====== 8) Netzwerksicherheit ======

Zweifel zu haben ist ein unangenehmer Zustand, sich in Sicherheit zu wiegen ist ein absurder Zustand (Voltaire)

Not, Person und Zeit, machen die Gesetze eng und weit.

Es gibt keine Sicherheit, nur mehr oder weniger Unsicherheit (Josef Maler)

Sei vorsichtig, öffne keinem Fremden die Haustür.

  * [[:inf:inf6ai_202425:08_Netzwerksicherheit:01|8.1) Kryptologie ]]
    * [[:inf:inf6ai_202425:08_Netzwerksicherheit:01:01|8.1.1) Steganografie]]
    * [[:inf:inf6ai_202425:08_Netzwerksicherheit:01:02|8.1.2) Kryptografie]]
      * [[:inf:inf6ai_202425:08_Netzwerksicherheit:01:02:01|8.1.2.1) Symmetrische Kryptografie ]]
        * [[:inf:inf6ai_202425:08_Netzwerksicherheit:01:02:01:01|8.1.2.1.1) Cäsar-Chiffre]]
        *  [[:inf:inf6ai_202425:08_Netzwerksicherheit:01:02:01:02|8.1.2.1.2) Vigenere-Chiffre]]
        * [[:inf:inf6ai_202425:08_Netzwerksicherheit:01:02:01:03|8.1.2.1.3) One Time Pad (Vernam-Chiffre)]]
        * [[:inf:inf6ai_202425:08_Netzwerksicherheit:01:02:01:04|8.1.2.1.4) Skytale ]]
        * [[:inf:inf6ai_202425:08_Netzwerksicherheit:01:02:01:05|8.1.2.1.5) DES]]
        * [[:inf:inf6ai_202425:08_Netzwerksicherheit:01:02:01:06|8.1.2.1.6) AES]]
      * [[:inf:inf6ai_202425:08_Netzwerksicherheit:01:02:02|8.1.2.2) Asymmetrische Kryptografie ]]
        * [[:inf:inf6ai_202425:08_Netzwerksicherheit:01:02:02:01|8.1.2.2.1) RSA]]
      * [[:inf:inf6ai_202425:08_Netzwerksicherheit:01:02:03|8.1.2.3) Hybride Chiffriersysteme ]]
      * [[:inf:inf6ai_202425:08_Netzwerksicherheit:01:02:04|8.1.2.4) Digitale Signatur]]
      * [[:inf:inf6ai_202425:08_Netzwerksicherheit:01:02:05|8.1.2.5) Kryptografische Hash-Funktion]]
    * [[:inf:inf6ai_202425:08_Netzwerksicherheit:01:03|8.1.3) Sicherheitsinfrastruktur (Public-Key-Infrastruktur - PKI)]]
      * [[inf:inf6ai_202425:08_netzwerksicherheit:01:03:01|8.1.3.1) Vertrauen in Schlüssel]]
      * [[inf:inf6ai_202425:08_netzwerksicherheit:01:03:02|8.1.3.2) Schlüssel zertifizieren]]
      * [[inf:inf6ai_202425:08_netzwerksicherheit:01:03:03|8.1.3.3) Web of Trust]]
      * [[inf:inf6ai_202425:08_netzwerksicherheit:01:03:04|8.1.3.4) Man in the middle Angriff]]
      * [[inf:inf6ai_202425:08_netzwerksicherheit:01:03:05|8.1.3.5) Public Key Zertifikat]]
      * [[inf:inf6ai_202425:08_netzwerksicherheit:01:03:06|8.1.3.6) Public Key Infrastruktur (PKI)]]
      * [[inf:inf6ai_202425:08_netzwerksicherheit:01:03:07|8.1.3.7) Beispiel HTTPS]]
    * [[:inf:inf6ai_202425:08_Netzwerksicherheit:01:04|8.1.4) Passwörter]]
      * [[:inf:inf6ai_202425:08_Netzwerksicherheit:01:04:01|8.1.4.1) Empfehlungen ]]
      * [[:inf:inf6ai_202425:08_Netzwerksicherheit:01:04:02|8.1.4.2) Passphrasen]]
      * [[:inf:inf6ai_202425:08_Netzwerksicherheit:01:04:03|8.1.4.3) Entropie von Passwörtern]]
      * [[:inf:inf6ai_202425:08_Netzwerksicherheit:01:04:04|8.1.4.4) Zufallspasswörter und Passwortmanager]]
      * [[:inf:inf6ai_202425:08_Netzwerksicherheit:01:04:05|8.1.4.5) Speicherung von Passwort-Dateien]]
      * [[:inf:inf6ai_202425:08_Netzwerksicherheit:01:04:06|8.1.4.6) Zweifaktor-Authentifizierung (2FA)]]
      * [[:inf:inf6ai_202425:08_Netzwerksicherheit:01:04:07|8.1.4.7) Mögliche Fallstricke ]]
      * [[:inf:inf6ai_202425:08_Netzwerksicherheit:01:04:08|8.1.4.8) Praxistest ]]
    * [[:inf:inf6ai_202425:08_Netzwerksicherheit:01:05|8.1.5) Bitcoin]]


