O'Reilly logo

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

IT-Sicherheit, 10th Edition

Book Description

Die Autorin stellt in diesem Standardwerk die zur Umsetzung der Sicherheitsanforderungen benötigten Verfahren und Protokolle detailliert vor und erläutert sie anschaulich anhand von Fallbeispielen. Im Vordergrund steht dabei, die Ursachen für Probleme heutiger IT-Systeme zu verdeutlichen und die grundlegenden Sicherheitskonzepte mit ihren jeweiligen Vor- und Nachteilen zu präsentieren. Der Leser entwickelt nicht nur ein Bewusstsein für IT-Sicherheitsrisiken, sondern erwirbt auch ein breites und grundlegendes Wissen zu deren Behebung.

IT-Systeme und die Digitalisierung sind in allen Bereichen und Branchen von zentraler Bedeutung. Die IT-Sicherheit oder Cybersicherheit nimmt dabei eine tragende Rolle ein. Sie hat die Aufgabe sicher zu stellen, dass die verarbeiteten Daten nicht gezielt verfälscht werden, dass wertvolle Information nicht in falsche Hände gelangt und dass die IT-Systeme nicht in ihrer Funktion beeinträchtigt werden. Heutige IT-Systeme sind einer Vielzahl von Bedrohungen ausgesetzt und weisen noch immer viele Verwundbarkeiten auf. Gleichzeitig gibt es viele, zum Teil standardisierte Sicherheitslösungen, mit denen die Bedrohungen und die damit einhergehenden Risiken reduziert werden können. Kenntnisse möglicher Sicherheitsschwachstellen und möglicher Angriffe auf IT-Systeme, sowie der wichtigsten Sicherheitslösungen und deren Wirksamkeit sind essentiell, um IT-Systeme abzusichern und eine vertrauenswürdige Basis für die digitalen Prozesse zu schaffen.

Aus den Inhalten:

  •  Sicherheitsschwachstellen, -bedrohungen und Angriffe
  •  Internet-(Un)Sicherheit
  •  Secure Engineering
  •  Kryptographische Verfahren und Schlüsselmanagement
  •  Digitale Identität
  •  Zugriffskontrolle
  •  Netzwerk-, Kommunikations- und Anwendungssicherheit
  •  Sichere drahtlose Kommunikation

Prof. Dr. Claudia Eckert ist Inhaberin des Lehrstuhls Sicherheit in der Informatik der TU München und Direktorin des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit (AISEC) mit Sitz in Garching bei München.

