|
Vorwort |
5 |
|
|
Inhaltsverzeichnis |
7 |
|
|
Abkürzungsverzeichnis |
12 |
|
|
1 Einleitung |
17 |
|
|
1.1 Motivation |
17 |
|
|
1.2 Kapitelstruktur |
18 |
|
|
Literatur |
20 |
|
|
2 Grundlagen der Informationssicherheit |
21 |
|
|
2.1 Motivation |
23 |
|
|
2.1.1 Informationssicherheit |
24 |
|
|
2.1.2 Studien-Erkenntnisse |
27 |
|
|
2.2 Sicherheit und Sicherheitsziele |
31 |
|
|
2.2.1 Informationssicherheit – Charakteristik – Schutzziele |
34 |
|
|
2.2.2 Fundamente der Informationssicherheit |
38 |
|
|
2.2.3 Definitionen im Zusammenhang mit der Informationssicherheit |
40 |
|
|
2.2.4 Social Engineering |
41 |
|
|
2.2.4.1 Social Engineering – Beispiele |
42 |
|
|
2.2.4.2 Social Engineering – Angriffsziele |
45 |
|
|
2.2.5 Bug-Bounty-Programme – Honeypot |
46 |
|
|
2.2.5.1 Bug-Bounty-Programm |
47 |
|
|
2.2.5.2 Honeypot |
47 |
|
|
2.3 Sicherheit der Verarbeitung |
48 |
|
|
2.3.1 Technische Sicherungsmaßnahmen |
49 |
|
|
2.3.2 Organisatorische Sicherungsmaßnahmen |
49 |
|
|
2.3.3 Organisation und Compliance |
50 |
|
|
2.3.4 Informationen sammeln |
50 |
|
|
2.3.5 Self-Assessment |
50 |
|
|
2.3.6 Teststrategien |
51 |
|
|
2.3.7 Zeitenwende nach Stuxnet |
53 |
|
|
2.4 NIS-Richtlinie |
54 |
|
|
2.5 Zusammenfassung |
56 |
|
|
Literatur |
57 |
|
|
3 Datenschutz (Privacy) |
61 |
|
|
3.1 Motivation/Ursprung |
62 |
|
|
3.1.1 Datenschutzgrundprinzipien: Konzepte |
62 |
|
|
3.1.2 Datenschutz: Historie |
63 |
|
|
3.1.3 Datenschutz: Charakteristik und Datenschutzziele |
65 |
|
|
3.2 Basis der EU-DSGVO: Bundesdatenschutzgesetz n. F. |
67 |
|
|
3.2.1 Bundesdatenschutzgesetz n. F. |
67 |
|
|
3.2.2 EU-Datenschutz-Grundschutzverordung |
68 |
|
|
3.2.3 ePrivacy: Telekommunikation-Telemedien-Datenschutz-Gesetz |
69 |
|
|
3.2.4 Personenbezogene Daten |
70 |
|
|
3.2.5 Rechtmäßigkeit der Verarbeitung |
72 |
|
|
3.3 Wichtige Artikel der EU-DSGVO |
73 |
|
|
3.3.1 Grundsätze zur Verarbeitung personenbezogener Daten |
74 |
|
|
3.3.2 Bedingungen für die Einwilligung |
75 |
|
|
3.3.3 Sicherheit der Verarbeitung |
76 |
|
|
3.3.4 Rechte der betroffenen Person |
77 |
|
|
3.3.5 Datenschutz-Folgenabschätzung |
78 |
|
|
3.3.6 Allgemeine Bedingungen für die Verhängung von Geldbußen |
78 |
|
|
3.4 Privacy Engineering – Privacy-by-Design |
79 |
|
|
3.4.1 Privacy Engineering |
80 |
|
|
3.4.2 Sieben fundamentale Prinzipien: Privacy-by-Design (PbD) |
82 |
|
|
3.4.3 Privacy-Strategien |
87 |
|
|
3.5 Privacy-Enhancing-Technologies (PET) |
89 |
|
|
3.6 Privacy-Risk-Modell (Datenschutz-Risikomodell) |
92 |
|
|
3.6.1 Privacy-Risikoanalyse |
92 |
|
|
3.6.2 Datenschutz-Bedrohungsmodellierung: LINDDUN |
94 |
|
|
3.7 Datenschutz-Framework |
97 |
|
|
3.8 Zusammenfassung |
99 |
|
|
Literatur |
101 |
|
|
4 Funktionale Sicherheit (Safety) |
104 |
|
|
4.1 Motivation |
105 |
|
|
4.2 Ziele – Funktionale Sicherheit – Charakteristik |
107 |
|
|
4.3 Schnittstelle Funktionale Sicherheit – Cybersecurity |
112 |
|
|
4.3.1 Schnittstellen in der Automotive-Safety-Norm |
113 |
|
|
4.3.2 Artverwandte Analyse-Methoden |
115 |
|
|
4.3.3 SOTIF – Safety of the intended functionality |
116 |
|
|
4.3.4 STPA – Systems Theoretic Process Analysis |
117 |
|
|
4.3.5 Künstliche Intelligenz |
118 |
|
|
4.4 Zusammenfassung |
118 |
|
|
Literatur |
120 |
|
|
5 Informations-/Cybersecurity-Standards |
122 |
|
|
5.1 Security Development Lifecycle: Standards |
123 |
|
|
5.1.1 Microsoft Security-Development-Lifecycle (SDL) |
124 |
|
|
5.1.2 IEEE Cyber Security – Design Flaws |
126 |
|
|
5.1.2.1 Die Top 10-Design-Mängel |
126 |
|
|
