IT-Sicherheit für Dummies

Wenn Sie eine Prüfung zur Informationssicherheit ablegen oder eine Berufslaufbahn in der Informationssicherheit einschlagen wollen, müssen Sie die technischen Grundlagen wie Verschlüsselung verstehen. Sie müssen aber auch die rechtliche Seite - Datenschutz-, Melde- und Dokumentationspflichten - und geeignete organisatorische Maßnahmen im Unternehmen kennen. Dieses Buch ist drei Bücher in einem: Es beschreibt für Studierende, Datenschutzbeauftragte, IT-Administratoren und allgemein Interessierte gleichermaßen die regulatorischen Vorgaben in Deutschland und der EU. Es geht auf die verschiedenen organisatorischen Aspekte von Informationssicherheit im Unternehmen ein und liefert Ihnen darüber hinaus auch das technische Grundlagenwissen. Die Inhalte werden so präsentiert, dass sie im Wesentlichen ohne spezielles Vorwissen verständlich sind.

Autorentext
Prof. Dr. Rainer W. Gerling ist seit 1994 Lehrbeauftragter für Datenschutz und IT-Sicherheit an der Hochschule München. Er war außerdem Datenschutz- und IT-Sicherheitsbeauftragter der Max-Planck-Gesellschaft und kann zahlreiche Veröffentlichungen zu diesem Thema aufweisen.
Dr.-Ing. Sebastian R. Gerling ist Chief Digital Officer der Universität Hamburg und Berater für IT-Sicherheit. Er hat im Bereich IT-Sicherheit promoviert, hält Vorträge und schreibt Artikel zum Thema.

Klappentext

Sicherheit in der Informationstechnik

Müssen Sie eine Prüfung zur Informationssicherheit ablegen oder wollen Sie eine Berufslaufbahn in der Informationssicherheit einschlagen? Dieses Buch ist drei Bücher in einem: Es beschreibt für Studierende, Datenschutzbeauftragte und IT-Administratoren gleichermaßen die regulatorischen Vorgaben in Deutschland und der EU. Es geht auf die verschiedenen organisatorischen Aspekte von Informationssicherheit im Unternehmen ein und liefert Ihnen darüber hinaus auch das technische Grundlagenwissen. Die Inhalte werden so präsentiert, dass sie im Wesentlichen ohne spezielles Vorwissen verständlich sind. Sie erfahren

• Welche rechtlichen Vorgaben es gibt
• Wie Sie IT-Sicherheit im Unternehmen organisieren
• Wie Ihnen Verschlüsselung, biometrische Verfahren, Chipkarten und Secure Hardware Token helfen

• Wie Sie Daten und Netzwerke sinnvoll absichern Mach dich schlau:
  www.fuer-dummies.de

