Kategorie:ISMS/Massnahmen: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
K Dirkwagner verschob die Seite Kategorie:Informationssicherheit/Massnahmen nach Kategorie:ISMS/Massnahmen: Textersetzung - „Informationssicherheit“ durch „ISMS“
 
(13 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''topic''' - Kurzbeschreibung
[[Kategorie:ISMS]]
== Beschreibung ==
Maßnahmen müssen im Rahmen der Erstellung eines [[Sicherheitskonzept]]es an den Wert der zu schützenden Unternehmenswerte angepasst werden.
* Zu viele Maßnahmen bedeuten zu hohe finanzielle, organisatorische oder personelle Aufwände.
* Akzeptanzprobleme treten auf, wenn die Mitarbeiter nicht genügend in den Prozess der IT-Sicherheit eingebunden werden.
* Implementiert man zu wenig Maßnahmen, bleiben für Angreifer lohnende Sicherheitslücken offen.
 
== Management ==
Informationssicherheit ist grundsätzlich eine Aufgabe der Leitung einer Organisation oder eines Unternehmens und sollte nach einem Top-Down-Ansatz organisiert sein.
* Insbesondere die Verabschiedung von Informationsschutz- und Sicherheitsrichtlinien (englisch: ''Security Policy'') ist Aufgabe des obersten Managements.
* Weitere Aufgabe des Managements kann die Einführung und der Betrieb eines [[Information Security Management System|Informationssicherheitsmanagement-Systems (ISMS)]] sein.
* Dieses ist für die operative Umsetzung und Kontrolle der Security Policy zuständig.
* Durch diese Maßnahmen sollen geeignete Organisations- und Managementstrukturen für den Schutz der Unternehmenswerte geschaffen werden.
* Weitere Informationen sind im Artikel [[IT-Sicherheitsmanagement]] zu finden.
 
== Operative Maßnahmen ==
Maßnahmen sind unter anderem physische beziehungsweise räumliche Sicherung von Daten und weitere Vorkehrungen der [[Datensicherung]], [[Verschlüsselung]], [[Zugriffskontrolle]]n sowie der Einsatz [[Fehlertoleranz|fehlertoleranter Systeme]].
* Wichtige Voraussetzung ist die Sicherheit der verarbeitenden Systeme.
* Ein effektives [[Sicherheitskonzept]] berücksichtigt neben technischen Maßnahmen auch organisatorische und personelle Maßnahmen.
 
Zu den Sicherheitsmaßnahmen, die von jedem Verantwortlichen für die Informationssicherheit in [[Unternehmen]], aber vor allem auch von [[Privathaushalt|privaten Nutzern]] von Computern und Netzwerken für die Informationssicherheit getroffen werden können, gehören unter anderem die folgenden Punkte.
 
=== Zugangskontrolle ===
Der berechtigte [[Authentifizierung|Zugang]] zu Computersystemen und [[Anwendungssoftware]] muss durch eine zuverlässige und sichere [[Zugangskontrolle (Informatik)|Zugangskontrolle]] gewährleistet werden.
* Dies kann mit individuellen [[Benutzername]]n und hinreichend komplexen [[Kennwort|Kennwörtern]] und insbesondere mit weiteren Faktoren realisiert werden (siehe auch [[Zwei-Faktor-Authentifikation]]), wie zum Beispiel mit [[Transaktionsnummer]]n oder mit [[Security-Token]].
 
=== Eingeschränkte Benutzerkonten ===
; Eingeschränkte Benutzerkonten verwenden
Der [[Systemadministrator]] darf tiefgehende Änderungen an einem Computer durchführen.
* Dies erfordert entsprechende Kenntnis der Gefahren, und es ist für normale Benutzer alles andere als ratsam, mit den Rechten eines Administrators im [[Internet]] zu surfen, [[Datei]]en oder [[E-Mail]]s herunterzuladen.
* Moderne Betriebssysteme verfügen daher über die Möglichkeit, die [[Zugriffsrecht|Benutzerrechte]] einzuschränken, sodass etwa Systemdateien nicht verändert werden können.
 
