Zum Inhalt springen

Informationssicherheit: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
VisuellWikitext
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
Markierung: Zurückgesetzt
Zeile 1: Zeile 1:
'''Informationssicherheit''' - Eigenschaft von Systemen [[Vertraulichkeit]], [[Verfügbarkeit]] und [[Integrität]] sicherzustellen
'''Sicherheit''' - Zustand frei von unvertretbaren Risiken (gefahrenfrei)


== Beschreibung ==
==== Beschreibung ====
Als '''Informationssicherheit''' oder '''Cybersicherheit''' bezeichnet man Eigenschaften von technischen oder nicht-technischen Systemen zur [[Datenverarbeitung|Informationsverarbeitung]], -[[Datenspeicher|speicherung]] und -lagerung, die die Schutzziele [[Vertraulichkeit]], [[Verfügbarkeit]] und [[Integrität (Informationssicherheit)|Integrität]] sicherstellen.
; Sicherheit
* Informationssicherheit dient dem Schutz vor [[Gefahr]]en bzw. [[Bedrohung]]en, der Vermeidung von wirtschaftlichen [[Schaden|Schäden]] und der Minimierung von [[Risiko|Risiken]].
: Lateinisch: sēcūritās, sēcūrus „sorglos“, sēd „ohne“ und cūra „(Für-)Sorge“


In der Praxis orientiert sich die Informationssicherheit im Rahmen des [[IT-Sicherheitsmanagement]]s unter anderem an der internationalen [[ISO/IEC-27000-Reihe]].
; bezogen auf
* Im deutschsprachigen Raum ist ein Vorgehen nach [[IT-Grundschutz]] verbreitet.
* Lebewesen
* Im Bereich der [[Evaluierung]] und [[Zertifizierung]] von IT-Produkten und -systemen findet die Norm [[ISO/IEC 15408]] ([[Common Criteria for Information Technology Security Evaluation|Common Criteria]]) häufig Anwendung.
* Objekte/Systeme
 
* Wertvorstellungen
Die Normenreihe [[IEC 62443]] befasst sich mit der Informationssicherheit von „Industrial Automation and Control Systems“ (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller.
* Zeitraum
 
* ...
=== Bedeutung ===
In den frühen Kindertagen<!-- Entweder präzisieren oder umformulieren.
* Aktuell klingt dies etwas umgangssprachlich und nicht enzyklopädisch. --> des ([[Personal Computer|Personal]]-)[[Computer]]s verstand man unter Computersicherheit die Sicherstellung der korrekten Funktionalität von Hardware (Ausfall von zum Beispiel Bandlaufwerken oder anderen mechanischen Bauteilen) und Software (richtige Installation und Wartung von Programmen).
* Mit der Zeit änderten sich die Anforderungen an die Computer ([[Internet]], [[Datenspeicher|Speichermedien]]); die Aufgaben zur Computersicherheit mussten umgestaltet werden.
* Somit bleibt der Begriff der Computersicherheit wandelbar.
 
Private und öffentliche [[Unternehmen]] sind heute in allen Bereichen ihrer Geschäftstätigkeit, Privatpersonen in den meisten Belangen des täglichen Lebens auf IT-Systeme angewiesen.
* Da neben der Abhängigkeit auch die Risiken für IT-Systeme in Unternehmungen in der Regel größer sind als für Computer und [[Netzwerk]]e in privaten Haushalten, ist Informationssicherheit überwiegend Aufgabe von Unternehmen.
 
Entsprechende Verpflichtungen lassen sich im gesamten deutschsprachigen Raum aus den verschiedenen Gesetzen zum Gesellschaftsrecht, Haftungsrecht, Datenschutz, Bankenrecht usw. herleiten.  
* Dort stellt Informationssicherheit einen Baustein des [[Risikomanagement]]s dar.
* International spielen Vorschriften wie [[Basel II]] und der [[Sarbanes-Oxley Act]] eine wichtige Rolle.
 
