- Technischer Datenschutz
-
Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und -lagernden Systemen, welche die Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von Schäden und der Minimierung von Risiken. In der Praxis orientiert sich die Informationssicherheit heute unter anderem an der ISO/IEC Standard-Reihe 2700x aber auch zunehmend an ISO/IEC 15408 bzw. Gemeinsame Kriterien zur Evaluierung von IT-Sicherheit (bzw. Common Criteria). Der deutsche Anteil an dieser Normungsarbeit wird vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut.
Der Begriff bezieht sich oft auf eine globale Informationssicherheit, bei der die Zahl der möglichen schädlichen Szenarien summarisch reduziert ist oder der Aufwand zur Kompromittierung für den Betreiber in einem ungünstigen Verhältnis zum erwarteten Informationsgewinn steht. In dieser Sichtweise ist die Informationssicherheit eine ökonomische Größe, mit der z. B. in Betrieben und Organisationen gerechnet werden muss. Daneben bezieht sich der Begriff auch auf die Sicherheit unter einem bestimmten Szenarium. In diesem Sinn liegt Informationssicherheit vor, wenn über einen bereits bekannten Weg kein Angriff auf das System mehr möglich ist. Man spricht von einer binären Größe, weil die Information beim Anwenden dieser speziellen Methode entweder sicher oder nicht sicher sein kann.[1]
Die Informationssicherheit umfasst neben der Sicherheit der IT-Systeme und der darin gespeicherten Daten auch die Sicherheit von nicht elektronisch verarbeiteten Informationen.
Schutzziele
Die Schutzziele der IT-Sicherheit beziehen sich auf unterschiedliche Arten von Daten und Zustände, die abgesichert werden müssen.
- Datenschutz
- Es geht hierbei nicht um den Schutz von allgemeinen Daten vor Schäden, sondern um den Schutz persönlicher Daten vor Missbrauch.
- Der Schutz personenbezogener Daten stützt sich auf das Prinzip der informationellen Selbstbestimmung. Diese wurde im BVerfG-Urteil zur Volkszählung festgeschrieben. Geschützt werden muss dabei die Privatsphäre, d. h. Persönlichkeitsdaten bzw. Anonymität müssen gewahrt bleiben (Geregelt in Datenschutzgesetzen (z. B. Bundesdatenschutzgesetz)).
- Informationssicherheit (auch Datensicherheit); bezieht sich auf alle relevanten Informationen einer Organisation oder eines Unternehmens einschließlich personenbezogener Daten
- Vertraulichkeit: Daten dürfen lediglich von autorisierten Benutzern gelesen bzw. modifiziert werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der Datenübertragung.
- Integrität: Daten dürfen nicht unbemerkt verändert werden, resp. es müssen alle Änderungen nachvollziehbar sein.
- Verfügbarkeit: Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet werden.
- Randthemen und verwandte Begriffe
- Authentizität: Echtheit und Glaubwürdigkeit einer Person oder eines Dienstes müssen überprüfbar sein.
- Zurechenbarkeit (engl. accountability): „Eine durchgeführte Handlung kann einem Kommunikationspartner eindeutig zugeordnet werden.“[2]
- Verbindlichkeit/Nichtabstreitbarkeit (engl. non-repudiation): Sie erfordert, dass „kein unzulässiges Abstreiten durchgeführter Handlungen“ möglich ist.[2] Sie ist unter anderem wichtig beim elektronischen Abschluss von Verträgen. Erreichbar ist sie beispielsweise durch elektronische Signaturen. [3]
- Nicht-Anfechtbarkeit: der Nachweis, dass eine Nachricht versendet und empfangen worden ist (Authentizität/Nachweisbarkeit)
- Zugriffssteuerung: Reglementierung des Zugriffes von außen
- in bestimmtem Kontext (z. B. im Internet) auch Anonymität
- IT-Sicherheit; Einrichtung und Aufrechterhaltung geeigneter betrieblicher und technischer Maßnahmen, um die Einhaltung der Schutzziele der Informationssicherheit bei IT-gestützter Verarbeitung von Informationen zu gewährleisten
- Funktionalität: Hardware und Software sollen erwartungsgemäß funktionieren.
- Einhaltung der betrieblichen Prozesse
- Einrichtung geeigneter Sicherheitstechniken (Firewall, Zugriffschutz, Intrusion Detection, …)
- Vorsorgemaßnahmen zur möglichst reibungslosen Weiterführung bzw. Wiederaufnahme der Produktion nach Störungen
Teilaspekte
Folgende Aspekte sind in einer umfassenden Informationssicherheit zumindest teilweise enthalten:
- IT-Sicherheit bezeichnet die Sicherheit von technischen Systemen der Informations- und Kommunikationstechnologie.
Grundsätzlich wird unter IT-Sicherheit der Zustand eines IT-Systems (oder auch einer Organisation) verstanden, in dem die Risiken, die bei jedem IT-Einsatz bestehen, durch angemessenen Maßnahmen auf ein tragbares Maß reduziert wurden.
Verwandte Begriffe sind:
- Computersicherheit: die Sicherheit eines Computersystems vor Ausfall und Manipulation (Datensicherheit) sowie vor unerlaubtem Zugriff (Datenschutz)
- Netzwerksicherheit (Eher ein Teilaspekt der Computersicherheit)
- Datensicherheit ist ein aus dem Datenschutz stammender Begriff mit dem Ziel, Daten jeglicher Art in ausreichendem Maße vor Verlust, Manipulationen, unberechtigter Kenntnisnahme durch Dritte und anderen Bedrohungen zu schützen. Dabei sind auch nicht dem Datenschutz unterliegende Daten eingeschlossen. Hinreichende Datensicherheit ist eine Voraussetzung für effektiven Datenschutz. Nur wenn geeignete Schutzmaßnahmen getroffen werden, kann man davon ausgehen, dass vertrauliche bzw. personenbezogene Daten nicht in die Hände von Unbefugten gelangen. Hierbei spricht man in der Regel von technischen und organisatorischen Maßnahmen zum Datenschutz, welche in der Anlage zum § 9 BDSG und in den Landesdatenschutzgesetzen beschrieben sind.
