Zum Inhalt springen

Informationssicherheit: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen Versionsunterschied
VisuellWikitext
K Textersetzung - „usw.“ durch „und weitere“
 
(278 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''Informationssicherheit''' - Eigenschaft von Systemen [[Vertraulichkeit]], [[Verfügbarkeit]] und [[Integrität]] sicherzustellen
'''Informationssicherheit''' - Eigenschaft von Systemen [[Vertraulichkeit]], [[Verfügbarkeit]] und [[Integrität]] sicherzustellen


== Beschreibung ==
=== Beschreibung ===
{| class="wikitable sortable options" style="float:right; margin-left: 10px;"
; Systeme
{| class="wikitable options big"
|-
|-
! Option !! Beschreibung
! System !! Beschreibung
|-
|-
| [[Informationssicherheit:Grundlagen|Grundlagen]] ||
| nicht-technisch || [[IT-Grundschutz/Kompendium/Prozess-Bausteine|Prozessorientiert]]
|-
|-
| [[Informationssicherheit:Begriffe|Begriffe]] ||
| technisch || [[IT-Grundschutz/Kompendium/System-Bausteine|Systemorientiert]]
|}
 
=== Begriffe ===
{| class="wikitable options big"
|-
|-
| [[Informationssicherheit:Schutzziele|Schutzziele]] ||
! Begriff !! Beschreibung
|-
|-
| [[Managementsystem_für_Informationssicherheit|Managementsystem]] ||
| Informationssicherheit || Eigenschaft von Systemen, Vertraulichkeit, Verfügbarkeit und Integrität sicherzustellen
|-
|-
| [[IT-Grundschutz/Maßnahmen|Maßnahmen]] ||
| [[Cybersicherheit]] || Sicherheit gegen Gefahren aus dem Internet
|-
|-
| [[Common Criteria]] ||
| [[IT-Sicherheit]] || Technische Maßnahmen zur Realisierung von [[Grundwerte]]n
|-
|-
| [[Security Engineering]] ||
| [[Datenschutz]] || Schutz personenbezogener Daten ([[privacy]])
|-
|-
| [[:Kategorie:Informationssicherheit:Qualifizierung|Qualifizierung]] ||
| [[Business Continuity Management]] || Sicherstellung des Fortbestands von Einrichtungen
|-
|}
| [[Informationssicherheit:Audit und Zertifizierungen|Audit und Zertifizierungen]] ||
 
=== Informationsverarbeitung ===
{| class="wikitable options big"
|-
|-
| [[Informationssicherheit:Rahmenbedingungen|Rahmenbedingungen]] ||
! Tätigkeit !! Beschreibung
|-
|-
| [[Informationssicherheit:Umsetzungsbereiche|Umsetzungsbereiche]] ||
| [[Datenerfassung|Erfassen]] ||
|-
|-
| [[Mobile Endgeräte]] ||
| [[Datenspeicher|Speichern]] ||
|-
|-
| [[Bedrohung]]en ||
| [[Datenübermittlung|Übermitteln]] ||
|}
|}


; '''Informationssicherheit''' - Schutz von Informationen durch Risikominderung
=== Informationssicherheit ===
'''Informationssicherheit''', manchmal abgekürzt mit '''InfoSec''', ist der Schutz von [[Informationen]] durch die Minderung von Informationsrisiken.
; Informationssicherheit
* Sie ist Teil des [[Risikomanagement für Informationssysteme|Informationsrisikomanagement]].
* Schutz vor [[Gefahr]]en/[[Bedrohung]]en
* Vermeidung von wirtschaftlichen [[Schaden|Schäden]]
* Minimierung von [[Risiko|Risiken]]


In der Regel geht es darum, die Wahrscheinlichkeit eines unbefugten/unangemessenen Zugriffs auf [[Daten]] oder die unrechtmäßige Nutzung, [[Datenpanne|Enthüllung]], Unterbrechung, Löschung, [[Datenverfälschung|Korruption]], Änderung, Einsichtnahme, Aufzeichnung oder Entwertung von Informationen zu verhindern oder zu verringern.
; Begriff ''Informationssicherheit''
Der Begriff ''Informationssicherheit'' bezieht sich oft auf eine ''globale Informationssicherheit''
* Bei der die Zahl der möglichen schädlichen Szenarien summarisch reduziert ist ''oder'' der Aufwand zur Kompromittierung für den Betreiber in einem ungünstigen Verhältnis zum erwarteten Informationsgewinn steht
* In dieser Sichtweise ist die Informationssicherheit eine ökonomische Größe, mit der zum Beispiel in Betrieben und Organisationen gerechnet werden muss
* Daneben bezieht sich der Begriff auch auf die Sicherheit ''unter einem bestimmten Szenarium''
* In diesem Sinn liegt Informationssicherheit vor, wenn über einen bereits bekannten Weg kein Angriff auf das System mehr möglich ist
* Man spricht von einer binären Größe, weil die Information beim Anwenden dieser speziellen Methode entweder sicher oder nicht sicher sein kann


Er umfasst auch Maßnahmen zur Verringerung der nachteiligen Auswirkungen solcher Vorfälle.
=== Grundwerte===
* Geschützte Informationen können jede Form annehmen, z.B. elektronisch oder physisch, materiell (z.B. [[Dokument|Papier]]) oder immateriell (z.B. [[Wissen]]).
; Grundwerte der Informationssicherheit
{| class="wikitable options"
|-
| [[Vertraulichkeit]] ||
|-
| [[Verfügbarkeit]] ||
|-
| [[Integrität (Informationssicherheit)|Integrität]] ||
|}


Das Hauptaugenmerk der Informationssicherheit liegt auf dem ausgewogenen Schutz der [[Datenvertraulichkeit]], [[Datenintegrität]] und [[Datenverfügbarkeit]] von Daten (auch als CIA-Trias bekannt), wobei der Schwerpunkt auf der effizienten Umsetzung von [[Richtlinien]] liegt, ohne die [[Produktivität]] der Organisation zu beeinträchtigen.
==== Abhängigkeit von IT-Systemen ====
* Private und öffentliche [[Unternehmen]] sind in allen Bereichen ihrer Geschäftstätigkeit, Privatpersonen in den meisten Belangen des täglichen Lebens auf IT-Systeme angewiesen
* Da neben der Abhängigkeit auch die Risiken für IT-Systeme in Unternehmungen in der Regel größer sind als für Computer und [[Netzwerk]]e in privaten Haushalten, ist Informationssicherheit überwiegend Aufgabe von Unternehmen


; Dies wird größtenteils durch einen strukturierten [[Risikomanagement]]-Prozess erreicht, der Folgendes umfasst
==== Gesetzte und Regelungen ====
* Identifizierung von Informationen und zugehörigen [[Vermögenswert (Computersicherheit)|Vermögenswerten]] sowie potenziellen [[Bedrohung (Computer)|Bedrohungen]], [[Schwachstelle (Computer)|Schwachstellen]] und Auswirkungen;
Entsprechende Verpflichtungen lassen sich im gesamten deutschsprachigen Raum aus den verschiedenen Gesetzen zum Gesellschaftsrecht, Haftungsrecht, Datenschutz, Bankenrecht und weitere herleiten
* Bewertung der Risiken
* Dort stellt Informationssicherheit einen Baustein des [[Risikomanagement]]s dar
* Entscheidung, wie mit den Risiken umzugehen ist, d.h.
* International spielen Vorschriften wie [[Basel II]] und der [[Sarbanes-Oxley Act]] eine wichtige Rolle
* sie zu vermeiden, abzuschwächen, zu teilen oder zu akzeptieren
* wenn eine Risikominderung erforderlich ist, Auswahl oder Entwurf geeigneter Sicherheitskontrollen und deren Implementierung
* Überwachung der Aktivitäten und ggf.
* Anpassung an Probleme, Veränderungen und Verbesserungsmöglichkeiten


Um diese Disziplin zu standardisieren, arbeiten Akademiker und Fachleute zusammen, um Leitlinien, Richtlinien und Industriestandards zu [[Passwort]], [[Antivirensoftware]], [[Firewall (Computer)|firewall]], [[Verschlüsselungssoftware]], [[rechtliche Haftung]], [[Sicherheitsbewusstsein]] und Schulung usw.
==== Informationssicherheit und IT-Sicherheit ====
* anzubieten.


