237 lines
4.7 KiB
Markdown
237 lines
4.7 KiB
Markdown
# 4.3 Sicherheitskonzepte
|
||
|
||
## IT-Sicherheitsstandards
|
||
|
||
### BSI-Grundschutz
|
||
|
||
Das **BSI (Bundesamt für Sicherheit in der Informationstechnik)** definiert den **IT-Grundschutz**.
|
||
|
||
```
|
||
BSI-Grundschutz - Bausteine
|
||
├── SYS
|
||
│ ├── SYS.1.1 Allgemeiner Server
|
||
│ ├── SYS.1.2 Windows Server
|
||
│ ├── SYS.1.3 Linux Server
|
||
│ ├── SYS.2.1 Client
|
||
│ └── ...
|
||
├── APP
|
||
├── NET
|
||
├── INF
|
||
├── ORG
|
||
└── OPS
|
||
```
|
||
|
||
### ISO 27001
|
||
|
||
Internationaler Standard für **Informationssicherheits-Managementsysteme (ISMS)**.
|
||
|
||
```
|
||
ISO 27001 - PDCA-Zyklus
|
||
├── Plan (Planen)
|
||
├── Do (Umsetzen)
|
||
├── Check (Prüfen)
|
||
└── Act (Verbessern)
|
||
```
|
||
|
||
---
|
||
|
||
## Schutzbedarfsanalyse
|
||
|
||
### Schutzziele
|
||
|
||
```
|
||
Schutzziele - CIA
|
||
├── Vertraulichkeit (Confidentiality)
|
||
├── Integrität (Integrity)
|
||
└── Verfügbarkeit (Availability)
|
||
```
|
||
|
||
### Schutzbedarfsfeststellung
|
||
|
||
```
|
||
Schutzbedarfsanalyse - Schritte
|
||
1. Assets identifizieren
|
||
2. Bedrohungen analysieren
|
||
3. Schwachstellen identifizieren
|
||
4. Schadensszenarien bewerten
|
||
5. Schutzbedarf festlegen
|
||
```
|
||
|
||
### Schutzbedarfskategorien
|
||
|
||
| Kategorie | Beschreibung | Beispiel |
|
||
|----------|-------------|----------|
|
||
| **Normal** | Geringe Auswirkungen | Internes Wiki |
|
||
| **Hoch** | Erhebliche Auswirkungen | Kunden-Daten |
|
||
| **Sehr hoch** | Existenzielle Auswirkungen | Passwörter, Finanzen |
|
||
|
||
### Beispiel: Schutzbedarfsanalyse
|
||
|
||
```
|
||
Beispiel: Online-Shop
|
||
|
||
Asset: Kunden-Datenbank
|
||
- Vertraulichkeit: Hoch (personenbezogene Daten)
|
||
- Integrität: Hoch (keine Manipulation)
|
||
- Verfügbarkeit: Hoch (24/7 Betrieb)
|
||
|
||
Schutzmaßnahmen:
|
||
- TLS-Verschlüsselung
|
||
- Regelmäßige Backups
|
||
- Redundante Systeme
|
||
```
|
||
|
||
---
|
||
|
||
## Risikomanagement
|
||
|
||
### Risikobewertung
|
||
|
||
```
|
||
Risiko = Wahrscheinlichkeit × Schadensausmaß
|
||
|
||
Matrix:
|
||
| gering | mittel | hoch
|
||
----------|--------|--------|------
|
||
gering | niedrig| niedrig| mittel
|
||
mittel | niedrig| mittel | hoch
|
||
hoch | mittel| hoch | kritisch
|
||
```
|
||
|
||
### Risikobehandlung
|
||
|
||
```
|
||
Risikobehandlung - Optionen
|
||
├── Vermeiden → Risiko eliminieren
|
||
├── Reduzieren → Maßnahmen implementieren
|
||
├── Versichern → Risiko übertragen
|
||
└── Akzeptieren → Risiko bewusst hinnehmen
|
||
```
|
||
|
||
---
|
||
|
||
## Sicherheitsrichtlinien
|
||
|
||
### Informationssicherheitsrichtlinie
|
||
|
||
```markdown
|
||
# Informationssicherheitsrichtlinie
|
||
|
||
## 1. Zweck
|
||
Diese Richtlinie definiert die Grundsätze...
