Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
security:security [2009/08/06 12:12] – st | security:security [2010/07/14 16:50] (aktuell) – st | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
+ | ====== Security ====== | ||
+ | Die drei klassischen Schutzziele der IT-Sicherheit sind Vertraulichkeit, | ||
+ | und Verfügbarkeit. Schutzziele gelten jeweils für konkrete Objekte oder Werte | ||
+ | und zwischen den einzelnen Zielen kann es Abhängigkeiten geben. ([[http:// | ||
+ | Das Problem von Sicherheit ist, dass sie für den berechtigten Benutzer keinen Mehrwert bringt. Oft sogar das Gegenteil: Sie hält den Benutzer von seiner Arbeit ab. Ein Beispiel: Eine verschlossene Haustür (oder eine Passworteingabe) bringt dem Hauseigentümer an sich keinen Mehrwert. Er muss seinen Schlüssel dabei haben und beim Verlust evtl. Schlösser austauschen, | ||
+ | |||
+ | Computer wurden gebaut damit Leute effizienter arbeiten können. Wenn also der Benutzer Software installieren will, hilft ihm das effizienter zu sein, allerdings oft nicht der Sicherheit. Daher ist Sicherheit immer ein Kompromiss. | ||
+ | |||
+ | |||
+ | Spezielle Aspekte sind **[[linux: | ||
+ | Siehe auch **[[Security: | ||
+ | * [[Security-tools]] | ||
+ | [[Firewalls|{{security: | ||
+ | |||
+ | * [[Angriffsmethoden und Gegenmaßnahmen]] | ||
+ | * [[Angriffe auf Webapplikationen]] | ||
+ | |||
+ | * [[Integritätschecker]] | ||
+ | * [[IDS: | ||
+ | |||
+ | |||
+ | **Notfallplan** erstellt? (Datendiebstahl, | ||
+ | |||
+ | ===== Gefahren ===== | ||
+ | Größte Gefahren sind | ||
+ | * mangelnde Sensibilisierung des Managements | ||
+ | * fehlende Prozessanalysen und | ||
+ | * ungenügende Krisen- und Notfallpläne. | ||
+ | Denn Sicherheit ist kein Produkt (und auch nicht eine Kombination) sondern ein Prozess (das hat man garantiert schon mal gehört, stammt von [[http:// | ||
+ | |||
+ | |||
+ | ===== Ziele von Computer-Sicherheit ===== | ||
+ | Die Vermeidung von | ||
+ | * Verlust | ||
+ | * fehlerhafte Erstellung | ||
+ | * Veränderung | ||
+ | * unerlaubte Verbreitung | ||
+ | von gespeicherten Daten. | ||
+ | |||
+ | Gegen den Verlust hilft ein Backupkonzept, | ||
+ | Ziel soll immer die Schadens- und Häufigkeitsbegrenzung sein. | ||
+ | |||
+ | ===== Sicherheit ist eine Kette ===== | ||
+ | Sicherheit wird wie eine Kette betrachtet, das schwächste Glied bestimmt das Maß der Gesammtsicherheit. | ||
+ | |||
+ | Teile der Kette: | ||
+ | - Die Benutzerumgebung (Betriebssystem: | ||
+ | - die Übertragung durch Netze (LAN, Internet; Verschlüsselung? | ||
+ | - die Serversicherheit (Update/ | ||
+ | - Softwaresicherheit (Sicherheitslücken und Update/ | ||
+ | - Softwarekonfiguration (Funktionalität gegen Restriktivität; | ||
+ | |||
+ | |||
+ | |||
+ | ===== Passwörter ===== | ||
+ | Da Zugänge meist nicht mit Zertifikaten sondern über Passwörter geregelt werden, kommt diesen auch eine große Bedeutung zu. Hauptprobleme sind Passwörter | ||
+ | * die zu einfach aufgebaut sind (zu kurz, Wörter aus dem Wörterbuch, | ||
