O'Reilly logo

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

IT-Sicherheit im Unternehmen

Book Description

  • Mithilfe eines klar umrissenen Projekts ein akzeptables Sicherheitsniveau erreichen
  • Die Nutzung international anerkannter Standards und deren Übersetzung in die Unternehmenswirklichkeit
  • Strukturierte Vorgehensweise anhand konkreter Aufgaben: Transparenz schaffen, Regeln einführen und Audits durchführen

Gerade in der heutigen vernetzten Welt ist IT-Sicherheit unverzichtbar: Kein Unternehmen arbeitet mehr autark, alle sind miteinander durch Netzwerke, regen Datenaustausch oder Mailverkehr verbunden. Das Thema ist komplex und insbesondere kleine und mittelständische Betriebe fürchten sich vor einer zu großen Herausforderung – zu Unrecht.

Thomas W. Harich zeigt Ihnen, wie Sie mit den Mitteln und dem Vokabular alltäglicher Projekte auch die Sicherheit Ihrer IT erfolgreich angehen können – mit Ihren unternehmenseigenen »Bordmitteln«. Das IT-Sicherheitsprojekt hat dabei einen definierten Anfang und ein definiertes Ende – somit sind Aufwand und Nutzen gut kalkulierbar. Der Autor teilt das Projekt übersichtlich in die drei großen Bereiche »Transparenz schaffen«, »Regeln einführen« und »Audits durchführen«. Sie lernen die Grundbegriffe der IT-Sicherheit kennen und werden Schritt für Schritt durch das Projekt geführt. Detaillierte Aufgaben und Arbeitspakete zeigen Ihnen strukturiert, was wann wie zu tun ist. Dabei unterscheidet Thomas W. Harich immer zwischen den Zielen der »Basissicherheit« und der »Erweiterten IT-Sicherheit«.

Grundlage sind international anerkannte Normen der ISO-2700x-Reihe, die Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie Erfahrungen aus der Praxis.

So können Sie mithilfe dieses Buches und der in der Praxis erprobten Vorgehensweise IT-Sicherheit in Ihrem Unternehmen flächendeckend umsetzen und ein hohes Sicherheitsniveau erreichen.