{{ :inf:inf6ai_202425:08_netzwerksicherheit:kryptographie.mp4 |}}

===== Definition =====

Netzwerksicherheit steht als Begriff stellvertretend für sämtliche Schutzmaßnahmen, um IT-Infrastrukturen gegen unbefugte Zugriffe, Schäden und Verluste abzusichern. Diese Maßnahmen können technischer oder organisatorischer Natur sein und sorgen dafür, dass ein Netzwerk vertraulich, integer und verfügbar bleibt. So zählen Verschlüsselungstechnologien und Firewalls ebenso zur professionellen Netzwerksicherheit wie Sicherheits- und Passwortrichtlinien und Security-Schulungen.

Um ein IT-Netzwerk umfassend zu sichern, braucht es mehrere Schutzschichten, die jeden Bereich im Netzwerk bedenken. Außerdem ist es sinnvoll, Netzwerk und Sicherheit individuell aufeinander abzustimmen. Wir zeigen Ihnen, welche Security-Schichten notwendig sind und wie umfangreich Ihre IT-Security je nach Unternehmensart und Angriffsrisiken ausfallen sollte.

===== Schutz des eigenen IT-Netzwerkes=====

Ein IT-Netzwerk besteht aus einer Vielzahl an Einzelkomponenten: Wichtige Daten lagern auf internen oder externen Servern, Mitarbeitende sind mit Desktop-PCs, Laptops und Smartphones ausgestattet, ein Gateway oder ein Router sorgt für den Internetzugang und je nach Unternehmensgröße vernetzen ein oder mehrere Switches intern weitere Geräte (LAN) wie beispielsweise Access Points für eine professionelle WLAN-Abdeckung oder auch Arbeitsgeräte oder Drucker.

Bei IT-Netzwerken, die lokal weit verteilt und stark verzweigt sind, bedarf es zum Schutz einer mehrschichtigen und skalierbaren IT-Security, die im besten Fall möglichst automatisiert für mehr Sicherheit im Netzwerk sorgt.

===== Schichten und Bestandteile professioneller IT-Security =====

Zum Schutz des eigenen IT-Netzwerkes zählt zum einen die Absicherung sämtlicher sich im Netzwerk befindlichen Daten, Geräte, Server und Applikationen (Datensicherheit, interne Sicherheit und Applikationssicherheit), zum anderen aber auch Perimeter Security, also die Absicherung der Schwelle zwischen internem und externem Netz – demnach auch sichere Übertragungswege und Netzwerkzugänge (Endpunktsicherheit und Datenverschlüsselung).

Zu guter Letzt darf aber auch die Sicherheit der bewegten Daten und externen Cloud-Anwendungen nicht außer Acht gelassen werden (Sicherheit von "data in motion", Datenschutz und Cloud-Sicherheit), ebenso wenig wie die menschliche Komponente (menschliches Security-Bewusstsein).

{{:inf:inf6ai_202425:pasted:20240926-042714.png?1000}}


==== Kernsicherheit ====

=== Sichere „Data in rest“ ===

{{:inf:inf6ai_202425:pasted:20240926-042858.png}}

Sichere Datenspeicherung und Schutz vor Datenverlust durch

  * Strenge Passwort-Richtlinien (Komplexität, Ablaufdatum, Zwei-Faktor-Authentifizierung)
  * Sicherheitseinstellungen für Dateien
  * Getrennte Datenlagerung
  * Klar definierte Zugriffs- und Bearbeitungsrechte
  * Archive
  * Datenbackups


=== Interne Sicherheit ===

{{:inf:inf6ai_202425:pasted:20240926-042953.png}}

Schutz der physischen IT-Geräte, Server und des Netzwerkzugangs vor fremden Zugriffen sowie Risikomanagement für Katastrophen / Krisen durch

