O'Reilly logo

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

IT-Sicherheit, 9th Edition

Book Description

Gesundheit, Mobilität, Handel oder Finanzen: moderne IT-Systeme sind heute in nahezu allen Bereichen von zentraler Bedeutung und mögliche Sicherheitsrisiken dieser Systeme von unmittelbarer Brisanz.
Claudia Eckert stellt in diesem Standardwerk die zur Umsetzung der Sicherheitsanforderungen benötigten Verfahren und Protokolle detailliert vor und erläutert sie anschaulich anhand von Fallbeispielen. Im Vordergrund steht dabei, die Ursachen für Probleme heutiger IT-Systeme zu verdeutlichen und die grundlegenden Sicherheitskonzepte mit ihren jeweiligen Vor- und Nachteilen zu präsentieren. Der Leser entwickelt nicht nur ein Bewusstsein für IT-Sicherheitsrisiken, sondern erwirbt auch ein breites und grundlegendes Wissen zu deren Behebung.

- Sicherheitsbedrohungen durch unsichere Programmierung, Schadcode, Apps
- Internet- (Un)Sicherheit
- Security Engineering Vorgehen mit Bedrohungs- und Risiko-Analysen, Bewertungskriterien und Sicherheitsmodellen
- Kryptografische Verfahren und Schlüsselmanagement - Authentifikation und digitale Identität

- Zugriffskontrolle in zentralen und serviceorientierten (SOA) Systemen
- Kommunikationssicherheit mit SSL/TLS, IPSec und sicherer Mail
- Sichere mobile und drahtlose Kommunikation mit GSM/UMTS/LTE sowie, WLAN und Bluetooth

Ein Muss für jeden, der sich mit dieser hochaktuellen Problematik beschäftigt!

