# 4.2 Schutzmaßnahmen ## Sicherheitsmaßnahmen - Überblick ``` Sicherheitsebenen (Defense in Depth) ├── Physische Sicherheit ├── Netzwerksicherheit ├── System­sicherheit ├── Anwendungs­sicherheit └── Datensicherheit ``` --- ## Virenschutz ### Antivirus-Software | Komponente | Funktion | |------------|----------| | Echtzeitschutz | Scannt Dateien beim Zugriff | | On-Demand-Scan | Manuelle Prüfung | | Signatur-Erkennung | Bekannte Schadsoftware | | Heuristik | Verdachtsverhalten erkennen | | Sandbox | Ausführung in isolierter Umgebung | ### Antiviren-Programme | Produkt | Typ | Eigenschaften | |---------|-----|---------------| | Windows Defender | Integriert | Kostenlos, gut | | Bitdefender | Kommerziell | Top-Schutz | | Kaspersky | Kommerziell | Umfassend | | ClamAV | Open Source | Linux-Server | ### Konfiguration ``` Antivirus-Einstellungen ├── Echtzeitschutz aktiviert ├── Automatische Updates ├── Geplante Vollscans ├── Quarantäne bei Fund └── Reporting aktivieren ``` --- ## Firewall ### Firewall-Typen | Typ | Ebene | Beschreibung | |-----|-------|-------------| | Paketfilter | Netzwerk | Nach IP/Port filtern | | Stateful Inspection | Netzwerk | Verbindungsstatus prüfen | | Application Layer | Netzwerk | Anwendungsprotokolle | | Host-Based | System | Einzelner PC | | Web Application (WAF) | Anwendung | HTTP/HTTPS | ### Windows Firewall ```powershell # Status abfragen Get-NetFirewallProfile # Regel erstellen (PowerShell) New-NetFirewallRule -DisplayName "HTTP-Allow" -Direction Inbound -Protocol TCP -LocalPort 80 -Action Allow # Regel deaktivieren Set-NetFirewallRule -DisplayName "HTTP-Allow" -Enabled False ``` ### Firewall-Regeln ``` Regelstruktur ├── Aktion: Erlauben/Blockieren ├── Richtung: Eingehend/Ausgehend ├── Protokoll: TCP/UDP/ICMP ├── Port: Nummer oder Bereich ├── IP-Adresse: Quelle/Ziel └── Programm: Pfad zur Anwendung ``` --- ## Verschlüsselung ### Verschlüsselungsarten | Art | Verwendung | Beispiele | |-----|------------|----------| | **Symmetrisch** | Gleicher Schlüssel | AES, 3DES | | **Asymmetrisch** | Schlüsselpaar | RSA, ECC | | **Hashing** | Einwegfunktion | SHA-256, MD5 | ### Symmetrische Verschlüsselung ``` Verschlüsselung mit AES Klartext → AES (Schlüssel) → Chiffretext Chiffretext → AES (Schlüssel) → Klartext ``` ### Asymmetrische Verschlüsselung ``` Schlüsselpaar ├── Öffentlicher Schlüssel (Public Key) │ └── Verschlüsselung, Verifizierung └── Privater Schlüssel (Private Key) └── Entschlüsselung, Signatur ``` ### Verschlüsselungsbereiche | Bereich | Technologie | Beispiel | |---------|-------------|----------| | Festplatte | Full Disk Encryption (FDE) | BitLocker, FileVault | | Datei | Transparent Encryption | EFS, VeraCrypt | | E-Mail | S/MIME, PGP | Gpg4win | | Web | TLS/SSL | HTTPS | | Datenbank | Transparent Data Encryption | TDE | --- ## Authentifizierung ### Authentifizierungsfaktoren ``` Authentifizierungsfaktoren ├── Wissen (Something you know) │ └── Passwort, PIN ├── Besitz (Something you have) │ └── Chipkarte, Token, Handy └── Eigenschaft (Something you are) └── Fingerabdruck, Face ID ``` ### Starke Authentifizierung (2FA/MFA) | Typ | Beschreibung | |-----|-------------| | **2FA** | Zwei Faktoren | | **MFA** | Mehrere Faktoren | | **TOTP** | Zeitbasiert (Google Authenticator) | | **SMS** | Einmalcode per SMS (unsicherer) | | **Hardware-Token** | Physischer Schlüssel (YubiKey) | ### Passwort-Richtlinien ``` Sichere Passwörter ├── Mindestens 12 Zeichen ├── Groß- und Kleinbuchstaben ├── Zahlen und Sonderzeichen ├── Keine Wörterbuchwörter ├── Keine Wiederverwendung └── Regelmäßig ändern ``` ### Passwort-Manager | Produkt | Plattform | Typ | |---------|----------|-----| | Bitwarden | Alle | Open Source | | 1Password | Alle | Kommerziell | | KeePass | Windows/Linux | Open Source | | iCloud Keychain | Apple | Integriert | --- ## Updates und Patches ### Patch-Management ``` Patch-Prozess ├── Identifikation → Sicherheitslücken melden ├── Bewertung → Schweregrad prüfen ├── Entwicklung → Patch erstellen ├── Test → In Testumgebung prüfen ├── Verteilung → Rollout planen └── Dokumentation → Änderungen festhalten ``` ### Patch-Stufen | Stufe | Priorität | Zeitrahmen | |-------|----------|------------| | Kritisch | Sofort | 24-72 Stunden | | Hoch | Bald | 1 Woche | | Mittel | Geplant | 1 Monat | | Niedrig | Bei Gelegenheit | Quartal | --- ## Netzwerksicherheit ### VPNs (Virtual Private Network) ``` VPN - Tunnel durch unsicheres Netzwerk Lokaler PC → Verschlüsselter Tunnel → Unternehmensnetzwerk ``` | VPN-Typ | Beschreibung | |---------|-------------| | Site-to-Site | Netzwerk-zu-Netzwerk | | Remote Access | Einzelner Benutzer | | SSL-VPN | Browser-basiert | | IPsec | Standard-basiert | ### WLAN-Sicherheit | Standard | Sicherheit | Empfehlung | |----------|------------|-------------| | WEP | Unsicher | Nicht nutzen | | WPA | Schwach | Nicht nutzen | | **WPA2** | Sicher | Empfohlen | | WPA3 | Sehr sicher | Neuinstallation | --- ## Querverweise - [[LF4-01-Gefahren-Analyse|Zurück: Gefahren und Bedrohungen]] - [[LF4-03-Sicherheitskonzepte|Nächstes Thema: Sicherheitskonzepte]] --- *Stand: 2024*