Table of Contents

  1. Cover
  2. Titelseite
  3. Impressum
  4. Vorwort
  5. Inhaltsverzeichnis
  6. 1 Einführung
    1. 1.1 Grundlegende Begriffe
    2. 1.2 Schutzziele
    3. 1.3 Schwachstellen, Bedrohungen, Angriffe
      1. 1.3.1 Bedrohungen
      2. 1.3.2 Angriffs- und Angreifer-Typen
      3. 1.3.3 Rechtliche Rahmenbedingungen
    4. 1.4 Computer Forensik
    5. 1.5 Sicherheitsrichtlinie
    6. 1.6 Sicherheitsinfrastruktur
  7. 2 Spezielle Bedrohungen
    1. 2.1 Einführung
    2. 2.2 Buffer-Overflow
      1. 2.2.1 Einführung
      2. 2.2.2 Angriffe
      3. 2.2.3 Gegenmaßnahmen
    3. 2.3 Computerviren
      1. 2.3.1 Eigenschaften
      2. 2.3.2 Viren-Typen
      3. 2.3.3 Gegenmaßnahmen
    4. 2.4 Würmer
    5. 2.5 Trojanisches Pferd
      1. 2.5.1 Eigenschaften
      2. 2.5.2 Gegenmaßnahmen
    6. 2.6 Bot-Netze und Spam
      1. 2.6.1 Bot-Netze
      2. 2.6.2 Spam
    7. 2.7 Mobile Apps
      1. 2.7.1 Sicherheitsbedrohungen
      2. 2.7.2 Gegenmaßnahmen
    8. 2.8 Meltdown- und Spectre-Angriffsklassen
      1. 2.8.1 Einführung
      2. 2.8.2 Background
      3. 2.8.3 Angriffsklassen
  8. 3 Internet-(Un)Sicherheit
    1. 3.1 Einführung
    2. 3.2 Internet-Protokollfamilie
      1. 3.2.1 ISO/OSI-Referenzmodell
      2. 3.2.2 Das TCP/IP-Referenzmodell
      3. 3.2.3 Das Internet-Protokoll IP
      4. 3.2.4 Das Transmission Control Protokoll TCP
      5. 3.2.5 Das User Datagram Protocol UDP
      6. 3.2.6 DHCP und NAT
    3. 3.3 Sicherheitsprobleme
      1. 3.3.1 Sicherheitsprobleme von IP
      2. 3.3.2 Sicherheitsprobleme von ICMP
      3. 3.3.3 Sicherheitsprobleme von ARP
      4. 3.3.4 Sicherheitsproblememit IPv6
      5. 3.3.5 Sicherheitsprobleme von UDP und TCP
    4. 3.4 Sicherheitsprobleme von Netzdiensten
      1. 3.4.1 Domain Name Service (DNS)
      2. 3.4.2 Network File System(NFS)
      3. 3.4.3 Weitere Dienste
    5. 3.5 Web-Anwendungen
      1. 3.5.1 World Wide Web (WWW)
      2. 3.5.2 Sicherheitsprobleme
      3. 3.5.3 OWASPTop-Ten Sicherheitsprobleme
  9. 4 Security Engineering
    1. 4.1 Entwicklungsprozess
      1. 4.1.1 Allgemeine Konstruktionsprinzipien
      2. 4.1.2 Phasen
      3. 4.1.3 BSI-Sicherheitsprozess
    2. 4.2 Strukturanalyse
    3. 4.3 Schutzbedarfsermittlung
      1. 4.3.1 Schadensszenarien
      2. 4.3.2 Schutzbedarf
    4. 4.4 Bedrohungsanalyse
      1. 4.4.1 Bedrohungsmatrix
      2. 4.4.2 Bedrohungsbaum
    5. 4.5 Risikoanalyse
      1. 4.5.1 Attributierung
      2. 4.5.2 Penetrationstests
    6. 4.6 Sicherheitsarchitektur und Betrieb
      1. 4.6.1 Sicherheitsstrategie und Sicherheitsmodell
      2. 4.6.2 Systemarchitektur und Validierung
      3. 4.6.3 Aufrechterhaltung im laufenden Betrieb
    7. 4.7 Sicherheitsgrundfunktionen
    8. 4.8 Realisierung der Grundfunktionen
    9. 4.9 Security Development Lifecycle (SDL)
      1. 4.9.1 Die Entwicklungsphasen
      2. 4.9.2 Bedrohungs- und Risikoanalyse
  10. 5 Bewertungskriterien