Table of Contents

  1. Cover
  2. Titelseite
  3. Impressum
  4. Vorwort
  5. Inhaltsverzeichnis
  6. 1 Einführung
    1. 1.1 Grundlegende Begriffe
    2. 1.2 Schutzziele
    3. 1.3 Schwachstellen, Bedrohungen, Angriffe
      1. 1.3.1 Bedrohungen
      2. 1.3.2 Angriffs- und Angreifer-Typen
      3. 1.3.3 Rechtliche Rahmenbedingungen
    4. 1.4 Computer Forensik
    5. 1.5 Sicherheitsrichtlinie
    6. 1.6 Sicherheitsinfrastruktur
  7. 2 Spezielle Bedrohungen
    1. 2.1 Einführung
    2. 2.2 Buffer-Overflow
      1. 2.2.1 Einführung
      2. 2.2.2 Angriffe
      3. 2.2.3 Gegenmaßnahmen
    3. 2.3 Computerviren
      1. 2.3.1 Eigenschaften
      2. 2.3.2 Viren-Typen
      3. 2.3.3 Gegenmaßnahmen
    4. 2.4 Würmer
    5. 2.5 Trojanisches Pferd
      1. 2.5.1 Eigenschaften
      2. 2.5.2 Gegenmaßnahmen
    6. 2.6 Bot-Netze und Spam
      1. 2.6.1 Bot-Netze
      2. 2.6.2 Spam
    7. 2.7 Mobiler Code
      1. 2.7.1 Eigenschaften
      2. 2.7.2 Sicherheitsbedrohungen
      3. 2.7.3 Gegenmaßnahmen
      4. 2.7.4 Mobile Apps
  8. 3 Internet-(Un-)Sicherheit
    1. 3.1 Einführung
    2. 3.2 Internet-Protokollfamilie
      1. 3.2.1 ISO/OSI-Referenzmodell
      2. 3.2.2 Das TCP/IP-Referenzmodell
      3. 3.2.3 Das Internet-Protokoll IP
      4. 3.2.4 Das Transmission Control Protokoll TCP
      5. 3.2.5 Das User Datagram Protocol UDP
      6. 3.2.6 DHCP und NAT
    3. 3.3 Sicherheitsprobleme
      1. 3.3.1 Sicherheitsprobleme von IP
      2. 3.3.2 Sicherheitsprobleme von ICMP
      3. 3.3.3 Sicherheitsprobleme von ARP
      4. 3.3.4 Sicherheitsprobleme von UDP und TCP
    4. 3.4 Sicherheitsprobleme von Netzdiensten
      1. 3.4.1 Domain Name Service (DNS)
      2. 3.4.2 Network File System (NFS)
      3. 3.4.3 Weitere Dienste
    5. 3.5 Web-Anwendungen
      1. 3.5.1 World Wide Web (WWW)
      2. 3.5.2 Sicherheitsprobleme
      3. 3.5.3 OWASP Top-Ten Sicherheitsprobleme
    6. 3.6 Analysetools und Systemhärtung
  9. 4 Security Engineering
    1. 4.1 Entwicklungsprozess
      1. 4.1.1 Allgemeine Konstruktionsprinzipien
      2. 4.1.2 Phasen
      3. 4.1.3 BSI-Sicherheitsprozess
    2. 4.2 Strukturanalyse
    3. 4.3 Schutzbedarfsermittlung
      1. 4.3.1 Schadensszenarien
      2. 4.3.2 Schutzbedarf
    4. 4.4 Bedrohungsanalyse
      1. 4.4.1 Bedrohungsmatrix
      2. 4.4.2 Bedrohungsbaum
    5. 4.5 Risikoanalyse
      1. 4.5.1 Attributierung
      2. 4.5.2 Penetrationstests
    6. 4.6 Sicherheitsarchitektur und Betrieb
      1. 4.6.1 Sicherheitsstrategie und Sicherheitsmodell
      2. 4.6.2 Systemarchitektur und Validierung
      3. 4.6.3 Aufrechterhaltung im laufenden Betrieb
    7. 4.7 Sicherheitsgrundfunktionen
    8. 4.8 Realisierung der Grundfunktionen
    9. 4.9 Security Development Lifecycle (SDL)
      1. 4.9.1 Die Entwicklungsphasen
      2. 4.9.2 Bedrohungs- und Risikoanalyse
  10. 5 Bewertungskriterien
    1. 5.1 TCSEC-Kriterien
      1. 5.1.1 Sicherheitsstufen
      2. 5.1.2 Kritik am Orange Book
    2. 5.2 IT-Kriterien
      1. 5.2.1 Mechanismen
      2. 5.2.2 Funktionsklassen
      3. 5.2.3 Qualität
    3. 5.3 ITSEC-Kriterien
      1. 5.3.1 Evaluationsstufen
      2. 5.3.2 Qualität und Bewertung
    4. 5.4 Common Criteria
      1. 5.4.1 Überblick über die CC
      2. 5.4.2 CC-Funktionsklassen
      3. 5.4.3 Schutzprofile
      4. 5.4.4 Vertrauenswürdigkeitsklassen
    5. 5.5 Zertifizierung
  11. 6 Sicherheitsmodelle
    1. 6.1 Modell-Klassifikation
      1. 6.1.1 Objekte und Subjekte
      2. 6.1.2 Zugriffsrechte
      3. 6.1.3 Zugriffsbeschränkungen
      4. 6.1.4 Sicherheitsstrategien
    2. 6.2 Zugriffskontrollmodelle
      1. 6.2.1 Zugriffsmatrix-Modell
      2. 6.2.2 Rollenbasierte Modelle
      3. 6.2.3 Chinese-Wall Modell
