# 4.3 Sicherheitskonzepte ## IT-Sicherheitsstandards ### BSI-Grundschutz Das **BSI (Bundesamt für Sicherheit in der Informationstechnik)** definiert den **IT-Grundschutz**. ``` BSI-Grundschutz - Bausteine ├── SYS │ ├── SYS.1.1 Allgemeiner Server │ ├── SYS.1.2 Windows Server │ ├── SYS.1.3 Linux Server │ ├── SYS.2.1 Client │ └── ... ├── APP ├── NET ├── INF ├── ORG └── OPS ``` ### ISO 27001 Internationaler Standard für **Informationssicherheits-Managementsysteme (ISMS)**. ``` ISO 27001 - PDCA-Zyklus ├── Plan (Planen) ├── Do (Umsetzen) ├── Check (Prüfen) └── Act (Verbessern) ``` --- ## Schutzbedarfsanalyse ### Schutzziele ``` Schutzziele - CIA ├── Vertraulichkeit (Confidentiality) ├── Integrität (Integrity) └── Verfügbarkeit (Availability) ``` ### Schutzbedarfsfeststellung ``` Schutzbedarfsanalyse - Schritte 1. Assets identifizieren 2. Bedrohungen analysieren 3. Schwachstellen identifizieren 4. Schadensszenarien bewerten 5. Schutzbedarf festlegen ``` ### Schutzbedarfskategorien | Kategorie | Beschreibung | Beispiel | |----------|-------------|----------| | **Normal** | Geringe Auswirkungen | Internes Wiki | | **Hoch** | Erhebliche Auswirkungen | Kunden-Daten | | **Sehr hoch** | Existenzielle Auswirkungen | Passwörter, Finanzen | ### Beispiel: Schutzbedarfsanalyse ``` Beispiel: Online-Shop Asset: Kunden-Datenbank - Vertraulichkeit: Hoch (personenbezogene Daten) - Integrität: Hoch (keine Manipulation) - Verfügbarkeit: Hoch (24/7 Betrieb) Schutzmaßnahmen: - TLS-Verschlüsselung - Regelmäßige Backups - Redundante Systeme ``` --- ## Risikomanagement ### Risikobewertung ``` Risiko = Wahrscheinlichkeit × Schadensausmaß Matrix: | gering | mittel | hoch ----------|--------|--------|------ gering | niedrig| niedrig| mittel mittel | niedrig| mittel | hoch hoch | mittel| hoch | kritisch ``` ### Risikobehandlung ``` Risikobehandlung - Optionen ├── Vermeiden → Risiko eliminieren ├── Reduzieren → Maßnahmen implementieren ├── Versichern → Risiko übertragen └── Akzeptieren → Risiko bewusst hinnehmen ``` --- ## Sicherheitsrichtlinien ### Informationssicherheitsrichtlinie ```markdown # Informationssicherheitsrichtlinie ## 1. Zweck Diese Richtlinie definiert die Grundsätze... ## 2. Geltungsbereich Diese Richtlinie gilt für alle Mitarbeiter... ## 3. Verantwortlichkeiten - CISO: Gesamtverantwortung - IT-Abteilung: Technische Umsetzung - Mitarbeiter: Einhaltung ## 4. Regelungen - Passwortrichtlinie - Datensicherungsrichtlinie - Zugangsberechtigungen - Nutzung von IT-Systemen ``` ### Berechtigungskonzept ``` Berechtigungskonzept - Grundsätze ├── Need-to-know → Nur was nötig ist ├── Least Privilege → Minimale Rechte ├── Segregation of Duties → Aufgabentrennung └── Regelmäßige Prüfung → Rechte überprüfen ``` --- ## Business Continuity Management (BCM) ### Notfallplanung ``` Notfallmanagement-Prozess ├── Prävention → Risiken minimieren ├── Detektion → Störung erkennen ├── Reaktion → Sofortmaßnahmen ├── Wiederherstellung → Systeme wiederherstellen └── Nachbereitung → Lessons Learned ``` ### Notfalltypen | Typ | Beispiel | Reaktionszeit | |-----|----------|---------------| | Kritisch | Ransomware | Sofort | | Hoch | Server-Ausfall | 4 Stunden | | Mittel | E-Mail-Probleme | 24 Stunden | | Niedrig | Druckerdefekt | 1 Woche | --- ## Datensicherungskonzept ### Backup-Strategie ``` Backup-Regel 3-2-1 ├── 3 Kopien der Daten ├── 2 verschiedene Medien └── 1 Kopie extern (offsite) ``` ### Backup-Typen | Typ | Zeitpunkt | Wiederherstellung | |-----|-----------|-------------------| | Vollbackup | Wöchentlich | Schnell | | Differentiell | Täglich | Mittel | | Inkrementell | Stündlich | Langsam | ### Aufbewahrung ``` Aufbewahrungsfristen ├── Täglich: 7 Tage ├── Wöchentlich: 4 Wochen ├── Monatlich: 12 Monate └── Jährlich: 10 Jahre (gesetzlich) ``` --- ## Schulung und Sensibilisierung ### Security-Awareness ``` Schulungsprogramm ├── Neue Mitarbeiter: Grundlagen ├── Jährlich: Auffrischung ├── Bei Bedarf: Spezialthemen └── Phishing-Simulationen ``` ### Themen | Bereich | Inhalt | |---------|--------| | Passwörter | Starke Passwörter, 2FA | | E-Mail | Phishing erkennen | | Social Engineering | Betrugsversuche | | Datenschutz | DSGVO-Grundlagen | | Mobile Geräte | Sicherheitsrichtlinien | --- ## Querverweise - [[LF4-02-Schutzmassnahmen|Zurück: Schutzmaßnahmen]] - [[LF4-04-Datenschutz|Nächstes Thema: Datenschutz (DSGVO)]] --- *Stand: 2024*