erkenntnis ist, dass die heutigen IT-Architekturen unserer Endgeräte, Server, Netzkomponenten und zentralen IT-Dienstleistungen nicht sicher genug konzipiert und aufgebaut sind, um den Angriffen intelligenter Hacker erfolgreich entgegenzuwirken. Die Vielzahl der lokalen und zentralen Anwendungen, die unterschiedlichen Zugänge zum Internet, die Masse der IT-Systeme und IT-Infrastrukturen sowie die zunehmenden Abhängigkeiten innerhalb der Supply Chain machen die Komplexität der IT immer größer und damit auch die Anfälligkeit für bösartige Angriffe. Täglich können wir den Medien entnehmen, wie sich kriminelle Hacker die unzureichende Qualität der Software zu Nutze machen, indem sie Malware installieren und damit Passwörter sowie Identitäten stehlen, Endgeräte ausspionieren oder die IT-Systeme verschlüsseln, um Lösegeld für die notwendigen Schlüssel zur Entsperrung zu erpressen. Aufgrund der generierten Datenmengen werden die Angriffsziele mit fortschreitender Digitalisierung kontinuierlich lukrativer.

Die Robustheit und Resilienz unserer IT-Systeme sind nicht hinreichend und der Level an IT-Sicherheit entspricht nicht dem "Stand der Technik". Mit dem höheren Grad an Digitalisierung steigt momentan das Risiko eines Schadensfalls, siehe Bild 1.1, untere Kurve. Daraus ergibt sich in der Konsequenz, dass durch Diebstahl, Spionage und Sabotage der deutschen Wirtschaft jährlich ein Gesamtschaden von mehr als 220 Milliarden Euro entsteht.

1.1.3 IT-Sicherheitsbedürfnisse als Grundwerte der IT-Sicherheit

IT-Sicherheitsbedürfnisse sind Grundwerte der IT-Sicherheit, die mithilfe von IT-Sicherheitsmechanismen befriedigt werden können. IT-Sicherheitsbedürfnisse werden auch als IT-Sicherheitsziele bezeichnet.

Gewährleistung der Vertraulichkeit

Vertraulichkeit ist wichtig, damit keine unautorisierten Personen oder Organisationen in der Lage sind, übertragene oder gespeicherte Informationen zu lesen.

Gewährleistung der Authentifikation

Mithilfe des IT-Sicherheitsmechanismus Authentifikation wird verifiziert, wer der Partner bei der Kommunikation oder Transaktion ist beziehungsweise welcher Nutzer auf Betriebsmittel und Informationen zugreift.

Gewährleistung der Authentizität

Mithilfe des IT-Sicherheitsmechanismus Authentizität wird verifiziert, dass Informationen oder Identitäten echt sind.

Gewährleistung der Integrität

Beim IT-Sicherheitsbedürfnis "Gewährleistung der Integrität" wird überprüft, ob Informationen, die übertragen werden oder gespeichert sind, unverändert, d. h. original, sind.

Gewährleistung der Verbindlichkeit

Das IT-Sicherheitsbedürfnis "Gewährleistung der Verbindlichkeit" sorgt für die Gewissheit, dass die Prozesse und die damit verbundenen Aktionen auch verbindlich sind.

Gewährleistung der Verfügbarkeit

Dieses IT-Sicherheitsbedürfnis sorgt für die Gewissheit, dass die Informationen und Dienste auch zur Verfügung stehen.

Gewährleistung der Anonymisierung/Pseudonymisierung

Mit diesem IT-Sicherheitsbedürfnis wird gewährleistet, dass eine Person nicht oder nicht unmittelbar identifiziert werden kann.

1.2 Beispiele von aktuellen Angriffsvektoren

Im Folgenden werden exemplarisch relevante Beispiele von Angriffsvektoren mit den entsprechenden Angriffstechniken und Angriffswege dargestellt.

1. Malware-Infiltration über manipulierte Webseiten

Als erstes wird mit einem gezielten Hacking-Angriff auf den Webserver die Platzierung von Angriffssoftware zur Durchführung eines Drive-by-Downloads unter Nutzung einer vorhandenen Schwachstelle auf dem Webserver umgesetzt. Um einen Nutzer (Opfer) zum Besuch der manipulierten Webseite zu motivieren kann beispielsweise ein Phishing-/Social-Engineering-Angriff durchgeführt werden. Beim Zugriff auf die manipulierten Webseiten werden dann beim Drive-by-Download Sicherheitslücken des Browsers oder des Betriebssystems des Opfer-IT-Systems des Nutzers ausgenutzt, um Malware zu installieren. Mit der generalisierten installierten Malware kann dann der Angreifer spezielle Schadfunktionen nutzen, um das gekaperte IT-System gemäß seinem Ziel zu manipulieren.

