Handbuch IT-Sicherheit : Strategien, Grundlagen und Projekte

Handbuch IT-Sicherheit -- Strategien, Grundlagen und Projekte......Page 3
3 Zertifikat zur IT-Sicherheit......Page 5
5 Bedrohungen für Unternehmen......Page 6
7 Kryptografie: Entwicklung, Methoden und Sicherheit......Page 7
9 IT-Sicherheit aus Nutzersicht – Strategien für Sicherheit und Akzeptanz......Page 8
12 IT-Sicherheit durch Risikomanagement......Page 9
14 E-Signatur......Page 10
17 Sicherheit von Online-Banking: Anspruch und Wirklichkeit......Page 11
18 Bürgerfreundliches E-Government. Das Projekt OSCI-XMeld......Page 12
20 Von der IT-Sicherheitsanforderung zum Service Level Agreement......Page 13
Stichwortverzeichnis......Page 14
Vorwort......Page 15
1.1 Einleitung......Page 19
1.2 Verfahren zur Bewertung der Sicherheit......Page 22
1.2.1 Zwei Beispiele......Page 25
1.4 Verfahrensunabhängige Vorgehensweise......Page 30
1.4.2 Organisationsebene......Page 31
1.4.4 IuK-Infrastrukturebene......Page 32
1.5 Fazit......Page 35
2.1 Allgemeines......Page 37
2.2.1 Qualitätsmanagementsystem (QMS)......Page 38
2.2.2 IT-Sicherheitsmanagementsystem......Page 39
2.2.3 Informationssicherheits-Managementsysteme ( ISMS)......Page 46
3.2 Was ist IT-Grundschutz bzw. was ist eine ausreichende IT- Sicherheit?......Page 51
3.3 Wer kann zertifizieren? Wie wird man Auditor?......Page 53
3.3.1 Aufgaben des Auditors......Page 55
3.4.1 IT-Grundschutz-Zertifikat......Page 56
3.5 Wie kann ich meine erreichte IT- Sicherheit kundtun?......Page 63
3.6 Was sagt das Zertifikat aus?......Page 64
4.1 Motivation......Page 65
4.2.1 Risikoanalyse......Page 67
4.2.2 Schutzbedarfsfeststellung nach BSI-Methode......Page 68
4.3 Die SECMAN-Methode......Page 70
4.4.1 Rollenbasierte Zugriffskontrolle......Page 73
4.4.2 Das SECMAN-Programmsystem......Page 75
4.5 Zusammenfassung und Ausblick......Page 77
5 Bedrohungen für Unternehmen......Page 81
5.1 Ursachen für Bedrohungen......Page 82
5.3.1 Geheimdienste......Page 83
5.3.3 Hacker......Page 84
5.4 Vorsätzliche Manipulation......Page 85
5.4.1 Angriffe über das Internet......Page 86
5.4.2 Unerlaubter Zugriff auf Systeme......Page 87
5.4.3 Abhören und Modifikation von Daten......Page 88
5.4.4 Angriff auf die Verfügbarkeit von Systemen......Page 89
5.4.5 Missbrauch von Anwendungen......Page 90
5.4.6 Viren, Würmer und Trojanische Pferde......Page 91
5.5 Menschliches Fehlverhalten......Page 92
5.7 Technisches Versagen......Page 94
5.9 Zusammenfassung......Page 95
6.1 Einleitung......Page 97
6.2.1 Aspekte der IT-Sicherheit......Page 98
6.3.1 Einteilung der mittelständischen Unternehmen......Page 99
6.3.2 Gefahrenpotenzial......Page 100
6.3.3 Die Fähigkeit der Bewältigung von Sicherheitsgefahren......Page 101
6.3.4 Vorhandene Sicherheitslücken im Mittelstand......Page 103
6.4 Auswege aus dem mangelnden Sicherheitsbewusstsein......Page 104
6.4.1 Etablierung eines unternehmensweiten IT-Sicherheitsmanagements......Page 105
6.4.3 Erstellung und Weiterentwicklung eines Sicherheitskonzepts......Page 107
6.4.5 Sensibilisierung des Sicherheitsbewusstseins bei den Mitarbeitern......Page 108
6.4.8 Festlegung der Sicherheitspolitik für E-Mail-Nutzung......Page 110
6.5 Fazit......Page 111
7.1 Einleitung......Page 113
7.2 Monoalphabetische Verschlüsselung......Page 114
7.3 Polyalphabetische Verschlüsselung......Page 117
7.4 One Time Pad – die sicherste Verschlüsselung......Page 120
7.5 Enigma – mechanische Verschlüsselungsmaschine......Page 121
7.7 Grundlagen der binären Verschlüsselung......Page 122
7.7.1 Der DES – unsichere Grundlage heutiger Kommunikation......Page 124
7.7.2 Advanced Encryption Standard (AES) – der neue Maßstab......Page 128
