Next:
Impressum
IT-Sicherheit
1
Impressum
2
Einleitung
3
Grundlagen der IT-Sicherheit
3.1
Allgemeine Sicherheit
3.2
IT-Sicherheit
3.3
Gemeinsamkeiten und Unterschiede
4
Schutzziele in der IT-Sicherheit
4.1
1. Vertraulichkeit
4.2
2. Integrität
4.3
3. Verfügbarkeit
4.4
4. Authentizität
4.5
5. Verbindlichkeit (Zurechenbarkeit)
4.6
6. Datenschutz
5
Aufgaben
5.1
Aufgabe 1: Diskussion der Priorisierung der Schutzziele
5.2
Aufgabe 2: Konflikte zwischen den Schutzzielen
5.3
Aufgabe 3: Maßnahmen zur Sicherstellung der Schutzziele
5.4
Aufgabe 4: Praktische Szenarien und Lösungen
5.5
Aufgabe 5: Zukunft der Schutzziele
6
Rechtliche und regulatorische Rahmenbedingungen in der IT-Sicherheit
6.1
Datenschutzgesetze und Compliance
6.1.1
Datenschutz-Grundverordnung (DSGVO)
6.1.2
Bundesdatenschutzgesetz (BDSG)
6.1.3
Branchenspezifische Compliance-Vorgaben
6.2
Internationale Standards
6.2.1
ISO/IEC 27001
6.2.2
NIST Cybersecurity Framework
6.2.3
Weitere relevante Standards und Frameworks
7
Chancen und Risiken der Digitalisierung und IT-Sicherheitsbedürfnisse
7.1
Chancen durch Digitalisierung
7.2
Risiken durch Digitalisierung
7.3
IT-Sicherheitsbedürfnisse als Grundwerte
8
Technologische Trends und ihre Auswirkungen auf die IT-Sicherheit
8.1
Cloud-Sicherheit
8.1.1
Risiken im Zusammenhang mit Cloud Computing
8.1.2
Sicherheitsmaßnahmen für Cloud Computing
8.2
Internet of Things (IoT)
8.2.1
Sicherheitsherausforderungen durch vernetzte Geräte
8.2.2
Sicherheitsmaßnahmen für IoT
8.3
Künstliche Intelligenz und Machine Learning
8.3.1
Einsatz in der IT-Sicherheit
8.3.2
Potenzielle Risiken
8.3.3
Sicherheitsmaßnahmen beim Einsatz von KI und ML
9
Definition Angriffsvektor
9.1
Beispiele für Angriffsvektoren
10
Die Angriffsfläche in der IT-Sicherheit
10.1
Definition und Bedeutung
10.2
Beispiele für Angriffspunkte
10.3
Reduzierung der Angriffsfläche
11
Angriffsarten
11.1
Advanced Persistent Threats (APTs)
11.2
Zusammenhang mit Angriffsvektoren
12
Aufgaben
12.1
Aufgabe 1: Chancen und Risiken der Digitalisierung
12.2
Aufgabe 2: IT-Sicherheitsbedürfnisse als Grundwerte
12.3
Aufgabe 3: Technologische Trends und deren Sicherheitsauswirkungen
12.4
Aufgabe 4: Angriffsvektoren und Angriffsarten
12.5
Aufgabe 5: Angriffsfläche und Maßnahmen
13
Daten in Ruhe und Bewegung
13.1
Vergleich: Daten in Ruhe und Daten in Bewegung
13.2
Bedeutung der Sicherheitsstrategien
14
IT-Sicherheitsstrategien
14.1
1. Vermeidung von Angriffen
14.2
2. Erkennen von Angriffen
14.3
3. Entgegenwirken von Angriffen
14.4
4. Reaktion auf Angriffe
15
Angriffe auf Verwaltungen
15.1
Schlüsselmaßnahmen zur Abwehr von APTs
16
Strategien zur Umsetzung eines angemessenen IT-Sicherheitsniveaus
16.1
1. Risikobewertung und -management
16.2
2. Entwicklung von Sicherheitsrichtlinien und -standards
16.3
3. Implementierung von Sicherheitstechnologien
16.4
4. Schulung und Sensibilisierung der Mitarbeiter
16.5