    1. 5.1 TCSEC-Kriterien
      1. 5.1.1 Sicherheitsstufen
      2. 5.1.2 Kritik am Orange Book
    2. 5.2 IT-Kriterien
      1. 5.2.1 Mechanismen
      2. 5.2.2 Funktionsklassen
      3. 5.2.3 Qualität
    3. 5.3 ITSEC-Kriterien
      1. 5.3.1 Evaluationsstufen
      2. 5.3.2 Qualität und Bewertung
    4. 5.4 Common Criteria
      1. 5.4.1 Überblick über die CC
      2. 5.4.2 CC-Funktionsklassen
      3. 5.4.3 Schutzprofile
      4. 5.4.4 Vertrauenswürdigkeitsklassen
    5. 5.5 Zertifizierung
  11. 6 Sicherheitsmodelle
    1. 6.1 Modell-Klassifikation
      1. 6.1.1 Objekte und Subjekte
      2. 6.1.2 Zugriffsrechte
      3. 6.1.3 Zugriffsbeschränkungen
      4. 6.1.4 Sicherheitsstrategien
    2. 6.2 Zugriffskontrollmodelle
      1. 6.2.1 Zugriffsmatrix-Modell
      2. 6.2.2 Rollenbasierte Modelle
      3. 6.2.3 Chinese-Wall Modell
      4. 6.2.4 Bell-LaPadula Modell
    3. 6.3 Informationsflussmodelle
      1. 6.3.1 Verbands-Modell
    4. 6.4 Fazit und Ausblick
  12. 7 Kryptografische Verfahren
    1. 7.1 Einführung
    2. 7.2 Steganografie
      1. 7.2.1 Linguistische Steganografie
      2. 7.2.2 Technische Steganografie
    3. 7.3 Grundlagen kryptografischer Verfahren
      1. 7.3.1 Kryptografische Systeme
      2. 7.3.2 Anforderungen
    4. 7.4 Informationstheorie
      1. 7.4.1 Stochastische und kryptografische Kanäle
      2. 7.4.2 Entropie und Redundanz
      3. 7.4.3 Sicherheit kryptografischer Systeme
    5. 7.5 Symmetrische Verfahren
      1. 7.5.1 Permutation und Substitution
      2. 7.5.2 Block- und Stromchiffren
      3. 7.5.3 Betriebsmodi von Blockchiffren
      4. 7.5.4 Data Encryption Standard
      5. 7.5.5 AES
    6. 7.6 Asymmetrische Verfahren
      1. 7.6.1 Eigenschaften
      2. 7.6.2 Das RSA-Verfahren
    7. 7.7 Elliptische Kurven Kryptografie (ECC)
      1. 7.7.1 Grundlagen
      2. 7.7.2 Einsatz elliptischer Kurven
    8. 7.8 Kryptoanalyse
      1. 7.8.1 Klassen kryptografischer Angriffe
      2. 7.8.2 Substitutionschiffren
      3. 7.8.3 Differentielle Kryptoanalyse
      4. 7.8.4 Lineare Kryptoanalyse
  13. 8 Hashfunktionen und elektronische Signaturen
    1. 8.1 Hashfunktionen
      1. 8.1.1 Grundlagen
      2. 8.1.2 Blockchiffren-basierte Hashfunktionen
      3. 8.1.3 Dedizierte Hashfunktionen
      4. 8.1.4 Message Authentication Code
    2. 8.2 Elektronische Signaturen
      1. 8.2.1 Anforderungen
      2. 8.2.2 Erstellung elektronischer Signaturen
      3. 8.2.3 Digitaler Signaturstandard (DSS)
      4. 8.2.4 Rechtliche Rahmen
  14. 9 Schlüsselmanagement
    1. 9.1 Zertifizierung
      1. 9.1.1 Zertifikate
      2. 9.1.2 Zertifizierungsstelle
      3. 9.1.3 Public-Key Infrastruktur
    2. 9.2 Schlüsselerzeugung und -aufbewahrung
      1. 9.2.1 Schlüsselerzeugung
      2. 9.2.2 Schlüsselspeicherung und -vernichtung
    3. 9.3 Schlüsselaustausch
      1. 9.3.1 Schlüsselhierarchie
      2. 9.3.2 Naives Austauschprotokoll
      3. 9.3.3 Protokoll mit symmetrischen Verfahren