Diese [[Standardisierung]] kann durch eine Vielzahl von Gesetzen und Vorschriften vorangetrieben werden, die sich darauf auswirken, wie Daten abgerufen, verarbeitet, gespeichert, übertragen und vernichtet werden.
=== Motivation ===
Die Umsetzung von Standards und Leitlinien innerhalb einer Organisation kann jedoch nur begrenzte Wirkung haben, wenn keine Kultur der [[Kontinuierlicher Verbesserungsprozess|Kontinuierliche Verbesserung]] eingeführt wird.
; Risikoorientierte Herangehensweise
* Vermeidung von Schäden durch Maßnahmen
* Schutz vor Schäden jeglicher Art


=== Definition ===
; Klassische Beispiele
[[File:CIAJMK1209-en.svg|alt=vectorial version|thumb|'''Information Security Attributes''': or qualities, i.e., [[Confidentiality]], [[Data integrity|Integrity]] and [[Availability]] (CIA). [[Information Systems]] are composed in three main portions, hardware, software and communications with the purpose to help identify and apply information security industry standards, as mechanisms of protection and prevention, at three levels or layers: [[Physical information security|physical]], personal and organizational.
* Image- und Vertrauensverlust
* Essentially, procedures or policies are implemented to tell administrators, users and operators how to use products to ensure information security within the organizations.]]
* Datenverlust
* Produktivitätsausfall
* Wirtschaftsspionage
* Verletzung von Marken- und Urheberrechten


; Im Folgenden werden verschiedene Definitionen von Informationssicherheit vorgeschlagen, die aus unterschiedlichen Quellen stammen
==== IT-Sicherheit ====
# Bewahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.
; Motivationen
#: Darüber hinaus können auch andere Eigenschaften, wie Authentizität, Verantwortlichkeit, Nichtabstreitbarkeit und Zuverlässigkeit, einbezogen werden." (ISO/IEC 27000:2009)
{| class="wikitable options big"
# "Der Schutz von Informationen und Informationssystemen vor unbefugtem Zugriff, Verwendung, Offenlegung, Störung, Änderung oder Zerstörung, um Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleisten." (CNSS, 2010)
|-
# "Stellt sicher, dass nur autorisierte Benutzer (Vertraulichkeit) bei Bedarf Zugang zu genauen und vollständigen Informationen (Integrität) haben (Verfügbarkeit)." ([[ISACA]], 2008)
! Motivation !! !! Beschreibung
# "Informationssicherheit ist der Prozess des Schutzes des geistigen Eigentums einer Organisation." (Pipkin, 2000)
|-
# "...Informationssicherheit ist eine Disziplin des Risikomanagements, deren Aufgabe es ist, die Kosten des Informationsrisikos für das Unternehmen zu verwalten." (McDermott und Geer, 2001)
| Globalisierung || Kommunikationsbedürfnisse und -infrastruktur (Internet) || Verteilte Informatiksysteme sind kritische Ressourcen
# Ein gut informiertes Gefühl der Sicherheit, dass Informationsrisiken und -kontrollen im Gleichgewicht sind. (Anderson, J., 2003)
* Grenzüberschreitenden Kooperation
# "Informationssicherheit ist der Schutz von Informationen und minimiert das Risiko, dass Informationen Unbefugten zugänglich gemacht werden." (Venter und Eloff, 2003)
** E-Mail
# Informationssicherheit ist ein multidisziplinäres Studien- und Berufsfeld, das sich mit der Entwicklung und Umsetzung von Sicherheitsmechanismen aller verfügbaren Arten (technisch, organisatorisch, menschlich und rechtlich) befasst, um Informationen an all ihren Orten (innerhalb und außerhalb der Unternehmensgrenzen) und folglich auch Informationssysteme, in denen Informationen erstellt, verarbeitet, gespeichert, übertragen und vernichtet werden, vor Bedrohungen zu schützen.
** Desktop-Konferenzen
** Soziale Netzwerke
** Fernzugriffe
|-
| Offene Systeme || Vielfältige Schnittstellen und Datenaustausch || Erhöhung des Angriffs- und Schadenpotentials
|-
| Physische Sicherheit || Zugang zu Räumen und IT-Systemen || Kann oft nicht gewährleistet werden
|-
| Vertrauen als Ressource || Wem vertraue ich, wem nicht? || Wer ist mein Gegenüber wirklich?
|}


Bedrohungen für Informationen und Informationssysteme können in Kategorien eingeteilt werden, und für jede Kategorie von Bedrohungen kann ein entsprechendes Sicherheitsziel definiert werden.
==== Arten und Wichtigkeit von Informationen ====
* Ein Satz von Sicherheitszielen, der als Ergebnis einer Bedrohungsanalyse ermittelt wurde, sollte regelmäßig überarbeitet werden, um seine Angemessenheit und Konformität mit dem sich entwickelnden Umfeld sicherzustellen.
; Informationen sind Werte
* Der derzeit relevante Satz von Sicherheitszielen kann Folgendes umfassen: ''Vertraulichkeit, Integrität, Verfügbarkeit, Datenschutz, Authentizität und Vertrauenswürdigkeit, Nichtabstreitbarkeit, Rechenschaftspflicht und Überprüfbarkeit.''" (Cherdantseva und Hilton, 2013)
[[ISO/IEC 27001]]
* Die Sicherheit von Informationen und Informationsressourcen unter Verwendung von Telekommunikationssystemen oder -geräten bedeutet den Schutz von Informationen, Informationssystemen oder Büchern vor unbefugtem Zugriff, Beschädigung, Diebstahl oder Zerstörung (Kurose und Ross, 2010).
* Wertvoll für eine Organisation
* Wie die übrigen Geschäftswerte
* Müssen in geeigneter Weise geschützt werden


=== Überblick ===
; Angemessener Schutz
; Das Kernstück der Informationssicherheit ist die Informationssicherung, d.h.
Unabhängig von
* die Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit (CIA) von Informationen, um sicherzustellen, dass [[Informationen]] in kritischen Situationen nicht beeinträchtigt werden.
* Erscheinungsform
* Zu diesen Problemen gehören unter anderem Naturkatastrophen, Computer-/Serverfehlfunktionen und physischer Diebstahl.
* Art der Nutzung
* Während papiergestützte Geschäftsabläufe immer noch weit verbreitet sind und eine eigene Reihe von Informationssicherheitspraktiken erfordern, werden digitale Unternehmensinitiativen immer mehr in den Vordergrund gerückt, wobei die Informationssicherheit jetzt in der Regel von IT-Sicherheitsspezialisten übernommen wird.
* Speicherung
* Diese Spezialisten wenden die Informationssicherheit auf die Technologie an (meistens auf eine Form von Computersystemen).
* Es sei darauf hingewiesen, dass ein [[Computer]] nicht zwangsläufig ein Heimcomputer ist.


; Ein Computer ist jedes Gerät mit einer [[Zentraleinheit|Prozessor]] und etwas Speicher.
{| class="wikitable options big"
* Solche Geräte können von nicht vernetzten, eigenständigen Geräten wie Taschenrechnern bis hin zu vernetzten mobilen Computern wie Smartphones und Tablet-Computern reichen.
|-
IT-Sicherheitsspezialisten sind aufgrund der Art und des Wertes der Daten in größeren Unternehmen fast immer in allen größeren Unternehmen/Einrichtungen zu finden.
! Option !! Beschreibung
Sie sind dafür verantwortlich, dass die gesamte [[Technologie]] des Unternehmens vor böswilligen Cyberangriffen geschützt wird, die häufig darauf abzielen, an wichtige private Informationen zu gelangen oder die Kontrolle über die internen Systeme zu erlangen.
|-
| Schutzziele || [[IT-Sicherheit/Grundfunktionen]]
|-
| Maßnahmen || [[IT-Grundschutz/Maßnahmen]]
|-
| IT-Sicherheitsmanagement || [[Managementsystem_für_Informationssicherheit]]
|}


; Der Bereich der Informationssicherheit hat sich in den letzten Jahren stark weiterentwickelt.
; Aufrechterhaltung (CIA) von Informationen
* Es bietet viele Spezialisierungsmöglichkeiten, darunter die Sicherung von Netzwerken und verwandter [[Infrastruktur]], die Sicherung von [[Anwendungssoftware|Anwendungen]] und [[Datenbanken]], [[Sicherheitstests]], die Prüfung von Informationssystemen [[IT-Audit|Auditierung]], [[Geschäftskontinuitätsplanung]], die Aufdeckung elektronischer Daten und [[digitale Forensik]].Fachleute für Informationssicherheit sind in ihrem Beschäftigungsverhältnis sehr stabil.
* Vertraulichkeit
* Mehr als 80 Prozent der Fachleute hatten über einen Zeitraum von einem Jahr keinen Wechsel des Arbeitgebers oder der Beschäftigung zu verzeichnen, und die Zahl der Fachleute wird von 2014 bis 2019 voraussichtlich kontinuierlich um mehr als 11 Prozent jährlich steigen.
* Integrität
* Verfügbarkeit