=== Restriktive Konfiguration ===
Die Verwendung eingeschränkter Benutzerkonten für die tägliche Arbeit verhindert die [[Technische Kompromittierung|Kompromittierung]] des [[Betriebssystem]]s selbst, der Systemkonfiguration und der (schreibgeschützt) installierten Anwendungs- und System-Programme, bietet aber keinen Schutz gegen Kompromittierung der Benutzerdaten und der Benutzerkonfiguration: unter eingeschränkten Benutzerkonten sind beliebige Programme (dazu zählen auch [[Shellskript]]s und [[Stapelverarbeitungsdatei]]en) ausführbar, obwohl die wenigsten Benutzer diese Möglichkeit überhaupt nutzen.
 
Da Benutzer typischerweise (nur) die mit dem Betriebssystem gelieferten sowie die von ihrem Administrator installierten Programme verwenden, ist es möglich, Benutzern die Rechte zum Ausführen von Dateien nur dort zu gewähren, wo das Betriebssystem und die installierten Programme abgelegt sind (und sie nicht schreiben können), und überall dort zu entziehen, wo sie selbst schreiben können.
* Schädliche Programme, die beispielsweise von einer infizierten Webseite heruntergeladen und vom Benutzer unbemerkt als sog. „[[Drive-by-Download]]“ im Cache des [[Webbrowser|Browsers]] abgelegt werden, werden damit unschädlich gemacht.
 
Aktuelle Versionen von [[Microsoft]] [[Windows]] erlauben die Umsetzung dieser Restriktion mit den sog. „Softwarebeschränkungsrichtlinien“ alias „SAFER“.
 
Die [[Datenausführungsverhinderung]] aktueller Betriebssysteme wendet dieselbe Restriktion im [[Virtueller Speicher|virtuellen Speicher]] an.
 
=== Software aktuell halten ===
Für viele Programme werden (regelmäßig) [[Softwareaktualisierung|Aktualisierungen]] angeboten.
* Diese bieten nicht immer nur eine veränderte oder verbesserte Funktionalität, sondern beheben häufig auch Sicherheitslücken und [[Programmfehler]].
* Besonders betroffen sind vor allem Programme, die über [[Netzwerk]]e mit dem Internet kommunizieren, wie zum Beispiel [[Betriebssystem]]e, [[Webbrowser|Browser]], [[Sicherheitssoftware|Schutzprogramme]] oder [[E-Mail]]-Programme.
 
Sicherheitsrelevante Software-Aktualisierungen sollten so schnell wie möglich aus [[Digitales Zertifikat|überprüfbaren]] und [[Verifikation|zuverlässigen]] Quellen auf den entsprechenden Rechnersystemen installiert werden.
* Viele Geräte im [[Internet der Dinge]] und Programme bieten eine automatische Funktion an, die die Aktualisierung im Hintergrund ohne das Eingreifen des Benutzers bewerkstelligt, indem die aktualisierte Software direkt aus dem Internet geladen wird.
 
Ein aktives, regelmäßiges Patch-Management verhindert das Ausnutzen von Schwachstellen in installierter Software, was laut BSI vor allem für Angriffsziele innerhalb Staat, Verwaltung und Wirtschaft zu den Top-Bedrohungen der IT-Sicherheit zählt. Dem entgegen steht, dass lediglich 35,8 % der Unternehmen in Deutschland im Jahr 2021 ein aktives Patch-Management implementiert hatten.
==== Veraltete, unsichere und unbenutzte Software deinstallieren ====
Software, deren Hersteller die Wartung eingestellt hat, sogenannte End of Life (EOL), die unsicher ist oder die nicht mehr benutzt wird, muss deinstalliert werden, um den Schutz zu gewährleisten.
 
=== Sicherungskopien erstellen ===
Von jeder [[Datei]], die wichtig ist, muss mindestens eine [[Datensicherung|Sicherungskopie]] auf einem separaten [[Datenspeicher|Speichermedium]] angefertigt werden.
* Hierzu gibt es zum Beispiel [[Datensicherung|Backup]]-Software, die diese Aufgaben regelmäßig und automatisch erledigt.
* Im Rahmen von wiederkehrenden Wartungsarbeiten müssen angefertigte Sicherungskopien auf Integrität, Vertraulichkeit und Verfügbarkeit geprüft werden.
 
