Außerdem beschäftigen wir uns noch mit Chipkarten und Sicherheitstoken. Vom neuen Personalausweis über die Girocard bis zur SIM-Karte im Smartphone haben Sie sicher schon persönliche Erfahrungen gemacht im Umgang mit den kleinen Geräten. Wir schauen uns an, wie sie funktionieren und was sie können.
Teil V: Lösungen und Umsetzungen
Aufbauend auf den Bausteinen, die Sie im vierten Teil kennengelernt haben, schauen wir uns dann die Lösungen zur IT-Sicherheit an. Backup, Verschlüsselung von Daten auf Datenträgern und bei der Übertragung, Netzwerksicherheit, Firewalls und Zugangssicherung sind Lösungen, die Sie kennenlernen werden.
Wie überwachen und messen Sie die IT-Sicherheit im Unternehmen? Was sind geeignete Metriken, um die Qualität Ihrer IT-Sicherheit zu messen? Was ist ein Patch-Management? Sie wollten sicher immer schon mal wissen, wie eine Blockchain funktioniert und was es mit Künstlicher Intelligenz auf sich hat. Auch das werden Sie in diesem Teil lernen.
Alle diese Lösungen dienen zur technischen Unterstützung der organisatorischen Prozesse im Unternehmen.
Teil VI: Der Top-Ten-Teil
Im Top-Ten-Teil geht es nochmal um die wichtigsten Begriffe und die wichtigsten organisatorischen und technischen Maßnahmen. Quasi das Take-away in aller Kürze.
Symbole, die in diesem Buch verwendet werden
Neben dem Fernglas finden Sie Beispiele, die Ihnen helfen, das Gelernte an einer konkreten Situation besser zu verstehen.Neben der Lupe finden Sie Definitionen von Begriffen. Häufig stammen diese aus offiziellen Normen, Standards oder Gesetzen.
Wenn Sie erst in das Thema einsteigen und noch nicht so viele Erfahrungen haben, hilft der eine oder andere Tipp.
Bevor Sie einen typischen Fehler machen oder einem gängigen Irrtum unterliegen, lesen Sie die mit diesem Symbol gekennzeichneten Warnungen.
Manchmal erzählen wir Ihnen eine Anekdote. Im Gegensatz zu einem Beispiel ist es nicht das Hauptziel einer Anekdote, Sie beim Verstehen eines Sachverhalts zu unterstützen, sondern sie gibt eine Erklärung zum Hintergrund oder zur Entstehung eines Aspekts oder auch spannende Einblicke in das reale Leben der IT-Sicherheit.
Konventionen in diesem Buch
In diesem Buch verwenden wir aus Gründen der Lesbarkeit für Rollen sowohl die männliche als auch die weibliche Form. Dazu haben wir für alle Rollen jeweils ein Geschlecht definiert und verwenden dies dann durchgehend: der Informationssicherheitsbeauftragte, die Datenschutzbeauftragte, der Angreifer, die Nutzerin. Des Weiteren verwenden wir den Begriff »Unternehmen« und meinen damit jeweils sowohl Organisationen beliebiger Rechtsform wie Unternehmen jeder Art, aber auch Behörden, Universitäten, Forschungseinrichtungen, Vereine und so weiter.
Wir verwenden in diesem Buch die folgenden Begriffe und orientieren uns dabei an den Formulierungen des BSI-Grundschutz-Kompendiums:
»MUSS« oder »DARF NUR«: Diese beiden Formulierungen werden verwendet, wenn etwas unbedingt getan werden muss, da es vorgeschrieben ist. In diesem Fall gibt es eine rechtliche Vorschrift (zum Beispiel die DS-GVO oder das BSI-Gesetz), die die Maßnahme verlangt.
»DARF NICHT« oder »DARF KEIN«: Diese beiden Formulierungen beschreiben das Gegenteil, dass etwas auf keinen Fall getan werden darf, da es zum Beispiel gesetzlich oder regulatorisch (zum Beispiel im Strafgesetzbuch) untersagt ist.
»SOLLTE«: Diese Formulierung besagt, dass es geboten ist, etwas zu tun. Es kann jedoch gute Gründe geben, es trotzdem nicht zu machen. Diese Abweichung muss gut überlegt und nachvollziehbar begründet werden. Außerdem ist die Ausnahme ausführlich zu dokumentieren.
»SOLLTE NICHT« oder »SOLLTE KEIN«: Diese Formulierung besagt, dass nicht geboten ist, etwas zu tun. Es kann jedoch gute Gründe geben, es trotzdem zu machen. Diese Abweichung muss gut überlegt und nachvollziehbar begründet werden. Außerdem ist die Ausnahme ausführlich zu dokumentieren.
»KANN«: Diese Formulierung besagt, dass etwas getan werden kann oder auch nicht. Weder für die eine noch die andere Option ist eine explizite Begründung erforderlich.
Wie es weitergeht
Wir hoffen, Sie sind jetzt richtig neugierig geworden und fangen gleich an zu lesen!
Wenn Sie Informationssicherheit dauerhaft betreiben wollen, dann dürfen Sie nach dem Durcharbeiten dieses Buches nicht aufhören. Die technischen Herausforderungen ändern sich ständig. Ständig werden neue Angriffstechniken bekannt, auf die reagiert werden muss. Die Regularien ändern sich und erfordern eine Anpassung der Organisation im Unternehmen. Standards und Normen werden an die sich weiter entwickelnde Technik angepasst. Es gibt kaum ein anderes Gebiet, wo es so wichtig ist, immer am Ball zu bleiben und sich ständig weiterzubilden.
Wer sich mit Informationssicherheit beschäftigt, muss sich auf die ständigen Änderungen einlassen. »Das haben wir schon immer so gemacht!« ist ein Argument, das Sie vergessen müssen. Aber Informationssicherheit macht auch Spaß: Es ist spannend, an vorderster Front dabei zu sein und die Entwicklung im Unternehmen mitzugestalten.
Die Sorge, dass das Thema in ein paar Jahren vom Tisch ist, müssen Sie nicht haben. Informationssicherheit ist eines der großen Themen unserer Zeit, das immer wichtiger wird. Damit wird Ihnen nie langweilig!
Dieses Buch berücksichtigt bei Darstellungen der Rechtslage in Deutschland und in der Europäischen Union den Stand der Gesetzgebung bis Herbst 2021. Gesetze (wie zum Beispiel TKG, TTDSG), die bis Mitte 2021 beschlossen wurden, aber erst am 1. Dezember 2021 in Kraft getreten sind, sind in der Fassung vom 1. Dezember 2021 berücksichtigt.
Aktualisierte Links, weitere Informationen und Errata finden Sie auf der Website https://www.it-sfd.de
.
Teil I
Informationssicherheit, IT-Sicherheit und Datenschutz
IN DIESEM TEIL …
Sie lernen die grundlegenden Definitionen und Schutzziele der Informationssicherheit wie Verfügbarkeit, Integrität und Vertraulichkeit kennen.
Außerdem beschäftigen Sie sich mit den Bausteinen des Informationssicherheitsmanagements. Risikomanagement, Meldepflichten, Sicherheitsstandards und Audits sind die vier grundlegenden Elemente, die die Organisation der Informationssicherheit und die daraus folgenden technischen Maßnahmen treiben.
Auch der Datenschutz in Form der europäischen Datenschutzgrundverordnung (DS-GVO) ist durch seine Forderung nach »geeigneten technischen und organisatorischen Maßnahmen« zum Schutz der personenbezogenen Daten eng mit der Informationssicherheit verwoben.
Kapitel