      4. 9.3.4 Protokoll mit asymmetrischen Verfahren
      5. 9.3.5 Leitlinien für die Protokollentwicklung
      6. 9.3.6 Diffie-Hellman Verfahren
    4. 9.4 Schlüsselrückgewinnung
      1. 9.4.1 Systemmodell
      2. 9.4.2 Grenzen und Risiken
  15. 10 Authentifikation
    1. 10.1 Einführung
    2. 10.2 Authentifikation durch Wissen
      1. 10.2.1 Passwortverfahren
      2. 10.2.2 Authentifikation in Unix
      3. 10.2.3 Challenge-Response-Verfahren
      4. 10.2.4 Zero-Knowledge-Verfahren
    3. 10.3 Biometrie
      1. 10.3.1 Einführung
      2. 10.3.2 Biometrische Techniken
      3. 10.3.3 Biometrische Authentifikation
      4. 10.3.4 Fallbeispiel: Fingerabdruckerkennung
      5. 10.3.5 Sicherheit biometrischer Techniken
    4. 10.4 Authentifikation in verteilten Systemen
      1. 10.4.1 RADIUS
      2. 10.4.2 Kerberos-Authentifikationssystem
  16. 11 Digitale Identität
    1. 11.1 Smartcards
      1. 11.1.1 Smartcard-Architektur
      2. 11.1.2 Betriebssystem und Sicherheitsmechanismen
      3. 11.1.3 Smartcard-Sicherheit
    2. 11.2 Elektronische Identifikationsausweise
      1. 11.2.1 Elektronischer Reisepass (ePass)
      2. 11.2.2 Personalausweis
    3. 11.3 Universal Second Factor Authentication
      1. 11.3.1 Registrierung eines U2F-Devices
      2. 11.3.2 Login beim Web-Dienst
      3. 11.3.3 Sicherheitsbetrachtungen
      4. 11.3.4 U2F-Protokoll versus eID-Funktion
    4. 11.4 Trusted Computing
      1. 11.4.1 Trusted Computing Platform Alliance
      2. 11.4.2 TCG-Architektur
      3. 11.4.3 TPM 1.2
      4. 11.4.4 Sicheres Booten
    5. 11.5 Physically Unclonable Functions (PUF)
      1. 11.5.1 Einführung
      2. 11.5.2 Einsatz von PUFs in Sicherheitsprotokollen
      3. 11.5.3 Sicherheitsuntersuchungen von PUFs
  17. 12 Zugriffskontrolle
    1. 12.1 Einleitung
    2. 12.2 Speicherschutz
      1. 12.2.1 Betriebsmodi und Adressräume
      2. 12.2.2 Virtueller Speicher
    3. 12.3 Objektschutz
      1. 12.3.1 Zugriffskontrolllisten
      2. 12.3.2 Zugriffsausweise
    4. 12.4 Zugriffskontrolle in Unix
      1. 12.4.1 Identifikation
      2. 12.4.2 Rechtevergabe
      3. 12.4.3 Zugriffskontrolle
    5. 12.5 Systembestimmte Zugriffskontrolle
    6. 12.6 Service-orientierte Architektur
      1. 12.6.1 Konzepte und Sicherheitsanforderungen
      2. 12.6.2 Web-Services
      3. 12.6.3 Web-Service Sicherheitsstandards
      4. 12.6.4 SAML
  18. 13 Fallstudien: iOS-Ecosystem und Windows10
    1. 13.1 iOS-Ecosystem
      1. 13.1.1 iOS-Sicherheitsarchitektur im Überblick
      2. 13.1.2 Sichere Enklave
      3. 13.1.3 Touch ID
      4. 13.1.4 Systemsicherheit
      5. 13.1.5 Passcode
      6. 13.1.6 Dateischutz
      7. 13.1.7 Keybags
      8. 13.1.8 Keychain
      9. 13.1.9 App-Sicherheit
      10. 13.1.10 Apple Pay
      11. 13.1.11 HomeKit-Framework
    2. 13.2 Windows 10
      1. 13.2.1 Architektur-Überblick
      2. 13.2.2 Sicherheits-Subsystem