  * Zugangskontrollen auf Firmengelände
  * ggf. Live-Monitoring mit Kameraüberwachung und Aktivitäten-Logs
  * Professionelle Next-Generation Web Application UTM-Firewall
  * Regelmäßige Security-Patches, Funktionsfähigkeitschecks und Software Updates
  * Netzwerksegmentierung



=== Menschliches Security-Bewusstsein ===

{{:inf:inf6ai_202425:pasted:20240926-043033.png}}

Schutz vor menschlichen Fehlern durch

  * Umfangreiche IT-Security- und Compliance-Schulungen, insb. zu E-Mail-, Passwort- und Social Media-Sicherheit, Vertraulichkeitsregelungen und Verhalten im Ernstfall
  * Tests wie z.B. Phishing-Simulationen
  * Vertraulichkeitsklassifikationen für Dateien und Informationen
  * Gut zugängliche Sicherheitsrichtlinien
  * Regelmäßige Erinnerungen und Auffrischungen


==== IT-Sicherheit auf Arbeitsebene ====


===Endpunktsicherheit===

{{:inf:inf6ai_202425:pasted:20240926-043419.png}}

Schutz von Nutzungsendpunkten wie mobilen Geräten, Desktops, IoT-Geräten und -Sensoren, etc., insb. in dezentralen und hybriden Arbeitsumgebungen (BYOD, Remote Work, externe Dienstleister, etc.) durch

  * Nutzung von VPN-Clients und ZTNA (Zero-Trust-Network-Access)
  * Multifaktor-Authentifizierung von Nutzer:innen
  * Übersichtliches, zentral gemanagtes Asset-Inventar aller Geräte und virtuellen Ressourcen
  * Individuelle, feingranulare Zugriffsrechte pro Nutzer:in
  * Regelmäßige Systemupdates und Securitypatches
  * Klare Nutzungs- und Sicherheitsrichtlinien
  * Abschalten nicht zwingend notwendiger Ports

===Datenverschlüsselung===

{{:inf:inf6ai_202425:pasted:20240926-043431.png}}

Transparente und nutzerbasierte Ver- und Entschlüsselung im Hintergrund durch

  * VPN- oder ZTNA-Netzwerke
  * Verschlüsselungsparameter und - algorithmen nach aktuellem BSI-Standard
  * Regelmäßige Überprüfung der aktuellen Standards
  * Konzept zur Schlüsselverwaltung (PKI - Public Key Infrastructure) inklusive regelmäßiger Audits

===Applikationssicherheit===

{{:inf:inf6ai_202425:pasted:20240926-043441.png}}

Schutz von Anwendungen vor Sicherheitslücken durch

  * Zugriff auf ausschließlich vertrauenswürdige und geprüfte, freigegebene Apps
  * Gezielter Einsatz von VPNs
  * Zugangskontrolle und Application Monitoring / Steering
  * Automatische Sessionterminierung bei Nicht-Nutzung
  * Regelmäßige (Security-)Updates
  * Aufbewahrungsrichtlinien


==== Übertragungssicherheit====

=== Sichere „Data in motion“ ===

{{:inf:inf6ai_202425:pasted:20240926-044743.png}}

Schutz der Schwelle von internem zu externem Netzwerk (Perimeter) und lateraler Schutz innerhalb des eigenen Netzwerks durch

  * Mehrschichtige Verschlüsselung von Daten während Übertragung
  * Ausschließliche Nutzung von VPN- oder ZTNA-Verbindungen
  * Netzwerksegmentierung durch VLANs
  * Caching Routines zur Vermeidung von öffentlichem Zugang
  * Regelmäßige Penetrationstests
  * Nutzer- und systemspezifische Zugriffsschlüssel nur auf benötigte Daten


=== Datenschutz ===

{{:inf:inf6ai_202425:pasted:20240926-044754.png}}

Gewährleistung von rechtkonformer Datennutzung und -verarbeitung durch

  * DSGVO-konforme Anwendungen und Systeme
  * Backdoor-freie Netzwerkkomponenten
  * In der EU gehostete Clouddienste


=== Cloud-Sicherheit===

{{:inf:inf6ai_202425:pasted:20240926-044821.png}}

Schutz eigener Cloud-Anwendungen und sorgfältige Prüfung der Sicherheit von genutzten externen Cloud-Diensten durch

  * Klare Klärung von Security-Angelegenheiten zwischen Cloud-Anbieter und -Nutzer
  * Physische Host-Zugangskontrollen
  * Sichere, DSGVO-konforme Infrastruktur
  * Georedundanz des Hosts
  * Security Patches
  * Zugangskontrollen zu Unternehmensdaten in der Cloud
  * Backdoor-Freiheit