Risiko/Management: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
VisuellWikitext
Keine Bearbeitungszusammenfassung
Zeile 2: Zeile 2:


== Risikomanagement ==
== Risikomanagement ==
; Risikomanagement ist eine [[Aufgabe (Pflicht)|Aufgabe]], die einer [[Funktion (Organisation)|Funktion]] in einer [[Organisationseinheit]] in [[Unternehmen]] oder [[Behörde]]n zugeordnet ist.
; Risikomanagement ist eine [[Aufgabe (Pflicht)|Aufgabe]], die einer [[Funktion (Organisation)|Funktion]] in einer [[Organisationseinheit]] in [[Unternehmen]] oder [[Behörde]]n zugeordnet ist


Risikomanagement ist nach der Norm [[ISO 31000]]: 2009 eine Führungsaufgabe, im Rahmen derer die Risiken einer Organisation identifiziert, analysiert und später bewertet werden.
Risikomanagement ist nach der Norm [[ISO 31000]]: 2009 eine Führungsaufgabe, im Rahmen derer die Risiken einer Organisation identifiziert, analysiert und später bewertet werden
* Hierzu sind übergeordnete Ziele, Strategien und Politik der Organisation für das Risikomanagement festzulegen.
* Hierzu sind übergeordnete Ziele, Strategien und Politik der Organisation für das Risikomanagement festzulegen
* Im Einzelnen betrifft dies die Festlegung von Kriterien, nach denen die Risiken eingestuft und bewertet werden, die Methoden der Risikoermittlung, die Verantwortlichkeiten bei Risikoentscheidungen, die Bereitstellung von Ressourcen zur Risikoabwehr, die interne und externe Kommunikation über die identifizierten Risiken (Berichterstattung) sowie die Qualifikation des Personals für das Risikomanagement. 2018 ist eine aktualisierte Version der Norm ISO 31000 erschienen.
* Im Einzelnen betrifft dies die Festlegung von Kriterien, nach denen die Risiken eingestuft und bewertet werden, die Methoden der Risikoermittlung, die Verantwortlichkeiten bei Risikoentscheidungen, die Bereitstellung von Ressourcen zur Risikoabwehr, die interne und externe Kommunikation über die identifizierten Risiken (Berichterstattung) sowie die Qualifikation des Personals für das Risikomanagement. 2018 ist eine aktualisierte Version der Norm ISO 31000 erschienen


; Eine formale Ausbildung und Zertifizierung zum Risikomanager kann in Deutschland dem Stand der Technik entsprechend gemäß DIN VDE V 0827 „Notfall- und Gefahren-Systeme – Teil 1: Notfall- und Gefahren-Reaktions-Systeme (NGRS) – Grundlegende Anforderungen, Aufgaben, Verantwortlichkeiten und Aktivitäten“ und in Österreich nach ONR 49003 „Risikomanagement für Organisationen und Systeme – Anforderungen an die Qualifikation des Risikomanagers – Anwendung von ISO/DIN 31000 in der Praxis“ erfolgen.
; Eine formale Ausbildung und Zertifizierung zum Risikomanager kann in Deutschland dem Stand der Technik entsprechend gemäß DIN VDE V 0827 „Notfall- und Gefahren-Systeme – Teil 1: Notfall- und Gefahren-Reaktions-Systeme (NGRS) – Grundlegende Anforderungen, Aufgaben, Verantwortlichkeiten und Aktivitäten“ und in Österreich nach ONR 49003 „Risikomanagement für Organisationen und Systeme – Anforderungen an die Qualifikation des Risikomanagers – Anwendung von ISO/DIN 31000 in der Praxis“ erfolgen


; Risikomanagement wird als ein fortlaufender [[Prozess]] verstanden, in dem Planung, Umsetzung, Überwachung und Verbesserung kontinuierlich stattfinden ([[Demingkreis]]<nowiki>:„Plan-Do-Check-Act“)</nowiki>
; Risikomanagement wird als ein fortlaufender [[Prozess]] verstanden, in dem Planung, Umsetzung, Überwachung und Verbesserung kontinuierlich stattfinden ([[Demingkreis]]<nowiki>:„Plan-Do-Check-Act“)</nowiki>
* Risikomanagement soll über die gesamte Lebensdauer einer Organisation zur Anwendung kommen und eine Kultur der Risikolenkung in der Organisation entstehen lassen.
* Risikomanagement soll über die gesamte Lebensdauer einer Organisation zur Anwendung kommen und eine Kultur der Risikolenkung in der Organisation entstehen lassen


; Die in der Norm ISO 31000 beschriebenen Grundsätze und Verfahren zum Risikomanagement gelten allgemein.
; Die in der Norm ISO 31000 beschriebenen Grundsätze und Verfahren zum Risikomanagement gelten allgemein
* Sie können in allen Bereichen, in denen Risiken existieren, angewendet werden und sind nicht auf eine spezifische Branche zugeschnitten.
* Sie können in allen Bereichen, in denen Risiken existieren, angewendet werden und sind nicht auf eine spezifische Branche zugeschnitten


Das Risikomanagement ([[Risikofrüherkennungssystem]]) insbesondere der Aktiengesellschaften orientiert sich an den Anforderungen des [[Gesetz zur Kontrolle und Transparenz im Unternehmensbereich|Kontroll- und Transparenzgesetzes (KonTraG)]] und dem darauf basierenden IdW-Prüfungsstandard [[IDW PS 340|PS 340]] und dem jüngeren [[DIIR Revisionsstandard Nr. 2]] des [[Deutsches Institut für Interne Revision|Deutschen Instituts für Interne Revision]] (von 2018).
Das Risikomanagement ([[Risikofrüherkennungssystem]]) insbesondere der Aktiengesellschaften orientiert sich an den Anforderungen des [[Gesetz zur Kontrolle und Transparenz im Unternehmensbereich|Kontroll- und Transparenzgesetzes (KonTraG)]] und dem darauf basierenden IdW-Prüfungsstandard [[IDW PS 340|PS 340]] und dem jüngeren [[DIIR Revisionsstandard Nr. 2]] des [[Deutsches Institut für Interne Revision|Deutschen Instituts für Interne Revision]] (von 2018)
* Ziel ist es, bestandsbedrohende Risiken frühzeitig zu erkennen und nachvollziehbar zu überwachen.
* Ziel ist es, bestandsbedrohende Risiken frühzeitig zu erkennen und nachvollziehbar zu überwachen
* Da oft gerade Kombinationseffekte mehrerer Einzelrisiken bestandsbedrohend werden, wird eine Aggregation der Einzelrisiken zur Bestimmung des Gesamtrisikoumfangs gefordert ([[Risikoaggregation]]).
* Da oft gerade Kombinationseffekte mehrerer Einzelrisiken bestandsbedrohend werden, wird eine Aggregation der Einzelrisiken zur Bestimmung des Gesamtrisikoumfangs gefordert ([[Risikoaggregation]])
* Der ökonomische Mehrwert des Risikomanagements ist die Reduzierung der Wahrscheinlichkeit bestandsbedrohender Krisen durch mehr Risikotransparenz.
* Der ökonomische Mehrwert des Risikomanagements ist die Reduzierung der Wahrscheinlichkeit bestandsbedrohender Krisen durch mehr Risikotransparenz
* Die Beurteilung des Grades der finanzwirtschaftlichen Bestandsbedrohung erfolgt durch die Berechnung der Auswirkungen von Risiken auf das zukünftige [[Rating]] mittels einer sogenannten [[Ratingprognose]].
* Die Beurteilung des Grades der finanzwirtschaftlichen Bestandsbedrohung erfolgt durch die Berechnung der Auswirkungen von Risiken auf das zukünftige [[Rating]] mittels einer sogenannten [[Ratingprognose]]


Als weitere Vorteile eines leistungsfähigen Risikomanagements sind eine Verbesserung der Planungssicherheit und eine Reduzierung der [[Risikokosten]] zu nennen.
Als weitere Vorteile eines leistungsfähigen Risikomanagements sind eine Verbesserung der Planungssicherheit und eine Reduzierung der [[Risikokosten]] zu nennen


; Risikomanagement-Prozess
; Risikomanagement-Prozess
Zeile 32: Zeile 32:
* Risikoaufzeichnungen zur Dokumentation aller Vorgänge, die im Zusammenhang der Risikoanalyse und -beurteilung stattfinden
* Risikoaufzeichnungen zur Dokumentation aller Vorgänge, die im Zusammenhang der Risikoanalyse und -beurteilung stattfinden


Um die Komplexität des Risikomanagement-Prozesses zu bewältigen, große Datenmengen zu analysieren und ein strategisches Risikomanagement zu implementieren, bedienen sich viele Unternehmen einer Risikomanagement-Software.
Um die Komplexität des Risikomanagement-Prozesses zu bewältigen, große Datenmengen zu analysieren und ein strategisches Risikomanagement zu implementieren, bedienen sich viele Unternehmen einer Risikomanagement-Software
* Diese ist in der Lage, die Risiken eines Unternehmens abzubilden oder zukünftige Risiken zu simulieren.
* Diese ist in der Lage, die Risiken eines Unternehmens abzubilden oder zukünftige Risiken zu simulieren


; Methoden  
; Methoden
* BSI-Standard 200-3
* BSI-Standard 200-3
: Risikoanalyse auf der Basis von IT-Grundschutz
: Risikoanalyse auf der Basis von IT-Grundschutz
Zeile 56: Zeile 56:
== Phasen ==
== Phasen ==
; Managementkreislauf
; Managementkreislauf
: Analog dem Managementkreis werden die Phasen wiederholt durchlaufen und stellen somit einen Zyklus dar.
: Analog dem Managementkreis werden die Phasen wiederholt durchlaufen und stellen somit einen Zyklus dar


; Risikomanagement umfasst die Phasen  
; Risikomanagement umfasst die Phasen
Aufgaben
Aufgaben
{| class="wikitable sortable options"
{| class="wikitable sortable options"
Zeile 113: Zeile 113:
= TMP =
= TMP =
== Risikomanagement ==
== Risikomanagement ==
Allgemein ausgedrückt ist Risiko die Wahrscheinlichkeit, dass etwas Schlimmes passiert, das einem Informationsgut Schaden zufügt (oder den Verlust des Gutes verursacht).
Allgemein ausgedrückt ist Risiko die Wahrscheinlichkeit, dass etwas Schlimmes passiert, das einem Informationsgut Schaden zufügt (oder den Verlust des Gutes verursacht)
Eine Schwachstelle ist eine Schwäche, die ausgenutzt werden könnte, um einen Informationswert zu gefährden oder zu schädigen.
Eine Schwachstelle ist eine Schwäche, die ausgenutzt werden könnte, um einen Informationswert zu gefährden oder zu schädigen
* Eine Bedrohung ist alles (vom Menschen verursachte oder [[Naturkatastrophe|Naturereignis]]), was das Potenzial hat, Schaden zu verursachen.
* Eine Bedrohung ist alles (vom Menschen verursachte oder [[Naturkatastrophe|Naturereignis]]), was das Potenzial hat, Schaden zu verursachen
Die Wahrscheinlichkeit, dass eine Bedrohung eine Schwachstelle ausnutzt, um Schaden zu verursachen, stellt ein Risiko dar.
Die Wahrscheinlichkeit, dass eine Bedrohung eine Schwachstelle ausnutzt, um Schaden zu verursachen, stellt ein Risiko dar
* Wenn eine Bedrohung eine Schwachstelle ausnutzt, um Schaden anzurichten, hat dies eine Auswirkung.
* Wenn eine Bedrohung eine Schwachstelle ausnutzt, um Schaden anzurichten, hat dies eine Auswirkung
Im Zusammenhang mit der Informationssicherheit ist die Auswirkung ein Verlust an Verfügbarkeit, Integrität und Vertraulichkeit sowie möglicherweise andere Verluste (Einkommensverluste, Verlust von Menschenleben, Verlust von Immobilien).
Im Zusammenhang mit der Informationssicherheit ist die Auswirkung ein Verlust an Verfügbarkeit, Integrität und Vertraulichkeit sowie möglicherweise andere Verluste (Einkommensverluste, Verlust von Menschenleben, Verlust von Immobilien)


