1 Grundlagen zur Informationssicherheit

Informationsquellen

  • Bundesamt für Sicherheit in der Informationstechnik (BSI)
  • Deutschland sicher im Netz e.V (DsiN)
  • Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI)
  • Bundesverband IT-Sicherheit e.V. (TeleTrust)
  • Antispam e.V.
  • AV-TEST GmbH

Verantwortung

  1. Oberste Leitungsebene
  2. IT-Sicherheitsbeauftragte, IS-Beauftragte, Datenschutzbeauftragte

  • IT-Sicherheitsgesetz (IT-SiG)
  • EU-Datenschutz-Grundverordnung (EU-DSGVO)
  • BSI-Gesetz (BSIG)
  • IT-Grundschutz-Kompendium des BSI
  • IS-Management nach ISO 27001
  • Bundesdatenschutzgesetz (BDSG)
  • Telekommunikationsgesetz
  • Telemediengesetz (TMG)

Urheberrecht, Markenrecht und Lizenzrecht

  • Urheberrecht/Copyright
  • Markenrecht
  • Creative-Commons-Lizenz
  • Softwarelizenzen
  • EULA

Schutzziele und Grundwerte der IS nach BSI

Der IT-Grundschutz betrachtet die drei Schutzziele bzw. Grundwerte der IS:
  • Verfügbarkeit (Availability)
  • Integrität (Integrity)
  • Vertaulichkeit (Confidendiality)
Jedem Anwender des IT-Grundschutzes steht es frei, bei der Schutzbedarfsfeststellung weitere Grundwerte zu betrachten, wenn dies im individuellen Anwendungsfall hilfreich ist. Weitere generische Oberbegriffe der Informationssicherheit sind beispielsweise Authentizität, Verbindlichkeit, Zuverlässigkeit und Nichtabstreitbarkeit. Mit dem Begriff Authentizität wird eine Eigenschaft bezeichnet, die gewährleistet, dass ein Kommunikationspartner tatsächlich derjenige ist, der er vorgibt zu sein.

14 Gebote für Datensicherheit und Datenschutz

  1. Zugangskontrolle
  2. Datenträgerkontrolle
  3. Speicherkontrolle
  4. Benutzerkontrolle
  5. Zugriffskontrolle
  6. Übertragungskontrolle
  7. Eingabekontrolle
  8. Transportkontrolle
  9. Wiederherstellbarkeit
  10. Zuverlässigkeit
  11. Datenintegrität
  12. Auftragskontrolle
  13. Verfügbarkeitskontrolle
  14. Trennbarkeit

Video: BSI Grundschutz-Kataloge
Dauer: ca. 3 Min

Video: Die drei Schutzziele
Dauer: ca. 6 Min

Video: Datenschutz
Dauer: ca. 4 Min

Cyberangriffe

  • Angriffsziele
    • Ablenkung
    • Behinderung
    • Belauschung
    • Datendiebstahl
    • Erpressung
    • Ideendiebstahl
    • Schädigung im Wettbewerb
    • Systemüberlastung
    • Unternehmensdaten
    • Verschleierung
    • Zugang zu verschlossenen Bereichen
  • Angriffsvektoren

    • Kombination aus Angriffsweg und Angriffstechnik

  • Angriffswege/Angriffsobjekt
    • Datenkommunikation
    • Netzwerk
    • Web
    • E-Mail
    • Datenspeicher
    • Hardware
    • Protokolle
    • OS
    • Software
    • Treiber
    • Bibliotheken
    • Menschen
    • KI
  • Angriffstechnik
    • Code-Injection
    • Diebstahl
    • Netzwerk-Angriffe
    • Schwachstellenausnutzung
    • Spam
    • Trojaner
    • Malware
  • Angriffsarten
    • Informationsdiebstahl
    • Physische Manipulation von Geräten
    • Man-in-the-Middle-Angriffe
    • DoS und DDoS
    • Malware

Schadsoftware - Malware

  • Adware
  • Credential Stuffing
  • Nicknapping
  • Malware
  • Viren
  • Würmer
  • Trojaner
  • PUA (Potentially Unwanted Application)
  • Ransomware
  • Scareware
  • Spam

Große Cyber-Attacken

  • APT - Advanced Persistent Threats
  • Bot/Botnetze
  • DoS (Denial of Service)
    • Syn Flooding
    • Ping Flooding
    • Mailbombing
  • DDoS (Distributed-Denial-of-Service-Attacken)

Video: Malware
Dauer: ca. 3 Min

Social Engineering

  • Angler-Phishing
  • CEO-Fraud
  • Combosquatting
  • Drive-by-Download/Drive-by-Exploits
  • Doxing
  • E-Mail-Angriffe
  • Identitätsdiebstahl
  • Jailbreak und Rooting
  • Man-in-the-Middle-Angriffe
  • Keylogging

Anforderung und Maßnahmen

  • Passwortregeln
  • Geräte vor Diebstahl schützen
  • Sicherheitsupdates
  • Kontrolle welche Daten von der App ausgelesen werden
  • Bildschirmsperre beim Verlassen des Arbeitsplatzes
  • Fernlöschen von Daten ermöglichen
  • Sicherheitsapp installieren
  • Keine sensiblen Daten auf mobilen Geräten
  • Öffentliche WLAN-Hotspots nur per WPA2-Verschlüsselung
  • Dateien verschlüsseln und Backups anlegen
  • Erkennungssoftware
  • Blacklisting und Whitelisting
  • Zwei- oder Multi-Faktor-Authentifizierung, Single Sign-on

Elektronische Siegel und Vertrauensdienste

Elektronische Signatur mit öffentlichem und privatem Schlüssel

(E-Mail-)Verschlüsselung

  • TLS - Transportverschlüsselung
  • Ende-zu-Ende-Verschlüsselung der E-Mail-Inhalte
  • Asymmetrisches Verschlüsselungsverfahren - OpenPGP
  • Asymmetrisches Verschlüsselungsverfahren - S/MIME
  • Domain-Verschlüsselung

Video: Social Engineering
Dauer: ca. 6 Min

© 2024 Netzwerk-Barbaren - AP1

E-Mail