- Datensicherung ist ein Synonym für Backup. Er war jedoch der ursprüngliche datenschutzrechtliche Begriff für Datensicherheit.
Bedeutung der Informationssicherheit
In den frühen Kindertagen des (Personal-)Computers verstand man unter Computersicherheit die Sicherstellung der korrekten Funktionalität von Hardware (Ausfall von z. B. Bandlaufwerken oder anderen mechanischen Bauteilen) und Software (richtige Installation und Wartung von Programmen). Mit der Zeit änderten sich die Anforderungen an die Computer (Internet, Speichermedien); die Aufgaben zur Computersicherheit mussten anders gestaltet werden. Somit bleibt der Begriff der Computersicherheit wandelbar und Spiegel der momentanen technologischen Welt.
Private und öffentliche Unternehmen sind heute in allen Bereichen ihrer Geschäftstätigkeit, Privatpersonen in den meisten Belangen des täglichen Lebens auf IT-Systeme angewiesen. Da neben der Abhängigkeit auch die Risiken für IT-Systeme in Unternehmungen i. d. R. größer sind als für Computer und Netzwerke in privaten Haushalten, wird Informationssicherheit überwiegend in Unternehmen betrieben. Entsprechende Verpflichtungen lassen sich im gesamten deutschsprachigen Raum aus den verschiedenen Gesetzen zum Gesellschaftsrecht, Haftungsrecht, Datenschutz, Bankenrecht usw. herleiten. Dort stellt Informationssicherheit einen Baustein des Risikomanagements dar. International spielen Vorschriften wie Basel II und der Sarbanes-Oxley Act eine wichtige Rolle.
Bedrohungen
Effekte oder Ziele
- Technischer Systemausfall
- Systemmissbrauch, durch illegitime Ressourcennutzung, Veränderung von publizierten Inhalten, etc.
- Sabotage
- Spionage
- Betrug und Diebstahl
Ursachen oder Mittel
- Höhere Gewalt, zum Beispiel in Form von Blitzschlag, Feuer oder Überschwemmung
- Fehlbedienung durch Personal oder zugangsberechtigte Personen
- Computerviren, Trojaner und Würmer, die zusammengefasst als Malware bezeichnet werden
- Spoofing, Phishing, Pharming oder Vishing, bei dem eine falsche Identität vorgetäuscht wird
- Denial of Service-Angriff
- Man-in-the-middle-Angriffe beziehungsweise Snarfing
- Social Engineering
Viren, Würmer, Trojanische Pferde
Während im Firmenumfeld die ganze Themenbreite der Computersicherheit Beachtung findet, verbinden viele Privatanwender mit dem Begriff primär den Schutz vor Viren und Würmern oder Spyware wie Trojanischen Pferden.
Die ersten Computerviren waren noch recht harmlos und dienten lediglich dem Aufzeigen diverser Schwachstellen von Computersystemen. Doch recht bald erkannte man, dass Viren zu weitaus mehr in der Lage sind. Es begann eine rasante Weiterentwicklung der Schädlinge und der Ausbau ihrer Fähigkeiten – vom simplen Löschen von Dateien über das Ausspionieren von Daten (z. B. von Passwörtern) bis hin zum Öffnen des Rechners für entfernte Benutzer (Backdoor).
Mittlerweile existieren diverse Baukästen im Internet, die neben einer Anleitung auch alle notwendigen Bestandteile für das einfache Programmieren von Viren liefern. Nicht zuletzt schleusen kriminelle Organisationen Viren auf PCs ein, um diese für ihre Zwecke (UBE / UCE, DoS-Attacken, etc.) zu nutzen. So entstanden bereits riesige Bot-Netze, die auch illegal vermietet werden.
Angriffe und Schutz
Unter einem Angriff auf den Datenschutz und/oder Datensicherheit (repräsentiert durch z. B. ein Computersystem) versteht man jede Aktion/Vorgang, dessen Folge oder Ziel ein Verlust des Datenschutzes und/oder der Datensicherheit ist. Auch technisches Versagen wird in diesem Sinne zunächst einmal als Angriff gewertet.
Statistische Sicherheit: Ein System wird dann als sicher bezeichnet, wenn der Aufwand für das Eindringen in das System höher ist als der daraus resultierende Nutzen für den Angreifer. Deshalb ist es wichtig, die Hürden für einen erfolgreichen Einbruch möglichst hoch zu setzen und damit das Risiko zu reduzieren.
Absolute Sicherheit: Ein System ist dann absolut sicher, wenn es jedem denkbaren Angriff widerstehen kann. Die absolute Sicherheit kann nur unter besonderen Bedingungen erreicht werden, die die Arbeitsfähigkeit des Systems oft erheblich einschränken (isolierte Systeme, wenige und hochqualifizierte Zugriffsberechtigte).
Der Mangel an Computersicherheit ist eine vielschichtige Bedrohung, die nur durch eine anspruchsvolle Abwehr beantwortet werden kann. Der Kauf einer Software ist kein Ersatz für eine umsichtige Analyse der Risiken, möglicher Verluste, der Abwehr und von Sicherheitsbestimmungen.
Ist einmal die Sicherheit eines Systems verletzt worden, muss es als kompromittiert betrachtet werden, was Maßnahmen zur Verhinderung weiterer Schäden und zur Datenrettung erfordert.
Maßnahmen
Die Maßnahmen müssen im Rahmen der Erstellung eines Sicherheitskonzeptes an den Wert der zu schützenden Daten angepasst werden. Zu viele Maßnahmen führen zu Kosten- und Akzeptanzproblemen, bei zu wenig Maßnahmen bleiben „lohnende“ Sicherheitslücken offen.
