Systemsicherheit: Unterschied zwischen den Versionen

Systemsicherheit - Eigenschaft komplexer Systeme zuverlässig und mit akzeptablem Risiko zu funktionieren

Beschreibung

• System Security
• gr. σύστημα (systema) Verbund, das Zusammengestellte

Beinhaltet

• Prozesssicherheit
• Arbeitssicherheit

Faktoren

• Organisatorisch
• Technisch
• Menschlich

Aktive Herstellung von Sicherheit

• Etwa sicheres Handeln am Arbeitsplatz

IT-System

IT-System (Informationstechnisches System) - elektronische Daten verarbeitende Systeme

Beschreibung

Informationstechnische Systeme (IT-Systeme) sind elektronische datenverarbeitende Systeme jegliche Art

• Computer
• Großrechner
• Hochleistungsrechner
• Verteilte Systeme wie z. B. Serversysteme
• Computer-Grids
• Cloud Computing
• Datenbanksysteme
• Informationssysteme
• Prozessrechner
• Digitale Messsysteme
• DSP-Systeme
• Mikrocontroller-Systeme
• Kompaktregler
• eingebettete Systeme
• Mobiltelefone
• Handhelds
• digitale Anrufbeantworter
• Videokonferenzsysteme und diverse Kommunikationssysteme u. a. m.

Der Begriff wurde am 22. August 2007 in einem Fragenkatalog des deutschen Bundesministeriums der Justiz im Zusammenhang mit Online-Durchsuchungen als Rechtsbegriff verwendet.

Das Bundesverfassungsgericht hat im Urteil zur Online-Durchsuchung vom 27. Februar 2008 – 1 BvR 370/07 bzw. 1 BvR 595/07 – auch das Internet in seiner Gesamtheit als informationstechnisches System angesehen.

IT-Systeme bestehen aus

• Objekten
• Subjekten
• Aktionen
• Umfeldbedingungen

Objekte

Objekte eines IT-Systems sind alle aktiven und passiven Komponenten

• Hardware
• Software
• gespeicherten Daten

Im weiteren Sinne

• Gesamte informationstechnische Infrastruktur

schutzwürdige Objekte

• Einzelne Objekte (Server, Anwendungen, Verbindungen)
• Gruppen von Objekten
• Gesamter IT-Verbund

Für jedes Objekt muss geregelt sein

• welche Subjekte
• unter welchen Voraussetzungen
• Zugang und
• Zugriff erhalten

Subjekte

Subjekte eines IT-Systems sind

• Betreiber
• Anwender
• Benutzer

Zugang der Subjekte zu IT-Systemen und Zugriff auf einzelne Objekte erfordert

• Identifikation
• Authentifizierung

Subjekte können auch technische Kommunikationselemente sein

• selbststeuernde Aktionen
• z.B Verbindung zu fremden Systemen
• mit dem Ziel des Zugriffs auf fremde Objekte
• aufbauen
• nutzen
• wieder abbauen

Anmeldung

Zugangsverfahren

Anmeldeverfahren von Subjekten zu IT-Systemen oder einzelnen Objekten

Im Zugangsverfahren wird die Berechtigung von

• natürlichen oder
• technischen Subjekten

durch

• technische oder
• logische Verfahren

zur Identifizierung / Authentifizierung überprüft

Zugriffskontrolle

Zugriff

Ausführung von

• lesenden,
• schreibenden oder
• steuernden Aktionen

auf definierte Objekte eines IT-Systems

Zugriffskontrolle erfolgt auf logischer Ebene

• nach ordnungsgemäßer Zugangskontrolle
• mittels Verfahren zur Identifizierung und / oder
• Authentifizierung von Zugriffsrechten.

Need-to-Know-Prinzip

Ein Subjekt darf nur auf ein Objekt zugreifen können, wenn dies in seiner Zuständigkeit liegt.

Aktionen

Aktionen

• aktiv/passiv
• objektnutzend/objektsteuernd

Differenzierung auf Softwareebene

• Systemsoftware
• Anwendungssoftware

Umfeld

Konstrukte am Standort beschrieben das Umfeld

• räumlich
• versorgungstechnisch
• Klimatechnisch
• ...

Sekundäres Umfeld vernetzter Systeme

• Netztopologie
• Kommunikationsarchitektur

Aspekte

Option	Beschreibung
Bauteilsicherheit
Hardware
Software
Zutritt
Zugriff
Wartung
Redundanz
Umgebung
Zuverlässigkeit
Härtung

Anhang

Siehe auch

• Systemsicherheit

Links

Weblinks