      4. 6.2.4 Bell-LaPadula Modell
    3. 6.3 Informationsflussmodelle
      1. 6.3.1 Verbands-Modell
    4. 6.4 Fazit und Ausblick
  12. 7 Kryptografische Verfahren
    1. 7.1 Einführung
    2. 7.2 Steganografie
      1. 7.2.1 Linguistische Steganografie
      2. 7.2.2 Technische Steganografie
    3. 7.3 Grundlagen kryptografischer Verfahren
      1. 7.3.1 Kryptografische Systeme
      2. 7.3.2 Anforderungen
    4. 7.4 Informationstheorie
      1. 7.4.1 Stochastische und kryptografische Kanäle
      2. 7.4.2 Entropie und Redundanz
      3. 7.4.3 Sicherheit kryptografischer Systeme
    5. 7.5 Symmetrische Verfahren
      1. 7.5.1 Permutation und Substitution
      2. 7.5.2 Block- und Stromchiffren
      3. 7.5.3 Betriebsmodi von Blockchiffren
      4. 7.5.4 Data Encryption Standard
      5. 7.5.5 AES
    6. 7.6 Asymmetrische Verfahren
      1. 7.6.1 Eigenschaften
      2. 7.6.2 Das RSA-Verfahren
    7. 7.7 Elliptische Kurven Kryptografie (ECC)
      1. 7.7.1 Grundlagen
      2. 7.7.2 Einsatz elliptischer Kurven
    8. 7.8 Kryptoanalyse
      1. 7.8.1 Klassen kryptografischer Angriffe
      2. 7.8.2 Substitutionschiffren
      3. 7.8.3 Differentielle Kryptoanalyse
      4. 7.8.4 Lineare Kryptoanalyse
  13. 8 Hashfunktionen und elektronische Signaturen
    1. 8.1 Hashfunktionen
      1. 8.1.1 Grundlagen
      2. 8.1.2 Blockchiffren-basierte Hashfunktionen
      3. 8.1.3 Dedizierte Hashfunktionen
      4. 8.1.4 Message Authentication Code
    2. 8.2 Elektronische Signaturen
      1. 8.2.1 Anforderungen
      2. 8.2.2 Erstellung elektronischer Signaturen
      3. 8.2.3 Digitaler Signaturstandard (DSS)
      4. 8.2.4 Signaturgesetz
      5. 8.2.5 Fazit und Ausblick
  14. 9 Schlüsselmanagement
    1. 9.1 Zertifizierung
      1. 9.1.1 Zertifikate
      2. 9.1.2 Zertifizierungsstelle
      3. 9.1.3 Public-Key Infrastruktur
    2. 9.2 Schlüsselerzeugung und -aufbewahrung
      1. 9.2.1 Schlüsselerzeugung
      2. 9.2.2 Schlüsselspeicherung und -vernichtung
    3. 9.3 Schlüsselaustausch
      1. 9.3.1 Schlüsselhierarchie
      2. 9.3.2 Naives Austauschprotokoll
      3. 9.3.3 Protokoll mit symmetrischen Verfahren
      4. 9.3.4 Protokoll mit asymmetrischen Verfahren
      5. 9.3.5 Leitlinien für die Protokollentwicklung
      6. 9.3.6 Diffie-Hellman Verfahren
    4. 9.4 Schlüsselrückgewinnung
      1. 9.4.1 Systemmodell
      2. 9.4.2 Grenzen und Risiken
  15. 10 Authentifikation
    1. 10.1 Einführung
    2. 10.2 Authentifikation durch Wissen
      1. 10.2.1 Passwortverfahren
      2. 10.2.2 Authentifikation in Unix
      3. 10.2.3 Challenge-Response-Verfahren
      4. 10.2.4 Zero-Knowledge-Verfahren
    3. 10.3 Biometrie
      1. 10.3.1 Einführung
      2. 10.3.2 Biometrische Techniken
      3. 10.3.3 Biometrische Authentifikation
      4. 10.3.4 Fallbeispiel: Fingerabdruckerkennung
      5. 10.3.5 Sicherheit biometrischer Techniken
    4. 10.4 Authentifikation in verteilten Systemen
      1. 10.4.1 RADIUS
      2. 10.4.2 Kerberos-Authentifikationssystem
  16. 11 Digitale Identität
    1. 11.1 Smartcards
      1. 11.1.1 Smartcard-Architektur
      2. 11.1.2 Betriebssystem und Sicherheitsmechanismen
      3. 11.1.3 Fallbeispiele
      4. 11.1.4 Smartcard-Sicherheit
    2. 11.2 Elektronische Identifikationsausweise
      1. 11.2.1 Elektronischer Reisepass (ePass)
      2. 11.2.2 Personalausweis
    3. 11.3 Universal Second Factor Authentication
      1. 11.3.1 Registrierung eines U2F-Devices
      2. 11.3.2 Login beim Web-Dienst
      3. 11.3.3 Sicherheitsbetrachtungen
      4. 11.3.4 U2F-Protokoll versus eID-Funktion
    4. 11.4 Trusted Computing
      1. 11.4.1 Trusted Computing Platform Alliance
