Blick ins Buch

IT-Sicherheit (eBook)

Technologien und Best Practices für die Umsetzung im Unternehmen

Michael Lang, Hans Löhr (Herausgeber)

eBook Download: PDF

2024 | 2. Auflage
444 Seiten
Carl Hanser Fachbuchverlag
978-3-446-48116-9 (ISBN)

Lese- und Medienproben

Ebook-Leseprobe (PDF)

- Kompakte Orientierungshilfe für CISOs, Sicherheitsverantwortliche in Unternehmen, Projektleitende, IT-Berater:innen - Best Practices für die Umsetzung im Unternehmen - Mit Erfahrungsberichten mehrerer Chief Information Security Officer (CISO) - Ihr exklusiver Vorteil: E-Book inside beim Kauf des gedruckten Buches Für Unternehmen ist es existenziell, die Sicherheit ihrer Informationen, Systeme und Produkte zu gewährleisten. Dies trifft heute mehr denn je zu, denn mit zunehmender Vernetzung wächst auch die Angriffsfläche: Jedes vernetzte Gerät ist ein potenzielles Einfallstor für Gefährdungen, und das erhöht das Risiko zusätzlich. Doch wie können Sie Ihr Unternehmen vor diesen Gefährdungen schützen und Sicherheit gewährleisten? Die Antwort auf diese Frage - und viele hilfreiche Impulse und Best Practices - bietet Ihnen dieser Praxisratgeber zum Thema IT-Sicherheit. Es werden alle für Entscheider:innen relevanten Aspekte der IT-Sicherheit beschrieben und das für weiterführende Entscheidungen erforderliche Know-how zielgerichtet vermittelt. Das Buch dient als Leitfaden auf Ihrem Weg zur konsequenten und gleichzeitig effizienten Sicherstellung und Umsetzung von IT-Sicherheit im Unternehmen. Aus dem Inhalt - Ziele von IT Security (Vertraulichkeit, Integrität, Verfügbarkeit) - Grundlegende Maßnahmen (Berechtigungen zuteilen, Ausfallplanung, Tests etc.) - Absicherung der IT-Infrastruktur im Unternehmen - IT Security in der Cloud - Systematische Umsetzung von Bedrohungs- und Risikoanalysen - Sichere Produktentwicklung - Sicherheit in Produktionsnetzen und -anlagen - Rechtliche Rahmenbedingungen - Organisation des IT-Sicherheitsmanagements im Unternehmen - Sicherheitsstandards und -zertifizierungen - Relevante Wechselwirkungen zwischen Datenschutz und IT-Sicherheit Bei den Autor:innen des Buches handelt es sich um ausgewiesene Expert:innen aus dem Themenbereich IT-Sicherheit. Dazu zählen Berater:innen, Entscheidungsträger:innen und Professor:innen sowie Sicherheitsverantwortliche aus Unternehmen.

Prof. Dr. Michael Lang ist Professor für Wirtschaftsinformatik an der Technischen Hochschule Nürnberg. Seine Forschungs- und Lehrschwerpunkte liegen in den Bereichen Digitale Transformation, Business Analytics und IT-Management. Dr. Hans Löhr ist Professor für Informatik mit Schwerpunkt in den Bereichen IT-Sicherheit und Kryptografie an der Technische Hochschule Nürnberg Georg Simon Ohm. Er promovierte am Horst-Görtz-Institut für IT-Sicherheit der Ruhr-Universität Bochum und war daraufhin langjährig in der zentralen Konzernforschung der Robert Bosch GmbH und danach bei der SUSE Software Solutions Germany GmbH tätig.

Prof. Dr. Michael Lang ist Professor für Wirtschaftsinformatik an der Technischen Hochschule Nürnberg. Seine Forschungs- und Lehrschwerpunkte liegen in den Bereichen Digitale Transformation, Business Analytics und IT-Management. Dr. Hans Löhr ist Professor für Informatik mit Schwerpunkt in den Bereichen IT-Sicherheit und Kryptografie an der Technische Hochschule Nürnberg Georg Simon Ohm. Er promovierte am Horst-Görtz-Institut für IT-Sicherheit der Ruhr-Universität Bochum und war daraufhin langjährig in der zentralen Konzernforschung der Robert Bosch GmbH und danach bei der SUSE Software Solutions Germany GmbH tätig.

