Revision [95873]

This is an old revision of DatenSicherheitGliederung made by WojciechLisiewicz on 2020-12-08 09:57:19.

 

Datensicherheit - Gliederung

alle Themen der Veranstaltung in der Reihenfolge der Vorlesung


((1)) Einführung
Zu Beginn sollten wir klären, welche Tragweite das Thema der Daten- und IT-Sicherheit (*) hat und welche Ziele in dieser Lehrveranstaltung wir verfolgen.
(*) Kleines Vokabular und Abkürzungsverzeichnis
  • IKT = Informations- und Kommunikationstechnologien
  • IT = Informationstechnologien


((2)) Einige Beispiele zum Einstieg
Welche Bedeutung Probleme der IT- und Datensicherheit haben können, wird in den Medien in den letzten Jahren immer häufiger berichtet. Eine kleine Zusammenstellung größerer, relevanter Ereignisse auf diesem Feld finden Sie hier: Zwischenfälle.

((2)) Was und warum wird in der Veranstaltung behandelt?
Die Lehrveranstaltung ist keine Veranstaltung, deren Gegenstand Informatik im eigentlichen Sinne wäre. In ihr soll in erster Linie ein Überblick über die Probleme präsentiert und ein Bewusstsein dafür geschaffen werden, welche Bedeutung die Informationstechnologien sowie ihre Sicherheit mittlerweile haben. Ferner soll sie dabei helfen, den Blick auf Probleme der IT zu schärfen. Mit anderen Worten ist hier das Ziel, den Studierenden als potenziellen Führungskräften Wissen zu vermitteln, mit dem sie

((2)) Prüfungsform und -inhalt
Die Klausuraufgabe besteht aus einem Praxisfall, auf den bezogen Fragen zu beantworten sind:

((1)) Kurze Bestandsaufnahme - Datenverarbeitung im Jahre 2020
Vor der Auseinandersetzung mit speziellen, die Datensicherheit betreffenden Themen, soll eine kurze Bestandsaufnahme erfolgen, mit der die aktuelle Situation im Hinblick auf Systeme zur Datenverarbeitung sowie die Bedeutung der Thematik beleuchtet werden sollen. Mehr dazu hier.

((1)) Bedeutung des Menschen für die Datensicherheit
Nicht nur als Nutzer spielt der Mensch in Absehbarer Zeit immer noch die entscheidende Rolle in der elektronischen (digitalen) Datenverarbeitung. Die allgemeinen Aspekte der Koexistenz zwischen Mensch und Maschine in der Datenverarbeitung werden im folgenden Kapitel behandelt.

((1)) Grundbegriffe der Daten- und IT-Sicherheit
Die Grundbegriffe rund um das Thema der Datensicherheit sowie ihre Systematik stehen am Anfang der genaueren Betrachtung der Gefahren, Risiken und auch der Maßnahmen hiergegen. Eine kurze Darstellung dazu finden Sie in der Präsentation sowie im folgenden Artikel.

((2)) Schutzziele

((2)) Schwachstelle und Verwundbarkeit

((2)) Exploit

((2)) Gefährdungsfaktoren

((2)) Bedrohung vs. Risiko

((2)) Angriffe und Angriffstypen


((1)) Technologie im Kontext der Datensicherheit
Die technischen Grundlagen der digitalen Datenverarbeitung werden im folgenden Artikel im Überblick behandelt.

((2)) Hardware

((2)) Software

((2)) Exkurs: Virtualisierung

((2)) Netzwerke und Netzwerktechnik

((2)) Spezielle Netzwerktechnologien

((2)) Datensicherheit als technische Zuverlässigkeit


((1)) Angriff - Hacker als Gegner


((2)) Angriffsziele
Die Ziele, also der Gegenstand eines Angriffs, die Technik, gegen die sich ein Angriff richten kann, sind vielfältig. Sie werden im folgenden Artikel zusammengefasst.

((2)) Angriffsvektoren / Wege und Verfahren der Angriffe
Die absichtlichen Angriffe auf die Integrität der IT-Infrastruktur und datenverarbeitende Systeme können auf verschiedenen Wegen erfolgen. Sie werden hier näher behandelt.

