Details

<p>Über die Autoren 7</p> <p><b>Einleitung</b> <b>19</b></p> <p>Über dieses Buch 19</p> <p>Törichte Annahmen über den Leser 19</p> <p>Was Sie nicht lesen müssen 20</p> <p>Wie dieses Buch aufgebaut ist 20</p> <p>Teil I: Informationssicherheit, IT-Sicherheit und Datenschutz 20</p> <p>Teil II: Rechtliche Anforderungen 21</p> <p>Teil III: Organisation der Informationssicherheit 21</p> <p>Teil IV: Bausteine der technischen IT-Sicherheit 22</p> <p>Teil V: Lösungen und Umsetzungen 22</p> <p>Teil VI: Der Top-Ten-Teil 22</p> <p>Symbole, die in diesem Buch verwendet werden 23</p> <p>Konventionen in diesem Buch 23</p> <p>Wie es weitergeht 24</p> <p><b>Teil I: Informationssicherheit, IT-Sicherheit und Datenschutz</b><b> 25</b></p> <p><b>Kapitel 1: Irrtümer und häufige Fehler</b> <b>27</b></p> <p>Internet-Sicherheit 27</p> <p>Mobile und Cloud-Sicherheit 29</p> <p>Endgerätesicherheit 31</p> <p>E-Mail-Sicherheit 32</p> <p><b>Kapitel 2: Grundlagen der Informationssicherheit</b> <b>35</b></p> <p>Was ist Informationssicherheit? 35</p> <p>Was ist IT-Sicherheit? 35</p> <p>Was ist Cybersicherheit? 38</p> <p>Klassische Schutzziele der Informationssicherheit 39</p> <p>Verfügbarkeit 39</p> <p>Integrität 41</p> <p>Vertraulichkeit 42</p> <p>Authentizität 42</p> <p>Verantwortlichkeit 42</p> <p>Benutzbarkeit 43</p> <p>Weitere Schutzziele 44</p> <p><b>Kapitel 3: Bausteine der Informationssicherheit 47</b></p> <p>Risikomanagement 48</p> <p>Meldepflichten bei Vorfällen 51</p> <p>Einhaltung von Sicherheitsstandards 54</p> <p>Nachweis der Einhaltung durch Audits 55</p> <p><b>Kapitel 4: Datenschutz und technisch-organisatorische Maßnahmen</b> <b>59</b></p> <p><b>Teil II: Rechtliche Anforderungen</b><b> 63</b></p> <p><b>Kapitel 5: Die DS-GVO und das BDSG</b> <b>65</b></p> <p>Die acht Gebote des Datenschutzes (BDSG a F.) 65</p> <p>Stand der Technik 67</p> <p>Implementierungskosten 70</p> <p>Gewährleistungsziele des Datenschutzes 73</p> <p><b>Kapitel 6: Gesetze zur IT-Sicherheit</b> <b>75</b></p> <p>NIS-Richtlinie (EU) 75</p> <p>Rechtsakt zur Cybersicherheit (EU) 77</p> <p>eIDAS-Verordnung (EU) 79</p> <p>Single-Digital-Gateway-(SDG-)Verordnung (EU) 81</p> <p>BSI-Gesetz (D) 81</p> <p>BSI-Kritisverordnung (D) 85</p> <p>Geschäftsgeheimnisgesetz (D) 86</p> <p>Onlinezugangsgesetz (D) 87</p> <p>Sozialgesetzbuch V (D) 88</p> <p>TKG, TMG und TTDSG (D) 92</p> <p><b>Kapitel 7: ISO-Normen</b> <b>95</b></p> <p>ISO/IEC 270xx Informationssicherheit 96</p> <p>Anforderungsnormen 98</p> <p>Leitfäden 100</p> <p>ISO/IEC 27701 Datenschutz 102</p> <p><b>Kapitel 8: BSI und Grundschutz</b> <b>105</b></p> <p>IT-Grundschutz 105</p> <p>BSI-Standards 106</p> <p>IT-Grundschutz-Kompendium 108</p> <p>Standard-Datenschutzmodell und IT-Grundschutz 113</p> <p>Technische Richtlinien des BSI 115</p> <p><b>Kapitel 9: Weitere Standards</b> <b>119</b></p> <p>Prozessorientierte