Inhalt 7
Vorwort 17
1 IT-Sicherheit konsequent und effizient umsetzen 19
1.1 Einleitung 19
1.1.1 Chancen durch die Digitalisierung 19
1.1.2 Risiken durch die Digitalisierung 21
1.1.3 IT-Sicherheitsbedürfnisse als Grundwerte der IT-Sicherheit 21
1.2 Beispiele von aktuellen Angriffsvektoren 22
1.3 IT-Sicherheitsstrategien 26
1.3.1 Vermeiden von Angriffen 27
1.3.2 Entgegenwirken von Angriffen 29
1.3.3 Erkennen von Angriffen 31
1.3.4 Reaktion auf Angriffe 31
1.4 Umsetzung eines angemessenen IT-Sicherheitslevels 32
1.5 IT-Sicherheitsmechanismen, die gegen Angriffe wirken 34
1.6 Die wichtigsten Punkte in Kürze 43
2 Grundprinzipien zur Gewährleistung der IT-Sicherheit 45
2.1 Einleitung 45
2.1.1 Trends 45
2.1.2 Herausforderungen 46
2.1.3 IT-Sicherheit vs. Sicherheit 48
2.1.4 Schutzziele 49
2.2 Grundprinzipien der IT-Sicherheit 55
2.2.1 Kenne die Bedrohungen 55
2.2.2 Sicherheit und Wirtschaftlichkeit 57
2.2.3 Keine „Security through Obscurity“ 58
2.2.4 Security by Design 58
2.2.5 Prinzip der geringsten Berechtigung 60
2.2.6 Trennung der Verantwortlichkeiten 60
2.2.7 Zugriffskontrolle 61
2.2.8 Defense in Depth 62
2.2.9 Der Mensch als Faktor 63
2.2.10 Design for Resilience 64
3 Organisation des IT-Sicherheitsmanagements im Unternehmen 67
3.1 Einführende Bemerkungen 68
3.2 Imperative des IT-Sicherheitsmanagements 69
3.2.1 Sicherheit ist aktiv und proaktiv 69
3.2.2 Routine 69
3.2.3 Sicherheit liegt in der Verantwortung eines jeden 69
3.2.4 Worst-Case-Szenario 70
3.2.5 Es bedarf vieler Unterstützer 70
3.2.6 Denken wie ein Angreifer 70
3.2.7 Mehrschichtige Verteidigung verwenden 70
3.3 Grundlegende Pfeiler einer IT-Sicherheitsorganisation 71
3.3.1 Gängige Organisationsstrukturen nach organisatorischem Reifegrad 72
3.3.1.1 Neugründung 72
3.3.1.2 Kleine und mittlere Unternehmen (KMU) 73
3.3.1.3 Großunternehmen 75
3.3.2 Das Information Technology Risk Council (ITRC) 76
3.3.2.1 ITRC-Vertreter 77
3.3.2.2 ITRC-Rollen und Zuständigkeiten 77
3.4 Die Rolle des CISO: Wie man eine Führungsrolle im Sicherheitsbereich gestaltet 79
3.4.1 Die richtige CISO-Rolle für Ihr Unternehmen entwerfen 79
3.4.1.1 Identifizieren der dringlichsten sicherheitsrelevanten Herausforderungen 80
3.4.1.2 Priorisierung der CISO-Rolle und -Verantwortlichkeiten 80
3.4.1.3 CISO-RACI-Diagramm 82
3.4.1.4 Häufig vertretene CISO-Profile 82
3.5 Finale Anmerkungen 85
4 Rechtliche Rahmenbedingungen der IT-Sicherheit 87
4.1 Einleitung 87
4.2 Vertrags- und haftungsrechtliche Risiken 88
4.2.1 Allgemeine Sorgfaltspflichten 88
4.2.2 Pflichten zur Gewährleistung der IT-Sicherheit 90
4.2.3 Haftung für Verstöße gegen IT-sicherheitsrechtliche Anforderungen 90
4.2.4 Anforderungen der DSGVO an technische und organisatorische Schutzmaßnahmen zum Schutz der IT-Sicherheit 92
4.2.5 Anforderungen des TKG und des TTDSG an technische und organisatorische Schutzmaßnahmen zum Schutz der IT-Sicherheit 93
4.2.6 Empfehlungen des BSI in Bezug auf technisch-organisatorische Maßnahmen 94
4.3 Straf- und ordnungswidrigkeitsrechtliche Folgen bei der Verletzung der IT-Sicherheit 95
