Schaffung eines nachhaltigen IT-Security Managementkonzepts für kleine und mittlere Unternehmen

In den letzten Jahren entwickelte sich das Thema IT-Security zu einem immer essentielleren Bereich in Unternehmen weltweit. Ursprünglich als eine Sparte, die als nettes Add-On dient, angesehen, rückt IT-Security bei der Planung und Einrichtung von IT-Infrastrukturen innerhalb von Konzernen in das Zentrum. Diverse Umfragen in Medien zeigen, dass das Thema Sicherheit zu einer der Hauptprioritäten im Informations- und Kommunikationstechnologiebereich wird. Speziell Begriffe wie „Security Management“ und „Information Security“ rücken in den Mittelpunkt von IT-Experten in heutigen Unternehmen. Eine wesentliche Aufgabe besteht darin, adäquate IT-Architekturen, koordinierte Technologieführung und die Definition von Rollen und Verantwortungsbereichen über das ganze Unternehmen hinweg zu schaffen. Dies alles sollte unter Berücksichtigung von etablierten Security Richtlinien, Standards und Methoden ermöglicht werden. Stärken und Schwächen bestehender Systeme müssen analysiert werden, um notwendige Korrekturen durchzuführen und eine kontinuierliche Verbesserung sowohl der IT-Landschaft als auch des Sicherheitsbewusstseins innerhalb der Unternehmen zu gewährleisten. Zielsetzung dieser Masterarbeit ist die Schaffung eines nachhaltigen IT-Security Managementkonzepts für kleine und mittlere Unternehmen (KMU). Dies erfolgt unter Berücksichtigung der im deutschsprachigen Raum meistverbreiteten existierenden Planungsansätze der IT-Security. Zu diesen zählen die ISO-2700x Normreihe, der IT-Grundschutzkatalog bzw. die IT-Grundschutzvorgehensweise des Bundesamt für Sicherheit in der Informationstechnik (BSI), in Österreich das österreichische Informationssicherheitshandbuch, sowie der Common Criteria for Information Technology Security Evaluation Standard (CC) zur Bewertung der Sicherheit von Informationstechnologie. Aufbauend auf die existierenden Planungsansätze sowie die in der Arbeit identifizierten bestehenden und zukünftigen Herausforderungen für den Entwurf eines IT-Security Managementkonzepts für KMUs werden Anforderungen dafür abgeleitet. Diese werden in weiterer Folge in ein Konzept eingearbeitet, welches sicherstellt, dass mit vertretbarem Aufwand ein umfassender und nachhaltiger Beitrag zur Verbesserung der IT-Security in KMUs gewährleistet werden kann. Der nachhaltige Beitrag wird unter anderem dadurch garantiert, dass neben der Berücksichtigung existierender Planungsansätze und Best Practices, Trends hinsichtlich der IT-Security, die in den nächsten 3-4 Jahren immer mehr an Bedeutung gewinnen werden, ebenfalls berücksichtigt sind. Es wird kleinen und mittleren Unternehmen ein einfaches Vorgehenskonzept zur Verfügung gestellt, das ihnen ermöglicht, schnell effiziente Maßnahmen zur Einrichtung eines nachhaltigen IT-Security Managements auszuwählen und durchzuführen. Die Überprüfung auf Praxistauglichkeit des entwickelten Konzepts erfolgt anschließend in Kooperation mit der ViaDonau - Österreichische Wasserstraßen-Gesellschaft mbH.In recent years the subject of IT security has developed into an essential topic in companies worldwide. Originally viewed as a nice add-on, nowadays the field of IT security is in the center of planning- and establishment activities for IT-infrastructures of any organisation. Various surveys in the media indicate that the issue of security is increasingly growing to one of the main priorities in the information and communication technology sector. Especially terms like "Security Management" and "Information Security" are moving into the focus of IT professionals in today's businesses. An essential task is to create adequate IT architectures, coordinated technology management and the definition of roles and responsibilities throughout the enterprises. This has to be done under consideration of established security policies, standards and methods. Strengths and weaknesses of existing systems must be analyzed in order to carry out necessary adjustments and to ensure a continuous improvement of the IT environment, as well as security awareness within the companies. The objective of this thesis is to create a sustainable IT-Security Management Concept for small and medium enterprises (SMEs). It takes into account the most common existing planning approaches for IT security. These include the ISO 2700x standards, the IT-Baseline Protection Catalog (IT-Grundschutzkatalog des BSI), the IT-Baseline Protection Approach of the Federal Office for Information Security in Germany (IT-Grundschutzvorgehensweise des BSI), the Austrian Information Security Manual (Österreichisches Sicherheitshandbuch) and the Common Criteria for Information Technology Security Evaluation Standard (CC) for the security evaluation of information technology. Based on the established planning approaches mentioned before and the identified existing and future challenges concerning the design of an IT-Security Management Concept for SMEs, the requirements are derived. Subsequently they are incorporated into a concept, which will guarantee that, with justifiable effort, a comprehensive and lasting contribution for the improvement of SMEs IT security is ensured. Moreover the lasting contribution of this work should be guaranteed considering the trends of IT security, which will get more and more influence in the next 3-4 years. For small and medium-sized businesses a simple process concept is provided that allows them to quickly carry out effective measures for establishing a sustainable IT-Security Management. The verification of the concept on suitability for daily use is carried out in cooperation with the ViaDonau - Österreichische Wasserstraßen-Gesellschaft mbH

