IT-Sicherheit - Technologien und Best Practices für die Umsetzung im Unternehmen
von: Michael Lang, Hans Löhr
Carl Hanser Fachbuchverlag, 2022
ISBN: 9783446473478
Sprache: Deutsch
306 Seiten, Download: 11950 KB
Format: EPUB, PDF, auch als Online-Lesen
geeignet für:
| Inhalt | 7 | ||
| Vorwort | 15 | ||
| 1 IT-Sicherheit konsequent und effizient umsetzen | 17 | ||
| Norbert Pohlmann | 17 | ||
| 1.1?Einleitung | 17 | ||
| 1.1.1?Chancen durch die Digitalisierung | 17 | ||
| 1.1.2?Risiken durch die Digitalisierung | 18 | ||
| 1.1.3?IT-Sicherheitsbedürfnisse als Grundwerte der IT-Sicherheit | 19 | ||
| 1.2?Beispiele von aktuellen Angriffsvektoren | 20 | ||
| 1.3?IT-Sicherheitsstrategien | 23 | ||
| 1.3.1?Vermeiden von Angriffen | 24 | ||
| 1.3.2?Entgegenwirken von Angriffen | 25 | ||
| 1.3.3?Erkennen von Angriffen | 26 | ||
| 1.3.4?Reaktion auf Angriffe | 27 | ||
| 1.4?Umsetzung eines angemessenen IT?Sicherheitslevels | 28 | ||
| 1.5?IT-Sicherheitsmechanismen, die?gegen?Angriffe?wirken | 29 | ||
| 1.6?Die wichtigsten Punkte in Kürze | 37 | ||
| 1.7?Literatur | 38 | ||
| 2 Grundprinzipien zur?Gewährleistung der IT-Sicherheit | 39 | ||
| Hagen Lauer, Nicolai Kuntze | 39 | ||
| 2.1?Einleitung | 39 | ||
| 2.1.1?Trends | 39 | ||
| 2.1.2?Herausforderungen | 40 | ||
| 2.1.3?IT-Sicherheit vs. Sicherheit | 41 | ||
| 2.1.4?Schutzziele | 42 | ||
| 2.2?Grundprinzipien der IT-Sicherheit | 47 | ||
| 2.2.1?Kenne die Bedrohungen | 48 | ||
| 2.2.2?Sicherheit und Wirtschaftlichkeit | 49 | ||
| 2.2.3?Keine „Security through Obscurity“ | 50 | ||
| 2.2.4?Security by Design | 50 | ||
| 2.2.5?Prinzip der geringsten Berechtigung | 51 | ||
| 2.2.6?Trennung der Verantwortlichkeiten | 52 | ||
| 2.2.7?Zugriffskontrolle | 52 | ||
| 2.2.8?Defense in Depth | 53 | ||
| 2.2.9?Der Mensch als Faktor | 54 | ||
| 2.2.10?Design for Resilience | 55 | ||
| 2.3?Literatur | 57 | ||
| 3 Organisation des IT?Sicherheitsmanagements im Unternehmen | 59 | ||
| Markus Nauroth | 59 | ||
| 3.1?Einführende Bemerkungen | 60 | ||
| 3.2?Imperative des IT?Sicherheitsmanagements | 61 | ||
| 3.2.1?Sicherheit ist aktiv und proaktiv | 61 | ||
| 3.2.2?Routine | 61 | ||
| 3.2.3?Sicherheit liegt in der Verantwortung eines jeden | 61 | ||
| 3.2.4?Worst-Case-Szenario | 62 | ||
| 3.2.5?Es bedarf vieler Unterstützer | 62 | ||
| 3.2.6?Denken wie ein Angreifer | 62 | ||
| 3.2.7?Mehrschichtige Verteidigung verwenden | 62 | ||
| 3.3?Grundlegende Pfeiler einer IT?Sicherheitsorganisation | 63 | ||
| 3.3.1?Gängige Organisationsstrukturen nach organisatorischem Reifegrad | 64 | ||
| 3.3.2?Das Information Technology Risk Council (ITRC) | 68 | ||