Das ''[[Certified Information Systems Auditor]] (CISA) Review Manual 2006''' definiert '''Risikomanagement''' als "den Prozess der Identifizierung von [[Schwachstellen (Computer)|Schwachstellen]] und [[Bedrohungen (Computer)|Bedrohungen]] für die Informationsressourcen, die von einer Organisation zur Erreichung ihrer Geschäftsziele genutzt werden, und die Entscheidung, welche [[Gegenmaßnahmen (Computer)|Gegenmaßnahmen]], Gegenmaßnahmen]] zu ergreifen sind, um das Risiko auf ein akzeptables Niveau zu reduzieren, basierend auf dem Wert der Informationsressourcen für die Organisation."
Das ''[[Certified Information Systems Auditor]] (CISA) Review Manual 2006''' definiert '''Risikomanagement''' als "den Prozess der Identifizierung von [[Schwachstellen (Computer)|Schwachstellen]] und [[Bedrohungen (Computer)|Bedrohungen]] für die Informationsressourcen, die von einer Organisation zur Erreichung ihrer Geschäftsziele genutzt werden, und die Entscheidung, welche [[Gegenmaßnahmen (Computer)|Gegenmaßnahmen]], Gegenmaßnahmen]] zu ergreifen sind, um das Risiko auf ein akzeptables Niveau zu reduzieren, basierend auf dem Wert der Informationsressourcen für die Organisation."


In dieser Definition gibt es zwei Punkte, die einer Klarstellung bedürfen.
In dieser Definition gibt es zwei Punkte, die einer Klarstellung bedürfen
* Erstens ist der ''Prozess'' des Risikomanagements ein fortlaufender, iterativer [[Geschäftsprozess|Prozess]].
* Erstens ist der ''Prozess'' des Risikomanagements ein fortlaufender, iterativer [[Geschäftsprozess|Prozess]]
* Er muss unendlich oft wiederholt werden.
* Er muss unendlich oft wiederholt werden
* Das Geschäftsumfeld ändert sich ständig, und jeden Tag tauchen neue [[Bedrohung (Computer)|Bedrohungen]] und [[Schwachstelle (Computer)|Schwachstellen]] auf.
* Das Geschäftsumfeld ändert sich ständig, und jeden Tag tauchen neue [[Bedrohung (Computer)|Bedrohungen]] und [[Schwachstelle (Computer)|Schwachstellen]] auf
Zweitens muss bei der Wahl der [[Gegenmaßnahmen (Computer)|Gegenmaßnahmen]] ([[Sicherheitskontrollen|Kontrollen]]), die zur Bewältigung von Risiken eingesetzt werden, ein Gleichgewicht zwischen Produktivität, Kosten, Wirksamkeit der Gegenmaßnahme und dem Wert des zu schützenden Informationsguts gefunden werden.
Zweitens muss bei der Wahl der [[Gegenmaßnahmen (Computer)|Gegenmaßnahmen]] ([[Sicherheitskontrollen|Kontrollen]]), die zur Bewältigung von Risiken eingesetzt werden, ein Gleichgewicht zwischen Produktivität, Kosten, Wirksamkeit der Gegenmaßnahme und dem Wert des zu schützenden Informationsguts gefunden werden
Darüber hinaus sind diesen Verfahren Grenzen gesetzt, da Sicherheitsverletzungen im Allgemeinen selten sind und in einem spezifischen Kontext auftreten, der sich nicht ohne weiteres duplizieren lässt.
Darüber hinaus sind diesen Verfahren Grenzen gesetzt, da Sicherheitsverletzungen im Allgemeinen selten sind und in einem spezifischen Kontext auftreten, der sich nicht ohne weiteres duplizieren lässt
Daher sollte jedes Verfahren und jede Gegenmaßnahme selbst auf Schwachstellen untersucht werden.
Daher sollte jedes Verfahren und jede Gegenmaßnahme selbst auf Schwachstellen untersucht werden
Es ist weder möglich, alle Risiken zu identifizieren, noch ist es möglich, alle Risiken zu eliminieren.
Es ist weder möglich, alle Risiken zu identifizieren, noch ist es möglich, alle Risiken zu eliminieren
* Das verbleibende Risiko wird als "Restrisiko" bezeichnet.
* Das verbleibende Risiko wird als "Restrisiko" bezeichnet
"
"


Eine [[Risikobewertung]] wird von einem Team von Personen durchgeführt, die über Kenntnisse in bestimmten Bereichen des Unternehmens verfügen.
Eine [[Risikobewertung]] wird von einem Team von Personen durchgeführt, die über Kenntnisse in bestimmten Bereichen des Unternehmens verfügen
Die Zusammensetzung des Teams kann sich im Laufe der Zeit ändern, da verschiedene Bereiche des Unternehmens bewertet werden.
Die Zusammensetzung des Teams kann sich im Laufe der Zeit ändern, da verschiedene Bereiche des Unternehmens bewertet werden
Die Bewertung kann auf einer subjektiven qualitativen Analyse beruhen, die sich auf eine fundierte Meinung stützt, oder, wenn verlässliche Dollar-Zahlen und historische Informationen verfügbar sind, auf einer [[Statistik|quantitativen]] Analyse.
Die Bewertung kann auf einer subjektiven qualitativen Analyse beruhen, die sich auf eine fundierte Meinung stützt, oder, wenn verlässliche Dollar-Zahlen und historische Informationen verfügbar sind, auf einer [[Statistik|quantitativen]] Analyse


Die Forschung hat gezeigt, dass die anfälligste Stelle in den meisten Informationssystemen der menschliche Benutzer, Bediener, Designer oder andere Menschen sind.
Die Forschung hat gezeigt, dass die anfälligste Stelle in den meisten Informationssystemen der menschliche Benutzer, Bediener, Designer oder andere Menschen sind
Der [[ISO/IEC 17799|ISO/IEC 27002:2005]] Code of Practice for [[Information Security Management]] empfiehlt, bei einer Risikobewertung Folgendes zu untersuchen:
Der [[ISO/IEC 17799|ISO/IEC 27002:2005]] Code of Practice for [[Information Security Management]] empfiehlt, bei einer Risikobewertung Folgendes zu untersuchen:
* [[Sicherheitspolitik]],
* [[Sicherheitspolitik]],
Zeile 149: Zeile 149:
* [[Incident Management]] der Informationssicherheit,
* [[Incident Management]] der Informationssicherheit,
* Management der Geschäftskontinuität
* Management der Geschäftskontinuität
* Einhaltung von Vorschriften.
* Einhaltung von Vorschriften


Im Großen und Ganzen besteht der Risikomanagementprozess aus
Im Großen und Ganzen besteht der Risikomanagementprozess aus
# Identifizierung von Vermögenswerten und Schätzung ihres Wertes.
# Identifizierung von Vermögenswerten und Schätzung ihres Wertes
* Dazu gehören: Menschen, Gebäude, Hardware, Software, Daten (elektronisch, gedruckt, andere), Zubehör.
* Dazu gehören: Menschen, Gebäude, Hardware, Software, Daten (elektronisch, gedruckt, andere), Zubehör
# Durchführung einer [[Bedrohungsanalyse]].
# Durchführung einer [[Bedrohungsanalyse]]
* Einschließlich: Naturkatastrophen, Kriegshandlungen, Unfälle, böswillige Handlungen, die von innerhalb oder außerhalb der Organisation ausgehen.
* Einschließlich: Naturkatastrophen, Kriegshandlungen, Unfälle, böswillige Handlungen, die von innerhalb oder außerhalb der Organisation ausgehen
# Durchführung einer [[Schwachstellenbewertung]], wobei für jede Schwachstelle die Wahrscheinlichkeit berechnet wird, dass sie ausgenutzt wird.
# Durchführung einer [[Schwachstellenbewertung]], wobei für jede Schwachstelle die Wahrscheinlichkeit berechnet wird, dass sie ausgenutzt wird
* Bewertung von Richtlinien, Verfahren, Standards, Ausbildung, [[physische Sicherheit]], [[Qualitätskontrolle]], technische Sicherheit.
* Bewertung von Richtlinien, Verfahren, Standards, Ausbildung, [[physische Sicherheit]], [[Qualitätskontrolle]], technische Sicherheit
# Berechnen Sie die Auswirkungen, die jede Bedrohung auf jeden Vermögenswert haben würde.
# Berechnen Sie die Auswirkungen, die jede Bedrohung auf jeden Vermögenswert haben würde
* Verwenden Sie eine qualitative oder quantitative Analyse.
* Verwenden Sie eine qualitative oder quantitative Analyse
# Identifizieren, wählen und implementieren Sie geeignete Kontrollen.
# Identifizieren, wählen und implementieren Sie geeignete Kontrollen
* Geben Sie eine verhältnismäßige Antwort.
* Geben Sie eine verhältnismäßige Antwort
* Berücksichtigen Sie Produktivität, Kosteneffizienz und den Wert des Gutes.
* Berücksichtigen Sie Produktivität, Kosteneffizienz und den Wert des Gutes
# Bewerten Sie die Wirksamkeit der Kontrollmaßnahmen.
# Bewerten Sie die Wirksamkeit der Kontrollmaßnahmen
* Sicherstellen, dass die Kontrollen den erforderlichen kosteneffektiven Schutz ohne erkennbare Produktivitätseinbußen bieten.
* Sicherstellen, dass die Kontrollen den erforderlichen kosteneffektiven Schutz ohne erkennbare Produktivitätseinbußen bieten