      3. 13.2.3 Datenstrukturen zur Zugriffskontrolle
      4. 13.2.4 Zugriffskontrolle
      5. 13.2.5 Encrypting File System (EFS)
  19. 14 Sicherheit in Netzen
    1. 14.1 Firewall-Technologie
      1. 14.1.1 Einführung
      2. 14.1.2 Paketfilter
      3. 14.1.3 Proxy-Firewall
      4. 14.1.4 Applikationsfilter
      5. 14.1.5 Architekturen
    2. 14.2 Sichere Kommunikation
      1. 14.2.1 Verschlüsselungs-Layer
      2. 14.2.2 Virtual Private Network (VPN)
    3. 14.3 IPSec
      1. 14.3.1 Überblick
      2. 14.3.2 Security Association und Policy-Datenbank
      3. 14.3.3 AH-Protokoll
      4. 14.3.4 ESP-Protokoll
      5. 14.3.5 Schlüsselaustauschprotokoll IKE
      6. 14.3.6 Sicherheit von IPSec
    4. 14.4 TLS/SSL
      1. 14.4.1 Überblick
      2. 14.4.2 Handshake-Protokoll
      3. 14.4.3 Record-Protokoll
      4. 14.4.4 Sicherheit von TLS
    5. 14.5 DNSSEC
      1. 14.5.1 DNS-Schlüssel und -Schlüsselmanagement
      2. 14.5.2 DNS-Anfrage unter DNSSEC
    6. 14.6 Elektronische Mail
      1. 14.6.1 S/MIME
      2. 14.6.2 Pretty Good Privacy (PGP)
    7. 14.7 Signal-Protokoll für Messaging-Dienste
      1. 14.7.1 Extended Triple Diffie-Hellman (X3DH)
      2. 14.7.2 Double Ratchet-Protokoll
    8. 14.8 Blockchain
      1. 14.8.1 Technische Grundlagen
      2. 14.8.2 Smart Contracts
      3. 14.8.3 Sicherheit von Blockchains
      4. 14.8.4 Fallbeispiel:Bitcoin
      5. 14.8.5 Fazit und kritische Einordnung
  20. 15 Sichere mobile und drahtlose Kommunikation
    1. 15.1 GSM
      1. 15.1.1 Grundlagen
      2. 15.1.2 GSM-Grobarchitektur
      3. 15.1.3 Identifikation und Authentifikation
      4. 15.1.4 Gesprächsverschlüsselung
      5. 15.1.5 Sicherheitsprobleme
      6. 15.1.6 GPRS
    2. 15.2 UMTS
      1. 15.2.1 UMTS-Sicherheitsarchitektur
      2. 15.2.2 Authentifikation und Schlüsselvereinbarung
      3. 15.2.3 Vertraulichkeit und Integrität
    3. 15.3 Long Term Evolution (LTE) und SAE
      1. 15.3.1 EPC und LTE
      2. 15.3.2 Interworking
      3. 15.3.3 Sicherheitsarchitektur und Sicherheitsdienste
      4. 15.3.4 Sicheres Interworking
    4. 15.4 Funk-LAN (WLAN)
      1. 15.4.1 Einführung
      2. 15.4.2 Technische Grundlagen
      3. 15.4.3 WLAN-Sicherheitsprobleme
      4. 15.4.4 WEP und WPA
      5. 15.4.5 802.11i Sicherheitsdienste (WPA2)
      6. 15.4.6 802.1X-Framework und EAP
    5. 15.5 Bluetooth
      1. 15.5.1 Einordnung und Abgrenzung
      2. 15.5.2 Technische Grundlagen
      3. 15.5.3 Sicherheitsarchitektur
      4. 15.5.4 Schlüsselmanagement
      5. 15.5.5 Authentifikation
      6. 15.5.6 Bluetooth-Sicherheitsprobleme
      7. 15.5.7 Secure Simple Pairing
    6. 15.6 ZigBee
      1. 15.6.1 Überblick
      2. 15.6.2 Sicherheitsarchitektur
      3. 15.6.3 Schlüsseltypen
      4. 15.6.4 Netzzutritt und Schlüsselmanagement
      5. 15.6.5 ZigBee 3.0
      6. 15.6.6 Sicherheitsbetrachtungen
  21. Literaturverzeichnis
  22. Abkürzungsverzeichnis
  23. Index