+ | | ||
+ | * simple Kombinationen aus Wörtern mit leicht aussprechbaren Kombinationen Präfixen oder (häufiger) Suffixen wie " | ||
+ | * die irgendwelche persönliche Daten beeinhalten (Namen, Geburtsdaten, | ||
+ | * Wörter bei denen lediglich Buchstaben durch Sonderzeichen ersetzt wurden (a mit @, i mit 1 usw.) | ||
+ | * die irgendwo aufgeschrieben sind (Glück für den Finder) | ||
+ | * die mit anderen Personen geteilt werden. | ||
+ | * die bei vielen Zugängen benutzt werden (hat man eins hat man alle) | ||
+ | * die selten oder nie geändert werden | ||
+ | * die nie geändert wurden, Standardpasswörter des Hersteller (siehe auch: [[http:// | ||
+ | |||
+ | Laut einer Studie von McAfee (Quelle: [[http:// | ||
+ | - Name eines Haustiers | ||
+ | - Ein Hobby | ||
+ | - Mädchenname der Mutter | ||
+ | - Geburtsdatum eines Familienmitglieds | ||
+ | - Eigenes Geburtsdatum | ||
+ | - Name des Partners | ||
+ | - Eigener Name | ||
+ | - Lieblingsfußballmannschaft | ||
+ | - Lieblingsfarbe | ||
+ | - Erste Schule | ||
+ | |||
+ | :!: **Passwortchecker** (eigene Passwörter auf Sicherheit überprüfen): | ||
+ | * [[http:// | ||
+ | * **[[https:// | ||
+ | * [[http:// | ||
+ | |||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | |||
+ | ===== Häufigkeitsverteilung der Angriffe ===== | ||
+ | |||
+ | - interne Angriffe (z.B. unzufriedene und gekündigte Mitarbeiter) | ||
+ | - Fehler bei der Administration (hohes Schadenspotential) | ||
+ | - Sicherheitsprobleme: | ||
+ | - Würmer und Trojaner | ||
+ | - Hacker | ||
+ | |||
+ | |||
+ | |||
+ | ===== Systemsicherheit ===== | ||
+ | * zeitnahes pachten | ||
+ | * beschränkter Benutzerzugriff | ||
+ | * minimale Dienste | ||
+ | * Firewall auf dem Rechner | ||
+ | * [[linux: | ||
+ | * Ereignisüberwachung | ||
+ | * Prozessüberwachung | ||
+ | * Integritätsüberwachung | ||
+ | |||
+ | ==== Sicherheitsmodelle ==== | ||
+ | * [[wpde> | ||
+ | * [[wp> | ||
+ | * [[wpde> | ||
+ | |||
+ | |||
+ | ===== Netzwerksicherheit ===== | ||
+ | [[wpde> | ||
+ | |||
+ | * Netzwerk Firewall | ||
+ | * Netzwerk überwachung (monitoring) | ||
+ | * Einbruchserkennung (Intrusion detection, [[ids: | ||
+ | * Listenpunkt | ||
+ | * Web intrusion detection | ||
+ | * Demilitarisierte Zonen (DMZs) | ||
+ | * Zentrales Logging | ||
+ | * Überwachung der Sicherheit durch dritte | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | ===== Links ===== | ||
+ | * **[[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | |||
+ | |||
+ | ==== Malware / Exploits ==== | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | |||
+ | ==== BSI ==== | ||
+ | [[https:// | ||
+ | [[http:// | ||
+ | [[http:// | ||
+ | [[http:// | ||
+ | [[http:// | ||
+ | |||
+ | ===== Methodik ===== | ||
+ | |||
+ | [[http:// | ||
+ | [[http:// | ||
+ | [[http:// | ||
+ | [[http:// | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | ===== Dokumente ===== | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | |||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | |||
