IT-Sicherheit schützt Systeme, Daten und Netzwerkstrukturen vor Angriffen, Fehlbedienung, Verlust und Manipulation.
Sicherheit ist kein Produkt, sondern ein Prozess.

Diese Seite behandelt:

• CIA-Triade
• Zero Trust
• Angriffsarten
• Hardening
• Firewalls
• Passwortrichtlinien
• Updates & Patchmanagement
• Logging & Monitoring
• Zugriffskontrolle (Least Privilege)

Die CIA-Triade besteht aus:

• C – Confidentiality (Vertraulichkeit)
• I – Integrity (Integrität)
• A – Availability (Verfügbarkeit)

Daten dürfen nur von berechtigten Personen eingesehen werden.

Maßnahmen:

• Verschlüsselung (TLS, AES, VPN)
• Zugriffsrechte
• MFA (z. B. FIDO2, App)

Daten dürfen nicht unbemerkt verändert werden.

Maßnahmen:

• Signaturen
• Hashes (SHA-256)
• File-Integrity-Monitoring
• Versionskontrolle

Systeme müssen erreichbar und nutzbar bleiben.

Maßnahmen:

• Monitoring
• Backups
• Load Balancing
• DDoS-Schutz

Zero Trust = „Traue niemandem, prüfe alles.“

Grundprinzipien:

• keine vertrauenswürdige Zone (LAN ≠ sicher)
• jeder Zugriff wird geprüft
• geringste Rechte (Least Privilege)
• dauerhafte Überwachung
• Mikrosegmentierung / VLANs
• Authentifizierung & Autorisierung bei jeder Aktion

 User → Auth → Policies → Zugriff (wenn erlaubt)

• Viren
• Trojaner
• Ransomware

• MITM (Man in the Middle)
• ARP Spoofing
• DNS Spoofing
• Port-Scanning
• DDoS

• SQL Injection
• XSS (Cross-Site Scripting)
• CSRF
• Directory Traversal

• Phishing
• Vishing
• Pretexting
• Stimme-KI / Deepfake

• ehemalige Mitarbeiter
• Missbrauch von Adminrechten

System-Hardening bedeutet: „alles entfernen, was nicht gebraucht wird“.

• unnötige Dienste deaktivieren
• sichere Passwortrichtlinien
• SSH absichern (kein root login, key auth)
• Firewall aktivieren
• Logs überwachen
• Updates einspielen
• Container als non-root
• Transportverschlüsselung (HTTPS)
• sichere Standardwerte (secure defaults)

• /etc/ssh/sshd_config prüfen
• Fail2Ban / CrowdSec
• UFW oder nftables
• Dateirechte korrekt setzen
• root-Login verbieten

• HSTS
• TLS 1.2+
• sichere Ciphers
• keine Directory Listings
• WAF einsetzen

Ein zentrales Prinzip moderner Sicherheit:

Least Privilege
→ Jeder Benutzer bekommt nur die Rechte, die er unbedingt braucht.

Weitere Modelle:

• Rollen bestimmen Berechtigungen (Admin, User, Support)

• Entscheidungen anhand von Attributen
  (z. B. Standort, Zeit, Gerätetyp)

• Passwort + Smartphone
• Passwort + FIDO2-Key

MFA ist Pflicht in modernen Systemen.

• mindestens 12–16 Zeichen
• zufällig generiert
• Kombination aus Zahl, Groß-, Klein- und Sonderzeichen
• keine Wörter oder Muster

Tools:

• Passwortmanager (z. B. Vaultwarden, Bitwarden)

• „Hallo123“
• „Passwort“
• „Lars1983!“
• wiederverwendete Passwörter

Passwörter werden nie im Klartext gespeichert.

Verfahren:

• bcrypt
• Argon2id (modern, sicher)
• scrypt

Viele Sicherheitslücken entstehen durch veraltete Software.

Regeln:

• Betriebssysteme regelmäßig aktualisieren
• Sicherheitsupdates priorisieren
• Firmware aktualisieren (Switches, Router, Controller)
• Container-Images erneuern
• alte Versionen entfernen

Firewalls überwachen und steuern Netzwerkverkehr.

Arten:

• Paketfilter (Layer 3/4)
• Statefull Inspection
• Next-Gen Firewall (NGFW)
• Web Application Firewall (WAF)

Funktionen:

• Blocken unerwünschter Ports
• Anomalieerkennung
• Benutzerrollen (Identity Firewall)
• IPS/IDS Integration
• Logging

Beispiele:

• iptables / nftables
• OPNsense / pfSense
• FortiGate
• Sophos XG
• Palo Alto

Logs sind essenziell für Sicherheit:

• Auth-Logs
• Webserver-Logs
• System-Logs
• Firewall-Logs
• IDS-Alarme (z. B. Suricata)
• CrowdSec Signale

Moderne Tools:

• Suricata (IDS/IPS)
• CrowdSec (Erkennung + automatische Gegenmaßnahmen)
• Loki + Promtail (Log-Analyse)
• Grafana (Dashboards)

Netzwerke in VLANs trennen:

• Server
• Gäste
• IoT
• Verwaltung
• Kamera
• Kinder-Netz

Vorteile:

• ein infiziertes Gerät infiziert nicht den Rest
• Angriffsfläche reduziert
• Zero Trust leichter umsetzbar

ASCII:

 VLAN10 = Server
 VLAN20 = Workstations
 VLAN30 = Gäste
 VLAN40 = IoT

Essentiell:

• 3-2-1 Regel
• Offsite-Backups
• Verschlüsselte Backups
• regelmäßige Restore-Tests

Sicherheit ≠ nur Firewalls → Ohne Backup keine Verfügbarkeit.

• CIA-Triade ist Grundlage der IT-Sicherheit
• Zero Trust: Nichts ist vertrauenswürdig
• Hardening = unnötiges entfernen + sicher konfigurieren
• Firewalls & IDS schützen das Netzwerk
• Passwörter: lang, zufällig, einzigartig
• MFA ist Pflicht
• Logs + Monitoring = Angriffserkennung
• Netzwerksegmentierung begrenzt Schäden
• Backups sichern die Verfügbarkeit
• Sicherheit ist ein kontinuierlicher Prozess