Im Unternehmensbereich kommen [[Backup]]-Lösungen mit örtlicher Distanz wie beispielsweise durch ein zweites Rechenzentrum mit redundanter Spiegelung sowie Cloud-Lösungen infrage.
* Diese Lösungen sind oftmals kostspielig.
* Die Verbesserung der Datensicherheit durch Sicherungskopien ist im Privatbereich weniger kostenintensiv.
* So können je nach Datenmenge auch kleinere Wechseldatenträger wie [[DVD]] oder [[Blu-ray Disc|Blu-ray]] sowie externe (USB-)Festplatten oder [[Network Attached Storage|NAS]]-Systeme zur Sicherung genutzt werden.
 
Grundsätzlich gilt, dass die Relevanz der Daten für unternehmerische oder private Zwecke über Art und Häufigkeit der Sicherung sowie über die Anzahl der Sicherungskopien entscheiden sollte.
 
=== Antiviren-Software verwenden ===
Wenn Daten aus dem [[Internet]], von [[Mailserver]]n heruntergeladen oder von [[Datenspeicher|Datenträgern]] kopiert werden, besteht immer die Möglichkeit, dass sich darunter auch schädliche Dateien befinden.
* Solche [[Schadprogramm]]e sind oft auf [[Computervirus#Gefährdungsgrad unterschiedlicher Betriebssysteme|weitverbreitete Betriebssysteme]] oder [[Webbrowser#Marktanteile und deren Messung|häufig genutzte Browser]] ausgerichtet.
 
Zur Vermeidung einer Kompromittierung sollten nur Dateien oder Anhänge geöffnet werden, denen man vertraut oder die von einem sogenannten [[Antivirenprogramm]] als unschädlich erkannt werden.
 
Allerdings können weder Vertrauen noch Antivirenprogramme vor allen schädlichen Dateien schützen.
* Eine vertrauenswürdige Quelle kann selbst infiziert sein, und Antivirenprogramme können unter Umständen neue sowie unbekannte Schädlinge nicht entdecken.
* Deshalb sollten sie regelmäßig, eventuell sogar mehrmals täglich aktualisiert werden.
 
Antivirenprogramme können sogar schädliche Nebenwirkungen haben, indem sie unschädliche Systemdateien irrtümlich als „infiziert“ erkennen und diese beseitigen, worauf das Betriebssystem nicht mehr korrekt funktioniert oder gar nicht mehr startet.
* Wie alle Computerprogramme können sie selbst Fehler und Sicherheitslücken haben, sodass unter Umständen das Computersystem nach der Installation nicht sicherer ist oder sogar unsicherer werden kann.
* Zudem können sie durch Werbeaussagen wie „bietet umfassenden Schutz gegen alle Bedrohungen“ zu riskanterem Verhalten verleiten.
 
=== Diversifikation ===
Eine weitere Maßnahme zur Reduktion der Gefahren besteht in der Diversifizierung von Software, also darin, Software von verschiedenen, auch nicht marktführenden Anbietern zu verwenden.
* Die Angriffe von [[Cracker (Computersicherheit)|Crackern]] zielen oftmals auf Produkte von großen Anbietern, weil sie bei kriminellen Angriffen damit den größten Gewinn erzielen und ansonsten gegebenenfalls den größten „Ruhm“ erlangen.
* Insofern kann es ratsam sein, auf Produkte von kleineren und weniger bekannten Unternehmen oder auf [[Open Source|Open-Source]]-Software zurückzugreifen.
 
=== Firewalls verwenden ===
Gegen Angriffe, die ohne das aktive Zutun des Nutzers drohen, ist eine [[Firewall|Netzwerk-Firewall]] oder eine [[Personal Firewall]] unerlässlich.
* Sie verhindert unerwünschte Zugriffe auf den Computer und unbeabsichtigte Aktivitäten des eigenen Computers, die vom Benutzer meist gar nicht bemerkt werden.
* Die Konfiguration einer Firewall ist nicht [[Trivialität|trivial]] und erfordert eine gewisse Kenntnis der Vorgänge und Gefahren.
* Sollte man diese Grundkenntnisse nicht besitzen ist es ratsam, einen Experten zu konsultieren, sollte man sich trotzdem eine Firewall einrichten wollen.
 
