Handbuch IT-Sicherheit Strategien, Grundlagen und Projekte net.com networking&communications Netzwerke, Sicherheit, Telekommunikation … zu diesen Themen bietet Ihnen net.com umfassende, praxisnahe Information. Beschrieben werden Standards, Protokolle, Technologien und Tools. Die Autoren geben ihr praxiserprobtes Wissen weiter und helfen Ihnen auf diese Weise, die Vorteile von Technologien und Konzepten zu bewerten und Probleme bei der täglichen Arbeit effizient zu lösen. Abenteuer Kryptologie Reinhard Wobst 456 Seiten €39,95[D] - €41,10[A] - sFr 73,00 ISBN 3-8273-1815-7 Die dritte Auflage des Standardwerks ist wesentlich überarbeitet und aktualisiert worden. Neu ist u.a. der Rijndael-Algorithmus, die DES-Crack-Maschine der EEF, praktisch wirksame Angriffe auf Handy-Authenti- fizierung, mehr Details zu ECHELON, Überlegungen zur Biometrie u.v.a.m. Hackerabwehr und Datensicherheit Avi Rubin 342 Seiten €39,95[D] - €41,10- sFr 73,00 ISBN 3-8273-1941-2 Als Sicherheitsexperte von AT&Tkennt Avi Rubin alle Tricks der Hacker und Datenschnüffler. Der Leser lernt, Angriffe von außen vorauszusehen, zuverlässige Back- ups durchzuführen, Firewalls einzurichten u.v.m., was der Sicherheit von Datenbanken dient. Herausgegeben von: Walter Gora Thomas Krampert Handbuch IT-Sicherheit Strategien, Grundlagen und Projekte Bibliografische Information Der Deutschen Bibliothek Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über <http://dnb.ddb.de> abrufbar. Die Informationen in diesem Produkt werden ohne Rücksicht auf einen eventuellen Patentschutz veröf- fentlicht. Warennamen werden ohne Gewährleistung der freien Verwendbarkeit benutzt. Bei der Zusam- menstellung von Texten und Abbildungen wurde mit größter Sorgfalt vorgegangen. Trotzdem können Fehler nicht vollständig ausgeschlossen werden. Verlag, Herausgeber und Autoren können für fehler- hafte Angaben und deren Folgen weder eine juristische Verantwortung noch irgendeine Haftung über- nehmen. Für Verbesserungsvorschläge und Hinweise auf Fehler sind Verlag und Herausgeber dankbar. Alle Rechte vorbehalten, auch die der fotomechanischen Wiedergabe und der Speicherung in elektroni- schen Medien. Die gewerbliche Nutzung der in diesem Produkt gezeigten Modelle und Arbeiten ist nicht zulässig. Fast alle Hardware- und Softwarebezeichnungen, die in diesem Buch erwähnt werden, sind gleichzeitig auch eingetragene Warenzeichen oder sollten als solche betrachtet werden. Umwelthinweis: Dieses Buch wurde auf chlorfrei gebleichtem Papier gedruckt. Die Einschrumpffolie – zum Schutz vor Verschmutzung – ist aus umweltfreundlichem und recyclingfähigem PE-Material. 10 9 8 7 6 5 4 3 2 1 05 04 03 ISBN 3-8273-2063-1 © 2003 by Addison-Wesley Verlag, ein Imprint der Pearson Education Deutschland GmbH, Martin-Kollar-Straße 10–12, D-81829 München/Germany Alle Rechte vorbehalten Einbandgestaltung: atelier für gestaltung, niesner & huber, Wuppertal Bildquelle: www.photocase.de Lektorat: Rolf Pakendorf, [email protected] Herstellung: Claudia Bäurle, [email protected] Satz: reemers publishing services gmbh, Krefeld, www.reemers.de Druck und Verarbeitung: Kösel, Kempten (www.KoeselBuch.de) Printed in Germany Inhaltsverzeichnis Vorwort 15 1 Holistischer Ansatz zur IT-Sicherheit 19 1.1 Einleitung 19 1.2 Verfahren zur Bewertung der Sicherheit 22 1.2.1 Zwei Beispiele 25 1.3 Anwendbarkeit der Verfahren 30 1.4 Verfahrensunabhängige Vorgehensweise 30 1.4.1 Geschäftsprozessebene 31 1.4.2 Organisationsebene 31 1.4.3 Anwendungsebene 32 1.4.4 IuK-Infrastrukturebene 32 1.5 Fazit 35 2 Management der Organisation, Organisation der Sicherheit 37 2.1 Allgemeines 37 2.2 Integrierte Managementsysteme 38 2.2.1 Qualitätsmanagementsystem (QMS) 38 2.2.2 IT-Sicherheitsmanagementsystem 39 2.2.3 Informationssicherheits-Managementsysteme (ISMS) 46 3 Zertifikat zur IT-Sicherheit 51 3.1 Kann ich meine IT-Sicherheit zertifizieren lassen? 