IT-Sicherheit
eBook - ePub

IT-Sicherheit

Konzepte - Verfahren - Protokolle

  1. 1,021 pages
  2. English
  3. ePUB (mobile friendly)
  4. Available on iOS & Android
eBook - ePub

IT-Sicherheit

Konzepte - Verfahren - Protokolle

About this book

Die Autorin stellt in diesem Standardwerk die zur Umsetzung der Sicherheitsanforderungen benötigten Verfahren und Protokolle detailliert vor und erläutert sie anschaulich anhand von Fallbeispielen. Im Vordergrund steht dabei, die Ursachen für Probleme heutiger IT-Systeme zu verdeutlichen und die grundlegenden Sicherheitskonzepte mit ihren jeweiligen Vor- und Nachteilen zu präsentieren. Der Leser entwickelt nicht nur ein Bewusstsein für IT-Sicherheitsrisiken, sondern erwirbt auch ein breites und grundlegendes Wissen zu deren Behebung.

IT-Systeme und die Digitalisierung sind in allen Bereichen und Branchen von zentraler Bedeutung. Die IT-Sicherheit oder Cybersicherheit nimmt dabei eine tragende Rolle ein. Sie hat die Aufgabe sicher zu stellen, dass die verarbeiteten Daten nicht gezielt verfälscht werden, dass wertvolle Information nicht in falsche Hände gelangt und dass die IT-Systeme nicht in ihrer Funktion beeinträchtigt werden. Heutige IT-Systeme sind einer Vielzahl von Bedrohungen ausgesetzt und weisen noch immer viele Verwundbarkeiten auf. Gleichzeitig gibt es viele, zum Teil standardisierte Sicherheitslösungen, mit denen die Bedrohungen und die damit einhergehenden Risiken reduziert werden können. Kenntnisse möglicher Sicherheitsschwachstellen und möglicher Angriffe auf IT-Systeme, sowie der wichtigsten Sicherheitslösungen und deren Wirksamkeit sind essentiell, um IT-Systeme abzusichern und eine vertrauenswürdige Basis für die digitalen Prozesse zu schaffen.

Aus den Inhalten:

  • ? Sicherheitsschwachstellen, -bedrohungen und Angriffe
  • ? Internet-(Un)Sicherheit
  • ? Secure Engineering
  • ? Kryptographische Verfahren und Schlüsselmanagement
  • ? Digitale Identität
  • ? Zugriffskontrolle
  • ? Netzwerk-, Kommunikations- und Anwendungssicherheit
  • ? Sichere drahtlose Kommunikation

Prof. Dr. Claudia Eckert ist Inhaberin des Lehrstuhls Sicherheit in der Informatik der TU München und Direktorin des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit (AISEC) mit Sitz in Garching bei München.

Frequently asked questions

Yes, you can cancel anytime from the Subscription tab in your account settings on the Perlego website. Your subscription will stay active until the end of your current billing period. Learn how to cancel your subscription.
At the moment all of our mobile-responsive ePub books are available to download via the app. Most of our PDFs are also available to download and we're working on making the final remaining ones downloadable now. Learn more here.
Perlego offers two plans: Essential and Complete
  • Essential is ideal for learners and professionals who enjoy exploring a wide range of subjects. Access the Essential Library with 800,000+ trusted titles and best-sellers across business, personal growth, and the humanities. Includes unlimited reading time and Standard Read Aloud voice.
  • Complete: Perfect for advanced learners and researchers needing full, unrestricted access. Unlock 1.4M+ books across hundreds of subjects, including academic and specialized titles. The Complete Plan also includes advanced features like Premium Read Aloud and Research Assistant.
Both plans are available with monthly, semester, or annual billing cycles.
We are an online textbook subscription service, where you can get access to an entire online library for less than the price of a single book per month. With over 1 million books across 1000+ topics, we’ve got you covered! Learn more here.
Look out for the read-aloud symbol on your next book to see if you can listen to it. The read-aloud tool reads text aloud for you, highlighting the text as it is being read. You can pause it, speed it up and slow it down. Learn more here.
Yes! You can use the Perlego app on both iOS or Android devices to read anytime, anywhere — even offline. Perfect for commutes or when you’re on the go.
Please note we cannot support devices running on iOS 13 and Android 7 or earlier. Learn more about using the app.
Yes, you can access IT-Sicherheit by Claudia Eckert in PDF and/or ePUB format, as well as other popular books in Informatica & Sicurezza informatica. We have over one million books available in our catalogue for you to explore.