5. Regelmäßige Überprüfungen und kontinuierliche Verbesserung
16.6
6. Einhaltung von Compliance und gesetzlichen Anforderungen
17
Sicherheit versus Wirtschaftlichkeit
17.1
Sicherheit
17.2
Wirtschaftlichkeit
17.3
Gegenüberstellung
18
Aufgaben
18.1
Aufgabe 1: Daten in Ruhe und Bewegung
18.2
Aufgabe 2: IT-Sicherheitsstrategien
18.3
Aufgabe 3: Angriffe auf Verwaltungen
18.4
Aufgabe 4: Strategien zur Umsetzung eines angemessenen IT-Sicherheitsniveaus
18.5
Aufgabe 5: Sicherheit versus Wirtschaftlichkeit
19
Angriffserkennung, Angriffsabwehr und Postmortem-Analyse in der IT-Sicherheit
19.1
Übersicht der Phasen
19.2
Detaillierte Betrachtung der Phasen
19.2.1
1. Angriffserkennung
19.2.2
2. Angriffsabwehr
19.2.3
3. Postmortem-Analyse
19.3
Integration in das Sicherheitsmanagement
20
Incident Response und Notfallmanagement
20.1
Vorbereitung auf Sicherheitsvorfälle: Entwicklung von Incident-Response-Plänen
20.1.1
Schritte zur Entwicklung eines Incident-Response-Plans
20.2
Kommunikation im Krisenfall: Internes und externes Reporting, PR-Strategien
20.2.1
Interne Kommunikation
20.2.2
Externe Kommunikation
20.3
Wiederherstellung und Business Continuity: Strategien zur Aufrechterhaltung des Geschäftsbetriebs
20.3.1
Wiederherstellungsmaßnahmen
20.3.2
Business Continuity Management (BCM)
21
IT-Cybersecurity im Kontext von Verwaltungsabläufen
21.1
Wichtige Aspekte der IT-Cybersecurity in Verwaltungsabläufen
22
Gefahrenabwehr in der IT-Sicherheit
22.1
Übersicht der Schlüsselkomponenten der Gefahrenabwehr
23
Aufgaben
23.1
Aufgabe 1: Angriffserkennung, Angriffsabwehr und Postmortem-Analyse
23.2
Aufgabe 2: Incident Response und Notfallmanagement
23.3
Aufgabe 3: IT-Cybersecurity in Verwaltungsabläufen
23.4
Aufgabe 4: Gefahrenabwehr in der IT-Sicherheit
24
Security by Obscurity: Risiken und Gefahren
24.1
Grundprinzip von Security by Obscurity
24.2
Risiken und Probleme
24.3
Sicherheitsexperten gegen Security by Obscurity
24.4
Security by Obscurity: Das Beispiel der Enigma
24.4.1
Geheimhaltung als Sicherheitsstrategie
24.4.2
Entschlüsselung durch die Alliierten
24.4.3
Lehren aus der Enigma
25
Security by Design
25.1
Grundkonzept
25.2
IT-Sicherheit als Prozess
25.3
Umsetzung im Entwicklungsprozess
25.4
Vorteile
26
Defense-in-Depth
26.1
Grundprinzip
26.2
Mehrschichtiger Ansatz
26.3
Redundanz und Resilienz
26.4
Anpassungsfähigkeit
27
Zero-Trust-Policy
28
Need-to-Know-Prinzip in der IT-Sicherheit
28.1
Akkumulation von Zugriffsberechtigungen
28.2
Risiken vernachlässigter Zugriffsbereinigung
28.3
Umsetzung des Need-to-Know-Prinzips
28.4
Schulung und Bewusstsein
29
Trennung der Verantwortlichkeiten in der IT-Sicherheit
29.1
Konzept und Bedeutung
29.2
Anwendungsbereiche
29.3
Umsetzung
29.4
Vorteile
29.5
Trennung der Verantwortlichkeiten und DevOps
29.5.1
DevOps und Trennung der Verantwortlichkeiten
29.5.2
Rollenverteilung in DevOps
29.5.3
Nutzung von Containern und Isolation