Management
Informationssicherheit ist grundsätzlich eine Aufgabe der Leitung einer Organisation oder eines Unternehmens und sollte nach einem Top-Down Ansatz organisiert sein. Insbesondere die Verabschiedung von Informationsschutz- und Sicherheitsrichtlinien (Security Policy) ist Aufgabe des obersten Managements. Weitere Aufgabe des Managements ist die Installation eines Sicherheitsmanagementsystems. Dieses ist für die operative Umsetzung und Kontrolle der Security Policy zuständig. Durch diese Maßnahmen sollen geeignete Organisations- und Managementstrukturen geschaffen werden.
Operative Maßnahmen
Maßnahmen sind unter anderem physische beziehungsweise räumliche Sicherung von Daten, Zugriffskontrollen, das Aufstellen fehlertoleranter Systeme und Maßnahmen der Datensicherung und die Verschlüsselung. Wichtige Voraussetzung ist die Sicherheit der verarbeitenden Systeme. Ein effektives Sicherheitskonzept berücksichtigt jedoch neben technischen Maßnahmen auch organisatorische und personelle Maßnahmen.
Zu den Sicherheitsmaßnahmen, die von jedem Verantwortlichen für die Informationssicherheit in Unternehmen, aber vor allem auch von jedem privaten Nutzer von Computern und Netzwerken in Privathaushalten für die Informationssicherheit getroffen werden können, gehören unter anderem die folgenden Punkte.
Software aktualisieren
Für viele Programme werden Aktualisierungen angeboten. Diese bieten nicht immer nur eine erweiterte oder verbesserte Funktionalität, sondern beheben häufig auch schwere Sicherheitslücken. Besonders betroffen sind alle Programme, die Daten mit dem Internet austauschen, wie zum Beispiel Betriebssysteme, Browser, Schutzprogramme oder E-Mail-Programme. Die Aktualisierungen sollten so schnell wie möglich auf den entsprechenden Rechnersystemen installiert werden. Viele Programme bieten eine automatische Funktion an, die die Aktualisierung im Hintergrund ohne das Eingreifen des Benutzers bewerkstelligt, indem die neue Software direkt aus dem Internet geladen wird. Bei langsamen Datenverbindungen oder sehr großen Datenmengen ist es ratsam, die Aktualisierungen von Massenspeichern, wie zum Beispiel CDs oder DVDs, zu laden.
Antiviren-Software verwenden
Wenn Daten aus dem Internet oder von Mailservern heruntergeladen oder von Datenträgern kopiert werden, besteht immer die Möglichkeit, dass sich darunter auch schädliche Dateien befinden. Um dies zu vermeiden, muss ein sogenanntes Antivirenprogramm installiert werden. Auch bei dieser Software ist darauf zu achten, dass sie regelmäßig (unter Umständen sogar mehrmals täglich) aktualisiert wird. Schadprogramme sind in der Regel auf spezielle Betriebssysteme oder Browser ausgerichtet.
Diversifikation
Eine weitere Maßnahme zur Reduktion der Gefahren besteht in der Diversifizierung von Software, also darin, Software von verschiedenen, auch nicht marktführenden Anbietern zu verwenden. Die Angriffe von Crackern zielen oftmals auf Produkte von großen Anbietern, weil sie bei kriminellen Angriffen damit den größten Gewinn erzielen und ansonsten gegebenenfalls den größten „Ruhm“ erlangen. Insofern kann es ratsam sein, auf Produkte von kleineren und weniger bekannten Unternehmen oder zum Beispiel auf Open-Source-Software zurückzugreifen.
Firewalls verwenden
Für Angriffe, die ohne das aktive Zutun des Nutzers drohen, ist es unerlässlich eine Netzwerk-Firewall oder Personal Firewall zu installieren. Viele unerwünschte Zugriffe auf den Computer und unbeabsichtigte Zugriffe vom eigenen Computer, die vom Benutzer meist gar nicht bemerkt werden, können auf diese Weise verhindert werden. Die Konfiguration einer Firewall ist nicht trivial und erfordert eine gewisse Kenntnis der Vorgänge und Gefahren.
Eingeschränkte Benutzerrechte verwenden
Der Systemadministrator darf tiefgehende Änderungen an einem Computer durchführen. Das erfordert entsprechende Kenntnis der Gefahren, und es ist für normale Benutzer alles andere als ratsam, mit den Rechten eines Administrators im Internet zu surfen, Dateien oder E-Mails herunterzuladen. Moderne Betriebssysteme verfügen daher über die Möglichkeit, die Benutzerrechte einzuschränken, so dass zum Beispiel Systemdateien nicht verändert werden können. Von diesen Möglichkeiten ist unbedingt Gebrauch zu machen!
Aktive Inhalte deaktivieren
Bei aktiven Inhalten handelt es sich um Funktionalitäten, die die Bedienung eines Computers vereinfachen sollen. Das automatische Öffnen beziehungsweise Ausführen von heruntergeladenen Dateien birgt jedoch die Gefahr, dass diese schädlichen Code ausführen und den Rechner infizieren. Um dies zu vermeiden, sollten aktive Inhalte, wie zum Beispiel ActiveX, Java oder JavaScript, soweit wie möglich deaktiviert werden.
Sensible Daten verschlüsseln
Daten, die nicht in die Hände Dritter geraten sollen, müssen durch geeignete Maßnahmen, wie zum Beispiel PGP oder Device-Encryption-Software verschlüsselt werden (siehe auch Kryptographie). Dies betrifft nicht nur Daten, die zwischen zwei bestimmten Rechnern ausgetauscht werden, sondern auch entsprechende Daten, die sich auf Massenspeichern befinden, und beim Übertragen sensibler Daten, wie zum Beispiel Kreditkartennummern, während des Surfens im Internet (siehe auch HTTPS). Ein Zugriff auf die Inhalte darf nur dann möglich sein, wenn die Beteiligten über den richtigen Schlüssel verfügen. Besonders gefährdet sind unverschlüsselte, kabellose Netze, wie zum Beispiel nicht konfigurierte WLANs, da hierbei Unbefugte unbemerkt Zugriff auf die Daten und sogar die Kontrolle über den ungeschützten Computer erlangen können.