Cybersicherheit und Cyber-Resilienz in den Finanzmärkten

Angesichts der zunehmenden Zahl von Cybervorfällen steigt für die in den Finanzmärkten tätigen Unternehmen der Bedarf, Vorkehren zum Schutz der Cybersicherheit und der Cyber-Resilienz zu treffen. Die regulatorischen Vorgaben in der Schweiz sind nicht sehr spezifisch, weshalb von Branchenorganisationen entwickelte Standards und Compliance-Massnahmen (z.B. mit Blick auf das Risikomanagement und auf die Kontinuität der Geschäftsprozesse) an Bedeutung gewinnen. Das Buch erläutert rechtsvergleichend das regulatorische Umfeld der Cybersicherheit und entwickelt Handlungsempfehlungen für Unternehmen in den Finanzmärkten

Peer-to-Peer-Technologie in Teilnehmerzugangsnetzen

In den letzten Jahren haben verschiedene P2P-Applikationen wie z.B. das File-Sharing eine weite Verbreitung erlangt. Deshalb wird zunächst untersucht, inwiefern gezieltes P2P-Routing hilft, P2P-Datenmassen besser zu bewältigen und die Netzwerkinfrastruktur zu entlasten. Wenngleich P2P-Netze oftmals mit dem illegalen Tausch lizenzrechtlichen Materials assoziiert werden, so sind die zugrunde liegenden Technologien vom Verwendungszweck losgelöst zu betrachten. Ferner studiert die vorliegende Forschungsarbeit daher Einsatzmöglichkeiten der P2P-Netzwerktechnologie in Teilnehmerzugangsnetzen

Performanz Evaluation von PQC in TLS 1.3 unter variierenden Netzwerkcharakteristiken

Quantum computers could break currently used asymmetric cryptographic schemes in a few years using Shor's algorithm. They are used in numerous protocols and applications to secure authenticity as well as key agreement, and quantum-safe alternatives are urgently needed. NIST therefore initiated a standardization process. This requires intensive evaluation, also with regard to performance and integrability. Here, the integration into TLS 1.3 plays an important role, since it is used for 90% of all Internet connections. In the present work, algorithms for quantum-safe key exchange during TLS 1.3 handshake were reviewed. The focus is on the influence of dedicated network parameters such as transmission rate or packet loss in order to gain insights regarding the suitability of the algorithms under corresponding network conditions. For the implementation, a framework by Paquin et al. was extended to emulate network scenarios and capture the handshake duration for selected algorithms. It is shown that the evaluated candidates Kyber, Saber and NTRU as well as the alternative NTRU Prime have a very good overall performance and partly undercut the handshake duration of the classical ECDH. The choice of a higher security level or hybrid variants does not make a significant difference here. This is not the case with alternatives such as FrodoKEM, SIKE, HQC or BIKE, which have individual disadvantages and whose respective performance varies greatly depending on the security level and hybrid implementation. This is especially true for the data-intensive algorithm FrodoKEM. In general, the prevailing network characteristics should be taken into account when choosing scheme and variant. Further it becomes clear that the performance of the handshake is influenced by external factors such as TCP mechanisms or MTU, which could compensate for possible disadvantages due to PQC if configured appropriately.Comment: Master's thesis, 160 pages, in Germa

