ISMS/Schutzziele: Unterschied zwischen den Versionen

Aus Foxwiki
Zeile 8: Zeile 8:


=== Integrität ===
=== Integrität ===
* lat. integritas „Unversehrtheit“, „Reinheit“, „Unbescholtenheit“
[[Integrität]]
* eines der drei klassischen Ziele der Informationssicherheit
 
; Keine einheitliche Definition des Begriffs
* „Verhinderung unautorisierter Modifikation von Information“
* Evaluationskriterien für Informationssicherheit der frühen 1990er Jahre (ITSEC)
* „Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen“
* Glossar des Bundesamtes für Sicherheit in der Informationstechnik
 
; Schutz vor Beeinträchtigung von Funktionen technischer Komponenten
* der formalen oder materiellen Struktur von Daten durch
* Manipulationen mittels unzulässiger Aktionen
 
; Authentizität und Integrität von
* Information
* Benutzer
* Hardware
* Software
 
===== Arten von Integrität =====
; Korrekter Inhalt
* Sachverhalte der realen Welt werden korrekt abgebildet werden
 
; Unmodifizierter Zustand
* Nachrichten werden unverändert zugestellt werden
* Programme und Prozesse laufen wie beabsichtigt ab
 
; Erkennung von Modifikation
* unerwünschte Modifikationen (die nicht verhindert werden können) werden erkannt
 
; Temporale Korrektheit
* zeitliche Bedingungen werden eingehalten
* Reihenfolgen
* maximale Verzögerungszeiten
* Synchronität
 
; Integrität (Daten) und Authentizität (Datenursprung)
* können nicht unabhängig betrachtet werden
* ein modifiziertem Inhalt mit bekanntem Absender ist ebenso nutzlos wie
* ein unmodifizierter Inhalt mit gefälschtem Absender
 
; Veränderung von Daten
* kann bei einer Datenübertragung nicht verhindert werden
 
; Technische Maßnahmen zur Sicherstellung der Integrität
* fehlerhafte Daten erkennen
* ggf. eine erneute Datenübertragung durchführen
 
; Möglichkeit der technischen Umsetzung
* Prüfsummen
* Schützen nicht vor absichtlicher Veränderung
 
; Message Authentication Code
* können Übertragungsfehler und Manipulationen erkennen
 
; Keine Schutz vor
* Totalverlust einer Nachricht
* ungewollter Duplikation
* veränderter Reihenfolge mehrerer Nachrichten
* Diese können durch Maßnahmen wie Quittierungsmeldungen oder Sequenznummern sichergestellt werden.
 
==== Verbindlichkeit ====
; Verbindlichkeit
* Non-Repudiability
* Beweisbarkeit von Vorgängen gegenüber Dritten
* Nichtabstreitbarkeit der Datenherkunft
* wichtig z.B. bei Verträgen
 
; Schutz vor der Verfälschung der Identität von
* Absendern und
* Empfängern
 
; Schutz von
* Transportsystemen und
* logischen Kommunikationsverbindungen
 
; gegen Manipulation der Transaktionen


=== Weitere Forderungen ===
=== Weitere Forderungen ===

Version vom 8. Mai 2023, 10:07 Uhr

Klassische Grundwerte der Informationssicherheit

Vertraulichkeit

Vertraulichkeit

Verfügbarkeit

Verfügbarkeit

Integrität

Integrität

Weitere Forderungen

Authentizität (Authenticity)‏

  • Gesicherte Datenherkunft

Überwachung

  • des Zugriffs zu Ressourcen

Ordnungsgemäßes Funktionieren

  • eines IT-Systems

Revisions-Fähigkeit

  • Organisation des Verfahrens
  • Nachvollziehbarkeit, wie und wann welche Daten in das IT-System gelangt sind

Transparenz

IT-Verfahren ist nachvollziehbar
  • für Sachkundige
  • in zumutbarer Zeit
  • mit zumutbarem Aufwand
Setzt eine aktuelle und angemessene Dokumentation voraus


TMP

Motivation und Ziele der Informationssicherheit

Informationen (oder Daten) sind schützenswerte Güter.

