IT Sicherheit: Unterschied zwischen den Versionen

Aus FAKTURA-X Wiki
Zur Navigation springen Zur Suche springen
← Zum vorherigen Versionsunterschied
Keine Bearbeitungszusammenfassung
 
(14 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 7: Zeile 7:
{{Hinweis|IT Sicherheit ist ein hochdynamischer Prozess, daher müssen die vorhandenen Maßnahmen regelmäßig überprüft und angepasst werden}}
{{Hinweis|IT Sicherheit ist ein hochdynamischer Prozess, daher müssen die vorhandenen Maßnahmen regelmäßig überprüft und angepasst werden}}


==Weitere Ressourcen==
=Ressourcen=


* '''ISO 27001'''
* '''ISO 27001'''
Zeile 19: Zeile 19:
*'''KRITIS'''
*'''KRITIS'''
:[https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/Kritische-Infrastrukturen/kritis_node.html BSI-Seiten zum Thema Kritische Infrastruktur]
:[https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/Kritische-Infrastrukturen/kritis_node.html BSI-Seiten zum Thema Kritische Infrastruktur]
::[[wikipedia:de:Kritische_Infrastruktur|Wikipedia Artikel zu kritischer Infrastruktur]]
:[[wikipedia:de:Kritische_Infrastruktur|Wikipedia Artikel zu Kritischer Infrastruktur]]


=Sicherheitsstrategie=
=Bedrohungen=
Die Bedrohungslage hat sich in den letzten Jahren sukzessive weltweit verschärft. Viele, insbesondere autoritäre, Staaten nutzen die Möglichkeit, Angriffe gegen Staaten, Wirtschaft und Einzelpersonen durchzuführen.
 
Spionage, Terrorismus, Terror auf Staatsebene kann sich dabei auch auf kleine, privatwirtschaftliche Unternehmen auswirken, selbst wenn diese weder zur kritischen Infrastruktur zählen, noch als besonders lukrative Ziele gelten. Viele Unternehmen werden oftmals kollateral geschädigt. Andere werden im Rahmen von unspezifischen Angriffen, sozusagen als Beifang, geschädigt.
 
Die älteste und bekannteste Form von Belästigungen und Betrug sind Spam-Mails, die ständig im Internet versendet werden und primitive Werbung oder Betrugsversuche darstellen. Daneben haben sich jedoch auch ernste Bedrohungen entwickelt, die teilweise sorgfältig und technisch anspruchsvoll geplant und dann perfide und raffiniert ausgeführt werden und so eine höhere Erfolgsquote verzeichnen. Im Falle von Emotet wird sogar auf Social Engineering zurückgegriffen.
 
==Schwachstellen==
Schwachstellen entstehen durch fehlende Updates oder Exploits, Sicherheitslücken, fehlende oder nicht ausreichende Sicherheitsmaßnahmen oder menschliches Fehlverhalten. In diesem Abschnitt werden mögliche Schwachstellen genauer beschrieben.
 
===E-Mail===
Das älteste Kommunikationsmittel im Internet ist E-Mail. Das System ist vor über 50 Jahren konzipiert und ursprünglich ohne Sicherheitsfunktionen konzipiert worden, da man den weltweiten Erfolg nicht vorausgesehen hat (vergleiche mit "SMS").
 
Mit der Zeit ist das System E-Mail zwar weiterentwickelt und auch mit Sicherheitsfunktionen versehen worden, die wesentlichen Probleme unter Sicherheitsaspekten sind aber geblieben. Da kein Nachfolger für E-Mail vorgesehen ist, wird man auch in Zukunft mit den Nachteilen leben müssen. Besonders gefährlich sind Schadsoftware in Dateianhängen und Links zu Phishing-Seiten. Daneben sind E-Mail ein Baustein für Emotet-Kampagnen. Daneben können durch massenhaft versendete E-Mails DDoS-ähnliche Angriffe durchgeführt und Server überlastet werden.
 
