Wie genau man sicher verschlüsselt und Verschlüsselung angreift, schildert das erste Buch. Das zweite kümmert sich um ein Management-Instrumentarium für Informationssicherheit und Datenschutz.

Geheimwissenschaft

Wie genau wird aus einem Buchstaben im Klartext das verschlüsselte Zeichen, die Chiffre? Welche Vertauschungen sollen es unmöglich machen, auf den ursprünglichen Text zu schließen, und welche Waffen haben Kryptanalysten in petto, um einen geheimen Text womöglich doch zu entschlüsseln? Wie funktioniert eine Public-Key-Infrastruktur? Welche Sicherheiten brauchen digitale Währungen? Auf diese spannenden Fragen versuchen Wolfgang Ertel und Ekkehard Löhmann, die Autoren von “Angewandte Kryptographie”, eine verständliche Antwort zu geben.

Auf ein kurzes Anfangsbeispiel zum Warmwerden folgt eine Einführung in die Terminologie der Kryptografie. Das schafft die Voraussetzungen, um im nächsten Kapitel klassische Chiffren zu diskutieren, angefangen bei der berühmten Verschiebechiffre, die man Caesar zuschreibt. Von hier aus führen die Autoren weiter zu polyalphabetischen Chiffren, die einem Klartextzeichen nicht immer dasselbe Chiffretextzeichen zuordnen. Das erschwert Angriffe, die sich etwa auf die Buchstabenhäufigkeit in einer Sprache stützen. Als historisches Beispiel dient unter anderem die bekannte Verschlüsselungsmaschine Enigma der deutschen Wehrmacht. Dabei und im Folgenden kommen des Öfteren mathematische Berechnungen zum Einsatz. Als abschließendes Beispiel für eine Stromchiffre wird dann noch das absolut unknackbare One-Time-Pad vorgestellt.

Weiter geht es mit Blockchiffren wie DES oder AES, die die Autoren im Detail erläutern. Alle bis dahin vorgestellten Methoden haben das Problem gemein, dass die Beteiligten irgendwie auf einem sicheren Weg die verwendeten Schlüssel austauschen müssen. Eine Lösung dafür bietet die Public-Key-Kryptografie, der sich ein weiteres Kapitel widmet. Es diskutiert auch einschlägige Algorithmen wie den von Diffie/Hellman und elliptische Kurven.

Neben der Geheimhaltung von Inhalten geht es bei der Kryptografie aber beispielsweise auch um die Authentifikation eines Absenders und die digitale Signatur, die ausführlich erörtert wird. Danach kommen konkrete Public-Key-Systeme wie PGP oder S/MIME zur Sprache. Elektronisches Geld und Bezahlsysteme sind Gegenstand weiterer Kapitel. Es folgen die Blockchain und ihre populärste Anwendung, die Kryptowährung Bitcoin. Dabei betrachten die Autoren auch die rechtlichen und politischen Rahmenbedingungen. Ein Kapitel über Sicherheitslücken schließt das lesenswerte Werk ab.

Sicher und geschützt

Informationssicherheit und Datenschutz – diese zwei Aspekte möchte Inge Hanschke in ihrem gleichnamigen Buch zusammenführen, und zwar sowohl, indem sie die Herausforderungen beschreibt, als auch durch praktische Hilfe und Anleitung. Zunächst definiert sie die zentralen Kategorien und stellt die einschlägigen gesetzlichen Vorschriften vor, einschließlich IT-Grundschutz und DSGVO. Im Anschluss geht es um ein Management-System, das Sicherheit und Datenschutz gewährleisten kann, ohne unverhältnismäßigen Aufwand zu erfordern. Die Autorin definiert die Ziele eines solchen Systems und arbeitet die für seinen Erfolg entscheidenden Faktoren heraus.

Das nächste Kapitel bietet einen Schritt-für-Schritt-Leitfaden. In diesem Zusammenhang stellt das Buch einen Weg vor, ein integriertes Management-System (“DS & ISIM”) für Informationssicherheit und Datenschutz aufzubauen, das auf dem Standard ISO/IEC 27001 fußt und mithilfe von Checklisten systematisch durch den Prozess leiten soll. Der folgende Buchabschnitt widmet sich Best Practices, und zwar vor allem solchen, die beim Feststellen des Schutzbedarfs, beim Risiko- und Notfallmanagement, beim Reporting und bei der Organisation von Sicherheit und Datenschutz eine Rolle spielen. Ein letztes Kapitel untersucht, wie man Enterprise Architecture Management (EAM), IT-Service-Management und Informationssicherheit unter einen Hut bringen kann.

Die Autorin vermittelt den Stoff auf sehr strukturierte und systematische Weise, was man schon daran ablesen kann, dass das Inhaltsverzeichnis vier Gliederungsebenen umfasst. Allerdings bleibt das Werk dabei meist auf einem eher abstrakten Level und meidet konkrete Beispiele. Im Ergebnis sieht sich der Leser mit zahlreichen unbestreitbaren Aussagen konfrontiert, deren eigentliche Crux aber darin besteht, sie in konkrete praktische Schritte zu übersetzen. Zudem liest sich das in einem trockenen Beraterdeutsch geschriebene Buch nicht wirklich flüssig; Schuld daran sind ein ausgeprägter Nominalstil, Abkürzungswut und ein hoher Anteil amtssprachlicher und formeller Wortgefüge.