R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
 
 
 
Beauftragte für IT-Sicherheit und Informationssicherheit (2024), S. VII 
Inhaltsverzeichnis 
Florian Deusch, Tobias Eggendorfer 

VII Inhaltsverzeichnis

  1. Vorwort
  2. Abkürzungsverzeichnis
  3. 1. Einführung und Grundlagen
    1. 1.1. Ziele dieses Buchs
    2. 1.2. Was dieses Buch enthält
    3. 1.3. Was sind ISB/IT-SiBe?
    4. 1.4. Überblick über die Aufgaben
    5. 1.5. Wie wird man ISB/IT-SiBe?
    6. 1.6. Erwartungen an die Beauftragten
  4. 2. Technische Grundlagen
    1. 2.1. Betriebssicherheit und Sicherheit gegen Angriffe
    2. 2.2. Ziele der IT-Sicherheit
      1. 2.2.1. Vertraulichkeit
      2. 2.2.2. Integrität
      3. 2.2.3. Authentizität
      4. 2.2.4. Authentifizierung
      5. 2.2.5. Nicht-Abstreitbarkeit
      6. 2.2.6. Zutrittskontrolle
      7. 2.2.7. Zugangskontrolle
      8. 2.2.8. Zugriffskontrolle
      9. 2.2.9. Schutz der Privatsphäre
      10. 2.2.10. Verfügbarkeit
      11. 2.2.11. Kontroll- und Ausblickfragen
    3. 2.3. Technische Maßnahmen
      1. 2.3.1. Verschlüsselung
        1. 2.3.1.1. Steganographie
          1. 2.3.1.1.1. Covert Channels
          2. 2.3.1.1.2. Polyglotte Dateien
        2. 2.3.1.2. Kryptographie
          1. 2.3.1.2.1. Symmetrische Kryptographie
            1. 2.3.1.2.1.1. Cäsar Schiebealgorithmus und vergleichbare Verfahren
            2. 2.3.1.2.1.2. Vignère und Co.
            3. 2.3.1.2.1.3. Moderne Verfahren wie DES, 3DES und AES
            4. 2.3.1.2.1.4. Zwischenfazit
          2. 2.3.1.2.2. Asymmetrische Kryptographie
            1. 2.3.1.2.2.1. Diskrete Exponentation und diskreter Logarithmus
            2. 2.3.1.2.2.2. Primfaktorzerlegung
            3. 2.3.1.2.2.3. RSA als Beispiel
            4. 2.3.1.2.2.4. Zwischenfazit RSA
            5. 2.3.1.2.2.5. Post-Quantum – Elliptic Curve
            6. 2.3.1.2.2.6. Fazit asymmetrische Kryptographie
          3. 2.3.1.2.3. Hybride Kryptographie
          4. 2.3.1.2.4. Homomorphe Verschlüsselung
          5. 2.3.1.2.5. Key-Exchange mit Diffie Hellman
            1. 2.3.1.2.5.1. Mathematischer Hintergrund
            2. 2.3.1.2.5.2. Praktische Bedeutung
            3. 2.3.1.2.5.3. Praxisbeispiel
          6. 2.3.1.2.6. Perfect Forward Secrecy
            1. 2.3.1.2.6.1. Exkurs: Heartbleed
            2. 2.3.1.2.6.2. Perfect Forward Secrecy und Heartbleed
          7. 2.3.1.2.7. Kryptographie Buzzword-Bingo
            1. 2.3.1.2.7.1. Ende-Zu-Ende- und Transportverschlüsselung
            2. 2.3.1.2.7.2. Transportverschlüsselung und Plattenverschlüsselung wären Vollverschlüsselung
            3. 2.3.1.2.7.3. ETSI Enterprise Transport Security
            4. 2.3.1.2.7.4. Staatliche Eingriffe in Verschlüsselung
          8. 2.3.1.2.8. Relevante Implementierungen
            1. 2.3.1.2.8.1. FileVault & Co
            2. 2.3.1.2.8.2. TrueCrypt und VeraCrypt
        3. 2.3.1.3. Prüfsummen
          1. 2.3.1.3.1. Einfache Prüfsummen
          2. 2.3.1.3.2. Hashing
          3. 2.3.1.3.3. Kryptographisch sichere Hashes
          4. 2.3.1.3.4. Hash-Chains und Block-Chains
          5. 2.3.1.3.5. Robustes Hashing
        4. 2.3.1.4. Digitale Signatur
          1. 2.3.1.4.1. Technische Umsetzung
          2. 2.3.1.4.2. Grenzen digitaler Signaturen
          3. 2.3.1.4.3. Digitale Signaturen in der EU
            1. 2.3.1.4.3.1. Einfache elektronische Signatur
            2. 2.3.1.4.3.2. Fortgeschrittene elektronische Signatur
            3. 2.3.1.4.3.3. Qualifizierte elektronische Signatur
        5. 2.3.1.5. Zertifikate
          1. 2.3.1.5.1. Ziel: Vermeiden von Man-In-The-Middle-Angriffen
          2. 2.3.1.5.2. Certificate Authorities
          3. 2.3.1.5.3. Zertifikatsklassen
            1. 2.3.1.5.3.1. Domain Validated
            2. 2.3.1.5.3.2. Individual Validated und Organisation Validated
            3. 2.3.1.5.3.3. Extended Validation
          4. 2.3.1.5.4. eIDAS 2.0 und die Sicherheit
        6. 2.3.1.6. Implementierungen
          1. 2.3.1.6.1. SSL/TLS
          2. 2.3.1.6.2. PGP/GnuPG
          3. 2.3.1.6.3. S/MIME
          4. 2.3.1.6.4. SEPP-Mail/DATEV
          5. 2.3.1.6.5. TeamDrive, Wire & Co.