===Externe Daten===
Externe Daten in Dateiform als E-Mailanhang, aber auch durch Download im Internet oder offline auf einem Datenträger (beispielsweise USB-Stick) eingebracht, können, wenn sie mit Schadsoftware versehen sind, Schaden anrichten und den Schutz vor Angriffen von Außen kompromittieren. Typische Vertreter von Dateien mit "eingebauter" Schadsoftware sind Office-Dateien mit Makroviren.
 
===Menschlicher Faktor===
Menschen sind der größte Unsicherheitsfaktor in der IT-Sicherheit. Neben dem Beeinflussen von Menschen durch Social Engineering sind auch Spionage, Erpressung, mutwillige oder fahrlässige Beschädigung vielfach Ursache für Schadensfälle. Am Häufigsten sind aber vermutlich Unwissenheit oder Fehler in der Umsetzung (vgl. menschlicher Faktor) die Ursache für Gefahren.
 
===Sabotage===
//->
 
===Datenverlust===
//->
 
===Infiltration===
//->
 
===Abhören===
//->
 
===Malware===
//->


In der IT-Sicherheitsstrategie werden folgende Aspekte definiert :
===Virenbefall===
 
*'''Integrität:''' Ressourcen müssen sicher gespeichert und transportiert werden.
*'''Zugriff:'''
*'''Verfügbarkeit''' Ressourcen
*'''Nutzbarkeit:''' Ressourcen werden
//->
//->


==Allgemein==
===Ransomware===
Ransomware ist eine vergleichsweise junge Bedrohung, welche durch die Leistungsfähigkeit moderner Computer und die Erfindung von Kryptowährungen möglich wurde: Dateien werden verschlüsselt und nach Zahlung eines Lösegelds in Kryptowährung wieder entschlüsselt. Die Verschlüsselung arbeitet auf modernen Computern sehr schnell und Kryptowährung ist, wie Bargeld,  nicht nachverfolgbar.
Hat man anfangs seine Daten nach Zahlung des Lösegelds tatsächlich oft zurückerhalten, ist das heute in der Regel nicht mehr besonders wahrscheinlich. Es ist manchmal möglich, die Art der Verschlüsselung zu ermitteln und die Dateien zu entschlüsseln, aber sicher ist das nicht. Zudem werden die Daten vor dem verschlüsseln oftmals kopiert und dann mit Veröffentlichung gedroht, was bei DSGVO-relevanten Daten Strafen und zumindest einen Imageverlust nach sich ziehen kann.
 
{{Hinweis|Der einzig funktionierende Schutz gegen Ransomware ist eine '''externe''' Datensicherung.}}
 
===Emotet===
//->
//->


==Infrastruktur==
=Checkliste=
In einer IT-Sicherheitsstrategie werden folgende Aspekte definiert :
 
*
*
//->
//->


==Updates==
==Analyse==
Um mögliche Schwachstellen aufzuspüren, muss zunächst eine Bestandsaufnahme und Analyse durchgeführt werden. Danach können Maßnahmen geplant und umgesetzt werden. Die Maßnahmen müssen regelmäßig geprüft und angepasst werden.
//->
//->


==Bedrohungen==
===Inventur===
Die Bedrohungslage hat sich in den letzten Jahren sukzessive weltweit verschärft. Viele, insbesondere autoritäre, Staaten nutzen die Möglichkeit, Angriffe gegen Staaten, Wirtschaft und Einzelpersonen durchzuführen.
sollte zunächst eine Inventur erfolgen und möglichst alle Geräte, Netze und insbesondere Übergangsstellen aufgelistet werden.
//->


Spionage, Terrorismus, Terror auf Staatsebene kann sich dabei auch auf kleine, privatwirtschaftliche Unternehmen auswirken, selbst wenn diese weder zur kritischen Infrastruktur zählen, noch als besonders lukrative Ziele gelten. Viele Unternehmen werden oftmals kollateral geschädigt. Andere werden im Rahmen von unspezifischen Angriffen, sozusagen als Beifang, geschädigt.
===Analyse===
Für jedes Inventar müssen mögliche Schachpunkte analysiert werden.
//->


