Wiki source for DatenSicherheitGliederung
===== Datensicherheit - Gliederung =====
== alle Themen der Veranstaltung in der Reihenfolge der Vorlesung ==
((1)) Einführung
Zu Beginn sollten wir klären, welche Tragweite das Thema der Daten- und IT-Sicherheit (*) hat und welche Ziele in dieser Lehrveranstaltung wir verfolgen.
((2)) Einige Beispiele zum Einstieg
Welche Bedeutung Probleme der IT- und Datensicherheit haben können, wird in den Medien in den letzten Jahren immer häufiger berichtet. Eine kleine Zusammenstellung größerer, relevanter Ereignisse auf diesem Feld finden Sie hier: [[ITSecurityZwischenfaelle Zwischenfälle]].
((2)) Was und warum wird in der Veranstaltung behandelt?
Die Lehrveranstaltung ist keine Veranstaltung, deren Gegenstand Informatik im eigentlichen Sinne wäre. In ihr soll in erster Linie ein **Überblick** über die Probleme präsentiert und ein Bewusstsein dafür geschaffen werden, welche Bedeutung die Informations- und Kommunikationstechnologien (IKT) sowie ihre Sicherheit mittlerweile haben. Ferner soll sie dabei helfen, den Blick auf Probleme der IT zu schärfen. Mit anderen Worten ist hier das Ziel, den Studierenden als potenziellen Führungskräften Wissen zu vermitteln, mit dem sie
- richtige Strategie bei Beschaffung von Hardware und Software verfolgen können,
- sich von "Fachleuten" aus der IT nicht blenden lassen und deren Vorschläge bzw. insgesamt Arbeit auf sinnvolle Weise hinterfragen,
- sinnvolle Weichenstellungen im Hinblick auf die IT aus dem Blickwinkel der Sicherheit setzen können.
((2)) Prüfungsform und -inhalt
Die Klausuraufgabe besteht aus einem Praxisfall, auf den bezogen Fragen zu beantworten sind:
- welche Probleme im Hinblick auf die Datensicherheit darin bestehen,
- mit welchen konkreten Werkzeugen und Maßnahmen diesen Problemen begegnet werden kann.
((1)) Kurze Bestandsaufnahme - Datenverarbeitung im Jahre 2020
Vor der Auseinandersetzung mit speziellen, die Datensicherheit betreffenden Themen, soll eine kurze Bestandsaufnahme erfolgen, mit der die aktuelle Situation im Hinblick auf Systeme zur Datenverarbeitung sowie die Bedeutung der Thematik beleuchtet werden sollen. [[DSBestandsaufnahmeIKT Mehr dazu hier]].
((1)) Bedeutung des Menschen für die Datensicherheit
Nicht nur als Nutzer spielt der Mensch in Absehbarer Zeit immer noch die entscheidende Rolle in der elektronischen (digitalen) Datenverarbeitung. Die allgemeinen Aspekte der Koexistenz zwischen Mensch und Maschine in der Datenverarbeitung [[DSMenschUndIKT werden im folgenden Kapitel behandelt]].
((1)) Grundbegriffe der Daten- und IT-Sicherheit
Die Grundbegriffe rund um das Thema der Datensicherheit sowie ihre Systematik stehen am Anfang der genaueren Betrachtung der Gefahren, Risiken und auch der Maßnahmen hiergegen. Eine kurze Darstellung dazu finden Sie in der Präsentation sowie [[DSSystematikGrundBegriffe im folgenden Artikel]].
((2)) Schutzziele
((2)) Schwachstelle und Verwundbarkeit
((2)) Exploit
((2)) Gefährdungsfaktoren
((2)) Bedrohung vs. Risiko
((2)) Angriffe und Angriffstypen
((1)) Technologie im Kontext der Datensicherheit
Die technischen Grundlagen der digitalen Datenverarbeitung [[DSTechnikGrundlagen werden im folgenden Artikel im Überblick behandelt]].
((2)) Hardware
((2)) Software
((2)) Exkurs: Virtualisierung
((2)) Netzwerke und Netzwerktechnik
((2)) Spezielle Netzwerktechnologien
((2)) Datensicherheit als technische Zuverlässigkeit
((1)) Angriff - Hacker als Gegner
((2)) Angriffsziele
Die Ziele, also der Gegenstand eines Angriffs, die Technik, gegen die sich ein Angriff richten kann, sind vielfältig. Sie werden [[DSAngriffsZiele im folgenden Artikel zusammengefasst]].