  • Der Zugriff auf diese sollte beschränkt und kontrolliert sein.
  • Nur autorisierte Benutzer oder Programme dürfen auf die Information zugreifen. Schutzziele werden zum Erreichen bzw.

Einhalten der Informationssicherheit und damit zum Schutz der Daten vor beabsichtigten Angriffen von IT-Systemen definiert:

  • Die Allgemeine Schutzziele sind nach ihrer englischen Abkürzung auch als CIA(-Triade) bekannt:
    • Vertraulichkeit (englisch: confidentiality): Daten dürfen lediglich von autorisierten Benutzern gelesen werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der Datenübertragung.
    • Integrität (englisch: integrity): Daten dürfen nicht unbemerkt verändert werden.
  • Alle Änderungen müssen nachvollziehbar sein.
    • Verfügbarkeit (englisch: availability): Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet sein.
  • Weitere Schutzziele der Informationssicherheit:
    • Authentizität (englisch: authenticity) bezeichnet die Eigenschaften der Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit eines Objekts.
    • Verbindlichkeit/Nichtabstreitbarkeit (englisch: non repudiation): Sie erfordert, dass „kein unzulässiges Abstreiten durchgeführter Handlungen“ möglich ist.[1] Sie ist unter anderem wichtig beim elektronischen Abschluss von Verträgen.
  • Erreichbar ist sie beispielsweise durch elektronische Signaturen.
    • Zurechenbarkeit (englisch: accountability): „Eine durchgeführte Handlung kann einem Kommunikationspartner eindeutig zugeordnet werden.“
    • in bestimmtem Kontext (zum Beispiel im Internet) auch Anonymität
  • Besonderes Schutzziel im Zuge der DSGVO:
    • Resilienz (englisch: resilience): Widerstandsfähigkeit/Belastbarkeit gegenüber Ausspähungen, irrtümlichen oder mutwilligen Störungen oder absichtlichen Schädigungen (Sabotagen)

Jedes noch so gut geplante und umgesetzte IT-System kann Schwachstellen besitzen.

  • Sind bestimmte Angriffe zum Umgehen der vorhandenen Sicherheitsvorkehrungen möglich, ist das System verwundbar.
  • Nutzt ein Angreifer eine Schwachstelle oder eine Verwundbarkeit zum Eindringen in ein IT-System, sind die Vertraulichkeit, Datenintegrität und Verfügbarkeit bedroht (englisch: threat).
  • Angriffe auf die Schutzziele bedeuten für Unternehmen Angriffe auf reale Unternehmenswerte, im Regelfall das Abgreifen oder Verändern von unternehmensinternen Informationen.
  • Jede mögliche Bedrohung ist ein Risiko (englisch: risk) für das Unternehmen.
  • Unternehmungen versuchen durch die Verwendung eines Risikomanagements (englisch: risk management) die Wahrscheinlichkeit des Eintretens eines Schadens und die daraus resultierende Schadenshöhe zu bestimmen.

Nach einer Risikoanalyse und Bewertung der unternehmensspezifischen IT-Systeme können entsprechende Schutzziele definiert werden.

  • Anschließend folgt die Auswahl von IT-Sicherheitsmaßnahmen für die jeweiligen Geschäftsprozesse eines Unternehmens.
  • Dieser Vorgang zählt zu den Tätigkeiten des IT-Sicherheitsmanagements.
  • Eine genormte Vorgehensweise wird durch das Verwenden von IT-Standards ermöglicht.

Im Rahmen des IT-Sicherheitsmanagements findet die Auswahl und Umsetzung entsprechender IT-Sicherheitsstandards statt.

  • Zu diesem Zweck existieren im Bereich IT-Sicherheitsmanagement verschiedene Standards.
  • Mit Hilfe des ISO/IEC 27001- oder des IT-Grundschutz-Standards wird mit anerkannten Regeln versucht, die Komplexität soziotechnischer Systeme für den Bereich des IT-Sicherheitsmanagements zu reduzieren und ein geeignetes Maß an Informationssicherheit zu finden.
  1. Referenzfehler: Es ist ein ungültiger <ref>-Tag vorhanden: Für die Referenz namens unibr_itsec05-0a_F25 wurde kein Text angegeben.