Passwörter, persönliche Identifikationsnummern (PIN) und Transaktionsnummern (TAN) sollten nicht unverschlüsselt gespeichert oder übertragen werden.
Sicherungskopien erstellen
Von jeder Datei, die wichtig ist, muss mindestens eine Sicherungskopie auf einem separaten Speichermedium angefertigt werden. Hierzu gibt es zum Beispiel Backup-Software, die diese Aufgaben regelmäßig und automatisch erledigt. Es können ebenso RAID-Systeme verwendet werden, die besonders bei großen Datenmengen und häufig sich ändernden Daten eine gute Erweiterung zum herkömmlichen Backup darstellen.
Protokollierung
Automatisch erstellte Protokolle oder Logdateien können dabei helfen, zu einem späteren Zeitpunkt zu ermitteln, wie es zu Schäden an einem Rechnersystem gekommen ist.
Sichere Entwicklungssysteme und Laufzeitumgebungen verwenden
Für die Generierung und Wartung sicherer Software ist es sehr nützlich, schon bei der Entwicklung leicht überschaubare und erlernbare Werkzeuge zu verwenden, die möglichst enggefasste Sichtbarkeitsregeln und gekapselte Programmmodule mit eindeutig definierten Schnittstellen erlauben. Durch eingeschränkte Freiheiten bei der Programmierung, wie zum Beispiel die Beschränkung auf einfache Vererbung oder das Verbot von Zirkelbezügen oder kritischen Typumwandlungen, wird in der Regel gleichzeitig auch das Potential von Programmfehlern eingeschränkt. Dabei ist es auch sinnvoll und hilfreich, bereits getestete Software durch geeignete Maßnahmen wiederzuverwenden, wie zum Beispiel durch die Verwendung von Prozeduren oder objektorientierten Datenstrukturen.
Entwickler von Software, die zum sicheren Datenaustausch zwischen Rechnern eingesetzt wird, müssen moderne Entwicklungssysteme und Programmiersprachen einsetzen, da ältere Systeme häufig Sicherheitslücken haben und nicht über die entsprechende Sicherheitsfunktionalität verfügen. Sichere Software ist nur in entsprechenden, modernen und sicheren Laufzeitumgebungen lauffähig und sollte mit Entwicklungswerkzeugen (wie zum Beispiel Compilern) erstellt werden, die ein möglichst hohes Maß an inhärenter Sicherheit bieten, wie zum Beispiel Modulsicherheit, Typsicherheit oder die Vermeidung von Pufferüberläufen.
Auch bei Geräten, die nicht in einem Rechnernetz betrieben werden, kann die Informationssicherheit durch geeignete Entwicklungssysteme und Laufzeitumgebungen erhöht werden. Datenverlust durch unzuverlässigen Programmcode (Computerabsturz) kann vorbeugend zum Beispiel durch compilergenerierte Überprüfung von Indizes von Datenfeldern oder unzulässigen Zeigern, oder aber auch nach dem Auftreten von Programmfehlern durch Ausnahmebehandlung in der Laufzeitumgebung vermieden werden. Ferner ist es in objektorientierten Laufzeitumgebungen unerlässlich, eine automatische Speicherbereinigung durchzuführen.
Ferner ist es möglich, bereits implementierte Software durch bestimmte Verfahren, wie zum Beispiel die Verwendung von Proof-Carrying Code, erst während der Laufzeit zu überprüfen und deren Ausführung bei der Nichteinhaltung von Sicherheitsrichtlinien zu verhindern.
Sensibilisierung der Mitarbeiter
Ein wichtiger Aspekt in der Umsetzung von Sicherheitsrichtlinien ist die Ansprache der eigenen Mitarbeiter, die Bildung von sogenannter IT-Security-Awareness. Hier fordern die ersten Arbeitsrichter den Nachweis der erfolgten Mitarbeitersensibilisierung für den Fall eines etwaigen Verstoßes gegen die Firmenrichtlinien. Zusätzliche Bedeutung bekommt diese menschliche Seite der Informationssicherheit außerdem, da Industriespionage oder gezielte, wirtschaftlich motivierte Sabotage gegen Unternehmen nicht allein mit technischen Mitteln ausgeführt werden. Um ihren Opfern zu schaden oder Informationen zu stehlen, nutzen die Angreifer beispielsweise Social Engineering, das nur abzuwehren ist, wenn die Mitarbeiter über mögliche Tricks der Angreifer orientiert sind und gelernt haben, mit potenziellen Angriffen umzugehen. Die Mitarbeitersensibilisierung variiert typischerweise von Unternehmen zu Unternehmen von Präsenzveranstaltungen über webbasierte Seminare bis hin zu Sensibilisierungskampagnen.
Audits/Überprüfung
Um ein gewisses Standardmaß an Informationssicherheit zu gewährleisten, ist die regelmäßige Überprüfung von Maßnahmen zur Risikominimierung und -dezimierung Pflicht. Auch hier rücken wieder organisatorische und technische Aspekte in den Vordergrund.
Technische Sicherheit kann zum Beispiel durch Maßnahmen wie regelmäßige Penetrationstests oder vollständige Sicherheitsaudits erreicht werden, um eventuell bestehende Sicherheitsrisiken im Bereich von informationstechnischen Systemen, Applikationen und/oder in der informationstechnischen Infrastruktur zu erkennen und zu beseitigen.
Organisatorische Sicherheit kann durch Audits der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden. Beispielsweise können vordefinierte Testschritte beziehungsweise Kontrollpunkte eines Prozesses während eines Audits getestet werden.
Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur weiteren Risikominimierung beziehungsweise -dezimierung ableiten. Eine Methodik wie in diesem Absatz beschrieben, ist unmittelbar konform zu Normen wie ISO 27001, BS7799 oder gesetzlichen Vorschriften. Hier wird meist eine Nachvollziehbarkeit über Vorgänge der Informationssicherheit unmittelbar eingefordert, indem Unternehmen ein Risikomanagement abverlangt wird.
Standards und „best practices“ im Überblick
Zur Bewertung und Zertifizierung (Qualitätsmanagement) der Sicherheit von Computersystemen existieren internationale Normen. Wichtige Normen in diesem Zusammenhang sind vor allem die amerikanischen TCSEC- und die europäischen ITSEC-Standards sowie der neuere Common Criteria-Standard. Die Zertifizierung erfolgt in Deutschland in der Regel durch das Bundesamt für Sicherheit in der Informationstechnik.
- IT-Grundschutz-Kataloge des BSI
Die IT-Grundschutz-Kataloge definieren für die verschiedenen Aspekte einer IT-Landschaft konkrete Maßnahmen, die zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen (Waschzettel). Die Grundschutz-Kataloge sind primär in Deutschland bekannt, liegen allerdings auch englischsprachig vor.
- ISO/IEC 27001: Normenreihe für Informationsicherheitsmanagementsysteme (ISMS)
- ISO/IEC 27002:2005: Leitfaden für das Informationssicherheitsmanagement (vormals ISO/IEC17799:2005, geändert durch Technical Corrigendum 1 vom 1. Juli 2007)
- BS 7799-1
- BS 7799-2
- ITIL
- BS 15000
- ISO 20000: IT-Service-Management
- CobiT
- ISO 13335: Normenreihe zum Sicherheitsmanagement in der Informations- und Kommunikationstechnik
- ISO 27799: Health informatics – Security management in health using ISO 17799 speziell für den Gesundheitsbereich
- Common Criteria for Information Technology Security Evaluation
- Trusted Computer System Evaluation Criteria
- Information Technology Security Evaluation Criteria
Mittlerweile hat sich der British Standard BS7799 Leitfaden zum Management von Informationssicherheit durchgesetzt, der 1995 zum ersten Mal veröffentlicht wurde.
Entwicklung der ISO/IEC-Standards
Im Rahmen der Standardisierung wurde in der Zusammenarbeit von ISO und IEC beschlossen, verschiedene Standards zur Informationssicherheit unter dem Nummernkreis 2700x (Information technology – Security techniques) zusammen zu fassen. Daneben existiert noch eine ganze Reihe weiterer ISO/IEC-Standards, wie auch ISO/IEC 15408 bzw. Gemeinsame Kriterien zur Evaluierung von IT-Sicherheit (bzw. Common Criteria). Der deutsche Anteil an dieser Normungsarbeit wird vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut.
- ISO/IEC FCD 27000 – Information security management systems – Overview and vocabulary; in Arbeit
- ISO/IEC 27001:2005 – Information security management systems – Requirements; hervorgegangen aus Teil 2 des British Standard BS7799
- ISO/IEC 27002:2005 – Code of practice for information security management; hervorgegangen aus Teil 1 des British Standard BS7799
- ISO/IEC 27003 – Information security management systems – Implementation Guidelines; in Arbeit
- ISO/IEC CD 27004 – Information security management measurements; in Arbeit
- ISO/IEC FCD 27005 – Information security risk management; in Arbeit
Die ISO/IEC 27002:2005 führt in zwölf Aufgabenfelder Vorgaben für Risikoanalyse und -bewältigung (Section 4) und insgesamt 123 Kontrollpunkte auf, die zum Teil sehr konkrete Handlungsanweisungen (Implementation guidance) enthalten (Section 5–15). Da der Standard technikneutral ist, sind diese Handlungsanweisungen jedoch auf der konzeptionellen Ebene und müssen für den konkreten Anwendungsfall auf organisatorische, betriebliche und technische Maßnahmen heruntergebrochen werden. Im Bereich der technischen Sicherheitsmaßnahmen lässt sich die ISO/IEC 17799 sinnvoll durch die IT-Grundschutz-Kataloge des Bundesamts für Sicherheit in der Informationstechnik ergänzen.
Aus Teil 2 von BS7799 hat sich der ISO/IEC Standard 27001:2005 entwickelt. Er spezifiziert die Anforderungen an ein Information Security Management System (ISMS) und ist, vergleichbar zu ISO 9001, ein Management-Standard, nach dem auch zertifiziert werden kann. Die ISO/IEC-Standards zur Informationssicherheit sollen sukzessive erweitert werden: Vier weitere Standards der 27000-er Reihe sind bereits in Entwicklung, weitere in Planung.
Neben den Standards zur Informationssicherheit gibt es auch Standards für die Ausbildung von Sicherheitsfachkräften. Als wichtigste sind zu nennen die Zertifizierungen zum CISM (Certified Information Security Manager) und CISA (Certified Information Systems Auditor) der ISACA (Information Systems Audit and Control Association), die Zertifizierung zum CISSP (Certified Information Systems Security Professional) des (ISC)² (International Information Systems Security Certification Consortium) sowie die GIAC-Zertifizierungen des SANS Institute.
Umsetzungsbereiche
Privathaushalte
Programmierfehler in fast jeder Software machen es quasi unmöglich, Sicherheit vor jeder Art von Angriffen zu erreichen. Durch den Anschluss von Computern mit sensiblen Daten (z. B. Homebanking, Bearbeitung der Dissertation) an das Internet sind diese Schwachstellen auch von außen nutzbar. Der Standard an IT-Sicherheit in Privathaushalten ist geringer, da kaum ausreichende Maßnahmen zur Absicherung der Infrastruktur (z. B. unterbrechungsfreie Stromversorgung, Einbruchsschutz) ergriffen werden.