2. Malware-Infiltration über schadhafte E-Mail-Anhänge

Mithilfe von Sozialen- und Berufsnetzwerken werden die Vorlieben eines potenziellen Opfers analysiert. Mit diesen Kenntnissen wird dem Opfer eine persönliche Nachricht gesendet, die perfekt dazu verleitet, auf den Anhang der E-Mail zu klicken. Durch das Klicken wird ein Prozess ausgelöst, der ermöglicht, über vorhandene Schwachstellen eine Malware zu installieren. Damit ist die Übernahme der Kontrolle über das betroffene Opfer-IT-System umgesetzt. Anschließend nutzt der Angreifer entsprechende Schadfunktionen, um seine Ziele auf dem Opfer-IT-System umzusetzen.

3. Mehrstufiger Angriff auf die IT-Infrastruktur von...

Systemvoraussetzungen

Dateiformat: ePUB
Kopierschutz: Wasserzeichen-DRM (Digital Rights Management)

Systemvoraussetzungen:

Computer (Windows; MacOS X; Linux): Verwenden Sie eine Lese-Software, die das Dateiformat ePUB verarbeiten kann: z.B. Adobe Digital Editions oder FBReader – beide kostenlos (siehe E-Book Hilfe).
Tablet/Smartphone (Android; iOS): Installieren Sie die App Adobe Digital Editions oder eine andere Leseapp für E-Books, z.B. PocketBook (siehe E-Book Hilfe).
E-Book-Reader: Bookeen, Kobo, Pocketbook, Sony, Tolino u.v.a.m.

Das Dateiformat ePUB ist sehr gut für Romane und Sachbücher geeignet - also für „fließenden” Text ohne komplexes Layout. Bei E-Readern oder Smartphones passt sich der Zeilen- und Seitenumbruch automatisch den kleinen Displays an.
Mit Wasserzeichen-DRM wird hier ein „weicher” Kopierschutz verwendet. Daher ist technisch zwar alles möglich – sogar eine unzulässige Weitergabe. Aber an sichtbaren und unsichtbaren Stellen wird der Käufer des E-Books als Wasserzeichen hinterlegt, sodass im Falle eines Missbrauchs die Spur zurückverfolgt werden kann.

Weitere Informationen finden Sie in unserer E-Book Hilfe.

Dateiformat: PDF
Kopierschutz: Wasserzeichen-DRM (Digital Rights Management)

Systemvoraussetzungen:

Computer (Windows; MacOS X; Linux): Verwenden Sie zum Lesen die kostenlose Software Adobe Reader, Adobe Digital Editions oder einen anderen PDF-Viewer Ihrer Wahl (siehe E-Book Hilfe).
Tablet/Smartphone (Android; iOS): Installieren Sie bereits vor dem Download die kostenlose App Adobe Digital Editions oder die App PocketBook (siehe E-Book Hilfe).
E-Book-Reader: Bookeen, Kobo, Pocketbook, Sony, Tolino u.v.a.m.

Das Dateiformat PDF zeigt auf jeder Hardware eine Buchseite stets identisch an. Daher ist eine PDF auch für ein komplexes Layout geeignet, wie es bei Lehr- und Fachbüchern verwendet wird (Bilder, Tabellen, Spalten, Fußnoten). Bei kleinen Displays von E-Readern oder Smartphones sind PDF leider eher nervig, weil zu viel Scrollen notwendig ist. Mit Wasserzeichen-DRM wird hier ein „weicher” Kopierschutz verwendet. Daher ist technisch zwar alles möglich – sogar eine unzulässige Weitergabe. Aber an sichtbaren und unsichtbaren Stellen wird der Käufer des E-Books als Wasserzeichen hinterlegt, sodass im Falle eines Missbrauchs die Spur zurückverfolgt werden kann.

Weitere Informationen finden Sie in unserer E-Book Hilfe.

Als PDF speichern Als Link merken