      2. 11.4.2 TCG-Architektur
      3. 11.4.3 TPM
      4. 11.4.4 Sicheres Booten
    5. 11.5 Physically Unclonable Functions (PUF)
      1. 11.5.1 Einführung
      2. 11.5.2 Einsatz von PUFs in Sicherheitsprotokollen
      3. 11.5.3 Sicherheitsuntersuchungen von PUFs
  17. 12 Zugriffskontrolle
    1. 12.1 Einleitung
    2. 12.2 Speicherschutz
      1. 12.2.1 Betriebsmodi und Adressräume
      2. 12.2.2 Virtueller Speicher
    3. 12.3 Objektschutz
      1. 12.3.1 Zugriffskontrolllisten
      2. 12.3.2 Zugriffsausweise
    4. 12.4 Zugriffskontrolle in Unix
      1. 12.4.1 Identifikation
      2. 12.4.2 Rechtevergabe
      3. 12.4.3 Zugriffskontrolle
    5. 12.5 Zugriffskontrolle unter Windows
      1. 12.5.1 Architektur-Überblick
      2. 12.5.2 Sicherheitssubsystem
      3. 12.5.3 Datenstrukturen zur Zugriffskontrolle
      4. 12.5.4 Zugriffskontrolle
    6. 12.6 Verschlüsselnde Dateisysteme
      1. 12.6.1 Encrypting File System (EFS)
    7. 12.7 Systembestimmte Zugriffskontrolle
    8. 12.8 Sprachbasierter Schutz
      1. 12.8.1 Programmiersprache
      2. 12.8.2 Übersetzer und Binder
    9. 12.9 Service-orientierte Architektur
      1. 12.9.1 Konzepte und Sicherheitsanforderungen
      2. 12.9.2 Web-Services
      3. 12.9.3 Web-Service Sicherheitsstandards
      4. 12.9.4 SAML
      5. 12.9.5 Offene Fragen
  18. 13 Sicherheit in Netzen
    1. 13.1 Firewall-Technologie
      1. 13.1.1 Einführung
      2. 13.1.2 Paketfilter
      3. 13.1.3 Proxy-Firewall
      4. 13.1.4 Applikationsfilter
      5. 13.1.5 Architekturen
      6. 13.1.6 Risiken und Grenzen
    2. 13.2 OSI-Sicherheitsarchitektur
      1. 13.2.1 Sicherheitsdienste
      2. 13.2.2 Sicherheitsmechanismen
    3. 13.3 Sichere Kommunikation
      1. 13.3.1 Verschlüsselungs-Layer
      2. 13.3.2 Virtual Private Network (VPN)
    4. 13.4 IPSec
      1. 13.4.1 Überblick
      2. 13.4.2 Security Association und Policy-Datenbank
      3. 13.4.3 AH-Protokoll
      4. 13.4.4 ESP-Protokoll
      5. 13.4.5 Schlüsselaustauschprotokoll IKE
      6. 13.4.6 Sicherheit von IPSec
    5. 13.5 SSL/TLS
      1. 13.5.1 Überblick
      2. 13.5.2 Handshake-Protokoll
      3. 13.5.3 Record-Protokoll
      4. 13.5.4 Sicherheit von SSL/TLS
    6. 13.6 Sichere Anwendungsdienste
      1. 13.6.1 Elektronische Mail
      2. 13.6.2 Elektronischer Zahlungsverkehr
  19. 14 Sichere mobile und drahtlose Kommunikation
    1. 14.1 Einleitung
      1. 14.1.1 Heterogenität der Netze
      2. 14.1.2 Entwicklungsphasen
    2. 14.2 GSM
      1. 14.2.1 Grundlagen
      2. 14.2.2 GSM-Grobarchitektur
      3. 14.2.3 Identifikation und Authentifikation
      4. 14.2.4 Gesprächsverschlüsselung
      5. 14.2.5 Sicherheitsprobleme
      6. 14.2.6 GPRS
    3. 14.3 UMTS
      1. 14.3.1 UMTS-Sicherheitsarchitektur
      2. 14.3.2 Authentifikation und Schlüsselvereinbarung
      3. 14.3.3 Vertraulichkeit und Integrität
    4. 14.4 Long Term Evolution (LTE)und SAE
      1. 14.4.1 EPC und LTE
      2. 14.4.2 Interworking
      3. 14.4.3 Sicherheitsarchitektur und Sicherheitsdienste
      4. 14.4.4 Sicheres Interworking
    5. 14.5 Funk-LAN (WLAN)
      1. 14.5.1 Einführung
      2. 14.5.2 Technische Grundlagen
      3. 14.5.3 WLAN-Sicherheitsprobleme
      4. 14.5.4 WEP und WPA
      5. 14.5.5 802.11i Sicherheitsdienste (WPA2)
      6. 14.5.6 802.1X-Framework und EAP
    6. 14.6 Bluetooth
      1. 14.6.1 Einordnung und Abgrenzung
      2. 14.6.2 Technische Grundlagen
      3. 14.6.3 Sicherheitsarchitektur
      4. 14.6.4 Schlüsselmanagement
      5. 14.6.5 Authentifikation
      6. 14.6.6 Bluetooth-Sicherheitsprobleme
      7. 14.6.7 Secure Simple Pairing
  20. Literaturverzeichnis
  21. Abkürzungsverzeichnis
  22. Index