Aber auch in anderen Bereichen besteht in privaten Haushalten weiterhin ein Defizit.
Viele private Benutzer haben noch nicht verstanden, dass es wichtig ist, die Konfiguration der genutzten Software an die jeweiligen Bedürfnisse anzupassen. So ist es bei vielen an das Internet angeschlossenen Rechnern nicht nötig, dass auf ihnen Server-Programme laufen. Da Server-Dienste von vielen Betriebssystemen in der Standardinstallation geladen werden, schließt man mit deren Deaktivierung eine Reihe wichtiger Angriffspunkte.
Sicherheitsaspekte wie zum Beispiel die Einrichtung von Zugriffsbeschränkungen, sind Benutzern ebenfalls fremd. Außerdem ist es von Bedeutung, sich über Schwachstellen in der eingesetzten Software zu informieren und regelmäßig Aktualisierungen einzuspielen.
Zur Computersicherheit gehört nicht nur der präventive Einsatz technischer Werkzeuge wie beispielsweise Firewalls, Intrusion-Detection-Systeme etc., sondern auch ein organisatorischer Rahmen in Form durchdachter Grundsätze (Policy, Strategie), die den Menschen als Anwender der Werkzeuge in das System einbezieht. Allzu oft gelingt es Hackern, durch Ausnutzung eines zu schwachen Kennworts oder durch so genanntes Social Engineering Zugang zu sensiblen Daten zu erlangen.
IT-Sicherheit bei Sparkassen und Banken
Zur Beschleunigung des Prozesses und Hervorhebung der Wichtigkeit haben unter anderem die Ergebnisse von Basel II, die Vorschriften von BaFin und des KWG sowie der einzelnen Verbandsrevisionen der Sparkassen und Banken beigetragen. Verstärkt werden sowohl externe als auch interne Prüfungen auf dieses Thema ausgelegt. Gleichzeitig entstand ein umfangreiches Dienstleistungsangebot zur Durchführung verschiedener Projekte, die einen IT-Sicherheitsprozesses in Unternehmen etablieren sollen. Anbieter sind sowohl innerhalb der jeweiligen Unternehmensgruppe als auch auf dem externen Markt zu finden. Bei anderen Finanzdienstleistungsinstituten, Versicherungsunternehmen und den Unternehmen des Wertpapierhandels wird das Konzept im Allgemeinen identisch sein, wobei hier zum Beispiel auch andere Gesetze eine Rolle spielen können.
IT-Sicherheit bei anderen Unternehmen
Auch wenn die Gesetzgebungen und Prüfungen in weiteren Sektoren der Wirtschaft weniger streng sind behält die IT-Sicherheit trotzdem auch hier ihren Stellenwert. Hilfestellungen gewähren hier die IT-Grundschutz-Kataloge des BSI, deren Nutzung kostenfrei ist.
Risikomanagement in Unternehmen = IT-risk management
In unserer heutigen IT-Welt ist einerseits die Dezentralisierug durch Abgabe von Kapazitäten aber auch die Vernetzung verschiedener Niederlassungen, bzw. bei Firmenzukäufen deren Anbindung an das bestehende zentrale System von immer größerer Bedeutung.
Aus dieser Thematik erfolgen neue Anforderungen an die bestehenden Sicherheitskonzepte. Denn bei der Datenübertragung aus einem internen, geschlossenen Kreislauf über eine externe (öffentliche) Verbindung zum anderen Standort, schafft risikobehaftete Situationen. Die Auswirkungen für Unternehmen bestehen in:
- Verlust von Daten,
- Manipulation von Daten,
- unzuverlässiger Empfang von Daten,
- verspätete Verfügbarkeit von Daten,
- Abkopplung von Systemen für das operative Geschäft,
- unzulässige Verwertung von Daten,
- fehlende Entwicklungsfähigkeit der eingesetzten Systeme.
Aber nicht nur im firmeninternen Datenaustausch liegt die Gefahr, es werden zunehmend Anwendungen direkt zu den Nutzern übertragen, oder aber externe Mitarbeiter oder gar outgesourcten Dienstleistern auf im Unternehmen gespeicherte Daten zuzugreifen und diese zu bearbeiten und zu verwalten. Für deren Zugriffsberechtigung muss eine Authentisierung ebenso erfolgen können, wie eine Dokumentation der getätigten und veränderten Aktionen.
Dazu kommen die gesetzlichen Vorgaben, die ebenfalls in das IT-Sicherheitskonzept mit integriert werden müssen. Die entsprechenden Gesetze werden von externen und internen Prüfern kontrolliert. Da keine Methoden definiert worden sind, um diese Ergebnisse zu erreichen, wurden hier für die jeweiligen Bereiche verschiedenen „Best-Practice“-Methoden entwickelt, wie z. B. ITIL, Cobit, ISO oder Basel II.
Hier gilt der Ansatz, ein Unternehmen so zu führen und zu kontrollieren, dass die relevanten und möglichen Risiken abgedeckt sind. Als Standard für die sogenannte IT Governance sind einmal die zwingenden, sprich Gesetze (HGB, AO, GOB) und Fachgutachten (SOA, 8. EU-Audit-Richtlinie) und die unterstützenden („Best Practice Metheode“) zu sehen.
Das bedeutet diese Risiken zu identifizieren, analysieren und bewerten. Um darauf aufbauend die Erstellung eines ganzheitlichen Sicherheitskonzeptes zu ermöglichen. Das beinhaltet nicht nur die eingesetzten Technologien, sondern auch organisatorische Maßnahmen, wie Zuständigkeiten, Berechtigungen, Kontrollinstanzen oder konzeptionelle Aspekte wie etwa Mindestanforderungen für bestimmte Sicherheitsmerkmale zu definieren.