((2)) Angriffsvektoren / Wege und Verfahren der Angriffe
Die absichtlichen Angriffe auf die Integrität der IT-Infrastruktur und datenverarbeitende Systeme können auf verschiedenen Wegen erfolgen. Sie [[DSAngriffsWege werden hier näher behandelt]].
((2)) Angriffsarten, Werkzeuge und Probleme im Detail
Buffer overflow, Virus etc. - einige Details.
((3)) Buffer overflow
Funktionsweise, Bedeutung etc.
((3)) Virus
Merkmale, Verbreitung, Abwehr
((3)) Computerwurm
((3)) Trojaner
((3)) Bot-Netz
((3)) Spam
((3)) Meltdown / Spectre
((2)) Risikosphäre Internet
Das Netz der Netze hat zahlreiche neue Bedrohungen und Angriffsmöglichkeiten entweder gebracht oder erleichtert. Diesem Thema wird im für unser Fach empfehlenswerten Buch von Frau Eckert ein ganzes Kapitel gewidmet (vgl. dort Kapitel 3.)
((3)) Angriffsansätze in den Internetprotokollen
((3)) Probleme der Netzdienste
((3)) WWW: HTTP als verbindungsloses Protokoll
Thema "Cookies"
((3)) OWASP TOP 10
Die häufigsten Sicherheitsprobleme im Internet nach OWASP (""***"")
((2)) Spezielle Problemkategorie: //mobile computing//
Mobile Apps und Endgeräte bringen eine Reihe von speziellen Herausforderungen mit sich. Werden diese intensiv im geschäftlichen Umfeld eingesetzt, müssen die damit verbundenen Risiken in die Gesamtbetrachtung eines Unternehmens einbezogen werden.
((2)) Rechtsrahmen
Vorschriften und Regelungen, die im Hinblick auf den Einsatz von Systemen zur Datenverarbeitung relevant sind, Pflichten vorsehen, Angriffe sanktionieren.
((1)) Umgang mit Datensicherheit
Die Datensicherheit ist zu einem gewissen Grad möglich. Ein zu 100 % sicheres System zur Datenverarbeitung und damit eine hundertprozentige Datensicherheit sind allerdings ausgeschlossen. Das, was erstrebenswert ist, ist
- eine möglichst hohe Sicherheit; d. h. ein Sicherheitsniveau, welches die Schutzanforderungen einer konkreten Situation angemessen berücksichtigt,
- eine Vorbereitung auf eventuelle Zwischenfälle.
Sinnvolle Konzepte und Methoden diesbezüglich werden in diesem Punkt näher betrachtet. Die maßgeblichen Zielrichtungen der Arbeit im Hinblick auf die Datensicherheit sollen dabei stets klar sein: Probleme vermeiden, aber zugleich - da Probleme nie gänzlich ausgeschlossen werden können - auch auf diese vorbereitet sein, sie managen können...
Im ersten Schritt (1.) werden einige Grundlagen des Umgangs mit dem Thema Daten- und IT-Sicherheit allgemein geschildert. Es wird sozusagen die **Theorie** des //security engineering// bzw. der Datensicherheit als Management-Prozess erläutert. Im nächsten Schritt (2.) werden im Rahmen der denkbaren Maßnahmen zur Sicherstellung der Datensicherheit insbesondere einige, ausgewählte **Technologien / Techniken / Lösungen** vorgestellt, die eine Erhöhung der Sicherheit in manchen Bereichen möglich machen. Zum Schluss (3.) werden **Strategien und Vorgehensweisen** erläutert, wie man - unter Zugrundelegung eines ganzheitlichen Ansatzes - den Umgang mit dem Thema Daten- und IT-Sicherheit insgesamt optimieren kann.
Die Hinweise und Empfehlungen in diesem Kapitel haben insgesamt die Aufgabe, den Blick darauf zu schärfen, wie man mit datenverarbeitender Technik umgehen sollte, damit reibungsloses Funktionieren der Systeme gesichert ist und Schäden vermieden werden. Da das Thema viel größer ist, als dass man es innerhalb einer Lehrveranstaltung im Umfang von 2 SWS - neben den technischen Grundlagen - erschöpfend behandeln kann, können wir uns in diesem Abschnitt nur auf die wichtigsten Mechanismen im Überblick beschränken und bei konkreten Maßnahmen und Werkzeugen muss eine - durch den Verfasser zugegebenermaßen subjektiv vorgenommene - Auswahl getroffen werden, die definitiv NICHT alle Aspekte abdecken kann. Ziel sind insofern nur Überblick, Beispiele und Blick auf ausgewählte Probleme.