4.3.1 Strafrechtliche Normen zum Schutz vor Cyberkriminalität 95
4.3.2 Strafrechtliche Verantwortlichkeit der einzelnen Akteure 97
4.4 Das IT-Sicherheitsgesetz (ITSiG 2.0) 98
4.5 Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) 101
4.6 Der Cyber Resilience Act 103
4.7 Der AI-Act 104
4.8 Die wichtigsten Punkte in Kürze 105
5 Standards und Zertifizierungen 109
5.1 Einleitung 109
5.2 Standards 112
5.2.1 Synergien zwischen Standards auflösen und nutzen 121
5.2.2 Zertifizierung/Testierung 123
5.3 Kompetenznachweise für Beteiligte der Informationssicherheit 127
5.4 Die wichtigsten Punkte in Kürze 131
6 Datenschutz und Informationssicherheit: ungleiche Zwillinge 133
6.1 Einleitung 133
6.2 Rahmenbedingungen 135
6.2.1 Datenschutz 136
6.2.2 Managementsysteme 138
6.2.3 Das Standard-Datenschutzmodell (SDM) 138
6.3 Strategische/präventive Aspekte 140
6.3.1 Risikomanagement 140
6.3.2 Regelmäßige Überprüfung der Maßnahmen 141
6.3.3 Entwicklungsprozess 142
6.4 Operative Aspekte: technische und organisatorische Maßnahmen 144
6.4.1 Schutz der Vertraulichkeit 146
6.4.2 Schutz der Integrität 148
6.4.3 Schutz der Verfügbarkeit und Belastbarkeit 149
6.4.4 Vorfallsbehandlung (Incident Management) 149
6.5 Organisationsaspekte 151
6.6 Fazit 152
7 IT-Sicherheit durch Bedrohungs- und Risikoanalysen stärken 155
7.1 Einleitung 155
7.2 Nutzen und Mehrwert von Bedrohungs- und Risikoanalysen 156
7.3 Ablauf von Bedrohungs- und Risikoanalysen 158
7.4 Einbindung in Unternehmensprozesse 160
7.4.1 Anforderungsanalyse und Konzeptphase 160
7.4.2 Tests planen und priorisieren, Testergebnisse bewerten 166
7.4.3 Schwachstellen bewerten und behandeln 166
7.4.4 Laufende Systeme bewerten 167
7.5 Auswahlkriterien für geeignete Methoden 168
7.6 Die wichtigsten Punkte in Kürze 169
8 Sicherheitstesten 171
8.1 Sicherheitstesten – ein Grundverständnis 172
8.1.1 Testen als Analysemethode 172
8.1.2 Spezifische Herausforderungen beim Sicherheitstesten 174
8.1.3 Testobjekte beim Sicherheitstesten 175
8.1.4 Grundlagen und Ziele des Sicherheitstestens 177
8.1.5 Definition von Sicherheitstestzielen 178
8.2 Testmethoden und Testtechniken 179
8.2.1 Audits und Reviews 179
8.2.2 Statische Analyse 180
8.2.3 Der funktionale Sicherheitstest 181
8.2.4 Fuzz-Testing 182
8.2.5 Last- und Performanztesten 184
8.2.6 Schwachstellen-Scanning 184
8.2.7 Monitoring und passives Testen 185
8.2.8 Risikobasiertes Sicherheitstesten 186
8.2.9 Penetrationstesten 187
8.3 Prozessuale Einbettung des Sicherheitstestens 188
8.3.1 Der Sicherheitstestprozess 189
8.3.2 Sicherheitstesten im SDLC 190
8.3.3 Sicherheitstesten in agiler Entwicklung und DevOps 192
8.4 Chancen und Herausforderungen durch KI 194
8.4.1 KI-gestützte Automatisierung beim Sicherheitstest 194
8.4.2 Sicherheitstesten von KI 196
8.5 Zusammenfassung 197
9 Der Faktor Mensch 201
9.1 Der Mensch als Lösung 202
9.2 Der Mensch als Bedrohung 204
9.2.1 Sicheres und unsicheres Verhalten 205
9.2.2 Gründe für unsicheres Verhalten 207
9.3 Der Mensch als Opfer 210
9.3.1 Social Engineering 210
9.3.2 Instrumente im Social Engineering 211
9.3.3 Psychologische Tricks 214