So werden nun an die EDV besondere Anforderungen gestellt:
- Verhinderung von Manipulationen
- Nachweis von Eingriffen
- Installation von Frühwarnsystemen
- Interne Kontrollsysteme
Dabei ist zu beachten, dass die Daten der Automation derart gespeichert werden, dass sie jederzeit lesbar, nachvollziehbar und konsistent sind. Dazu müssen diese Daten vor Manipulation und Löschung geschützt werden. Jegliche Änderung soll ein Versionsmanagement auslösen und die Reporte und Statistiken über die Prozesse und deren Änderungen müssen direkt zentral abrufbar sein.
Eine Abhilfe können hier hochentwickelte Automatisierungslösungen sein. Dadurch, dass weniger manuelle Eingriffe notwendig sind, werden potentielle Gefahrenquellen ausgeschlossen. Die RZ-Automation umfasst somit folgende Gebiete:
- Risikofaktor Prozessablauf
- Risikofaktor Ressourcen
- Risikofaktor Technologie
- Risikofaktor Zeit
IT-Sicherheit in öffentlichen Einrichtungen und Behörden
In diesem Bereich sind die IT-Grundschutz-Kataloge des BSI Standardwerke. In großem Maße erhalten diese Stellen das zugehörige GSTOOL, welches die Durchführung deutlich vereinfacht, kostenlos.
Strafrechtliche Aspekte
Jegliches rechtswidrige Verändern, Löschen, Unterdrücken oder Unbrauchbar-Machen fremder Daten erfüllt den Tatbestand nach § 303a StGB (Datenveränderung). In besonders schweren Fällen ist dies auch nach § 303b I Nr. 1 StGB („Computersabotage“) strafbar und wird mit Haftstrafe von bis zu fünf Jahren oder Geldstrafe bestraft. Die Durchführung von DDOS-Attacken stellt seit 2007 ebenfalls eine Computersabotage dar, gleiches gilt für jegliche Handlungen, die zur Beschädigung eines Informationssystems, das für einen anderen von wesentlicher Bedeutung ist, führen.
Das Ausspähen von Daten (§ 202a StGB), also die Erlangungs des Zugangs zu fremden Daten, die hiergegen besonders geschützt sind, wird mit Haftstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. Das Abfangen fremder Daten in Netzen oder aus elektromagnetischen Abstrahlungen ist seit 2007 ebenfalls strafbar, anders als bei § 202a StGB kommt es hier nicht auf eine besondere Zugangssicherung an. Das sich Verschaffen, Erstellen, Verbreiten, Öffentlich-Zugänglichmachen etc. von sog. "Hackertools" steht ebenfalls seit 2007 unter Strafe, wenn damit eine Straftat vorbereitet wird (§ 202c StGB).
Daten sind nach § 202a Abs. 2 i.V.m. Abs. 1 aber nur vor dem Ausspähen geschützt, wenn sie „besonders gesichert“ sind, um ein Ausufern des Tatbestandes zu vermeiden. Das heißt, erst wenn der Nutzer seine Daten technisch schützt genießt er auch den strafrechtlichen Schutz. Die frühere Debatte, ob das "Hacken" ohne Abruf von Daten strafbar sei, ist hinfällig, seit der Wortlaut der Norm 2007 derart geändert wurde, dass Strafbarkeit bereits mit Erlangung des Zugangs zu Daten einsetzt. Weiter ist umstritten, ob die Verschlüsselung zur besonderen Sicherung zählt. Sie ist zwar sehr effektiv, aber es wird argumentiert, die Daten seien ja nicht gesichert sondern lägen nur in „unverständlicher“ bzw. schlicht „anderer“ Form vor.
Zitate
„Ich glaube, dass es zunehmend wahrscheinlicher wird, dass wir bis 2017 einige katastrophale Systemfehler erleben. Noch wahrscheinlicher, wir werden von einem fürchterlichen Systemausfall betroffen sein, weil irgendein kritisches System mit einem nicht-kritischen verbunden war, das mit dem Internet verbunden wurde, damit irgendjemand an MySpace herankommt – und dieses Hilfssystem wird von Malware infiziert.“
– Marcus J. Ranum, IT-Sicherheitsexperte[4], zitiert nach Niels Boeing[5]
Siehe auch
- Internetkriminalität
- Cyberwar
- Chaos Computer Club
- Europäische Agentur für Netz- und Informationssicherheit
- DIN NIA-01-27 IT-Sicherheitsverfahren
- Gutmann-Methode zum sicheren Löschen von Daten
- Sicherheitspaket
Literatur
- Clay Wilson: Botnets, Cybercrime, and Cyberterrorism: Vulnerabilities and Policy Issues for Congress (Congressional Research Service, Update v. 29. Januar 2008 – PDF, 43 S., 260 kB)
- Bundesamt für Sicherheit in der Informationstechnik: IT-Sicherheitsmanagement und IT-Grundschutz BSI-Standards zur IT-Sicherheit. Bundesanzeiger 2005, ISBN 3-89817-547-2
- Steffen Wendzel, Johannes Plötner: Praxisbuch Netzwerksicherheit. Galileo Computing, 2007, ISBN 978-3-89842-828-6
- Dieter Burgartz, Ralf Röhrig: Information Security Management – Praxishandbuch für Aufbau, Zertifizierung und Betrieb. Vierteljährliche Aktualisierung, TÜV Media GmbH, ISBN 978-3-8249-0711-3
- Claudia Eckert: IT Sicherheit. 5. Auflage 2008, Oldenbourg, ISBN 978-3-486-58270-3
- ENISA Quarterly on Secure Software