Die älteste und bekannteste Form von Belästigungen und Betrug sind Spam-Mails, die ständig im Internet versendet werden und primitive Werbung oder Betrugsversuche darstellen. Daneben haben sich jedoch auch ernste Bedrohungen entwickelt, die teilweise sorgfältig und technisch anspruchsvoll geplant und dann perfide und raffiniert ausgeführt werden und so eine höhere Erfolgsquote verzeichnen.
===Pentest===
Um nicht bekannte Schwachpunkte aufzudecken, sollte bei entsprechendem Bedarf ein Pentest durchgeführt werden.


Im Folgenden sollen für Unternehmen relevante Bedrohungen aufgeführt werden.
{{Hinweis|Grundsätzlich gilt: Man sollte immer davon ausgehen, dass nicht alle Schwachpunkte erkannt werden}}
//->


===Schwachstellen===
==Konzept erstellen==
Schwachstellen entstehen durch fehlende Updates, unbekannte Sicherheitslücken, fehlende oder nicht ausreichende Sicherheitsmaßnahmen oder menschliches Fehlverhalten.
//->


====E-Mail====
===Verantwortliche ernennen===
Das älteste Kommunikationsmittel im Internet ist E-Mail. Das System ist vor über 50 Jahren konzipiert und ursprünglich ohne Sicherheitsfunktionen konzipiert worden, da man den weltweiten Erfolg nicht vorausgesehen hat (vgl. SMS).
//->


Mit der Zeit ist das System E-Mail zwar weiterentwickelt und auch mit Sicherheitsfunktionen versehen worden, die wesentlichen Probleme unter Sicherheitsaspekten sind aber geblieben. Da kein Nachfolger für E-Mail vorgesehen ist, wird man auch in Zukunft mit den Nachteilen leben müssen.
===Notfallpläne erstellen===
//->


Besonders gefährlich in E-Mails sind Schadsoftware in Dateianhängen und Links zu Phishing-Seiten. Daneben sind E-Mail ein Baustein für Emotet-Kampagnen. Daneben können durch massenhaft versendete E-Mails DDoS-ähnliche Angriffe durchgeführt und Server überlastet werden.
===Aktualisierung planen===
//->


====Externe Daten====
{{Achtung|Die IT-Sicherheitsrichtlinie muss regelmäßig überprüft und aktualisiert werden}}
Externe Daten in Dateiform als E-Mailanhang, aber auch durch Download im Internet oder offline auf einem Datenträger eingebracht, können, wenn sie mit Schadsoftware versehen sind, Schaden anrichten und den Schutz vor Angriffen von Außen kompromittieren. Typische Vertreter von Dateien mit "eingebauter" Schadsoftware sind Office-Dateien mit Makroviren.


====Menschlicher Faktor====
==Maßnahmen==
Menschen sind der größte Unsicherheitsfaktor in der IT-Sicherheit. Neben dem Beeinflussen von Menschen durch Social Engineering sind auch Spionage, Erpressung, mutwillige oder fahrlässige Beschädigung vielfach Ursache für Schadensfälle. Am Häufigsten sind aber vermutlich Unwissenheit oder Fehler in der Umsetzung (vgl. menschlicher Faktor) die Ursache für Gefahren.
//->
 
===Rechtemanagement===
//->


===Ransomeware===
===Passwortschutz===
//->
//->


===Emotet===
===Datensicherung===
//->
//->


=Checkliste Sicherheitsprüfung=
===Updates===
//->
//->


==Rechte==
===Archivierung===
//->
//->


==Passwörter==
===Sensibilisierung===
//->
//->


==Datensicherung==
===Firewall===
//->
//->


==Updates==
===Virenschutz===
:'''Pro:'''
:'''Contra:'''
//->
//->


==Archivierung==
===VPN-Gateway===
:'''Pro:'''
:'''Contra:'''
//->
//->


==Aktualisierung==
===Segmentierung===
Die ITS-icherheitsritlinie muss regelmäßig überprüft und aktualisiert werden:
:'''Pro:'''
 
:'''Contra:'''
 
//->
//->

Aktuelle Version vom 17. September 2025, 17:47 Uhr

In diesem Artikel werden die wesentlichen Informationen einer ausreichenden IT-Sicherheit beschrieben. Der erste Abschnitt befasst sich mit Grundlagen zur Entwicklung einer IT-Sicherheitsstrategie.