          6. 2.3.1.6.6. Praktische Anwendungs-FAQ
            1. 2.3.1.6.6.1. Was mache ich, wenn der Empfänger keinen Key hat?
            2. 2.3.1.6.6.2. Komplizierte Mathematik, also ist verschlüsseln kompliziert?
            3. 2.3.1.6.6.3. Muss ich verschlüsseln?
            4. 2.3.1.6.6.4. Was mache ich, wenn ein Mitarbeiter ausscheidet?
        7. 2.3.1.7. Fazit Kryptographie
      2. 2.3.2. Fehlererkennung und -behebung
        1. 2.3.2.1. Fehlererkennung
        2. 2.3.2.2. Fehlerbehebung
        3. 2.3.2.3. Fazit
      3. 2.2.3. Authentizität
      4. 2.3.3. Nicht-Abstreitbarkeit
      5. 2.3.4. Authentifizierung
        1. 2.3.4.1. Passwörter
          1. 2.3.4.1.1. Passwortkomplexität
          2. 2.3.4.1.2. Passwortregeln
          3. 2.3.4.1.3. Gültigkeitsdauer von Passwörtern
          4. 2.3.4.1.4. Compliance bei Passwörtern
          5. 2.3.4.1.5. Passwortspeicher
          6. 2.3.4.1.6. Alternativen
          7. 2.3.4.1.7. Zurücksetzen von Passwörtern
        2. 2.3.4.2. Biometrie
        3. 2.3.4.3. Besitz
        4. 2.3.4.4. One-Time-Password
        5. 2.3.4.5. Multifaktorauthentifizierung
        6. 2.3.4.6. WebAuthN und Fido2
        7. 2.3.4.7. Fazit Authentifizierung
      6. 2.3.5. Zutrittskontrolle
      7. 2.3.6. Zugriffskontrolle
        1. 2.3.6.1. Rollen- und Zugriffskonzepte
        2. 2.3.6.2. Beispiel Unix-Rechte
        3. 2.3.6.3. Beispiel ACL
        4. 2.3.6.4. Verschlüsselung als Zugriffskontrolle
      8. 2.3.7. Schutz der Privatsphäre
        1. 2.3.7.1. Pseudonymisierungsverfahren
        2. 2.3.7.2. Anonymisierungsverfahren für Daten
        3. 2.3.7.3. Anonymisierung im Internet
          1. 2.3.7.3.1. IPv4
          2. 2.3.7.3.2. IPv6
          3. 2.3.7.3.3. TOR
            1. 2.3.7.3.3.1. Zugriffe aus dem TOR-Netz als Sicherheitsrisiko?
            2. 2.3.7.3.3.2. TOR für die eigene Geheimhaltung
            3. 2.3.7.3.3.3. Funktionsweise und Grenzen
            4. 2.3.7.3.3.4. VPN-Anbieter und Open-Proxies als Alternativen?