=== IT und OT ===
=== Arten und Wichtigkeit von Informationen ===


=== Schutz von Informationen ===
; Sicherheit als Grundbedürfnis
; ISO/IEC 27001
Sicherheitsbedarf steigt
; Informationen sind Werte
* Globalisierung
* Wertvoll für eine Organisation
* steigende Mobilität
* Wie die übrigen Geschäftswerte
* wachsender Abhängigkeit von Technik
* Müssen in geeigneter Weise geschützt werden


; Angemessener Schutz unabhängig von
===== Relative Sicherheit =====
* Erscheinungsform
; Relativer Zustand der Gefahrenfreiheit
* Art der Nutzung
begrenzt auf
* Speicherung
* Zeitraum
* Umgebung
* Bedingungen


=== Informationssicherheit im Fokus ===
; Ereignisse, die sich nicht beeinflussen oder voraussehen lassen
; Warum ist Sicherheit überhaupt ein Thema?
* Sicherheitsvorkehrungen können zu Fall gebracht werden
* Verteilte Informatiksysteme sind kritische Ressourcen
* Globalisierung der Kommunikationsbedürfnisse und -infrastruktur (Internet)


; "grenzüberschreitenden" Kooperation
; Beeinträchtigungen können nicht ausgeschlossen werden
* Email
* Nur hinreichend unwahrscheinlich gemacht werden
* Informationssysteme
* Desktop-Conferencing
* Soziale Netzwerke


; Offene Systeme
; Beispiel Kraftfahrzeugwesen
* Vielfältige Schnittstellen und Datenaustausch
* Zahlreiche Vorschriften
* Erhöhung des Angriffs- und Schadenpotentials
* Regelmäßige Kontrollen


; Physische Sicherheit kann oft nicht gewährleistet werden
Das Führen von Kraftfahrzeugen für dennoch regelmäßig zu gefährlichen Zuständen
* Zugang zu Räumen und IT-Systemen
* unabsichtlich
** fahrlässig
* absichtlich
** böswillig


; Vertrauen als Ressource
===== Vertretbaren Risiken =====
* Wem vertraue ich, wem nicht?
* Wer ist mein Gegenüber wirklich?


=== Warum Informationssicherheit? ===
===== Komplexe Systeme =====
* Das Streben nach Informationssicherheit resultiert aus einer risikoorientierten Herangehensweise
; In komplexen Systemen lassen sich Risiken nicht völlig auszuschließen
* Es soll Unternehmen vor Kapitalschäden jeglicher Art schützen


; Klassische Beispiele
; Vertretbares Risiko
* Image- und Vertrauensverlust
* hängt von vielen Faktoren ab
* Datenverlust
* wird subjektiv und kulturell verschieden bewertet
* Produktivitätsausfall
* Wirtschaftsspionage
* Verletzung von Marken- und Urheberrechten


Es liegt in der Natur der Sache, dass Unternehmer solchen Schäden durch entsprechende Maßnahmen vermeiden wollen.
; Wahrscheinlichkeiten
* höhere Wahrscheinlichkeiten für Beeinträchtigungen mit steigendem Nutzen werden als vertretbar angesehen
* Aktien-Spekulation, Teilnahme am Straßenverkehr, ...


=== Datensicherung ===
; Sicherheitskonzepte
; Normbegriff der Rechtsordnung
* Definierter Zustand von Sicherheit
; Summe aller
* Definition von Maßnahmen
* technischen und
* organisatorischen Maßnahmen  
zur Gewährleistung des Datenschutzes


; Maßnahmen müssen in einem angemessenen Verhältnis zum angestrebten Schutzzweck stehen.
; Erfolgreiche Sicherheitsmaßnahmen
* können Beeinträchtigungen (erwartete und unerwartete) abwehren oder hinreichend unwahrscheinlich machen


=== Datensicherheit ===
==== Security und Safety ====
; Datensicherheit als technischer Begriff
; Sicherheit umfasst Security und Safety
* Planende,
* steuernde,
* verarbeitende und  
* kontrollierende Maßnahmen


; zur Gewährleistung der Sicherheitsziele
; Security
* Verfügbarkeit
Angriffssicherheit
* Vertraulichkeit
* Sicherheit eines Systems
* Integrität
* Schutz des Objektes vor der Umgebung
; der informationstechnischen Infrastruktur
* Immunität


==== Datensicherheit ====
; Safety
; Datensicherung als antiquierter Begriff
Betriebssicherheit
* Kopieerstellung von Datenbeständen
* Zuverlässigkeit eines Systems
* Ziel: Rekonstruktion bei Verlust
* Schutz der Umgebung vor einem Objekt
* Verfügbarkeit
* Isolation
* Integrität


; Datensicherung zur Gewährleistung der
; Sicherheitskonzepte spezifizieren diese Anforderungen
* Verfügbarkeit
Es ist unzureichend, von einer Fluchttür lediglich „Sicherheit“ zu fordern.
* Integrität


; der informationstechnischen Infrastruktur ist im weiteren Sinne auch Voraussetzung für die Erzielung einer Gesamtsicherheit, die
; Safety-Anforderung
* alle Komponenten der IT-Infrastruktur erfasst, die
* Gewährleistung eines gefahrlosen Flucht- und Rettungsweges
* für die betrieblichen Wertschöpfungsprozesse relevant sind