7.7.3 One way hashes – Einwegfunktionen......Page 130
7.7.4 Ein neues (altes) Problem: Der Schlüsselaustausch......Page 132
7.8 Die Lösung der Zukunft: Quantenkryptografie ist sicher......Page 138
7.9 Zusammenfassung......Page 141
8.1 Einführung......Page 143
8.2.1 Einleitung......Page 144
8.2.2 Problemfelder bei der Verwendung biometrischer Daten......Page 145
8.2.3 Konkrete Empfehlungen beim Einsatz biometrischer Verfahren aus datenschutzrechtlicher Sicht......Page 147
8.3.1 Anwendung biometrischer Merkmale bei elektronischen Signaturen......Page 151
8.3.2 Verwendung einer qualifizierten elektronischen Signatur......Page 152
8.3.3 Strafrechtliche Relevanz......Page 153
8.3.5 Allgemeine Geschäftsbedingungen beim Einsatz biometrischer Verfahren......Page 154
8.3.6 Betrieblicher Einsatz, insbesondere: Betriebsvereinbarungen......Page 155
8.4 Verbrauchersicht......Page 158
8.5 Ausblick......Page 159
9 IT-Sicherheit aus Nutzersicht - Strategien für Sicherheit UND Akzeptanz......Page 163
9.1.1 Grundlagen zum Nutzerverhalten......Page 164
9.1.2 IT-Sicherheit im Handlungskalkül des Nutzers......Page 166
9.1.3 Konsequenzen für die akzeptanzorientierte Konzeption von IT-Sicherheit......Page 170
9.2 Lösungsansätze mit Praxisbeispielen......Page 171
9.2.1 Konzeptionelle Ansätze......Page 172
9.2.2 Kommunikative Ansätze......Page 176
9.2.3 Methode zur Ermittlung des optimalen nutzerorientierten Sicherheitskonzepts......Page 178
9.3 Zusammenfassung/Fazit......Page 179
10.1 Zur Einstimmung......Page 181
10.2.1 KES/KPMG-Sicherheitsstudie 2002......Page 182
10.2.2 Die silicon.de-Umfrage »IT-Sicherheit 2002«......Page 183
10.2.3 » Die Position von Unternehmen in Europa und Südafrika zum Thema »Cybercrime« – Eine Studie von EDS und IDC«......Page 184
10.3 Fazit: Das Bewusstsein bestimmt das Sein......Page 196
11.1 Einleitung......Page 197
11.1.2 Gesetze, Abkommen......Page 198
11.2 Basel II: »Risk-Management – Principles for Electronic Banking«......Page 199
11.2.3 Risikomanagement gegen juristische und Reputationsschäden......Page 200
11.3 Unterstützung des Sicherheitsmanagements durch Standards......Page 201
11.3.2 Was ist der Nutzen von Standards......Page 202
11.4.2 Umsetzung des dvg-Sicherheitsmanagements......Page 203
11.4.3 Zusammenarbeit mit dem Risikomanagement......Page 204
11.4.4 Praktische Erfahrungen......Page 205
11.5 Fazit......Page 207
12.1 Vorwort......Page 209
12.2 Einleitung......Page 210
12.3.1 Politik......Page 211
12.3.2 Strategie......Page 212
12.3.3 Organisation......Page 213
12.3.4 Prozess......Page 214
12.3.5 Dokumentation......Page 220
12.3.6 Schulung......Page 224
12.3.7 Kommunikation......Page 226
12.3.8 Auditierung......Page 227
12.4 Schlussbemerkung......Page 229
13.1 Einleitung......Page 231
13.2 Mit Sicherheit kein Märchen.........Page 232
14.1.1 Geschäftsverkehr in Zeiten des Internet......Page 241
14.1.3 Bedeutung der elektronischen Signatur......Page 242
14.2 Vorteile der elektronischen Signatur......Page 243
14.3 Ablauf des Signierens......Page 244
14.4 Anwendungsbereiche......Page 245
14.4.1 Freie Wirtschaft......Page 246
14.4.2 Öffentliche Verwaltung......Page 247
14.5.1 Historie E-Signatur......Page 249
14.5.2 EU-Richtlinie und deutsche Umsetzung......Page 250
14.5.4 Varianten der E-Signatur......Page 251
14.6.1 Analyse und Konzeption......Page 253
14.6.3 Antragstellung......Page 255
14.6.4 Weitere Funktionen beim Gebrauch der Signatur......Page 256
14.6.5 Biometrie......Page 257
14.6.6 Umsetzung......Page 258
14.7 Kritische Betrachtung......Page 259
14.8 Fazit......Page 260