29.5.4
Sicherheitsvorteile
29.6
DevOps, Containerisierung und Orchestrierung: Vereinheitlichung durch Kubernetes
29.6.1
DevOps und Technologie-Stack
29.6.2
Containerisierung
29.6.3
Kubernetes als Orchestrierungstool
29.6.4
Vereinheitlichung der Protokollierung
29.6.5
Monitoring und Alerting
29.6.6
Vorteile der Vereinheitlichung
30
Aufgaben
30.1
Aufgabe 1: Security by Obscurity
30.2
Aufgabe 2: Security by Design
30.3
Aufgabe 3: Defense-in-Depth
30.4
Aufgabe 4: Zero-Trust-Policy
30.5
Aufgabe 5: Need-to-Know-Prinzip
30.6
Aufgabe 6: Trennung der Verantwortlichkeiten
31
Zugriffskontrolle in der IT-Sicherheit
31.1
Bedeutung der Zugriffskontrolle
31.2
Arten der Zugriffskontrolle
31.3
Implementierung der Zugriffskontrolle
31.4
Bedeutung für die Gesamtsicherheit
31.5
Die Problematik von Passwort-Richtlinien
31.5.1
Die Bedeutung der Passwortlänge
32
Plakative IT-Sicherheit: Kontraproduktivität demonstrativer Maßnahmen
32.1
Demonstrative vs. Effektive Sicherheitsmaßnahmen
32.2
Probleme Plakativer Sicherheitsmaßnahmen
32.3
Bedeutung von Substanz über Show
33
Aufgaben
33.1
Aufgabe 1: Zugriffskontrolle in der IT-Sicherheit
33.2
Aufgabe 2: Passwortpolitik
33.3
Aufgabe 3: Plakative vs. Effektive IT-Sicherheit
33.4
Aufgabe 4: Substanz über Show
34
Der Mensch als Faktor in der IT-Sicherheit
34.1
Bedeutung des menschlichen Faktors
34.2
Risiken durch menschliche Fehler
34.3
Schulung und Bewusstseinsbildung
34.4
Einbindung in Sicherheitskultur
34.5
Technische Unterstützung
35
Kontinuierliche Weiterbildung in der IT-Sicherheit
35.1
Dynamische Bedrohungsszenarien
35.2
Bedeutung der kontinuierlichen Weiterbildung
35.3
Probleme statischer Sicherheitsprozesse
35.4
Aus- und Weiterbildung zum IT-Sicherheitsexperten
35.5
Weiterbildungsangebote des BSI
35.6
Praktische Schritte zur kontinuierlichen Weiterbildung
36
Sicherung von Mitarbeiter-Clients: Herausforderungen und Ansätze
36.1
Häufige Fehler in der Client-Sicherheit
36.2
Notwendigkeit eines ganzheitlichen Ansatzes
36.3
Anwendung des Zero-Trust-Prinzips
36.4
Effektive Sicherheitsstrategien für Mitarbeiter-Clients
36.5
Herausforderungen bei der Implementierung eines Zero-Trust-Modells
37
Design for Resilience in der IT
37.1
Grundprinzip
37.2
Schlüsselelemente
37.3
Wichtigkeit in der IT-Sicherheit
37.4
Praktische Umsetzung
38
Die Grenzen zwischen internen und externen Netzwerken in der IT-Sicherheit
38.1
Traditionelle Sichtweise: Intern vs. Extern
38.2
Risiken der traditionellen Sichtweise
38.3
Notwendigkeit der Differenzierung in Domänen
38.3.1
Mikrosegmentierung
38.3.2
Zero-Trust-Modell
38.4
Vorteile der domänenbasierten Sicherheit
38.5
Praktische Umsetzungsschritte
38.6
Herausforderungen bei der Umsetzung
39
Aufgaben
39.1
Aufgabe 1: Menschlicher Faktor in der IT-Sicherheit
39.2
Aufgabe 2: Kontinuierliche Weiterbildung
39.3
Aufgabe 3: Sicherung von Mitarbeiter-Clients
39.4
