: Florian Deusch, Tobias Eggendorfer
: Beauftragte für IT-Sicherheit und Informationssicherheit
: Fachmedien Recht und Wirtschaft
: 9783800596942
: & Recht
: 1
: CHF 53.10
:
: Handels-, Wirtschaftsrecht
: German
: 310
: Wasserzeichen
: PC/MAC/eReader/Tablet
: ePUB
IT-Sicherheit braucht Ansprechpartner. Informationssicherheitsbeauft agte, IT-Sicherheitsbeauftragte und CISOs übernehmen diese Aufgabe. Sie beraten Verantwortliche in Unternehmen, öffentlichen Stellen und sonstigen Organisationen. Recht und Informatik arbeiten hier Hand in Hand, die Autoren kommen aus beiden Disziplinen und bieten wissenschaftliches sowie praktisches Know-how, das konzentriert in diesem Buch bereitsteht. Dieses Know-how ist relevant für die Unternehmensleitung, um sich selbst ein Bild von den notwendigen Maßnahmen zu machen; allen Ansprechpartnern für die IT- und Informationssicherheit bietet es sowohl das Rüstzeug für einen guten Start als auch ein Nachschlagewerk für die tägliche Arbeit. Das Werk unterstützt mit seinen Praxishilfen und Checklisten, die IT- und Informationssicherheit effektiv und nachhaltig zu organisieren - für den Eigenschutz von Unternehmen unverzichtbar. Die Informationen im Buch richten sich an Unternehmen, an den öffentlichen Bereich und an alle sonstigen Organisationen wie Vereine, Stiftungen oder NGOs; die spezifischen Unterschiede sind jeweils an Ort und Stelle herausgearbeitet.

Dr. Florian Deusch ist Rechtsanwalt und Fachanwalt für IT-Recht in der Anwaltskanzlei Dr. Gretter in Ravensburg. Er berät in seinen Disziplinen Unternehmen und Behörden zur IT-Sicherheit und ist zudem auch als Datenschutzbeauftragter tätig. In seinen Veröffentlichungen hat er sich zur Aufgabe gemacht, das Know-how von Jura und Informatik zusammenzubringen, um so den dringend nötigen Wissenstransfer zwischen den beiden Fachgebieten zu verstärken. Dr. Tobias Eggendorfer ist Professor für IT-Sicherheit in Ingolstadt. Er berät in seiner Disziplin Unternehmen und Behörden zur IT-Sicherheit und ist zudem auch als Datenschutzbeauftragter tätig. In seinen Veröffentlichungen hat er sich zur Aufgabe gemacht, das Know-how von Jura und Informatik zusammenzubringen, um so den dringend nötigen Wissenstransfer zwischen den beiden Fachgebieten zu verstärken.

2.3.1. Verschlüsselung


Die Kryptologie, die Lehre von dem geheimen Austausch von Nachrichten, lässt sich zunächst unterteilen in die Kryptoanalyse, das Knacken von Verschlüsselung, und die Kryptographie, die Geheimschrift. Gleichzeitig gibt es noch die Unterarten Steganographie, die Kunst des verdeckten Schreibens, und die Steganalyse, die die Steganographie zu knacken versucht. Eine Unterart der Steganographie sind Covert Channels.

Bei einer steganographischen Kommunikation bekommt ein Dritter die Kommunikation gar nicht mit, wohingegen bei einer kryptographischen der Dritte den Nachrichtenaustausch sehen kann, ihn aber nicht versteht, sie erscheint ihm deshalb kryptisch.

2.3.1.1.Steganographie

Fast jeder hat schon mal Steganographie16 verwendet – Studierende denken oft an Zitronen- oder Kartoffeltinte, mit der sie verdeckt schreiben können, die Schrift wird erst durch Hitze, z.B. Bügeln oder eine Kerze, sichtbar. Andere nutzen den Tintenkiller und übermalen dann mit Tinte, so dass die Schrift erscheint. Und damit sind sie schon in der technischen Steganographie angekommen. Die kann auch Mikrofiches verwenden, die statt des Satzzeichens Punkt in einen Text eingeklebt sind. Modernere Verfahren verstecken zum Beispiel in den Farbwerten der einzelnen Pixel eines Bildes im niederwertigsten Bit Daten.

Ein sehr schönes Verfahren implementiert die Festplattenverschlüsselung VeraCrypt, das frühere TrueCrypt, als Zusatzfeature: Das sogenannte „Hidden Volume“ ist nicht nur steganographisch versteckt, seine Existenz lässt sich auch plausibel abstreiten – gegenüber einem Dritten also glaubhaft versichern, dass ein Hidden Volume nicht existiert.

Doch jenseits der technischen Steganographie gibt es auch die linguistische, die die Studierenden aus dem ersten Satz mit Sicherheit schon verwendet haben: Denn vermutlich brauchten sie morgens Asche, um sich ihre Brotzeit zu kaufen, mancher von ihnen wird auch vergeblich nach der Kohle gesucht haben, und sich dabei keine Gedanken gemacht haben, ob Kies und Schotter unterschiedlich sind. Andere denken bei Gras nicht an grüne Wiesen, wer Platte putzt, ist keine Reinigungskraft, und wer nach dem Einfahren schwedische Gardinen sieht, ist kaum bei IKEA. Gerade die Jugendsprache und der Argot nutzen solch einfache linguistische Steganographie. Fortgeschrittener sind da Verfahren, bei denen nur jede zweite Zeile eines Textes die Nachricht enthält, oder stets das erste Wort am linken Zeilenrand.

Allen Verfahren der linguistischen Steganographie ist gemein, dass sie zwar schwer zu knacken sind, dafür aber leicht zu zerstören: Ein Zensor formuliert sinnerhaltend um, ändert Zeilenumbrüche oder Wortreihenfolgen, wodurch die geheime Nachricht verloren geht. Gleiches gilt für die technischen Verfahren: Sind in einem Bild in den Pixeln Nachrichten versteckt, hilft zum Beispiel eine Größenänderung oder es nach JPG umzukodieren, wodurch Informationen verloren gehen. Hier gibt es allerdings Verfahren, die diesen Angriffen in Grenzen widerstehen17.

2.3.1.1.1.Covert Channels

Eine Besonderheit sind Covert Channels, die vorhandene Datenübertragungen so modifizieren, dass nur für den Eingeweihten die Besonderheiten Nachrichten transportieren. Timing Covert Channels z.B. verlängern die Pausen zwischen einzelnen Paketen künstlich, um so Nullen und Einsen zu kodieren. Andere Verfahren verstecken z.B. in nicht genutzten Feldern einzelne Bits. Bei Angriffen wie Spectre und Meltdown entsteht ein Covert Channel durch unterschiedliche Antwortzeiten eines Systems, abhängig davon, welche Daten es vorher verarbeitet und damit zwischengespeichert hat.

Ähnlich wie Steganographie sind solche Channels schwer zu detektieren, aber leicht zu stören, z.B. durch eine Traffic-Normalisation u