Eine falsch eingestellte Firewall kann mehr Schaden anrichten, als verhindern.
 
=== Sandbox ===
Eine [[Sandbox]] (übertragene Bezeichnung: „Sandkasten“) sperrt ein potenziell schädliches Programm ein.
* Im schlimmsten Falle kann das Programm im Innern der Sandbox Schaden anrichten.
* Beispielsweise gibt es keinen Grund, weshalb ein PDF-Reader auf OpenOffice-Dokumente zugreifen muss.
* Die Sandbox wäre in diesem Fall „alle PDF-Dokumente und sonst nichts“.
* Techniken wie [[AppArmor]] und [[SELinux]] ermöglichen den Bau einer Sandbox.
 
=== Aktive Inhalte deaktivieren ===
Bei [[Aktive Inhalte|aktiven Inhalten]] handelt es sich um Funktionalitäten, die die Bedienung eines Computers vereinfachen sollen.
* Das automatische Öffnen beziehungsweise Ausführen von heruntergeladenen Dateien birgt jedoch die Gefahr, dass diese schädlichen [[Computerprogramm|Code]] ausführen und den Rechner [[Infektion|infizieren]].
* Um dies zu vermeiden, sollten aktive Inhalte, wie zum Beispiel [[ActiveX]], [[Java-Technologie|Java]] oder [[JavaScript]], so weit wie möglich deaktiviert werden.
 
=== Sensible Daten verschlüsseln ===
Daten, die nicht in die Hände Dritter geraten sollen, können durch geeignete Maßnahmen, wie zum Beispiel mit der Software [[GNU Privacy Guard|GPG]] oder mit [[Festplattenverschlüsselung]], geschützt werden (siehe auch [[Kryptographie]]).
* Dies betrifft nicht nur Daten, die sich zwischen zwei Rechnern im Transit befinden, sondern auch Daten, die sich stationär auf [[Massenspeicher]]n befinden.
* Ein typisches Beispiel ist die Übertragung von Kreditkartennummern während des Online-Einkaufs, welche oft via [[Hypertext Transfer Protocol Secure|HTTPS]] geschützt werden.
* Der Zugriff auf den Inhalt ist nur dann möglich, wenn eine Partei über den richtigen [[Nummerung|Schlüssel]] verfügt.
* Besonders gefährdet sind unverschlüsselte, kabellose Netze, wie zum Beispiel offene [[Wireless Local Area Network|WLANs]].
* Sollten keine weiteren Schutzmaßnahmen ergriffen worden sein, wie z. B. der Einsatz von einem [[Virtual Private Network|VPN]], erhalten Unbefugte potenziell unbemerkten Zugriff auf die übertragenen Daten.
 
Auch für Behörden und Unternehmen ist die Datensicherheit, vor allem in Bezug auf den Datentransport, ein äußerst sensibles Thema.
* Immer wieder erfordern Geschäftsprozesse die mobile Verfügbarkeit von Forschungs-, Finanz-, Kunden- oder Kontodaten.
* Bei der Datenaufbewahrung und dem Datentransport müssen sich Behörden und Unternehmen auf höchste Sicherheit verlassen können.
* Gelangen sensible Daten in unbefugte Hände, entsteht meist ein irreparabler Schaden, insbesondere wenn die Daten verbreitet oder missbraucht werden.
* Um dies zu verhindern und höchste Datensicherheit für den mobilen Datentransport zu gewährleisten, müssen neben dem Kriterium der Datenverschlüsselung auch die Kriterien wie Datenintegrität (siehe [[Authentifizierung]]) und Lebenszyklus der Schlüssel beachtet werden.
 
