Оглавление
Jens Libmann. INFORMATIONSSICHERHEIT kompakt, effizient und unter Kontrolle
1.Vorwort
2.Zusammenfassung
3.Einleitung
4.Teil 1 - Strategische Planung, Entwicklung und Umsetzung
4.1.Säule 1 - Bewusstseinsbildung
4.1.1.Bewusstseinsbildung bei Entscheidungsträgern
4.1.1.1.Sorglosigkeit der Chefs
4.1.1.2.Offensive Strategie
4.1.1.3.Gründe für InfSec
4.1.2.Bewusstseinsbildung bei Stakeholdern
4.1.2.1.Schwachstelle Mensch
4.1.2.2.Feedback
4.1.3.InfSec-Politik
4.1.3.1.Aufgaben der InfSec-Politik
4.1.3.2.InfSec-Policy
Zentrale Koordination und Verantwortung
Veröffentlichung
Einhaltungsverpflichtung
Ausnahmeregelungen
Aktualisierungsmethodik
4.1.3.3.Richtlinienpyramide
Erläuterung
 Beispiele für Richtlinientexte
4.1.4.Zusammenfassung
4.2.Säule 2 - Ressourcen
4.2.1.Personelle Ressourcen
4.2.1.1.Organisationsprinzip
Entscheidungsgremium
Information-Security-Committee (InfSecC)
4.2.1.2.Beispielstruktur
Zentrales Sicherheitsmanagement
Datenschutzbeauftragter (DS-Beauftragter)
Revision
InfSecC
Emergency Response Team (ERT)
4.2.1.3.Externes Personal
Kurz- und mittelfristiger Einsatz
Outsourcing
4.2.2.Finanzielle Ressourcen
4.2.2.1.Personalaufwand
4.2.2.2.Sachaufwand
4.2.3.Zeitliche Ressourcen
4.2.4.Zusammenfassung
4.3.Säule 3 - Prozesse
4.3.1.Etablierung
4.3.1.1.Risikoanalyse
Schritte der Risikoanalyse
4.3.1.2.Klassifizierung
Vorgangsweise
Sicherheitsstufen
Zugriffsregelung
4.3.1.3.Konzept
4.3.1.4. Maßnahmen
Maßnahmenplan
Umsetzung
Funktionstests
Konzeptanpassungen
Sensibilisierung und Schulung
4.3.2.Aufrechterhaltung
4.3.2.1.Betreuung, Wartung und Überwachung
4.3.2.2.Reaktion, Berichtwesen und Dokumentation
4.3.2.3.Prozessoptimierung/Controlling
Controlling-Elemente
4.3.3.Zusammenfassung
5. Teil 2 - Operativer Bereich
5.1. Universelle Maßnahmen
5.1.1. Pareto-Prinzip
5.1.2.Internationale Standards
5.1.3.Reale - virtuelle Gefahren
5.1.4.Maßnahmenprinzipien nach Wirkungszeitpunkt
5.1.5.Prinzip Abhalten
5.1.5.1.Sperren
Zutritt
Zugriff
5.1.5.2.Dienste
Lage
Brandschutz
Elektrizität
Zentrale Notstromversorgung
Lokale unterbrechungsfreie Stromversorgung
Blitzschutz
Not-Aus-Schalter
Standardeinstellungen ändern
Nicht benötigte Funktionen deaktivieren
Nutzungsverbot nicht-freigegebener Hard- und Software
Nutzung angebotener Standardsicherheitsfunktionen
Fernwartung
In Stand halten
Weitergabe, Transport und Entsorgung von Informationsträgern
Ausreichende Dimensionierung
Vertrauenswürdige Produkte
Software
Kommunikationseinrichtungen
Firmennetzwerk
Drahtlose Netzverbindungen
Peer to Peer (P2P)
Anwendungs-/Fileserver
Mailsysteme
Instant Messenger (IM)
Internet-Sicherheit
5.1.5.3.Personal. Schulung
Sensibilisierungsprogramm
Vertrauenswürdiges Personal
Mitarbeiter-Check