((2)) Grundlagen des //security engineering// bzw. des Sicherheitsmanagements
Vgl. [[DSManagementGrundlagen folgenden Artikel]].
((2)) Maßnahmen
Vgl. [[DSMassnahmen folgenden Artikel]].
((2)) Allgemeine Empfehlungen zur Vorgehensweise, Strategien
Vgl. [[DSSinnvolleStrategien folgenden Artikel]].
((1)) Übungszenarien
Nachstehend werden Übungsszenarien verlinkt, die zum einen potenzielle Situationen in der Praxis darstellen, zum anderen als Klausuraufgaben fungieren könnten.
((2)) Erschwindelte Überweisung
[[DSFallErschwindelteUeberweisung Szenario: Überweisung nach betrügerischem Anruf]].
Das Szenario basiert auf eigener Erfahrung sowie [[https://www.bitkom.org/Bitkom/Publikationen/Welche-Kosten-entstehen-bei-einem-Cyberangriff.html auf dem Leitfaden des Bitcom über Kosten eines Cyberangriffs]].
((2)) Ransomware-Angriff
[[DSFallRansomWareAngriffAufgabe Szenario: Der Ransomware-Angriff]]
Das Szenario basiert auf einem dem Verfasser bekannten Vorfall und stützt sich auch auf Hinweise des BS zum [[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware_Erste-Hilfe-IT-Sicherheitsvorfall.html IT Sicherheitsvorfall]].
((2)) Vorbereitung auf einen Zwischenfall
[[DSFallCyberAudit Szenario: Monitoring vor Abschluss einer Versicherung]]
Im Szenario wird der Bedarf an Verbesserungen der Daten- und IT-Sicherheit ermittelt, die vor Abschluss einer IT-Ausfall-Versicherung notwendig sind.
----
(*) IT = Informationstechnologien
(""**"") IKT = Informations- und Kommunikationstechnologien
(""***"") OWASP = Open Web Application Security Project
----
CategoryDatensicherheit
== alle Themen der Veranstaltung in der Reihenfolge der Vorlesung ==
((1)) Einführung
Zu Beginn sollten wir klären, welche Tragweite das Thema der Daten- und IT-Sicherheit (*) hat und welche Ziele in dieser Lehrveranstaltung wir verfolgen.
((2)) Einige Beispiele zum Einstieg
Welche Bedeutung Probleme der IT- und Datensicherheit haben können, wird in den Medien in den letzten Jahren immer häufiger berichtet. Eine kleine Zusammenstellung größerer, relevanter Ereignisse auf diesem Feld finden Sie hier: [[ITSecurityZwischenfaelle Zwischenfälle]].
((2)) Was und warum wird in der Veranstaltung behandelt?
Die Lehrveranstaltung ist keine Veranstaltung, deren Gegenstand Informatik im eigentlichen Sinne wäre. In ihr soll in erster Linie ein **Überblick** über die Probleme präsentiert und ein Bewusstsein dafür geschaffen werden, welche Bedeutung die Informations- und Kommunikationstechnologien (IKT) sowie ihre Sicherheit mittlerweile haben. Ferner soll sie dabei helfen, den Blick auf Probleme der IT zu schärfen. Mit anderen Worten ist hier das Ziel, den Studierenden als potenziellen Führungskräften Wissen zu vermitteln, mit dem sie
- richtige Strategie bei Beschaffung von Hardware und Software verfolgen können,
- sich von "Fachleuten" aus der IT nicht blenden lassen und deren Vorschläge bzw. insgesamt Arbeit auf sinnvolle Weise hinterfragen,
- sinnvolle Weichenstellungen im Hinblick auf die IT aus dem Blickwinkel der Sicherheit setzen können.
((2)) Prüfungsform und -inhalt
Die Klausuraufgabe besteht aus einem Praxisfall, auf den bezogen Fragen zu beantworten sind:
- welche Probleme im Hinblick auf die Datensicherheit darin bestehen,
- mit welchen konkreten Werkzeugen und Maßnahmen diesen Problemen begegnet werden kann.