Cyberspace and governance - a primer

"This working paper has a threefold purpose: first, it proposes a better understanding of the difference between the Internet (interconnecting computers) and the World Wide Web (managing information). Against this background, a four-layer model of cyberspace is presented including a physical, logical, informational, and social layer. Second, the paper splits the national cybersecurity debate in five distinct subject areas,or mandates. These include Military Cyberactivities, Counter-Cybercrime, Intelligence and Counter-Intelligence, Critical Infrastructure Protection and National Crisis Management, and Cyberdiplomacy and Internet Governance, each of which is typically covered by a distinct government department. Third, as one of the most understated and least understood mandates on this list, Internet Governance is described at more length in the final section." (author's abstract)"Die Zielsetzung dieses Arbeitspapiers gliedert sich in drei Kernpunkte: Erstens wird versucht, den Unterschied zwischen dem Internet (Vernetzung von Computern) und dem World Wide Web (Informationsverwaltung) herauszuarbeiten. Vor diesem Hintergrund soll der Cyberspace als ein Vierschichtenmodell aufgespannt werden, das eine physische, logische, informationelle und soziale Schicht beinhaltet. Zweitens teilt dieses Papier die nationale Debatte zur Cybersicherheit in fünf unterschiedliche Themenbereiche, oder auch Mandate. Diese umfassen Militärische Cyberaktivitäten; Bekämpfung von Cyberkriminalität; Nachrichtendienstliche Aktivitäten; Schutz Kritischer Infrastrukturen und Nationales Krisenmanagement; sowie Cyberdiplomatie und Internet Governance. Im Allgemeinen kann jedes dieser fünf Mandate von unterschiedlichen Ministerien abgedeckt werden. Drittens soll in einem abschließenden Teil Internet Governance, als eines der am wenigsten beachteten Mandate in diesem Zusammenhang, ausführlicher betrachtet werden." (Autorenreferat

GNUnet und Informationsmacht: Analyse einer P2P-Technologie und ihrer sozialen Wirkung

Diese Arbeit setzt sich mit den Ideen und der Geschichte des GNUnet-Projektes und dem GNUnet als Peer-to-Peer-Netzwerktechnologie auseinander. Es untersucht insbesondere die emanzipatorischen Potentiale im Hinblick auf Formen informationeller Macht und versucht die wesentlichen Machtverschiebungen als Folgenabschätzung eines breiten Einsatzes zu identifizieren: (a) die Machtverschiebung im Bereich der Informationsverarbeitung und (b) die Machtverschiebung im Bereich der Kommunikationsverarbeitung. Zudem wird eine Brücke zum kritischen Datenschutzprojekt geschlagen, um mit ihrer umfassenden gesellschaftstheoretischen Sichtweise das Verhältnis von GNUnet und dem Problem der Informationsmacht schärfer zu bestimmen. Nicht zuletzt wird auch das konstruktive Zusammenspiel dieser beiden Projekte als erforderliches Ziel weiter ausbuchstabiert.This thesis studies the GNUnet project comprising its history, ideas and the P2P network technology. It specifically investigates the question of emancipatory potentials with regard to forms of information power due to a widely deployed new Internet technology and tries to identify essential suspensions of power within the scope of an impact assessment. Moreover, we will see by contrasting the GNUnet project with the critical data protection project, founded on social theory, that both are heavily concerned about the problem of illegitimate and unrestrained information power, giving us additional insights for the assessment. Last but least I'll try to present a scheme of how both approaches may interact to realize their goals

Automatisierte Wahl von Kommunikationsprotokollen für das heutige und zukünftige Internet

Das erfolgreiche Internet basiert auf einer großen Anzahl unterschiedlicher Kommunikationsprotokolle. Diese erfüllen wesentliche Aufgaben, wie Adressierung, Datentransport oder sichere Kommunikation. Wählt man die richtigen Protokolle aus, so können gewünschte Eigenschaften der Kommunikation erreicht werden. Die vorliegende Arbeit betrachtet die automatisierte Wahl von Kommunikationsprotokollen und die damit erreichbare Verbesserung von zum Beispiel Sicherheit