Informationssicherheit und Datenschutz (eBook)

Handbuch für Praktiker und Begleitbuch zum T.I.S.P.

(Autor)

eBook Download: EPUB
2024 | 4. Auflage
906 Seiten
dpunkt (Verlag)
978-3-98890-011-1 (ISBN)

Lese- und Medienproben

Informationssicherheit und Datenschutz -  Secorvo
Systemvoraussetzungen
44,99 inkl. MwSt
  • Download sofort lieferbar
  • Zahlungsarten anzeigen
Das umfassende Handbuch zu Informationssicherheit und Datenschutz - Ihr Grundlagenwerk zu Informationssicherheit und Datenschutz - Von Praktikern für Sie erstellt - Für Ihre Vorbereitung zum T.I.S.P.-Zertifikat (TeleTrusT Information Security Professional) Das Grundlagenwerk strukturiert das Basiswissen zu Informationssicherheit und Datenschutz in 32 aufeinander aufbauenden Kapiteln. • Aktualisierte und erweiterte Auflage Die 4. Auflage gibt dem Datenschutz mehr Raum: Zwei Kapitel behandeln die rechtlichen Aspekte (»Informationssicherheit und rechtliche Anforderungen«, »Datenschutzrecht«), dem Thema Datenschutzkonzept wird ein eigenes Kapitel gewidmet und zum Bereich Löschen und Entsorgen gibt es nun mit »Technisches Löschen und Vernichten« und »Datenschutzrechtliches Löschkonzept« ebenfalls zwei Kapitel. Die neuen Kapitel »Virtualisierung« und »Cloud Security« ergänzen den Themenkomplex Informationssicherheit. Grundlegend überarbeitet wurden die Kapitel »ISO 27001 und ISO 27002« und »Anwendungssicherheit«. Alle anderen Kapitel wurden auf den aktuellen Stand der Technik gebracht. • Von Praktikern für Praktiker »Informationssicherheit und Datenschutz« stammt aus der Feder von Praktikern - alle mitwirkenden Autoren sind Security Consultants mit gemeinsam über 250 Jahren Berufserfahrung in der Informationssicherheit und im Datenschutz. • Begleitbuch zum T.I.S.P. Der Band eignet sich auch als Begleitbuch zur T.I.S.P.-Schulung, die mit dem Zertifikat »Tele-TrusT Information Security Professional« abgeschlossen werden kann. Er deckt nicht nur alle prüfungsrelevanten Inhalte ab, sondern lehnt sich auch an die Struktur der T.I.S.P.-Schulung an.

Christian Blaicher, Milan Burgdorf, Dirk Fox, Stefan Gora, Volker Hammer, Kai Jendrian, Hans-Joachim Knobloch, Jannis Pinter, Friederike Schellhas-Mende, Jochen Schlichting

Christian Blaicher, Milan Burgdorf, Dirk Fox, Stefan Gora, Volker Hammer, Kai Jendrian, Hans-Joachim Knobloch, Jannis Pinter, Friederike Schellhas-Mende, Jochen Schlichting

1Aufgaben und Ziele der Informationssicherheit


Einleitung


Viele Trends verstärken die Integration unternehmensinterner Abläufe in die Informationstechnik: von der Einbindung von Kunden und Partnern in die eigenen Prozesse über mobile Anwendungen, der verstärkten Nutzung und Verzahnung von Cloud-Diensten bis hin zu Industrie 4.0 und vielfältigen Anwendungen im Internet of Things. Damit wächst auch die Abhängigkeit der Geschäftsprozesse vom korrekten Funktionieren der Technik und der Verfügbarkeit integrer Datenbestände. Die in der Literaturliste am Ende dieses Kapitels aufgeführten Studien und Lageberichte zeigen, dass die Probleme der Informationssicherheit und die durch Angreifer verursachten Schäden kontinuierlich zunehmen.

Bei den Angriffen ist eine deutliche Kommerzialisierung feststellbar. Ging es vor vielen Jahren noch um »Ruhm« und »Ehre« der sogenannten Hacker1, so spielen inzwischen finanzielle Motive krimineller Institutionen die Hauptrolle. Mit Kryptotrojanern und Mining-Bots kann viel Geld verdient werden. Die Vermietung von Bots und die Erpressung von Onlineanbietern mit der Androhung verteilter Denial-of-Service-Angriffe sind keine Seltenheit. Zudem wird Wirtschaftsspionage gezielt über IT-Systeme und Anwendungen betrieben. Das unerlaubte Kopieren oder Versenden von Daten mit Geschäftsgeheimnissen oder die Auftragsentwicklung eines Trojaners, um einen Wettbewerber gezielt ausspähen zu können, sind durch reale Fälle belegt. Neben diesen primär wirtschaftlich motivierten Angriffen nehmen auch politisch motivierte Attacken in Form von »Cyber War« und »Cyber-Terrorismus« zu.

