Informationssicherheit

Informationssicherheit

Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und -lagernden Systemen, welche die Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von Schäden und der Minimierung von Risiken. In der Praxis orientiert sich die Informationssicherheit heute unter anderem an der ISO/IEC Standard-Reihe 2700x aber auch zunehmend an ISO/IEC 15408 bzw. Gemeinsame Kriterien zur Evaluierung von IT-Sicherheit (bzw. Common Criteria). Der deutsche Anteil an dieser Normungsarbeit wird vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut.

Der Begriff bezieht sich oft auf eine globale Informationssicherheit, bei der die Zahl der möglichen schädlichen Szenarien summarisch reduziert ist oder der Aufwand zur Kompromittierung für den Betreiber in einem ungünstigen Verhältnis zum erwarteten Informationsgewinn steht. In dieser Sichtweise ist die Informationssicherheit eine ökonomische Größe, mit der zum Beispiel in Betrieben und Organisationen gerechnet werden muss. Daneben bezieht sich der Begriff auch auf die Sicherheit unter einem bestimmten Szenarium. In diesem Sinn liegt Informationssicherheit vor, wenn über einen bereits bekannten Weg kein Angriff auf das System mehr möglich ist. Man spricht von einer binären Größe, weil die Information beim Anwenden dieser speziellen Methode entweder sicher oder nicht sicher sein kann.[1]

Die Informationssicherheit umfasst neben der Sicherheit der IT-Systeme und der darin gespeicherten Daten auch die Sicherheit von nicht elektronisch verarbeiteten Informationen.

Inhaltsverzeichnis

Schutzziele

Die Schutzziele der IT-Sicherheit beziehen sich auf unterschiedliche Arten von Daten und Zustände, die abgesichert werden müssen.

  • Datenschutz
    • Es geht hierbei nicht um den Schutz von allgemeinen Daten vor Schäden, sondern um den Schutz persönlicher Daten vor Missbrauch.
    • Der Schutz personenbezogener Daten stützt sich auf das Prinzip der informationellen Selbstbestimmung. Diese wurde im BVerfG-Urteil zur Volkszählung festgeschrieben. Geschützt werden muss dabei die Privatsphäre, d. h. Persönlichkeitsdaten bzw. Anonymität müssen gewahrt bleiben (geregelt in Datenschutzgesetzen, etwa dem Bundesdatenschutzgesetz).
  • Informationssicherheit (auch Datensicherheit); bezieht sich auf alle relevanten Informationen einer Organisation oder eines Unternehmens einschließlich personenbezogener Daten
    • Vertraulichkeit: Daten dürfen lediglich von autorisierten Benutzern gelesen bzw. modifiziert werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der Datenübertragung.
    • Integrität: Daten dürfen nicht unbemerkt verändert werden, resp. es müssen alle Änderungen nachvollziehbar sein.
    • Verfügbarkeit: Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet werden.
  • Randthemen und verwandte Begriffe
    • Authentizität bezeichnet die Eigenschaften der Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit.[2]
    • Zurechenbarkeit (engl. accountability): „Eine durchgeführte Handlung kann einem Kommunikationspartner eindeutig zugeordnet werden.“[3]
    • Verbindlichkeit/Nichtabstreitbarkeit (engl. non-repudiation): Sie erfordert, dass „kein unzulässiges Abstreiten durchgeführter Handlungen“ möglich ist.[3] Sie ist unter anderem wichtig beim elektronischen Abschluss von Verträgen. Erreichbar ist sie beispielsweise durch elektronische Signaturen. [4]
    • Nicht-Anfechtbarkeit: der Nachweis, dass eine Nachricht versendet und empfangen worden ist (Authentizität/Nachweisbarkeit)
    • Zugriffssteuerung: Reglementierung des Zugriffes von außen
    • in bestimmtem Kontext (zum Beispiel im Internet) auch Anonymität
  • IT-Sicherheit; Einrichtung und Aufrechterhaltung geeigneter betrieblicher und technischer Maßnahmen, um die Einhaltung der Schutzziele der Informationssicherheit bei IT-gestützter Verarbeitung von Informationen zu gewährleisten
    • Funktionalität: Hardware und Software sollen erwartungsgemäß funktionieren.
    • Einhaltung der betrieblichen Prozesse
    • Einrichtung geeigneter Sicherheitstechniken (Firewall, Zugriffschutz, Intrusion Detection, …)
    • Vorsorgemaßnahmen zur möglichst reibungslosen Weiterführung bzw. Wiederaufnahme der Produktion nach Störungen

Teilaspekte

Folgende Aspekte sind in einer umfassenden Informationssicherheit zumindest teilweise enthalten:

Grundsätzlich wird unter IT-Sicherheit der Zustand eines IT-Systems (oder auch einer Organisation) und der durch IT verarbeiteten und gespeicherten Daten verstanden, in dem die Risiken, die bei jedem IT-Einsatz bestehen, durch angemessenen Maßnahmen auf ein tragbares Maß reduziert wurden.

Verwandte Begriffe sind:

  • Computersicherheit: die Sicherheit eines Computersystems vor Ausfall (man spricht von ungeplanter oder geplanter Ausfallzeit, engl. downtime) und Manipulation (Datensicherheit) sowie vor unerlaubtem Zugriff (Datenschutz)
  • Netzwerksicherheit (Eher ein Teilaspekt der Computersicherheit)
  • Datensicherheit ist ein aus dem Datenschutz stammender Begriff mit dem Ziel, Daten jeglicher Art in ausreichendem Maße vor Verlust, Manipulationen, unberechtigter Kenntnisnahme durch Dritte und anderen Bedrohungen zu schützen. Dabei sind auch nicht dem Datenschutz unterliegende Daten eingeschlossen. Hinreichende Datensicherheit ist eine Voraussetzung für effektiven Datenschutz. Nur wenn geeignete Schutzmaßnahmen getroffen werden, kann man davon ausgehen, dass vertrauliche bzw. personenbezogene Daten nicht in die Hände von Unbefugten gelangen. Hierbei spricht man in der Regel von technischen und organisatorischen Maßnahmen zum Datenschutz, welche in der Anlage zum § 9 BDSG und in den Landesdatenschutzgesetzen beschrieben sind.
  • Datensicherung ist ein Synonym für Backup. Er war jedoch der ursprüngliche datenschutzrechtliche Begriff für Datensicherheit.