Bei jedem gegebenen Risiko kann die Unternehmensleitung entscheiden, das Risiko aufgrund des relativ geringen Werts des Vermögenswerts, der relativ geringen Häufigkeit des Auftretens und der relativ geringen Auswirkungen auf das Unternehmen zu akzeptieren.
Bei jedem gegebenen Risiko kann die Unternehmensleitung entscheiden, das Risiko aufgrund des relativ geringen Werts des Vermögenswerts, der relativ geringen Häufigkeit des Auftretens und der relativ geringen Auswirkungen auf das Unternehmen zu akzeptieren
Oder die Unternehmensleitung kann sich dafür entscheiden, das Risiko durch die Auswahl und Umsetzung geeigneter Kontrollmaßnahmen zu mindern.
Oder die Unternehmensleitung kann sich dafür entscheiden, das Risiko durch die Auswahl und Umsetzung geeigneter Kontrollmaßnahmen zu mindern
* In einigen Fällen kann das Risiko auf ein anderes Unternehmen übertragen werden, indem man eine Versicherung abschließt oder es an ein anderes Unternehmen auslagert.
* In einigen Fällen kann das Risiko auf ein anderes Unternehmen übertragen werden, indem man eine Versicherung abschließt oder es an ein anderes Unternehmen auslagert
Die Realität mancher Risiken kann umstritten sein.
Die Realität mancher Risiken kann umstritten sein
* In solchen Fällen kann sich die Unternehmensleitung dafür entscheiden, das Risiko zu leugnen.
* In solchen Fällen kann sich die Unternehmensleitung dafür entscheiden, das Risiko zu leugnen


=== Sicherheitskontrollen ===
=== Sicherheitskontrollen ===
{{Main|Sicherheitskontrollen}}
{{Main|Sicherheitskontrollen}}
Die Auswahl und Umsetzung geeigneter Sicherheitskontrollen hilft einer Organisation zunächst, das Risiko auf ein akzeptables Niveau zu senken.
Die Auswahl und Umsetzung geeigneter Sicherheitskontrollen hilft einer Organisation zunächst, das Risiko auf ein akzeptables Niveau zu senken
Die Auswahl der Kontrollen sollte auf der Grundlage der Risikobewertung erfolgen.
Die Auswahl der Kontrollen sollte auf der Grundlage der Risikobewertung erfolgen
Kontrollen können unterschiedlicher Natur sein, aber im Grunde genommen sind sie Mittel zum Schutz der Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen.
Kontrollen können unterschiedlicher Natur sein, aber im Grunde genommen sind sie Mittel zum Schutz der Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen
* Die [[ISO/IEC 27001]] hat Kontrollen in verschiedenen Bereichen definiert.
* Die [[ISO/IEC 27001]] hat Kontrollen in verschiedenen Bereichen definiert
Organisationen können je nach Bedarf zusätzliche Kontrollen einführen.
Organisationen können je nach Bedarf zusätzliche Kontrollen einführen
[[ISO/IEC 27002]] bietet einen Leitfaden für organisatorische Informationssicherheitsstandards.
[[ISO/IEC 27002]] bietet einen Leitfaden für organisatorische Informationssicherheitsstandards


==== Administrative Kontrollen ====
==== Administrative Kontrollen ====
Administrative Kontrollen (auch Verfahrenskontrollen genannt) bestehen aus genehmigten schriftlichen Richtlinien, Verfahren, Standards und Leitlinien.
Administrative Kontrollen (auch Verfahrenskontrollen genannt) bestehen aus genehmigten schriftlichen Richtlinien, Verfahren, Standards und Leitlinien
* Administrative Kontrollen bilden den Rahmen für die Führung des Unternehmens und die Verwaltung der Mitarbeiter.
* Administrative Kontrollen bilden den Rahmen für die Führung des Unternehmens und die Verwaltung der Mitarbeiter
Sie informieren die Mitarbeiter darüber, wie das Unternehmen zu führen ist und wie das Tagesgeschäft abzulaufen hat.
Sie informieren die Mitarbeiter darüber, wie das Unternehmen zu führen ist und wie das Tagesgeschäft abzulaufen hat
* Gesetze und Verordnungen, die von staatlichen Stellen erlassen werden, sind ebenfalls eine Art von Verwaltungskontrolle, da sie dem Unternehmen Informationen liefern.
* Gesetze und Verordnungen, die von staatlichen Stellen erlassen werden, sind ebenfalls eine Art von Verwaltungskontrolle, da sie dem Unternehmen Informationen liefern
Einige Branchen haben Richtlinien, Verfahren, Standards und Leitlinien, die befolgt werden müssen - der [[Payment Card Industry Data Security Standard]]
Einige Branchen haben Richtlinien, Verfahren, Standards und Leitlinien, die befolgt werden müssen - der [[Payment Card Industry Data Security Standard]]
(PCI DSS), der von [[Visa Inc.|Visa]] und [[MasterCard]] gefordert wird, ist ein solches Beispiel.
(PCI DSS), der von [[Visa Inc.|Visa]] und [[MasterCard]] gefordert wird, ist ein solches Beispiel
* Weitere Beispiele für Verwaltungskontrollen sind die Unternehmenssicherheitspolitik, die [[Passwortpolitik]], die Einstellungspolitik und die Disziplinarpolitik.
* Weitere Beispiele für Verwaltungskontrollen sind die Unternehmenssicherheitspolitik, die [[Passwortpolitik]], die Einstellungspolitik und die Disziplinarpolitik


Administrative Kontrollen bilden die Grundlage für die Auswahl und Umsetzung logischer und physischer Kontrollen.
Administrative Kontrollen bilden die Grundlage für die Auswahl und Umsetzung logischer und physischer Kontrollen
* Logische und physische Kontrollen sind Ausprägungen der administrativen Kontrollen, die von überragender Bedeutung sind.
* Logische und physische Kontrollen sind Ausprägungen der administrativen Kontrollen, die von überragender Bedeutung sind


==== Logische ====
==== Logische ====
Logische Kontrollen (auch technische Kontrollen genannt) verwenden Software und Daten, um den Zugang zu Informationen und [[Computer]]systemen zu überwachen und zu kontrollieren: Passwörter, netzwerk- und hostbasierte Firewalls, netzwerkbasierte [[Intrusion Detection]]-Systeme, [[Zugangskontrollliste]]n und Datenverschlüsselung sind Beispiele für logische Kontrollen.
Logische Kontrollen (auch technische Kontrollen genannt) verwenden Software und Daten, um den Zugang zu Informationen und [[Computer]]systemen zu überwachen und zu kontrollieren: Passwörter, netzwerk- und hostbasierte Firewalls, netzwerkbasierte [[Intrusion Detection]]-Systeme, [[Zugangskontrollliste]]n und Datenverschlüsselung sind Beispiele für logische Kontrollen


Eine wichtige logische Kontrolle, die häufig übersehen wird, ist das Prinzip der geringsten Privilegien, das besagt, dass einer Person, einem Programm oder einem Systemprozess nicht mehr Zugriffsrechte gewährt werden dürfen, als für die Ausführung der Aufgabe erforderlich sind.
Eine wichtige logische Kontrolle, die häufig übersehen wird, ist das Prinzip der geringsten Privilegien, das besagt, dass einer Person, einem Programm oder einem Systemprozess nicht mehr Zugriffsrechte gewährt werden dürfen, als für die Ausführung der Aufgabe erforderlich sind
Ein eklatantes Beispiel für die Nichteinhaltung des Prinzips der geringsten Rechte ist die Anmeldung bei Windows als Benutzer Administrator, um E-Mails zu lesen und im Internet zu surfen.
Ein eklatantes Beispiel für die Nichteinhaltung des Prinzips der geringsten Rechte ist die Anmeldung bei Windows als Benutzer Administrator, um E-Mails zu lesen und im Internet zu surfen
* Verstöße gegen dieses Prinzip können auch auftreten, wenn eine Person im Laufe der Zeit zusätzliche Zugriffsrechte erwirbt.
* Verstöße gegen dieses Prinzip können auch auftreten, wenn eine Person im Laufe der Zeit zusätzliche Zugriffsrechte erwirbt
Dies geschieht, wenn sich die Aufgaben eines Mitarbeiters ändern, er in eine neue Position befördert wird oder er in eine andere Abteilung versetzt wird.
Dies geschieht, wenn sich die Aufgaben eines Mitarbeiters ändern, er in eine neue Position befördert wird oder er in eine andere Abteilung versetzt wird
Die für die neuen Aufgaben erforderlichen Zugriffsrechte werden häufig zu den bereits bestehenden Zugriffsrechten hinzugefügt, die möglicherweise nicht mehr notwendig oder angemessen sind.
Die für die neuen Aufgaben erforderlichen Zugriffsrechte werden häufig zu den bereits bestehenden Zugriffsrechten hinzugefügt, die möglicherweise nicht mehr notwendig oder angemessen sind


==== Physische ====
==== Physische ====
Physische Kontrollen überwachen und kontrollieren die Umgebung des Arbeitsplatzes und der EDV-Einrichtungen.
Physische Kontrollen überwachen und kontrollieren die Umgebung des Arbeitsplatzes und der EDV-Einrichtungen
Dazu gehören Türen, Schlösser, Heizungs- und Klimaanlagen, Rauch- und Feuermelder, Brandbekämpfungssysteme, Kameras, Absperrungen, Zäune, Sicherheitspersonal, Kabelschlösser usw.
Dazu gehören Türen, Schlösser, Heizungs- und Klimaanlagen, Rauch- und Feuermelder, Brandbekämpfungssysteme, Kameras, Absperrungen, Zäune, Sicherheitspersonal, Kabelschlösser usw
* Die Aufteilung des Netzes und des Arbeitsplatzes in Funktionsbereiche gehört ebenfalls zu den physischen Kontrollen.
* Die Aufteilung des Netzes und des Arbeitsplatzes in Funktionsbereiche gehört ebenfalls zu den physischen Kontrollen


Eine wichtige physische Kontrolle, die häufig übersehen wird, ist die Aufgabentrennung, die sicherstellt, dass eine Person eine kritische Aufgabe nicht allein erledigen kann.
Eine wichtige physische Kontrolle, die häufig übersehen wird, ist die Aufgabentrennung, die sicherstellt, dass eine Person eine kritische Aufgabe nicht allein erledigen kann
So sollte beispielsweise ein Mitarbeiter, der einen Erstattungsantrag stellt, nicht auch in der Lage sein, die Zahlung zu genehmigen oder den Scheck zu drucken.
So sollte beispielsweise ein Mitarbeiter, der einen Erstattungsantrag stellt, nicht auch in der Lage sein, die Zahlung zu genehmigen oder den Scheck zu drucken
Ein Anwendungsprogrammierer sollte nicht gleichzeitig der [[Systemadministrator|Serveradministrator]] oder der [[Datenbankadministrator]] sein; diese Rollen und Verantwortlichkeiten müssen voneinander getrennt werden.
Ein Anwendungsprogrammierer sollte nicht gleichzeitig der [[Systemadministrator|Serveradministrator]] oder der [[Datenbankadministrator]] sein; diese Rollen und Verantwortlichkeiten müssen voneinander getrennt werden


=== Defense in Depth ===
=== Defense in Depth ===
Zeile 216: Zeile 216:
Main: [[Defense in depth (computing)]]
Main: [[Defense in depth (computing)]]


