entwickler.de

In der 4. Ausgabe dieses mittlerweile als Standardwerk bezeichenbaren Buchs wird dem Leser der aktuelle technische Stand der IT-Sicherheitstechnik beschrieben, zielgerichtet und fundiert, mit Hinweisen auf entsprechende systematische Vorgehensweisen zur Realisierung einer sicheren Kommunikation. Dabei ist das Augenmerk auf IT-bezogene Schutzobjekte, Angriffen ausgesetzte Systemschwachstellen und angemessene Absicherungsmaßnahmen gerichtet, die letzlich die Wissensgrundlage für Schutzbedarfsanalysen, Risikoeinschätzungen bestehender Lösungen und Definition/Auswahl geeigneter Schutzmaßnahmen darstellen. Das gesamte Spektrum der IT-Sicherheit soll im Buch abgedeckt werden: Von der systematischen Definition und Beschreibung sicherheitsrelevanter Sachverhalte (Schutzziele, Systembedrohungen, Angriffsszenarien) über Absicherungs- und Verschlüsselungstechnologien bis zu internetspezifischen Risikoaspekten (hier speziell: Maskierungsangriffe bei Internetprotokollen und Diensten) wird ein weiter Bogen gespannt. So werden im Speziellen Grundlagen zu Informationstheorie, Kryptographie und (a-)symmetrischen Verfahren (DES, AES, RSA) beschrieben. Auch werden dem Leser die Absicherung digitaler Dokumente mithilfe von Hashfunktionen (SHA-1, MD5) und die Nutzung elektronischer Signaturen erläutert. Informativ sind hierbei die Hinweise auf das Signaturgesetz, auf Anforderungen an Komponenten zur Signaturerstellung sowie an Zertifizierungsdienste.
Mit der Erzeugung, Verteilung, Zertifizierung, Speicherung und Vernichtung von Schlüsseln werden die Aufgaben des Schlüsselmanagements vor dem Hintergrund der Applikabilität (PKI) erläutert. Die Authentifikation, Grundlage für die Realisierung von Integrität und Vertraulichkeit, wird an wissensbasierten (Passwort-/Challenge-Response-Verfahren), besitzbasierten (Smartcard) und biometriebasierten Verfahren behandelt. Bei Letzterem hat sich allerdings der Fehlerteufel eingeschlichen: In der Unterscheidung zwischen Identifikation (1:n-Vergleich) und Verifikation (1:1-Vergleich) sind die Definitionen irrtümlicher Weise schlichtweg vertauscht worden. Weiterhin werden die wichtigsten Rechteverwaltungs- und Zugriffskontrollverfahren mit den in Betriebssystemen realisierten Kontrollinstanzen, Speicher- und Objektschutzmechanismen vorgestellt und kritisch gewürdigt. Schließlich wird zu den netzbezogenen Sicherheitsaspekten übergegangen: Firewalls, Nutzung von Filtertabellen, Kommunikationsabsicherung durch ISO/OSI-Sicherheitsarchitektur mit Diensten und Sicherheitsmechanismen (SSL, Secure Shell, VPN), IPSec – das sind einige der zentralen Themen, die im Kapitel diskutiert werden. Im letzten Kapitel wird schließlich auf Sicherheits- und Risikoaspekte in der mobilen (GSM, UMTS) und drahtlosen Kommunikation (WLAN, Bluetooth) eingegangen und mit der Diskussion des Future Net Möglichkeiten der Internet-Weiterentwicklung skizziert.
Trotz des genannten Fehlers handelt es sich um ein Buch hoher Güte, mit Angaben zu validen, fundierten Quellen, bereits in der vorherigen 3. Auflage angemessen redigiert und für Vorgebildete durchaus angenehm zu lesen. Die Autorin, Professorin für Informatik an der TU Darmstadt mit Schwerpunkt auf Sicherheit in der Informationstechnik, bedient mit diesem Buch eher die Bedürfnisse angehender Informatiker mit soliden mathematischen Grundlagen als den "kleinen Informationshunger zwischendurch" eines Standardanwenders. Als Einführung zu gezielten Themen ist es somit Studierenden im technisch-naturwissenschaftlichen Studium sehr zu empfehlen, die Übung mit der Formalisierung mathematischer/logischer Aussagen haben.