Aufgabe 4: Design for Resilience
39.5
Aufgabe 5: Grenzen interner und externer Netzwerke
40
Organisation des IT-Sicherheitsmanagements
40.1
Sicherheit ist aktiv und proaktiv
40.1.1
Bedeutung von Aktivität und Proaktivität in der IT-Sicherheit
40.1.2
Aktive Sicherheitsmaßnahmen
40.1.3
Proaktive Sicherheitsmaßnahmen
40.1.4
Integration in die Unternehmenskultur
40.1.5
Technologische und organisatorische Maßnahmen
41
Routine im IT-Sicherheitsmanagement
41.1
Bedeutung von Routine in der IT-Sicherheit
41.2
Schlüsselaspekte der Routine
41.2.1
1. Regelmäßige Sicherheitsüberprüfungen
41.2.2
2. Automatisierung von Sicherheitsprozessen
41.2.3
3. Kontinuierliches Monitoring
41.2.4
4. Wartung und Updates
41.3
Integration in den Arbeitsalltag
41.3.1
1. Mitarbeiterschulungen
41.3.2
2. Klare Verantwortlichkeiten
41.3.3
3. Feedback und Anpassung
41.4
Bedeutung für die Gesamtsicherheit
42
Sicherheitskultur im Unternehmen
42.1
Aktueller Status in vielen Unternehmen
42.2
Notwendigkeit einer starken Sicherheitskultur
42.3
Schlüsselaspekte einer starken Sicherheitskultur
43
IT-Sicherheit: Wahrnehmung und Herausforderungen in Verwaltung und Unternehmen
43.1
Fehlwahrnehmung von IT-Sicherheit
43.2
Beispiele für Fehltritte in der IT-Sicherheit
43.3
Fehler, die die Akzeptanz von IT-Sicherheit beeinträchtigen
43.4
Verbesserung der Wahrnehmung und Akzeptanz
44
Worst-Case-Szenario im IT-Sicherheitskontext
44.1
Definition
44.2
Beispiele für Worst-Case-Szenarien
44.3
Vorbereitung auf Worst-Case-Szenarien
45
Aufgaben
45.1
Aufgabe 1: Aktiv und proaktiv in der IT-Sicherheit
45.2
Aufgabe 2: Bedeutung von Routine in der IT-Sicherheit
45.3
Aufgabe 3: Sicherheitskultur etablieren
45.4
Aufgabe 4: Wahrnehmung und Akzeptanz von IT-Sicherheit
45.5
Aufgabe 5: Worst-Case-Szenarien vorbereiten
46
Denken wie ein Angreifer im IT-Sicherheitskontext
46.1
Bedeutung des Ansatzes
46.2
Anwendung des Ansatzes
46.3
Vorteile des Ansatzes
46.4
Herausforderungen
47
Organisationsstrukturen nach organisatorischem Reifegrad
48
Information Technology Risk Council (ITRC)
48.1
Grundlagen des ITRC
48.2
Aufgaben des ITRC
48.3
Bedeutung des ITRC
49
Rolle des Chief Information Security Officer (CISO)
49.1
Grundfunktionen des CISO
49.2
Hauptverantwortlichkeiten
49.3
Bedeutung der Rolle
50
Aufgaben
50.1
Aufgabe 1: Denken wie ein Angreifer
50.2
Aufgabe 2: Reifegrad und Organisationsstrukturen
50.3
Aufgabe 3: Rolle des Information Technology Risk Council (ITRC)
50.4
Aufgabe 4: Rolle des CISO
50.5
Aufgabe 5: Proaktive Sicherheitsmaßnahmen im Kontext von “Denken wie ein Angreifer”
51
Bedrohungsanalyse
51.1
Ablauf von Bedrohungs- und Risikoanalysen
51.2
Einbindung der IT-Sicherheit in Unternehmensprozesse
51.2.1
Anforderungsanalyse und Konzeptphase
51.2.2
Testplanung priorisieren und Testergebnisse bewerten
51.2.3
Schwachstellen bewerten und behandeln
51.2.4
Laufende Systeme bewerten
52