=== Bedrohungen ===
; Ziel
[[Bedrohungen]]
Sicherstellen, dass [[Informationen]] in kritischen Situationen nicht beeinträchtigt werden


=== Geschichte ===
; Problemfelder
[[Informationssicherheit/Geschichte]]
* Zu diesen Problemen gehören unter anderem Naturkatastrophen, Computer-/Serverfehlfunktionen und physischer Diebstahl
* Während papiergestützte Geschäftsabläufe immer noch weitverbreitet sind und eine eigene Reihe von Informationssicherheitspraktiken erfordern, werden digitale Unternehmensinitiativen immer mehr in den Vordergrund gerückt, wobei die Informationssicherheit jetzt in der Regel von IT-Sicherheitsspezialisten übernommen wird
* Diese Spezialisten wenden die Informationssicherheit auf die Technologie an (meistens auf eine Form von Computersystemen)
* Es sei darauf hingewiesen, dass ein [[Computer]] nicht zwangsläufig ein Heimcomputer ist


== Grundprinzipien ==
; Was ist ein Comuter?
=== Schlüsselkonzepte ===
Ein Computer ist jedes Gerät mit einer [[Zentraleinheit|Prozessor]] und etwas Speicher
[[File:Posters for information security for the Ministry of Defense of the Russian Federation.jpg|thumb|Poster promoting information security by the Russian [[Ministry of Defence (Russia)|Ministry of Defence]]]]
* Solche Geräte können von nicht vernetzten, eigenständigen Geräten wie Taschenrechnern bis zu vernetzten mobilen Computern wie Smartphones und Tablet-Computern reichen


Der CIA-Dreiklang aus Vertraulichkeit, Integrität und Verfügbarkeit ist das Herzstück der Informationssicherheit.
; IT-Sicherheitsspezialisten
(Die Mitglieder des klassischen InfoSec-Dreiklangs - Vertraulichkeit, Integrität und Verfügbarkeit - werden in der Literatur auch als Sicherheitsattribute, Eigenschaften, Sicherheitsziele, grundlegende Aspekte, Informationskriterien, kritische Informationsmerkmale und Grundbausteine bezeichnet).
* IT-Sicherheitsspezialisten sind aufgrund der Art und des Wertes der Daten in größeren Unternehmen fast immer in allen größeren Unternehmen/Einrichtungen zu finden
Es wird jedoch weiterhin darüber diskutiert, ob diese CIA-Trias ausreicht, um den sich schnell ändernden technologischen und geschäftlichen Anforderungen gerecht zu werden, wobei empfohlen wird, die Überschneidungen zwischen Verfügbarkeit und Vertraulichkeit sowie die Beziehung zwischen Sicherheit und Datenschutz zu erweitern.
* Sie sind dafür verantwortlich, dass die gesamte [[Technologie]] des Unternehmens vor böswilligen Cyberangriffen geschützt wird, die häufig darauf abzielen, an wichtige private Informationen zu gelangen oder die Kontrolle über die internen Systeme zu erlangen


Der Dreiklang scheint erstmals 1977 in einer [[NIST]]-Publikation erwähnt worden zu sein.
; Informationssicherheit hat sich in den vergangenen Jahren stark weiterentwickelt
* Es bietet viele Spezialisierungsmöglichkeiten, darunter die Sicherung von Netzwerken und verwandter [[Infrastruktur]], die Sicherung von [[Anwendungssoftware|Anwendungen]] und [[Datenbanken]], [[Sicherheitstests]], die Prüfung von Informationssystemen [[IT-Audit|Auditierung]], [[Geschäftskontinuitätsplanung]], die Aufdeckung elektronischer Daten und [[digitale Forensik]]
* Fachleute für Informationssicherheit sind in ihrem Beschäftigungsverhältnis sehr stabil
* Mehr als 80 Prozent der Fachleute hatten über einen Zeitraum von einem Jahr keinen Wechsel des Arbeitgebers oder der Beschäftigung zu verzeichnen, und die Zahl der Fachleute wird von 2014 bis 2019 voraussichtlich kontinuierlich um mehr als 11 Prozent jährlich steigen


In den 1992 veröffentlichten und 2002 überarbeiteten ''Guidelines for the Security of Information Systems and Networks'' der [[OECD]]
==== Schutz von Informationen ====
die neun allgemein anerkannten Grundsätze vor: [[Bewusstsein für Informationssicherheit|Bewusstsein]], Verantwortung, Reaktion, Ethik, Demokratie, Risikobewertung, Sicherheitsentwurf und -umsetzung, Sicherheitsmanagement und Neubewertung.
; [[Risikomanagement für Informationssysteme|Informationsrisikomanagement]]
Darauf aufbauend wurden 2004 in den [[NIST]]s ''Engineering Principles for Information Technology Security'' 33 Grundsätze vorgeschlagen.
* Schutz von [[Informationen]] durch die Minderung von Informationsrisiken
* Aus jedem dieser Grundsätze wurden Leitlinien und Praktiken abgeleitet.


1998 schlug [[Donn Parker]] ein alternatives Modell für die klassische CIA-Triade vor, das er die [[Parkersche Hexade|Sechs atomare Elemente der Information]] nannte.
; Risikominderung
* Die Elemente sind [[Vertraulichkeit]], [[Eigentum|Besitz]], [[Integrität]], [[Authentifizierung|Authentizität]], [[Verfügbarkeit]] und [[Nutzen]].
* Eintrittwahrscheinlichkeit
* Die Vorzüge des [[Parkersche Hexade]]s sind unter Sicherheitsexperten umstritten.
* Schadensausmaß


Im Jahr 2011 veröffentlichte [[The Open Group]] den Informationssicherheitsmanagement-Standard [[Open Information Security Maturity Model|O-ISM3]].
; Gefährdungen von Informationen
Dieser Standard schlägt eine [[operationelle Definition]] der Schlüsselkonzepte der Sicherheit vor, mit Elementen, die als "Sicherheitsziele" bezeichnet werden und sich auf [[Zugriffskontrolle]] (9), [[Verfügbarkeit]] (3), [[Datenqualität]] (1), Compliance und Technik (4) beziehen.
[[IT-Grundschutz/Kompendium/Elementaren Gefährdungen]]
* Im Jahr 2009 hat die [[DoD]] [https://spi.dod.mil/ Software Protection Initiative] die [https://spi.dod.mil/threat.htm Three Tenets of Cybersecurity] veröffentlicht, die die Anfälligkeit des Systems, den Zugang zum Fehler und die Fähigkeit zur Ausnutzung des Fehlers umfassen.


Keines dieser Modelle ist weit verbreitet.
; Beispiele
{| class="wikitable big options"
|-
! Gefährdung !! Beschreibung
|-
| Unbefugter/unangemessener Zugriff ||
|-
| Unrechtmäßige Nutzung ||
|-
| Enthüllung ||
|-
| Unterbrechung ||
|-
| Löschung ||
|-
| [[Datenverfälschung|Korruption]] ||
|-
| Änderung ||
|-
| Einsichtnahme ||
|-
| Aufzeichnung ||
|-
| Entwertung ||
|}


==== Vertraulichkeit ====
; Maßnahmen zur Verringerung der nachteiligen Auswirkungen solcher Vorfälle
In der Informationssicherheit ist Vertraulichkeit "die Eigenschaft, dass Informationen nicht für unbefugte Personen, Einrichtungen oder Prozesse zugänglich gemacht oder offengelegt werden".
* Geschützte Informationen können jede Form annehmen, etwa elektronisch oder physisch, materiell (etwa [[Dokument|Papier]]) oder immateriell (etwa [[Wissen]])


Obwohl sie dem Begriff "Datenschutz" ähneln, sind die beiden Wörter nicht austauschbar.
; CIA-Trias Ausgewogenen Schutz
* Vielmehr ist die Vertraulichkeit eine Komponente des Datenschutzes, die unsere Daten vor unbefugten Einblicken schützt.
{| class="wikitable big options"
Beispiele für die Gefährdung der Vertraulichkeit elektronischer Daten sind der Diebstahl von Laptops, der Diebstahl von Passwörtern oder der Versand sensibler E-Mails an die falschen Personen.
|-
! Grundwert !! English !! Abkürzung
|-
| [[Datenvertraulichkeit]] || ||
|-
| [[Datenintegrität]] || ||
|-
| [[Datenverfügbarkeit]] || ||
|}