| 3.4?Die Rolle des CISO: Wie?man?eine?Führungsrolle im?Sicherheitsbereich gestaltet | 70 | ||
| 3.4.1?Die richtige CISO-Rolle für Ihr Unternehmen entwerfen | 70 | ||
| 3.5?Finale Anmerkungen | 75 | ||
| 4 Rechtliche Rahmenbedingungen der IT-Sicherheit | 77 | ||
| Thomas Jansen | 77 | ||
| 4.1?Einleitung | 77 | ||
| 4.2?Vertrags- und haftungsrechtliche Risiken | 78 | ||
| 4.2.1?Allgemeine Sorgfaltspflichten | 78 | ||
| 4.2.2?Pflichten zur Gewährleistung der IT-Sicherheit | 79 | ||
| 4.2.3?Haftung für Verstöße gegen IT-sicherheitsrechtliche Anforderungen | 80 | ||
| 4.2.4?Anforderungen der DSGVO an technische und organisatorische Schutzmaßnahmen zum Schutz der IT-Sicherheit | 81 | ||
| 4.2.5?Anforderungen des TKG und des TTDSG an?technische?und organisatorische?Schutzmaßnahmen zum?Schutz der IT-Sicherheit | 82 | ||
| 4.2.6?Empfehlungen des BSI in Bezug auf technisch-organisatorische Maßnahmen | 83 | ||
| 4.3?Straf- und ordnungswidrigkeitsrechtliche Folgen bei der Verletzung der IT?Sicherheit | 84 | ||
| 4.3.1?Strafrechtliche Normen zum Schutz vor Cyberkriminalität | 84 | ||
| 4.3.2?Strafrechtliche Verantwortlichkeit der einzelnen Akteure | 86 | ||
| 4.4?Das IT-Sicherheitsgesetz (ITSiG?2.0) | 87 | ||
| 4.5?Die wichtigsten Punkte in Kürze | 89 | ||
| 4.6?Literatur | 90 | ||
| 5 Standards und Zertifizierungen | 93 | ||
| Thomas Lohre | 93 | ||
| 5.1?Einleitung | 93 | ||
| 5.2?Standards | 95 | ||
| 5.2.1?Synergien zwischen Standards auflösen und nutzen | 103 | ||
| 5.2.2?Zertifizierung/Testierung | 105 | ||
| 5.3?Kompetenznachweise für Beteiligte der?Informationssicherheit | 108 | ||
| 5.4?Die wichtigsten Punkte in Kürze | 112 | ||
| 5.5?Literatur | 112 | ||
| 6 Datenschutz und Informationssicherheit: ungleiche Zwillinge | 115 | ||
| Stefan Karg | 115 | ||
| 6.1?Einleitung | 115 | ||
| 6.2?Rechtlicher Rahmen | 117 | ||
| 6.3?Strategische/präventive Aspekte | 119 | ||
| 6.3.1 Risikomanagement | 119 | ||
| 6.3.2 Regelmäßige Überprüfung der Maßnahmen | 120 | ||
| 6.3.3?Entwicklungsprozess | 121 | ||
| 6.4?Operative Aspekte: technische und organisatorische Maßnahmen | 123 | ||
| 6.4.1?Schutz der Vertraulichkeit | 123 | ||
| 6.4.2?Schutz der Integrität | 126 | ||
| 6.4.3?Schutz der Verfügbarkeit und Belastbarkeit | 127 | ||
| 6.4.4?Vorfallsbehandlung (Incident Management) | 127 | ||
| 6.5?Organisationsaspekte | 129 | ||
| 6.6?Fazit | 130 | ||
| 6.7?Literatur | 130 | ||
| 7 Sicherheit durch Bedrohungs- und Risikoanalysen stärken | 131 | ||
| Daniel Angermeier | 131 | ||
| 7.1?Einleitung | 131 | ||
| 7.2?Nutzen und Mehrwert von Bedrohungs- und Risikoanalysen | 132 | ||