((2)) Angriffsarten, Werkzeuge und Probleme im Detail
Buffer overflow, Virus etc. - einige Details.

((3)) Buffer overflow
Funktionsweise, Bedeutung etc.

((3)) Virus
Merkmale, Verbreitung, Abwehr

((3)) Computerwurm

((3)) Trojaner

((3)) Bot-Netz

((3)) Spam

((3)) Meltdown / Spectre

((2)) Risikosphäre Internet
Das Netz der Netze hat zahlreiche neue Bedrohungen und Angriffsmöglichkeiten entweder gebracht oder erleichtert. Diesem Thema wird im für unser Fach empfehlenswerten Buch von Frau Eckert ein ganzes Kapitel gewidmet (vgl. dort Kapitel 3.)

((3)) Angriffsansätze in den Internetprotokollen

((3)) Probleme der Netzdienste

((3)) WWW: HTTP als verbindungsloses Protokoll
Thema "Cookies"

((3)) OWASP TOP 10
Die häufigsten Sicherheitsprobleme im Internet nach OWASP [1]



((2)) Spezielle Problemkategorie: mobile computing
Mobile Apps und Endgeräte bringen eine Reihe von speziellen Herausforderungen mit sich. Werden diese intensiv im geschäftlichen Umfeld eingesetzt, müssen die damit verbundenen Risiken in die Gesamtbetrachtung eines Unternehmens einbezogen werden.

((2)) Rechtsrahmen
Vorschriften, die Angriffe sanktionieren.

((1)) Konzepte und Methoden
Die Datensicherheit ist zu einem gewissen Grad möglich. Ein zu 100 % sicheres System zur Datenverarbeitung und damit eine hundertprozentige Datensicherheit sind allerdings ausgeschlossen. Das, was erstrebenswert ist, ist eine möglichst hohe Sicherheit und Vorbereitung auf eventuelle Zwischenfälle. Sinnvolle Konzepte und Methoden diesbezüglich werden in diesem Punkt näher betrachtet.

Im ersten Schritt werden sicherheitsrelevante Technologien vorgestellt, die eine Erhöhung der Sicherheit in manchen Bereichen möglich machen. Anschließend werden Strategien und Vorgehensweisen erläutert, wie man mit dem Thema Daten- und IT-Sicherheit insgesamt umgehen kann, damit reibungsloses Funktionieren der Systeme gesichert ist und Schäden vermieden werden.


((2)) Strategien und Vorgehensweisen


((3)) Konzepte
Eines der zentralen Postulate von Experten ist, für jedes "Stück" Technik auch ein Sicherheitskonzept zu haben. Wird IKT eingesetzt, ist auch ein bewusster Umgang mit dessen Sicherheit notwendig, ebenso, wie die Klarheit über die Bedrohungen und es sind Vorgehensweisen zu überlegen:

((3)) Technische Zuverlässigkeit

((3)) keep it simple

((3)) Open source vs. closed source
open-source-Software wird offen programmiert - die Urheber stellen ihre Arbeit allen zur Verfügung, andere schließen sich an und wirken mit. Das bedeutet nicht, dass hinter dieser Art von Software keine kommerziellen Interessen stehen - aber durch die entsprechende Lizenzierung ist die Vereinnahmung der Software durch einen Anbieter kaum möglich.

Der wichtigste Vorteil von open source ist allerdings nicht der Umstand, dass sie kostenlos. In vielerlei Hinsicht wichtiger - und im Hinblick auf Datensicherheit von herausragender Bedeutung - ist, dass sie transparent ist. Jeder Experte kann überprüfen, wie die Software funktioniert und so zum Beispiel feststellen, dass darin keinerlei backdoors versteckt sind.

((3)) Absicherung vs. Resilienz


((1)) Übungsszenarien
Nachstehend werden Übungsszenarien verlinkt, die zum einen potenzielle Situationen in der Praxis darstellen, zum anderen als Klausuraufgaben fungieren könnten.

((2)) Erschwindelte Überweisung

((2)) Ransomware-Angriff

((2)) Vorbereitung auf einen Zwischenfall






[1] OWASP = Open Web Application Security Project
There are no comments on this page.
Valid XHTML :: Valid CSS: :: Powered by WikkaWiki