; Interesse von Unternehmen
; Security-Anforderung
* Sicherstellung der kontinuierlichen Bedürfnisbefriedigung
* Vermeidung einer unberechtigten Nutzung der Tür im Normalbetrieb
* Gewinnmaximierung


; Interesse des Einzelnen
==== Wirtschaftliche Sicherheit ====
* Schutz seiner (personenbezogenen) Daten vor Missbrauch
[[File:sicherheitSpannungsfeld.png|mini|350px|Sicherheit im Spannungsfeld]]
; Materieller / finanziellen Mittel
* ist für die Existenz oder
* für geplanten Vorhaben
* im vorgesehenen Zeitraum gewährleistet


=== IT-Systeme ===
; Dies kann sowohl
; IT-Systeme bestehen aus
* das einzelne Individuum betreffen, als auch
* Objekten
* Kollektive (betriebswirtschaftliche Unternehmen oder ganze Staaten)
* Subjekten
* Aktionen
* Umfeldbedingungen


==== Objekte ====
; Versicherungen
; Objekte eines IT-Systems sind alle aktiven und passiven Komponenten
* Absicherung unabweisbare Gefahren
* Hardware
* erhöht nicht objektiv die Sicherheit
* Software
* aber das subjektive Sicherheitsgefühl
* gespeicherten Daten
* im Eintrittsfall eine Behebung oder Ausgleich des Schadens ermöglichen


; Im weiteren Sinne
; Betriebswirtschaftliche Sicherheit
* Gesamte informationstechnische Infrastruktur
* technische, logistische und organisatorische Maßnahmen
* in Bezug auf Maschinen oder Anlagen im industriellen Bereich
* Ausfallsicherheit, Verlässlichkeit und Verfügbarkeit


; schutzwürdige Objekte
==== Technische Sicherheit ====
* Einzelne Objekte (Server, Anwendungen, Verbindungen)
===== Betriebssicherheit =====
* Gruppen von Objekten
; Technische Konstruktionen oder Objekte
* Gesamter IT-Verbund
; Zustand der voraussichtlich störungsfreien und gefahrenfreien Funktion
* „Sicherheit“ ist abhängig von ihrer Definition
* welcher Grad von Unsicherheit akzeptiert wird


; Für jedes Objekt muss geregelt sein
===== Zuverlässigkeit =====
* welche Subjekte
* Tritt bei einer Störung keine Gefährdung auf, spricht man von Zuverlässigkeit
* unter welchen Voraussetzungen
* Die Norm IEC 61508 definiert Sicherheit als „Freiheit von unvertretbaren Risiken“
* Zugang und
* „funktionalen Sicherheit“ als Teilaspekt der Gesamtsicherheit
* Zugriff erhalten


==== Subjekte ====
===== Bauteilzuverlässigkeit =====
; Subjekte eines IT-Systems sind
; Technische Konstruktionen oder Objekte
* Betreiber
; Bauteilzuverlässigkeit
* Anwender
* Primäre Grundlage für die Betriebssicherheit
* Benutzer
* Bauteile dürfen nicht durch Überbelastung oder Materialversagen Ihre Funktionsfähigkeit verlieren


; Zugang der Subjekte zu IT-Systemen und Zugriff auf einzelne Objekte erfordert
; Bedeutung der Software bei technischen Systemen
* Identifikation
* Software für sicherheitskritische Systeme
* Authentifizierung
* hoher Aufwand für die Sicherstellung der Fehlerarmut der Software
* strenge Maßstäbe an den Softwareentwicklungsprozess
* Für einige Bereiche gibt es einschlägige Normen Industrien (Eisenbahn: EN 50128)


; Subjekte können auch technische Kommunikationselemente sein
; Kosten vs. Sicherheit
* selbststeuernde Aktionen
* Häufig stehen kostenaufwändige Sicherheitsmaßnahmen den wirtschaftlichen Belangen zum Kapitalgewinn entgegen
* z.B Verbindung zu fremden Systemen
* mit dem Ziel des Zugriffs auf fremde Objekte
* aufbauen
* nutzen
* wieder abbauen


==== Anmeldung ====
==== Sicherheitstechnik ====
; Zugangsverfahren
===== Unmittelbare Sicherheit =====
; Gefahrenentstehung wird verhindert
; safe-life-Ansatz
* Versagen wird ausgeschlossen
* Klärung aller äußeren Einflüsse
* sicheres Bemessen
* weiterer Kontrolle wird
* beschränktes Versagen ermöglicht gefahrlose Außerbetriebnahme möglich


