Verlagstext:
Mithilfe eines klar umrissenen Projekts ein akzeptables Sicherheitsniveau erreichenDie Nutzung international anerkannter Standards und deren Übersetzung in die UnternehmenswirklichkeitStrukturierte Vorgehensweise anhand konkreter Aufgaben: Transparenz schaffen, Regeln einführen und Audits durchführen
Gerade in der heutigen vernetzten Welt ist IT-Sicherheit unverzichtbar: Kein Unternehmen arbeitet mehr autark, alle sind miteinander durch Netzwerke, regen Datenaustausch oder Mailverkehr verbunden. Das Thema ist komplex und insbesondere kleine und mittelständische Betriebe fürchten sich vor einer zu großen Herausforderung – zu Unrecht.
Thomas W. Harich zeigt Ihnen, wie Sie mit den Mitteln und dem Vokabular alltäglicher Projekte auch die Sicherheit Ihrer IT erfolgreich angehen können – mit Ihren unternehmenseigenen »Bordmitteln«. Das IT-Sicherheitsprojekt hat dabei einen definierten Anfang und ein definiertes Ende – somit sind Aufwand und Nutzen gut kalkulierbar. Der Autor teilt das Projekt übersichtlich in die drei großen Bereiche »Transparenz schaffen«, »Regeln einführen« und »Audits durchführen«. Sie lernen die Grundbegriffe der IT-Sicherheit kennen und werden Schritt für Schritt durch das Projekt geführt. Detaillierte Aufgaben und Arbeitspakete zeigen Ihnen strukturiert, was wann wie zu tun ist. Dabei unterscheidet Thomas W. Harich immer zwischen den Zielen der »Basissicherheit« und der »Erweiterten IT-Sicherheit«.
Grundlage sind international anerkannte Normen der ISO-2700x-Reihe, die Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie Erfahrungen aus der Praxis.
So können Sie mithilfe dieses Buches und der in der Praxis erprobten Vorgehensweise IT-Sicherheit in Ihrem Unternehmen flächendeckend umsetzen und ein hohes Sicherheitsniveau erreichen.
/ AUS DEM INHALT: / / / Inhaltsverzeichnis
Vorwort von DrMarkus Morawietz 11
Vorwort 15
1 Einführung in die IT-Sicherheit 25
1.1 IT-Sicherheit und wie man sie erreicht 25
1.2 Wichtige Begriffe 28
1.2.1 Normenreihe ISO 2700x und Dokumente des BSI 29
1.2.2 Information-Security-Management-System 30
1.2.3 IT-Sicherheitsorganisation 31
1.2.4 Unternehmenswerte 32
1.2.5 Dateneigentümer und Risikoeigentümer 33
1.2.6 Asset-Management 34
1.2.7 Schutzbedarf, Schutzziele, Schutzstufen und die
Klassifizierung 35
1.2.8 Risiko, Risikoberechnung, Risikobehandlung und
Maßnahmen 37
1.2.9 Angriffspfad, Schwachstellen und Bedrohungen 39
1.2.10 Richtlinien 39
1.2.11 IT-Sicherheitskonzept 40
1.3 Das Hamsterrad 41
1.4 Die allzu menschlichen Fallstricke 42
1.5 Motivation, die IT-Sicherheit zu erhöhen 45
1.5.1 Externe Vorgaben 45
1.5.2 Verpflichtung zur Datensicherheit 47
1.5.3 Haftung auf verschiedenen Ebenen 49
1.6 Reduzierung des Risikos 50
1.6.1 Angriffe durch eigene Mitarbeiter 50
1.6.2 Angriffe von außen 51
2 Das IT-Sicherheitsprojekt 53
2.1 Kurz zusammengefasst 53
2.2 Rahmenbedingungen und Erfahrungen 56
2.2.1 Das Wesen eines Projekts 56
2.2.2 IT-Sicherheit als Top-down-Ansatz 57
2.2.3 Die kontinuierliche Verbesserung 59
2.3 Die Ziele des IT-Sicherheitsprojekts 61
2.3.1 Aufgabe: Der Geltungsbereich 62
2.3.2 Aufgabe: Sicherheitsniveau als Projektziel 64
2.4 Der Projektablauf 68
2.4.1 Das Vorgehen im Überblick 68
2.4.2 Aufgaben, Input und Output 69
2.4.3 Transparenz schaffen 71
2.4.4 Regeln einführen 75
2.4.5 Durchführung von Audits 78
3 Transparenz schaffen 81
3.1 Übersicht über die Vorgehensweise 81
3.2 Die Basisdokumente der IT-Sicherheit 83
3.2.1 Aufgabe: Information Security Policy 84
3.2.2 Aufgabe: Klassifizierungsrichtlinie 87
3.3 Der Workshop und die Erfassung des aktuellen Status 90
3.3.1 Zielsetzung und Ablauf 90
3.3.2 Eine kleine Business-Impact-Analyse (BIA) 94
3.4 Themengebiete der IT-Sicherheit 102