Bedeutung der Informationssicherheit

Eine Mind Map der Informationssicherheit

In den frühen Kindertagen des (Personal-)Computers verstand man unter Computersicherheit die Sicherstellung der korrekten Funktionalität von Hardware (Ausfall von zum Beispiel Bandlaufwerken oder anderen mechanischen Bauteilen) und Software (richtige Installation und Wartung von Programmen). Mit der Zeit änderten sich die Anforderungen an die Computer (Internet, Speichermedien); die Aufgaben zur Computersicherheit mussten anders gestaltet werden. Somit bleibt der Begriff der Computersicherheit wandelbar und Spiegel der momentanen technologischen Welt.

Private und öffentliche Unternehmen sind heute in allen Bereichen ihrer Geschäftstätigkeit, Privatpersonen in den meisten Belangen des täglichen Lebens auf IT-Systeme angewiesen. Da neben der Abhängigkeit auch die Risiken für IT-Systeme in Unternehmungen in der Regel größer sind als für Computer und Netzwerke in privaten Haushalten, wird Informationssicherheit überwiegend in Unternehmen betrieben. Entsprechende Verpflichtungen lassen sich im gesamten deutschsprachigen Raum aus den verschiedenen Gesetzen zum Gesellschaftsrecht, Haftungsrecht, Datenschutz, Bankenrecht usw. herleiten. Dort stellt Informationssicherheit einen Baustein des Risikomanagements dar. International spielen Vorschriften wie Basel II und der Sarbanes-Oxley Act eine wichtige Rolle.

Einen Eindruck von der Komplexität und der grundsätzlichen Bedeutung der Informationssicherheit für die Zukunft von Informationsgesellschaften vermittelt nebenstehende Mind-Map.

Bedrohungen

verbrannter Laptop

Effekte oder Ziele

  • Technischer Systemausfall
  • Systemmissbrauch, durch illegitime Ressourcennutzung, Veränderung von publizierten Inhalten, etc.
  • Sabotage
  • Spionage
  • Betrug und Diebstahl

Ursachen oder Mittel

Viren, Würmer, Trojanische Pferde

Während im Firmenumfeld die ganze Themenbreite der Computersicherheit Beachtung findet, verbinden viele Privatanwender mit dem Begriff primär den Schutz vor Viren und Würmern oder Spyware wie Trojanischen Pferden.

Die ersten Computerviren waren noch recht harmlos und dienten lediglich dem Aufzeigen diverser Schwachstellen von Computersystemen. Doch recht bald erkannte man, dass Viren zu weitaus mehr in der Lage sind. Es begann eine rasante Weiterentwicklung der Schädlinge und der Ausbau ihrer Fähigkeiten – vom simplen Löschen von Dateien über das Ausspionieren von Daten (zum Beispiel von Passwörtern) bis hin zum Öffnen des Rechners für entfernte Benutzer (Backdoor).

Mittlerweile existieren diverse Baukästen im Internet, die neben einer Anleitung auch alle notwendigen Bestandteile für das einfache Programmieren von Viren liefern. Nicht zuletzt schleusen kriminelle Organisationen Viren auf PCs ein, um diese für ihre Zwecke (UBE / UCE, DoS-Attacken, etc.) zu nutzen. So entstanden bereits riesige Bot-Netze, die auch illegal vermietet werden.

Angriffe und Schutz

Unter einem Angriff auf den Datenschutz und/oder Datensicherheit (repräsentiert durch zum Beispiel ein Computersystem) versteht man jede Aktion/Vorgang, dessen Folge oder Ziel ein Verlust des Datenschutzes und/oder der Datensicherheit ist. Auch technisches Versagen wird in diesem Sinne zunächst einmal als Angriff gewertet.

Statistische Sicherheit: Ein System wird dann als sicher bezeichnet, wenn der Aufwand für das Eindringen in das System höher ist als der daraus resultierende Nutzen für den Angreifer. Deshalb ist es wichtig, die Hürden für einen erfolgreichen Einbruch möglichst hoch zu setzen und damit das Risiko zu reduzieren.

Absolute Sicherheit: Ein System ist dann absolut sicher, wenn es jedem denkbaren Angriff widerstehen kann. Die absolute Sicherheit kann nur unter besonderen Bedingungen erreicht werden, die die Arbeitsfähigkeit des Systems oft erheblich einschränken (isolierte Systeme, wenige und hochqualifizierte Zugriffsberechtigte).

Der Mangel an Computersicherheit ist eine vielschichtige Bedrohung, die nur durch eine anspruchsvolle Abwehr beantwortet werden kann. Der Kauf einer Software ist kein Ersatz für eine umsichtige Analyse der Risiken, möglicher Verluste, der Abwehr und von Sicherheitsbestimmungen.

Ist einmal die Sicherheit eines Systems verletzt worden, muss es als kompromittiert betrachtet werden, was Maßnahmen zur Verhinderung weiterer Schäden und zur Datenrettung erfordert.

Maßnahmen

Die Maßnahmen müssen im Rahmen der Erstellung eines Sicherheitskonzeptes an den Wert der zu schützenden Daten angepasst werden. Zu viele Maßnahmen führen zu Kosten- und Akzeptanzproblemen, bei zu wenig Maßnahmen bleiben „lohnende“ Sicherheitslücken offen.