==== Integrität ====
; Schwerpunkt
In der IT-Sicherheit bedeutet [[Datenintegrität]], dass die Richtigkeit und Vollständigkeit von Daten während ihres gesamten Lebenszyklus gewahrt und sichergestellt wird.
* Effiziente Umsetzung von [[Richtlinien]]
Dies bedeutet, dass Daten nicht auf unautorisierte oder unentdeckte Weise verändert werden können.
* ohne die [[Produktivität]] der Organisation zu beeinträchtigen
Dies ist nicht dasselbe wie die [[referentielle Integrität]] in [[Datenbanken]], obwohl sie als ein Spezialfall der Konsistenz im Sinne des klassischen [[ACID]]-Modells der [[Transaktionsverarbeitung]] angesehen werden kann.
Informationssicherheitssysteme enthalten in der Regel Kontrollen zur Gewährleistung ihrer eigenen Integrität, insbesondere zum Schutz des Kerns oder der Kernfunktionen gegen absichtliche und zufällige Bedrohungen.
Mehrzweck- und Mehrbenutzer-Computersysteme zielen darauf ab, die Daten und die Verarbeitung so aufzuteilen, dass kein Benutzer oder Prozess einen anderen nachteilig beeinflussen kann: Die Kontrollen können jedoch nicht erfolgreich sein, wie wir bei Vorfällen wie Malware-Infektionen, Hacks, Datendiebstahl, Betrug und Verletzungen der Privatsphäre sehen.


Im weiteren Sinne ist Integrität ein Grundsatz der Informationssicherheit, der sowohl die menschliche/soziale, verfahrenstechnische und wirtschaftliche Integrität als auch die Datenintegrität umfasst.
; Risikomanagement-Prozess Strukturierter [[Risikomanagement]]-Prozess
* Als solches berührt sie Aspekte wie Glaubwürdigkeit, Konsistenz, Wahrhaftigkeit, Vollständigkeit, Genauigkeit, Aktualität und Sicherheit.
* Identifizierung von Informationen und zugehörigen [[Vermögenswert (Computersicherheit)|Vermögenswerten]] sowie potenziellen [[Bedrohung (Computer)|Bedrohungen]], [[Schwachstelle (Computer)|Schwachstellen]] und Auswirkungen;
* Bewertung der Risiken
* Entscheidung, wie mit den Risiken umzugehen ist, d.h
* sie zu vermeiden, abzuschwächen, zu teilen oder zu akzeptieren
* wenn eine Risikominderung erforderlich ist, Auswahl oder Entwurf geeigneter Sicherheitskontrollen und deren Implementierung
* Überwachung der Aktivitäten
* Anpassung an Probleme, Veränderungen und Verbesserungsmöglichkeiten


==== Verfügbarkeit ====
; Standardisierte Vorgehensweise
Damit ein Informationssystem seinen Zweck erfüllen kann, müssen die Informationen verfügbar sein, wenn sie benötigt werden.
Um diese Disziplin zu standardisieren, arbeiten Akademiker und Fachleute zusammen, um Leitlinien, Richtlinien und Industriestandards zu [[Passwort]], [[Antivirensoftware]], [[Firewall (Computer)|firewall]], [[Verschlüsselungssoftware]], [[rechtliche Haftung]], [[Sicherheitsbewusstsein]] und Schulung und weitere anzubieten
Das bedeutet, dass die Computersysteme, die zur Speicherung und Verarbeitung der Informationen verwendet werden, die [[Sicherheitskontrollen]], die zum Schutz der Informationen eingesetzt werden, und die Kommunikationskanäle, über die auf die Informationen zugegriffen wird, korrekt funktionieren müssen.
[[Hochverfügbarkeit]]ssysteme zielen darauf ab, jederzeit verfügbar zu sein und Dienstunterbrechungen aufgrund von Stromausfällen, Hardwarefehlern und System-Upgrades zu verhindern.
Zur Sicherstellung der Verfügbarkeit gehört auch die Verhinderung von [[Denial-of-Service-Angriff]]en, wie z.B.
* eine Flut von eingehenden Nachrichten an das Zielsystem, die es im Wesentlichen zum Abschalten zwingt.


Im Bereich der Informationssicherheit kann die Verfügbarkeit oft als einer der wichtigsten Bestandteile eines erfolgreichen Informationssicherheitsprogramms angesehen werden, denn schließlich müssen die Endbenutzer in der Lage sein, ihre Aufgaben zu erfüllen; durch die Sicherstellung der Verfügbarkeit ist ein Unternehmen in der Lage, die von den Interessengruppen des Unternehmens erwarteten Standards zu erfüllen.
Diese [[Standardisierung]] kann durch eine Vielzahl von Gesetzen und Vorschriften vorangetrieben werden, die sich darauf auswirken, wie Daten abgerufen, verarbeitet, gespeichert, übertragen und vernichtet werden
Dies kann Themen wie Proxy-Konfigurationen, Web-Zugang von außen, Zugriff auf freigegebene Laufwerke und die Möglichkeit, E-Mails zu versenden, betreffen.
* Die Umsetzung von Standards und Leitlinien innerhalb einer Organisation kann jedoch nur begrenzte Wirkung haben, wenn keine Kultur der [[Kontinuierlicher Verbesserungsprozess|Kontinuierliche Verbesserung]] eingeführt wird
Führungskräfte haben oft kein Verständnis für die technische Seite der Informationssicherheit und sehen die Verfügbarkeit als einfache Lösung an, aber dies erfordert oft die Zusammenarbeit vieler verschiedener Organisationsteams, wie z.B.
* Netzwerkbetrieb, Entwicklungsbetrieb, Reaktion auf Zwischenfälle und Richtlinien-/Änderungsmanagement.
Ein erfolgreiches Informationssicherheitsteam umfasst viele verschiedene Schlüsselrollen, die ineinandergreifen und aufeinander abgestimmt sein müssen, damit die CIA-Dreiergruppe effektiv bereitgestellt werden kann.


==== Unleugbarkeit ====
=== Definition ===
Im Recht bedeutet [[Nichtabstreitbarkeit]] die Absicht einer Person, ihre Verpflichtungen aus einem Vertrag zu erfüllen.
==== Attribute ====
* Es bedeutet auch, dass eine Partei einer Transaktion nicht bestreiten kann, eine Transaktion erhalten zu haben, noch kann die andere Partei bestreiten, eine Transaktion gesendet zu haben.
[[File:CIAJMK1209-en.svg|alt=vectorial version|mini]]
; Attribute der Informationssicherheit (CIA)
* [[Vertraulichkeit]]
* [[Datenintegrität|Integrität]]
* [[Verfügbarkeit]]


Es ist wichtig, darauf hinzuweisen, dass Technologie wie kryptografische Systeme zwar bei den Bemühungen um Nichtabstreitbarkeit helfen können, das Konzept aber im Kern ein Rechtskonzept ist, das über den Bereich der Technologie hinausgeht.
==== Informationssysteme ====
So reicht es beispielsweise nicht aus, nachzuweisen, dass die Nachricht mit einer digitalen Signatur übereinstimmt, die mit dem privaten Schlüssel des Absenders unterzeichnet wurde, so dass nur der Absender die Nachricht abgeschickt haben kann und niemand sonst sie während der Übertragung verändert haben kann ([[Datenintegrität]]).
; Hauptteile von [[Informationssysteme]]n
Der angebliche Absender könnte im Gegenzug nachweisen, dass der Algorithmus der digitalen Signatur anfällig oder fehlerhaft ist, oder behaupten oder beweisen, dass sein Signaturschlüssel kompromittiert wurde.
* Hardware
Die Schuld für diese Verstöße kann beim Absender liegen oder auch nicht, und solche Behauptungen können den Absender von der Haftung befreien oder auch nicht, aber die Behauptung würde die Behauptung entkräften, dass die Signatur notwendigerweise Authentizität und Integrität beweist.
* Software
* Als solcher kann der Absender die Nachricht zurückweisen (denn Authentizität und Integrität sind Voraussetzungen für die Nichtabstreitbarkeit).
* Kommunikation


== Risikomanagement ==
; Ziel
[[Risikomanagement]]
Informationssicherheits-Industriestandards als Schutz- und Präventionsmechanismen auf drei Ebenen oder Schichten zu identifizieren und anzuwenden:
* [[Physikalische Informationssicherheit|physikalisch]]
* persönlich
* organisatorisch


