Wenn Sie eine Prüfung zur Informationssicherheit ablegen oder eine Berufslaufbahn in der Informationssicherheit einschlagen wollen, müssen Sie die technischen Grundlagen wie Verschlüsselung verstehen. Sie müssen aber auch die rechtliche Seite - Datenschutz-, Melde- und Dokumentationspflichten - und geeignete organisatorische Maßnahmen im Unternehmen kennen. Dieses Buch ist drei Bücher in einem: Es beschreibt für Studierende, Datenschutzbeauftragte, IT-Administratoren und allgemein Interessierte gleichermaßen die regulatorischen Vorgaben in Deutschland und der EU. Es geht auf die verschiedenen organisatorischen Aspekte von Informationssicherheit im Unternehmen ein und liefert Ihnen darüber hinaus auch das technische Grundlagenwissen. Die Inhalte werden so präsentiert, dass sie im Wesentlichen ohne spezielles Vorwissen verständlich sind.
Inhaltsverzeichnis
Ü ber die Autoren 7
Einleitung 19
Ü ber dieses Buch 19
Tö richte Annahmen ü ber den Leser 19
Was Sie nicht lesen mü ssen 20
Wie dieses Buch aufgebaut ist 20
Teil I: Informationssicherheit, IT-Sicherheit und Datenschutz 20
Teil II: Rechtliche Anforderungen 21
Teil III: Organisation der Informationssicherheit 21
Teil IV: Bausteine der technischen IT-Sicherheit 22
Teil V: Lö sungen und Umsetzungen 22
Teil VI: Der Top-Ten-Teil 22
Symbole, die in diesem Buch verwendet werden 23
Konventionen in diesem Buch 23
Wie es weitergeht 24
Teil I: Informationssicherheit, IT-Sicherheit und Datenschutz 25
Kapitel 1: Irrtü mer und hä ufige Fehler 27
Internet-Sicherheit 27
Mobile und Cloud-Sicherheit 29
Endgerä tesicherheit 31
E-Mail-Sicherheit 32
Kapitel 2: Grundlagen der Informationssicherheit 35
Was ist Informationssicherheit? 35
Was ist IT-Sicherheit? 35
Was ist Cybersicherheit? 38
Klassische Schutzziele der Informationssicherheit 39
Verfü gbarkeit 39
Integritä t 41
Vertraulichkeit 42
Authentizitä t 42
Verantwortlichkeit 42
Benutzbarkeit 43
Weitere Schutzziele 44
Kapitel 3: Bausteine der Informationssicherheit 47
Risikomanagement 48
Meldepflichten bei Vorfä llen 51
Einhaltung von Sicherheitsstandards 54
Nachweis der Einhaltung durch Audits 55
Kapitel 4: Datenschutz und technisch-organisatorische Maß nahmen 59
Teil II: Rechtliche Anforderungen 63
Kapitel 5: Die DS-GVO und das BDSG 65
Die acht Gebote des Datenschutzes (BDSG a F.) 65
Stand der Technik 67
Implementierungskosten 70
Gewä hrleistungsziele des Datenschutzes 73
Kapitel 6: Gesetze zur IT-Sicherheit 75
NIS-Richtlinie (EU) 75
Rechtsakt zur Cybersicherheit (EU) 77
eIDAS-Verordnung (EU) 79
Single-Digital-Gateway-(SDG-)Verordnung (EU) 81
BSI-Gesetz (D) 81
BSI-Kritisverordnung (D) 85
Geschä ftsgeheimnisgesetz (D) 86
Onlinezugangsgesetz (D) 87
Sozialgesetzbuch V (D) 88
TKG, TMG und TTDSG (D) 92
Kapitel 7: ISO-Normen 95
ISO/IEC 270xx Informationssicherheit 96
Anforderungsnormen 98
Leitfä den 100
ISO/IEC 27701 Datenschutz 102
Kapitel 8: BSI und Grundschutz 105
IT-Grundschutz 105