Verantwortlichkeit
Outsourcing
5.1.6. Prinzip Verzögern
5.1.6.1. Beschilderung
5.1.6.2. Schutzschränke
5.1.6.3. Verschlüsselung (Kryptographie)
Kryptokonzept
Asymmetrische Verschlüsselung
Symmetrische Verschlüsselung
Hybride Verschlüsselung
Digitale Signaturen/Zertifikate
Certification-Authority (CA)
Registration-Authority (RA)
Public-Key-Infrastructure (PKI)
Verschlüsselung im Internet
Verschlüsselung im Geschäftsverkehr
Secure Sockets Layer (SSL)
Secure Hypertext Transfer Protocol (HTTPS)
Virtuelles privates Netzwerk (VPN)
Transport Layer Security (TLS)
5.1.7. Prinzip Alarmieren
5.1.7.1. Leitzentrale
5.1.7.2. Brandmeldeanlagen
5.1.7.3. Wasser/Gasmelder
5.1.7.4. Intrusion-Detection-Systeme (IDS)
5.1.8. Prinzip Erkennen
5.1.8.1.Filterprogramme (Content-Security)
5.1.8.2.Computerviren
5.1.8.3. Checksummen-Prüfprogramme
5.1.8.4. Internes Kontrollsystem (IKS)
5.1.8.5. Audit
Penetrationstests
Taschenkontrollen
Betriebsmittelprüfung
5.1.8.6. Probeübungen
5.1.8.7. Wartung
5.1.8.8. Protokollierung
5.1.9. Prinzip Reagieren
5.1.9.1. Bereitschaftspersonal
5.1.9.2. Dokumentation
5.1.9.3. Business-Continuity-Planung
Katastrophenplan
5.1.9.4. Feuerlöscher
5.1.9.5. Ergreiferprämie
5.1.10. Prinzip Korrigieren
5.1.10.1. Backup/Recovery
5.1.10.2. Rechtliche Vorgehensweise festlegen
5.1.10.3. Versicherungen
5.2. Fallbeispiele
5.2.1. Fallbeispiel 1: E-Commercekonzept
5.2.1.1. Prämissen
5.2.1.2. Realisierung der Technik
5.2.1.3.Bedrohungen
5.2.1.4. Risikoermittlung
5.2.1.5. Analyseergebnisse
5.2.1.6. Maßnahmenauswahl
5.2.1.7. Information-Security-Policy der Firma EXAMPEL
Umgang mit Informationen
Geltungsbereich
Schutzziele
Verantwortlichkeiten
Kontrollaufgaben
Veröffentlichung
Aktualisierungsmethodik
5.2.2. Fallbeispiel 2: Total Cost-of-Ownership-Untersuchung für ein Intrusion-Detection-System
5.2.2.1.Kauf eines Systems
5.2.2.2.Managed Services
5.2.2.3.Berechnung des Nutzens
5.2.3. Fallbeispiel 3: Sensibilisierungsprogramm
5.2.4. Fallbeispiel 4: Denial of Service (DoS) Attacke
5.2.4.1. Bedrohungspotenzial
5.2.4.2. Schutzmaßnahmen
Allgemeine Maßnahmen
Netzübergänge
Internet Server
Intranet
5.2.4.3. Verhalten bei einer DoS/DDoS-Attacke
5.2.5. Fallbeispiel 5: Einmalpasswörter für Fernwartung/Notfalluser
5.2.6. Fallbeispiel 6: Outsourcing
5.2.7.Fallbeispiel 7: Balanced Scorecard (BS)
5.2.7.1. Kunden
5.2.7.2. Schulung
5.2.7.3. Prozess
5.2.7.4. Finanzen
5.2.7.5. Einführungsperspektive
6.Teil 3 – Zukunftsperspektiven
6.1. Flexibilität
6.1.1. Zeit
6.1.2. Raum
6.1.3. Funktion
6.2. Vertrauenswürdigkeit
6.2.1. Regelung
6.2.2. Zusammenarbeit
6.2.3. Kontrolle
6.3. Zusammenfassung
7. Epilog
8. Anhang. 8.1.Weiterführende Literatur
8.2.Abbildungsverzeichnis
8.3.Abkürzungsverzeichnis
