Impressum
ISBN 978-3-85402-395-1
Auch als Buch verfügbar:
ISBN 978-3-85402-394-4
1. Auflage 2021
Das Werk ist urheberrechtlich geschützt.
Alle Rechte vorbehalten.
Nachdruck oder Vervielfältigung, Aufnahme
auf oder in sonstige Medien oder Datenträger,
auch bei nur auszugsweiser Verwertung,
sind nur mit ausdrücklicher Zustimmung der
Austrian Standards plus GmbH gestattet.
Alle Angaben in diesem Fachbuch erfolgen
trotz sorgfältiger Bearbeitung ohne Gewähr und
eine Haftung der Herausgeber, der Autoren oder des Verlages ist ausgeschlossen.
Aus Gründen der besseren Lesbarkeit wird in vorliegendem Werk die Sprachform des generischen Maskulinums angewendet. Es wird an dieser Stelle darauf hingewiesen, dass die ausschließliche Verwendung der männlichen Form geschlechtsunabhängig verstanden werden soll.
© Austrian Standards plus GmbH, Wien 2021
Die Austrian Standards plus GmbH ist ein
Unternehmen von Austrian Standards International.
AUSTRIAN STANDARDS PLUS GMBH
1020 Wien, Heinestraße 38
T +43 1 213 00-300
F +43 1 213 00-818
E service@austrian-standards.at
www.austrian-standards.at/fachliteratur
PROJEKTBETREUUNG
Lisa Maria Heiderer
LEKTORAT
Johanna Zechmeister
COVER – FOTOCREDIT
© iStockphoto.com/alengo
GESTALTUNG
Alexander Mang
DRUCK
Prime Rate Kft., H-1044 Budapest
Inhalt
Abkürzungsverzeichnis Abkürzungsverzeichnis AV Antivirus BCM Business Continuity Management BSI Bundesamt für Sicherheit in der Informationstechnik BIA Business-Impact-Analyse BYOD Bring Your Own Device CISO Chief Information Security Officer CEO Chief Executive Officer CFO Chief Financial Officer DoS Denial-of-Service-Attacken DDoS Distributed-Denial-of-Service-Attacken DSGVO Datenschutz-Grundverordnung EDR Endpoint Detection and Response IDS Intrusion-Detection-System IEC International Electrotechnical Commission IKT Informations- und Kommunikationstechnik IoT Internet of Things IPS Intrusion-Prevention-System ISB Informationssicherheitsbeauftragter ISMS Informationssicherheits-Managementsystem ISO International Organization for Standardization KPI Key-Performance-Indicator KMU Kleine und mittlere Unternehmen KVP Kontinuierlicher Verbesserungsprozess NIST National Institute of Standards and Technology PDCA Plan-Do-Check-Act SLA Service Level Management SOC Security Operations Center ToD Test of Design ToE Test of Effectiveness TOMs Technische und organisatorische Maßnahmen USV Unterbrechungsfreie Stromversorgung VPN Virtual Private Network WBT Web-Based-Training
Vorwort Vorwort Georg Beham
Vom Hacker zum Cyberkrieger Vom Hacker zum Cyberkrieger Philipp Mattes-Draxler
1 STRATEGIE 1: Den Hacker kennen 1 STRATEGIE 1: Den Hacker kennen Philipp Mattes-Draxler
1.1 WER GREIFT UNS AN? 1 STRATEGIE 1: DEN HACKER KENNEN 1.1 WER GREIFT UNS AN? Die erste Strategie zur Abwehr von Hackerangriffen beschäftigt sich zunächst mit unserem Gegenüber: dem Hacker, oder besser ausgedrückt, dem Akteur, vor dem Unternehmensinformationen geschützt werden sollten. Dabei ist es fürs Erste unerheblich, wer als Person hinter der Gefahr steckt, denn es gilt zunächst die Systematik zu verstehen, die hinter den Bedrohungen steckt. Vereinfacht wird gerne vom „Hacker“ als Täter gesprochen. Doch wie so oft birgt auch diese Vereinfachung etliche Unschärfen, denn oftmals stehen hinter einem Angriff mehrere Täter, die als Akteursgruppe zusammengefasst werden können. Hinter dem landläufigen Begriff „Hacker“ können sich auch viele unterschiedliche Akteure verbergen. In den weiteren Kapiteln wird der bekannte Begriff „Hacker“ aber als Synonym für die unterschiedlichen Akteure (z. B. Cracker, Scriptkiddie, Hacktivist, staatliche Spione) verwendet. Das vorliegende Kapitel soll aufzeigen, dass ein Hacker nicht gleich ein Hacker ist, und dass für einen effizienten und effektiven Schutz vor Angriffen entscheidend ist, wer hinter einem potenziellen Angriff stehen kann. Nur durch dieses Wissen können zielgerichtete Schutzmaßnahmen beschlossen und realisiert werden. Im nachfolgenden Kapitel werden die drei Faktoren im Einzelnen beschrieben, die bei einem erfolgreichen Angriff zusammenspielen müssen. Diese sind: +Die Motivation eines Hackers. Jedes Handeln benötigt ein Motiv, so auch das Vorgehen von Cyberkriminellen. Die Motivation der Angreifer ist kein rein technisches Thema und gibt Aufschluss darüber, ob ein Unternehmen ein lohnendes Ziel für einzelne Akteursgruppen darstellt. Die Motivation kann beispielsweise finanzieller oder politischer Natur sein. +Die Fähigkeiten eines Hackers. Sie sind entscheidend für die Raffinesse und den technischen Mitteleinsatz, der während eines Angriffs aufgewendet werden kann. Die Fähigkeiten bestimmen die notwendigen Schutzmaßnahmen bzw. Analysetätigkeiten auf der zu verteidigenden Seite. Die Fähigkeiten eines potenziellen Cyberangreifers, welcher ja unbekannt ist, abzuschätzen, ist dabei nicht ganz einfach. +Die Möglichkeiten, die einem Hacker als Angriffsfläche zur Verfügung stehen. Diese werden durch eine Organisation selbst und den Betrieb ihrer Infrastrukturen geschaffen. Die Kontrolle darüber liegt daher ausschließlich in der Hand des Unternehmens. An dieser Stelle kann es eingreifen und sich (erfolgreich) gegen Angriffe wehren.