Management

Informationssicherheit ist grundsätzlich eine Aufgabe der Leitung einer Organisation oder eines Unternehmens und sollte nach einem Top-Down Ansatz organisiert sein. Insbesondere die Verabschiedung von Informationsschutz- und Sicherheitsrichtlinien (Security Policy) ist Aufgabe des obersten Managements. Weitere Aufgabe des Managements ist die Installation eines Sicherheitsmanagementsystems. Dieses ist für die operative Umsetzung und Kontrolle der Security Policy zuständig. Durch diese Maßnahmen sollen geeignete Organisations- und Managementstrukturen geschaffen werden.

Operative Maßnahmen

Maßnahmen sind unter anderem physische, beziehungsweise räumliche Sicherung von Daten, Zugriffskontrollen, das Aufstellen fehlertoleranter Systeme und Maßnahmen der Datensicherung und die Verschlüsselung. Wichtige Voraussetzung ist die Sicherheit der verarbeitenden Systeme. Ein effektives Sicherheitskonzept berücksichtigt jedoch neben technischen Maßnahmen auch organisatorische und personelle Maßnahmen.

Zu den Sicherheitsmaßnahmen, die von jedem Verantwortlichen für die Informationssicherheit in Unternehmen, aber vor allem auch von jedem privaten Nutzer von Computern und Netzwerken in Privathaushalten für die Informationssicherheit getroffen werden können, gehören unter anderem die folgenden Punkte.

Software aktualisieren

Für viele Programme werden Aktualisierungen angeboten. Diese bieten nicht immer nur eine erweiterte oder verbesserte Funktionalität, sondern beheben häufig auch schwere Sicherheitslücken. Besonders betroffen sind alle Programme, die Daten mit dem Internet austauschen, wie zum Beispiel Betriebssysteme, Browser, Schutzprogramme oder E-Mail-Programme. Die Aktualisierungen sollten so schnell wie möglich auf den entsprechenden Rechnersystemen installiert werden. Viele Programme bieten eine automatische Funktion an, die die Aktualisierung im Hintergrund ohne das Eingreifen des Benutzers bewerkstelligt, indem die neue Software direkt aus dem Internet geladen wird. Bei langsamen Datenverbindungen oder sehr großen Datenmengen ist es ratsam, die Aktualisierungen von Massenspeichern, wie zum Beispiel CDs oder DVDs, zu laden.

Antiviren-Software verwenden

Wenn Daten aus dem Internet oder von Mailservern heruntergeladen oder von Datenträgern kopiert werden, besteht immer die Möglichkeit, dass sich darunter auch schädliche Dateien befinden. Um dies zu vermeiden, sollten nur Dateien oder Anhänge geöffnet werden, denen man vertraut oder es muss ein sogenanntes Antivirenprogramm installiert werden. Auch bei dieser Software ist darauf zu achten, dass sie regelmäßig (unter Umständen sogar mehrmals täglich) aktualisiert wird. Schadprogramme sind in der Regel auf spezielle und auch oft auf weit verbreitete Betriebssysteme oder häufig genutzte Browser ausgerichtet.

Diversifikation

Eine weitere Maßnahme zur Reduktion der Gefahren besteht in der Diversifizierung von Software, also darin, Software von verschiedenen, auch nicht marktführenden Anbietern zu verwenden. Die Angriffe von Crackern zielen oftmals auf Produkte von großen Anbietern, weil sie bei kriminellen Angriffen damit den größten Gewinn erzielen und ansonsten gegebenenfalls den größten „Ruhm“ erlangen. Insofern kann es ratsam sein, auf Produkte von kleineren und weniger bekannten Unternehmen oder zum Beispiel auf Open-Source-Software zurückzugreifen.

Firewalls verwenden

Für Angriffe, die ohne das aktive Zutun des Nutzers drohen, ist es unerlässlich eine Netzwerk-Firewall oder Personal Firewall zu installieren. Viele unerwünschte Zugriffe auf den Computer und unbeabsichtigte Zugriffe vom eigenen Computer, die vom Benutzer meist gar nicht bemerkt werden, können auf diese Weise verhindert werden. Die Konfiguration einer Firewall ist nicht trivial und erfordert eine gewisse Kenntnis der Vorgänge und Gefahren.

Eingeschränkte Benutzerrechte verwenden

Der Systemadministrator darf tiefgehende Änderungen an einem Computer durchführen. Das erfordert entsprechende Kenntnis der Gefahren, und es ist für normale Benutzer alles andere als ratsam, mit den Rechten eines Administrators im Internet zu surfen, Dateien oder E-Mails herunterzuladen. Moderne Betriebssysteme verfügen daher über die Möglichkeit, die Benutzerrechte einzuschränken, so dass zum Beispiel Systemdateien nicht verändert werden können.

Sandkisten

"Sandkisten" (engl. "Sandboxes") sperren ein potentiell schädliches Programm ein. Im schlimmsten Falle kann das Programm lediglich die Sandkiste zerstören. Beispielsweise gibt es keinen Grund, weshalb ein PDF-Reader auf OpenOffice-Dokumente zugreifen muss. Die Sandkiste wäre in diesem Fall "alle PDF Dokumente und sonst nichts". Technologien wie AppArmor und SE Linux ermöglichen den Bau einer Sandkiste.

Aktive Inhalte deaktivieren

Bei aktiven Inhalten handelt es sich um Funktionalitäten, die die Bedienung eines Computers vereinfachen sollen. Das automatische Öffnen beziehungsweise Ausführen von heruntergeladenen Dateien birgt jedoch die Gefahr, dass diese schädlichen Code ausführen und den Rechner infizieren. Um dies zu vermeiden, sollten aktive Inhalte, wie zum Beispiel ActiveX, Java oder JavaScript, soweit wie möglich deaktiviert werden.

