Inhaltsverzeichnis

Security

Die drei klassischen Schutzziele der IT-Sicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit. Schutzziele gelten jeweils für konkrete Objekte oder Werte und zwischen den einzelnen Zielen kann es Abhängigkeiten geben. (Quelle: BSI)

Das Problem von Sicherheit ist, dass sie für den berechtigten Benutzer keinen Mehrwert bringt. Oft sogar das Gegenteil: Sie hält den Benutzer von seiner Arbeit ab. Ein Beispiel: Eine verschlossene Haustür (oder eine Passworteingabe) bringt dem Hauseigentümer an sich keinen Mehrwert. Er muss seinen Schlüssel dabei haben und beim Verlust evtl. Schlösser austauschen, es hilft ihm nicht dabei schneller ins Haus bzw. schneller an seine Daten zu kommen. Dagegen merkt ein Angreifer den Mehrwert für den Benutzer deutlich, er hat es nämlich schwerer einen Angriff erfolgreich durchführen zu können.

Computer wurden gebaut damit Leute effizienter arbeiten können. Wenn also der Benutzer Software installieren will, hilft ihm das effizienter zu sein, allerdings oft nicht der Sicherheit. Daher ist Sicherheit immer ein Kompromiss.

Spezielle Aspekte sind Linux-Security und Windows Sicherheit.
Siehe auch Wlan-Security und Verschlüsselung.

Firewall Logo| VPN | IPSec

Notfallplan erstellt? (Datendiebstahl, einen Systemabsturz, Einbruch oder Feuer) Mitarbeiter informiert? Beseitigungsfristen für einen Störfall? siehe BSI: 100-4 Notfallmanagement (ab Sommer 07).

Gefahren

Größte Gefahren sind

Denn Sicherheit ist kein Produkt (und auch nicht eine Kombination) sondern ein Prozess (das hat man garantiert schon mal gehört, stammt von Bruce Schneier).

Ziele von Computer-Sicherheit

Die Vermeidung von

von gespeicherten Daten.

Gegen den Verlust hilft ein Backupkonzept, alles andere muss systematisch geschützt werden. Ziel soll immer die Schadens- und Häufigkeitsbegrenzung sein.

Sicherheit ist eine Kette

Sicherheit wird wie eine Kette betrachtet, das schwächste Glied bestimmt das Maß der Gesammtsicherheit.

Teile der Kette:

  1. Die Benutzerumgebung (Betriebssystem: Update/Patchmanagement, gespeicherte Passwörter, …)
  2. die Übertragung durch Netze (LAN, Internet; Verschlüsselung?)
  3. die Serversicherheit (Update/Patchmanagement, Dienste und Betriebssytemabsicherung)
  4. Softwaresicherheit (Sicherheitslücken und Update/Patchmanagement)
  5. Softwarekonfiguration (Funktionalität gegen Restriktivität; Konfigurationsfehler)

Passwörter

Da Zugänge meist nicht mit Zertifikaten sondern über Passwörter geregelt werden, kommt diesen auch eine große Bedeutung zu. Hauptprobleme sind Passwörter

Laut einer Studie von McAfee (Quelle: Lascher Umgang mit Passwörtern) sieht die Top10 so aus:

  1. Name eines Haustiers
  2. Ein Hobby
  3. Mädchenname der Mutter
  4. Geburtsdatum eines Familienmitglieds
  5. Eigenes Geburtsdatum
  6. Name des Partners
  7. Eigener Name
  8. Lieblingsfußballmannschaft
  9. Lieblingsfarbe
  10. Erste Schule

:!: Passwortchecker (eigene Passwörter auf Sicherheit überprüfen):

Häufigkeitsverteilung der Angriffe

  1. interne Angriffe (z.B. unzufriedene und gekündigte Mitarbeiter)
  2. Fehler bei der Administration (hohes Schadenspotential)
  3. Sicherheitsprobleme:
    1. Würmer und Trojaner
    2. Hacker

Systemsicherheit

Sicherheitsmodelle

Netzwerksicherheit

Netzwerksicherheit

Malware / Exploits

BSI

bmwa-sicherheitsforum IT-Grundschutzhandbuch Common Criteria IT-Sec Deutsche IT-Sicherheitskriterien

Methodik

OISSG - ISSAF Guideline on Network Security Testing NIST IEEE Standard for Software Test CVE-Compatible Products and Services

Dokumente

Bücher

Penetration Tester's Open Source Toolkit InfoSec Career Hacking: Sell Your Skillz, Not Your Soul Penetration Testing and Network Defense Google Hacking for Penetration Testers Hack I.T. -- Security Through Penetration Testing

Konferenzen

siehe Events

Standards

gesetzl. Vorgaben

FIXME

Anforderungen an Sicherheitsexperten

Zertifikate

Herstellerspezifische Security Zertifizierungen

z.B. Cisco, Checkpoint, Symantec, Microsoft:

soft skills

Firmen

http://www.secunet.com/ http://www.secure-it-consult.com/ http://www.secaron.de