Standards 119</p> <p>VdS 10000: ISMS für KMU 120</p> <p>ISIS12 wird CISIS12 122</p> <p>TISAX 122</p> <p>Finanzstandards 123</p> <p>Vorgaben für die öffentliche Verwaltung 124</p> <p>Technikorientierte Standards 125</p> <p>Common Criteria 125</p> <p>PCI-DSS 127</p> <p>FIPS 129</p> <p>ITIL 130</p> <p><b>Kapitel 10: Technisch-organisatorische Maßnahmen (TOM)</b> <b>131</b></p> <p>Vertraulichkeit 131</p> <p>Zutrittskontrolle, physische und umgebungsbezogene Sicherheit 132</p> <p>Zugangskontrolle, Zugangssteuerung 133</p> <p>Zugriffskontrolle 134</p> <p>[Trennungskontrolle], Nichtverkettbarkeit 135</p> <p>Pseudonymisierung 137</p> <p>Verschlüsselung, Kryptografie 139</p> <p>Integrität 141</p> <p>Eingabekontrolle 141</p> <p>Digitale Signatur, Hashfunktionen 142</p> <p>Weitergabekontrolle, Kommunikationssicherheit 143</p> <p>Löschkontrolle (»Recht auf Vergessen werden«) 144</p> <p>Verfügbarkeit und Belastbarkeit 145</p> <p>Verfügbarkeitskontrolle und Informationssicherheitsaspekte</p> <p>beim Business Continuity Management 146</p> <p>Auftragskontrolle, Lieferantenbeziehungen 147</p> <p>Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM 149</p> <p><b>Teil III: Organisation der Informationssicherheit</b><b> 153</b></p> <p><b>Kapitel 11: Organisation im Unternehmen</b> <b>155</b></p> <p>Verantwortung für die Informationssicherheit 155</p> <p>Organisatorische Strukturen 155</p> <p>Geschäftsleitung 156</p> <p>Chief Information Officer/Chief Digital Officer 156</p> <p>Informationssicherheitsbeauftragter 156</p> <p>IT-Leitung 157</p> <p>Computer Emergency Response Team (CERT) 158</p> <p>Informationssicherheitsausschuss 159</p> <p>Richtlinien und Regeln 159</p> <p><b>Kapitel 12: Der Deming-Kreis (PDCA) und die ständige Verbesserung</b> <b>163</b></p> <p><b>Kapitel 13: Risikoanalyse und Kronjuwelen 165</b></p> <p>Klassifizierung der Daten 165</p> <p>Klassifizierung der Systeme 166</p> <p>Bedrohungsanalyse 168</p> <p>Metriken und Bewertung 169</p> <p><b>Kapitel 14: Grundlegende Dokumentation</b> <b>171</b></p> <p>Asset- und Konfigurationsmanagement 174</p> <p>Nutzermanagement und Zugriffskontrolle 180</p> <p><b>Kapitel 15: Meldepflichten und Vorfallsmanagement</b> <b>185</b></p> <p>Datenschutzvorfälle 185</p> <p>IT-Sicherheitsvorfälle 187</p> <p>Angriffserkennung 189</p> <p>Security Information and Event Management (SIEM) 190</p> <p>Dokumentation von Vorfällen und Forensik 191</p> <p>Sharing von Threat-Informationen 192</p> <p><b>Kapitel 16: Awareness und Beschäftigte 197</b></p> <p><b>Teil IV: Bausteine der technischen IT-Sicherheit</b><b> 201</b></p> <p><b>Kapitel 17: Grundlagen der Verschlüsselung</b> <b>203</b></p> <p>Symmetrische Verschlüsselung 208</p> <p>Betriebsarten der Blockverschlüsselung 210</p> <p>Asymmetrische Verschlüsselung 214</p> <p>Diffie-Hellman-Merkle-Schlüsselaustausch 