Sensible Daten verschlüsseln

Daten, die nicht in die Hände Dritter geraten sollen, müssen durch geeignete Maßnahmen, wie zum Beispiel PGP oder Device-Encryption-Software verschlüsselt werden (siehe auch Kryptographie). Dies betrifft nicht nur Daten, die zwischen zwei bestimmten Rechnern ausgetauscht werden, sondern auch entsprechende Daten, die sich auf Massenspeichern befinden, und beim Übertragen sensibler Daten, wie zum Beispiel Kreditkartennummern, während des Surfens im Internet (siehe auch HTTPS). Ein Zugriff auf die Inhalte darf nur dann möglich sein, wenn die Beteiligten über den richtigen Schlüssel verfügen. Besonders gefährdet sind unverschlüsselte, kabellose Netze, wie zum Beispiel nicht konfigurierte WLANs, da hierbei Unbefugte unbemerkt Zugriff auf die Daten und sogar die Kontrolle über den ungeschützten Computer erlangen können.

Auch für Behörden und Unternehmen ist die Datensicherheit, vor allem im Bezug auf den Datentransport ein äußerst sensibles Thema. Immer wieder erfordern Geschäftsprozesse die mobile Verfügbarkeit von Forschungs-, Finanz-, Kunden- oder Kontodaten. Bei der Datenaufbewahrung und dem Datentransport müssen sich Behörden und Unternehmen auf absolute Sicherheit verlassen können. Gelangen sensible Daten in unbefugte Hände, entsteht meist ein irreparabler Schaden, insbesondere wenn die Daten verbreitet oder missbraucht werden. Um dies zu verhindern und höchste Datensicherheit für den mobilen Datentransport zu gewährleisten, müssen neben dem Kriterium der Verschlüsselung auch die Kriterien wie Zugriffskontrolle und Erstellung, Speicherung und Zerstörung des kryptographischen Schlüssels beachtet werden. Es ist zu beachten, dass immer alle 3 Sicherheitskriterien berücksichtigt werden müssen. Hat eine von diesen Kriterien eine Sicherheitslücke, so wird dadurch die ganze Sicherheitskette gefährdet. Somit können für den sicheren Datentransport nur spezielle externe verschlüsselte Speichermedien genutzt werden. Die Wahl einer passenden Verschlüsselung entscheidet über die Grundlage zum Erreichen eines höchsten Maßes an Datensicherheit. Für höchste Anforderungen an Datensicherheit empfiehlt das Bundesamt für Sicherheit in der Informationstechnik die AES Verschlüsselung mit einer Schlüssellänge von 256-Bit im CBC-Modus zu verwenden. Der CBC-Modus sorgt dafür, dass jeder Block mit einem anderen AES-Schlüssel verschlüsselt wird. So werden bei der Verschlüsselung jedes neuen Sektors auch die Informationen von dem vorher verschlüsselten Block miteinbezogen.

Passwörter, persönliche Identifikationsnummern (PIN) und Transaktionsnummern (TAN) sollten nicht unverschlüsselt gespeichert oder übertragen werden.

Sicherungskopien erstellen

Von jeder Datei, die wichtig ist, muss mindestens eine Sicherungskopie auf einem separaten Speichermedium angefertigt werden. Hierzu gibt es zum Beispiel Backup-Software, die diese Aufgaben regelmäßig und automatisch erledigt. Es können ebenso RAID-Systeme verwendet werden, die besonders bei großen Datenmengen und sich häufig ändernden Daten eine gute Erweiterung (niemals einen Ersatz) zum herkömmlichen Backup darstellen.

Protokollierung

Automatisch erstellte Protokolle oder Logdateien können dabei helfen, zu einem späteren Zeitpunkt zu ermitteln, wie es zu Schäden an einem Rechnersystem gekommen ist.

Sichere Entwicklungssysteme und Laufzeitumgebungen verwenden

Für die Generierung und Wartung sicherer Software ist es sehr nützlich, schon bei der Softwareentwicklung leicht überschaubare und erlernbare Werkzeuge zu verwenden, die möglichst enggefasste Sichtbarkeitsregeln und gekapselte Programmmodule mit eindeutig definierten Schnittstellen erlauben. Durch eingeschränkte Freiheiten bei der Programmierung, wie zum Beispiel die Beschränkung auf einfache Vererbung oder das Verbot von Zirkelbezügen oder kritischen Typumwandlungen, wird in der Regel gleichzeitig auch das Potential von Programmfehlern eingeschränkt. Dabei ist es auch sinnvoll und hilfreich, bereits getestete Software durch geeignete Maßnahmen wiederzuverwenden, wie zum Beispiel durch die Verwendung von Prozeduren oder objektorientierten Datenstrukturen.

Entwickler von Software, die zum sicheren Datenaustausch zwischen Rechnern eingesetzt wird, müssen moderne Entwicklungssysteme und Programmiersprachen einsetzen, da ältere Systeme häufig Sicherheitslücken haben und nicht über die entsprechende Sicherheitsfunktionalität verfügen. Sichere Software ist nur in entsprechenden, modernen und sicheren Laufzeitumgebungen lauffähig und sollte mit Entwicklungswerkzeugen (wie zum Beispiel Compilern) erstellt werden, die ein möglichst hohes Maß an inhärenter Sicherheit bieten, wie zum Beispiel Modulsicherheit, Typsicherheit oder die Vermeidung von Pufferüberläufen.