Information

Publisher
De Gruyter Oldenbourg
Year
2018
Print ISBN
9783110551587
eBook ISBN
9783110584684
Edition
10
Topic
Informatica
Subtopic
Sicurezza informatica

1Einführung

IKT
Informations- und Kommunikationstechnologie (IKT) ist heute in nahezu allen Bereichen von zentraler Bedeutung. Eingebettete Systeme, Machine-to-Machine (M2M) Kommunikation, Vernetzung, aber auch on-demand beziehbare Mehrwertdienste aus der Cloud sind zentrale Wachstumstreiber einer immer stärker digitalisierten Wirtschaft. Der IT-Sicherheit kommt hierbei eine Schlüsselrolle zu.
IT-Sicherheit
IT-Sicherheit hat die Aufgabe, Unternehmen und deren Werte (Know-How, Kundendaten, Personaldaten) zu schützen und wirtschaftliche Schäden, die durch Vertraulichkeitsverletzungen, Manipulationen oder auch Störungen der Verfügbarkeit von Diensten des Unternehmens entstehen können, zu verhindern. Da eine vollständige Vermeidung oder Verhinderung von Angriffen in der Praxis nicht möglich ist, umfasst das Gebiet der IT-Sicherheit insbesondere auch Maßnahmen und Konzepte, um das Ausmaß potentieller Schäden, die durch Sicherheitsvorfälle entstehen können, zu reduzieren und damit die Risiken beim Einsatz von IKT-Systemen zu verringern. Schwachstellen und konkrete Angriffe oder Angriffsversuche auf IKT-Systeme müssen frühzeitig und mit möglichst hoher Präzision erkannt werden können und auf eingetretene Schadensfälle muss mit geeigneten technischen Maßnahmen reagiert werden. Techniken der Angriffserkennung und -Reaktion gehören deshalb ebenso zur IT-Sicherheit, wie methodische Grundlagen, um IKT-Systeme so zu entwickeln, dass sie qua Design ein hohes Maß an Sicherheit bieten. Man spricht in diesem Zusammenhang auch oft von Secure by Design. Gleichzeitig dient IT-Sicherheit als Enabling-Technologie. Sie ermöglicht die Entwicklung neuer, vertrauenswürdiger Anwendungen und Dienstleistungen verbunden mit innovativen Geschäftsmodellen beispielsweise im Gesundheitsbereich, bei Automotive-Anwendungen oder aber auch in zukünftigen, intelligenten Umgebungen, wie Smart Grid, Smart Factory, Smart Health oder auch Smart Cities.
IT-Sicherheit für Sicherheit
Zudem dienen die Technologien und Verfahren der IT-Sicherheit dazu, die Sicherheit in einem allgemeineren Sinn (u.a. im Sinne öffentlicher Sicherheit) zu erhöhen. Zur Überwachung von beispielsweise kritischen Infrastrukturen, wie Kraftwerken, Produktionsanlagen, Transportleitsysteme etc. wird bereits heute eine Vielzahl von Sensoren eingesetzt, die kontinuierlich Umgebungsdaten erfassen, Daten austauschen und die das Ablaufverhalten bzw. den operativen Betrieb komplexer Anlagen permanent überwachen. Probleme und auffälliges Verhalten werden an zumeist zentral organisierte Leitstellen gemeldet, so dass auf der Basis dieser Steuerungsdaten kontrollierend in kritische Abläufe (zum Teil vollständig automatisiert) eingegriffen wird. Es ist unmittelbar klar, dass die zur Steuerung und Kontrolle verwendeten Daten vor Manipulationen zu schützen sind. Sie müssen zudem rechtzeitig und vollständig vorliegen. Vielfach ist es zudem aus Gründen des Datenschutzes auch notwendig, die Daten vertraulich zu verarbeiten, man denke nur an die aktuelle Diskussion zu den digital erfassten und per Datenkommunikation übermittelten Stromverbrauchsdaten privater Haushalte. IT-Sicherheitskonzepte sind die wichtige Basis, damit die zur Überwachung und Steuerung der Anlagen eingesetzten IKT-Komponenten auch verlässlich für sicherheitskritische Anwendungen eingesetzt werden können.
Das vorliegende Buch hat zum Ziel, fundierte Kenntnisse über Funktionsweise und Wirksamkeit existierender Maßnahmen zur Absicherung von IT Systemen zu vermitteln. Das vorliegende Kapitel führt hierzu die notwendigen generellen Grundlagen und Begrifflichkeiten ein.
Kapitelüberblick
In Abschnitt 1.1 werden die grundlegenden Begriffe und Definitionen eingeführt, die für den Bereich sicherer IT-Systeme von Bedeutung sind. Datenobjekte und Informationen gehören zu den zu schützenden Gütern eines technischen Systems und bilden die Grundlage zur Festlegung der Schutzziele. Das sind Sicherheitsanforderungen, die an ein System gestellt werden und die durch die Sicherheitseigenschaften des Systems schlussendlich zu gewährleisten sind. Die wichtigsten dieser Eigenschaften werden in Abschnitt 1.2 vorgestellt. Aktionen und Ereignisse, die die Sicherheitseigenschaften eines Systems in Frage stellen, sind Angriffe auf das System. Angriffe nutzen Schwachstellen des Systems aus. Abschnitt 7.8.1 erklärt die in diesem Kontext interessierenden Begriffe und erläutert deren Zusammenhänge. Mit der Zunahme der Computerkriminalität gewinnen Maßnahmen an Bedeutung, durch die elektronische Spuren eines digitalen Einbruchs gesichert werden können, um sie in einem Rechtsstreit oder zur Strafverfolgung verwerten zu können. Mit diesem relativ jungen Zweig der IT-Sicherheit, der Computer Forensik, beschäftigt sich Abschnitt 1.4. Die einzuhaltenden Sicherheitseigenschaften eines IT-Systems werden formal oder informell in einer Sicherheitsstrategie festgelegt. Abschnitt 1.5 gibt einen ersten Einblick in Sicherheitsstrategien. Abschnitt 1.6 fasst abschließend die wichtigsten Komponenten eines sicheren IT-Systems zusammen.