BSI-Standards 106
IT-Grundschutz-Kompendium 108
Standard-Datenschutzmodell und IT-Grundschutz 113
Technische Richtlinien des BSI 115
Kapitel 9: Weitere Standards 119
Prozessorientierte Standards 119
VdS 10000: ISMS fü r KMU 120
ISIS12 wird CISIS12 122
TISAX 122
Finanzstandards 123
Vorgaben fü r die ö ffentliche Verwaltung 124
Technikorientierte Standards 125
Common Criteria 125
PCI-DSS 127
FIPS 129
ITIL 130
Kapitel 10: Technisch-organisatorische Maß nahmen (TOM) 131
Vertraulichkeit 131
Zutrittskontrolle, physische und umgebungsbezogene Sicherheit 132
Zugangskontrolle, Zugangssteuerung 133
Zugriffskontrolle 134
[Trennungskontrolle], Nichtverkettbarkeit 135
Pseudonymisierung 137
Verschlü sselung, Kryptografie 139
Integritä t 141
Eingabekontrolle 141
Digitale Signatur, Hashfunktionen 142
Weitergabekontrolle, Kommunikationssicherheit 143
Lö schkontrolle ('Recht auf Vergessen werden') 144
Verfü gbarkeit und Belastbarkeit 145
Verfü gbarkeitskontrolle und Informationssicherheitsaspekte
beim Business Continuity Management 146
Auftragskontrolle, Lieferantenbeziehungen 147
Ü berprü fung, Bewertung und Evaluierung der Wirksamkeit der TOM 149
Teil III: Organisation der Informationssicherheit 153
Kapitel 11: Organisation im Unternehmen 155
Verantwortung fü r die Informationssicherheit 155
Organisatorische Strukturen 155
Geschä ftsleitung 156
Chief Information Officer/Chief Digital Officer 156
Informationssicherheitsbeauftragter 156
IT-Leitung 157
Computer Emergency Response Team (CERT) 158
Informationssicherheitsausschuss 159
Richtlinien und Regeln 159
Kapitel 12: Der Deming-Kreis (PDCA) und die stä ndige Verbesserung 163
Kapitel 13: Risikoanalyse und Kronjuwelen 165
Klassifizierung der Daten 165
Klassifizierung der Systeme 166
Bedrohungsanalyse 168
Metriken und Bewertung 169
Kapitel 14: Grundlegende Dokumentation 171
Asset- und Konfigurationsmanagement 174
Nutzermanagement und Zugriffskontrolle 180
Kapitel 15: Meldepflichten und Vorfallsmanagement 185
Datenschutzvorfä lle 185
IT-Sicherheitsvorfä lle 187
Angriffserkennung 189
Security Information and Event Management (SIEM) 190
Dokumentation von Vorfä llen und Forensik 191
Sharing von Threat-Informationen 192
Kapitel 16: Awareness und Beschä ftigte 197
Teil IV: Bausteine der technischen IT-Sicherheit 201
Kapitel 17: Grundlagen der Verschlü sselung 203
Symmetrische Verschlü sselung 208
Betriebsarten der Blockverschlü sselung 210
Asymmetrische Verschlü sselung 214
Diffie-Hellman-Merkle-Schlü sselaustausch 214
Das RSA-Verfahren 215
Hybride Verschlü sselung 220
Hashfunktionen 221
Digitale und elektronische Signaturen 225
Elliptische-Kurven-Kryptografie 227
DLIES und ECIES 229
Vertrauensmodelle 229
Persö nlicher Kontakt 232
Zertifizierungsstellen 233
Web of Trust 235
Trust on First Use 237
Kryptograpische Forschung 237
Homomorphe Verschlü sselung 238
Post-Quantenkryptografie 240
Kapitel 18: Biometrie 243
Hautleisten 246
Venenmuster 247