Table of Contents

  1. Impressum
  2. Vorwort von Dr. Markus Morawietz
  3. Vorwort
  4. Kapitel 1: Einführung in die IT-Sicherheit
    1. 1.1 IT-Sicherheit und wie man sie erreicht
    2. 1.2 Wichtige Begriffe
      1. 1.2.1 Normenreihe ISO 2700x und Dokumente des BSI
      2. 1.2.2 Information-Security-Management-System
      3. 1.2.3 IT-Sicherheitsorganisation
      4. 1.2.4 Unternehmenswerte
      5. 1.2.5 Dateneigentümer und Risikoeigentümer
      6. 1.2.6 Asset-Management
      7. 1.2.7 Schutzbedarf, Schutzziele, Schutzstufen und die Klassifizierung
      8. 1.2.8 Risiko, Risikoberechnung, Risikobehandlung und Maßnahmen
      9. 1.2.9 Angriffspfad, Schwachstellen und Bedrohungen
      10. 1.2.10 Richtlinien
      11. 1.2.11 IT-Sicherheitskonzept
    3. 1.3 Das Hamsterrad
    4. 1.4 Die allzu menschlichen Fallstricke
    5. 1.5 Motivation, die IT-Sicherheit zu erhöhen
      1. 1.5.1 Externe Vorgaben
      2. 1.5.2 Verpflichtung zur Datensicherheit
      3. 1.5.3 Haftung auf verschiedenen Ebenen
    6. 1.6 Reduzierung des Risikos
      1. 1.6.1 An​griffe durch eigene Mitarbeiter
      2. 1.6.2 Angriffe von außen
  5. Kapitel 2: Das IT-Sicherheitsprojekt​
    1. 2.1 Kurz zusammengefasst
    2. 2.2 Rahmenbedingungen und Erfahrungen
      1. 2.2.1 Das Wesen eines Projekts
      2. 2.2.2 IT-Sicherheit als Top-down-Ansatz
      3. 2.2.3 Die kontinuierliche Verbesserung
    3. 2.3 Die Ziele des IT-Sicherheitsprojekts
      1. 2.3.1 Aufgabe: Der Geltungsber​eich
      2. 2.3.2 Aufgabe: Sicherheitsniveau als Projektziel
    4. 2.4 Der Projektablauf
      1. 2.4.1 Das Vorgehen im Überblick
      2. 2.4.2 Aufgaben, Input und Output
      3. 2.4.3 Transparenz schaffen
      4. 2.4.4 Regeln einführen
      5. 2.4.5 Durchführung von Audits
  6. Kapitel 3: Transparenz schaffen
    1. 3.1 Übersicht über die Vorgehensweise
    2. 3.2 Die Basisdokumente der IT-Sicherheit
      1. 3.2.1 Aufgabe: Information Security Policy
      2. 3.2.2 Aufgabe: Klassifizierungsrichtlinie
    3. 3.3 Der Workshop und die Erfassung des aktuellen Status
      1. 3.3.1 Zielsetzung und Ablauf
      2. 3.3.2 Eine kleine Business-Impact-Analyse (BIA)
    4. 3.4 Themengebiete der IT-Sicherheit
      1. 3.4.1 Zugrunde liegende Standards
      2. 3.4.2 Aufgabe: Themengebiete der IT-Sicherheit auswählen
  7. Kapitel 4: Regeln einführen
    1. 4.1 Richtlinien als formalisierte Regeln
      1. 4.1.1 St​ruktur und Inhalt von Rich​tlinien
      2. 4.1.2 Richtlinien im Kontext
      3. 4.1.3 ​Aufgabe: Prozessbeschreibung Erstellung und Pflege von Richtlinien
      4. 4.1.4 ​Der Richtlinienbaukasten
      5. 4.1.5 Regeln und die Klassifizier​ung
    2. 4.2 ​Richtlinien umsetzen
      1. 4.2.1 Umsetzung von Regeln
      2. 4.2.2 Von der Richtlinie zur Guidel​ine
      3. 4.2.3 Anspruch und Wirklichkeit
      4. 4.2.4 Eine fiktive IT-Umgebung
      5. 4.2.5 Hilfestellungen durch genormte Vorgehensweisen
    3. 4.3 Die Richtlin​ien/Aufgaben des Projekts
      1. 4.3.1 Aufgabe: Checklisten IT-Sicherheitsrichtlinien und IT-Sicherheitsprozesse
      2. 4.3.2 Aufgabe: Kommunikation von IT-Sicherheitsthemen
    4. 4.4 ​​​​​Die sechs Grundsatzthemen
      1. 4.4.1 ​Aufgabe: Standardisierung von IT-Systemen und Software