      9. 2.3.8. Verfügbarkeit
        1. 2.3.8.1. Störungen der Verfügbarkeit
          1. 2.3.8.1.1. dDoS
            1. 2.3.8.1.1.1. Akzidentielle dDoS-Situationen
            2. 2.3.8.1.1.2. SYN-Flooding
            3. 2.3.8.1.1.3. Amplification-Angriffe
            4. 2.3.8.1.1.4. Fazit dDoS
          2. 2.3.8.1.2. Individuelle DoS-Angriffe
            1. 2.3.8.1.2.1. Erzeugen von Abstürzen
            2. 2.3.8.1.2.2. Angriffe auf Router
            3. 2.3.8.1.2.3. Reverse Tar Pit
            4. 2.3.8.1.2.4. Fazit Individuelle DoS-Angriffe
          3. 2.3.8.1.3. Sicherheitslücken
        2. 2.3.8.2. Maßnahmen zur Verfügbarkeit
          1. 2.3.8.2.1. Stromversorgung und Internetversorgung
          2. 2.3.8.2.2. Redundanz
          3. 2.3.8.2.3. Load-Balancing
          4. 2.3.8.2.4. Backups
          5. 2.3.8.2.5. RAID-Array
    4. 2.4. Schwachstellen und Angriffe
      1. 2.4.1. Ursachen von Schwachstellen
      2. 2.4.2. Typische Schwachstellen in Web-Anwendungen
        1. 2.4.2.1. HTML-Injection
        2. 2.4.2.2. Cross-Site-Scripting (XSS)
        3. 2.4.2.3. Vertrauen in Nutzereingaben
        4. 2.4.2.4. SQL-Injection
        5. 2.4.2.5. Remote Command Injection
        6. 2.4.2.6. Alte oder schwachstellenbehaftete Komponenten
        7. 2.4.2.7. Security Misconfiguration
        8. 2.4.2.8. Vorhersagbarkeit von Zufallszahlen
        9. 2.4.2.9. Fazit Schwachstellen in Web-Anwendungen
      3. 2.4.3. Typische Schwachstellen in compilierten Anwendungen
        1. 2.4.3.1. Buffer-Overflow
          1. 2.4.3.1.1. Programme Counter
          2. 2.4.3.1.2. Stack
          3. 2.4.3.1.3. Overflow
          4. 2.4.3.1.4. Ausnutzen des Overflows
          5. 2.4.3.1.5. Gegenmaßnahmen
        2. 2.4.3.2. Format-String-Vulnerability
          1. 2.4.3.2.1. Spezialitäten
          2. 2.4.3.2.2. Ausnutzen
          3. 2.4.3.2.3. Folgen
          4. 2.4.3.2.4. Gegenmaßnahmen
        3. 2.4.3.3. Off-By-One
        4. 2.4.3.4. Fazit Schwachstellen in compilierten Anwendungen
      4. 2.4.4. Typische Behauptungen von Herstellern
      5. 2.4.5. Gegenmaßnahme: Qualitätssicherung
        1. 2.4.5.1. Schulung
        2. 2.4.5.2. Coding Standards
        3. 2.4.5.3. Code-Reviews
        4. 2.4.5.4. Statische und dynamische Code-Analyse
        5. 2.4.5.5. Testing
        6. 2.4.5.6. Penetrationstest
        7. 2.4.5.7. Abnahme
        8. 2.4.5.8. Fazit
      6. 2.4.6. Schadsoftware
        1. 2.4.6.1. Transportmechanismus
          1. 2.4.6.1.1. Virus
          2. 2.4.6.1.2. Wurm
          3. 2.4.6.1.3. Trojaner
        2. 2.4.6.2. Schadfunktion
        3. 2.4.6.3. Gegenmaßnahmen
    5. 2.5. UCE und UBE
      1. 2.5.1. Spam
        1. 2.5.1.1. IP-Filter
        2. 2.5.1.2. Inhaltsfilter
        3. 2.5.1.3. Kollaborative Filter
        4. 2.5.1.4. Robuste Hashwerte
        5. 2.5.1.5. Filtern über SPF, DomainKey und DMARC
        6. 2.5.1.6. Kombinierte Filter
        7. 2.5.1.7. Zurückweisen, markieren oder in den Spam-Ordner?