== Verfahren ==
==== Richtlinien ====
Die Begriffe "vernünftige und umsichtige Person", "[[Sorgfaltspflicht]]" und "Sorgfaltspflicht" werden seit vielen Jahren in den Bereichen Finanzen, Wertpapiere und Recht verwendet.
Verfahren und Richtlinien implementieren
* In den letzten Jahren haben diese Begriffe auch in den Bereichen Informatik und Informationssicherheit Einzug gehalten.
* Administratoren, Benutzern und Betreibern mitteilen, wie Produkte verwendet werden sollen
* Um die Informationssicherheit innerhalb der Organisationen zu gewährleisten


In der Geschäftswelt erwarten Aktionäre, Kunden, Geschäftspartner und Regierungen, dass die Unternehmensleitung das Unternehmen in Übereinstimmung mit anerkannten Geschäftspraktiken und unter Einhaltung von Gesetzen und anderen Vorschriften führt.
==== Definitionen von Informationssicherheit ====
* Dies wird oft als die Regel der "vernünftigen und umsichtigen Person" beschrieben.
{| class="wikitable big options"
* Eine umsichtige Person achtet darauf, dass alles Erforderliche getan wird, um das Unternehmen nach soliden Geschäftsprinzipien und auf legale, ethische Weise zu führen.
|-
* Eine umsichtige Person ist auch gewissenhaft (aufmerksam, fortlaufend) in ihrer Sorgfaltspflicht gegenüber dem Unternehmen.
! Definition !! Beschreibung !! Quelle
|-
| Vertraulichkeit, Integrität und Verfügbarkeit<br>von Informationen || Weitere Eigenschaften
* [[Authentizität]]
* [[Verantwortlichkeit]]
* [[Nichtabstreitbarkeit]]
* [[Zuverlässigkeit]]
| ISO/IEC 27000
|-
| Schutz von</br>Informationen/Informationssystemen || vor unbefugtem Zugriff, Verwendung, Offenlegung, Störung, Änderung oder Zerstörung, um Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleisten || CNSS, 2010
|-
| Nur autorisierte Benutzer || (Vertraulichkeit) bei Bedarf Zugang zu genauen und vollständigen Informationen (Integrität) haben (Verfügbarkeit) || [[ISACA]], 2008
|-
| Ist ein Prozess || des Schutzes des geistigen Eigentums einer Organisation || Pipkin, 2000
|-
| Disziplin des Risikomanagements || deren Aufgabe es ist, die Kosten des Informationsrisikos für das Unternehmen zu verwalten || McDermott und Geer, 2001
|-
| Gut informiertes Gefühl<br>der Sicherheit || dass Informationsrisiken und -kontrollen im Gleichgewicht sind || Anderson, J., 2003
|-
| Schutz von Informationen || minimiert das Risiko, dass Informationen Unbefugten zugänglich gemacht werden || Venter und Eloff, 2003
|}


Im Bereich der Informationssicherheit bietet Harris die folgenden Definitionen der Begriffe "due care" und "due diligence" an:
; Multidisziplinäres Studien- und Berufsfeld
:''"Due care are steps that are taken to show that a company has taken responsibility for the activities that take place within the corporation and has taken the necessary steps to help protect the company, its resources, and employees''.
Das sich mit der Entwicklung und Umsetzung von Sicherheitsmechanismen aller verfügbaren Arten (technisch, organisatorisch, menschlich und rechtlich) befasst, um Informationen an all ihren Orten (innerhalb und außerhalb der Unternehmensgrenzen) und folglich auch Informationssysteme, in denen Informationen erstellt, verarbeitet, gespeichert, übertragen und vernichtet werden, vor Bedrohungen zu schützen
''."'' Und <nowiki>[Due Diligence sind die]</nowiki> ''"kontinuierliche Aktivitäten, die sicherstellen, dass die Schutzmechanismen kontinuierlich aufrechterhalten werden und funktionsfähig sind."'''


Bei diesen Definitionen sollten zwei wichtige Punkte beachtet werden.
; Bedrohungskategorien
* Erstens werden bei der Sorgfaltspflicht Schritte unternommen, die sich nachweisen lassen; das bedeutet, dass die Schritte überprüft und gemessen werden können oder sogar greifbare Artefakte hervorbringen.
Bedrohungen für Informationen und Informationssysteme können in Kategorien eingeteilt werden, und für jede Kategorie von Bedrohungen kann ein entsprechendes Sicherheitsziel definiert werden
* Dies bedeutet, dass Menschen tatsächlich etwas tun, um die Schutzmechanismen zu überwachen und aufrechtzuerhalten, und dass diese Aktivitäten fortlaufend sind.
* Ein Satz von Sicherheitszielen, der als Ergebnis einer Bedrohungsanalyse ermittelt wurde, sollte regelmäßig überarbeitet werden, um seine Angemessenheit und Konformität mit dem sich entwickelnden Umfeld sicherzustellen


Organisationen haben eine Verantwortung, die Sorgfaltspflicht bei der Anwendung der Informationssicherheit zu praktizieren.
; Relevanter Satz von Sicherheitszielen
* Der Duty of Care Risk Analysis Standard (DoCRA) bietet Grundsätze und Praktiken für die Bewertung von Risiken.
* Vertraulichkeit
* Dabei werden alle Parteien berücksichtigt, die von diesen Risiken betroffen sein könnten.
* Integrität
* DoCRA hilft bei der Bewertung von Schutzmaßnahmen, ob diese geeignet sind, andere vor Schaden zu bewahren und gleichzeitig eine angemessene Belastung darstellen.
* Verfügbarkeit
* Angesichts der zunehmenden Rechtsstreitigkeiten im Zusammenhang mit Datenschutzverletzungen müssen Unternehmen ein Gleichgewicht zwischen Sicherheitskontrollen, Einhaltung der Vorschriften und ihrem Auftrag herstellen.
* Datenschutz
* Authentizität
* Vertrauenswürdigkeit
* Nichtabstreitbarkeit
* Rechenschaftspflicht
* Überprüfbarkeit


=== Sicherheits-Governance ===
Die Sicherheit von Informationen und Informationsressourcen unter Verwendung von Telekommunikationssystemen oder -geräten bedeutet den Schutz von Informationen, Informationssystemen oder Büchern vor unbefugtem Zugriff, Beschädigung, Diebstahl oder Zerstörung
Das [[Software Engineering Institute]] an der [[Carnegie Mellon University]] definiert in einer Veröffentlichung mit dem Titel ''Governing for Enterprise Security (GES) Implementation Guide'' die Merkmale einer effektiven Security Governance.
* Ein unternehmensweites Thema
* Führungskräfte sind rechenschaftspflichtig
* Betrachtung als Geschäftsanforderung
* Risikobasiert
* Rollen, Verantwortlichkeiten und Aufgabentrennung definiert
* In der Politik angesprochen und durchgesetzt
* Angemessene Ressourcen werden bereitgestellt
* Sensibilisierung und Schulung der Mitarbeiter
* Eine Anforderung an den Entwicklungslebenszyklus
* Geplant, verwaltet, messbar und gemessen
* Überprüft und auditiert


=== Vorfallsreaktionspläne ===
== Verfahren ==
[[Vorfallsreaktionspläne]]
{{:Informationssicherheit/Verfahren}}


=== Änderungsmanagement ===
<noinclude>
[[Änderungsmanagement]]
== Anhang ==
 
{| class="wikitable options"
== Business Continuity Management ==
|-
[[Business Continuity Management]]
! Gebiet !! Beschreibung
 
|-
== Gesetze und Vorschriften ==
| [[Informationssicherheit/Grundlagen|Grundlagen]] ||
[[File:Privacy International 2007 privacy ranking map.png|thumb|600px|[[Privacy International]] 2007 privacy ranking<br />green: Protections and safeguards<br />red: Endemic surveillance societies]]
|-
 
| [[ISMS/Glossar|Begriffe]] ||
Nachfolgend finden Sie eine unvollständige Auflistung staatlicher Gesetze und Vorschriften in verschiedenen Teilen der Welt, die sich erheblich auf die Datenverarbeitung und die Informationssicherheit auswirken, ausgewirkt haben oder auswirken werden.
|-
 
| [[IT-Sicherheit/Grundfunktionen|Schutzziele]] ||
Wichtige branchenspezifische Vorschriften sind ebenfalls aufgeführt, wenn sie sich erheblich auf die Informationssicherheit auswirken.
|-
* Das britische [[Data Protection Act 1984|Data Protection Act 1998]] enthält neue Bestimmungen zur Regelung der Verarbeitung personenbezogener Daten, einschließlich der Erlangung, des Besitzes, der Verwendung und der Offenlegung solcher Daten.
| [[Managementsystem_für_Informationssicherheit|Managementsystem]] ||
 