((1)) Kurze Bestandsaufnahme - Datenverarbeitung im Jahre 2020
Vor der Auseinandersetzung mit speziellen, die Datensicherheit betreffenden Themen, soll eine kurze Bestandsaufnahme erfolgen, mit der die aktuelle Situation im Hinblick auf Systeme zur Datenverarbeitung sowie die Bedeutung der Thematik beleuchtet werden sollen. [[DSBestandsaufnahmeIKT Mehr dazu hier]].
((1)) Bedeutung des Menschen für die Datensicherheit
Nicht nur als Nutzer spielt der Mensch in Absehbarer Zeit immer noch die entscheidende Rolle in der elektronischen (digitalen) Datenverarbeitung. Die allgemeinen Aspekte der Koexistenz zwischen Mensch und Maschine in der Datenverarbeitung [[DSMenschUndIKT werden im folgenden Kapitel behandelt]].
((1)) Grundbegriffe der Daten- und IT-Sicherheit
Die Grundbegriffe rund um das Thema der Datensicherheit sowie ihre Systematik stehen am Anfang der genaueren Betrachtung der Gefahren, Risiken und auch der Maßnahmen hiergegen. Eine kurze Darstellung dazu finden Sie in der Präsentation sowie [[DSSystematikGrundBegriffe im folgenden Artikel]].
((2)) Schutzziele
((2)) Schwachstelle und Verwundbarkeit
((2)) Exploit
((2)) Gefährdungsfaktoren
((2)) Bedrohung vs. Risiko
((2)) Angriffe und Angriffstypen
((1)) Technologie im Kontext der Datensicherheit
Die technischen Grundlagen der digitalen Datenverarbeitung [[DSTechnikGrundlagen werden im folgenden Artikel im Überblick behandelt]].
((2)) Hardware
((2)) Software
((2)) Exkurs: Virtualisierung
((2)) Netzwerke und Netzwerktechnik
((2)) Spezielle Netzwerktechnologien
((2)) Datensicherheit als technische Zuverlässigkeit
((1)) Angriff - Hacker als Gegner
((2)) Angriffsziele
Die Ziele, also der Gegenstand eines Angriffs, die Technik, gegen die sich ein Angriff richten kann, sind vielfältig. Sie werden [[DSAngriffsZiele im folgenden Artikel zusammengefasst]].
((2)) Angriffsvektoren / Wege und Verfahren der Angriffe
Die absichtlichen Angriffe auf die Integrität der IT-Infrastruktur und datenverarbeitende Systeme können auf verschiedenen Wegen erfolgen. Sie [[DSAngriffsWege werden hier näher behandelt]].
((2)) Angriffsarten, Werkzeuge und Probleme im Detail
Buffer overflow, Virus etc. - einige Details.
((3)) Buffer overflow
Funktionsweise, Bedeutung etc.
((3)) Virus
Merkmale, Verbreitung, Abwehr
((3)) Computerwurm
((3)) Trojaner
((3)) Bot-Netz
((3)) Spam
((3)) Meltdown / Spectre
((2)) Risikosphäre Internet
Das Netz der Netze hat zahlreiche neue Bedrohungen und Angriffsmöglichkeiten entweder gebracht oder erleichtert. Diesem Thema wird im für unser Fach empfehlenswerten Buch von Frau Eckert ein ganzes Kapitel gewidmet (vgl. dort Kapitel 3.)
((3)) Angriffsansätze in den Internetprotokollen
((3)) Probleme der Netzdienste
((3)) WWW: HTTP als verbindungsloses Protokoll
Thema "Cookies"
((3)) OWASP TOP 10
Die häufigsten Sicherheitsprobleme im Internet nach OWASP (""***"")
((2)) Spezielle Problemkategorie: //mobile computing//
Mobile Apps und Endgeräte bringen eine Reihe von speziellen Herausforderungen mit sich. Werden diese intensiv im geschäftlichen Umfeld eingesetzt, müssen die damit verbundenen Risiken in die Gesamtbetrachtung eines Unternehmens einbezogen werden.
((2)) Rechtsrahmen
Vorschriften und Regelungen, die im Hinblick auf den Einsatz von Systemen zur Datenverarbeitung relevant sind, Pflichten vorsehen, Angriffe sanktionieren.