Das angestrebte Niveau an Datensicherheit bestimmt die empfohlenen Verschlüsselungsmethoden und Verschlüsselungsstärken.
* Für Anwendungen mit symmetrischer Verschlüsselung empfiehlt das [[Bundesamt für Sicherheit in der Informationstechnik|BSI (Deutschland)]] die Verschlüsselungsmethode [[Advanced Encryption Standard|AES]] mit einer Schlüssellänge ab 128 Bit.
* Als Betriebsart werden [[CCM Mode|CCM]], [[Galois/Counter Mode|GCM]], [[Cipher Block Chaining Mode|CBC]] und [[Counter Mode|CTR]] empfohlen.
 
[[Passwort|Passwörter]], [[persönliche Identifikationsnummer]]n (PIN) und [[Transaktionsnummer]]n (TAN) sollten nicht unverschlüsselt gespeichert oder übertragen werden.
 
=== Protokollierung ===
Automatisch erstellte [[Logging|Protokolle]] oder [[Logdatei]]en können dabei helfen, zu einem späteren Zeitpunkt zu ermitteln, wie es zu Schäden an einem Rechnersystem gekommen ist.
 
=== Sichere Entwicklungssysteme und Laufzeitumgebungen verwenden ===
Für die Generierung und [[Softwarewartung|Wartung]] sicherer Software ist es sehr nützlich, schon bei der [[Softwaretechnik|Softwareentwicklung]] [[Strukturierte Programmierung|strukturiert zu programmieren]] und leicht überschaubare und erlernbare Werkzeuge zu verwenden, die möglichst enggefasste [[Variable (Programmierung)|Sichtbarkeitsregeln]] und [[Datenkapselung (Programmierung)|gekapselte]] [[Modul (Software)|Programmmodule]] mit eindeutig definierten [[Schnittstelle#Softwareschnittstellen|Schnittstellen]] erlauben. Durch eingeschränkte Freiheiten bei der Programmierung, wie zum Beispiel die Beschränkung auf [[Vererbung (Programmierung)#Mehrfachvererbung|einfache Vererbung]] oder das Verbot von [[Zirkelbezug|Zirkelbezügen]] oder kritischen [[Typumwandlung]]en, wird in der Regel zugleich das Potenzial von [[Programmfehler]]n eingeschränkt.
* Dabei ist es auch sinnvoll und hilfreich, bereits [[Softwaretest|getestete Software]] durch geeignete Maßnahmen wiederzuverwenden, wie zum Beispiel durch die Verwendung von [[Prozedur (Programmierung)|Prozeduren]] oder [[Objektorientierung|objektorientierten]] [[Datenstruktur]]en.
 
Entwickler von Software, die zum sicheren [[Datenaustausch]] zwischen Rechnern eingesetzt wird, müssen moderne [[Integrierte Entwicklungsumgebung|Entwicklungssysteme]] und [[Programmiersprache]]n einsetzen, da ältere Systeme häufig [[Sicherheitslücke]]n aufweisen und nicht über die entsprechende Sicherheitsfunktionalität verfügen.
* Sichere Software ist nur in entsprechenden, modernen und sicheren [[Laufzeitumgebung]]en lauffähig und sollte mit Entwicklungswerkzeugen (wie zum Beispiel [[Compiler]]n) erstellt werden, die ein möglichst hohes Maß an [[Inhärenz|inhärenter]] Sicherheit bieten, wie zum Beispiel Modulsicherheit, [[Typsicherheit]] oder die Vermeidung von [[Pufferüberlauf|Pufferüberläufen]].
 
Auch bei Geräten, die nicht in einem [[Rechnernetz]] beziehungsweise im [[Internet der Dinge]] betrieben werden, kann die Informationssicherheit durch geeignete Entwicklungssysteme und Laufzeitumgebungen erhöht werden.
* Datenverlust durch unzuverlässigen Programmcode ([[Absturz (Computer)|Computerabsturz]]) kann vorbeugend zum Beispiel durch [[compiler]]generierte Überprüfung von [[Indexmenge (Mathematik)|Indizes]] von [[Datenfeld]]ern, unzulässigen [[Zeiger (Informatik)|Zeigern]] oder nach dem Auftreten von [[Programmfehler]]n durch [[Ausnahmebehandlung]] in der Laufzeitumgebung vermieden werden.
* Ferner ist es in objektorientierten Laufzeitumgebungen unerlässlich und auch in anderen Systemen sicherer, eine [[Garbage Collection|automatische Speicherbereinigung]] durchzuführen, damit nicht versehentlich Speicherplatz freigegeben wird.
 