9.4 Menschen sensibilisieren 218
9.4.1 Information Security Awareness 218
9.4.2 Psychologische Grundlagen von Awareness 221
9.4.3 Individualisierung 223
9.5 Awareness fördern 225
9.5.1 Wissen erhöhen und Fähigkeiten fördern 226
9.5.2 Verhaltensabsicht fördern und beeinflussen 229
9.5.3 Salienz fördern 236
9.5.4 Gewohnheiten fördern 238
9.6 Ausblick 241
9.7 Die wichtigsten Punkte in Kürze 243
10 IT-Sicherheit – Aus dem Blickwinkel eines CISO 247
10.1 Einleitung 247
10.1.1 Das Wichtigste beim Start mit IT-Sicherheit 248
10.1.2 Strategien, Methoden und Tools 250
10.2 Organisatorische Verankerung 259
10.2.1 Rollen in der IT-Sicherheit 262
10.2.2 Kompetenzen in der IT-Sicherheit 263
10.3 Entscheidende Änderungen bei IT-Sicherheit 265
10.4 Besondere IT-Sicherheitsherausforderungen 266
10.5 Erfolge erzielen – Fehler vermeiden 266
10.5.1 Erfolgsfaktoren 267
10.5.2 Fehler, die zu vermeiden sind 267
10.5.3 Verbesserungspotenziale 268
10.5.4 Lessons Learned 268
10.5.5 Was könnte man anders machen? 269
10.6 Zusammenfassung 270
10.6.1 Hot Topics 271
10.6.2 Top-3-Ratschläge 272
11 Warum IT-Sicherheit zwischen Erfolg und Insolvenz entscheidet 275
11.1 Das Wichtigste beim Start mit IT-Sicherheit 275
11.2 Organisatorische Verankerung 277
11.3 Verbesserungspotenzial 278
11.4 Entscheidende Änderungen bei IT-Sicherheit 279
11.5 Besondere IT-Sicherheitsherausforderungen in der eigenen Branche 280
11.6 Rolle des „IT-Sicherheitsverantwortlichen“ 281
11.7 Kompetenzen der IT-Sicherheitsverantwortlichen sowie aller Beschäftigen 282
11.8 Top-3-Ratschläge 283
12 IT-Sicherheit heute und morgen – aus Sicht eines CISO 285
12.1 Das Wichtigste beim Start mit IT-Sicherheit 285
12.2 Aufnahme des IST-Zustands 287
12.2.1 Verständnis der Angriffsvektoren/Angreiferlage 289
12.2.2 Verständnis der Angriffspfade 290
12.3 Typische Fehler 291
12.4 Organisation 293
12.5 Erfolgsfaktoren 295
12.5.1 Kommunikation 295
12.5.2 Großes technisches Wissen 296
12.5.3 Umfangreiches Wissen über Security bzw. die Angreiferlage 297
12.5.4 Lösungsorientierung 297
12.5.5 Doppelte Absicherung/Avoid Vendor Lock-in 298
12.5.6 Betriebliche Nähe 298
12.6 Verbesserungspotenziale 299
12.7 Entscheidende Änderungen bei IT-Sicherheit 299
12.8 Besondere IT-Sicherheitsherausforderungen in der eigenen Branche 301
12.9 Hot Topics 302
12.10 Rolle des IT-Sicherheitsverantwortlichen 303
12.11 Lessons Learned 304
12.12 Kompetenzen eines erfolgreichen Sicherheitsverantwortlichen 305
12.13 Top-3-Ratschläge 306
12.14 Die wichtigsten Punkte in Kürze 307
13 Entwicklung sicherer Software 309
13.1 Einleitung 309
13.2 Vorgehensmodelle der Softwareentwicklung 311
13.3 Secure Development Lifecycles 313
13.4 Requirements Engineering 315
13.5 Architektur und Entwurf 316
13.6 Implementierung 317
13.7 Coding-Standards 318
13.8 Wahl der Programmiersprache 320
13.9 Tests 322
13.10 Code Reviews 322
13.11 Static Code Analysis 323
13.12 Formale Analyse 323
13.13 Validierung 324
13.14 Maintenance 325
13.15 Die wichtigsten Punkte in Kürze 326
14 Cybersicherheit in Produktion, Automotive und intelligenten Gebäuden 329