214</p> <p>Das RSA-Verfahren 215</p> <p>Hybride Verschlüsselung 220</p> <p>Hashfunktionen 221</p> <p>Digitale und elektronische Signaturen 225</p> <p>Elliptische-Kurven-Kryptografie 227</p> <p>DLIES und ECIES 229</p> <p>Vertrauensmodelle 229</p> <p>Persönlicher Kontakt 232</p> <p>Zertifizierungsstellen 233</p> <p>Web of Trust 235</p> <p>Trust on First Use 237</p> <p>Kryptograpische Forschung 237</p> <p>Homomorphe Verschlüsselung 238</p> <p>Post-Quantenkryptografie 240</p> <p><b>Kapitel 18: Biometrie</b> <b>243</b></p> <p>Hautleisten 246</p> <p>Venenmuster 247</p> <p>Iris-Scan 247</p> <p>Gesichtserkennung 247</p> <p><b>Kapitel 19: Chipkarten und Secure Hardware Token</b> <b>249</b></p> <p>Einmalpasswort-Token 252</p> <p><b>Teil V: Lösungen und Umsetzungen</b><b> 255</b></p> <p><b>Kapitel 20: Backup & Co 257</b></p> <p>Datensicherung 258</p> <p>Kontrollfragen 261</p> <p>Aufbewahrungspflichten 262</p> <p>Archivierung 263</p> <p>Redundanz 264</p> <p><b>Kapitel 21: Netzwerksicherheit</b> <b>267</b></p> <p>Grundlagen 269</p> <p>Sicherheitserweiterungen von Netzwerkprotokollen 270</p> <p>DNS, Anwendungsschicht 270</p> <p>HTTPS, SMTPS, Anwendungsschicht 272</p> <p>TCP und UDP, Transportschicht 272</p> <p>IP und IPsec, Netzwerkschicht 276</p> <p>ARP und 802.1X, Verbindungsschicht 277</p> <p>Netzwerkzugang 278</p> <p>Netzwerksegmentierung 280</p> <p>Denial-of-Service-Angriffe 281</p> <p>Anonymisierung in Netzwerken 283</p> <p>Funknetze 284</p> <p>WLAN 284</p> <p>Bluetooth 286</p> <p>NFC, RFID 288</p> <p>Das sichere Internet der Zukunft 290</p> <p><b>Kapitel 22: Firewalls</b> <b>291</b></p> <p>Grundlagen von Firewalls 291</p> <p>Packet Filter 294</p> <p>Stateful Inspection Firewall 294</p> <p>Network Address Translation (NAT) 295</p> <p>Proxy-Server und Application Layer Firewall 296</p> <p>NG Firewall und Deep Packet Inspection 297</p> <p>Firewall in der Cloud 298</p> <p><b>Kapitel 23: Verschlüsselung im Einsatz 301</b></p> <p>Daten in Ruhe 301</p> <p>Datenträgerverschlüsselung 304</p> <p>Partitionsverschlüsselung 307</p> <p>Containerverschlüsselung 307</p> <p>Dateiverschlüsselung 308</p> <p>Daten in Bewegung 309</p> <p>Transportverschlüsselung 309</p> <p>E-Mail-Verschlüsselung 311</p> <p>Virtuelle private Netzwerke (VPN) 311</p> <p><b>Kapitel 24: Monitoring 319</b></p> <p>Metriken der IT-Sicherheit 319</p> <p>Angriffserkennungssysteme 322</p> <p>Angriffserkennungssysteme (netzwerkbasiert) 323</p> <p>Angriffserkennungssysteme (hostbasiert) 324</p> <p>Managed Security 325</p> <p>Schadsoftware 326</p> <p>Abwehrstrategien 327</p> <p>Analyse von Schadsoftware 328</p> <p><b>Kapitel 25: Patch Management</b> <b>331</b></p> <p><b>Kapitel 26: Zugangssicherung und Authentisierung</b> <b>335</b></p> <p>Passwörter im Unternehmen 335</p> <p>Zwei-Faktor-Authentisierung 338</p> <p>Biometrie 339</p> <p>Single