Auch bei Geräten, die nicht in einem Rechnernetz betrieben werden, kann die Informationssicherheit durch geeignete Entwicklungssysteme und Laufzeitumgebungen erhöht werden. Datenverlust durch unzuverlässigen Programmcode (Computerabsturz) kann vorbeugend zum Beispiel durch compilergenerierte Überprüfung von Indizes von Datenfeldern oder unzulässigen Zeigern, oder aber auch nach dem Auftreten von Programmfehlern durch Ausnahmebehandlung in der Laufzeitumgebung vermieden werden. Ferner ist es in objektorientierten Laufzeitumgebungen unerlässlich, eine automatische Speicherbereinigung durchzuführen.

Ferner ist es möglich, bereits implementierte Software durch bestimmte Verfahren, wie zum Beispiel die Verwendung von Proof-Carrying Code, erst während der Laufzeit zu überprüfen und deren Ausführung bei der Nichteinhaltung von Sicherheitsrichtlinien zu verhindern.

Sensibilisierung und Befähigung der Mitarbeiter

Ein wichtiger Aspekt in der Umsetzung von Sicherheitsrichtlinien ist die Ansprache der eigenen Mitarbeiter, die Bildung von sogenannter IT-Security-Awareness. Hier fordern die ersten Arbeitsrichter den Nachweis der erfolgten Mitarbeitersensibilisierung für den Fall eines etwaigen Verstoßes gegen die Firmenrichtlinien. Zusätzliche Bedeutung bekommt diese menschliche Seite der Informationssicherheit außerdem, da Industriespionage oder gezielte, wirtschaftlich motivierte Sabotage gegen Unternehmen nicht allein mit technischen Mitteln ausgeführt werden. Um ihren Opfern zu schaden oder Informationen zu stehlen, nutzen die Angreifer beispielsweise Social Engineering, das nur abzuwehren ist, wenn die Mitarbeiter über mögliche Tricks der Angreifer orientiert sind und gelernt haben, mit potenziellen Angriffen umzugehen. Die Mitarbeitersensibilisierung variiert typischerweise von Unternehmen zu Unternehmen von Präsenzveranstaltungen über webbasierte Seminare bis hin zu Sensibilisierungskampagnen.

Der Focus verschiebt sich dabei inzwischen von der reinen Sensibilisierung („Awareness“) hin zur Befähigung („Empowerment“) der Anwender, eigenverantwortlich für mehr Sicherheit im Umgang mit IT-gestützter Information zu sorgen.[5] In Unternehmen kommt dabei dem „Information Security Empowerment“ der Führungskräfte besondere Bedeutung zu, da sie Vorbildfunktion für ihre Abteilungsmitarbeiter haben und dafür verantwortlich sind, dass die Sicherheitsrichtlinien ihres Verantwortungsbereiches zu den dortigen Arbeitsabläufen passen – eine wichtige Voraussetzung für die Akzeptanz.[6]

Audits/Überprüfung

Um ein gewisses Standardmaß an Informationssicherheit zu gewährleisten, ist die regelmäßige Überprüfung von Maßnahmen zur Risikominimierung und -dezimierung Pflicht. Auch hier rücken wieder organisatorische und technische Aspekte in den Vordergrund.

Technische Sicherheit kann zum Beispiel durch Maßnahmen wie regelmäßige Penetrationstests oder vollständige Sicherheitsaudits erreicht werden, um eventuell bestehende Sicherheitsrisiken im Bereich von informationstechnischen Systemen, Applikationen und/oder in der informationstechnischen Infrastruktur zu erkennen und zu beseitigen.

Organisatorische Sicherheit kann durch Audits der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden. Beispielsweise können vordefinierte Testschritte beziehungsweise Kontrollpunkte eines Prozesses während eines Audits getestet werden.

Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur weiteren Risikominimierung beziehungsweise -dezimierung ableiten. Eine Methodik wie in diesem Absatz beschrieben, ist unmittelbar konform zu Normen wie ISO 27001, BS 7799 oder gesetzlichen Vorschriften. Hier wird meist eine Nachvollziehbarkeit über Vorgänge der Informationssicherheit unmittelbar eingefordert, indem Unternehmen ein Risikomanagement abverlangt wird.

Standards und „best practices“ im Überblick

Zur Bewertung und Zertifizierung (Qualitätsmanagement) der Sicherheit von Computersystemen existieren internationale Normen. Wichtige Normen in diesem Zusammenhang sind vor allem die amerikanischen TCSEC- und die europäischen ITSEC-Standards sowie der neuere Common Criteria-Standard. Die Zertifizierung erfolgt in Deutschland in der Regel durch das Bundesamt für Sicherheit in der Informationstechnik.

Die IT-Grundschutz-Kataloge definieren für die verschiedenen Aspekte einer IT-Landschaft konkrete Maßnahmen, die zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen (Waschzettel). Die Grundschutz-Kataloge sind primär in Deutschland bekannt, liegen allerdings auch englischsprachig vor.

Mittlerweile hat sich der British Standard BS7799 Leitfaden zum Management von Informationssicherheit durchgesetzt, der 1995 zum ersten Mal veröffentlicht wurde.

Entwicklung der ISO/IEC-Standards

Im Rahmen der Standardisierung wurde in der Zusammenarbeit von ISO und IEC beschlossen, verschiedene Standards zur Informationssicherheit unter dem Nummernkreis 2700x (Information technology – Security techniques) zusammen zu fassen. Daneben existiert noch eine ganze Reihe weiterer ISO/IEC-Standards, wie auch ISO/IEC 15408 bzw. Gemeinsame Kriterien zur Evaluierung von IT-Sicherheit (bzw. Common Criteria). Der deutsche Anteil an dieser Normungsarbeit wird vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut.