+ | ===== Bücher ===== | ||
+ | [[http:// | ||
+ | [[http:// | ||
+ | [[http:// | ||
+ | [[http:// | ||
+ | [[http:// | ||
+ | |||
+ | |||
+ | ===== Konferenzen ===== | ||
+ | siehe [[Events: | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | ===== Standards ===== | ||
+ | |||
+ | * [[http:// | ||
+ | * Bewerten des Sicherheitsniveaus auf Basis von BS7799, | ||
+ | * ISO 27001 (war: BS 7799-2) | ||
+ | * ONR 17700 in Österreich | ||
+ | * Bewerten von Geschäftsprozessen (insbesondere bei Outsourcingnehmern) nach ITIL [[http:// | ||
+ | * CC | ||
+ | |||
+ | ==== gesetzl. Vorgaben ==== | ||
+ | FIXME | ||
+ | * Sarbanes-Oxley | ||
+ | * HIPAA | ||
+ | * Basel-II | ||
+ | * GLBA | ||
+ | |||
+ | ===== Anforderungen an Sicherheitsexperten ===== | ||
+ | * Sehr gute Netzwerkkenntnisse | ||
+ | |||
+ | * Abgeschlossenes Studium im Bereich Informatik/ | ||
+ | * (Berufserfahrung) | ||
+ | |||
+ | * Sehr gute Kenntnisse in den Bereichen | ||
+ | * Betriebsysteme: | ||
+ | * Applikationen: | ||
+ | |||
+ | * Netzwerkmanagement und Monitoring (Opensource-Produkte): | ||
+ | * [[netzwerke: | ||
+ | * Security Policies + Sicherheitskonzepte | ||
+ | * (aktive) Netzwerkkomponenten | ||
+ | |||
+ | * Kryptographie | ||
+ | * Security-Auditierung | ||
+ | * Firewall | ||
+ | * Loadbalancer | ||
+ | * Intrusion Detection/ | ||
+ | * Content-Security | ||
+ | * E-Mailverschlüsselung | ||
+ | * Authentifizierung/ | ||
+ | * PKI-Infrastruktur (public-key-Infrastrukturen) | ||
+ | |||
+ | * Webapplikationen und Netzwerke | ||
+ | * Gute Produktkenntnisse von Lösungsanbietern | ||
+ | * Checkpoint, Nokia, Juniper, Cisco, PGP, RSA Security u.a. | ||
+ | |||
+ | ==== Zertifikate ==== | ||
+ | |||
+ | * [[http:// | ||
+ | * Technology Consultant SAP NetWeaver | ||
+ | * SAP Security | ||
+ | * BS 7799/ | ||
+ | |||
+ | * Certified Information System Security Professional [CISSP] | ||
+ | * Certified Information System Auditor [CISA] | ||
+ | * Certified Information System Manager [CISM] | ||
+ | |||
+ | === Herstellerspezifische Security Zertifizierungen | ||
+ | z.B. Cisco, Checkpoint, Symantec, Microsoft: | ||
+ | |||
+ | * Checkpoint Certified Security Engineer | ||
+ | * CISCO Certified Network Professional | ||
+ | * Sun Certified Network Administrator | ||
+ | * MCSE Security | ||
+ | |||
+ | |||
+ | ==== soft skills ==== | ||
+ | * überdurchschnittliches Engagement | ||
+ | * hohe Motivation zur autodidaktischen Weiterbildung | ||
+ | * sehr gutes bis gutes Englisch | ||
+ | * Verhandlungs-, | ||
+ | * sehr gute Belastbarkeit | ||
+ | * projektbezogene Mobilität – auch für kurze Einsätze im Ausland | ||
+ | * die Fähigkeit zur professionellen Präsentation | ||
+ | * von Lösungen | ||
+ | * Leistungen | ||
+ | * Projektergebnissen | ||
+ | * Hohe Kundenorientierung | ||
+ | * (Umfangreiches und aktives Kontaktnetzwerk bei Vertrieb) | ||
+ | * Starke vertriebliche und technische Ausprägung | ||
+ | |||
+ | ==== Firmen ==== | ||
+ | http:// | ||
+ | http:// | ||
+ | http:// |