      2. 4.4.2 ​Aufgabe: Schutz vor Schadsoftware (Antivirus)
      3. 4.4.3 ​Aufgabe: Patchmanagement
      4. 4.4.4 ​​Zugang zum Unternehmensnetzwerk
      5. 4.4.5 ​Aufgabe: Dateiberechtigungen auf Servern analysieren
      6. 4.4.6 ​Aufgabe: Grundregeln Benutzerverzeichnisse
    5. 4.5 ​Themengebiet IT-Sicherheitsprozesse
      1. 4.5.1 ​​Aufgabe: IT-Sicherheitsorganisation
      2. 4.5.2 ​Aufgabe: Verwaltung der Unternehmenswerte (assets)
      3. 4.5.3 ​Aufgabe: Prozess IT-Sicherheitsvorfälle mel​den
      4. 4.5.4 ​Aufgabe: Prozess Schwachstellenanalyse
      5. 4.5.5 ​Aufgabe: Prozess Notfallmanagement
      6. 4.5.6 ​Aufgabe: Prozess Überwachung von (Sicherheits-)Protokollen (logfiles)
      7. 4.5.7 ​Aufgabe: Microsoft-Windows-Ereignisse überwachen
      8. 4.5.8 ​Aufgabe: Dateizugriffe auf Servern überwachen
      9. 4.5.9 ​​Aufgabe: Prozess Änderungsmanagement (change management)
      10. 4.5.10 ​Aufgabe: Prozess Backup und Wiederherstellung
    6. 4.6 Themengebiet Benutzer
      1. 4.6.1 ​​Aufgabe: Benutzerverwaltung
      2. 4.6.2 ​​​Aufgabe: Generelle Richtlinien für Benutzer
      3. 4.6.3 Aufgabe: Richtlinien für Administratoren
      4. 4.6.4 Aufgabe: Umgang mit Gerätschaften
      5. 4.6.5 Aufgabe: Awareness-Maßnahmen
    7. 4.7 Themengebiet Zugriff auf Daten
      1. 4.7.1 ​Aufgabe: Rollenkonzept erstellen
      2. 4.7.2 Aufgabe: Temporärer administrativer Z​ugriff
      3. 4.7.3 ​Aufgabe: Regeln zur Vergabe von Berechtigungen
    8. 4.8 ​Themengebiet Sichere Systeme
      1. 4.8.1 Aufgabe:​ PCs und Laptops sicher konfigu​rieren
      2. 4.8.2 Aufgabe: Sicherer Administrations-PC
      3. 4.8.3 ​Aufgabe: Sichere Serversysteme
    9. 4.9 ​​Themengebiet Physische Sicherheit
      1. 4.9.1 ​Aufgabe: Zutritt zum Unternehmen
      2. 4.9.2 ​Aufgabe: Kritische Bereiche absichern
    10. 4.10 ​Themengebiet Netzwerk
      1. 4.10.1 ​​​Aufgabe: Datenübertragung und Verschlüsselung
      2. 4.10.2 ​Aufgabe: Verbindungen zu anderen Unternehmen
      3. 4.10.3 ​​Aufgabe: Trennung von Netzwerken
      4. 4.10.4 ​Aufgabe: Regeln zum Zugang zum internen Netzwerk
    11. 4.11 ​Aufgabe: Skript- und Softwareentwicklung
  8. Kapitel 5: Audits durchführen​
    1. 5.1 Das Audi​t und seine Komponenten
      1. 5.1.1 Die Grundzüge
      2. 5.1.2 ​Der Auditor
      3. 5.1.3 ​Der Interview-Partner
      4. 5.1.4 Art des Audits
      5. 5.1.5 Audit-Planung, Geltungsbereich, Abstimmung mit den Fachbereichen
      6. 5.1.6 ​Fragenkatalog, Sammeln von Nachweisen
      7. 5.1.7 Der Audit-Bericht
      8. 5.1.8 Das Aufsichtsgremium
      9. 5.1.9 Lessons learned – Verbesserung des Audit-Prozesses
    2. 5.2 ​Der Fragenkatalog und das Sammeln von Nachweisen
      1. 5.2.1 Aufbau eines Fragenkatalogs
      2. 5.2.2 Auswahl der Fragen und deren Bewertung
      3. 5.2.3 ​Erbringung von Nachweis​en
      4. 5.2.4 ​Auswertung der Antworten
      5. 5.2.5 Übergabe der Abweichungen zur Abarbeitung
    3. 5.3 Quellen für die Überprüfung von Regeln
      1. 5.3.1 Dokumentation und das Asset-Manageme​nt
      2. 5.3.2 ​Auswertung von Protokolldateien
      3. 5.3.3 Aktive Penetrationstests
      4. 5.3.4 ​Ergebnisse aus dem CERT