  • ISO/IEC FCD 27000 – Information security management systems – Overview and vocabulary; in Arbeit
  • ISO/IEC 27001:2005 – Information security management systems – Requirements; hervorgegangen aus Teil 2 des British Standard BS7799
  • ISO/IEC 27002:2005 – Code of practice for information security management; hervorgegangen aus Teil 1 des British Standard BS7799
  • ISO/IEC 27003 – Information security management systems – Implementation Guidelines; in Arbeit
  • ISO/IEC CD 27004 – Information security management measurements; in Arbeit
  • ISO/IEC FCD 27005 – Information security risk management; in Arbeit

Die ISO/IEC 27002:2005 führt in zwölf Aufgabenfelder Vorgaben für Risikoanalyse und -bewältigung (Section 4) und insgesamt 123 Kontrollpunkte auf, die zum Teil sehr konkrete Handlungsanweisungen (Implementation guidance) enthalten (Section 5–15). Da der Standard technikneutral ist, sind diese Handlungsanweisungen jedoch auf der konzeptionellen Ebene und müssen für den konkreten Anwendungsfall auf organisatorische, betriebliche und technische Maßnahmen heruntergebrochen werden. Im Bereich der technischen Sicherheitsmaßnahmen lässt sich die ISO/IEC 17799 sinnvoll durch die IT-Grundschutz-Kataloge des Bundesamts für Sicherheit in der Informationstechnik ergänzen.

Aus Teil 2 von BS7799 hat sich der ISO/IEC Standard 27001:2005 entwickelt. Er spezifiziert die Anforderungen an ein Information Security Management System (ISMS) und ist, vergleichbar zu ISO 9001, ein Management-Standard, nach dem auch zertifiziert werden kann. Die ISO/IEC-Standards zur Informationssicherheit sollen sukzessive erweitert werden: Vier weitere Standards der 27000-er Reihe sind bereits in Entwicklung, weitere in Planung.

Neben den Standards zur Informationssicherheit gibt es auch Standards für die Ausbildung von Sicherheitsfachkräften. Als wichtigste sind zu nennen die Zertifizierungen zum CISM (Certified Information Security Manager) und CISA (Certified Information Systems Auditor) der ISACA, die Zertifizierung zum CISSP (Certified Information Systems Security Professional) des (ISC)² (International Information Systems Security Certification Consortium), die Zertifizierung zum TISP (Teletrust Information Security Professional)[7] der TeleTrusT Deutschland e.V. sowie die GIAC-Zertifizierungen des SANS Institute.

Umsetzungsbereiche

Privathaushalte

Programmierfehler in fast jeder Software machen es quasi unmöglich, Sicherheit vor jeder Art von Angriffen zu erreichen. Durch den Anschluss von Computern mit sensiblen Daten (zum Beispiel Homebanking, Bearbeitung der Dissertation) an das Internet sind diese Schwachstellen auch von außen nutzbar. Der Standard an IT-Sicherheit in Privathaushalten ist geringer, da kaum ausreichende Maßnahmen zur Absicherung der Infrastruktur (zum Beispiel unterbrechungsfreie Stromversorgung, Einbruchsschutz) ergriffen werden.

Aber auch in anderen Bereichen besteht in privaten Haushalten weiterhin ein Defizit.

Viele private Benutzer haben noch nicht verstanden, dass es wichtig ist, die Konfiguration der genutzten Software an die jeweiligen Bedürfnisse anzupassen. So ist es bei vielen an das Internet angeschlossenen Rechnern nicht nötig, dass auf ihnen Server-Programme laufen. Server-Dienste werden von vielen Betriebssystemen in der Standardinstallation geladen; mit deren Deaktivierung schließt man eine Reihe wichtiger Angriffspunkte.

Sicherheitsaspekte wie zum Beispiel die Einrichtung von Zugriffsbeschränkungen sind vielen Benutzern ebenfalls fremd. Außerdem ist es von Bedeutung, sich über Schwachstellen in der eingesetzten Software zu informieren und regelmäßig Aktualisierungen einzuspielen.

Zur Computersicherheit gehört nicht nur der präventive Einsatz technischer Werkzeuge wie beispielsweise Firewalls, Intrusion-Detection-Systeme etc., sondern auch ein organisatorischer Rahmen in Form durchdachter Grundsätze (Policy, Strategie), die den Menschen als Anwender der Werkzeuge in das System einbezieht. Allzu oft gelingt es Hackern, durch Ausnutzung eines zu schwachen Kennworts oder durch so genanntes Social Engineering Zugang zu sensiblen Daten zu erlangen.

IT-Sicherheit bei Sparkassen und Banken

Zur Beschleunigung des Prozesses und Hervorhebung der Wichtigkeit haben unter anderem die Ergebnisse von Basel II, die Vorschriften von BaFin und des KWG sowie der einzelnen Verbandsrevisionen der Sparkassen und Banken beigetragen. Verstärkt werden sowohl externe als auch interne Prüfungen auf dieses Thema ausgelegt. Gleichzeitig entstand ein umfangreiches Dienstleistungsangebot zur Durchführung verschiedener Projekte, die einen IT-Sicherheitsprozesses in Unternehmen etablieren sollen. Anbieter sind sowohl innerhalb der jeweiligen Unternehmensgruppe als auch auf dem externen Markt zu finden. Bei anderen Finanzdienstleistungsinstituten, Versicherungsunternehmen und den Unternehmen des Wertpapierhandels wird das Konzept im Allgemeinen identisch sein, wobei hier zum Beispiel auch andere Gesetze eine Rolle spielen können.

IT-Sicherheit bei anderen Unternehmen

Auch wenn die Gesetzgebungen und Prüfungen in weiteren Sektoren der Wirtschaft weniger streng sind behält die IT-Sicherheit trotzdem auch hier ihren Stellenwert. Hilfestellungen gewähren hier die IT-Grundschutz-Kataloge des BSI, deren Nutzung kostenfrei ist.