14.1 Einleitung 329
14.1.1 Automatisierungstechnik 330
14.1.2 Spezifische Anforderungen der Automatisierungstechnik 332
14.1.3 Spezifische Eigenschaften der Automatisierungstechnik 334
14.2 Schöne neue Welt – das Internet der Dinge 336
14.2.1 Internet der Dinge (IoT) 336
14.2.2 IoT-Chancen für die Automatisierungstechnik 337
14.2.3 IoT-Risiken für die Automatisierungstechnik 338
14.3 Was läuft schief? 338
14.3.1 Zu viel Vertrauen in andere 339
14.3.2 Zu wenig Management-Fokus 339
14.3.3 Sicherheits-Features zu teuer oder nicht genutzt 339
14.3.4 Es ist noch nie etwas passiert – und das bleibt auch so 340
14.3.5 Never change a running system 340
14.3.6 Sensibilisierung und Weiterbildung zu teuer/aufwendig 341
14.4 Was ist zu tun? 342
14.4.1 Cybersicherheit allgemein 342
14.4.2 Cybersicherheit in der Automatisierung 343
14.5 Praxisbeispiel: Einführung von Cybersicherheit in der Produktion (Orientierung an ISA/IEC 62?443) 346
14.5.1 Audit 347
14.5.2 Festlegen eines Sicherheitslevels 348
14.5.3 Risikobeurteilung 348
14.5.4 Defense in Depth 349
14.5.5 Zonierung 350
14.5.6 Patchmanagement 351
14.5.7 Dienstleister 353
14.6 Zusammenfassung und Fazit 354
15 Edge Computing: Chancen und Sicherheitsrisiken 357
15.1 Einleitung 357
15.2 Was ist Edge Computing? 359
15.2.1 Das Internet der Dinge 359
15.2.2 Von der Cloud zur Edge 360
15.2.3 Impulsgeber für IoT Edge Computing 362
15.3 Chancen und Sicherheitsrisiken 363
15.3.1 Eröffnung neuer Möglichkeiten durch IoT Edge Computing 364
15.3.2 IoT Edge Computing bringt auch neue Sicherheitsrisiken 366
15.4 Entwicklung sicherer Edge-Computing-Plattformen 369
15.4.1 Security-by-Design-Prinzipien 369
15.4.2 Privacy-by-Design-Prinzipien 371
15.4.3 Spezielle Entwicklungsprinzipien für Edge Computing 372
15.5 Technologien für sichere Edge-Computing-Plattformen 374
15.5.1 Sicherheitskerne 374
15.5.2 Trusted Execution Environments und Confidential Computing 377
15.5.3 Kryptoagilität 377
15.6 Die wichtigsten Punkte in Kürze 379
16 Cybersicherheit für kritische Infrastrukturen (KRITIS) 381
16.1 Einleitung 381
16.1.1 Technische Grundlagen 383
16.1.2 Regulierungen und Pflichten 384
16.1.3 Bedrohungen durch Cyberangriffe 387
16.2 Herausforderungen 389
16.2.1 IT/OT-Konvergenz 389
16.2.2 „Safety first“ 390
16.2.3 Mangelnde physische Sicherheit 391
16.2.4 Mangelnde Eigeninitiative 392
16.3 Cyberangriffe verstehen 393
16.3.1 Fähigkeiten des Angreifers 393
16.3.2 Vorgehen und Ablauf 395
16.4 Gegenmaßnahmen 398
16.4.1 Prävention 400
16.4.2 Detektion 403
16.4.3 Reaktion 405
16.5 Fazit 407
16.6 Die wichtigsten Punkte in Kürze 408
17 Sicherheit in der Cloud 411
17.1 Einleitung 411
17.2 Nutzungsmodelle 412
17.2.1 Servicemodelle 412
17.2.2 Bereitstellungsmodelle 414
17.3 Risiken des Cloud-Computing 415
17.3.1 Überblick 415
17.3.2 Beispiele 417
17.4 Sicherheitsmaßnahmen 418
17.4.1 Sicherheitsrahmen 418
17.4.2 Zugangskontrolle 421
17.4.3 Datensicherheit 422
17.4.4 Monitoring und Überwachung 424
17.5 Zusammenfassung 427
17.6 Die wichtigsten Punkte in Kürze 427
Herausgeber, Autorin und Autoren 429
Index 437