1.1Grundlegende Begriffe

Dieser Abschnitt dient dazu, die für das Folgende wesentlichen Begriffe und Termini einzuführen. Da in der Literatur keine einheitliche Begriffsbildung verwendet wird, ist eine entsprechende Festlegung und Einführung notwendig. In diesem Buch beschäftigen wir uns mit der Sicherheit informationstechnischer Systeme, kurz IT-Systeme, so dass wir zunächst den Begriff des IT-Systems präzisieren.
Definition 1.1 (IT-System)
IT-System
Ein IT-System ist ein geschlossenes oder offenes, dynamisches technisches System mit der Fähigkeit zur Speicherung und Verarbeitung von Informationen.
geschlossen
offen
Unter einem geschlossenen System verstehen wir ein System, das auf der Technologie eines Herstellers aufbaut, zu Konkurrenzprodukten nicht kompatibel ist und dessen Ausdehnung sich auf einen bestimmten Teilnehmerkreis und ein bestimmtes räumliches Gebiet beschränkt. Geschlossene Systeme sind in der Regel homogen und werden zentral verwaltet. Unter offenen Systemen verstehen wir vernetzte, physisch verteilte Systeme, die sich an Standards zum Informationsaustausch mit anderen Systemen orientieren. Jedes Teilsystem ist offen für die Kommunikation mit anderen Systemen. Offene Systeme sind meist durch heterogene Hardwarekomponenten und Betriebssysteme gekennzeichnet, für die keine zentrale Administration und Verwaltung zur Verfügung steht.
Die im vorliegenden Buch behandelten Sicherheitseigenschaften von IT-Systemen gelten sowohl für geschlossene als auch für offene Systeme. Die Offenheit eines Systems erfordert jedoch erweiterte und andere Realisierungsmaßnahmen zur Gewährleistung der Sicherheitseigenschaften als sie in einer geschlossenen Umgebung benötigt werden. Der von uns verwendete Systembegriff bezieht sich auf den weiten Bereich der Systeme der Informations- und Kommunikationstechnik (IuK), wozu Betriebssysteme und Kommunikationssysteme ebenso zählen wie Datenverarbeitungssysteme für spezifische Anwendungsbereiche (u.a. ein Krankenhausinformationssystem, eine Homebanking-Anwendung oder ein Telearbeitsplatz).
soziotechnisches System
IT-Systeme sind Bestandteile soziotechnischer Systeme. Das heißt, sie sind eingebettet in gesellschaftliche, unternehmerische und auch politische Strukturen und werden von Benutzern mit sehr unterschiedlichem technischen Know-how und für sehr unterschiedliche Zwecke genutzt. Bei der Betrachtung der technischen Aspekte der IT-Sicherheit muss man sich dieser Einbettung bewusst sein. Fragen der Nutzbarkeit und Akzeptanz von Sicherheitstechnologien sind hier ebenso zu betrachten, wie die Einhaltung von gesetzlichen und organisatorischen Regelungen und Vorschriften (u.a. EU-Datenschutzgrundverordnung, unternehmensspezifische Geheimhaltungsvorschriften, Betriebsverfassungsgesetz). Das vorliegende Buch beschränkt sich jedoch in erster Linie auf die Behandlung der technischen Aspekte der IT-Sicherheit.
Information und Datenobjekte
Objekt