        8. 2.5.1.8. Zulässigkeit von Filtern
        9. 2.5.1.9. Greylisting
        10. 2.5.1.10. Tricks der Spammer
        11. 2.5.1.11. Fazit zu Anti-Spam
      2. 2.5.2. Filtern weiterer Massenmailings
    6. 2.6. Human Factors, OSINT und Social Engineering
      1. 2.6.1. Human Factors
      2. 2.6.2. Open Source Intelligence – OSINT
      3. 2.6.3. Social Engineering
    7. 2.7. Technische Gegenmaßnahmen
      1. 2.7.1. Datenträger
        1. 2.7.1.1. Datenträgerverschlüsselung
        2. 2.7.1.2. Sicheres Löschen
          1. 2.7.1.2.1. Festplatten
          2. 2.7.1.2.2. Solid-State-Disks
        3. 2.7.1.3. Angriffe über USB
      2. 2.7.2. Netzwerksicherheit
        1. 2.7.2.1. Reconaissance
        2. 2.7.2.2. Firewalling
          1. 2.7.2.2.1. Firewall-Architekturen
          2. 2.7.2.2.2. Stateless Filtering
          3. 2.7.2.2.3. Stateful Filtering
          4. 2.7.2.2.4. Reaktion auf unerwünschte Pakete
          5. 2.7.2.2.5. Filterrichtung
          6. 2.7.2.2.6. Application-Level-Firewalls
          7. 2.7.2.2.7. Mythen zu Firewalls
            1. 2.7.2.2.7.1. NAT braucht keine Firewalling
            2. 2.7.2.2.7.2. Firewalls sind selbst sicher
            3. 2.7.2.2.7.3. Personal Firewalls schützen
            4. 2.7.2.2.7.4. Firewalls sind unumgänglich
            5. 2.7.2.2.7.5. Firewalls können alle Protokolle filtern
            6. 2.7.2.2.7.6. Je mehr Firewalls, desto besser
            7. 2.7.2.2.7.7. Firewall schützt vor Schadsoftware
          8. 2.7.2.2.8. Firewalls umgehen
            1. 2.7.2.2.8.1. Tunneling
            2. 2.7.2.2.8.2. Covert Channels
          9. 2.7.2.2.9. Fazit Firewalls
        3. 2.7.2.3. Intrusion Detection und Prevention
          1. 2.7.2.3.1. Host Intrusion Detection Systeme
            1. 2.7.2.3.1.1. Rootkits und Backdoors
            2. 2.7.2.3.1.2. Dateisystemänderungen
            3. 2.7.2.3.1.3. Rootkit-Detektion
            4. 2.7.2.3.1.4. Schadsoftware erkennen
            5. 2.7.2.3.1.5. Analyse von Log-Files
            6. 2.7.2.3.1.6. Kombinierte Systeme
          2. 2.7.2.3.2. Network Intrusion Detection Systeme
          3. 2.7.2.3.3. Fazit NIDS und HIDS
          4. 2.7.2.3.4. Teergruben und Honeypots
          5. 2.7.2.3.5. Intrusion Prevention System
        4. 2.7.2.4. Security Information and Event Management (SIEM)
        5. 2.7.2.5. Virtual Private Networks
          1. 2.7.2.5.1. Technische Grundlagen
          2. 2.7.2.5.2. Varianten
            1. 2.7.2.5.2.1. IPSec
            2. 2.7.2.5.2.2. Wireguard VPN
            3. 2.7.2.5.2.3. OpenVPN
          3. 2.7.2.5.3. Risiken und Grenzen
          4. 2.7.2.5.4. Alternativen
          5. 2.7.2.5.5. Fazit VPN
        6. 2.7.2.6. WLAN-Sicherheit
      3. 2.7.3. Physische Sicherheit
  5. 3. Rechtliche Grundlagen
    1. 3.1. Gesetzliche Grundlagen
      1. 3.1.1. IT-SiBe und ISB als Governance-Element für privatrechtliche Unternehmen und öffentliche Stellen
      2. 3.1.2. § 166 TKG – die Blaupause des IT-SiBe
      3. 3.1.3. ISB/IT-SiBe in KRITIS-Organisationen bzw. besonders
      4. 3.1.4. ISB bei Anbietern digitaler Dienste, Unternehmen im besonderen öffentlichen Interesse bzw. wichtigen Einrichtungen (BSIG)
      5. 3.1.5. Sicherheitskataloge für Betreiber von Strom- und Gasnetzen und von Energieanlagen, § 11 EnWG (einschließlich Kernkraft)
      6. 3.1.6. Finanz- und Versicherungsunternehmen und deren Dienstleister (inklusive DORA)
      7. 3.1.7. Elektronische Gesundheitsdienste einschließlich Telematik
      8. 3.1.8 ISB/IT-SiBe in Organisationen des Bundes (Bundesrepublik Deutschland)
      9. 3.1.9 ISB/IT-SiBe in Organisationen der Länder und Kommunen