Auswahlkriterien für geeignete IT-Sicherheitsmethoden
52.1
Unternehmensspezifische Anforderungen
52.1.1
Analyse der Geschäftsprozesse
52.1.2
Strategische Unternehmensziele
52.2
Risikoprofil
52.2.1
Bedrohungslandschaft
52.2.2
Risikoanalyse und -bewertung
52.3
Technologische Kompatibilität
52.3.1
Bestehende IT-Infrastruktur
52.3.2
Technologische Standards und Architekturen
52.4
Skalierbarkeit und Flexibilität
52.4.1
Anpassungsfähigkeit an Veränderungen
52.4.2
Kapazitätsplanung
52.5
Kosten-Nutzen-Verhältnis
52.5.1
Wirtschaftliche Betrachtung
52.5.2
Budgetrestriktionen
52.6
Benutzerfreundlichkeit
52.6.1
User Experience
52.6.2
Einfluss auf Arbeitsprozesse
52.7
Compliance-Anforderungen
52.7.1
Gesetzliche Vorgaben
52.7.2
Zertifizierungen und Standards
52.8
Anbieterreputation und Support
52.8.1
Zuverlässigkeit des Anbieters
52.8.2
Service und Support
52.9
Sicherheitskultur und Mitarbeiterbeteiligung
52.9.1
Schulung und Sensibilisierung
52.9.2
Beteiligung der Belegschaft
52.10
Zukunftssicherheit und Innovation
52.10.1
Technologische Trends
52.10.2
Forschung und Entwicklung
52.11
Nachhaltigkeit und soziale Verantwortung
52.11.1
Ökologische Aspekte
52.11.2
Soziale Verantwortung
52.12
Implementierungsaufwand und Zeitrahmen
52.12.1
Projektmanagement
52.12.2
Risiko der Umstellung
53
Reifegradanalyse und ihre Aufgabe
53.1
Was ist eine Reifegradanalyse?
53.2
Aufgaben der Reifegradanalyse
53.2.1
1. Bewertung des aktuellen Zustands
53.2.2
2. Vergleich mit Best Practices
53.2.3
3. Ermittlung des Reifegrades
53.2.4
4. Erstellung eines Verbesserungsplans
53.2.5
5. Unterstützung bei der Umsetzung
53.2.6
6. Regelmäßige Überprüfung und Anpassung
53.3
Schritte zur Durchführung einer Reifegradanalyse
53.4
Vorteile der Reifegradanalyse
53.5
Herausforderungen bei der Implementierung
53.6
Best Practices für eine erfolgreiche Reifegradanalyse
53.7
Anwendungsbereiche der Reifegradanalyse
53.8
Reifegradanalyse zur Bewertung der Sicherheit von Kernprozessen
53.8.1
Vorteile der Reifegradanalyse
53.8.2
Limitationen der Reifegradanalyse
54
Definitionen der Reifegrad-Level in IT-Security-Prozessen
54.1
Übersicht der Reifegrad-Level
54.2
Beschreibung der Reifegrad-Level
54.2.1
Level 0: Initial
54.2.2
Level 1: Wiederholbar
54.2.3
Level 2: Definiert
54.2.4
Level 3: Gemanaged
54.2.5
Level 4: Optimiert
54.3
Bedeutung für Organisationen
54.4
Reifegradanalyse in IT-Security: Business vs. Organisation & IT Perspektive
54.4.1
Perspektive des Business
54.4.2
Perspektive der Organisation und IT
55
Aufgaben
55.1
Aufgabe 1: Bedrohungsanalyse durchführen
55.2
Aufgabe 2: Reifegradanalyse anwenden
55.3
Aufgabe 3: Perspektiven vergleichen
55.4
Aufgabe 4: Worst-Case-Szenario entwickeln
55.5
Aufgabe 5: Sicherheitsmethoden auswählen
55.6
Aufgabe 6: Integration von Sicherheitsroutinen
55.7
Aufgabe 7: Angreiferperspektive simulieren
55.8
Aufgabe 8: Sicherheit im Kontext der Unternehmensprozesse