Risikomanagement in Unternehmen = IT-risk management

In unserer heutigen IT-Welt ist einerseits die Dezentralisierung durch Abgabe von Kapazitäten aber auch die Vernetzung verschiedener Niederlassungen, bzw. bei Firmenzukäufen deren Anbindung an das bestehende zentrale System von immer größerer Bedeutung.

Aus dieser Thematik erfolgen neue Anforderungen an die bestehenden Sicherheitskonzepte. Denn bei der Datenübertragung aus einem internen, geschlossenen Kreislauf über eine externe (öffentliche) Verbindung zum anderen Standort, schafft risikobehaftete Situationen. Die Auswirkungen für Unternehmen bestehen in:

  • Verlust von Daten,
  • Manipulation von Daten,
  • unzuverlässiger Empfang von Daten,
  • verspätete Verfügbarkeit von Daten,
  • Abkopplung von Systemen für das operative Geschäft,
  • unzulässige Verwertung von Daten,
  • fehlende Entwicklungsfähigkeit der eingesetzten Systeme.

Aber nicht nur im firmeninternen Datenaustausch liegt die Gefahr, es werden zunehmend Anwendungen direkt zu den Nutzern übertragen, oder aber externe Mitarbeiter oder gar outgesourcten Dienstleistern auf im Unternehmen gespeicherte Daten zuzugreifen und diese zu bearbeiten und zu verwalten. Für deren Zugriffsberechtigung muss eine Authentisierung ebenso erfolgen können, wie eine Dokumentation der getätigten und veränderten Aktionen.

Dazu kommen die gesetzlichen Vorgaben, die ebenfalls in das IT-Sicherheitskonzept mit integriert werden müssen. Die entsprechenden Gesetze werden von externen und internen Prüfern kontrolliert. Da keine Methoden definiert worden sind, um diese Ergebnisse zu erreichen, wurden hier für die jeweiligen Bereiche verschiedenen „Best-Practice“-Methoden entwickelt, wie zum Beispiel ITIL, Cobit, ISO oder Basel II.

Hier gilt der Ansatz, ein Unternehmen so zu führen und zu kontrollieren, dass die relevanten und möglichen Risiken abgedeckt sind. Als Standard für die sogenannte IT Governance sind einmal die zwingenden, sprich Gesetze (HGB, AO, GOB) und Fachgutachten (SOA, 8. EU-Audit-Richtlinie) und die unterstützenden („Best Practice Methode“) zu sehen.

Das bedeutet diese Risiken zu identifizieren, analysieren und bewerten. Um darauf aufbauend die Erstellung eines ganzheitlichen Sicherheitskonzeptes zu ermöglichen. Das beinhaltet nicht nur die eingesetzten Technologien, sondern auch organisatorische Maßnahmen, wie Zuständigkeiten, Berechtigungen, Kontrollinstanzen oder konzeptionelle Aspekte wie etwa Mindestanforderungen für bestimmte Sicherheitsmerkmale zu definieren.

So werden nun an die EDV besondere Anforderungen gestellt:

  1. Verhinderung von Manipulationen
  2. Nachweis von Eingriffen
  3. Installation von Frühwarnsystemen
  4. Interne Kontrollsysteme

Dabei ist zu beachten, dass die Daten der Automation derart gespeichert werden, dass sie jederzeit lesbar, nachvollziehbar und konsistent sind. Dazu müssen diese Daten vor Manipulation und Löschung geschützt werden. Jegliche Änderung soll ein Versionsmanagement auslösen und die Reporte und Statistiken über die Prozesse und deren Änderungen müssen direkt zentral abrufbar sein.

Eine Abhilfe können hier hochentwickelte Automatisierungslösungen sein. Dadurch, dass weniger manuelle Eingriffe notwendig sind, werden potentielle Gefahrenquellen ausgeschlossen. Die RZ-Automation umfasst somit folgende Gebiete:

  • Risikofaktor Prozessablauf
  • Risikofaktor Ressourcen
  • Risikofaktor Technologie
  • Risikofaktor Zeit

IT-Sicherheit in öffentlichen Einrichtungen und Behörden

In diesem Bereich sind die IT-Grundschutz-Kataloge des BSI Standardwerke. In großem Maße erhalten diese Stellen das zugehörige GSTOOL, welches die Durchführung deutlich vereinfacht, kostenlos.

Strafrechtliche Aspekte

Deutschlandlastige Artikel Dieser Artikel oder Absatz stellt die Situation in Deutschland dar. Hilf mit, die Situation in anderen Ländern zu schildern.

Jegliches rechtswidrige Verändern, Löschen, Unterdrücken oder Unbrauchbar-Machen fremder Daten erfüllt den Tatbestand nach § 303a StGB (Datenveränderung). In besonders schweren Fällen ist dies auch nach § 303b I Nr. 1 StGB („Computersabotage“) strafbar und wird mit Haftstrafe von bis zu fünf Jahren oder Geldstrafe bestraft. Die Durchführung von DDOS-Attacken stellt seit 2007 ebenfalls eine Computersabotage dar, gleiches gilt für jegliche Handlungen, die zur Beschädigung eines Informationssystems, das für einen anderen von wesentlicher Bedeutung ist, führen.

Das Ausspähen von Daten (§ 202a StGB), also die Erlangungs des Zugangs zu fremden Daten, die hiergegen besonders geschützt sind, wird mit Haftstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. Das Abfangen fremder Daten in Netzen oder aus elektromagnetischen Abstrahlungen ist seit 2007 ebenfalls strafbar, anders als bei § 202a StGB kommt es hier nicht auf eine besondere Zugangssicherung an. Das sich Verschaffen, Erstellen, Verbreiten, Öffentlich-Zugänglichmachen etc. von sog. „Hackertools“ steht ebenfalls seit 2007 unter Strafe, wenn damit eine Straftat vorbereitet wird (§ 202c StGB).