Um der hohen Abhängigkeit von der Informationstechnik, den modernen und vielfältigen Angriffsformen und den rechtlichen Vorgaben Rechnung zu tragen, muss das Thema Informationssicherheit im Unternehmen mit einer klaren Strategie angegangen und umgesetzt werden. Dies soll durch ein Informationssicherheitsmanagementsystem (ISMS) erreicht werden. Ohne ein ISMS bestehen große Risiken für die Werte und die Produktionsabläufe des jeweiligen Unternehmens.

Der erste Abschnitt dieses Kapitels gibt einen kurzen Überblick über die wichtigsten Aspekte eines ISMS. Anschließend werden im zweiten Abschnitt die grundlegenden Sicherheitsziele dargestellt, die häufig als Ausgangspunkt zur Auswahl von Sicherheitsmaßnahmen herangezogen werden. Diese Einleitung stellt damit zugleich den inhaltlichen Rahmen der T.I.S.P.-Kurse und der Prüfung für das T.I.S.P.-Zertifikat auf und soll den Einstieg ins Thema erleichtern.

1.1Aufgaben und Anforderungen eines ISMS


Ein Informationssicherheitsmanagementsystem (englisch: Information Security Management System) soll geordnete Prozesse zum Umgang mit den Problemstellungen der Informationssicherheit bereitstellen. Ein ISMS benötigt:

  • eine Informationssicherheitsorganisation, mit Rollen und Ressourcen sowie Regelungen zur Verantwortung,
  • definierte Prozesse, in denen Risiken erfasst und bewertet werden, unter anderem ein Risikomanagement mit Analyse von Gefährdungen und Angreifermodellen sowie ein Sicherheitskonzept, in dem dokumentiert wird, welche Maßnahmen ergriffen werden sollen, um ein angestrebtes Sicherheitsniveau zu erreichen,
  • Maßnahmen, mit denen die Einhaltung der Sicherheitsvorgaben überprüft wird.

Eine Übersicht zu den Elementen eines ISMS geben die folgenden Abschnitte, weitere Details zum Aufbau und Betrieb eines ISMS sind in Kapitel 8 und unter dem Blickwinkel des IT-Grundschutzes in Kapitel 7 dargestellt.

1.1.1Risikomanagement

Die Möglichkeit eines Schadens wird als Risiko bezeichnet, wobei die Höhe des Risikos von der Wahrscheinlichkeit des Eintritts und der Schadenshöhe bestimmt wird. Risiken sollen für ein Unternehmen nur in dem Umfang bestehen, der als tragbar bewertet wird. Um zu wissen, welche Risiken für ein Unternehmen bestehen, muss identifiziert und bewertet werden,

  • welche Gefährdungen zu Störfällen führen können,
  • welche Sicherheitsmaßnahmen die Wahrscheinlichkeit von Störfällen vermindern oder den Schaden begrenzen sollen und
  • welche Restrisiken verbleiben und vom Unternehmen getragen werden müssen.

Genau dies ist die Aufgabe des Risikomanagements: die unternehmensspezifische Bewertungsmethodik2 für die Faktoren von Risiken und für »tragbare« Risiken zu entwickeln sowie den Analyseprozess umzusetzen und laufend zu überwachen. Im Mittelpunkt dazu stehen die Bestandsaufnahme der Unternehmenswerte, die Zusammenstellung der Gefährdungen, durch die Schäden der Unternehmenswerte auftreten können und die Bewertung der gewonnenen Ergebnisse.

Als Grundlage für das Risikomanagement mit Bezug zu Informationen und IT-Systemen sind insbesondere die folgenden Fragestellungen zu klären:

  • Welche Werte hat das Unternehmen oder die Institution? Mit welchen Geschäftsprozessen wird Umsatz und Rendite erwirtschaftet? Welches sind die wichtigsten Geschäftsprozesse?
  • Welche IT-Ressourcen sind zur Unterstützung dieser Geschäftsprozesse erforderlich? Welche Systeme und Anwendungen werden benötigt? Welche Möglichkeiten bestehen, die Prozesse mit eingeschränkter oder ohne IT-Unterstützung weiterzuführen?
  • Welche Schwachstellen sind in den Architekturen, Systemen und Anwendungen vorhanden, die zu Störungen führen können? Welchen weiteren Gefährdungen sind die Prozesse ausgesetzt? Wie können diese erfasst und systematisiert werden?
  • Welche Schäden können auftreten, wenn die verschiedenen Gefährdungen eintreten? Wie wirken sich Störungen bspw. auf Produktion, Vertrieb, Umsatz, Kundenbindung oder öffentliches Ansehen der Organisation aus?

Im Rahmen der Bewertung der Risiken wird entschieden, welche Risiken durch Gegenmaßnahmen vermindert werden sollen und welche tragbar sind. Gegebenenfalls können Risiken auch externalisiert werden, bspw. durch vertragliche Regelungen mit Lieferanten oder durch Versicherungsverträge.