- Gabriela Hoppe, Andreas Prieß: Sicherheit von Informationssystemen. Gefahren, Maßnahmen und Management im IT-Bereich. Verlag Neue Wirtschafts-Briefe 2003, ISBN 3-482-52571-4
- Heinrich Kersten, Klaus-Dieter Wolfenstetter: Handbuch der Informations- und Kommunikationssicherheit Fachverlag Deutscher Wirtschaftsdienst GmbH & Co. KG, Köln, 2000, ISBN 3871564036
- Stefan Kleinermann: Schlüsselelemente der IT-Sicherheit aus Sicht des IT-Sachverständigen proliteratur 2005, ISBN 3-8661113-8-X
- Hans-Peter Königs: IT-Risiko-Management mit System Vieweg 2005, ISBN 3528058757 (Ausführliche Rezension)
- Michael Mörike: IT-Sicherheit. dpunkt 2004, ISBN 3-89864-290-9
- Michael Mörike, Stephanie Teufel: Kosten und Nutzen IT-Sicherheit. dpunkt 2006, ISBN 3-89864-380-8
- Ulrich Moser: Information Security. Sicherheitskonzepte für Unternehmen. BPX.ch ICT-Fachverlag, Rheinfelden 2005, ISBN 3905413388
- Klaus-Rainer Müller: IT-Sicherheit mit System. 3. Auflage. Vieweg, 2008, ISBN 3-8348-0368-5
- Klaus-Rainer Müller: Handbuch Unternehmenssicherheit. Vieweg, 2005, ISBN 3-528-05889-7
- Hartmut Pohl, Gerhard Weck: Einführung in die Informationssicherheit Oldenbourg 1993, ISBN 3486220365
- Christoph Ruland: Informationssicherheit in Datennetzen VMI Buch AG, Bonn 1993, ISBN 3892380813
- Jürg Schneider: Informationssicherheit in der IT und persönliche Haftung der Verwaltungsräte Bibliothek zur Zeitschrift für Schweizerisches Recht, Beiheft 48, Helbing Lichtenhahn Verlag, Basel 2008, ISBN 978-3-7190-2802-2
- Bruce Schneier: Angewandte Kryptographie. Addison-Wesley, ISBN 3-89319-854-7
- Bruce Schneier: Beyond Fear. Springer, ISBN 0-387-02620-7
- Bruce Schneier: Secrets & Lies: IT-Sicherheit in einer vernetzten Welt. Broschiert, 2004, dpunkt Verlag, ISBN 3-89864-302-6
- Markus Schumacher: Hacker Contest. Xpert.press, ISBN 3-540-41164-X
- Clifford Stoll: Kuckucksei: Die Jagd auf die deutschen Hacker, die das Pentagon knackten. Fischer Taschenbücher, ISBN 3-596-13984-8
- Görtz, Stolp: Informationssicherheit im Unternehmen. Sicherheitskonzepte und -lösungen in der Praxis Addison-Wesley 1999, ISBN 3827314267
- Johannes Wiele: Die Mitarbeiter als Firewall: Wie Sicherheitsbewusstsein entsteht. Über interne Awareness-Kampagnen bei SAP und Cisco, LANline 7/2005, S. 56, ISSN 0942-4172
- Gerd Wolfram: Bürokommunikation und Informationssicherheit. Vieweg, Wiesbaden 1986, ISBN 3528036044
- Allgemeine IT-Sicherheits Broschüre für Konsumenten
- Hacker’s Guide. Markt und Technik, ISBN 3-8272-6522-3
- Hacking Intern. Data Becker, ISBN 3-8158-2284-X
- Sicherheitskultur im Unternehmen. Umfangreiche Artikelsammlung zur Informationssicherheit, Sicherheitskultur und Security Awareness E-Book als kostenfreier PDF-Download
- BSI: Maßnahmenkatalog und Best Practices für die Sicherheit von Webanwendungen, August 2006, PDF Download
- Andreas Pfitzmann: PDF-Scriptum Sicherheit in Rechnernetzen: Mehrseitige Sicherheit in verteilten und durch verteilte Systeme, englische Version
- Hakin9 – Hard Core IT Security Magazin ist ein Magazin das monatlich erscheint, es dokumentiert jeweils immer über die neusten Sicherheitsprobleme bzw. Lösungen.
Weblinks
- Bundesamt für Sicherheit in der Informationstechnik (BSI)
- DIN NIA-01-27 IT-Sicherheitsverfahren
- Branchenbuch IT-Sicherheit - Anbieter der IT-Sicherheit im Überblick.
- Die strafrechtliche Relevanz von IT-Sicherheitsaudits - Wege zur Rechtssicherheit vor dem Hintergrund des neuen Computerstrafrechts - von Christian Hawellek
- Computer Emergency Response Team des Deutschen Forschungsnetzes
- Sicherheit unter Windows
- Zusammenstellung – Wie mache ich meinen PC sicher? Aktuelle Version 13.7 vom 3. Februar 2008
- Ken Thompson, Reflections on Trusting Trust. Exzellenter englischer Artikel über Softwaresicherheit und deren Untergrabung, etwa durch Trojaner.
- Die Zeitschrift LANLine hält eine Sammlung von Fachartikeln zum Thema IT-Security Awareness (Sensibilisierung von Mitarbeitern) bereit.
- Sicherer Umgang mit dem Mobiltelefon - Sicherheitshinweise und Verhaltensregeln für Handy und PDA.
Einzelnachweise
- ↑ Einfache Darstellung der Informationssicherheit
- ↑ a b Carsten Bormann et al.: Vorlesungsfolien 0. In: Vorlesung Informationssicherheit 1, SS 2005, Uni Bremen. 2005-04-16. Abgerufen am 2008-08-30. Folie 25.
- ↑ Claudia Eckert: Vorlesungsfolien Kap. 2. In: Vorlesung IT-Sicherheit, WS 2002/2003, TU Darmstadt. 2004-10-20. Abgerufen am 2008-08-30. Folie 17.
- ↑ Marcus J. Ranum (Homepage)
- ↑ Niels Boeing: Blitz und Donner in der Matrix („Technology Review“, deutsche Ausgabe, 25. Januar 2008)
- Datenschutz
Wikimedia Foundation.