Daten sind nach § 202a Abs. 2 in Verbindung mit Abs. 1 aber nur vor dem Ausspähen geschützt, wenn sie „besonders gesichert“ sind, um ein Ausufern des Tatbestandes zu vermeiden. Das heißt, erst wenn der Nutzer seine Daten technisch schützt genießt er auch den strafrechtlichen Schutz. Die frühere Debatte, ob das „Hacken“ ohne Abruf von Daten strafbar sei, ist hinfällig, seit der Wortlaut der Norm 2007 derart geändert wurde, dass Strafbarkeit bereits mit Erlangung des Zugangs zu Daten einsetzt. Weiter ist umstritten, ob die Verschlüsselung zur besonderen Sicherung zählt. Sie ist zwar sehr effektiv, aber es wird argumentiert, die Daten seien ja nicht gesichert sondern lägen nur in „unverständlicher“ bzw. schlicht „anderer“ Form vor.

Als Computerbetrug wird nach § 263 a StGB mit Geldstrafe oder Freiheitsstrafe bis zu fünf Jahren bestraft, wenn Datenverarbeitungsvorgänge zur Erlangung von Vermögensvorteilen manipuliert werden. Schon die Erstellung, Verschaffung, Anbietung, Verwahrung oder Überlassung dafür geeigneter Computerprogramme ist strafbar.

Zitate

„Ich glaube, dass es zunehmend wahrscheinlicher wird, dass wir bis 2017 einige katastrophale Systemfehler erleben. Noch wahrscheinlicher, wir werden von einem fürchterlichen Systemausfall betroffen sein, weil irgendein kritisches System mit einem nicht-kritischen verbunden war, das mit dem Internet verbunden wurde, damit irgendjemand an MySpace herankommt – und dieses Hilfssystem wird von Malware infiziert.“

Marcus J. Ranum, IT-Sicherheitsexperte[8], zitiert nach Niels Boeing[9]

Siehe auch

Literatur

Weblinks

Einzelnachweise

  1. Einfache Darstellung der Informationssicherheit
  2. R. Shirey: RFC 4949, Internet Security Glossary, Version 2 S. 29. IETF. Abgerufen am 10. November 2011. „The property of being genuine and able to be verified and be trusted.“
  3. a b Carsten Bormann et al.: Vorlesungsfolien 0. In: Vorlesung Informationssicherheit 1, SS 2005, Uni Bremen. 16. April 2005, abgerufen am 30. August 2008. Folie 25.
  4. Claudia Eckert: Vorlesung IT-Sicherheit, WS 2002/2003, TU Darmstadt. Vorlesungsfolien Kap. 2, Folie 17. TU Darmstadt FG Sicherheit in der Informationstechnik, 20. Oktober 2004, S. 26, abgerufen am 19. November 2010 (PDF).
  5. Urs E. Gattiker: Why information security awareness initiatives have failed and will continue to do so. Präsentation auf der govcert.nl 2007 conference.
  6. Axel Tietz, Johannes Wiele: Awareness ist nur ein Anfang. Informationsdienst IT-Grundschutz, Nr. 5/6, Mai 2009, S. 28-30 (ISSN 1862-4375)
  7. Frank van der Beek: Wie lehrt man IT-Sicherheit am Besten? Eine empirische Studie. S. 17.
  8. Marcus J. Ranum (Homepage)
  9. Niels Boeing: Blitz und Donner in der Matrix („Technology Review“, deutsche Ausgabe, 25. Januar 2008)

Wikimedia Foundation.

Игры ⚽ Нужен реферат?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Europäische Agentur für Netz- und Informationssicherheit — Logo der ENISA Die Europäische Agentur für Netz und Informationssicherheit (kurz ENISA, zu engl. European Network and Information Security Agency) ist eine 2004 von der Europäischen Union gegründete Einrichtung. Sitz der seit September 2005 voll… …   Deutsch Wikipedia

  • Integrität (Informationssicherheit) — Integrität ist neben Verfügbarkeit und Vertraulichkeit eines der drei klassischen Ziele der Informationssicherheit. Eine einheitliche Definition des Begriffs Integrität gibt es nicht. In den Evaluationskriterien für Informationssicherheit der… …   Deutsch Wikipedia

  • Computersicherheit — Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und lagernden Systemen, welche die Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Informationssicherheit dient dem Schutz vor Gefahren bzw.… …   Deutsch Wikipedia

  • Datensicherheit — Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und lagernden Systemen, welche die Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Informationssicherheit dient dem Schutz vor Gefahren bzw.… …   Deutsch Wikipedia

  • EDV-Sicherheit — Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und lagernden Systemen, welche die Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Informationssicherheit dient dem Schutz vor Gefahren bzw.… …   Deutsch Wikipedia

  • IT-Security — Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und lagernden Systemen, welche die Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Informationssicherheit dient dem Schutz vor Gefahren bzw.… …   Deutsch Wikipedia

  • IT-Sicherheit — Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und lagernden Systemen, welche die Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Informationssicherheit dient dem Schutz vor Gefahren bzw.… …   Deutsch Wikipedia

  • Technischer Datenschutz — Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und lagernden Systemen, welche die Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Informationssicherheit dient dem Schutz vor Gefahren bzw.… …   Deutsch Wikipedia

  • ENISA — Die Europäische Agentur für Netz und Informationssicherheit (kurz ENISA, zu engl. European Network and Information Security Agency) ist eine 2004 von der Europäischen Union gegründete Einrichtung. Sitz der seit September 2005 voll… …   Deutsch Wikipedia

  • DIN ISO/IEC 27002 — Bereich Informationstechnik Regelt IT Sicherheitsverfahren Leitfaden für das Informationssicherheits Management …   Deutsch Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”