FernUni Hagen
Grundlage der Zertifikatprüfung
Diese Zusammenfassung bietet einen Überblick zum Thema IT-Sicherheit. Angesprochen werden unter anderem Sicherheitsarchitektur und Regelwerke; Security Police; Sicherheitsstandards; BSI-Grundschutzkataloge; ISO27001; Computerviren, Würmer und Trojaner; Steganographie und Kryptographie; Symmetrische und asymmetrische Verschlüsselungsverfahren; Public Key Infrastruktur ; Digitale Signatur; PGP; IP Sec; Firewalls; Intruktion Detecion; Quality Checks; Awareness; Mobile Computing und Mobile Device Management.
Inhaltsverzeichnis
IT Sicherheit
Bedrohungen
Beabsichtigte Bedrohungen
Unbeabsichtigte Bedrohungen
Grundsätze der IT Sicherheit
B2x Welt
IT im Unternehmen
Sicherheitsrichtlinien
Säulen der IT Sicherheit
Sicherheitspolitik
Sicherheitsarchitektur
Ziele der Sicherheitsmaßnahmen
VPN
Kontrolle der Sicherheitsmaßnahmen
"angemessene" Sicherheitsmaßnahmen
Penetrationstest/ Security Scans/ dynamische Sicherheitstests
Security Policy
BSI
3 der wichtigsten Sicherheitsstandards
BSI- Standard 100-2
IT Grundschutzkataloge
Enthalten Bausteine
Gefährdungen
5 Kataloge
Gegenmaßnahmen
6 Maßnahmenkataloge
Ziel des BSI Grundschutzes
Bausteine/ Schichten der Grundschutzkataloge
Arbeitsschritte zur Implementierung des Sicherheitsstandards
ISO27001
Vorgehensweise für Anwendung des Standards ISO27001
Schritte
ITSec/Common Criteria-Standard
Ziele
Zielgruppe
Sicherheitsanalysen
3 Kategorien
Risiko
Arten von Bedrohungen
Referenztabelle
Security Scans
Schwachstellen
Risikovermeidung
Sicherheitskonzepte/ Notfallpläne
Bedrohungen einer IT Infrastruktur
4 Kategorien
Computervirus
Wirkungsweise
Typen von Computerviren
Polymorphe Viren
Symptome bei Virenbefall
Abwehr von Computerviren
Zwei Ansatzpunkte
Programme
IDS
Prüfsummenprogramme
Computerwürmer
Allgemeine Schadensfunktion
Trojaner/ Trojanisches Pferd
Abwehr
Adware
Firewall
Demilitarisierte Zone DMZ
Social Engineering
Def. von Lorain Lawsen
3 wirksamste Methoden
Gruppen angegriffener Personen
Schutzmaßnahmen
DoS
DDoS
Signaturtabellen bei Suche nach bekannten Viren
Nachteile
Kryptologie
Kryptographie volkstümlich „Verschlüsselung“
Gegenstand
Ursachen der Verbreitung kryptographischer Methoden
Grundprinzip
Kategorien
Verschlüsselung
Kryptoanalyse
Steganographie
Semagramm
Open Code
Ziele/ Aufgaben geheimer Kommunikation
Stromchiffre
Pseudozufallsgeneratoren
Hashfunktion
Schlüsselmanagement
Zurückziehen von Schlüsseln
CA
Web of Trust
Zielsetzung & Themen
Die vorliegende Arbeit bietet eine fundierte Zusammenfassung der IT-Sicherheit. Sie vermittelt grundlegende Konzepte, Standards und Verfahren, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in Unternehmen zu gewährleisten. Ein zentrales Ziel ist es, den Lesenden ein Verständnis für die Identifikation und Bewertung von Risiken sowie die Auswahl geeigneter Sicherheitsmaßnahmen zu vermitteln.
- Grundlagen der IT-Sicherheit und Sicherheitsarchitekturen
- Analyse von Bedrohungsszenarien und Schwachstellen
- Implementierung von Sicherheitsstandards wie BSI und ISO 27001
- Methoden zur Risikovermeidung und Notfallplanung
- Verfahren der Kryptographie und Schlüsselverwaltung
Auszug aus dem Buch
IT Sicherheit
Schutz gegen Malware (Computerviren, Trojaner, Computerwürmer), Firewalls, Verschlüsselung
Def: ist die Sicherheit gegen den Verlust von Vertraulichkeit, Integrität und Verfügbarkeit in der Informationstechnologie
Ziel: ist der Zustand eines IT Systems, bei dem die Risiken, die beim Einsatz des IT Systems aufgrund von realistischen Bedrohungen vorhanden sind, durch wirtschaftlich angemessene Maßnahmen auf ein akzeptables Maß beschränkt sind
Inhalt: Informationen nur einem ausgewählten Personenkreis zu jeder Zeit unverfälscht zur Verfügung zu stellen
Begriff Informationssicherheit anstelle IT Sicherheit, der alle Informationsformen auch in nicht elektronischer Darstellung umfasst (IT Sicherheit Hauptanteil der IS)
Zusammenfassung der Kapitel
IT Sicherheit: Definiert den Schutz gegen Malware sowie die Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit in der IT.
