IT-Sicherheit - Technologien und Best Practices für die Umsetzung im Unternehmen

Michael Lang, Hans Löhr

IT-Sicherheit

Technologien und Best Practices für die Umsetzung im Unternehmen

2022

306 Seiten

Format: PDF, ePUB, Online Lesen

E-Book: €  39,99

E-Book kaufen

E-Book kaufen

ISBN: 9783446473478

 

Inhalt

7

Vorwort

15

1 IT-Sicherheit konsequent und effizient umsetzen

17

Norbert Pohlmann

17

1.1?Einleitung

17

1.1.1?Chancen durch die Digitalisierung

17

1.1.2?Risiken durch die Digitalisierung

18

1.1.3?IT-Sicherheitsbedürfnisse als Grundwerte der IT-Sicherheit

19

1.2?Beispiele von aktuellen Angriffsvektoren

20

1.3?IT-Sicherheitsstrategien

23

1.3.1?Vermeiden von Angriffen

24

1.3.2?Entgegenwirken von Angriffen

25

1.3.3?Erkennen von Angriffen

26

1.3.4?Reaktion auf Angriffe

27

1.4?Umsetzung eines angemessenen IT?Sicherheitslevels

28

1.5?IT-Sicherheitsmechanismen, die?gegen?Angriffe?wirken

29

1.6?Die wichtigsten Punkte in Kürze

37

1.7?Literatur

38

2 Grundprinzipien zur?Gewährleistung der IT-Sicherheit

39

Hagen Lauer, Nicolai Kuntze

39

2.1?Einleitung

39

2.1.1?Trends

39

2.1.2?Herausforderungen

40

2.1.3?IT-Sicherheit vs. Sicherheit

41

2.1.4?Schutzziele

42

2.2?Grundprinzipien der IT-Sicherheit

47

2.2.1?Kenne die Bedrohungen

48

2.2.2?Sicherheit und Wirtschaftlichkeit

49

2.2.3?Keine „Security through Obscurity“

50

2.2.4?Security by Design

50

2.2.5?Prinzip der geringsten Berechtigung

51

2.2.6?Trennung der Verantwortlichkeiten

52

2.2.7?Zugriffskontrolle

52

2.2.8?Defense in Depth

53

2.2.9?Der Mensch als Faktor

54

2.2.10?Design for Resilience

55

2.3?Literatur

57

3 Organisation des IT?Sicherheits­manage­ments im Unternehmen

59

Markus Nauroth

59

3.1?Einführende Bemerkungen

60

3.2?Imperative des IT?Sicherheitsmanagements

61

3.2.1?Sicherheit ist aktiv und proaktiv

61

3.2.2?Routine

61

3.2.3?Sicherheit liegt in der Verantwortung eines jeden

61

3.2.4?Worst-Case-Szenario

62

3.2.5?Es bedarf vieler Unterstützer

62

3.2.6?Denken wie ein Angreifer

62

3.2.7?Mehrschichtige Verteidigung verwenden

62

3.3?Grundlegende Pfeiler einer IT?Sicherheitsorganisation

63

3.3.1?Gängige Organisationsstrukturen nach organisatorischem Reifegrad

64

3.3.2?Das Information Technology Risk Council (ITRC)

68

3.4?Die Rolle des CISO: Wie?man?eine?Führungsrolle im?Sicherheitsbereich gestaltet

70

3.4.1?Die richtige CISO-Rolle für Ihr Unternehmen entwerfen

70

3.5?Finale Anmerkungen

75

4 Rechtliche Rahmenbedingungen der IT-Sicherheit

77

Thomas Jansen

77

4.1?Einleitung

77

4.2?Vertrags- und haftungsrechtliche Risiken

78

4.2.1?Allgemeine Sorgfaltspflichten

78

4.2.2?Pflichten zur Gewährleistung der IT-Sicherheit

79

4.2.3?Haftung für Verstöße gegen IT-sicherheitsrechtliche Anforderungen

80

4.2.4?Anforderungen der DSGVO an technische und organisatorische Schutzmaßnahmen zum Schutz der IT-Sicherheit

81

4.2.5?Anforderungen des TKG und des TTDSG an?technische?und organisatorische?Schutzmaßnahmen zum?Schutz der IT-Sicherheit

82

4.2.6?Empfehlungen des BSI in Bezug auf technisch-organisatorische Maßnahmen

83

4.3?Straf- und ordnungswidrigkeitsrechtliche Folgen bei der Verletzung der IT?Sicherheit

84

4.3.1?Strafrechtliche Normen zum Schutz vor Cyberkriminalität

84

4.3.2?Strafrechtliche Verantwortlichkeit der einzelnen Akteure

86

4.4?Das IT-Sicherheitsgesetz (ITSiG?2.0)