Die Informationssicherheit muss Informationen während ihres gesamten Lebenszyklus schützen, von der Erstellung der Informationen bis zu ihrer endgültigen Vernichtung.
Die Informationssicherheit muss Informationen während ihres gesamten Lebenszyklus schützen, von der Erstellung der Informationen bis zu ihrer endgültigen Vernichtung
Die Informationen müssen geschützt werden, während sie in Bewegung sind und während sie ruhen.
Die Informationen müssen geschützt werden, während sie in Bewegung sind und während sie ruhen
* Während ihrer Lebensdauer können Informationen viele verschiedene Informationsverarbeitungssysteme und viele verschiedene Teile von Informationsverarbeitungssystemen durchlaufen.
* Während ihrer Lebensdauer können Informationen viele verschiedene Informationsverarbeitungssysteme und viele verschiedene Teile von Informationsverarbeitungssystemen durchlaufen
Es gibt viele verschiedene Möglichkeiten, wie die Informationen und Informationssysteme bedroht werden können.
Es gibt viele verschiedene Möglichkeiten, wie die Informationen und Informationssysteme bedroht werden können
* Um die Informationen während ihrer Lebensdauer vollständig zu schützen, muss jede Komponente des Informationsverarbeitungssystems ihre eigenen Schutzmechanismen haben.
* Um die Informationen während ihrer Lebensdauer vollständig zu schützen, muss jede Komponente des Informationsverarbeitungssystems ihre eigenen Schutzmechanismen haben
Der Aufbau, die Schichtung und die Überlappung von Sicherheitsmaßnahmen wird als "Verteidigung in der Tiefe" bezeichnet.
Der Aufbau, die Schichtung und die Überlappung von Sicherheitsmaßnahmen wird als "Verteidigung in der Tiefe" bezeichnet
Im Gegensatz zu einer Metallkette, die bekanntlich nur so stark ist wie ihr schwächstes Glied, zielt die Strategie der "Verteidigung in der Tiefe" auf eine Struktur ab, bei der im Falle des Versagens einer Verteidigungsmaßnahme andere Maßnahmen weiterhin Schutz bieten.
Im Gegensatz zu einer Metallkette, die bekanntlich nur so stark ist wie ihr schwächstes Glied, zielt die Strategie der "Verteidigung in der Tiefe" auf eine Struktur ab, bei der im Falle des Versagens einer Verteidigungsmaßnahme andere Maßnahmen weiterhin Schutz bieten


Erinnern Sie sich an die frühere Diskussion über administrative Kontrollen, logische Kontrollen und physische Kontrollen.
Erinnern Sie sich an die frühere Diskussion über administrative Kontrollen, logische Kontrollen und physische Kontrollen
* Diese drei Arten von Kontrollen können als Grundlage für die Entwicklung einer Strategie der Tiefenverteidigung verwendet werden.
* Diese drei Arten von Kontrollen können als Grundlage für die Entwicklung einer Strategie der Tiefenverteidigung verwendet werden
* Mit diesem Ansatz lässt sich die "Defense in Depth"-Strategie als drei verschiedene, übereinander liegende Schichten oder Ebenen konzipieren.
* Mit diesem Ansatz lässt sich die "Defense in Depth"-Strategie als drei verschiedene, übereinander liegende Schichten oder Ebenen konzipieren
Weitere Einblicke in die Defense-in-Depth-Strategie erhält man, wenn man sie sich als die Schichten einer Zwiebel vorstellt, wobei die Daten den Kern der Zwiebel bilden, die Menschen die nächste äußere Schicht der Zwiebel und die [[Netzwerksicherheit]], die hostbasierte Sicherheit und die [[Anwendungssicherheit]] die äußersten Schichten der Zwiebel bilden.
Weitere Einblicke in die Defense-in-Depth-Strategie erhält man, wenn man sie sich als die Schichten einer Zwiebel vorstellt, wobei die Daten den Kern der Zwiebel bilden, die Menschen die nächste äußere Schicht der Zwiebel und die [[Netzwerksicherheit]], die hostbasierte Sicherheit und die [[Anwendungssicherheit]] die äußersten Schichten der Zwiebel bilden
Beide Sichtweisen sind gleichermaßen gültig, und beide bieten wertvolle Einblicke in die Umsetzung einer guten Defense-in-Depth-Strategie.
Beide Sichtweisen sind gleichermaßen gültig, und beide bieten wertvolle Einblicke in die Umsetzung einer guten Defense-in-Depth-Strategie


=== Klassifizierung ===
=== Klassifizierung ===
Ein wichtiger Aspekt der Informationssicherheit und des Risikomanagements ist das Erkennen des Wertes von Informationen und die Festlegung geeigneter Verfahren und Schutzanforderungen für die Informationen.
Ein wichtiger Aspekt der Informationssicherheit und des Risikomanagements ist das Erkennen des Wertes von Informationen und die Festlegung geeigneter Verfahren und Schutzanforderungen für die Informationen
Nicht alle Informationen sind gleichwertig, und nicht alle Informationen erfordern den gleichen Grad an Schutz.
Nicht alle Informationen sind gleichwertig, und nicht alle Informationen erfordern den gleichen Grad an Schutz
Dazu müssen die Informationen einer [[Verschlusssache|Sicherheitsklassifizierung]] zugeordnet werden.
Dazu müssen die Informationen einer [[Verschlusssache|Sicherheitsklassifizierung]] zugeordnet werden
Der erste Schritt bei der Klassifizierung von Informationen besteht darin, ein Mitglied der Geschäftsleitung als Eigentümer der zu klassifizierenden Informationen zu bestimmen.
Der erste Schritt bei der Klassifizierung von Informationen besteht darin, ein Mitglied der Geschäftsleitung als Eigentümer der zu klassifizierenden Informationen zu bestimmen
* Als Nächstes ist eine Klassifizierungsrichtlinie zu entwickeln.
* Als Nächstes ist eine Klassifizierungsrichtlinie zu entwickeln
Die Richtlinie sollte die verschiedenen Klassifizierungskennzeichnungen beschreiben, die Kriterien für die Zuweisung einer bestimmten Kennzeichnung festlegen und die erforderlichen [[Sicherheitskontrollen]] für jede Klassifizierung auflisten.
Die Richtlinie sollte die verschiedenen Klassifizierungskennzeichnungen beschreiben, die Kriterien für die Zuweisung einer bestimmten Kennzeichnung festlegen und die erforderlichen [[Sicherheitskontrollen]] für jede Klassifizierung auflisten


Zu den Faktoren, die Einfluss darauf haben, welche Klassifizierung einer Information zugewiesen werden sollte, gehören der Wert der Information für das Unternehmen, das Alter der Information und die Frage, ob die Information veraltet ist oder nicht.
Zu den Faktoren, die Einfluss darauf haben, welche Klassifizierung einer Information zugewiesen werden sollte, gehören der Wert der Information für das Unternehmen, das Alter der Information und die Frage, ob die Information veraltet ist oder nicht
Auch Gesetze und andere regulatorische Anforderungen spielen bei der Klassifizierung von Informationen eine wichtige Rolle.
Auch Gesetze und andere regulatorische Anforderungen spielen bei der Klassifizierung von Informationen eine wichtige Rolle
Die [[ISACA|Information Systems Audit and Control Association]] (ISACA) und ihr ''Business Model for Information Security'' (Geschäftsmodell für Informationssicherheit) dienen auch als Instrument für Sicherheitsexperten, um die Sicherheit aus einer Systemperspektive zu betrachten und eine Umgebung zu schaffen, in der die Sicherheit ganzheitlich verwaltet werden kann, so dass die tatsächlichen Risiken angegangen werden können.
Die [[ISACA|Information Systems Audit and Control Association]] (ISACA) und ihr ''Business Model for Information Security'' (Geschäftsmodell für Informationssicherheit) dienen auch als Instrument für Sicherheitsexperten, um die Sicherheit aus einer Systemperspektive zu betrachten und eine Umgebung zu schaffen, in der die Sicherheit ganzheitlich verwaltet werden kann, so dass die tatsächlichen Risiken angegangen werden können


Welche Art von Klassifizierungskennzeichen für die Informationssicherheit ausgewählt und verwendet wird, hängt von der Art der Organisation ab:
Welche Art von Klassifizierungskennzeichen für die Informationssicherheit ausgewählt und verwendet wird, hängt von der Art der Organisation ab:
* Im geschäftlichen Bereich werden Kennzeichnungen wie: Öffentlich, Sensibel, Privat, Vertraulich.
* Im geschäftlichen Bereich werden Kennzeichnungen wie: Öffentlich, Sensibel, Privat, Vertraulich
* Im staatlichen Sektor werden Bezeichnungen wie: Unclassified, Inoffiziell, Geschützt, Vertraulich, Geheim, Streng Geheim und ihre nicht-englischen Entsprechungen.
* Im staatlichen Sektor werden Bezeichnungen wie: Unclassified, Inoffiziell, Geschützt, Vertraulich, Geheim, Streng Geheim und ihre nicht-englischen Entsprechungen
* In sektorübergreifenden Zusammenschlüssen das [[Ampelprotokoll]], das aus folgenden Elementen besteht: Weiß, Grün, Gelb und Rot.
* In sektorübergreifenden Zusammenschlüssen das [[Ampelprotokoll]], das aus folgenden Elementen besteht: Weiß, Grün, Gelb und Rot
* Im persönlichen Bereich eine Bezeichnung wie ''Finanzen''.
* Im persönlichen Bereich eine Bezeichnung wie ''Finanzen''
* Dazu gehören Aktivitäten im Zusammenhang mit der Verwaltung von Geld, wie z.B.
* Dazu gehören Aktivitäten im Zusammenhang mit der Verwaltung von Geld, wie z.B
* Online-Banking.
* Online-Banking


Alle Mitarbeiter des Unternehmens sowie die Geschäftspartner müssen im Hinblick auf das Klassifizierungsschema geschult werden und die erforderlichen Sicherheitskontrollen und Handhabungsverfahren für jede Klassifizierung verstehen.
Alle Mitarbeiter des Unternehmens sowie die Geschäftspartner müssen im Hinblick auf das Klassifizierungsschema geschult werden und die erforderlichen Sicherheitskontrollen und Handhabungsverfahren für jede Klassifizierung verstehen
Die Klassifizierung eines bestimmten Informationsguts, die zugewiesen wurde, sollte regelmäßig überprüft werden, um sicherzustellen, dass die Klassifizierung für die Informationen immer noch angemessen ist und um zu gewährleisten, dass die durch die Klassifizierung vorgeschriebenen Sicherheitskontrollen vorhanden sind und in den richtigen Verfahren befolgt werden.
Die Klassifizierung eines bestimmten Informationsguts, die zugewiesen wurde, sollte regelmäßig überprüft werden, um sicherzustellen, dass die Klassifizierung für die Informationen immer noch angemessen ist und um zu gewährleisten, dass die durch die Klassifizierung vorgeschriebenen Sicherheitskontrollen vorhanden sind und in den richtigen Verfahren befolgt werden