3.4.1 Zugrunde liegende Standards 102
3.4.2 Aufgabe: Themengebiete der IT-Sicherheit auswählen 103
4 Regeln einführen 109
4.1 Richtlinien als formalisierte Regeln 110
4.1.1 Struktur und Inhalt von Richtlinien 110
4.1.2 Richtlinien im Kontext 114
4.1.3 Aufgabe: Prozessbeschreibung Erstellung und Pflege
von Richtlinien 115
4.1.4 Der Richtlinienbaukasten 117
4.1.5 Regeln und die Klassifizierung 119
4.2 Richtlinien umsetzen 121
4.2.1 Umsetzung von Regeln 121
4.2.2 Von der Richtlinie zur Guideline 123
4.2.3 Anspruch und Wirklichkeit 125
4.2.4 Eine fiktive IT-Umgebung 127
4.2.5 Hilfestellungen durch genormte Vorgehensweisen 131
4.3 Die Richtlinien/Aufgaben des Projekts 142
4.3.1 Aufgabe: Checklisten IT-Sicherheitsrichtlinien und
IT-Sicherheitsprozesse 142
4.3.2 Aufgabe: Kommunikation von IT-Sicherheitsthemen 144
4.4 Die sechs Grundsatzthemen 145
4.4.1 Aufgabe: Standardisierung von IT-Systemen und Software 146
4.4.2 Aufgabe: Schutz vor Schadsoftware (Antivirus) 148
4.4.3 Aufgabe: Patchmanagement 151
4.4.4 Zugang zum Unternehmensnetzwerk 153
4.4.5 Aufgabe: Dateiberechtigungen auf Servern analysieren 156
4.4.6 Aufgabe: Grundregeln Benutzerverzeichnisse 160
4.5 Themengebiet IT-Sicherheitsprozesse 162
4.5.1 Aufgabe: IT-Sicherheitsorganisation 163
4.5.2 Aufgabe: Verwaltung der Unternehmenswerte (assets) 168
4.5.3 Aufgabe: Prozess IT-Sicherheitsvorfälle melden 169
4.5.4 Aufgabe: Prozess Schwachstellenanalyse 173
4.5.5 Aufgabe: Prozess Notfallmanagement 175
4.5.6 Aufgabe: Prozess Überwachung von (Sicherheits-)
Protokollen (logfiles) 177
4.5.7 Aufgabe: Microsoft-Windows-Ereignisse überwachen 180
4.5.8 Aufgabe: Dateizugriffe auf Servern überwachen 182
4.5.9 Aufgabe: Prozess Änderungsmanagement
(change management) 184
4.5.10 Aufgabe: Prozess Backup und Wiederherstellung 185
4.6 Themengebiet Benutzer 186
4.6.1 Aufgabe: Benutzerverwaltung 186
4.6.2 Aufgabe: Generelle Richtlinien für Benutzer 188
4.6.3 Aufgabe: Richtlinien für Administratoren 191
4.6.4 Aufgabe: Umgang mit Gerätschaften 192
4.6.5 Aufgabe: Awareness-Maßnahmen 193
4.7 Themengebiet Zugriff auf Daten 194
4.7.1 Aufgabe: Rollenkonzept erstellen 194
4.7.2 Aufgabe: Temporärer administrativer Zugriff 197
4.7.3 Aufgabe: Regeln zur Vergabe von Berechtigungen 198
4.8 Themengebiet Sichere Systeme 200
4.8.1 Aufgabe: PCs und Laptops sicher konfigurieren 200
4.8.2 Aufgabe: Sicherer Administrations-PC 203
4.8.3 Aufgabe: Sichere Serversysteme 205
4.9 Themengebiet Physische Sicherheit 206
4.9.1 Aufgabe: Zutritt zum Unternehmen 207
4.9.2 Aufgabe: Kritische Bereiche absichern 208
4.10 Themengebiet Netzwerk 212
4.10.1 Aufgabe: Datenübertragung und Verschlüsselung 213
4.10.2 Aufgabe: Verbindungen zu anderen Unternehmen 215
4.10.3 Aufgabe: Trennung von Netzwerken 216
4.10.4 Aufgabe: Regeln zum Zugang zum internen Netzwerk 217
4.11 Aufgabe: Skript- und Softwareentwicklung 219
5 Audits durchführen 223
5.1 Das Audit und seine Komponenten 223
5.1.1 Die Grundzüge 223
5.1.2 Der Auditor 226
5.1.3 Der Interview-Partner 227
5.1.4 Art des Audits 228
5.1.5 Audit-Planung, Geltungsbereich, Abstimmung mit
den Fachbereichen 229
5.1.6 Fragenkatalog, Sammeln von Nachweisen 230
5.1.7 Der Audit-Bericht 230
5.1.8 Das Aufsichtsgremium 231
5.1.9 Lessons learned - Verbesserung des Audit-Prozesses 233
5.2 Der Fragenkatalog und das Sammeln von Nachweisen 233
5.2.1 Aufbau eines Fragenkatalogs 233
5.2.2 Auswahl der Fragen und deren Bewertung 237
5.2.3 Erbringung von Nachweisen 239
5.2.4 Auswertung der Antworten 240
5.2.5 Übergabe der Abweichungen zur Abarbeitung 241
5.3 Quellen für die Überprüfung von Regeln 242
5.3.1 Dokumentation und das Asset-Management 243
5.3.2 Auswertung von Protokolldateien 243
5.3.3 Aktive Penetrationstests 244
5.3.4 Ergebnisse aus dem CERT 245
Index 247