((1)) Umgang mit Datensicherheit
Die Datensicherheit ist zu einem gewissen Grad möglich. Ein zu 100 % sicheres System zur Datenverarbeitung und damit eine hundertprozentige Datensicherheit sind allerdings ausgeschlossen. Das, was erstrebenswert ist, ist
- eine möglichst hohe Sicherheit; d. h. ein Sicherheitsniveau, welches die Schutzanforderungen einer konkreten Situation angemessen berücksichtigt,
- eine Vorbereitung auf eventuelle Zwischenfälle.
Sinnvolle Konzepte und Methoden diesbezüglich werden in diesem Punkt näher betrachtet. Die maßgeblichen Zielrichtungen der Arbeit im Hinblick auf die Datensicherheit sollen dabei stets klar sein: Probleme vermeiden, aber zugleich - da Probleme nie gänzlich ausgeschlossen werden können - auch auf diese vorbereitet sein, sie managen können...
Im ersten Schritt (1.) werden einige Grundlagen des Umgangs mit dem Thema Daten- und IT-Sicherheit allgemein geschildert. Es wird sozusagen die **Theorie** des //security engineering// bzw. der Datensicherheit als Management-Prozess erläutert. Im nächsten Schritt (2.) werden im Rahmen der denkbaren Maßnahmen zur Sicherstellung der Datensicherheit insbesondere einige, ausgewählte **Technologien / Techniken / Lösungen** vorgestellt, die eine Erhöhung der Sicherheit in manchen Bereichen möglich machen. Zum Schluss (3.) werden **Strategien und Vorgehensweisen** erläutert, wie man - unter Zugrundelegung eines ganzheitlichen Ansatzes - den Umgang mit dem Thema Daten- und IT-Sicherheit insgesamt optimieren kann.
Die Hinweise und Empfehlungen in diesem Kapitel haben insgesamt die Aufgabe, den Blick darauf zu schärfen, wie man mit datenverarbeitender Technik umgehen sollte, damit reibungsloses Funktionieren der Systeme gesichert ist und Schäden vermieden werden. Da das Thema viel größer ist, als dass man es innerhalb einer Lehrveranstaltung im Umfang von 2 SWS - neben den technischen Grundlagen - erschöpfend behandeln kann, können wir uns in diesem Abschnitt nur auf die wichtigsten Mechanismen im Überblick beschränken und bei konkreten Maßnahmen und Werkzeugen muss eine - durch den Verfasser zugegebenermaßen subjektiv vorgenommene - Auswahl getroffen werden, die definitiv NICHT alle Aspekte abdecken kann. Ziel sind insofern nur Überblick, Beispiele und Blick auf ausgewählte Probleme.
((2)) Grundlagen des //security engineering// bzw. des Sicherheitsmanagements
Vgl. [[DSManagementGrundlagen folgenden Artikel]].
((2)) Maßnahmen
Vgl. [[DSMassnahmen folgenden Artikel]].
((2)) Allgemeine Empfehlungen zur Vorgehensweise, Strategien
Vgl. [[DSSinnvolleStrategien folgenden Artikel]].
((1)) Übungszenarien
Nachstehend werden Übungsszenarien verlinkt, die zum einen potenzielle Situationen in der Praxis darstellen, zum anderen als Klausuraufgaben fungieren könnten.
((2)) Erschwindelte Überweisung
[[DSFallErschwindelteUeberweisung Szenario: Überweisung nach betrügerischem Anruf]].
Das Szenario basiert auf eigener Erfahrung sowie [[https://www.bitkom.org/Bitkom/Publikationen/Welche-Kosten-entstehen-bei-einem-Cyberangriff.html auf dem Leitfaden des Bitcom über Kosten eines Cyberangriffs]].
((2)) Ransomware-Angriff
[[DSFallRansomWareAngriffAufgabe Szenario: Der Ransomware-Angriff]]
Das Szenario basiert auf einem dem Verfasser bekannten Vorfall und stützt sich auch auf Hinweise des BS zum [[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware_Erste-Hilfe-IT-Sicherheitsvorfall.html IT Sicherheitsvorfall]].
((2)) Vorbereitung auf einen Zwischenfall
[[DSFallCyberAudit Szenario: Monitoring vor Abschluss einer Versicherung]]
Im Szenario wird der Bedarf an Verbesserungen der Daten- und IT-Sicherheit ermittelt, die vor Abschluss einer IT-Ausfall-Versicherung notwendig sind.
----
(*) IT = Informationstechnologien
(""**"") IKT = Informations- und Kommunikationstechnologien
(""***"") OWASP = Open Web Application Security Project
----
CategoryDatensicherheit