| 7.3?Ablauf von Bedrohungs- und Risikoanalysen | 134 | ||
| 7.4?Einbindung in Unternehmensprozesse | 136 | ||
| 7.4.1?Anforderungsanalyse und Konzeptphase | 136 | ||
| 7.4.2?Tests planen und priorisieren, Testergebnisse bewerten | 140 | ||
| 7.4.3?Schwachstellen bewerten und behandeln | 141 | ||
| 7.4.4?Laufende Systeme bewerten | 142 | ||
| 7.5?Auswahlkriterien für geeignete Methoden | 142 | ||
| 7.6?Die wichtigsten Punkte in Kürze | 143 | ||
| 7.7?Literatur | 143 | ||
| 8 Mittels Reifegradanalysen den IT-Security-Level nachhaltig und?belastbar steigern | 145 | ||
| Martin Braun | 145 | ||
| 8.1?Einleitung | 145 | ||
| 8.2?Aufgabe und Wirkung einer?Reifegradanalyse | 146 | ||
| 8.2.1?Aufgabe der Reifegradanalyse | 146 | ||
| 8.2.2?Die Reifegradanalyse hat unterschiedliche Aufgaben | 146 | ||
| 8.2.3?Reifegradanalyse auch als Messinstrument der Belastbarkeit der Kernprozesse | 147 | ||
| 8.2.4?Wirkung der Reifegradanalyse | 148 | ||
| 8.3?Den Reifegrad des IT-Security-Prozesses ermitteln | 150 | ||
| 8.3.1?Definition des IT-Security-Reifegrad-Levels?0: Initial | 151 | ||
| 8.3.2?Definition des IT-Security-Reifegrad Level?1: wiederholbar | 152 | ||
| 8.3.3?Definition des IT-Security-Reifegrad-Levels?2: definiert | 153 | ||
| 8.3.4?Definition des IT-Security-Reifegrad-Levels?3: gemanagt | 154 | ||
| 8.3.5?Definition des IT-Security-Reifegrad-Levels?4: optimiert | 155 | ||
| 8.4?Durch eine kontinuierliche Reifegradmessung das IT-Risiko minimieren | 156 | ||
| 8.4.1?Gesamtheitliche Betrachtung der Perspektiven | 157 | ||
| 8.4.2?Perspektive Business | 158 | ||
| 8.4.3?Perspektive Organisation und IT | 160 | ||
| 8.5?Fazit | 162 | ||
| 9 Der Chief Information Security Officer in?der?Praxis | 163 | ||
| Andreas Reisch | 163 | ||
| 9.1?Einleitung | 163 | ||
| 9.2?Business und IT, woher?–?wohin?–?mit?wem? | 164 | ||
| 9.3?Wozu gibt es nun den CISO? | 165 | ||
| 9.4?Die persönliche Verantwortung des CISO | 166 | ||
| 9.5?Verantwortung des Unternehmens | 168 | ||
| 9.6?Das ISMS | 169 | ||
| 9.7?Culture, Communication & Awareness | 170 | ||
| 9.8?Assessments | 172 | ||
| 9.9?Approvals und Information Security Consulting | 173 | ||
| 9.10?Information Security Consulting | 175 | ||
| 9.11?Lohnt sich das SOC? | 176 | ||
| 9.12?IS-Operations | 177 | ||
| 9.13?Fazit | 178 | ||
| 10 Irgendwas ist immer – Informationssicherheit aus Sicht des CISO der?Allianz Technology | 179 | ||
| Fabian Topp | 179 | ||
| 10.1?Einleitung | 179 | ||
| 10.2?Vernetzung – hilf mir, es selbst zu tun | 181 | ||
| 10.3?Personal – die schlechten sind?die?teuersten Mitarbeiter | 183 | ||