51 3.2 Was ist IT-Grundschutz bzw. was ist eine ausreichende IT- Sicherheit? 51 3.3 Wer kann zertifizieren? Wie wird man Auditor? 53 3.3.1 Aufgaben des Auditors 55 3.4 Wie komme ich als Unternehmen zum Zertifikat? 56 3.4.1 IT-Grundschutz-Zertifikat 56 3.5 Wie kann ich meine erreichte IT-Sicherheit kundtun? 63 3.6 Was sagt das Zertifikat aus? 64 5 Inhaltsverzeichnis 4 Die Integration von Schutzbedarfsanalyse und IT-Grundschutz nach BSI 65 4.1 Motivation 65 4.2 Die BSI-Methode zur Schutzbedarfsfeststellung 67 4.2.1 Risikoanalyse 67 4.2.2 Schutzbedarfsfeststellung nach BSI-Methode 68 4.3 Die SECMAN-Methode 70 4.4 Das SECMAN-Tool 73 4.4.1 Rollenbasierte Zugriffskontrolle 73 4.4.2 Das SECMAN-Programmsystem 75 4.5 Zusammenfassung und Ausblick 77 5 Bedrohungen für Unternehmen 81 5.1 Ursachen für Bedrohungen 82 5.2 Analyse der Bedrohungen 83 5.3 Täter 83 5.3.1 Geheimdienste 83 5.3.2 Industriespionage 84 5.3.3 Hacker 84 5.3.4 Softwareentwickler 85 5.3.5 Fremdpersonal 85 5.3.6 Administratoren 85 5.3.7 Mitarbeiter 85 5.4 Vorsätzliche Manipulation 85 5.4.1 Angriffe über das Internet 86 5.4.2 Unerlaubter Zugriff auf Systeme 87 5.4.3 Abhören und Modifikation von Daten 88 5.4.4 Angriff auf die Verfügbarkeit von Systemen 89 5.4.5 Missbrauch von Anwendungen 90 5.4.6 Viren, Würmer und Trojanische Pferde 91 5.5 Menschliches Fehlverhalten 92 5.6 Organisatorische Schwachstellen 94 5.7 Technisches Versagen 94 5.8 Katastrophen 95 5.9 Zusammenfassung 95 6 Inhaltsverzeichnis 6 Sicherheitsbewusstsein im Mittelstand 97 6.1 Einleitung 97 6.2 Grundlegende Begriffe und Sachverhalte 98 6.2.1 Aspekte der IT-Sicherheit 98 6.3 Sicherheit im mittelständischen Betrieb 99 6.3.1 Einteilung der mittelständischen Unternehmen 99 6.3.2 Gefahrenpotenzial 100 6.3.3 Die Fähigkeit der Bewältigung von Sicherheitsgefahren 101 6.3.4 Vorhandene Sicherheitslücken im Mittelstand 103 6.4 Auswege aus dem mangelnden Sicherheitsbewusstsein 104 6.4.1 Etablierung eines unternehmensweiten IT-Sicherheitsmanagements 105 6.4.2 IT-Sicherheitsbeauftragter im Unternehmen 107 6.4.3 Erstellung und Weiterentwicklung eines Sicherheitskonzepts 107 6.4.4 Regelmäßige Audits der IT-Sicherheitsmaßnahmen 108 6.4.5 Sensibilisierung des Sicherheitsbewusstseins bei den Mitarbeitern 108 6.4.6 Schulung der Mitarbeiter vor Programmnutzung 110 6.4.7 Internetnutzung 110 6.4.8 Festlegung der Sicherheitspolitik für E-Mail-Nutzung 110 6.5 Fazit 111 7 Kryptografie: Entwicklung, Methoden und Sicherheit 113 7.1 Einleitung 113 7.2 Monoalphabetische Verschlüsselung 114 7.3 Polyalphabetische Verschlüsselung 117 7.4 One Time Pad – die sicherste Verschlüsselung 120 7.5 Enigma – mechanische Verschlüsselungsmaschine 121 7.6 Der Siegeszug der digitalen Verschlüsselung 122 7.7 Grundlagen der binären Verschlüsselung 122 7.7.1 Der DES – unsichere Grundlage heutiger Kommunikation 124 7.7.2 Advanced Encryption Standard (AES) – derneue Maßstab 128 7.7.3 One way hashes – Einwegfunktionen 130 7.7.4 Ein neues (altes) Problem: DerSchlüsselaustausch 132 7.8 Die Lösung der Zukunft: Quantenkryptografie ist sicher 138 7.9 Zusammenfassung 141 7 Inhaltsverzeichnis 8 Juristische Aspekte beim Einsatz biometrischer Verfahren 143 8.1 Einführung 143 8.2 Datenschutzrechtliche Aspekte 144 8.2.1 Einleitung 144 8.2.2 Problemfelder bei der Verwendung biometrischer Daten 145 8.2.3 Konkrete Empfehlungen beim Einsatz biometrischer