    2. 3.2. Vertragliche Grundlagen
      1. 3.2.1. Vertragliche Gestaltung der Aufgaben und Position des ISB/IT-SiBe
      2. 3.2.2. Interner ISB/IT-SiBe
      3. 3.2.3. Externer ISB/IT-SiBe
    3. 3.3. Untergesetzliche Normen und Standards
      1. 3.3.1. Rechtliche Einordnung
      2. 3.3.2. IT-Grundschutz des BSI
      3. 3.3.3. ISO/IEC 27001 und Normenfamilie ISO/IEC 27000
      4. 3.3.4. TISAX
      5. 3.3.5. CoBiT
      6. 3.3.6. ITIL
      7. 3.3.7. VdS-Richtlinien
      8. 3.3.8. PCI-DSS
      9. 3.3.9. NIST Cybersecurity Framework
    4. 3.4. Rechtliche Verantwortung und Haftung des ISB/IT-SiBe, Versicherungsfragen
  6. 4. Zuständige Behörden und öffentliche Stellen zur IT-Sicherheit
    1. 4.1. EU-Institutionen und ihre Aufgaben
      1. 4.1.1. ENISA
      2. 4.1.2. EDSA/EDPB
      3. 4.1.3. ACER
      4. 4.1.4. ENTSO-E und ENTSO-G
      5. 4.1.5. EMSA
      6. 4.1.6. CERT-EU
      7. 4.1.7. ETSI
    2. 4.2. Nationale Behörden und Einrichtungen und ihre Aufgaben
      1. 4.2.1. Im Bereich der Bundes- und Landesinnenministerien
        1. 4.2.1.1. BSI
        2. 4.2.1.2. Landesbehörden zur Informations- und IT-Sicherheit (LSIs, Cyberagenturen)
        3. 4.2.1.3. Bundesamt für Verfassungsschutz und Landesämter für Verfassungsschutz
        4. 4.2.1.4. Bundeskriminalamt
        5. 4.2.1.5. Nationales Cyber-Abwehrzentrum
        6. 4.2.1.6. Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS)
        7. 4.2.1.7. Landespolizeien mit LKAs
      2. 4.2.2. Bundesnachrichtendienst
      3. 4.2.3. IT-Sicherheit in der Organisation des Bundesverteidigungsministeriums
        1. 4.2.3.1. Abteilung Cyber/IT (CIT) im Verteidigungsministerium
        2. 4.2.3.2. Kommando Cyber- und Informationsraum (CIR)
        3. 4.2.3.3. Cyberinnovationhub Bw (CIHBw)
        4. 4.2.3.4. Zentrum für Digitalisierungs- und Technologieforschung der Bundeswehr (dtec.bw)
        5. 4.2.3.5. Bundesamt für Ausrüstung, Informationstechnik und Nutzung der Bundeswehr
        6. 4.2.3.6. BWI GmbH
      4. 4.2.4. IT-Sicherheit im Bereich weiterer Bundes- und Landesministerien
        1. 4.2.4.1. BaFin
        2. 4.2.4.2. Bundesnetzagentur
        3. 4.2.4.3. Aufsichtsbehörden nach dem AtomG
      5. 4.2.5. Weitere Einrichtungen
        1. 4.2.5.1. Gematik
        2. 4.2.5.2. Bundes- und Landesdatenschutzbeauftragte und
  7. 5. Abgrenzung zu weiteren Verantwortungsträgern
    1. 5.1. Unternehmens- und Behördenleitung
    2. 5.2. Datenschutzbeauftragte
    3. 5.3. Betriebsrat
    4. 5.4. IT-Abteilung/externe Administratoren
  8. 6. Die To-dos: Wie organisiert sich ein ISB/IT-SiBe?
    1. 6.1. Voraussetzungen schaffen
    2. 6.2. Leitlinie Informationssicherheit
    3. 6.3. Ermittlung und Inventarisierung der Schutzobjekte/Information Assets
    4. 6.4. Risikoanalyse und Risikobehandlung – Statement of Applicability (SoA)/Sicherheitskonzept
    5. 6.5. Umsetzung und kontinuierliche Verbesserung: Plan, Do, Check, Act
    6. 6.6. Bewältigung von Sicherheitsvorfällen
      1. 6.6.1. Wahrnehmung des Sicherheitsereignisses
      2. 6.6.2. Sofortmaßnahmen
      3. 6.6.3. Alarm/Eskalation/Meldeverfahren
      4. 6.6.4. Einrichtung und Aufnahme des Notbetriebs; Wiederanlauf des Normalbetriebs
      5. 6.6.5. Kommunikation und Dokumentation
      6. 6.6.6. Nacharbeit
      7. 6.6.7. Analyse und Bewertung der Bewältigung
      8. 6.6.8. Vorsorgemaßnahmen
      9. 6.6.9. Training
    7. 6.7. Information und Beratung der Organisationsleitung
    8. 6.8. Information und Sensibilisierung der Beschäftigten/IT-Nutzer
    9. 6.9. Projektbegleitung
    10. 6.10. Branchenspezifische Sonderanforderungen
  9. 7. Anhang
  10. Weiterführende Literatur
 
stats