| 10.4?No Risk (no Privacy, no Audit, …), no Fun | 187 | ||
| 10.4.1?Organisation ist ein Mittel, die Kräfte des Einzelnen zu?vervielfältigen | 188 | ||
| 10.4.2?Mehr als die Summe seiner Teile | 190 | ||
| 10.5?Ende gut, alles gut? | 191 | ||
| 11 Entwicklung sicherer?Software | 193 | ||
| Nicolai Kuntze, Hagen Lauer | 193 | ||
| 11.1?Einleitung | 193 | ||
| 11.2?Vorgehensmodelle der Softwareentwicklung | 195 | ||
| 11.3?Secure Development Lifecycles | 197 | ||
| 11.4?Requirements Engineering | 198 | ||
| 11.5?Architektur und Entwurf | 199 | ||
| 11.6?Implementierung | 200 | ||
| 11.7?Coding-Standards | 200 | ||
| 11.8?Wahl der Programmiersprache | 202 | ||
| 11.9?Tests | 204 | ||
| 11.10?Code Reviews | 204 | ||
| 11.11?Static Code Analysis | 205 | ||
| 11.12?Formale Analyse | 205 | ||
| 11.13?Validierung | 206 | ||
| 11.14?Maintenance | 206 | ||
| 11.15?Die wichtigsten Punkte in Kürze | 208 | ||
| 11.16?Literatur | 208 | ||
| 12 Cybersicherheit in?Produktion, Automotive und intelligenten Gebäuden | 209 | ||
| Marko Schuba, Hans Höfken | 209 | ||
| 12.1?Einleitung | 209 | ||
| 12.1.1?Automatisierungstechnik | 210 | ||
| 12.1.2?Spezifische Anforderungen der Automatisierungstechnik | 212 | ||
| 12.1.3?Spezifische Eigenschaften der Automatisierungstechnik | 213 | ||
| 12.2?Schöne neue Welt – das?Internet?der?Dinge | 215 | ||
| 12.2.1?Internet der Dinge (IoT) | 216 | ||
| 12.2.2?IoT-Chancen für die Automatisierungstechnik | 216 | ||
| 12.2.3?IoT-Risiken für die Automatisierungstechnik | 217 | ||
| 12.3?Was läuft schief? | 217 | ||
| 12.3.1?Zu viel Vertrauen in andere | 217 | ||
| 12.3.2?Zu wenig Management-Fokus | 218 | ||
| 12.3.3?Sicherheits-Features zu teuer oder nicht genutzt | 218 | ||
| 12.3.4?Es ist noch nie etwas passiert – und das bleibt auch so | 219 | ||
| 12.3.5?Never change a running system | 219 | ||
| 12.3.6?Sensibilisierung und Weiterbildung zu teuer/aufwendig | 220 | ||
| 12.4?Was ist zu tun? | 221 | ||
| 12.4.1?Cybersicherheit allgemein | 221 | ||
| 12.4.2?Cybersicherheit in der Automatisierung | 221 | ||
| 12.5?Praxisbeispiel: Einführung von Cybersicherheit in der Produktion (Orientierung?an?ISA/IEC?62443) | 225 | ||
| 12.5.1?Audit | 225 | ||
| 12.5.2?Festlegen eines Sicherheitslevels | 226 | ||
| 12.5.3?Risikobeurteilung | 226 | ||
| 12.5.4?Defense in Depth | 227 | ||
| 12.5.5?Zonierung | 228 | ||
| 12.5.6?Patchmanagement | 229 | ||
| 12.5.7?Dienstleister | 231 | ||
| 12.6?Zusammenfassung und Fazit | 232 | ||
| 12.7?Literatur | 232 | ||
| 13 Edge Computing: Chancen und Sicherheitsrisiken | 235 | ||
| Marcel Winandy | 235 | ||