1.1.1 Kein Angriff ohne Motiv
1.1.2 Kein Angriff ohne die notwendige Fähigkeit
1.1.3 Erst die Angriffsfläche ermöglicht den Angriff
1.2 SIND WIR VOR DEM ANGREIFER SICHER?
2 STRATEGIE 2: Security ist Chefsache
2.1 COMMITMENT
2.2 VORBILDWIRKUNG
2.3 PLANUNG UND LENKUNG
2.3.1 Sicherheitsziele & Risikopolitik
2.3.2 Management-Review und Reporting
2.3.3 Rollen und Ressourcen
3 STRATEGIE 3: Schutz der Kronjuwelen
3.1 ÜBERSICHT ZUR VORGANGSWEISE
3.2 IDENTIFIKATION VON INFORMATIONSWERTEN
3.2.1 Herangehensweise: Top-down und Bottom-up
3.2.2 Gruppieren von Informationswerten
3.2.3 Erhebung der Systeme
3.3 IDENTIFIKATION DES SCHUTZBEDARFS
3.3.1 Definition von Schutzzielen
3.3.2 Bewertung des Schutzbedarfs
3.3.3 Klassifizierung von Informationswerten
3.4 SCHUTZMASSNAHMEN ZUR SICHERUNG DER INFORMATIONSWERTE
3.4.1 Risikoanalyse
3.4.2 Auswahl von Schutzmaßnahmen
3.4.3 Effektivitätsprüfung und Überwachung von Risiken
3.5 GRUNDHYGIENE IN DER CYBERSECURITY
4 STRATEGIE 4: Das Projekt aufsetzen
4.1 WARUM EIN PROJEKT?
4.2 WIE PLANE ICH DAS PROJEKT?
4.2.1 Projektziele festlegen
4.2.2 Das Projekt abgrenzen
4.2.3 Darstellung des Projektkontextes
4.2.4 Die Tätigkeiten strukturieren
4.2.5 Die Projektorganisation einsetzen
4.3 DIE PROJEKTARBEIT
4.3.1 Zusammenarbeit fördern
4.3.2 Projektmarketing gestalten
4.3.3 Projektfortschritt messen und Risiken aufzeigen
5 STRATEGIE 5: Organisationsstruktur aufbauen
5.1 INFORMATIONSSICHERHEITS-MANAGEMENTSYSTEM
5.2 DIE WICHTIGSTEN ROLLEN IM ISMS
5.2.1 Die Leitung
5.2.2 Informationssicherheitsbeauftragter
5.2.3 Schlüsselpersonal
5.3 STRUKTUREN SCHAFFEN
5.3.1 Logging- und Monitoring-Konzept
5.3.2 Verwaltung von Werten
5.3.3 Compliance-Management
5.4 AUF DEN ERNSTFALL VORBEREITET SEIN
5.5 WAS IST NOTWENDIG, UM RICHTIG REAGIEREN ZU KÖNNEN?
5.5.1 Notfallmanagement
5.5.2 Krisenmanagement
5.5.3 Üben und Testen
5.6 INTEGRIERTER ANSATZ DER BEWÄLTIGUNG
6 STRATEGIE 6: IT-Betrieb sichern
6.1 EINLEITUNG
6.2 WERTEMANAGEMENT
6.2.1 Informationswert
6.2.2 Physischer Wert
6.2.3 Personen
6.3 BACKUPS UND DATENSICHERUNG
Читать дальше