IT-Systeme speichern und verarbeiten Informationen. Die Information ist aber ein Abstraktum, das in Form von Daten bzw. Datenobjekten repräsentiert wird. Wir unterscheiden zwischen passiven Objekten (z.B. Datei, Datenbankeintrag) mit der Fähigkeit, Informationen zu speichern, und aktiven Objekten (z.B. Prozesse) mit der Fähigkeit, sowohl Informationen zu speichern als auch zu verarbeiten. Informationen und die Objekte, die sie repräsentieren, sind schützenswerte Güter (engl. asset) eines Systems.
Information
Die Information, die durch ein Datum repräsentiert wird, ergibt sich aus einer festgelegten Interpretationsvorschrift. So kann beispielsweise ein Integer-Datenobjekt einen numerischen Wert besitzen, der, abhängig von der Interpretationsvorschrift, zum Beispiel den Kontostand eines Bankkontos, eine Speicheradresse oder aber auch eine Entfernungsangabe repräsentiert. Ferner ist es möglich, dass ein und dieselbe Information in unterschiedlichen Datenobjekten repräsentiert ist. Ein geheimes Passwort kann zum Beispiel als eine Folge von Binärzeichen auf der Festplatte in einem Plattenblock (Datenobjekt) gespeichert sein, oder nach der Eingabe durch den Benutzer im Tastatureingabepuffer (Datenobjekt) stehen oder als Nutzdaten in einem IP-Nachrichtpaket (Datenobjekt) enthalten sein. Will man also die Information als abstraktes Gut schützen, muss man sich darüber klar werden, in welchen verschiedenen Datenobjekten diese Information im System repräsentiert wird. Eine Nichtbeachtung dieser Zusammenhänge hat in der Vergangenheit wiederholt zu Sicherheitsproblemen geführt. Ein Beispiel dafür ist das verschlüsselnde Dateisystem EFS unter Windows (siehe auch Abschnitt 13.2.5). EFS stellt Funktionen zur Verfügung, über die sensible Inhalte von Dateien nach der Bearbeitung verschlüsselt auf der Festplatte abgelegt werden können, damit sie nicht mehr im Klartext im System verfügbar sind. In den ersten Versionen dieser Software wurde jedoch vernachlässigt, dass das Speichermanagement des Betriebssystems aus Effizienzgründen häufig genutzte Daten in einem Schnellzugriffspeicher (engl. cache) ablegt. Die sensible Information war somit auch in Cache-Blöcken repräsentiert und aufgrund fehlender Bereinigungsoperationen auch nach dem Schließen der Datei noch für einige Zeit im Klartext im System vorhanden. Ein aktuelles Beispiel sind die in 2018 bekannt gewordenen Probleme bei Prozessoren, die durch die Meltdown und Spectre-Angriffe (vgl. Abschnitt 2.8.1) ausgenutzt werden können. Hintergrund sind performanzsteigernde Maßnahmen, die der Prozessor durchführt, die aber mit Seitenkanalangriffen für Angriffe ausgenutzt werden können.
Subjekt
Datenobjekte sind über ...

Table of contents

  1. Cover
  2. Titelseite
  3. Impressum
  4. Vorwort
  5. Inhaltsverzeichnis
  6. 1 Einführung
  7. 2 Spezielle Bedrohungen
  8. 3 Internet-(Un)Sicherheit
  9. 4 Security Engineering
  10. 5 Bewertungskriterien
  11. 6 Sicherheitsmodelle
  12. 7 Kryptografische Verfahren
  13. 8 Hashfunktionen und elektronische Signaturen
  14. 9 Schlüsselmanagement
  15. 10 Authentifikation
  16. 11 Digitale Identität
  17. 12 Zugriffskontrolle
  18. 13 Fallstudien: iOS-Ecosystem und Windows10
  19. 14 Sicherheit in Netzen
  20. 15 Sichere mobile und drahtlose Kommunikation
  21. Literaturverzeichnis
  22. Abkürzungsverzeichnis
  23. Index