  Inhalt

  Über die Autoren 7

  Einleitung 19

  Über dieses Buch 19

  Törichte Annahmen über den Leser 19

  Was Sie nicht lesen müssen 20

  Wie dieses Buch aufgebaut ist 20

  Teil I: Informationssicherheit, IT-Sicherheit und Datenschutz 20

  Teil II: Rechtliche Anforderungen 21

  Teil III: Organisation der Informationssicherheit 21

  Teil IV: Bausteine der technischen IT-Sicherheit 22

  Teil V: Lösungen und Umsetzungen 22

  Teil VI: Der Top-Ten-Teil 22

  Symbole, die in diesem Buch verwendet werden 23

  Konventionen in diesem Buch 23

  Wie es weitergeht 24

  Teil I: Informationssicherheit, IT-Sicherheit und Datenschutz 25

  Kapitel 1: Irrtümer und häufige Fehler 27

  Internet-Sicherheit 27

  Mobile und Cloud-Sicherheit 29

  Endgerätesicherheit 31

  E-Mail-Sicherheit 32

  Kapitel 2: Grundlagen der Informationssicherheit 35

  Was ist Informationssicherheit? 35

  Was ist IT-Sicherheit? 35

  Was ist Cybersicherheit? 38

  Klassische Schutzziele der Informationssicherheit 39

  Verfügbarkeit 39

  Integrität 41

  Vertraulichkeit 42

  Authentizität 42

  Verantwortlichkeit 42

  Benutzbarkeit 43

  Weitere Schutzziele 44

  Kapitel 3: Bausteine der Informationssicherheit 47

  Risikomanagement 48

  Meldepflichten bei Vorfällen 51

  Einhaltung von Sicherheitsstandards 54

  Nachweis der Einhaltung durch Audits 55

  Kapitel 4: Datenschutz und technisch-organisatorische Maßnahmen 59

  Teil II: Rechtliche Anforderungen 63

  Kapitel 5: Die DS-GVO und das BDSG 65

  Die acht Gebote des Datenschutzes (BDSG a F.) 65

  Stand der Technik 67

  Implementierungskosten 70

  Gewährleistungsziele des Datenschutzes 73

  Kapitel 6: Gesetze zur IT-Sicherheit 75

  NIS-Richtlinie (EU) 75

  Rechtsakt zur Cybersicherheit (EU) 77

  eIDAS-Verordnung (EU) 79

  Single-Digital-Gateway-(SDG-)Verordnung (EU) 81

  BSI-Gesetz (D) 81

  BSI-Kritisverordnung (D) 85

  Geschäftsgeheimnisgesetz (D) 86

  Onlinezugangsgesetz (D) 87

  Sozialgesetzbuch V (D) 88

  TKG, TMG und TTDSG (D) 92

  Kapitel 7: ISO-Normen 95

  ISO/IEC 270xx Informationssicherheit 96

  Anforderungsnormen 98

  Leitfäden 100

  ISO/IEC 27701 Datenschutz 102

  Kapitel 8: BSI und Grundschutz 105

  IT-Grundschutz 105

  BSI-Standards 106

  IT-Grundschutz-Kompendium 108

  Standard-Datenschutzmodell und IT-Grundschutz 113

  Technische Richtlinien des BSI 115

  Kapitel 9: Weitere Standards 119

  Prozessorientierte Standards 119

  VdS 10000: ISMS für KMU 120

  ISIS12 wird CISIS12 122

  TISAX 122

  Finanzstandards 123

  Vorgaben für die öffentliche Verwaltung 124

  Technikorientierte Standards 125

  Common Criteria 125

  PCI-DSS 127

  FIPS 129

  ITIL 130

  Kapitel 10: Technisch-organisatorische Maßnahmen (TOM) 131

  Vertraulichkeit 131

  Zutrittskontrolle, physische und umgebungsbezogene Sicherheit 132

  Zugangskontrolle, Zugangssteuerung 133

  Zugriffskontrolle 134

  [Trennungskontrolle], Nichtverkettbarkeit 135

  Pseudonymisierung 137

  Verschlüsselung, Kryptografie 139

  Integrität 141

  Eingabekontrolle 141

  Digitale Signatur, Hashfunktionen 142

  Weitergabekontrolle, Kommunikationssicherheit 143

  Löschkontrolle ('Recht auf Vergessen werden') 144

  Verfügbarkeit und Belastbarkeit 145

  Verfügbarkeitskontrolle und Informationssicherheitsaspekte

  beim Business Continuity Management 146

  Auftragskontrolle, Lieferantenbeziehungen 147

  Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM 149

  Teil III: Organisation der Informationssicherheit 153

  Kapitel 11: Organisation im Unternehmen 155

  Verantwortung für die Informationssicherheit 155

  Organisatorische Strukturen 155

  Geschäftsleitung 156

  Chief Information Officer/Chief Digital Officer 156

  Informationssicherheitsbeauftragter 156

  IT-Leitung 157

  Computer Emergency Response Team (CERT) 158

  Informationssicherheitsausschuss 159

  Richtlinien und Regeln 159

  Kapitel 12: Der Deming-Kreis (PDCA) und die ständige Verbesserung 163

  Kapitel 13: Risikoanalyse und Kronjuwelen 165

  Klassifizierung der Daten 165

  Klassifizierung der Systeme 166

  Bedrohungsanalyse 168

  Metriken und Bewertung 169

  Kapitel 14: Grundlegende Dokumentation 171

  Asset- und Konfigurationsmanagement 174

  Nutzermanagement und Zugriffskontrolle 180

  Kapitel 15: Meldepflichten und Vorfallsmanagement 185

  Datenschutzvorfälle 185

  IT-Sicherheitsvorfälle 187

  Angriffserkennung 189

  Security Information and Event Management (SIEM) 190

  Dokumentation von Vorfällen und Forensik 191

  Sharing von Threat-Informationen 192

  Kapitel 16: Awareness und Beschäftigte 197

  Teil IV: Bausteine der technischen IT-Sicherheit 201

  Kapitel 17: Grundlagen der Verschlüsselung 203

  Symmetrische Verschlüsselung 208

  Betriebsarten der Blockverschlüsselung 210

  Asymmetrische Verschlüsselung 214

  Diffie-Hellman-Merkle-Schlüsselaustausch 214

  Das RSA-Verfahren 215

  Hybride Verschlüsselung 220

  Hashfunktionen 221

  Digitale und elektronische Signaturen 225

  Elliptische-Kurven-Kryptografie 227

  DLIES und ECIES 229

  Vertrauensmodelle 229

  Persönlicher Kontakt 232

  Zertifizierungsstellen 233

  Web of Trust 235

  Trust on First Use 237

  Kryptograpische Forschung 237

  Homomorphe Verschlüsselung 238

  Post-Quantenkryptografie 240

  Kapitel 18: Biometrie 243

  Hautleisten 246

  Venenmuster 247

  Iris-Scan 247

  Gesichtserkennung 247

  Kapitel 19: Chipkarten und Secure Hardware Token 249

  Einmalpasswort-Token 252

  Teil V: Lösungen und Umsetzungen 255

  Kapitel 20: Backup & Co 257

  Datensicherung 258

  Kontrollfragen 261

  …