| 13.1?Einleitung | 235 | ||
| 13.2?Was ist Edge Computing? | 237 | ||
| 13.2.1?Das Internet der Dinge | 237 | ||
| 13.2.2?Von der Cloud zur Edge | 238 | ||
| 13.2.3?Impulsgeber für IoT Edge Computing | 240 | ||
| 13.3?Chancen und Sicherheitsrisiken | 241 | ||
| 13.3.1?Eröffnung neuer Möglichkeiten durch IoT Edge Computing | 241 | ||
| 13.3.2?IoT Edge Computing bringt auch neue Sicherheitsrisiken | 243 | ||
| 13.4?Entwicklung sicherer Edge-Computing-Plattformen | 246 | ||
| 13.4.1?Security-by-Design-Prinzipien | 246 | ||
| 13.4.2?Privacy-by-Design-Prinzipien | 248 | ||
| 13.4.3?Spezielle Entwicklungsprinzipien für Edge Computing | 249 | ||
| 13.5?Technologien für sichere Edge?Computing-Plattformen | 250 | ||
| 13.5.1?Sicherheitskerne | 251 | ||
| 13.5.2?Trusted Execution Environments | 253 | ||
| 13.5.3?Kryptoagilität | 253 | ||
| 13.6?Die wichtigsten Punkte in Kürze | 254 | ||
| 13.7?Literatur | 255 | ||
| 14 IT-Sicherheit in?Vergabeverfahren | 257 | ||
| Jutta Pertenaïs | 257 | ||
| 14.1?Einleitung | 257 | ||
| 14.2?Vergabeverfahren in Deutschland | 258 | ||
| 14.2.1?Grundsätze und Aspekte | 259 | ||
| 14.2.2?Verfahrensarten | 262 | ||
| 14.2.3?Elektronische Vergabeplattformen | 265 | ||
| 14.3?IT-Sicherheit im Vergabeverfahren | 265 | ||
| 14.3.1?TOM im Vergabeverfahren | 265 | ||
| 14.3.2?Die Gestaltung der Vergabeunterlagen | 267 | ||
| 14.3.3?Die Planung des Vergabeverfahrens | 268 | ||
| 14.3.4?Die Verfahrensdurchführung | 270 | ||
| 14.3.5?Die elektronische Kommunikation | 270 | ||
| 14.3.6?Der Umgang mit Verschlusssachen | 271 | ||
| 14.4?Kennzeichnen von Geschäftsgeheimnissen | 272 | ||
| 14.5?Rechtschutzmöglichkeiten | 274 | ||
| 14.6?Strafbarkeit im Vergabeverfahren | 275 | ||
| 14.7?Bietertipps zum Umgang mit?Vergabestellen und?zur?Erstellung?von?Angeboten | 276 | ||
| 14.8?Die wichtigsten Punkte in Kürze | 276 | ||
| 14.9?Literatur | 277 | ||
| 15 Sicherheit in?der?Cloud | 279 | ||
| Christoph Skornia | 279 | ||
| 15.1?Einleitung | 279 | ||
| 15.2?Nutzungsmodelle | 280 | ||
| 15.2.1?Servicemodelle | 280 | ||
| 15.2.2?Bereitstellungsmodelle | 281 | ||
| 15.3?Risiken des Cloud Computing | 282 | ||
| 15.3.1?Überblick | 282 | ||
| 15.3.2?Beispiele | 284 | ||
| 15.4?Sicherheitsmaßnahmen | 285 | ||
| 15.4.1?Sicherheitsrahmen | 285 | ||
| 15.4.2?Zugangskontrolle | 287 | ||
| 15.4.3?Datensicherheit | 288 | ||
| 15.4.4?Monitoring und Überwachung | 290 | ||
| 15.5?Zusammenfassung | 292 | ||
| 15.6?Die wichtigsten Punkte in Kürze | 293 | ||
| 15.7?Literatur | 293 | ||
| Herausgeber, Autorin und Autoren | 295 | ||
| Stichwortverzeichnis | 301 |