|-
Die Datenschutzrichtlinie der Europäischen Union (EUDPD) verlangt, dass alle EU-Mitglieder nationale Vorschriften erlassen, um den Schutz des [[Informationsschutzes|Datenschutzes]] für die Bürger in der gesamten EU zu vereinheitlichen.
| [[IT-Grundschutz/Maßnahmen|Maßnahmen]] ||
* Das [[Computermissbrauchsgesetz]] 1990 ist ein Gesetz des [[Parlament des Vereinigten Königreichs|U.K.-Parlaments]], das Computerkriminalität (z.B.
|-
* Hacking) unter Strafe stellt.
| [[Common Criteria]] ||
Das Gesetz wurde zum Vorbild für mehrere andere Länder, Kanada]] und die [[Republik Irland]], haben sich bei der Ausarbeitung ihrer eigenen Gesetze zur Informationssicherheit davon inspirieren lassen.
|-
* Die [[Richtlinie über die Vorratsdatenspeicherung]] der EU (aufgehoben) verpflichtet Internetanbieter und Telefongesellschaften, Daten über jede gesendete elektronische Nachricht und jeden getätigten Anruf zwischen sechs Monaten und zwei Jahren zu speichern.
| [[Security Engineering]] ||
* Das [[Family Educational Rights and Privacy Act]] (FERPA) (g; 34 CFR Part 99) ist ein US-amerikanisches Bundesgesetz, das die Privatsphäre von Schülerunterlagen schützt.
|-
Das Gesetz gilt für alle Schulen, die im Rahmen eines entsprechenden Programms des [[US-Bildungsministerium]]s Mittel erhalten.
| [[:Kategorie:ISMS/Qualifizierung|Qualifizierung]] ||
Im Allgemeinen müssen die Schulen die schriftliche Erlaubnis der Eltern oder des berechtigten Schülers haben um Informationen aus den Bildungsunterlagen eines Schülers freizugeben.
|-
* Die Sicherheitsrichtlinien für Prüfer des [[Federal Financial Institutions Examination Council]] (FFIEC) enthalten Anforderungen an die Sicherheit im Online-Banking.
| [[Informationssicherheit/Audit und Zertifizierungen|Audit und Zertifizierungen]] ||
* Der [[Health Insurance Portability and Accountability Act]] (HIPAA) von 1996 schreibt die Einführung nationaler Standards für elektronische Transaktionen im Gesundheitswesen und nationaler Kennungen für Leistungserbringer, Krankenversicherungspläne und Arbeitgeber vor.
|-
Darüber hinaus verpflichtet es Gesundheitsdienstleister, Versicherungsanbieter und Arbeitgeber, die Sicherheit und den Datenschutz von Gesundheitsdaten zu gewährleisten.
| [[Informationssicherheit/Rahmenbedingungen|Rahmenbedingungen]] ||
* Der [[Gramm-Leach-Bliley Act]] von 1999 (GLBA), auch bekannt als Financial Services Modernization Act von 1999, schützt die Privatsphäre und die Sicherheit privater Finanzdaten, die von Finanzinstituten gesammelt, gespeichert und verarbeitet werden.
|-
* Abschnitt 404 des [[Sarbanes-Oxley Act|Sarbanes-Oxley Act of 2002 (SOX)]] verpflichtet börsennotierte Unternehmen, die Wirksamkeit ihrer internen Kontrollen für die Finanzberichterstattung in den Jahresberichten zu bewerten, die sie am Ende eines jeden Geschäftsjahres vorlegen.
| [[Informationssicherheit/Umsetzungsbereiche|Umsetzungsbereiche]] ||
Die Chief Information Officers sind für die Sicherheit, Genauigkeit und Zuverlässigkeit der Systeme verantwortlich, die die Finanzdaten verwalten und ausweisen.
|-
Das Gesetz verpflichtet börsennotierte Unternehmen außerdem, unabhängige Prüfer zu beauftragen, die die Gültigkeit ihrer Bewertungen bestätigen und darüber berichten müssen.
| [[Mobile Endgeräte]] ||
* Der [[Payment Card Industry Data Security Standard|Payment Card Industry Data Security Standard (PCI DSS)]] legt umfassende Anforderungen zur Verbesserung der Sicherheit von Zahlungskontodaten fest.
|-
Er wurde von den Gründungsmitgliedern des PCI Security Standards Council entwickelt - darunter [[American Express]], [[Discover Card|Discover Financial Services]], JCB, MasterCard Worldwide, und [[Visa Inc.|Visa International]] - entwickelt, um die breite Einführung einheitlicher [[Datensicherheit]]smaßnahmen auf globaler Basis zu erleichtern.
| [[Bedrohung]]en ||
Der PCI DSS ist ein vielschichtiger Sicherheitsstandard, der Anforderungen an Sicherheitsmanagement, Richtlinien, Verfahren, [[Netzwerkarchitektur]], Softwaredesign und andere wichtige Schutzmaßnahmen enthält.
|}
* Staatliche [[Gesetze zur Meldung von Sicherheitsverletzungen]] (Kalifornien und viele andere) verpflichten Unternehmen, gemeinnützige Organisationen und staatliche Einrichtungen, Verbraucher zu benachrichtigen, wenn unverschlüsselte "personenbezogene Daten" möglicherweise kompromittiert wurden, verloren gegangen oder gestohlen worden sind.
* Das kanadische Gesetz zum Schutz persönlicher Daten und elektronischer Dokumente ([[Personal Information Protection and Electronic Documents Act|PIPEDA]]) unterstützt und fördert den elektronischen Handel durch den Schutz persönlicher Daten, die unter bestimmten Umständen erhoben, verwendet oder weitergegeben werden,
 
indem es die Verwendung elektronischer Mittel zur Übermittlung oder Aufzeichnung von Informationen oder Transaktionen vorsieht und den [[Canada Evidence Act]], den Statutory Instruments Act und den Statute Revision Act ändert.
* Die griechische Behörde für Kommunikationssicherheit und Datenschutz (ADAE) (Gesetz 165/2011) legt die Mindestkontrollen für die Informationssicherheit fest, die jedes Unternehmen, das elektronische Kommunikationsnetze und/oder -dienste in Griechenland anbietet, zum Schutz der Vertraulichkeit der Kunden einsetzen sollte.
Dazu gehören sowohl verwaltungstechnische als auch technische Kontrollen (z.B.
* sollten Protokollaufzeichnungen zwei Jahre lang aufbewahrt werden).
* Griechenlands griechische Behörde für Kommunikationssicherheit und Datenschutz (ADAE) (Gesetz 205/2013) konzentriert sich auf den Schutz der Integrität und Verfügbarkeit der von griechischen Telekommunikationsunternehmen angebotenen Dienste und Daten.
Das Gesetz zwingt diese und andere damit verbundene Unternehmen dazu, geeignete Pläne für die Geschäftskontinuität und redundante Infrastrukturen zu entwickeln, einzusetzen und zu testen.
 
Das US-Verteidigungsministerium (DoD) erließ im Jahr 2004 die DoD-Richtlinie 8570, ergänzt durch die DoD-Richtlinie 8140, die vorschreibt, dass alle DoD-Mitarbeiter und alle DoD-Vertragspersonen, die in der Informationssicherung tätig sind, verschiedene IT-Zertifizierungen erwerben und aufrechterhalten müssen, um sicherzustellen, dass alle DoD-Mitarbeiter, die an der Verteidigung der Netzwerkinfrastruktur beteiligt sind, über ein Mindestmaß an in der IT-Branche anerkannten Kenntnissen, Fähigkeiten und Fertigkeiten (KSA) verfügen.
* Andersson und Reimers (2019) berichten, dass diese Zertifizierungen von CompTIAs A+ und Security+ bis hin zu ICS2.orgs CISSP usw.
* reichen.
 