1	IT-Sicherheit konsequent und effizient umsetzen

Norbert Pohlmann

In diesem Beitrag erfahren Sie,

welche Chancen und Risiken die fortschreitende Digitalisierung mit sich bringt,

welche Angriffsvektoren heute für erfolgreiche Angriffe genutzt werden,

welche IT-Sicherheitsstrategien helfen Risiken zu reduzieren und mit verbleibenden Risiken umzugehen und

welche IT-Sicherheitsmechanismen, gegen welche Angriffe wirken.

1.1	Einleitung

Wir befinden uns gerade in einer digitalen Transformation, die mit einer radikalen Umgestaltung unseres Alltags und unserer Arbeitswelt sowie aller Geschäftsmodelle und Verwaltungsprozesse einhergeht. Wirtschaftskraft und Wohlstand sowie die Leistungsfähigkeit unserer modernen Gesellschaft werden durch den gelungenen digitalen Wandel bestimmt.

1.1.1

Chancen durch die Digitalisierung

Die Digitalisierung eröffnet über alle Branchen und Unternehmensgrößen hinweg enorme Wachstumschancen und führt zu immer besseren Prozessen, die die Effizienz steigern und Kosten reduzieren. Die Digitalisierung beschleunigt auf allen Ebenen und der Wertschöpfungsanteil der IT in allen Produkten und Lösungen wird immer größer (Pohlmann 2020), siehe Bild 1.1, obere Kurve.

Bild 1.1 Entwicklung der Digitalisierung und des korrespondierenden Risikos

Mögliche Erfolgsfaktoren der Digitalisierung sind vielfältig:

Mit 5G- und Glasfasernetzen erhöhen sich Kommunikationsgeschwindigkeit und -qualität, wodurch neue Anwendungen möglich werden.

Smarte Endgeräte wie Smartwatches, Smartphones, PADs oder IoT-Geräte bringen viele neue sinnvolle Anwendungen mit sich.

Zunehmend leistungsfähige zentrale IT-Systeme wie Cloudsysteme, Edge-Computing oder Hyperscaler schaffen Innovationen mit großen Potenzialen.

Da immer mehr Daten zur Verfügung stehen, ist die Verwendung von KI (ML …) ein weiterer Treiber von neuen Geschäftsmodellen (Pohlmann 2019a).

Moderne Benutzerschnittstellen, wie Sprache und Gestik, vereinfachen die Bedienung der smarten Endgeräte.

Die Optimierung von Prozessen schafft ein enormes Rationalisierungspotenzial, das es zu heben gilt, um wettbewerbsfähig zu bleiben und Wachstumschancen zu nutzen.