=== Zugangskontrolle ===
=== Zugangskontrolle ===
Der Zugang zu geschützten Informationen muss auf Personen beschränkt werden, die zum Zugriff auf die Informationen berechtigt sind.
Der Zugang zu geschützten Informationen muss auf Personen beschränkt werden, die zum Zugriff auf die Informationen berechtigt sind
Die Computerprogramme und in vielen Fällen auch die Computer, die die Informationen verarbeiten, müssen ebenfalls autorisiert sein.
Die Computerprogramme und in vielen Fällen auch die Computer, die die Informationen verarbeiten, müssen ebenfalls autorisiert sein
Dies setzt voraus, dass Mechanismen zur Kontrolle des Zugriffs auf geschützte Informationen vorhanden sind.
Dies setzt voraus, dass Mechanismen zur Kontrolle des Zugriffs auf geschützte Informationen vorhanden sind
* Die Ausgereiftheit der Zugriffskontrollmechanismen sollte dem Wert der zu schützenden Informationen entsprechen; je sensibler oder wertvoller die Informationen sind, desto stärker müssen die Kontrollmechanismen sein.
* Die Ausgereiftheit der Zugriffskontrollmechanismen sollte dem Wert der zu schützenden Informationen entsprechen; je sensibler oder wertvoller die Informationen sind, desto stärker müssen die Kontrollmechanismen sein
Die Grundlage, auf der die Zugangskontrollmechanismen aufgebaut sind, beginnt mit der Identifizierung und [[Authentifizierung]].
Die Grundlage, auf der die Zugangskontrollmechanismen aufgebaut sind, beginnt mit der Identifizierung und [[Authentifizierung]]


Die Zugangskontrolle erfolgt im Allgemeinen in drei Schritten: Identifizierung, [[Authentifizierung]] und [[Autorisierung]].
Die Zugangskontrolle erfolgt im Allgemeinen in drei Schritten: Identifizierung, [[Authentifizierung]] und [[Autorisierung]]




==== Identifizierung ====
==== Identifizierung ====
Identifizierung ist eine Aussage darüber, wer jemand ist oder was etwas ist.
Identifizierung ist eine Aussage darüber, wer jemand ist oder was etwas ist
* Wenn eine Person sagt: "Hallo, mein Name ist [[John Doe]]", dann behauptet sie damit, wer sie ist.
* Wenn eine Person sagt: "Hallo, mein Name ist [[John Doe]]", dann behauptet sie damit, wer sie ist
Diese Behauptung kann jedoch wahr sein oder auch nicht.
Diese Behauptung kann jedoch wahr sein oder auch nicht
* Bevor John Doe Zugang zu geschützten Informationen erhalten kann, muss überprüft werden, ob die Person, die behauptet, John Doe zu sein, wirklich John Doe ist.
* Bevor John Doe Zugang zu geschützten Informationen erhalten kann, muss überprüft werden, ob die Person, die behauptet, John Doe zu sein, wirklich John Doe ist
In der Regel erfolgt die Angabe in Form eines Benutzernamens.
In der Regel erfolgt die Angabe in Form eines Benutzernamens
* Durch die Eingabe dieses Benutzernamens erklären Sie, dass Sie die Person sind, zu der der Benutzername gehört".
* Durch die Eingabe dieses Benutzernamens erklären Sie, dass Sie die Person sind, zu der der Benutzername gehört"


==== Authentifizierung ====
==== Authentifizierung ====
Authentifizierung ist der Akt der Verifizierung einer behaupteten Identität.
Authentifizierung ist der Akt der Verifizierung einer behaupteten Identität
* Wenn John Doe in eine Bank geht, um Geld abzuheben, sagt er dem [[Bankangestellten]], dass er John Doe ist, eine Behauptung der Identität.
* Wenn John Doe in eine Bank geht, um Geld abzuheben, sagt er dem [[Bankangestellten]], dass er John Doe ist, eine Behauptung der Identität
Der Bankangestellte verlangt einen Lichtbildausweis, woraufhin er dem Angestellten seinen [[Führerschein]] aushändigt.
Der Bankangestellte verlangt einen Lichtbildausweis, woraufhin er dem Angestellten seinen [[Führerschein]] aushändigt
Der Bankangestellte prüft den Führerschein, um sicherzustellen, dass John Doe darauf steht, und vergleicht das Foto auf dem Führerschein mit der Person, die behauptet, John Doe zu sein.
Der Bankangestellte prüft den Führerschein, um sicherzustellen, dass John Doe darauf steht, und vergleicht das Foto auf dem Führerschein mit der Person, die behauptet, John Doe zu sein
Wenn das Foto und der Name mit der Person übereinstimmen, hat der Kassierer bestätigt, dass John Doe derjenige ist, der er vorgibt zu sein.
Wenn das Foto und der Name mit der Person übereinstimmen, hat der Kassierer bestätigt, dass John Doe derjenige ist, der er vorgibt zu sein
* In ähnlicher Weise beweist der Benutzer durch die Eingabe des richtigen Passworts, dass er/sie die Person ist, der der Benutzername gehört.
* In ähnlicher Weise beweist der Benutzer durch die Eingabe des richtigen Passworts, dass er/sie die Person ist, der der Benutzername gehört


Es gibt drei verschiedene Arten von Informationen, die für die Authentifizierung verwendet werden können:
Es gibt drei verschiedene Arten von Informationen, die für die Authentifizierung verwendet werden können:
Zeile 284: Zeile 284:
* Etwas, das Sie sind: [[Biometrie]], einschließlich [[Handabdruck]]e, [[Fingerabdruck]]e, [[Spracherkennung|Stimmabdrücke]] und [[Retina-Scan|Retina-(Augen-)Scans]]
* Etwas, das Sie sind: [[Biometrie]], einschließlich [[Handabdruck]]e, [[Fingerabdruck]]e, [[Spracherkennung|Stimmabdrücke]] und [[Retina-Scan|Retina-(Augen-)Scans]]


Eine starke Authentifizierung erfordert die Angabe von mehr als einer Art von Authentifizierungsinformationen (Zwei-Faktor-Authentifizierung).
Eine starke Authentifizierung erfordert die Angabe von mehr als einer Art von Authentifizierungsinformationen (Zwei-Faktor-Authentifizierung)
Der [[Benutzername]] ist heute die gebräuchlichste Form der Identifizierung auf Computersystemen, und das Kennwort ist die häufigste Form der Authentifizierung.
Der [[Benutzername]] ist heute die gebräuchlichste Form der Identifizierung auf Computersystemen, und das Kennwort ist die häufigste Form der Authentifizierung
Benutzernamen und Passwörter haben ihren Zweck erfüllt, aber sie sind zunehmend unzureichend.
Benutzernamen und Passwörter haben ihren Zweck erfüllt, aber sie sind zunehmend unzureichend
Benutzernamen und Passwörter werden allmählich durch ausgefeiltere Authentifizierungsmechanismen wie [[Zeitbasierter Einmal-Passwort-Algorithmus]]e ersetzt oder ergänzt.
Benutzernamen und Passwörter werden allmählich durch ausgefeiltere Authentifizierungsmechanismen wie [[Zeitbasierter Einmal-Passwort-Algorithmus]]e ersetzt oder ergänzt


==== Autorisierung ====
==== Autorisierung ====
Nachdem eine Person, ein Programm oder ein Computer erfolgreich identifiziert und authentifiziert wurde, muss festgelegt werden, auf welche Informationsressourcen sie zugreifen dürfen und welche Aktionen sie durchführen dürfen (ausführen, anzeigen, erstellen, löschen oder ändern).
Nachdem eine Person, ein Programm oder ein Computer erfolgreich identifiziert und authentifiziert wurde, muss festgelegt werden, auf welche Informationsressourcen sie zugreifen dürfen und welche Aktionen sie durchführen dürfen (ausführen, anzeigen, erstellen, löschen oder ändern)
Dies wird [[Autorisierung]] genannt.
Dies wird [[Autorisierung]] genannt
* Die Autorisierung für den Zugriff auf Informationen und andere Computerdienste beginnt mit administrativen Richtlinien und Verfahren.
* Die Autorisierung für den Zugriff auf Informationen und andere Computerdienste beginnt mit administrativen Richtlinien und Verfahren
In den Richtlinien wird festgelegt, welche Informationen und Computerdienste von wem und unter welchen Bedingungen genutzt werden dürfen.
In den Richtlinien wird festgelegt, welche Informationen und Computerdienste von wem und unter welchen Bedingungen genutzt werden dürfen
* Die Zugriffskontrollmechanismen werden dann so konfiguriert, dass sie diese Richtlinien durchsetzen.
* Die Zugriffskontrollmechanismen werden dann so konfiguriert, dass sie diese Richtlinien durchsetzen
Verschiedene Computersysteme sind mit unterschiedlichen Arten von Zugangskontrollmechanismen ausgestattet.
Verschiedene Computersysteme sind mit unterschiedlichen Arten von Zugangskontrollmechanismen ausgestattet
* Einige bieten sogar eine Auswahl an verschiedenen Zugangskontrollmechanismen.
* Einige bieten sogar eine Auswahl an verschiedenen Zugangskontrollmechanismen
Der Zugangskontrollmechanismus, den ein System anbietet, basiert auf einem der drei Ansätze zur Zugangskontrolle oder er kann aus einer Kombination der drei Ansätze abgeleitet sein.
Der Zugangskontrollmechanismus, den ein System anbietet, basiert auf einem der drei Ansätze zur Zugangskontrolle oder er kann aus einer Kombination der drei Ansätze abgeleitet sein


Der nicht-diskretionäre Ansatz konsolidiert die gesamte Zugangskontrolle unter einer zentralisierten Verwaltung.
Der nicht-diskretionäre Ansatz konsolidiert die gesamte Zugangskontrolle unter einer zentralisierten Verwaltung
Der Zugang zu Informationen und anderen Ressourcen basiert in der Regel auf der Funktion (Rolle) des Einzelnen in der Organisation oder auf den Aufgaben, die der Einzelne erfüllen muss.
Der Zugang zu Informationen und anderen Ressourcen basiert in der Regel auf der Funktion (Rolle) des Einzelnen in der Organisation oder auf den Aufgaben, die der Einzelne erfüllen muss


Der diskretionäre Ansatz gibt dem Ersteller oder Eigentümer der Informationsressource die Möglichkeit, den Zugriff auf diese Ressourcen zu kontrollieren.
Der diskretionäre Ansatz gibt dem Ersteller oder Eigentümer der Informationsressource die Möglichkeit, den Zugriff auf diese Ressourcen zu kontrollieren
* Bei der obligatorischen Zugangskontrolle wird der Zugang auf der Grundlage der der Informationsressource zugewiesenen Sicherheitseinstufung gewährt oder verweigert.
* Bei der obligatorischen Zugangskontrolle wird der Zugang auf der Grundlage der der Informationsressource zugewiesenen Sicherheitseinstufung gewährt oder verweigert


Beispiele für gängige Zugriffskontrollmechanismen sind die [[Rollenbasierte Zugriffskontrolle]], die in vielen fortgeschrittenen Datenbankverwaltungssystemen verfügbar ist; einfache [[Dateisystemberechtigungen|Dateiberechtigungen]], die in den Betriebssystemen UNIX und Windows bereitgestellt werden;
Beispiele für gängige Zugriffskontrollmechanismen sind die [[Rollenbasierte Zugriffskontrolle]], die in vielen fortgeschrittenen Datenbankverwaltungssystemen verfügbar ist; einfache [[Dateisystemberechtigungen|Dateiberechtigungen]], die in den Betriebssystemen UNIX und Windows bereitgestellt werden;
[[Gruppenrichtlinienobjekt]]e in Windows-Netzwerksystemen; und [[Kerberos (Protokoll)|Kerberos]], [[RADIUS]], [[TACACS]] und die einfachen Zugriffslisten, die in vielen [[Firewall (Netzwerk)|Firewalls]] und [[Router (Computer)|Routern]] verwendet werden.
[[Gruppenrichtlinienobjekt]]e in Windows-Netzwerksystemen; und [[Kerberos (Protokoll)|Kerberos]], [[RADIUS]], [[TACACS]] und die einfachen Zugriffslisten, die in vielen [[Firewall (Netzwerk)|Firewalls]] und [[Router (Computer)|Routern]] verwendet werden