87

4.5?Die wichtigsten Punkte in Kürze

89

4.6?Literatur

90

5 Standards und Zertifizierungen

93

Thomas Lohre

93

5.1?Einleitung

93

5.2?Standards

95

5.2.1?Synergien zwischen Standards auflösen und nutzen

103

5.2.2?Zertifizierung/Testierung

105

5.3?Kompetenznachweise für Beteiligte der?Informationssicherheit

108

5.4?Die wichtigsten Punkte in Kürze

112

5.5?Literatur

112

6 Datenschutz und Informationssicherheit: ungleiche Zwillinge

115

Stefan Karg

115

6.1?Einleitung

115

6.2?Rechtlicher Rahmen

117

6.3?Strategische/präventive Aspekte

119

6.3.1 Risikomanagement

119

6.3.2 Regelmäßige Überprüfung der Maßnahmen

120

6.3.3?Entwicklungsprozess

121

6.4?Operative Aspekte: technische und organisatorische Maßnahmen

123

6.4.1?Schutz der Vertraulichkeit

123

6.4.2?Schutz der Integrität

126

6.4.3?Schutz der Verfügbarkeit und Belastbarkeit

127

6.4.4?Vorfallsbehandlung (Incident Management)

127

6.5?Organisationsaspekte

129

6.6?Fazit

130

6.7?Literatur

130

7 Sicherheit durch Bedrohungs- und Risikoanalysen stärken

131

Daniel Angermeier

131

7.1?Einleitung

131

7.2?Nutzen und Mehrwert von Bedrohungs- und Risikoanalysen

132

7.3?Ablauf von Bedrohungs- und Risikoanalysen

134

7.4?Einbindung in Unternehmensprozesse

136

7.4.1?Anforderungsanalyse und Konzeptphase

136

7.4.2?Tests planen und priorisieren, Testergebnisse bewerten

140

7.4.3?Schwachstellen bewerten und behandeln

141

7.4.4?Laufende Systeme bewerten

142

7.5?Auswahlkriterien für geeignete Methoden

142

7.6?Die wichtigsten Punkte in Kürze

143

7.7?Literatur

143

8 Mittels Reifegradanalysen den IT-Security-Level nachhaltig und?belastbar steigern

145

Martin Braun

145

8.1?Einleitung

145

8.2?Aufgabe und Wirkung einer?Reifegradanalyse

146

8.2.1?Aufgabe der Reifegradanalyse

146

8.2.2?Die Reifegradanalyse hat unterschiedliche Aufgaben

146

8.2.3?Reifegradanalyse auch als Messinstrument der Belastbarkeit der Kernprozesse

147

8.2.4?Wirkung der Reifegradanalyse

148

8.3?Den Reifegrad des IT-Security-Prozesses ermitteln

150

8.3.1?Definition des IT-Security-Reifegrad-Levels?0: Initial

151

8.3.2?Definition des IT-Security-Reifegrad Level?1: wiederholbar

152

8.3.3?Definition des IT-Security-Reifegrad-Levels?2: definiert

153

8.3.4?Definition des IT-Security-Reifegrad-Levels?3: gemanagt

154

8.3.5?Definition des IT-Security-Reifegrad-Levels?4: optimiert

155

8.4?Durch eine kontinuierliche Reifegrad­messung das IT-Risiko minimieren

156

8.4.1?Gesamtheitliche Betrachtung der Perspektiven

157

8.4.2?Perspektive Business

158

8.4.3?Perspektive Organisation und IT

160

8.5?Fazit

162

9 Der Chief Information Security Officer in?der?Praxis

163

Andreas Reisch

163

9.1?Einleitung

163

9.2?Business und IT, woher?–?wohin?–?mit?wem?

164

9.3?Wozu gibt es nun den CISO?

165

9.4?Die persönliche Verantwortung des CISO

166

9.5?Verantwortung des Unternehmens

168

9.6?Das ISMS

169

9.7?Culture, Communication & Awareness

170

9.8?Assessments

172

9.9?Approvals und Information Security Consulting

173

9.10?Information Security Consulting

175

9.11?Lohnt sich das SOC?

176

9.12?IS-Operations

177

9.13?Fazit

178

10 Irgendwas ist immer – Informationssicherheit aus Sicht des CISO der?Allianz Technology

179

Fabian Topp

179

10.1?Einleitung

179

10.2?Vernetzung – hilf mir, es selbst zu tun

181

10.3?Personal – die schlechten sind?die?teuersten Mitarbeiter

183

10.4?No Risk (no Privacy, no Audit, …), no Fun

187

10.4.1?Organisation ist ein Mittel, die Kräfte des Einzelnen zu?vervielfältigen

188

10.4.2?Mehr als die Summe seiner Teile

190

10.5?Ende gut, alles gut?