Bedrohungen: Kategorisiert Gefahren in beabsichtigte und unbeabsichtigte Angriffe auf Systeme.
Grundsätze der IT Sicherheit: Erläutert, dass 100% Sicherheit nicht existiert und Maßnahmen wirtschaftlich angemessen sein müssen.
IT im Unternehmen: Betont die Notwendigkeit einer geplanten und anpassungsfähigen IT-Sicherheitsstrategie.
Sicherheitsrichtlinien: Beschreibt die Rolle von Regeln und Vorgaben für das Management zum Schutz der Organisation.
Säulen der IT Sicherheit: Nennt die drei Kernaspekte Vertraulichkeit, Integrität und Verfügbarkeit.
Sicherheitspolitik: Erklärt die hierarchische Struktur und die schriftlichen Vorgaben zum Informationsschutz.
Sicherheitsarchitektur: Fasst die Gesamtheit der Sicherheitskonzepte und die Rollenverteilung zwischen Management und Fachabteilungen zusammen.
Ziele der Sicherheitsmaßnahmen: Beschreibt Anforderungen wie Einheitlichkeit, Angemessenheit und Vollständigkeit der Schutzmaßnahmen.
Penetrationstest/ Security Scans/ dynamische Sicherheitstests: Erläutert die aktive Suche nach Schwachstellen durch simulierte Angriffe.
BSI- Standard 100-2: Behandelt die deutsche Norm für grundlegenden IT-Schutz.
ISO27001: Stellt den internationalen Best-Practice-Standard für Sicherheitsmanagementsysteme vor.
Risiko: Definiert die Berechnung von Schäden basierend auf Eintrittswahrscheinlichkeiten.
Kryptologie: Beschreibt die Wissenschaft der Datenveränderung zum Schutz der Vertraulichkeit.
Schlüsselwörter
IT-Sicherheit, Informationssicherheit, Bedrohungsanalyse, Risikoanalyse, BSI-Standard, ISO27001, Kryptographie, Verschlüsselung, Firewall, Malware, Computervirus, Trojaner, Social Engineering, Notfallplanung, Identitätsmanagement
Häufig gestellte Fragen
Was ist das grundlegende Ziel der IT-Sicherheit?
Das Hauptziel ist die Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen innerhalb eines IT-Systems, wobei Risiken auf ein wirtschaftlich akzeptables Maß begrenzt werden.
Welche Kategorien von Bedrohungen werden unterschieden?
Es wird grundsätzlich zwischen beabsichtigten Bedrohungen (wie Hacking, Manipulation) und unbeabsichtigten Bedrohungen (wie Naturkatastrophen, Fahrlässigkeit oder Fehlfunktionen) unterschieden.
Warum gibt es keine hundertprozentige Sicherheit in der IT?
Aufgrund sich ständig ändernder Bedrohungsszenarien und der Notwendigkeit wirtschaftlicher Abwägungen ist es unmöglich, jedes theoretische Risiko vollständig auszuschließen; stattdessen wird ein Restrisiko akzeptiert.
Welche Rolle spielt die Risikoanalyse in der Sicherheitsstrategie?
Die Risikoanalyse ist essentiell, um die eigene Situation hinsichtlich Schwachstellen realistisch einzuschätzen und Maßnahmen zu priorisieren, damit der Schutzaufwand dem Wert der Daten angemessen bleibt.
Was unterscheidet einen Computervirus von einem Computerwurm?
Ein Computervirus benötigt einen Wirt (ein Programm) zur Ausführung, während sich ein Computerwurm in vernetzten Systemen selbstständig replizieren und verbreiten kann, ohne zwingend einen Wirt zu benötigen.
Wie funktioniert Social Engineering?
Beim Social Engineering wird versucht, menschliche Akteure (die "Wetware") durch Manipulation oder Überzeugungskraft dazu zu bringen, sicherheitsrelevante Informationen wie Passwörter preiszugeben.
Was besagt das Kerckhoffsche Prinzip in der Kryptographie?
Das Prinzip besagt, dass die Sicherheit eines Verschlüsselungsverfahrens ausschließlich auf der Geheimhaltung des Schlüssels basieren sollte, nicht auf der Geheimhaltung des Algorithmus selbst.
Was ist der Zweck einer Certificate Revocation List (CRL)?
Eine CRL dient dazu, die Benutzergemeinschaft schnell über Zertifikate zu informieren, die vor ihrem Ablaufdatum für ungültig erklärt oder gesperrt wurden, beispielsweise durch Diebstahl oder Missbrauch.
- Arbeit zitieren
- Daniela Petzoldt (Autor:in), 2017, IT-Sicherheit. Eine Zusammenfassung zur Zertifikatsprüfung, München, GRIN Verlag, https://www.grin.com/document/359305