Neue Optionen wie Video-Konferenzen, Cloudanwendungen ermöglichen im Homeoffice zu arbeiten und damit die Personenmobilität zu reduzieren sowie letztendlich die Umwelt zu schonen.

1.1.2

Risiken durch die Digitalisierung

Wir müssen aber auch feststellen, dass seit Beginn der IT – sowie jetzt mit der zunehmenden Digitalisierung – die IT-Sicherheitsprobleme jedes Jahr größer werden und auf absehbare Zeit definitiv nicht abnehmen. Eine wichtige Erkenntnis ist, dass die heutigen IT-Architekturen unserer Endgeräte, Server, Netzkomponenten und zentralen IT-Dienstleistungen nicht sicher genug konzipiert und aufgebaut sind, um den Angriffen intelligenter Hacker erfolgreich entgegenzuwirken. Die Vielzahl der lokalen und zentralen Anwendungen, die unterschiedlichen Zugänge zum Internet, die Masse der IT-Systeme und IT-Infrastrukturen sowie die zunehmenden Abhängigkeiten innerhalb der Supply Chain machen die Komplexität der IT immer größer und damit auch die Anfälligkeit für bösartige Angriffe. Täglich können wir den Medien entnehmen, wie sich kriminelle Hacker die unzureichende Qualität der Software zu Nutze machen, indem sie Malware installieren und damit Passwörter sowie Identitäten stehlen, Endgeräte ausspionieren oder die IT-Systeme verschlüsseln, um Lösegeld für die notwendigen Schlüssel zur Entsperrung zu erpressen. Aufgrund der generierten Datenmengen werden die Angriffsziele mit fortschreitender Digitalisierung kontinuierlich lukrativer.

Die Robustheit und Resilienz unserer IT-Systeme sind nicht hinreichend und der Level an IT-Sicherheit entspricht nicht dem „Stand der Technik“. Mit dem höheren Grad an Digitalisierung steigt momentan das Risiko eines Schadensfalls, siehe Bild 1.1, untere Kurve. Daraus ergibt sich in der Konsequenz, dass durch Diebstahl, Spionage und Sabotage der deutschen Wirtschaft jährlich ein Gesamtschaden von mehr als 220 Milliarden Euro entsteht.

1.1.3

IT-Sicherheitsbedürfnisse als Grundwerte der IT-Sicherheit

IT-Sicherheitsbedürfnisse sind Grundwerte der IT-Sicherheit, die mithilfe von IT-Sicherheitsmechanismen befriedigt werden können. IT-Sicherheitsbedürfnisse werden auch als IT-Sicherheitsziele bezeichnet.

Gewährleistung der Vertraulichkeit

Vertraulichkeit ist wichtig, damit keine unautorisierten Personen oder Organisationen in der Lage sind, übertragene oder gespeicherte Informationen zu lesen.

Gewährleistung der Authentifikation

Mithilfe des IT-Sicherheitsmechanismus Authentifikation wird verifiziert, wer der Partner bei der Kommunikation oder Transaktion ist beziehungsweise welcher Nutzer auf Betriebsmittel und Informationen zugreift.

Gewährleistung der Authentizität

Mithilfe des IT-Sicherheitsmechanismus Authentizität wird verifiziert, dass Informationen oder Identitäten echt sind.

Gewährleistung der Integrität

Beim IT-Sicherheitsbedürfnis „Gewährleistung der Integrität“ wird überprüft, ob Informationen, die übertragen werden oder gespeichert sind, unverändert, d. h. original, sind.

Gewährleistung der Verbindlichkeit

Das IT-Sicherheitsbedürfnis „Gewährleistung der Verbindlichkeit“ sorgt für die Gewissheit, dass die Prozesse und die damit verbundenen Aktionen auch verbindlich sind.

Gewährleistung der Verfügbarkeit

Dieses IT-Sicherheitsbedürfnis sorgt für die Gewissheit, dass die Informationen und Dienste auch zur Verfügung stehen.

Gewährleistung der Anonymisierung/Pseudonymisierung

Mit diesem IT-Sicherheitsbedürfnis wird gewährleistet, dass eine Person nicht oder nicht unmittelbar identifiziert werden kann.

