|
|
| (27 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
| Zeile 1: |
Zeile 1: |
| Grundwerte der Informationssicherheit
| | #WEITERLEITUNG [[IT-Sicherheit/Grundfunktionen]] |
| | |
| == Beschreibung ==
| |
| ; Motivation und Ziele der Informationssicherheit
| |
| Informationen (oder Daten) sind schützenswerte Güter.
| |
| * Der Zugriff auf diese sollte beschränkt und kontrolliert sein
| |
| * Nur autorisierte Benutzer oder Programme dürfen auf die Information zugreifen.
| |
| | |
| ''[[Schutzziele (Informationssicherheit)|Schutzziele]]'' werden zum Erreichen bzw. Einhalten der Informationssicherheit und damit zum Schutz der Daten vor beabsichtigten Angriffen von IT-Systemen definiert:
| |
| | |
| === Allgemeine Schutzziele ===
| |
| sind nach ihrer englischen Abkürzung auch als CIA(-Triade) bekannt:
| |
| {| class="wikitable options"
| |
| |-
| |
| ! Deutsch !! Englisch !! Beschreibung
| |
| |-
| |
| | [[Vertraulichkeit]] || Confidentiality || Daten dürfen lediglich von autorisierten Benutzern gelesen werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der [[Datenübertragung]].
| |
| |-
| |
| | [[Integrität (Informationssicherheit)|Integrität]] || Integrity || Daten dürfen nicht unbemerkt verändert werden. Alle Änderungen müssen nachvollziehbar sein.
| |
| |-
| |
| || [[Verfügbarkeit]] || Availability || Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet sein.
| |
| |}
| |
| | |
| === Weitere Schutzziele der Informationssicherheit ===
| |
| {| class="wikitable options"
| |
| |-
| |
| ! Deutsch !! Englisch !! Beschreibung
| |
| |-
| |
| | [[Authentizität]] || Authenticity || Bezeichnet die Eigenschaften der Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit eines Objekts.
| |
| |-
| |
| | Verbindlichkeit/Nichtabstreitbarkeit || Non repudiation || Sie erfordert, dass „kein unzulässiges Abstreiten durchgeführter Handlungen“ möglich ist. Sie ist unter anderem wichtig beim elektronischen Abschluss von Verträgen. Erreichbar ist sie beispielsweise durch [[elektronische Signatur]]en.
| |
| |-
| |
| | Zurechenbarkeit || Accountability || „Eine durchgeführte Handlung kann einem Kommunikationspartner eindeutig zugeordnet werden.“
| |
| * in bestimmtem Kontext (zum Beispiel im Internet) auch ''[[Anonymität]]''
| |
| |}
| |
| | |
| === Weitere Forderungen ===
| |
| {| class="wikitable options"
| |
| |-
| |
| ! Deutsch !! Englisch !! Beschreibung
| |
| |-
| |
| | Authentizität || Authenticity || Gesicherte Datenherkunft
| |
| |-
| |
| | Überwachung || || Zugriff zu Ressourcen
| |
| |-
| |
| | Ordnungsgemäßes Funktionieren || || eines IT-Systems
| |
| |-
| |
| | Revisions-Fähigkeit || || Organisation des Verfahrens, Nachvollziehbarkeit, wie und wann welche Daten in das IT-System gelangt sind
| |
| |-
| |
| | Transparenz || || IT-Verfahren ist nachvollziehbar für Sachkundige, in zumutbarer Zeit, mit zumutbarem Aufwand. Setzt eine aktuelle und angemessene Dokumentation voraus.
| |
| |}
| |
| | |
| === Besonderes Schutzziel im Zuge der [[Datenschutz-Grundverordnung|DSGVO]] ===
| |
| {| class="wikitable options"
| |
| |-
| |
| ! Deutsch !! Englisch !! Beschreibung
| |
| |-
| |
| | Resilienz || Resilience || Widerstandsfähigkeit/Belastbarkeit gegenüber Ausspähungen, irrtümlichen oder mutwilligen Störungen oder absichtlichen Schädigungen (Sabotagen)
| |
| |}
| |
| | |
| === Risikoanalyse und Bewertung ===
| |
| ; Jedes noch so gut geplante und umgesetzte IT-System kann [[Sicherheitslücke|Schwachstellen]] besitzen.
| |
| * Sind bestimmte Angriffe zum Umgehen der vorhandenen Sicherheitsvorkehrungen möglich, ist das System ''[[Verwundbarkeit|verwundbar]]''.
| |
| * Nutzt ein Angreifer eine Schwachstelle oder eine Verwundbarkeit zum Eindringen in ein IT-System, sind die Vertraulichkeit, Datenintegrität und Verfügbarkeit bedroht (englisch: ''threat'').
| |
| * Angriffe auf die Schutzziele bedeuten für Unternehmen Angriffe auf reale [[Unternehmenswert]]e, im Regelfall das Abgreifen oder Verändern von unternehmensinternen Informationen.
| |
| * Jede mögliche Bedrohung ist ein ''[[Risiko]]'' (englisch: ''risk'') für das Unternehmen.
| |
| * Unternehmungen versuchen durch die Verwendung eines [[Risikomanagement]]s (englisch: ''risk management'') die Wahrscheinlichkeit des Eintretens eines Schadens und die daraus resultierende Schadenshöhe zu bestimmen.
| |
| Nach einer ''[[Risikoanalyse]]'' und ''Bewertung'' der unternehmensspezifischen IT-Systeme können entsprechende ''Schutzziele'' definiert werden.
| |
| * Anschließend folgt die Auswahl von IT-Sicherheitsmaßnahmen für die jeweiligen [[Geschäftsprozess]]e eines Unternehmens.
| |
| * Dieser Vorgang zählt zu den Tätigkeiten des IT-Sicherheitsmanagements.
| |
| * Eine genormte Vorgehensweise wird durch das Verwenden von IT-Standards ermöglicht.
| |
| | |
| === IT-Sicherheitsmanagements ===
| |
| ; Im Rahmen des IT-Sicherheitsmanagements findet die Auswahl und Umsetzung entsprechender ''IT-Sicherheitsstandards'' statt.
| |
| * Zu diesem Zweck existieren im Bereich IT-Sicherheitsmanagement verschiedene Standards.
| |
| * Mit Hilfe des ''[[ISO/IEC 27001]]''- oder des ''[[IT-Grundschutz]]''-Standards wird mit anerkannten Regeln versucht, die Komplexität [[Soziotechnisches System|soziotechnischer Systeme]] für den Bereich des IT-Sicherheitsmanagements zu reduzieren und ein geeignetes Maß an Informationssicherheit zu finden.
| |
| | |
| <noinclude>
| |
| [[Kategorie:Sicherheit/Grundwerte]]
| |
| </noinclude>
| |