Um wirksam zu sein, müssen Richtlinien und andere Sicherheitskontrollen durchsetzbar sein und aufrechterhalten werden.
Um wirksam zu sein, müssen Richtlinien und andere Sicherheitskontrollen durchsetzbar sein und aufrechterhalten werden
* Wirksame Richtlinien stellen sicher, dass die Mitarbeiter für ihre Handlungen zur Verantwortung gezogen werden.
* Wirksame Richtlinien stellen sicher, dass die Mitarbeiter für ihre Handlungen zur Verantwortung gezogen werden
Die Richtlinien des [[United States Department of the Treasury|U.S.
Die Richtlinien des [[United States Department of the Treasury|U.S
<nowiki>*</nowiki> Treasury]] für Systeme, die sensible oder geschützte Informationen verarbeiten, sehen beispielsweise vor, dass alle fehlgeschlagenen und erfolgreichen Authentifizierungs- und Zugriffsversuche protokolliert werden müssen und jeder Zugriff auf Informationen eine Art [[Audit Trail]] hinterlassen muss.
<nowiki>*</nowiki> Treasury]] für Systeme, die sensible oder geschützte Informationen verarbeiten, sehen beispielsweise vor, dass alle fehlgeschlagenen und erfolgreichen Authentifizierungs- und Zugriffsversuche protokolliert werden müssen und jeder Zugriff auf Informationen eine Art [[Audit Trail]] hinterlassen muss


Außerdem muss bei der Zugangskontrolle der Grundsatz "Kenntnisnahme erforderlich" beachtet werden.
Außerdem muss bei der Zugangskontrolle der Grundsatz "Kenntnisnahme erforderlich" beachtet werden
* Dieses Prinzip gibt einer Person Zugriffsrechte, um ihre Aufgaben zu erfüllen.
* Dieses Prinzip gibt einer Person Zugriffsrechte, um ihre Aufgaben zu erfüllen
Dieses Prinzip wird in der Regierung bei unterschiedlichen Freigaben angewendet.
Dieses Prinzip wird in der Regierung bei unterschiedlichen Freigaben angewendet
Auch wenn zwei Mitarbeiter in verschiedenen Abteilungen eine [[Verschlusssache|Streng geheim]] haben, müssen sie voneinander wissen, damit Informationen ausgetauscht werden können.
Auch wenn zwei Mitarbeiter in verschiedenen Abteilungen eine [[Verschlusssache|Streng geheim]] haben, müssen sie voneinander wissen, damit Informationen ausgetauscht werden können
* Im Rahmen des Need-to-know-Prinzips gewähren die Netzwerkadministratoren den Mitarbeitern die geringsten Rechte, um zu verhindern, dass sie auf mehr Informationen zugreifen, als sie eigentlich dürften.
* Im Rahmen des Need-to-know-Prinzips gewähren die Netzwerkadministratoren den Mitarbeitern die geringsten Rechte, um zu verhindern, dass sie auf mehr Informationen zugreifen, als sie eigentlich dürften
Need-to-know hilft bei der Durchsetzung des Dreiklangs Vertraulichkeit-Integrität-Verfügbarkeit.
Need-to-know hilft bei der Durchsetzung des Dreiklangs Vertraulichkeit-Integrität-Verfügbarkeit
* Need-to-know wirkt sich direkt auf den vertraulichen Bereich des Dreiklangs aus.
* Need-to-know wirkt sich direkt auf den vertraulichen Bereich des Dreiklangs aus


[[Kategorie:Risikomanagement]]
[[Kategorie:Risikomanagement]]
</noinclude>
</noinclude>

Version vom 21. Mai 2024, 11:43 Uhr

Risikomanagement - Management von Risiken

Risikomanagement

Risikomanagement ist eine Aufgabe, die einer Funktion in einer Organisationseinheit in Unternehmen oder Behörden zugeordnet ist

Risikomanagement ist nach der Norm ISO 31000: 2009 eine Führungsaufgabe, im Rahmen derer die Risiken einer Organisation identifiziert, analysiert und später bewertet werden

  • Hierzu sind übergeordnete Ziele, Strategien und Politik der Organisation für das Risikomanagement festzulegen
  • Im Einzelnen betrifft dies die Festlegung von Kriterien, nach denen die Risiken eingestuft und bewertet werden, die Methoden der Risikoermittlung, die Verantwortlichkeiten bei Risikoentscheidungen, die Bereitstellung von Ressourcen zur Risikoabwehr, die interne und externe Kommunikation über die identifizierten Risiken (Berichterstattung) sowie die Qualifikation des Personals für das Risikomanagement. 2018 ist eine aktualisierte Version der Norm ISO 31000 erschienen
Eine formale Ausbildung und Zertifizierung zum Risikomanager kann in Deutschland dem Stand der Technik entsprechend gemäß DIN VDE V 0827 „Notfall- und Gefahren-Systeme – Teil 1
Notfall- und Gefahren-Reaktions-Systeme (NGRS) – Grundlegende Anforderungen, Aufgaben, Verantwortlichkeiten und Aktivitäten“ und in Österreich nach ONR 49003 „Risikomanagement für Organisationen und Systeme – Anforderungen an die Qualifikation des Risikomanagers – Anwendung von ISO/DIN 31000 in der Praxis“ erfolgen
Risikomanagement wird als ein fortlaufender Prozess verstanden, in dem Planung, Umsetzung, Überwachung und Verbesserung kontinuierlich stattfinden (Demingkreis:„Plan-Do-Check-Act“)
  • Risikomanagement soll über die gesamte Lebensdauer einer Organisation zur Anwendung kommen und eine Kultur der Risikolenkung in der Organisation entstehen lassen
Die in der Norm ISO 31000 beschriebenen Grundsätze und Verfahren zum Risikomanagement gelten allgemein
  • Sie können in allen Bereichen, in denen Risiken existieren, angewendet werden und sind nicht auf eine spezifische Branche zugeschnitten

Das Risikomanagement (Risikofrüherkennungssystem) insbesondere der Aktiengesellschaften orientiert sich an den Anforderungen des Kontroll- und Transparenzgesetzes (KonTraG) und dem darauf basierenden IdW-Prüfungsstandard PS 340 und dem jüngeren DIIR Revisionsstandard Nr. 2 des Deutschen Instituts für Interne Revision (von 2018)

  • Ziel ist es, bestandsbedrohende Risiken frühzeitig zu erkennen und nachvollziehbar zu überwachen
  • Da oft gerade Kombinationseffekte mehrerer Einzelrisiken bestandsbedrohend werden, wird eine Aggregation der Einzelrisiken zur Bestimmung des Gesamtrisikoumfangs gefordert (Risikoaggregation)
  • Der ökonomische Mehrwert des Risikomanagements ist die Reduzierung der Wahrscheinlichkeit bestandsbedrohender Krisen durch mehr Risikotransparenz
  • Die Beurteilung des Grades der finanzwirtschaftlichen Bestandsbedrohung erfolgt durch die Berechnung der Auswirkungen von Risiken auf das zukünftige Rating mittels einer sogenannten Ratingprognose

Als weitere Vorteile eines leistungsfähigen Risikomanagements sind eine Verbesserung der Planungssicherheit und eine Reduzierung der Risikokosten zu nennen

Risikomanagement-Prozess
  • Identifikation der Risiken, Beschreibung ihrer Art, der Ursachen und Auswirkungen
  • Analyse der identifizierten Risiken hinsichtlich ihrer Eintrittswahrscheinlichkeiten und möglichen Auswirkungen
  • Risikobewertung durch Vergleich mit zuvor festzulegenden Kriterien der Risiko-Akzeptanz (z. B. aus Standards und Normen)
  • Risikobewältigung/Risikobeherrschung durch Maßnahmen, die Gefahren und/oder Eintrittswahrscheinlichkeiten reduzieren oder die Folgen beherrschbar machen
  • Risikoüberwachung mithilfe von Parametern, die Aufschluss über die aktuellen Risiken geben (Risikoindikatoren)
  • Risikoaufzeichnungen zur Dokumentation aller Vorgänge, die im Zusammenhang der Risikoanalyse und -beurteilung stattfinden

Um die Komplexität des Risikomanagement-Prozesses zu bewältigen, große Datenmengen zu analysieren und ein strategisches Risikomanagement zu implementieren, bedienen sich viele Unternehmen einer Risikomanagement-Software

  • Diese ist in der Lage, die Risiken eines Unternehmens abzubilden oder zukünftige Risiken zu simulieren
Methoden
  • BSI-Standard 200-3
Risikoanalyse auf der Basis von IT-Grundschutz
  • Klassische Risikoanalyse
ISO 27001, 27005, 31000
  • Penetrationstest
  • Differenz-Sicherheitsanalyse
Integriertes Managementsysteme

Querschnittsfunktion des Risikomanagements

  1. https://de.wikipedia.org/wiki/Integriertes_Managementsystem

Beschreibung

Planvoller Umgang mit Risiken

Motivation

Risikomanagement/Motivation

Phasen

Managementkreislauf
Analog dem Managementkreis werden die Phasen wiederholt durchlaufen und stellen somit einen Zyklus dar
Risikomanagement umfasst die Phasen

Aufgaben

Aufgabe Beschreibung
Risikowahrnehmung
Risikoidentifikation
Risikoanalyse
Risikobewertung/Risikoquantifizierung Risikobeurteilung
Risikoaggregation
Risikobeurteilung
Risikokommunikation
Risikobewältigung
Risikoinformationen
Risikosteuerung
Risikocontrolling


Anhang

Siehe auch

Dokumentation

Links

Projekt
Weblinks
  1. BITCOM: IT-Risiko- und Chancenmanagement im Unternehmen

Risikoarten

Risiko/Arten

TMP

Risikomanagement

Allgemein ausgedrückt ist Risiko die Wahrscheinlichkeit, dass etwas Schlimmes passiert, das einem Informationsgut Schaden zufügt (oder den Verlust des Gutes verursacht) Eine Schwachstelle ist eine Schwäche, die ausgenutzt werden könnte, um einen Informationswert zu gefährden oder zu schädigen

  • Eine Bedrohung ist alles (vom Menschen verursachte oder Naturereignis), was das Potenzial hat, Schaden zu verursachen

Die Wahrscheinlichkeit, dass eine Bedrohung eine Schwachstelle ausnutzt, um Schaden zu verursachen, stellt ein Risiko dar

  • Wenn eine Bedrohung eine Schwachstelle ausnutzt, um Schaden anzurichten, hat dies eine Auswirkung

Im Zusammenhang mit der Informationssicherheit ist die Auswirkung ein Verlust an Verfügbarkeit, Integrität und Vertraulichkeit sowie möglicherweise andere Verluste (Einkommensverluste, Verlust von Menschenleben, Verlust von Immobilien)

Das Certified Information Systems Auditor (CISA) Review Manual 2006' definiert Risikomanagement als "den Prozess der Identifizierung von Schwachstellen und Bedrohungen für die Informationsressourcen, die von einer Organisation zur Erreichung ihrer Geschäftsziele genutzt werden, und die Entscheidung, welche Gegenmaßnahmen, Gegenmaßnahmen]] zu ergreifen sind, um das Risiko auf ein akzeptables Niveau zu reduzieren, basierend auf dem Wert der Informationsressourcen für die Organisation."