Verfahren aus datenschutzrechtlicher Sicht 147 8.3 Weitere juristische Fragen 151 8.3.1 Anwendung biometrischer Merkmale bei elektronischen Signaturen 151 8.3.2 Verwendung einer qualifizierten elektronischen Signatur 152 8.3.3 Strafrechtliche Relevanz 153 8.3.4 Haftung des Betreibers für das biometrische System 154 8.3.5 Allgemeine Geschäftsbedingungen beim Einsatz biometrischer Verfahren 154 8.3.6 Betrieblicher Einsatz, insbesondere: Betriebsvereinbarungen 155 8.4 Verbrauchersicht 158 8.5 Ausblick 159 9 IT-Sicherheit aus Nutzersicht – Strategien für Sicherheit und Akzeptanz 163 9.1 IT-Sicherheit aus Nutzersicht 164 9.1.1 Grundlagen zum Nutzerverhalten 164 9.1.2 IT-Sicherheit im Handlungskalkül des Nutzers 166 9.1.3 Konsequenzen für die akzeptanzorientierte Konzeption von IT-Sicherheit 170 9.2 Lösungsansätze mit Praxisbeispielen 171 9.2.1 Konzeptionelle Ansätze 172 9.2.2 Kommunikative Ansätze 176 9.2.3 Methode zur Ermittlung des optimalen nutzerorientierten Sicherheitskonzepts 178 9.3 Zusammenfassung/Fazit 179 8 Inhaltsverzeichnis 10 Scheinbar sicher – Eine Zusammenfassung von Ergebnissen aktueller Befragungen und Expertengespräche 181 10.1 Zur Einstimmung 181 10.2 Die Studien: Teilnehmer überdurchschnittlich sensibilisiert 182 10.2.1 KES/KPMG-Sicherheitsstudie 2002 182 10.2.2 Die silicon.de-Umfrage »IT-Sicherheit 2002« 183 10.2.3 »Die Position von Unternehmen in Europa und Südafrika zum Thema »Cybercrime« – Eine Studie von EDS und IDC« 184 10.3 Fazit: Das Bewusstsein bestimmt das Sein 196 11 Modernes Sicherheitsmanagement 197 11.1 Einleitung 197 11.1.1 Praktische Sicherheitsherausforderungen 198 11.1.2 Gesetze, Abkommen 198 11.2 Basel II: »Risk-Management – Principles for Electronic Banking« 199 11.2.1 Geschäftsführungs- und Managementaufsicht bzw. -verantwortung 200 11.2.2 Sicherheitspolicies und -maßnahmen 200 11.2.3 Risikomanagement gegen juristische und Reputationsschäden 200 11.2.4 Katalog von Empfehlungen zur Umsetzung 201 11.3 Unterstützung des Sicherheitsmanagements durch Standards 201 11.3.1 Maßnahmen zur Einführung eines Informationssicherheitsmanagementsystems nach BS 7799 202 11.3.2 Was ist der Nutzen von Standards 202 11.4 Das Sicherheitsmanagement in derdvg 203 11.4.1 Die dvg-Sicherheitsarchitektur 203 11.4.2 Umsetzung des dvg-Sicherheitsmanagements 203 11.4.3 Zusammenarbeit mit dem Risikomanagement 204 11.4.4 Praktische Erfahrungen 205 11.5 Fazit 207 12 IT-Sicherheit durch Risikomanagement 209 12.1 Vorwort 209 12.2 Einleitung 210 12.3 Das System 211 9 Inhaltsverzeichnis 12.3.1 Politik 211 12.3.2 Strategie 212 12.3.3 Organisation 213 12.3.4 Prozess 214 12.3.5 Dokumentation 220 12.3.6 Schulung 224 12.3.7 Kommunikation 226 12.3.8 Auditierung 227 12.4 Schlussbemerkung 229 13 Sicherheit: Eine metaphorische Betrachtung 231 13.1 Einleitung 231 13.2 Mit Sicherheit kein Märchen... 232 14 E-Signatur 241 14.1 Einleitung 241 14.1.1 Geschäftsverkehr in Zeiten des Internet 241 14.1.2 Bedeutung der Unterschrift 242 14.1.3 Bedeutung der elektronischen Signatur 242 14.2 Vorteile der elektronischen Signatur 243 14.3 Ablauf des Signierens 244 14.4 Anwendungsbereiche 245 14.4.1 Freie Wirtschaft 246 14.4.2 Öffentliche Verwaltung 247 14.4.3 Initiativen 249 14.5 Rechtliche Anerkennung 249 14.5.1 Historie E-Signatur 249 14.5.2 EU-Richtlinie und deutsche Umsetzung 250 14.5.3 Neues Signaturgesetz (SigG) in Deutschland 251 14.5.4 Varianten der E-Signatur 251 14.5.5 Zeitsignatur 253 14.6 Organisation 253 14.6.1 Analyse und Konzeption 253 14.6.2 Erwerb der elektronischen Signatur 255 14.6.3 Antragstellung 255 14.6.4 Weitere Funktionen beim Gebrauch der Signatur 256 10