Dieses Dokument ersetzt keine umfassende IT-Sicherheitsstrategie, sondern ist als Einstieg in das Thema konzipiert. Eine vollständige Betrachtung der IT-Sicherheit in Unternehmen sollte von einer Fachperson durchgeführt werden. Für Unternehmen, die zur kritischen Infrastruktur gehören, ist dies in der NIS-2-Richtlinie geregelt

Der zweite Abschnitt enthält eine Anleitung zum Erstellen einer Checkliste für regelmäßige Prüfung der IT-Sicherheit.

IT Sicherheit ist ein hochdynamischer Prozess, daher müssen die vorhandenen Maßnahmen regelmäßig überprüft und angepasst werden

Ressourcen

  • ISO 27001
BSI-Seiten zum Thema ISO 270001
Wikipedia Artikel zur ISO 270001
  • NIS-2
BSI-Seiten zum Thema NIS-2
Wikipedia Artikel zur NIS-2-Richtlinie
  • KRITIS
BSI-Seiten zum Thema Kritische Infrastruktur
Wikipedia Artikel zu Kritischer Infrastruktur

Bedrohungen

Die Bedrohungslage hat sich in den letzten Jahren sukzessive weltweit verschärft. Viele, insbesondere autoritäre, Staaten nutzen die Möglichkeit, Angriffe gegen Staaten, Wirtschaft und Einzelpersonen durchzuführen.

Spionage, Terrorismus, Terror auf Staatsebene kann sich dabei auch auf kleine, privatwirtschaftliche Unternehmen auswirken, selbst wenn diese weder zur kritischen Infrastruktur zählen, noch als besonders lukrative Ziele gelten. Viele Unternehmen werden oftmals kollateral geschädigt. Andere werden im Rahmen von unspezifischen Angriffen, sozusagen als Beifang, geschädigt.

Die älteste und bekannteste Form von Belästigungen und Betrug sind Spam-Mails, die ständig im Internet versendet werden und primitive Werbung oder Betrugsversuche darstellen. Daneben haben sich jedoch auch ernste Bedrohungen entwickelt, die teilweise sorgfältig und technisch anspruchsvoll geplant und dann perfide und raffiniert ausgeführt werden und so eine höhere Erfolgsquote verzeichnen. Im Falle von Emotet wird sogar auf Social Engineering zurückgegriffen.

Schwachstellen

Schwachstellen entstehen durch fehlende Updates oder Exploits, Sicherheitslücken, fehlende oder nicht ausreichende Sicherheitsmaßnahmen oder menschliches Fehlverhalten. In diesem Abschnitt werden mögliche Schwachstellen genauer beschrieben.

E-Mail

Das älteste Kommunikationsmittel im Internet ist E-Mail. Das System ist vor über 50 Jahren konzipiert und ursprünglich ohne Sicherheitsfunktionen konzipiert worden, da man den weltweiten Erfolg nicht vorausgesehen hat (vergleiche mit "SMS").

Mit der Zeit ist das System E-Mail zwar weiterentwickelt und auch mit Sicherheitsfunktionen versehen worden, die wesentlichen Probleme unter Sicherheitsaspekten sind aber geblieben. Da kein Nachfolger für E-Mail vorgesehen ist, wird man auch in Zukunft mit den Nachteilen leben müssen. Besonders gefährlich sind Schadsoftware in Dateianhängen und Links zu Phishing-Seiten. Daneben sind E-Mail ein Baustein für Emotet-Kampagnen. Daneben können durch massenhaft versendete E-Mails DDoS-ähnliche Angriffe durchgeführt und Server überlastet werden.