In dieser Definition gibt es zwei Punkte, die einer Klarstellung bedürfen

  • Erstens ist der Prozess des Risikomanagements ein fortlaufender, iterativer Prozess
  • Er muss unendlich oft wiederholt werden
  • Das Geschäftsumfeld ändert sich ständig, und jeden Tag tauchen neue Bedrohungen und Schwachstellen auf

Zweitens muss bei der Wahl der Gegenmaßnahmen (Kontrollen), die zur Bewältigung von Risiken eingesetzt werden, ein Gleichgewicht zwischen Produktivität, Kosten, Wirksamkeit der Gegenmaßnahme und dem Wert des zu schützenden Informationsguts gefunden werden Darüber hinaus sind diesen Verfahren Grenzen gesetzt, da Sicherheitsverletzungen im Allgemeinen selten sind und in einem spezifischen Kontext auftreten, der sich nicht ohne weiteres duplizieren lässt Daher sollte jedes Verfahren und jede Gegenmaßnahme selbst auf Schwachstellen untersucht werden Es ist weder möglich, alle Risiken zu identifizieren, noch ist es möglich, alle Risiken zu eliminieren

  • Das verbleibende Risiko wird als "Restrisiko" bezeichnet

"

Eine Risikobewertung wird von einem Team von Personen durchgeführt, die über Kenntnisse in bestimmten Bereichen des Unternehmens verfügen Die Zusammensetzung des Teams kann sich im Laufe der Zeit ändern, da verschiedene Bereiche des Unternehmens bewertet werden Die Bewertung kann auf einer subjektiven qualitativen Analyse beruhen, die sich auf eine fundierte Meinung stützt, oder, wenn verlässliche Dollar-Zahlen und historische Informationen verfügbar sind, auf einer quantitativen Analyse

Die Forschung hat gezeigt, dass die anfälligste Stelle in den meisten Informationssystemen der menschliche Benutzer, Bediener, Designer oder andere Menschen sind Der ISO/IEC 27002:2005 Code of Practice for Information Security Management empfiehlt, bei einer Risikobewertung Folgendes zu untersuchen:

Im Großen und Ganzen besteht der Risikomanagementprozess aus

  1. Identifizierung von Vermögenswerten und Schätzung ihres Wertes
  • Dazu gehören: Menschen, Gebäude, Hardware, Software, Daten (elektronisch, gedruckt, andere), Zubehör
  1. Durchführung einer Bedrohungsanalyse
  • Einschließlich: Naturkatastrophen, Kriegshandlungen, Unfälle, böswillige Handlungen, die von innerhalb oder außerhalb der Organisation ausgehen
  1. Durchführung einer Schwachstellenbewertung, wobei für jede Schwachstelle die Wahrscheinlichkeit berechnet wird, dass sie ausgenutzt wird
  1. Berechnen Sie die Auswirkungen, die jede Bedrohung auf jeden Vermögenswert haben würde
  • Verwenden Sie eine qualitative oder quantitative Analyse
  1. Identifizieren, wählen und implementieren Sie geeignete Kontrollen
  • Geben Sie eine verhältnismäßige Antwort
  • Berücksichtigen Sie Produktivität, Kosteneffizienz und den Wert des Gutes
  1. Bewerten Sie die Wirksamkeit der Kontrollmaßnahmen
  • Sicherstellen, dass die Kontrollen den erforderlichen kosteneffektiven Schutz ohne erkennbare Produktivitätseinbußen bieten

Bei jedem gegebenen Risiko kann die Unternehmensleitung entscheiden, das Risiko aufgrund des relativ geringen Werts des Vermögenswerts, der relativ geringen Häufigkeit des Auftretens und der relativ geringen Auswirkungen auf das Unternehmen zu akzeptieren Oder die Unternehmensleitung kann sich dafür entscheiden, das Risiko durch die Auswahl und Umsetzung geeigneter Kontrollmaßnahmen zu mindern

  • In einigen Fällen kann das Risiko auf ein anderes Unternehmen übertragen werden, indem man eine Versicherung abschließt oder es an ein anderes Unternehmen auslagert

Die Realität mancher Risiken kann umstritten sein

  • In solchen Fällen kann sich die Unternehmensleitung dafür entscheiden, das Risiko zu leugnen

Sicherheitskontrollen

Vorlage:Main Die Auswahl und Umsetzung geeigneter Sicherheitskontrollen hilft einer Organisation zunächst, das Risiko auf ein akzeptables Niveau zu senken Die Auswahl der Kontrollen sollte auf der Grundlage der Risikobewertung erfolgen Kontrollen können unterschiedlicher Natur sein, aber im Grunde genommen sind sie Mittel zum Schutz der Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen

  • Die ISO/IEC 27001 hat Kontrollen in verschiedenen Bereichen definiert

Organisationen können je nach Bedarf zusätzliche Kontrollen einführen ISO/IEC 27002 bietet einen Leitfaden für organisatorische Informationssicherheitsstandards

Administrative Kontrollen

Administrative Kontrollen (auch Verfahrenskontrollen genannt) bestehen aus genehmigten schriftlichen Richtlinien, Verfahren, Standards und Leitlinien

  • Administrative Kontrollen bilden den Rahmen für die Führung des Unternehmens und die Verwaltung der Mitarbeiter

Sie informieren die Mitarbeiter darüber, wie das Unternehmen zu führen ist und wie das Tagesgeschäft abzulaufen hat

  • Gesetze und Verordnungen, die von staatlichen Stellen erlassen werden, sind ebenfalls eine Art von Verwaltungskontrolle, da sie dem Unternehmen Informationen liefern

Einige Branchen haben Richtlinien, Verfahren, Standards und Leitlinien, die befolgt werden müssen - der Payment Card Industry Data Security Standard (PCI DSS), der von Visa und MasterCard gefordert wird, ist ein solches Beispiel

  • Weitere Beispiele für Verwaltungskontrollen sind die Unternehmenssicherheitspolitik, die Passwortpolitik, die Einstellungspolitik und die Disziplinarpolitik

Administrative Kontrollen bilden die Grundlage für die Auswahl und Umsetzung logischer und physischer Kontrollen

  • Logische und physische Kontrollen sind Ausprägungen der administrativen Kontrollen, die von überragender Bedeutung sind

Logische

Logische Kontrollen (auch technische Kontrollen genannt) verwenden Software und Daten, um den Zugang zu Informationen und Computersystemen zu überwachen und zu kontrollieren: Passwörter, netzwerk- und hostbasierte Firewalls, netzwerkbasierte Intrusion Detection-Systeme, Zugangskontrolllisten und Datenverschlüsselung sind Beispiele für logische Kontrollen

Eine wichtige logische Kontrolle, die häufig übersehen wird, ist das Prinzip der geringsten Privilegien, das besagt, dass einer Person, einem Programm oder einem Systemprozess nicht mehr Zugriffsrechte gewährt werden dürfen, als für die Ausführung der Aufgabe erforderlich sind Ein eklatantes Beispiel für die Nichteinhaltung des Prinzips der geringsten Rechte ist die Anmeldung bei Windows als Benutzer Administrator, um E-Mails zu lesen und im Internet zu surfen

  • Verstöße gegen dieses Prinzip können auch auftreten, wenn eine Person im Laufe der Zeit zusätzliche Zugriffsrechte erwirbt

Dies geschieht, wenn sich die Aufgaben eines Mitarbeiters ändern, er in eine neue Position befördert wird oder er in eine andere Abteilung versetzt wird Die für die neuen Aufgaben erforderlichen Zugriffsrechte werden häufig zu den bereits bestehenden Zugriffsrechten hinzugefügt, die möglicherweise nicht mehr notwendig oder angemessen sind

Physische

Physische Kontrollen überwachen und kontrollieren die Umgebung des Arbeitsplatzes und der EDV-Einrichtungen Dazu gehören Türen, Schlösser, Heizungs- und Klimaanlagen, Rauch- und Feuermelder, Brandbekämpfungssysteme, Kameras, Absperrungen, Zäune, Sicherheitspersonal, Kabelschlösser usw

  • Die Aufteilung des Netzes und des Arbeitsplatzes in Funktionsbereiche gehört ebenfalls zu den physischen Kontrollen

Eine wichtige physische Kontrolle, die häufig übersehen wird, ist die Aufgabentrennung, die sicherstellt, dass eine Person eine kritische Aufgabe nicht allein erledigen kann So sollte beispielsweise ein Mitarbeiter, der einen Erstattungsantrag stellt, nicht auch in der Lage sein, die Zahlung zu genehmigen oder den Scheck zu drucken Ein Anwendungsprogrammierer sollte nicht gleichzeitig der Serveradministrator oder der Datenbankadministrator sein; diese Rollen und Verantwortlichkeiten müssen voneinander getrennt werden

Defense in Depth

Das Zwiebelmodell der Verteidigung in der Tiefe

Main: Defense in depth (computing)

Die Informationssicherheit muss Informationen während ihres gesamten Lebenszyklus schützen, von der Erstellung der Informationen bis zu ihrer endgültigen Vernichtung Die Informationen müssen geschützt werden, während sie in Bewegung sind und während sie ruhen

  • Während ihrer Lebensdauer können Informationen viele verschiedene Informationsverarbeitungssysteme und viele verschiedene Teile von Informationsverarbeitungssystemen durchlaufen

Es gibt viele verschiedene Möglichkeiten, wie die Informationen und Informationssysteme bedroht werden können

  • Um die Informationen während ihrer Lebensdauer vollständig zu schützen, muss jede Komponente des Informationsverarbeitungssystems ihre eigenen Schutzmechanismen haben

Der Aufbau, die Schichtung und die Überlappung von Sicherheitsmaßnahmen wird als "Verteidigung in der Tiefe" bezeichnet Im Gegensatz zu einer Metallkette, die bekanntlich nur so stark ist wie ihr schwächstes Glied, zielt die Strategie der "Verteidigung in der Tiefe" auf eine Struktur ab, bei der im Falle des Versagens einer Verteidigungsmaßnahme andere Maßnahmen weiterhin Schutz bieten

Erinnern Sie sich an die frühere Diskussion über administrative Kontrollen, logische Kontrollen und physische Kontrollen

  • Diese drei Arten von Kontrollen können als Grundlage für die Entwicklung einer Strategie der Tiefenverteidigung verwendet werden
  • Mit diesem Ansatz lässt sich die "Defense in Depth"-Strategie als drei verschiedene, übereinander liegende Schichten oder Ebenen konzipieren