== Kultur ==
[[Informationssicherheit/Kultur]]
 
== Quellen für Normen ==
[[Informationssicherheit/Normen]]


== Anhang ==
==== Siehe auch ====
=== Siehe auch ===
{{Special:PrefixIndex/Informationssicherheit}}
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
----
----
* [[Need-to-know]]
* [[Need-to-know]]
* [[Backup]]
* [[Backup]]
* [[Bedrohungen]]
* [[Risikomanagement]]
* [[Business Continuity Management]]
* [[Need-to-know-Prinzip]]
* [[TeleTrusT]]
* [[:Datei:Mind map of information security.svg|Mind Map der Informationssicherheit]]


==== Links ====
==== Links ====
===== Weblinks =====
===== Weblinks =====
# https://de.wikipedia.org/wiki/Informationssicherheit
# https://en.wikipedia.org/wiki/Information_security
# https://en.wikipedia.org/wiki/Information_security
# http://iac.dtic.mil/iatac/ia_policychart.html
# http://msdn2.microsoft.com/en-us/library/ms998382.aspx
# http://www.opensecurityarchitecture.org
# http://www.iwar.org.uk/comsec
# [http://www.cl.cam.ac.uk/~rja14/book.html Ross Anderson's book "Security Engineering"]
# [[:Datei:Mind map of information security.svg|Mind Map der Informationssicherheit]]
[[Kategorie:Informationssicherheit]]


[[Kategorie:ISMS]]
[[Kategorie:ISMS/Glossar]]
</noinclude>
</noinclude>

Aktuelle Version vom 28. April 2025, 09:32 Uhr

Informationssicherheit - Eigenschaft von Systemen Vertraulichkeit, Verfügbarkeit und Integrität sicherzustellen

Beschreibung

Systeme
System Beschreibung
nicht-technisch Prozessorientiert
technisch Systemorientiert

Begriffe

Begriff Beschreibung
Informationssicherheit Eigenschaft von Systemen, Vertraulichkeit, Verfügbarkeit und Integrität sicherzustellen
Cybersicherheit Sicherheit gegen Gefahren aus dem Internet
IT-Sicherheit Technische Maßnahmen zur Realisierung von Grundwerten
Datenschutz Schutz personenbezogener Daten (privacy)
Business Continuity Management Sicherstellung des Fortbestands von Einrichtungen

Informationsverarbeitung

Tätigkeit Beschreibung
Erfassen
Speichern
Übermitteln

Informationssicherheit

Informationssicherheit
Begriff Informationssicherheit

Der Begriff Informationssicherheit bezieht sich oft auf eine globale Informationssicherheit

  • Bei der die Zahl der möglichen schädlichen Szenarien summarisch reduziert ist oder der Aufwand zur Kompromittierung für den Betreiber in einem ungünstigen Verhältnis zum erwarteten Informationsgewinn steht
  • In dieser Sichtweise ist die Informationssicherheit eine ökonomische Größe, mit der zum Beispiel in Betrieben und Organisationen gerechnet werden muss
  • Daneben bezieht sich der Begriff auch auf die Sicherheit unter einem bestimmten Szenarium
  • In diesem Sinn liegt Informationssicherheit vor, wenn über einen bereits bekannten Weg kein Angriff auf das System mehr möglich ist
  • Man spricht von einer binären Größe, weil die Information beim Anwenden dieser speziellen Methode entweder sicher oder nicht sicher sein kann

Grundwerte

Grundwerte der Informationssicherheit
Vertraulichkeit
Verfügbarkeit
Integrität

Abhängigkeit von IT-Systemen

  • Private und öffentliche Unternehmen sind in allen Bereichen ihrer Geschäftstätigkeit, Privatpersonen in den meisten Belangen des täglichen Lebens auf IT-Systeme angewiesen
  • Da neben der Abhängigkeit auch die Risiken für IT-Systeme in Unternehmungen in der Regel größer sind als für Computer und Netzwerke in privaten Haushalten, ist Informationssicherheit überwiegend Aufgabe von Unternehmen

Gesetzte und Regelungen

Entsprechende Verpflichtungen lassen sich im gesamten deutschsprachigen Raum aus den verschiedenen Gesetzen zum Gesellschaftsrecht, Haftungsrecht, Datenschutz, Bankenrecht und weitere herleiten

Informationssicherheit und IT-Sicherheit

Motivation

Risikoorientierte Herangehensweise
  • Vermeidung von Schäden durch Maßnahmen
  • Schutz vor Schäden jeglicher Art
Klassische Beispiele
  • Image- und Vertrauensverlust
  • Datenverlust
  • Produktivitätsausfall
  • Wirtschaftsspionage
  • Verletzung von Marken- und Urheberrechten

IT-Sicherheit

Motivationen
Motivation Beschreibung
Globalisierung Kommunikationsbedürfnisse und -infrastruktur (Internet) Verteilte Informatiksysteme sind kritische Ressourcen
  • Grenzüberschreitenden Kooperation
    • E-Mail
    • Desktop-Konferenzen
    • Soziale Netzwerke
    • Fernzugriffe
Offene Systeme Vielfältige Schnittstellen und Datenaustausch Erhöhung des Angriffs- und Schadenpotentials
Physische Sicherheit Zugang zu Räumen und IT-Systemen Kann oft nicht gewährleistet werden
Vertrauen als Ressource Wem vertraue ich, wem nicht? Wer ist mein Gegenüber wirklich?

Arten und Wichtigkeit von Informationen

Informationen sind Werte

ISO/IEC 27001

  • Wertvoll für eine Organisation
  • Wie die übrigen Geschäftswerte
  • Müssen in geeigneter Weise geschützt werden
Angemessener Schutz

Unabhängig von

  • Erscheinungsform
  • Art der Nutzung
  • Speicherung
Option Beschreibung
Schutzziele IT-Sicherheit/Grundfunktionen
Maßnahmen IT-Grundschutz/Maßnahmen
IT-Sicherheitsmanagement Managementsystem_für_Informationssicherheit
Aufrechterhaltung (CIA) von Informationen
  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit
Ziel

Sicherstellen, dass Informationen in kritischen Situationen nicht beeinträchtigt werden

Problemfelder
  • Zu diesen Problemen gehören unter anderem Naturkatastrophen, Computer-/Serverfehlfunktionen und physischer Diebstahl
  • Während papiergestützte Geschäftsabläufe immer noch weitverbreitet sind und eine eigene Reihe von Informationssicherheitspraktiken erfordern, werden digitale Unternehmensinitiativen immer mehr in den Vordergrund gerückt, wobei die Informationssicherheit jetzt in der Regel von IT-Sicherheitsspezialisten übernommen wird
  • Diese Spezialisten wenden die Informationssicherheit auf die Technologie an (meistens auf eine Form von Computersystemen)
  • Es sei darauf hingewiesen, dass ein Computer nicht zwangsläufig ein Heimcomputer ist
Was ist ein Comuter?

Ein Computer ist jedes Gerät mit einer Prozessor und etwas Speicher

  • Solche Geräte können von nicht vernetzten, eigenständigen Geräten wie Taschenrechnern bis zu vernetzten mobilen Computern wie Smartphones und Tablet-Computern reichen
IT-Sicherheitsspezialisten
  • IT-Sicherheitsspezialisten sind aufgrund der Art und des Wertes der Daten in größeren Unternehmen fast immer in allen größeren Unternehmen/Einrichtungen zu finden
  • Sie sind dafür verantwortlich, dass die gesamte Technologie des Unternehmens vor böswilligen Cyberangriffen geschützt wird, die häufig darauf abzielen, an wichtige private Informationen zu gelangen oder die Kontrolle über die internen Systeme zu erlangen
Informationssicherheit hat sich in den vergangenen Jahren stark weiterentwickelt
  • Es bietet viele Spezialisierungsmöglichkeiten, darunter die Sicherung von Netzwerken und verwandter Infrastruktur, die Sicherung von Anwendungen und Datenbanken, Sicherheitstests, die Prüfung von Informationssystemen Auditierung, Geschäftskontinuitätsplanung, die Aufdeckung elektronischer Daten und digitale Forensik
  • Fachleute für Informationssicherheit sind in ihrem Beschäftigungsverhältnis sehr stabil
  • Mehr als 80 Prozent der Fachleute hatten über einen Zeitraum von einem Jahr keinen Wechsel des Arbeitgebers oder der Beschäftigung zu verzeichnen, und die Zahl der Fachleute wird von 2014 bis 2019 voraussichtlich kontinuierlich um mehr als 11 Prozent jährlich steigen

Schutz von Informationen

Informationsrisikomanagement
  • Schutz von Informationen durch die Minderung von Informationsrisiken
Risikominderung
  • Eintrittwahrscheinlichkeit
  • Schadensausmaß
Gefährdungen von Informationen

