E-Book, Deutsch, 253 Seiten
Liedtke Informationssicherheit
1. Auflage 2022
ISBN: 978-3-662-63917-7
Verlag: Springer
Format: PDF
Kopierschutz: 1 - PDF Watermark
Möglichkeiten und Grenzen
E-Book, Deutsch, 253 Seiten
Reihe: Business and Economics (German Language)
ISBN: 978-3-662-63917-7
Verlag: Springer
Format: PDF
Kopierschutz: 1 - PDF Watermark
Dieses Buch erklärt die wichtigsten Fachbegriffe und Inhalte und ordnet diese den entsprechenden Bereichen zu. Einbezogen werden auch scheinbare Randgebiete, die für die Informationssicherheit ebenfalls eine Rolle spielen. So wird der Themenkomplex Safety und Privacy hinsichtlich seiner Gemeinsamkeiten und Unterschiede beleuchtet. Das Buch zeigt aktuell verwendete Angriffsmuster und wie man sich dagegen schützen kann. Schutz muss dabei sowohl auf technischer Ebene (z. B. durch den Einsatz von Kryptographie) als auch auf organisatorischer und personellen Ebene (z. B. durch entsprechende Managementsysteme und Awareness-Schulungen) erfolgen. Wie lässt sich feststellen, wie sicher Daten sind? Wie lassen sich relevante Bedrohungen finden, gegen die man sich schützen muss? Wie verlaufen Risikoanalysen?
Dr. Thomas Liedtke verfügt über langjährige Projekt- und Entwicklungserfahrung in den Bereichen Safety, Security und Datenschutz im regulierten Umfeld. Er ist Referent, Coach und Seminarleiter für Projektmanagement, Prozesse und Methoden sowie unterschiedliche Reifegradmodelle.
Autoren/Hrsg.
Weitere Infos & Material
1;Vorwort;5
2;Inhaltsverzeichnis;7
3;Abkürzungsverzeichnis;12
4;1 Einleitung;17
4.1;1.1Motivation;17
4.2;1.2Kapitelstruktur;18
4.3;Literatur;20
5;2 Grundlagen der Informationssicherheit;21
5.1;2.1Motivation;23
5.1.1;2.1.1Informationssicherheit;24
5.1.2;2.1.2Studien-Erkenntnisse;27
5.2;2.2Sicherheit und Sicherheitsziele;31
5.2.1;2.2.1Informationssicherheit – Charakteristik – Schutzziele;34
5.2.2;2.2.2Fundamente der Informationssicherheit;38
5.2.3;2.2.3Definitionen im Zusammenhang mit der Informationssicherheit;40
5.2.4;2.2.4Social Engineering;41
5.2.4.1;2.2.4.1 Social Engineering – Beispiele;42
5.2.4.2;2.2.4.2 Social Engineering – Angriffsziele;45
5.2.5;2.2.5Bug-Bounty-Programme – Honeypot;46
5.2.5.1;2.2.5.1 Bug-Bounty-Programm;47
5.2.5.2;2.2.5.2 Honeypot;47
5.3;2.3Sicherheit der Verarbeitung;48
5.3.1;2.3.1Technische Sicherungsmaßnahmen;49
5.3.2;2.3.2Organisatorische Sicherungsmaßnahmen;49
5.3.3;2.3.3Organisation und Compliance;50
5.3.4;2.3.4Informationen sammeln;50
5.3.5;2.3.5Self-Assessment;50
5.3.6;2.3.6Teststrategien;51
5.3.7;2.3.7Zeitenwende nach Stuxnet;53
5.4;2.4NIS-Richtlinie;54
5.5;2.5Zusammenfassung;56
5.6;Literatur;57
6;3 Datenschutz (Privacy);61
6.1;3.1Motivation/Ursprung;62