Veränderungen im Unternehmen, die Umgestaltung von Geschäftsprozessen und die Entwicklungsdynamik der Informationstechnik führen dazu, dass sich die Risiken und die Wirksamkeit der Sicherheitsmaßnahmen im Laufe der Zeit verändern. Die Risikoanalyse für ein Unternehmen kann deshalb nicht eine einmalige Bestandsaufnahme sein, sondern muss als regelmäßig wiederkehrender Prozess organisiert werden. Ein definierter Risikomanagementprozess soll erreichen, dass Risiken möglichst frühzeitig identifiziert und im Verlauf der Zeit beobachtet werden. Je früher Risiken festgestellt und bewertet werden können, desto eher kann von den Entscheidungsträgern festgelegt werden, wie mit ihnen umgegangen werden soll.

1.1.2Gefährdungen erkennen und bewerten

Der zentrale Faktor für die Wahrscheinlichkeit von Störfällen im Bereich der Informationsverarbeitung sind Gefährdungen. Beschäftigt man sich mit der Frage, in welcher Form informationsverarbeitende Prozesse gefährdet sind, können vielerlei Möglichkeiten identifiziert werden, durch die die technischen Prozesse gestört, Daten verändert oder vernichtet sowie Informationen unbefugt eingesehen werden können.

Zu den unbeabsichtigten Ursachen von Schäden gehören insbesondere Feuer, Wassereinbruch oder Hardwaredefekte (z. B. Festplattenausfälle). Auch die Fehlbedienung durch Benutzer oder Administratoren können dieser Kategorie zugeordnet werden. Für Gefährdungen aus Angriffsszenarien müssen die Möglichkeiten absichtlicher Manipulationen und Störungen betrachtet werden, hierbei können sowohl Außentäter als auch Innentäter eine Rolle spielen. Für die Bewertung von Risiken sind daher Angreifermodelle auszuwählen, die für die Organisation relevant erscheinen. Die Angreifer können ihre Ressourcen einsetzen, um Angriffsszenarien zu realisieren, bspw. das Eindringen in IT-Systeme, das Abhören von Kommunikationsverbindungen oder gezielte Angriffe gegen einen Prozess. Details zu Angriffsmethoden sind unter anderem in Kapitel 5 dargestellt.

Auch Schwachstellen in der Software dienen Angreifern als Ansatzpunkte. Bei diesen Schwachstellen handelt es sich oft um konzeptionelle Fehler, wie fest implementierte Kennwörter, schwache Kryptografie oder die unzulängliche Prüfung von Benutzereingaben.

Schwachstellen aufgrund von Fehlern in der Software werden vom Hersteller des Produkts verursacht und können vom Betreiber kaum vermieden werden. Umso wichtiger ist es, für...

Erscheint lt. Verlag 5.3.2024
Verlagsort Heidelberg
Sprache deutsch
Themenwelt Mathematik / Informatik Informatik Netzwerke
Schlagworte Authentifizierung • Berechtigungsmanagement • CERT • Datenschutz • Daten-Sicherheit • DSGVO • Information Security • Informationssicherheitsmanagement • ISO 27001 • ISO 27002 • IT-Grundschutz • IT-Security • Kryptografie • Netzwerksicherheit • PKI • Sicherheitsvorfall • VPN
ISBN-10 3-98890-011-7 / 3988900117
ISBN-13 978-3-98890-011-1 / 9783988900111
Haben Sie eine Frage zum Produkt?
EPUBEPUB (Wasserzeichen)
Größe: 10,2 MB

DRM: Digitales Wasserzeichen
Dieses eBook enthält ein digitales Wasser­zeichen und ist damit für Sie persona­lisiert. Bei einer missbräuch­lichen Weiter­gabe des eBooks an Dritte ist eine Rück­ver­folgung an die Quelle möglich.

Dateiformat: EPUB (Electronic Publication)
EPUB ist ein offener Standard für eBooks und eignet sich besonders zur Darstellung von Belle­tristik und Sach­büchern. Der Fließ­text wird dynamisch an die Display- und Schrift­größe ange­passt. Auch für mobile Lese­geräte ist EPUB daher gut geeignet.

Systemvoraussetzungen:
PC/Mac: Mit einem PC oder Mac können Sie dieses eBook lesen. Sie benötigen dafür die kostenlose Software Adobe Digital Editions.
eReader: Dieses eBook kann mit (fast) allen eBook-Readern gelesen werden. Mit dem amazon-Kindle ist es aber nicht kompatibel.
Smartphone/Tablet: Egal ob Apple oder Android, dieses eBook können Sie lesen. Sie benötigen dafür eine kostenlose App.
Geräteliste und zusätzliche Hinweise

Buying eBooks from abroad
For tax law reasons we can sell eBooks just within Germany and Switzerland. Regrettably we cannot fulfill eBook-orders from other countries.

Mehr entdecken
aus dem Bereich
Das umfassende Handbuch

von Martin Linten; Axel Schemberg; Kai Surendorf

eBook Download (2023)
Rheinwerk Computing (Verlag)
20,93
das Praxisbuch für Administratoren und DevOps-Teams

von Michael Kofler

eBook Download (2023)
Rheinwerk Computing (Verlag)
27,93