Sign-on 340</p> <p><b>Kapitel 27: Anwendungssicherheit</b> <b>343</b></p> <p>Chat 343</p> <p>E-Mail 344</p> <p>Verschlüsselung 345</p> <p>Allgemeine Sicherheit 346</p> <p>Videokonferenzen 347</p> <p>Multipoint Control Unit 347</p> <p>Selective Forwarding Unit 348</p> <p>Peer to Peer 348</p> <p>Webanwendungen 349</p> <p>Datenbanken 351</p> <p>Cloud 352</p> <p>Speichern in der Cloud 353</p> <p>Verarbeiten in der Cloud 353</p> <p>Blockchain 354</p> <p>Künstliche Intelligenz 356</p> <p><b>Teil VI: Der Top-Ten-Teil</b><b> 359</b></p> <p><b>Kapitel 28: Zehn Maßnahmen für den technischen Basisschutz</b> <b>361</b></p> <p>Backup 361</p> <p>Schutz vor Schadsoftware 361</p> <p>Netzwerkschutz 361</p> <p>Firewall 362</p> <p>Patch-Management 362</p> <p>Verschlüsselt speichern 362</p> <p>Verschlüsselt kommunizieren 362</p> <p>Passwort-Management 362</p> <p>Biometrie und Zwei-Faktor-Authentifikation 362</p> <p>Spam-Abwehr 363</p> <p><b>Kapitel 29: Zehn Maßnahmen für den organisatorischen Überbau</b> <b>365</b></p> <p>Übernahme der Verantwortung 365</p> <p>Leitlinie zur Informationssicherheit 365</p> <p>Richtlinien zur Informationssicherheit 365</p> <p>Definition und Besetzung der Rollen 366</p> <p>Definition der fundamentalen Prozesse 366</p> <p>Risikobetrachtung 366</p> <p>Klassifizierung der Daten und Systeme 366</p> <p>Awareness 366</p> <p>Krisenmanagement 366</p> <p>Regelmäßige Überprüfung 367</p> <p>Literaturverzeichnis 369</p> <p>Abbildungsverzeichnis 373</p> <p>Stichwortverzeichnis 379</p>

<p><b>Prof. Dr. Rainer W. Gerling</b> war Datenschutz- und IT-Sicherheitsbeauftragter der Max-Planck-Gesellschaft. </p> <p><b>Dr.-Ing. Sebastian R. Gerling</b> ist Chief Digital Officer der Universität Hamburg und Berater für IT-Sicherheit. <p>Beide schreiben und veröffentlichen zum Thema »Datenschutz und IT-Sicherheit«.

<p><b>Sicherheit in der Informationstechnik</b></p> <p>Müssen Sie eine Prüfung zur Informationssicherheit ablegen oder wollen Sie eine Berufslaufbahn in der Informationssicherheit einschlagen? Dieses Buch ist drei Bücher in einem: Es beschreibt für Studierende, Datenschutzbeauftragte und IT-Administratoren gleichermaßen die regulatorischen Vorgaben in Deutschland und der EU. Es geht auf die verschiedenen organisatorischen Aspekte von Informationssicherheit im Unternehmen ein und liefert Ihnen darüber hinaus auch das technische Grundlagenwissen. Die Inhalte werden so präsentiert, dass sie im Wesentlichen ohne spezielles Vorwissen verständlich sind. <p><b>Sie erfahren </b> <ul><li>Welche rechtlichen Vorgaben es gibt</li> <li>Wie Sie IT-Sicherheit im Unternehmen organisieren</li> <li>Wie Ihnen Verschlüsselung, biometrische Verfahren, Chipkarten und Secure Hardware Token helfen</li> <li>Wie Sie Daten und Netzwerke sinnvoll absichern</li></ul> <p><b>Mach dich schlau:<BR>www.fuer-dummies.de </b>

DE