4.7 KiB
4.7 KiB
4.3 Sicherheitskonzepte
IT-Sicherheitsstandards
BSI-Grundschutz
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) definiert den IT-Grundschutz.
BSI-Grundschutz - Bausteine
├── SYS
│ ├── SYS.1.1 Allgemeiner Server
│ ├── SYS.1.2 Windows Server
│ ├── SYS.1.3 Linux Server
│ ├── SYS.2.1 Client
│ └── ...
├── APP
├── NET
├── INF
├── ORG
└── OPS
ISO 27001
Internationaler Standard für Informationssicherheits-Managementsysteme (ISMS).
ISO 27001 - PDCA-Zyklus
├── Plan (Planen)
├── Do (Umsetzen)
├── Check (Prüfen)
└── Act (Verbessern)
Schutzbedarfsanalyse
Schutzziele
Schutzziele - CIA
├── Vertraulichkeit (Confidentiality)
├── Integrität (Integrity)
└── Verfügbarkeit (Availability)
Schutzbedarfsfeststellung
Schutzbedarfsanalyse - Schritte
1. Assets identifizieren
2. Bedrohungen analysieren
3. Schwachstellen identifizieren
4. Schadensszenarien bewerten
5. Schutzbedarf festlegen
Schutzbedarfskategorien
| Kategorie | Beschreibung | Beispiel |
|---|---|---|
| Normal | Geringe Auswirkungen | Internes Wiki |
| Hoch | Erhebliche Auswirkungen | Kunden-Daten |
| Sehr hoch | Existenzielle Auswirkungen | Passwörter, Finanzen |
Beispiel: Schutzbedarfsanalyse
Beispiel: Online-Shop
Asset: Kunden-Datenbank
- Vertraulichkeit: Hoch (personenbezogene Daten)
- Integrität: Hoch (keine Manipulation)
- Verfügbarkeit: Hoch (24/7 Betrieb)
Schutzmaßnahmen:
- TLS-Verschlüsselung
- Regelmäßige Backups
- Redundante Systeme
Risikomanagement
Risikobewertung
Risiko = Wahrscheinlichkeit × Schadensausmaß
Matrix:
| gering | mittel | hoch
----------|--------|--------|------
gering | niedrig| niedrig| mittel
mittel | niedrig| mittel | hoch
hoch | mittel| hoch | kritisch
Risikobehandlung
Risikobehandlung - Optionen
├── Vermeiden → Risiko eliminieren
├── Reduzieren → Maßnahmen implementieren
├── Versichern → Risiko übertragen
└── Akzeptieren → Risiko bewusst hinnehmen
Sicherheitsrichtlinien
Informationssicherheitsrichtlinie
# Informationssicherheitsrichtlinie
## 1. Zweck
Diese Richtlinie definiert die Grundsätze...
## 2. Geltungsbereich
Diese Richtlinie gilt für alle Mitarbeiter...
## 3. Verantwortlichkeiten
- CISO: Gesamtverantwortung
- IT-Abteilung: Technische Umsetzung
- Mitarbeiter: Einhaltung
## 4. Regelungen
- Passwortrichtlinie
- Datensicherungsrichtlinie
- Zugangsberechtigungen
- Nutzung von IT-Systemen
Berechtigungskonzept
Berechtigungskonzept - Grundsätze
├── Need-to-know → Nur was nötig ist
├── Least Privilege → Minimale Rechte
├── Segregation of Duties → Aufgabentrennung
└── Regelmäßige Prüfung → Rechte überprüfen
Business Continuity Management (BCM)
Notfallplanung
Notfallmanagement-Prozess
├── Prävention → Risiken minimieren
├── Detektion → Störung erkennen
├── Reaktion → Sofortmaßnahmen
├── Wiederherstellung → Systeme wiederherstellen
└── Nachbereitung → Lessons Learned
Notfalltypen
| Typ | Beispiel | Reaktionszeit |
|---|---|---|
| Kritisch | Ransomware | Sofort |
| Hoch | Server-Ausfall | 4 Stunden |
| Mittel | E-Mail-Probleme | 24 Stunden |
| Niedrig | Druckerdefekt | 1 Woche |
Datensicherungskonzept
Backup-Strategie
Backup-Regel 3-2-1
├── 3 Kopien der Daten
├── 2 verschiedene Medien
└── 1 Kopie extern (offsite)
Backup-Typen
| Typ | Zeitpunkt | Wiederherstellung |
|---|---|---|
| Vollbackup | Wöchentlich | Schnell |
| Differentiell | Täglich | Mittel |
| Inkrementell | Stündlich | Langsam |
Aufbewahrung
Aufbewahrungsfristen
├── Täglich: 7 Tage
├── Wöchentlich: 4 Wochen
├── Monatlich: 12 Monate
└── Jährlich: 10 Jahre (gesetzlich)
Schulung und Sensibilisierung
Security-Awareness
Schulungsprogramm
├── Neue Mitarbeiter: Grundlagen
├── Jährlich: Auffrischung
├── Bei Bedarf: Spezialthemen
└── Phishing-Simulationen
Themen
| Bereich | Inhalt |
|---|---|
| Passwörter | Starke Passwörter, 2FA |
| Phishing erkennen | |
| Social Engineering | Betrugsversuche |
| Datenschutz | DSGVO-Grundlagen |
| Mobile Geräte | Sicherheitsrichtlinien |
Querverweise
Stand: 2024