|
||
|
||
## 2. Geltungsbereich
|
||
Diese Richtlinie gilt für alle Mitarbeiter...
|
||
|
||
## 3. Verantwortlichkeiten
|
||
- CISO: Gesamtverantwortung
|
||
- IT-Abteilung: Technische Umsetzung
|
||
- Mitarbeiter: Einhaltung
|
||
|
||
## 4. Regelungen
|
||
- Passwortrichtlinie
|
||
- Datensicherungsrichtlinie
|
||
- Zugangsberechtigungen
|
||
- Nutzung von IT-Systemen
|
||
```
|
||
|
||
### Berechtigungskonzept
|
||
|
||
```
|
||
Berechtigungskonzept - Grundsätze
|
||
├── Need-to-know → Nur was nötig ist
|
||
├── Least Privilege → Minimale Rechte
|
||
├── Segregation of Duties → Aufgabentrennung
|
||
└── Regelmäßige Prüfung → Rechte überprüfen
|
||
```
|
||
|
||
---
|
||
|
||
## Business Continuity Management (BCM)
|
||
|
||
### Notfallplanung
|
||
|
||
```
|
||
Notfallmanagement-Prozess
|
||
├── Prävention → Risiken minimieren
|
||
├── Detektion → Störung erkennen
|
||
├── Reaktion → Sofortmaßnahmen
|
||
├── Wiederherstellung → Systeme wiederherstellen
|
||
└── Nachbereitung → Lessons Learned
|
||
```
|
||
|
||
### Notfalltypen
|
||
|
||
| Typ | Beispiel | Reaktionszeit |
|
||
|-----|----------|---------------|
|
||
| Kritisch | Ransomware | Sofort |
|
||
| Hoch | Server-Ausfall | 4 Stunden |
|
||
| Mittel | E-Mail-Probleme | 24 Stunden |
|
||
| Niedrig | Druckerdefekt | 1 Woche |
|
||
|
||
---
|
||
|
||
## Datensicherungskonzept
|
||
|
||
### Backup-Strategie
|
||
|
||
```
|
||
Backup-Regel 3-2-1
|
||
├── 3 Kopien der Daten
|
||
├── 2 verschiedene Medien
|
||
└── 1 Kopie extern (offsite)
|
||
```
|
||
|
||
### Backup-Typen
|
||
|
||
| Typ | Zeitpunkt | Wiederherstellung |
|
||
|-----|-----------|-------------------|
|
||
| Vollbackup | Wöchentlich | Schnell |
|
||
| Differentiell | Täglich | Mittel |
|
||
| Inkrementell | Stündlich | Langsam |
|
||
|
||
### Aufbewahrung
|
||
|
||
```
|
||
Aufbewahrungsfristen
|
||
├── Täglich: 7 Tage
|
||
├── Wöchentlich: 4 Wochen
|
||
├── Monatlich: 12 Monate
|
||
└── Jährlich: 10 Jahre (gesetzlich)
|
||
```
|
||
|
||
---
|
||
|
||
## Schulung und Sensibilisierung
|
||
|
||
### Security-Awareness
|
||
|
||
```
|
||
Schulungsprogramm
|
||
├── Neue Mitarbeiter: Grundlagen
|
||
├── Jährlich: Auffrischung
|
||
├── Bei Bedarf: Spezialthemen
|
||
└── Phishing-Simulationen
|
||
```
|
||
|
||
### Themen
|
||
|
||
| Bereich | Inhalt |
|
||
|---------|--------|
|
||
| Passwörter | Starke Passwörter, 2FA |
|
||
| E-Mail | Phishing erkennen |
|
||
| Social Engineering | Betrugsversuche |
|
||
| Datenschutz | DSGVO-Grundlagen |
|
||
| Mobile Geräte | Sicherheitsrichtlinien |
|
||
|
||
---
|
||
|
||
## Querverweise
|
||
|
||
- [[LF4-02-Schutzmassnahmen|Zurück: Schutzmaßnahmen]]
|
||
- [[LF4-04-Datenschutz|Nächstes Thema: Datenschutz (DSGVO)]]
|
||
|
||
---
|
||
|
||
*Stand: 2024*
|