Manche Entwickler vertrauen auf die [[Verifizierung#Informatik (Verifizieren von Software)|Verifikation von Programmcode]], um die [[Korrektheit (Informatik)|Korrektheit von Software]] zu verbessern.
* Ferner ist es möglich, bereits implementierte Software durch bestimmte Verfahren, wie zum Beispiel die Verwendung von [[Proof-Carrying Code]], erst während der Laufzeit zu überprüfen und deren Ausführung bei der Nichteinhaltung von [[Sicherheitsrichtlinie]]n zu verhindern.
 
=== Sensibilisierung und Befähigung der Mitarbeiter ===
Ein wichtiger Aspekt in der Umsetzung von [[Sicherheitsrichtlinie]]n ist die Ansprache der eigenen Mitarbeiter, die Bildung von sogenannter IT-Security-[[Public Awareness|Awareness]].
* Hier fordern die ersten [[Arbeitsgericht|Arbeitsrichter]] den Nachweis der erfolgten Mitarbeitersensibilisierung für den Fall eines etwaigen Verstoßes gegen die Firmenrichtlinien.
 
Da [[Wirtschaftsspionage|Industriespionage]] oder gezielte, wirtschaftlich motivierte [[Sabotage]] gegen Unternehmen nicht allein mit technischen Mitteln, sondern beispielsweise durch [[Social Engineering (Sicherheit)|Social Engineering]] ausgeführt werden, erhält diese menschliche Seite der Informationssicherheit zusätzliche Bedeutung.
* Mitarbeiter sollten über mögliche Tricks der Angreifer orientiert sein und gelernt haben, mit potenziellen Angriffen umzugehen.
* Die Sensibilisierung variiert typischerweise von Unternehmen zu Unternehmen von Präsenzveranstaltungen über [[Webanwendung|webbasierte]] [[Seminar]]e bis hin zu Sensibilisierungskampagnen.
 
Der Fokus verschiebt sich dabei inzwischen von der reinen Sensibilisierung ''(Awareness)'' hin zur Befähigung ''([[Empowerment]])'' der Anwender, eigenverantwortlich für mehr Sicherheit im Umgang mit IT-gestützten Informationen zu sorgen.
 
 
In Unternehmen kommt dabei dem „Information Security Empowerment“ der Führungskräfte besondere Bedeutung zu, da sie Vorbildfunktion für ihre Abteilungsmitarbeiter haben und dafür verantwortlich sind, dass die Sicherheitsrichtlinien ihres Verantwortungsbereiches zu den Arbeitsabläufen passen – eine wichtige Voraussetzung für die Akzeptanz.
 
== Anhang ==
=== Siehe auch ===
 
==== Unterseiten ====
{{Special:PrefixIndex/Sicherheit/Maßnahmen}}
 
==== Sicherheit ====
==== Dokumentation ====
===== RFC =====
===== Man-Pages =====
===== Info-Pages =====
==== Links ====
===== Einzelnachweise =====
<references />
===== Projekt =====
===== Weblinks =====
<noinclude>
=== Testfragen ===
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 1''
<div class="mw-collapsible-content">'''Antwort1'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 2''
<div class="mw-collapsible-content">'''Antwort2'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 3''
<div class="mw-collapsible-content">'''Antwort3'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 4''
<div class="mw-collapsible-content">'''Antwort4'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 5''
<div class="mw-collapsible-content">'''Antwort5'''</div>
</div>
 
[[Kategorie:Informationssicherheit]]
 
</noinclude>

Aktuelle Version vom 17. September 2024, 10:03 Uhr

Unterkategorien

Diese Kategorie enthält die folgenden 2 Unterkategorien (2 insgesamt):

G

Z

Seiten in der Kategorie „ISMS/Massnahmen“

Diese Kategorie enthält nur die folgende Seite.