191

11 Entwicklung sicherer?Software

193

Nicolai Kuntze, Hagen Lauer

193

11.1?Einleitung

193

11.2?Vorgehensmodelle der Softwareentwicklung

195

11.3?Secure Development Lifecycles

197

11.4?Requirements Engineering

198

11.5?Architektur und Entwurf

199

11.6?Implementierung

200

11.7?Coding-Standards

200

11.8?Wahl der Programmiersprache

202

11.9?Tests

204

11.10?Code Reviews

204

11.11?Static Code Analysis

205

11.12?Formale Analyse

205

11.13?Validierung

206

11.14?Maintenance

206

11.15?Die wichtigsten Punkte in Kürze

208

11.16?Literatur

208

12 Cybersicherheit in?Produktion, Automotive und intelligenten Gebäuden

209

Marko Schuba, Hans Höfken

209

12.1?Einleitung

209

12.1.1?Automatisierungstechnik

210

12.1.2?Spezifische Anforderungen der Automatisierungstechnik

212

12.1.3?Spezifische Eigenschaften der Automatisierungstechnik

213

12.2?Schöne neue Welt – das?Internet?der?Dinge

215

12.2.1?Internet der Dinge (IoT)

216

12.2.2?IoT-Chancen für die Automatisierungstechnik

216

12.2.3?IoT-Risiken für die Automatisierungstechnik

217

12.3?Was läuft schief?

217

12.3.1?Zu viel Vertrauen in andere

217

12.3.2?Zu wenig Management-Fokus

218

12.3.3?Sicherheits-Features zu teuer oder nicht genutzt

218

12.3.4?Es ist noch nie etwas passiert – und das bleibt auch so

219

12.3.5?Never change a running system

219

12.3.6?Sensibilisierung und Weiterbildung zu teuer/aufwendig

220

12.4?Was ist zu tun?

221

12.4.1?Cybersicherheit allgemein

221

12.4.2?Cybersicherheit in der Automatisierung

221

12.5?Praxisbeispiel: Einführung von Cybersicherheit in der Produktion (Orientierung?an?ISA/IEC?62443)

225

12.5.1?Audit

225

12.5.2?Festlegen eines Sicherheitslevels

226

12.5.3?Risikobeurteilung

226

12.5.4?Defense in Depth

227

12.5.5?Zonierung

228

12.5.6?Patchmanagement

229

12.5.7?Dienstleister

231

12.6?Zusammenfassung und Fazit

232

12.7?Literatur

232

13 Edge Computing: Chancen und Sicherheitsrisiken

235

Marcel Winandy

235

13.1?Einleitung

235

13.2?Was ist Edge Computing?

237

13.2.1?Das Internet der Dinge

237

13.2.2?Von der Cloud zur Edge

238

13.2.3?Impulsgeber für IoT Edge Computing

240

13.3?Chancen und Sicherheitsrisiken

241

13.3.1?Eröffnung neuer Möglichkeiten durch IoT Edge Computing

241

13.3.2?IoT Edge Computing bringt auch neue Sicherheitsrisiken

243

13.4?Entwicklung sicherer Edge-Computing-Plattformen

246

13.4.1?Security-by-Design-Prinzipien

246

13.4.2?Privacy-by-Design-Prinzipien

248

13.4.3?Spezielle Entwicklungsprinzipien für Edge Computing

249

13.5?Technologien für sichere Edge?Computing-Plattformen

250

13.5.1?Sicherheitskerne

251

13.5.2?Trusted Execution Environments

253

13.5.3?Kryptoagilität

253

13.6?Die wichtigsten Punkte in Kürze

254

13.7?Literatur

255

14 IT-Sicherheit in?Vergabeverfahren

257

Jutta Pertenaïs

257

14.1?Einleitung

257

14.2?Vergabeverfahren in Deutschland

258

14.2.1?Grundsätze und Aspekte

259

14.2.2?Verfahrensarten

262

14.2.3?Elektronische Vergabeplattformen

265

14.3?IT-Sicherheit im Vergabeverfahren

265

14.3.1?TOM im Vergabeverfahren

265

14.3.2?Die Gestaltung der Vergabeunterlagen

267

14.3.3?Die Planung des Vergabeverfahrens

268

14.3.4?Die Verfahrensdurchführung

270

14.3.5?Die elektronische Kommunikation

270

14.3.6?Der Umgang mit Verschlusssachen

271

14.4?Kennzeichnen von Geschäftsgeheimnissen

272

14.5?Rechtschutzmöglichkeiten

274

14.6?Strafbarkeit im Vergabeverfahren

275

14.7?Bietertipps zum Umgang mit?Vergabestellen und?zur?Erstellung?von?Angeboten

276

14.8?Die wichtigsten Punkte in Kürze

276

14.9?Literatur

277

15 Sicherheit in?der?Cloud

279

Christoph Skornia

279

15.1?Einleitung

279

15.2?Nutzungsmodelle

280

15.2.1?Servicemodelle

280

15.2.2?Bereitstellungsmodelle

281

15.3?Risiken des Cloud Computing

282

15.3.1?Überblick

282

15.3.2?Beispiele

284

15.4?Sicherheitsmaßnahmen

285

15.4.1?Sicherheitsrahmen

285

15.4.2?Zugangskontrolle

287

15.4.3?Datensicherheit

288

15.4.4?Monitoring und Überwachung

290

15.5?Zusammenfassung

292

15.6?Die wichtigsten Punkte in Kürze

293

15.7?Literatur

293

Herausgeber, Autorin und Autoren

295

Stichwortverzeichnis

301

 

© 2009-2022 ciando GmbH