Externe Daten

Externe Daten in Dateiform als E-Mailanhang, aber auch durch Download im Internet oder offline auf einem Datenträger (beispielsweise USB-Stick) eingebracht, können, wenn sie mit Schadsoftware versehen sind, Schaden anrichten und den Schutz vor Angriffen von Außen kompromittieren. Typische Vertreter von Dateien mit "eingebauter" Schadsoftware sind Office-Dateien mit Makroviren.

Menschlicher Faktor

Menschen sind der größte Unsicherheitsfaktor in der IT-Sicherheit. Neben dem Beeinflussen von Menschen durch Social Engineering sind auch Spionage, Erpressung, mutwillige oder fahrlässige Beschädigung vielfach Ursache für Schadensfälle. Am Häufigsten sind aber vermutlich Unwissenheit oder Fehler in der Umsetzung (vgl. menschlicher Faktor) die Ursache für Gefahren.

Sabotage

//->

Datenverlust

//->

Infiltration

//->

Abhören

//->

Malware

//->

Virenbefall

//->

Ransomware

Ransomware ist eine vergleichsweise junge Bedrohung, welche durch die Leistungsfähigkeit moderner Computer und die Erfindung von Kryptowährungen möglich wurde: Dateien werden verschlüsselt und nach Zahlung eines Lösegelds in Kryptowährung wieder entschlüsselt. Die Verschlüsselung arbeitet auf modernen Computern sehr schnell und Kryptowährung ist, wie Bargeld, nicht nachverfolgbar. Hat man anfangs seine Daten nach Zahlung des Lösegelds tatsächlich oft zurückerhalten, ist das heute in der Regel nicht mehr besonders wahrscheinlich. Es ist manchmal möglich, die Art der Verschlüsselung zu ermitteln und die Dateien zu entschlüsseln, aber sicher ist das nicht. Zudem werden die Daten vor dem verschlüsseln oftmals kopiert und dann mit Veröffentlichung gedroht, was bei DSGVO-relevanten Daten Strafen und zumindest einen Imageverlust nach sich ziehen kann.

Der einzig funktionierende Schutz gegen Ransomware ist eine externe Datensicherung.

Emotet

//->

Checkliste

In einer IT-Sicherheitsstrategie werden folgende Aspekte definiert :

//->

Analyse

Um mögliche Schwachstellen aufzuspüren, muss zunächst eine Bestandsaufnahme und Analyse durchgeführt werden. Danach können Maßnahmen geplant und umgesetzt werden. Die Maßnahmen müssen regelmäßig geprüft und angepasst werden. //->

Inventur

sollte zunächst eine Inventur erfolgen und möglichst alle Geräte, Netze und insbesondere Übergangsstellen aufgelistet werden. //->

Analyse

Für jedes Inventar müssen mögliche Schachpunkte analysiert werden. //->

Pentest

Um nicht bekannte Schwachpunkte aufzudecken, sollte bei entsprechendem Bedarf ein Pentest durchgeführt werden.

Grundsätzlich gilt: Man sollte immer davon ausgehen, dass nicht alle Schwachpunkte erkannt werden

//->

Konzept erstellen

//->

Verantwortliche ernennen

//->

Notfallpläne erstellen

//->

Aktualisierung planen

//->

Die IT-Sicherheitsrichtlinie muss regelmäßig überprüft und aktualisiert werden

Maßnahmen

//->

Rechtemanagement

//->

Passwortschutz

//->

Datensicherung

//->

Updates

//->

Archivierung

//->

Sensibilisierung

//->

Firewall

//->

Virenschutz

Pro:
Contra:

//->

VPN-Gateway

Pro:
Contra:

//->

Segmentierung

Pro:
Contra:

//->

Abgerufen von „https://wiki.fakturax.de/index.php?title=IT_Sicherheit&oldid=20016