Iris-Scan 247
Gesichtserkennung 247
Kapitel 19: Chipkarten und Secure Hardware Token 249
Einmalpasswort-Token 252
Teil V: Lö sungen und Umsetzungen 255
Kapitel 20: Backup & Co 257
Datensicherung 258
Kontrollfragen 261
Aufbewahrungspflichten 262
Archivierung 263
Redundanz 264
Kapitel 21: Netzwerksicherheit 267
Grundlagen 269
Sicherheitserweiterungen von Netzwerkprotokollen 270
DNS, Anwendungsschicht 270
HTTPS, SMTPS, Anwendungsschicht 272
TCP und UDP, Transportschicht 272
IP und IPsec, Netzwerkschicht 276
ARP und 802. 1X, Verbindungsschicht 277
Netzwerkzugang 278
Netzwerksegmentierung 280
Denial-of-Service-Angriffe 281
Anonymisierung in Netzwerken 283
Funknetze 284
WLAN 284
Bluetooth 286
NFC, RFID 288
Das sichere Internet der Zukunft 290
Kapitel 22: Firewalls 291
Grundlagen von Firewalls 291
Packet Filter 294
Stateful Inspection Firewall 294
Network Address Translation (NAT) 295
Proxy-Server und Application Layer Firewall 296
NG Firewall und Deep Packet Inspection 297
Firewall in der Cloud 298
Kapitel 23: Verschlü sselung im Einsatz 301
Daten in Ruhe 301
Datenträ gerverschlü sselung 304
Partitionsverschlü sselung 307
Containerverschlü sselung 307
Dateiverschlü sselung 308
Daten in Bewegung 309
Transportverschlü sselung 309
E-Mail-Verschlü sselung 311
Virtuelle private Netzwerke (VPN) 311
Kapitel 24: Monitoring 319
Metriken der IT-Sicherheit 319
Angriffserkennungssysteme 322
Angriffserkennungssysteme (netzwerkbasiert) 323
Angriffserkennungssysteme (hostbasiert) 324
Managed Security 325
Schadsoftware 326
Abwehrstrategien 327
Analyse von Schadsoftware 328
Kapitel 25: Patch Management 331
Kapitel 26: Zugangssicherung und Authentisierung 335
Passwö rter im Unternehmen 335
Zwei-Faktor-Authentisierung 338
Biometrie 339
Single Sign-on 340
Kapitel 27: Anwendungssicherheit 343
Chat 343
E-Mail 344
Verschlü sselung 345
Allgemeine Sicherheit 346
Videokonferenzen 347
Multipoint Control Unit 347
Selective Forwarding Unit 348
Peer to Peer 348
Webanwendungen 349
Datenbanken 351
Cloud 352
Speichern in der Cloud 353
Verarbeiten in der Cloud 353
Blockchain 354
Kü nstliche Intelligenz 356
Teil VI: Der Top-Ten-Teil 359
Kapitel 28: Zehn Maß nahmen fü r den technischen Basisschutz 361
Backup 361
Schutz vor Schadsoftware 361
Netzwerkschutz 361
Firewall 362
Patch-Management 362
Verschlü sselt speichern 362
Verschlü sselt kommunizieren 362
Passwort-Management 362
Biometrie und Zwei-Faktor-Authentifikation 362
Spam-Abwehr 363
Kapitel 29: Zehn Maß nahmen fü r den organisatorischen Ü berbau 365
Ü bernahme der Verantwortung 365
Leitlinie zur Informationssicherheit 365
Richtlinien zur Informationssicherheit 365
Definition und Besetzung der Rollen 366
Definition der fundamentalen Prozesse 366
Risikobetrachtung 366
Klassifizierung der Daten und Systeme 366
Awareness 366
Krisenmanagement 366
Regelmä ß ige Ü berprü fung 367
Literaturverzeichnis 369
Abbildungsverzeichnis 373
Stichwortverzeichnis 379