1.2	Beispiele von aktuellen Angriffsvektoren

Im Folgenden werden exemplarisch relevante Beispiele von Angriffsvektoren mit den entsprechenden Angriffstechniken und Angriffswege dargestellt.

1. Malware-Infiltration über manipulierte Webseiten

Als erstes wird mit einem gezielten Hacking-Angriff auf den Webserver die Platzierung von Angriffssoftware zur Durchführung eines Drive-by-Downloads unter Nutzung einer vorhandenen Schwachstelle auf dem Webserver umgesetzt. Um einen Nutzer (Opfer) zum Besuch der manipulierten Webseite zu motivieren kann beispielsweise ein Phishing-/Social-Engineering-Angriff durchgeführt werden. Beim Zugriff auf die manipulierten Webseiten werden dann beim Drive-by-Download Sicherheitslücken des Browsers oder des Betriebssystems des Opfer-IT-Systems des Nutzers ausgenutzt, um Malware zu installieren. Mit der generalisierten installierten Malware kann dann der Angreifer spezielle Schadfunktionen nutzen, um das gekaperte IT-System gemäß seinem Ziel zu manipulieren.

2. Malware-Infiltration über schadhafte E-Mail-Anhänge

Mithilfe von Sozialen- und Berufsnetzwerken werden die Vorlieben eines potenziellen Opfers analysiert. Mit diesen Kenntnissen wird dem Opfer eine persönliche Nachricht gesendet, die perfekt dazu verleitet, auf den Anhang der E-Mail zu klicken. Durch das Klicken wird ein Prozess ausgelöst, der ermöglicht, über vorhandene Schwachstellen eine Malware zu installieren. Damit ist die Übernahme der Kontrolle über das betroffene Opfer-IT-System umgesetzt. Anschließend nutzt der Angreifer entsprechende Schadfunktionen, um seine Ziele auf dem Opfer-IT-System umzusetzen.

3. Mehrstufiger Angriff auf die IT-Infrastruktur von...

Erscheint lt. Verlag	7.10.2024
Verlagsort	München
Sprache	deutsch
Themenwelt	Mathematik / Informatik ► Informatik ► Netzwerke
Schlagworte	Cyberabwehr • cyber security • Datenschutz • Hacking • Informationssicherheit • ISO 27001 • IT-Infrastruktur • IT-Sicherheit • Risikoanalyse
ISBN-10	3-446-48116-8 / 3446481168
ISBN-13	978-3-446-48116-9 / 9783446481169

Informationen gemäß Produktsicherheitsverordnung (GPSR)
Haben Sie eine Frage zum Produkt?

PDF (Wasserzeichen)

DRM: Digitales Wasserzeichen
Dieses eBook enthält ein digitales Wasserzeichen und ist damit für Sie personalisiert. Bei einer missbräuchlichen Weitergabe des eBooks an Dritte ist eine Rückverfolgung an die Quelle möglich.

Dateiformat: PDF (Portable Document Format)
Mit einem festen Seitenlayout eignet sich die PDF besonders für Fachbücher mit Spalten, Tabellen und Abbildungen. Eine PDF kann auf fast allen Geräten angezeigt werden, ist aber für kleine Displays (Smartphone, eReader) nur eingeschränkt geeignet.

Systemvoraussetzungen:
PC/Mac: Mit einem PC oder Mac können Sie dieses eBook lesen. Sie benötigen dafür einen PDF-Viewer - z.B. den Adobe Reader oder Adobe Digital Editions.
eReader: Dieses eBook kann mit (fast) allen eBook-Readern gelesen werden. Mit dem amazon-Kindle ist es aber nicht kompatibel.
Smartphone/Tablet: Egal ob Apple oder Android, dieses eBook können Sie lesen. Sie benötigen dafür einen PDF-Viewer - z.B. die kostenlose Adobe Digital Editions-App.

Buying eBooks from abroad
For tax law reasons we can sell eBooks just within Germany and Switzerland. Regrettably we cannot fulfill eBook-orders from other countries.