15.1 Umfassende Sicherheitsrichtlinien schaffen eine solide Basis für elektronische Geschäftsprozesse......Page 263
15.1.1 Benutzer- und Rollenverwaltung......Page 264
15.1.2 Systeme sichern......Page 266
15.1.3 Vertrauen schaffen durch zuverlässige Authentifikation......Page 267
15.1.4 Sicherheitsmechanismen auf Anwendungsebene......Page 268
15.1.5 Herausforderung Sicherheit......Page 269
16.1 Einleitung......Page 271
16.2 Sicherheitsanforderungen......Page 272
16.3 Der Stand heute......Page 273
16.4 Standards und Anwendungen......Page 274
16.6 Virenschutz vs. Verschlüsselungstechnologien......Page 275
16.7 Einschätzung der Alternativen......Page 277
16.8 Stichwort Key Recovery......Page 279
16.10 Trojanische Pferde......Page 280
16.11 WYSIWYS: What You See Is What You Sign......Page 281
16.13 Evaluierung im Bereich der IT- Sicherheit......Page 282
16.14 Fazit......Page 283
17.1 Einleitung......Page 285
17.2.1 Angriffe auf den Client......Page 286
17.2.2 Abhören von Daten bei der Übertragung......Page 287
17.2.3 »Man In The Middle«-Attacke......Page 288
17.2.5 Angriffe auf das Netz der Bank......Page 289
17.3.1 Daten und Transaktionen......Page 290
17.3.2 Netzübergänge......Page 292
17.3.3 Backend-Systeme (inkl. Firewall) und Clientrechner......Page 293
17.4.1 PIN/TAN-Lösungen......Page 294
17.4.2 Homebanking Computer Interface (HBCI)......Page 297
17.5 Fazit......Page 299
18.1 Übersicht......Page 301
18.1.3 Verbindliche Festlegungen sind erforderlich......Page 302
18.1.6 Technik der Nachrichtenübermittlung......Page 303
18.1.7 Festlegung von STANDARDS, nicht Produkten......Page 304
18.1.10 Für beide Fragestellungen gibt es fertige Lösungen......Page 305
18.1.11 Übernahme von Lösungen ohne Produktabhängigkeit......Page 306
18.1.13 Die Aufgabe der OSCI-Leitstelle......Page 307
18.1.17 Die OSCI-Leitstelle vertreibt keine Produkte......Page 308
18.2.1 Pilotprojekt Online-Ummeldung in Bremen......Page 309
18.2.2 OSCI-Transport für die sichere Nachrichtenübermittlung......Page 315
18.2.3 OSCI-XMeld und OSCI-Transport sind Lösungen für den Einsatz im Meldewesen......Page 317
19.1 Einleitung......Page 319
19.2.2 Windows for SmartCard......Page 320
19.2.3 Zeitcontrols BasicCard......Page 321
19.2.4 Java Card......Page 322
19.3.2 Windows for SmartCards......Page 326
19.3.3 Zeitcontrols BasicCard......Page 327
19.3.4 Java Card......Page 328
19.4 Verfügbarkeit von Java-Card- Produkten......Page 329
19.5 Fazit......Page 330
20.1 Einleitung......Page 333
20.3 Allgemeine Anforderungen an die IT-Sicherheitseinrichtungen......Page 334
20.4 Systemverfügbarkeit......Page 335
20.4.1 Hochverfügbare Systeme......Page 336
20.4.2 Verfügbarkeit einer Funktion......Page 337
20.5.1 Zugriffsberechtigung auf (elektronische) Daten......Page 338
20.5.2 Differenzierung des Datenzugriffs......Page 339
20.5.6 Schutz der Daten während der Übertragung......Page 340
20.5.7 Definition der Schutzräume......Page 341
20.6 Datensicherung......Page 342
20.6.2 Lokalisierung der Daten......Page 343
20.7 IT-Management......Page 344
20.8 Service Level Management......Page 347
20.9 Service Level Agreement......Page 348
20.9.1 Begriffe und Inhalte......Page 349
20.9.2 Service Level und SLA-Inhalt......Page 350
A Abkürzungen......Page 353
Thomas Krampert......Page 357
Frank Bourseau......Page 358
Carsten Gerhardt......Page 359
Hansjörg Höltkemeier......Page 360
Henryk Konhäuser......Page 361
Thomas Mai......Page 362
Sachar Paulus......Page 363
Frank Schipplick......Page 364
Edzard van Hülsen......Page 365
Daniel Wirth......Page 366
I......Page 367
Z......Page 368
Ins Internet: Weitere Infos zum Buch, Downloads, etc.......Page 0
© Copyright......Page 369