Weitere Einblicke in die Defense-in-Depth-Strategie erhält man, wenn man sie sich als die Schichten einer Zwiebel vorstellt, wobei die Daten den Kern der Zwiebel bilden, die Menschen die nächste äußere Schicht der Zwiebel und die Netzwerksicherheit, die hostbasierte Sicherheit und die Anwendungssicherheit die äußersten Schichten der Zwiebel bilden Beide Sichtweisen sind gleichermaßen gültig, und beide bieten wertvolle Einblicke in die Umsetzung einer guten Defense-in-Depth-Strategie

Klassifizierung

Ein wichtiger Aspekt der Informationssicherheit und des Risikomanagements ist das Erkennen des Wertes von Informationen und die Festlegung geeigneter Verfahren und Schutzanforderungen für die Informationen Nicht alle Informationen sind gleichwertig, und nicht alle Informationen erfordern den gleichen Grad an Schutz Dazu müssen die Informationen einer Sicherheitsklassifizierung zugeordnet werden Der erste Schritt bei der Klassifizierung von Informationen besteht darin, ein Mitglied der Geschäftsleitung als Eigentümer der zu klassifizierenden Informationen zu bestimmen

  • Als Nächstes ist eine Klassifizierungsrichtlinie zu entwickeln

Die Richtlinie sollte die verschiedenen Klassifizierungskennzeichnungen beschreiben, die Kriterien für die Zuweisung einer bestimmten Kennzeichnung festlegen und die erforderlichen Sicherheitskontrollen für jede Klassifizierung auflisten

Zu den Faktoren, die Einfluss darauf haben, welche Klassifizierung einer Information zugewiesen werden sollte, gehören der Wert der Information für das Unternehmen, das Alter der Information und die Frage, ob die Information veraltet ist oder nicht Auch Gesetze und andere regulatorische Anforderungen spielen bei der Klassifizierung von Informationen eine wichtige Rolle Die Information Systems Audit and Control Association (ISACA) und ihr Business Model for Information Security (Geschäftsmodell für Informationssicherheit) dienen auch als Instrument für Sicherheitsexperten, um die Sicherheit aus einer Systemperspektive zu betrachten und eine Umgebung zu schaffen, in der die Sicherheit ganzheitlich verwaltet werden kann, so dass die tatsächlichen Risiken angegangen werden können

Welche Art von Klassifizierungskennzeichen für die Informationssicherheit ausgewählt und verwendet wird, hängt von der Art der Organisation ab:

  • Im geschäftlichen Bereich werden Kennzeichnungen wie: Öffentlich, Sensibel, Privat, Vertraulich
  • Im staatlichen Sektor werden Bezeichnungen wie: Unclassified, Inoffiziell, Geschützt, Vertraulich, Geheim, Streng Geheim und ihre nicht-englischen Entsprechungen
  • In sektorübergreifenden Zusammenschlüssen das Ampelprotokoll, das aus folgenden Elementen besteht: Weiß, Grün, Gelb und Rot
  • Im persönlichen Bereich eine Bezeichnung wie Finanzen
  • Dazu gehören Aktivitäten im Zusammenhang mit der Verwaltung von Geld, wie z.B
  • Online-Banking

Alle Mitarbeiter des Unternehmens sowie die Geschäftspartner müssen im Hinblick auf das Klassifizierungsschema geschult werden und die erforderlichen Sicherheitskontrollen und Handhabungsverfahren für jede Klassifizierung verstehen Die Klassifizierung eines bestimmten Informationsguts, die zugewiesen wurde, sollte regelmäßig überprüft werden, um sicherzustellen, dass die Klassifizierung für die Informationen immer noch angemessen ist und um zu gewährleisten, dass die durch die Klassifizierung vorgeschriebenen Sicherheitskontrollen vorhanden sind und in den richtigen Verfahren befolgt werden

Zugangskontrolle

Der Zugang zu geschützten Informationen muss auf Personen beschränkt werden, die zum Zugriff auf die Informationen berechtigt sind Die Computerprogramme und in vielen Fällen auch die Computer, die die Informationen verarbeiten, müssen ebenfalls autorisiert sein Dies setzt voraus, dass Mechanismen zur Kontrolle des Zugriffs auf geschützte Informationen vorhanden sind

  • Die Ausgereiftheit der Zugriffskontrollmechanismen sollte dem Wert der zu schützenden Informationen entsprechen; je sensibler oder wertvoller die Informationen sind, desto stärker müssen die Kontrollmechanismen sein

Die Grundlage, auf der die Zugangskontrollmechanismen aufgebaut sind, beginnt mit der Identifizierung und Authentifizierung

Die Zugangskontrolle erfolgt im Allgemeinen in drei Schritten: Identifizierung, Authentifizierung und Autorisierung


Identifizierung

Identifizierung ist eine Aussage darüber, wer jemand ist oder was etwas ist

  • Wenn eine Person sagt: "Hallo, mein Name ist John Doe", dann behauptet sie damit, wer sie ist

Diese Behauptung kann jedoch wahr sein oder auch nicht

  • Bevor John Doe Zugang zu geschützten Informationen erhalten kann, muss überprüft werden, ob die Person, die behauptet, John Doe zu sein, wirklich John Doe ist

In der Regel erfolgt die Angabe in Form eines Benutzernamens

  • Durch die Eingabe dieses Benutzernamens erklären Sie, dass Sie die Person sind, zu der der Benutzername gehört"

Authentifizierung

Authentifizierung ist der Akt der Verifizierung einer behaupteten Identität

  • Wenn John Doe in eine Bank geht, um Geld abzuheben, sagt er dem Bankangestellten, dass er John Doe ist, eine Behauptung der Identität

Der Bankangestellte verlangt einen Lichtbildausweis, woraufhin er dem Angestellten seinen Führerschein aushändigt Der Bankangestellte prüft den Führerschein, um sicherzustellen, dass John Doe darauf steht, und vergleicht das Foto auf dem Führerschein mit der Person, die behauptet, John Doe zu sein Wenn das Foto und der Name mit der Person übereinstimmen, hat der Kassierer bestätigt, dass John Doe derjenige ist, der er vorgibt zu sein

  • In ähnlicher Weise beweist der Benutzer durch die Eingabe des richtigen Passworts, dass er/sie die Person ist, der der Benutzername gehört

Es gibt drei verschiedene Arten von Informationen, die für die Authentifizierung verwendet werden können:

Eine starke Authentifizierung erfordert die Angabe von mehr als einer Art von Authentifizierungsinformationen (Zwei-Faktor-Authentifizierung) Der Benutzername ist heute die gebräuchlichste Form der Identifizierung auf Computersystemen, und das Kennwort ist die häufigste Form der Authentifizierung Benutzernamen und Passwörter haben ihren Zweck erfüllt, aber sie sind zunehmend unzureichend Benutzernamen und Passwörter werden allmählich durch ausgefeiltere Authentifizierungsmechanismen wie Zeitbasierter Einmal-Passwort-Algorithmuse ersetzt oder ergänzt

Autorisierung

Nachdem eine Person, ein Programm oder ein Computer erfolgreich identifiziert und authentifiziert wurde, muss festgelegt werden, auf welche Informationsressourcen sie zugreifen dürfen und welche Aktionen sie durchführen dürfen (ausführen, anzeigen, erstellen, löschen oder ändern) Dies wird Autorisierung genannt

  • Die Autorisierung für den Zugriff auf Informationen und andere Computerdienste beginnt mit administrativen Richtlinien und Verfahren

In den Richtlinien wird festgelegt, welche Informationen und Computerdienste von wem und unter welchen Bedingungen genutzt werden dürfen

  • Die Zugriffskontrollmechanismen werden dann so konfiguriert, dass sie diese Richtlinien durchsetzen

Verschiedene Computersysteme sind mit unterschiedlichen Arten von Zugangskontrollmechanismen ausgestattet

  • Einige bieten sogar eine Auswahl an verschiedenen Zugangskontrollmechanismen

Der Zugangskontrollmechanismus, den ein System anbietet, basiert auf einem der drei Ansätze zur Zugangskontrolle oder er kann aus einer Kombination der drei Ansätze abgeleitet sein

Der nicht-diskretionäre Ansatz konsolidiert die gesamte Zugangskontrolle unter einer zentralisierten Verwaltung Der Zugang zu Informationen und anderen Ressourcen basiert in der Regel auf der Funktion (Rolle) des Einzelnen in der Organisation oder auf den Aufgaben, die der Einzelne erfüllen muss

Der diskretionäre Ansatz gibt dem Ersteller oder Eigentümer der Informationsressource die Möglichkeit, den Zugriff auf diese Ressourcen zu kontrollieren

  • Bei der obligatorischen Zugangskontrolle wird der Zugang auf der Grundlage der der Informationsressource zugewiesenen Sicherheitseinstufung gewährt oder verweigert

Beispiele für gängige Zugriffskontrollmechanismen sind die Rollenbasierte Zugriffskontrolle, die in vielen fortgeschrittenen Datenbankverwaltungssystemen verfügbar ist; einfache Dateiberechtigungen, die in den Betriebssystemen UNIX und Windows bereitgestellt werden; Gruppenrichtlinienobjekte in Windows-Netzwerksystemen; und Kerberos, RADIUS, TACACS und die einfachen Zugriffslisten, die in vielen Firewalls und Routern verwendet werden

Um wirksam zu sein, müssen Richtlinien und andere Sicherheitskontrollen durchsetzbar sein und aufrechterhalten werden

  • Wirksame Richtlinien stellen sicher, dass die Mitarbeiter für ihre Handlungen zur Verantwortung gezogen werden

Die Richtlinien des U.S * Treasury für Systeme, die sensible oder geschützte Informationen verarbeiten, sehen beispielsweise vor, dass alle fehlgeschlagenen und erfolgreichen Authentifizierungs- und Zugriffsversuche protokolliert werden müssen und jeder Zugriff auf Informationen eine Art Audit Trail hinterlassen muss

Außerdem muss bei der Zugangskontrolle der Grundsatz "Kenntnisnahme erforderlich" beachtet werden

  • Dieses Prinzip gibt einer Person Zugriffsrechte, um ihre Aufgaben zu erfüllen

Dieses Prinzip wird in der Regierung bei unterschiedlichen Freigaben angewendet Auch wenn zwei Mitarbeiter in verschiedenen Abteilungen eine Streng geheim haben, müssen sie voneinander wissen, damit Informationen ausgetauscht werden können

  • Im Rahmen des Need-to-know-Prinzips gewähren die Netzwerkadministratoren den Mitarbeitern die geringsten Rechte, um zu verhindern, dass sie auf mehr Informationen zugreifen, als sie eigentlich dürften

Need-to-know hilft bei der Durchsetzung des Dreiklangs Vertraulichkeit-Integrität-Verfügbarkeit

  • Need-to-know wirkt sich direkt auf den vertraulichen Bereich des Dreiklangs aus
Abgerufen von „https://wiki.foxtom.de/index.php?title=Risiko/Management&oldid=100844