5.1.2.2 Gegenmaßnahmen zur Vermeidung der Top 10-Design-Mängel |
127 |
|
|
5.1.3 Automotive SPICE® |
129 |
|
|
5.2 Security-Standards |
131 |
|
|
5.2.1 SAE Internatlional J3061TM | ISO/SAE 21434 |
131 |
|
|
5.2.2 FIPS PUB 199/FIPS PUB 200/NIST SP 800-53 |
133 |
|
|
5.2.2.1 FIPS PUB 199 – Security Categorization |
134 |
|
|
5.2.2.2 FIPS PUB 200 – Minimale Sicherheitsanforderungen |
135 |
|
|
5.2.3 NIST SP 800-Reihe |
135 |
|
|
5.2.4 ISA/IEC 62443 – IT-Sicherheit für Netze und Systeme |
137 |
|
|
5.2.4.1 ISA/IEC 62443 – Ziele |
137 |
|
|
5.2.4.2 ISA/IEC 62443 – Struktur der Normenreihe |
139 |
|
|
5.2.4.3 ISA/IEC 62443 – Fundamentale Konzepte (Foundational Requirements) |
140 |
|
|
5.2.5 27k-Familie – Informationssicherheit |
145 |
|
|
5.2.5.1 ISO/IEC 27001 – Informationssicherheits-Management |
146 |
|
|
5.2.5.2 ISO/IEC 27005 Security Risk Management |
147 |
|
|
5.2.5.3 ISO/IEC 27701 – Datenschutz-Managementsystem |
147 |
|
|
5.2.6 TISAX – Automotive ISMS |
147 |
|
|
5.2.7 UNECE/NHTSA – Automotive Regulierungen |
148 |
|
|
5.2.8 IEC 15480 – Common Criteria |
151 |
|
|
5.2.9 RTCA DO 326-A – Sicherheit in der Luftfahrt |
154 |
|
|
5.2.10 EU Cybersecurity Act |
155 |
|
|
5.3 Zusammenfassung |
156 |
|
|
5.3.1 Secure Software Engineering |
157 |
|
|
5.3.2 Herausforderungen und Maßnahmen |
157 |
|
|
Literatur |
158 |
|
|
6 Hacking |
162 |
|
|
6.1 Denkweise (Mindset) |
163 |
|
|
6.2 Hacking-Beispiele |
167 |
|
|
6.2.1 Google-Hacking |
167 |
|
|
6.2.2 Passwort-Hacking |
168 |
|
|
6.3 Hacking-Beispiel Automotive |
169 |
|
|
6.3.1 Konnektivität macht es möglich |
170 |
|
|
6.3.2 Beispiel: Roll-Jam-Technique (Replay-Attacke) |
173 |
|
|
6.3.3 Beispiel: (Key-) Relay-Station-Attacke |
173 |
|
|
6.4 Cyber-Kill-Chain |
174 |
|
|
6.5 Zusammenfassung |
176 |
|
|
Literatur |
177 |
|
|
7 Risiko-Assessment |
179 |
|
|
7.1 Übersicht |
180 |
|
|
7.1.1 Prinzipien |
181 |
|
|
7.1.2 Rahmenwerk |
182 |
|
|
7.1.3 Prozess |
183 |
|
|
7.1.4 Risikokriterien |
184 |
|
|
7.2 Automotive TARA nach ISO/SAE 21434 |
186 |
|
|
7.2.1 Identifikation der zu schützenden Werte |
186 |
|
|
7.2.2 Identifikation von Bedrohungsszenarien |
188 |
|
|
7.2.3 Bestimmung der Auswirkungsschwere |
189 |
|
|
7.2.4 Analyse der Angriffspfade |
190 |
|
|
7.2.5 Bestimmung der Angriffsmachbarkeit |
190 |
|
|
7.2.6 Bewertung des Risikos |
192 |
|
|
7.2.7 Risikobehandlungsentscheidung |
193 |
|
|
7.3 Sicherheitsrisikobewertung nach ISA/IEC 62443 |
193 |
|
|
7.4 Risikobewertung nach ISO/IEC 27005 |
195 |
|
|
7.5 Risikobewertung nach NIST SP 800-30 |
196 |
|
|
7.6 Risikobewertung nach HEAVENS |
199 |
|
|
7.6.1 Bedrohungsanalyse |
201 |
|
|
7.6.2 Risikobewertung |
202 |
|
|
7.6.3 Sicherheitsanforderungen |
203 |
|
|
7.7 Bedrohungsmodellierung: STRIDE |
203 |
|
|
7.7.1 STRIDE-per-Element |
205 |
|
|
7.7.2 STRIDE-per-Interaktion |
205 |
|
|
7.8 Zusammenfassung |
206 |
|
|
Literatur |
207 |
|
|
8 IT-Service-Management |
209 |
|
|
8.1 Motivation (Einbettung) |
212 |
|
|
8.2 ITIL und COBIT |
213 |
|
|
8.2.1 ITIL – IT Infrastructure Library |
214 |
|
|
8.2.2 COBIT – Control Objectives for Information and Related Technology |
215 |
|
|
8.3 27k – Informationssicherheits-Managementsystem |
215 |
|
|
8.4 IT-Grundschutz-Kompendium |
216 |
|
|
8.4.1 BSI-Standards zur Umsetzung |
218 |
|
|
8.4.2 BSI-Risioanalyse |
222 |
|
|
8.5 Der IT-Sicherheits-Beauftragte |
223 |
|
|
Literatur |
224 |
|
|
9 Anhang: Kontrollfamilien |
226 |
|
|
9.1 Kontrollfamilien für Security und Privacy |
227 |
|
|
Literatur |
234 |
|
|
Glossar |
235 |
|
|
Stichwortverzeichnis |
245 |
|