Initial commit: IHK Ausbildung materials

2026-03-13 11:46:08 +01:00
commit eb4a13ef7c
67 changed files with 11361 additions and 0 deletions
--- a/1-Ausbildungsjahr/LF4-IT-Sicherheit/LF4-03-Sicherheitskonzepte.md
+++ b/1-Ausbildungsjahr/LF4-IT-Sicherheit/LF4-03-Sicherheitskonzepte.md
@@ -0,0 +1,236 @@
+# 4.3 Sicherheitskonzepte
+
+## IT-Sicherheitsstandards
+
+### BSI-Grundschutz
+
+Das **BSI (Bundesamt für Sicherheit in der Informationstechnik)** definiert den **IT-Grundschutz**.
+
+```
+BSI-Grundschutz - Bausteine
+├── SYS
+│   ├── SYS.1.1 Allgemeiner Server
+│   ├── SYS.1.2 Windows Server
+│   ├── SYS.1.3 Linux Server
+│   ├── SYS.2.1 Client
+│   └── ...
+├── APP
+├── NET
+├── INF
+├── ORG
+└── OPS
+```
+
+### ISO 27001
+
+Internationaler Standard für **Informationssicherheits-Managementsysteme (ISMS)**.
+
+```
+ISO 27001 - PDCA-Zyklus
+├── Plan (Planen)
+├── Do (Umsetzen)
+├── Check (Prüfen)
+└── Act (Verbessern)
+```
+
+---
+
+## Schutzbedarfsanalyse
+
+### Schutzziele
+
+```
+Schutzziele - CIA
+├── Vertraulichkeit (Confidentiality)
+├── Integrität (Integrity)
+└── Verfügbarkeit (Availability)
+```
+
+### Schutzbedarfsfeststellung
+
+```
+Schutzbedarfsanalyse - Schritte
+1. Assets identifizieren
+2. Bedrohungen analysieren
+3. Schwachstellen identifizieren
+4. Schadensszenarien bewerten
+5. Schutzbedarf festlegen
+```
+
+### Schutzbedarfskategorien
+
+| Kategorie | Beschreibung | Beispiel |
+|----------|-------------|----------|
+| **Normal** | Geringe Auswirkungen | Internes Wiki |
+| **Hoch** | Erhebliche Auswirkungen | Kunden-Daten |
+| **Sehr hoch** | Existenzielle Auswirkungen | Passwörter, Finanzen |
+
+### Beispiel: Schutzbedarfsanalyse
+
+```
+Beispiel: Online-Shop
+
+Asset: Kunden-Datenbank
+- Vertraulichkeit: Hoch (personenbezogene Daten)
+- Integrität: Hoch (keine Manipulation)
+- Verfügbarkeit: Hoch (24/7 Betrieb)
+
+Schutzmaßnahmen:
+- TLS-Verschlüsselung
+- Regelmäßige Backups
+- Redundante Systeme
+```
+
+---
+
+## Risikomanagement
+
+### Risikobewertung
+
+```
+Risiko = Wahrscheinlichkeit × Schadensausmaß
+
+Matrix:
+          | gering | mittel | hoch
+----------|--------|--------|------
+gering    | niedrig| niedrig| mittel
+mittel    | niedrig| mittel | hoch
+hoch      | mittel| hoch   | kritisch
+```
+
+### Risikobehandlung
+
+```
+Risikobehandlung - Optionen
+├── Vermeiden → Risiko eliminieren
+├── Reduzieren → Maßnahmen implementieren
+├── Versichern → Risiko übertragen
+└── Akzeptieren → Risiko bewusst hinnehmen
+```
+
+---
+
+ ## Sicherheitsrichtlinien
+
+### Informationssicherheitsrichtlinie
+
+```markdown
+# Informationssicherheitsrichtlinie
+
+## 1. Zweck
+Diese Richtlinie definiert die Grundsätze...
+
+## 2. Geltungsbereich
+Diese Richtlinie gilt für alle Mitarbeiter...
+
+## 3. Verantwortlichkeiten
+- CISO: Gesamtverantwortung
+- IT-Abteilung: Technische Umsetzung
+- Mitarbeiter: Einhaltung
+
+## 4. Regelungen
+- Passwortrichtlinie
+- Datensicherungsrichtlinie
+- Zugangsberechtigungen
+- Nutzung von IT-Systemen
+```
+
+### Berechtigungskonzept
+
+```
+Berechtigungskonzept - Grundsätze
+├── Need-to-know → Nur was nötig ist
+├── Least Privilege → Minimale Rechte
+├── Segregation of Duties → Aufgabentrennung
+└── Regelmäßige Prüfung → Rechte überprüfen
+```
+
+---
+
+## Business Continuity Management (BCM)
+
+### Notfallplanung
+
+```
+Notfallmanagement-Prozess
+├── Prävention → Risiken minimieren
+├── Detektion → Störung erkennen
+├── Reaktion → Sofortmaßnahmen
+├── Wiederherstellung → Systeme wiederherstellen
+└── Nachbereitung → Lessons Learned
+```
+
+### Notfalltypen
+
+| Typ | Beispiel | Reaktionszeit |
+|-----|----------|---------------|
+| Kritisch | Ransomware | Sofort |
+| Hoch | Server-Ausfall | 4 Stunden |
+| Mittel | E-Mail-Probleme | 24 Stunden |
+| Niedrig | Druckerdefekt | 1 Woche |
+
+---
+
+## Datensicherungskonzept
+
+### Backup-Strategie
+
+```
+Backup-Regel 3-2-1
+├── 3 Kopien der Daten
+├── 2 verschiedene Medien
+└── 1 Kopie extern (offsite)
+```
+
+### Backup-Typen
+
+| Typ | Zeitpunkt | Wiederherstellung |
+|-----|-----------|-------------------|
+| Vollbackup | Wöchentlich | Schnell |
+| Differentiell | Täglich | Mittel |
+| Inkrementell | Stündlich | Langsam |
+
+### Aufbewahrung
+
+```
+Aufbewahrungsfristen
+├── Täglich: 7 Tage
+├── Wöchentlich: 4 Wochen
+├── Monatlich: 12 Monate
+└── Jährlich: 10 Jahre (gesetzlich)
+```
+
+---
+
+## Schulung und Sensibilisierung
+
+### Security-Awareness
+
+```
+Schulungsprogramm
+├── Neue Mitarbeiter: Grundlagen
+├── Jährlich: Auffrischung
+├── Bei Bedarf: Spezialthemen
+└── Phishing-Simulationen
+```
+
+### Themen
+
+| Bereich | Inhalt |
+|---------|--------|
+| Passwörter | Starke Passwörter, 2FA |
+| E-Mail | Phishing erkennen |
+| Social Engineering | Betrugsversuche |
+| Datenschutz | DSGVO-Grundlagen |
+| Mobile Geräte | Sicherheitsrichtlinien |
+
+---
+
+## Querverweise
+
+- [[LF4-02-Schutzmassnahmen|Zurück: Schutzmaßnahmen]]
+- [[LF4-04-Datenschutz|Nächstes Thema: Datenschutz (DSGVO)]]
+
+---
+
+*Stand: 2024*