IT-Grundschutz/Kompendium/Elementaren Gefährdungen

Beispiele
Gefährdung Beschreibung
Unbefugter/unangemessener Zugriff
Unrechtmäßige Nutzung
Enthüllung
Unterbrechung
Löschung
Korruption
Änderung
Einsichtnahme
Aufzeichnung
Entwertung
Maßnahmen zur Verringerung der nachteiligen Auswirkungen solcher Vorfälle
  • Geschützte Informationen können jede Form annehmen, etwa elektronisch oder physisch, materiell (etwa Papier) oder immateriell (etwa Wissen)
CIA-Trias Ausgewogenen Schutz
Grundwert English Abkürzung
Datenvertraulichkeit
Datenintegrität
Datenverfügbarkeit
Schwerpunkt
Risikomanagement-Prozess Strukturierter Risikomanagement-Prozess
  • Identifizierung von Informationen und zugehörigen Vermögenswerten sowie potenziellen Bedrohungen, Schwachstellen und Auswirkungen;
  • Bewertung der Risiken
  • Entscheidung, wie mit den Risiken umzugehen ist, d.h
  • sie zu vermeiden, abzuschwächen, zu teilen oder zu akzeptieren
  • wenn eine Risikominderung erforderlich ist, Auswahl oder Entwurf geeigneter Sicherheitskontrollen und deren Implementierung
  • Überwachung der Aktivitäten
  • Anpassung an Probleme, Veränderungen und Verbesserungsmöglichkeiten
Standardisierte Vorgehensweise

Um diese Disziplin zu standardisieren, arbeiten Akademiker und Fachleute zusammen, um Leitlinien, Richtlinien und Industriestandards zu Passwort, Antivirensoftware, firewall, Verschlüsselungssoftware, rechtliche Haftung, Sicherheitsbewusstsein und Schulung und weitere anzubieten

Diese Standardisierung kann durch eine Vielzahl von Gesetzen und Vorschriften vorangetrieben werden, die sich darauf auswirken, wie Daten abgerufen, verarbeitet, gespeichert, übertragen und vernichtet werden

  • Die Umsetzung von Standards und Leitlinien innerhalb einer Organisation kann jedoch nur begrenzte Wirkung haben, wenn keine Kultur der Kontinuierliche Verbesserung eingeführt wird

Definition

Attribute

vectorial version
Attribute der Informationssicherheit (CIA)

Informationssysteme

Hauptteile von Informationssystemen
  • Hardware
  • Software
  • Kommunikation
Ziel

Informationssicherheits-Industriestandards als Schutz- und Präventionsmechanismen auf drei Ebenen oder Schichten zu identifizieren und anzuwenden:

Richtlinien

Verfahren und Richtlinien implementieren

  • Administratoren, Benutzern und Betreibern mitteilen, wie Produkte verwendet werden sollen
  • Um die Informationssicherheit innerhalb der Organisationen zu gewährleisten

Definitionen von Informationssicherheit

Definition Beschreibung Quelle
Vertraulichkeit, Integrität und Verfügbarkeit
von Informationen		 Weitere Eigenschaften ISO/IEC 27000
Schutz von
Informationen/Informationssystemen		 vor unbefugtem Zugriff, Verwendung, Offenlegung, Störung, Änderung oder Zerstörung, um Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleisten CNSS, 2010
Nur autorisierte Benutzer (Vertraulichkeit) bei Bedarf Zugang zu genauen und vollständigen Informationen (Integrität) haben (Verfügbarkeit) ISACA, 2008
Ist ein Prozess des Schutzes des geistigen Eigentums einer Organisation Pipkin, 2000
Disziplin des Risikomanagements deren Aufgabe es ist, die Kosten des Informationsrisikos für das Unternehmen zu verwalten McDermott und Geer, 2001
Gut informiertes Gefühl
der Sicherheit		 dass Informationsrisiken und -kontrollen im Gleichgewicht sind Anderson, J., 2003
Schutz von Informationen minimiert das Risiko, dass Informationen Unbefugten zugänglich gemacht werden Venter und Eloff, 2003
Multidisziplinäres Studien- und Berufsfeld

Das sich mit der Entwicklung und Umsetzung von Sicherheitsmechanismen aller verfügbaren Arten (technisch, organisatorisch, menschlich und rechtlich) befasst, um Informationen an all ihren Orten (innerhalb und außerhalb der Unternehmensgrenzen) und folglich auch Informationssysteme, in denen Informationen erstellt, verarbeitet, gespeichert, übertragen und vernichtet werden, vor Bedrohungen zu schützen

Bedrohungskategorien

Bedrohungen für Informationen und Informationssysteme können in Kategorien eingeteilt werden, und für jede Kategorie von Bedrohungen kann ein entsprechendes Sicherheitsziel definiert werden

  • Ein Satz von Sicherheitszielen, der als Ergebnis einer Bedrohungsanalyse ermittelt wurde, sollte regelmäßig überarbeitet werden, um seine Angemessenheit und Konformität mit dem sich entwickelnden Umfeld sicherzustellen
Relevanter Satz von Sicherheitszielen
  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit
  • Datenschutz
  • Authentizität
  • Vertrauenswürdigkeit
  • Nichtabstreitbarkeit
  • Rechenschaftspflicht
  • Überprüfbarkeit

Die Sicherheit von Informationen und Informationsressourcen unter Verwendung von Telekommunikationssystemen oder -geräten bedeutet den Schutz von Informationen, Informationssystemen oder Büchern vor unbefugtem Zugriff, Beschädigung, Diebstahl oder Zerstörung

Verfahren

Informationssicherheit/Verfahren

Beschreibung

Verfahren Beschreibung
Sicherheits-Governance
Vorfallsreaktionspläne
Änderungsmanagement

Sorgfaltspflicht

"Vernünftige und umsichtige Person", "Sorgfaltspflicht"

  • Lange in Bereichen Finanzen, Wertpapiere und Recht verwendet
  • In den vergangenen Jahren haben diese Begriffe auch in den Bereichen Informatik und Informationssicherheit Einzug gehalten

Einhaltung von Gesetzen und Vorschriften

Aktionäre, Kunden, Geschäftspartner und Regierungen erwarten

  • dass die Unternehmensleitung das Unternehmen in Übereinstimmung mit anerkannten Geschäftspraktiken und unter Einhaltung von Gesetzen und anderen Vorschriften führt
  • Dies wird oft als die Regel der "vernünftigen und umsichtigen Person" beschrieben
  • Eine umsichtige Person achtet darauf, dass alles Erforderliche getan wird, um das Unternehmen nach soliden Geschäftsprinzipien und auf legale, ethische Weise zu führen
  • Eine umsichtige Person ist auch gewissenhaft (aufmerksam, fortlaufend) in ihrer Sorgfaltspflicht gegenüber dem Unternehmen

"due care" und "due diligence"

Im Bereich der Informationssicherheit bietet Harris die folgenden Definitionen der Begriffe "due care" und "due diligence" an:

"Due care are steps that are taken to show that a company has taken responsibility for the activities that take place within the corporation and has taken the necessary steps to help protect the company, its resources, and employees."

Und [Due Diligence sind die] "kontinuierliche Aktivitäten, die sicherstellen, dass die Schutzmechanismen kontinuierlich aufrechterhalten werden und funktionsfähig sind."'

Bei diesen Definitionen sollten zwei wichtige Punkte beachtet werden
  • Erstens werden bei der Sorgfaltspflicht Schritte unternommen, die sich nachweisen lassen; das bedeutet, dass die Schritte überprüft und gemessen werden können oder sogar greifbare Artefakte hervorbringen
  • Dies bedeutet, dass Menschen tatsächlich etwas tun, um die Schutzmechanismen zu überwachen und aufrechtzuerhalten, und dass diese Aktivitäten fortlaufend sind

Verantwortung

Organisationen haben eine Verantwortung

Sorgfaltspflicht bei der Anwendung der Informationssicherheit praktizieren
  • Der Duty of Care Risk Analysis Standard (DoCRA) bietet Grundsätze und Praktiken für die Bewertung von Risiken
  • Dabei werden alle Parteien berücksichtigt, die von diesen Risiken betroffen sein könnten
  • DoCRA hilft bei der Bewertung von Schutzmaßnahmen, ob diese geeignet sind, andere vor Schaden zu bewahren und gleichzeitig eine angemessene Belastung darstellen
  • Angesichts der zunehmenden Rechtsstreitigkeiten im Zusammenhang mit Datenschutzverletzungen müssen Unternehmen ein Gleichgewicht zwischen Sicherheitskontrollen, Einhaltung der Vorschriften und ihrem Auftrag herstellen



Anhang

Gebiet Beschreibung
Grundlagen
Begriffe
Schutzziele
Managementsystem
Maßnahmen
Common Criteria
Security Engineering
Qualifizierung
Audit und Zertifizierungen
Rahmenbedingungen
Umsetzungsbereiche
Mobile Endgeräte
Bedrohungen

Siehe auch

Links

Weblinks
  1. https://de.wikipedia.org/wiki/Informationssicherheit
  2. https://en.wikipedia.org/wiki/Information_security
Abgerufen von „https://wiki.foxtom.de/index.php?title=Informationssicherheit&oldid=139027