6.1.1;3.1.1Datenschutzgrundprinzipien: Konzepte;62
6.1.2;3.1.2Datenschutz: Historie;63
6.1.3;3.1.3Datenschutz: Charakteristik und Datenschutzziele;65
6.2;3.2Basis der EU-DSGVO: Bundesdatenschutzgesetz n. F.;67
6.2.1;3.2.1Bundesdatenschutzgesetz n. F.;67
6.2.2;3.2.2EU-Datenschutz-Grundschutzverordung;68
6.2.3;3.2.3ePrivacy: Telekommunikation-Telemedien-Datenschutz-Gesetz;69
6.2.4;3.2.4Personenbezogene Daten;70
6.2.5;3.2.5Rechtmäßigkeit der Verarbeitung;72
6.3;3.3Wichtige Artikel der EU-DSGVO;73
6.3.1;3.3.1Grundsätze zur Verarbeitung personenbezogener Daten;74
6.3.2;3.3.2Bedingungen für die Einwilligung;75
6.3.3;3.3.3Sicherheit der Verarbeitung;76
6.3.4;3.3.4Rechte der betroffenen Person;77
6.3.5;3.3.5Datenschutz-Folgenabschätzung;78
6.3.6;3.3.6Allgemeine Bedingungen für die Verhängung von Geldbußen;78
6.4;3.4Privacy Engineering – Privacy-by-Design;79
6.4.1;3.4.1Privacy Engineering;80
6.4.2;3.4.2Sieben fundamentale Prinzipien: Privacy-by-Design (PbD);82
6.4.3;3.4.3Privacy-Strategien;87
6.5;3.5Privacy-Enhancing-Technologies (PET);89
6.6;3.6Privacy-Risk-Modell (Datenschutz-Risikomodell);92
6.6.1;3.6.1Privacy-Risikoanalyse;92
6.6.2;3.6.2Datenschutz-Bedrohungsmodellierung: LINDDUN;94
6.7;3.7Datenschutz-Framework;97
6.8;3.8Zusammenfassung;99
6.9;Literatur;101
7;4 Funktionale Sicherheit (Safety);104
7.1;4.1Motivation;105
7.2;4.2Ziele – Funktionale Sicherheit – Charakteristik;107
7.3;4.3Schnittstelle Funktionale Sicherheit – Cybersecurity;112
7.3.1;4.3.1Schnittstellen in der Automotive-Safety-Norm;113
7.3.2;4.3.2Artverwandte Analyse-Methoden;115
7.3.3;4.3.3SOTIF – Safety of the intended functionality;116
7.3.4;4.3.4STPA – Systems Theoretic Process Analysis;117
7.3.5;4.3.5Künstliche Intelligenz;118
7.4;4.4Zusammenfassung;118
7.5;Literatur;120
8;5 Informations-/Cybersecurity-Standards;122
8.1;5.1Security Development Lifecycle: Standards;123
8.1.1;5.1.1Microsoft Security-Development-Lifecycle (SDL);124
8.1.2;5.1.2IEEE Cyber Security – Design Flaws;126
8.1.2.1;5.1.2.1 Die Top 10-Design-Mängel;126
8.1.2.2;5.1.2.2 Gegenmaßnahmen zur Vermeidung der Top 10-Design-Mängel;127
8.1.3;5.1.3Automotive SPICE®;129
8.2;5.2Security-Standards;131
8.2.1;5.2.1SAE Internatlional J3061TM | ISO/SAE 21434;131
8.2.2;5.2.2FIPS PUB 199/FIPS PUB 200/NIST SP 800-53;133
8.2.2.1;5.2.2.1 FIPS PUB 199 – Security Categorization;134
8.2.2.2;5.2.2.2 FIPS PUB 200 – Minimale Sicherheitsanforderungen;135
8.2.3;5.2.3NIST SP 800-Reihe;135
8.2.4;5.2.4ISA/IEC 62443 – IT-Sicherheit für Netze und Systeme;137
8.2.4.1;5.2.4.1 ISA/IEC 62443 – Ziele;137
8.2.4.2;5.2.4.2 ISA/IEC 62443 – Struktur der Normenreihe;139
8.2.4.3;5.2.4.3 ISA/IEC 62443 – Fundamentale Konzepte (Foundational Requirements);140
8.2.5;5.2.527k-Familie – Informationssicherheit;145
8.2.5.1;5.2.5.1 ISO/IEC 27001 – Informationssicherheits-Management;146
8.2.5.2;5.2.5.2 ISO/IEC 27005 Security Risk Management;147
8.2.5.3;5.2.5.3 ISO/IEC 27701 – Datenschutz-Managementsystem;147
8.2.6;5.2.6TISAX – Automotive ISMS;147
8.2.7;5.2.7UNECE/NHTSA – Automotive Regulierungen;148
8.2.8;5.2.8IEC 15480 – Common Criteria;151
8.2.9;5.2.9RTCA DO 326-A – Sicherheit in der Luftfahrt;154
8.2.10;5.2.10EU Cybersecurity Act;155
8.3;5.3Zusammenfassung;156
8.3.1;5.3.1Secure Software Engineering;157
8.3.2;5.3.2Herausforderungen und Maßnahmen;157
8.4;Literatur;158
9;6 Hacking;162
9.1;6.1Denkweise (Mindset);163
9.2;6.2Hacking-Beispiele;167
9.2.1;6.2.1Google-Hacking;167
9.2.2;6.2.2Passwort-Hacking;168
9.3;6.3Hacking-Beispiel Automotive;169
9.3.1;6.3.1Konnektivität macht es möglich;170
9.3.2;6.3.2Beispiel: Roll-Jam-Technique (Replay-Attacke);173
9.3.3;6.3.3Beispiel: (Key-) Relay-Station-Attacke;173
9.4;6.4Cyber-Kill-Chain;174
9.5;6.5Zusammenfassung;176
9.6;Literatur;177
10;7 Risiko-Assessment;179
10.1;7.1Übersicht;180
10.1.1;7.1.1Prinzipien;181
10.1.2;7.1.2Rahmenwerk;182
10.1.3;7.1.3Prozess;183
10.1.4;7.1.4Risikokriterien;184
10.2;7.2Automotive TARA nach ISO/SAE 21434;186
10.2.1;7.2.1Identifikation der zu schützenden Werte;186
10.2.2;7.2.2Identifikation von Bedrohungsszenarien;188
10.2.3;7.2.3Bestimmung der Auswirkungsschwere;189
10.2.4;7.2.4Analyse der Angriffspfade;190
10.2.5;7.2.5Bestimmung der Angriffsmachbarkeit;190
10.2.6;7.2.6Bewertung des Risikos;192
10.2.7;7.2.7Risikobehandlungsentscheidung;193
10.3;7.3Sicherheitsrisikobewertung nach ISA/IEC 62443;193
10.4;7.4Risikobewertung nach ISO/IEC 27005;195
10.5;7.5Risikobewertung nach NIST SP 800-30;196
10.6;7.6Risikobewertung nach HEAVENS;199
10.6.1;7.6.1Bedrohungsanalyse;201
10.6.2;7.6.2Risikobewertung;202
10.6.3;7.6.3Sicherheitsanforderungen;203
10.7;7.7Bedrohungsmodellierung: STRIDE;203
10.7.1;7.7.1STRIDE-per-Element;205
10.7.2;7.7.2STRIDE-per-Interaktion;205
10.8;7.8Zusammenfassung;206
10.9;Literatur;207
11;8 IT-Service-Management;209
11.1;8.1Motivation (Einbettung);212
11.2;8.2ITIL und COBIT;213
11.2.1;8.2.1ITIL – IT Infrastructure Library;214
11.2.2;8.2.2COBIT – Control Objectives for Information and Related Technology;215
11.3;8.327k – Informationssicherheits-Managementsystem;215
11.4;8.4IT-Grundschutz-Kompendium;216
11.4.1;8.4.1BSI-Standards zur Umsetzung;218
11.4.2;8.4.2BSI-Risioanalyse;222
11.5;8.5Der IT-Sicherheits-Beauftragte;223
11.6;Literatur;224
12;9 Anhang: Kontrollfamilien;226
12.1;9.1Kontrollfamilien für Security und Privacy;227
12.2;Literatur;234
13;Glossar;235
14;Stichwortverzeichnis;245