; Anmeldeverfahren von Subjekten zu IT-Systemen oder einzelnen Objekten
; redundante Anordnung von Baugruppen
* Gesamtfunktion immer gewährleistet
* auch bei Teilausfällen


; Im Zugangsverfahren wird die Berechtigung von
* natürlichen oder
* technischen Subjekten
; durch
* technische oder
* logische Verfahren
; zur Identifizierung / Authentifizierung überprüft


==== Zugriffskontrolle ====
===== Verfahren der Sicherheitstechnik =====
; Zugriff
* Auswirkungsanalyse
* [[Fehlerbaumanalyse]]
* [[PAAG]]-Verfahren


; Ausführung von  
===== Unbeabsichtigten Folgen von Sicherheitssysteme =====
* lesenden,
; können Sicherheitsgewinn zunichtemachen
* schreibenden oder
; Prognosen vs. empirische Beobachtung
* steuernden Aktionen
* Der auf Prognosen setzenden Sicherheitsforschung wird vorgeworfen, empirische Beobachtung der Systeme zu vernachlässigen


; auf definierte Objekte eines IT-Systems
; Beispiel: Risiken von VPN
Risiken und Nebenwirkungen beim Einsatz von VPNs
* Nicht alle VPN-Systeme sind sicher gegen Man-in-the-Middle-Angriffe
* insbesondere in der Phase des Aushandelns der Übertragungs- und Kryptografiesparameter


; Zugriffskontrolle erfolgt auf logischer Ebene
Implementierung von VPNs erfordert eine Menge Vorarbeiten
* nach ordnungsgemäßer Zugangskontrolle
* Vielzahl und Komplexität der verfügbaren Protokolle
* mittels Verfahren zur Identifizierung und / oder
* Authentifizierung von Zugriffsrechten.


===== Need-to-Know-Prinzip =====
VPNs erfordert je nach Architektur erhebliche zusätzliche Ressourcen
[[File:needToKnow.png|400px]]


Ein Subjekt darf nur auf ein Objekt zugreifen können, wenn dies in seiner Zuständigkeit liegt.
===== Schutzeinrichtungen =====
{| class="wikitable sortable options"
|-
! Schutzeinrichtung !! Beschreibung
|-
| Trennend || Verkleidung, Verdeckung, Sicherheitsdomänen, Firewall
|-
| Ortsbindend || Zweihandbedienung, Tipptaster, Anketten
|-
| Abweisend || Handabweiser, Zugangskontrolle, Raumverschluss
|-
| Detektierend || Lichtschranke, Pendelklappen, Monitoring, Intrusion Detektion
|}


==== Aktionen ====
==== Anhang ====
; Aktionen
===== Siehe auch =====
* aktiv/passiv
{{Special:PrefixIndex/Sicherheit}}
* objektnutzend/objektsteuernd
====== Links ======
 
======= Einzelnachweise =======
; Differenzierung auf Softwareebene durch
* Systemsoftware
* Anwendungssoftware
 
==== Umfeld ====
; Konstrukte am Standort beschrieben das Umfeld
* räumlich
* versorgungstechnisch
* Klimatechnisch
* ...
 
; Sekundäres Umfeld vernetzter Systeme
* Netztopologie
* Kommunikationsarchitektur
 
=== Gesetzliche Grundlagen ===
[[Sicherheit/Gesetzliche_Grundlagen]]
 
== Begriffe ==
[[Sicherheit/Begriffe]]
 
== Motivation und Ziele ==
[[Sicherheit/Ziele]]
 
== Bedrohung – Schwachstelle - Gefährdung - Risiko ==
[[Bedrohungen]]
 
== Maßnahmen ==
[[Sicherheit/Maßnahmen]]
 
== Standards, „Best Practices“ und Ausbildung ==
Zur Bewertung und [[Zertifizierung]] der ''Sicherheit von Computersystemen'' existieren internationale [[Qualitätsmanagementnorm|Normen]].
* Wichtige Normen in diesem Zusammenhang waren die amerikanischen [[Trusted Computer System Evaluation Criteria|TCSEC]] und die europäischen [[Information Technology Security Evaluation Criteria|ITSEC]]-Standards.
* Beide wurden 1996 von dem neueren [[Common Criteria for Information Technology Security Evaluation|Common-Criteria]]-Standard abgelöst.
* Die Evaluierung und Zertifizierung von IT-Produkten und -systemen erfolgt in Deutschland in der Regel durch das [[Bundesamt für Sicherheit in der Informationstechnik]] (BSI).
 
== IT-Sicherheitsmanagement ==
[[Managementsystem_für_Informationssicherheit]]
 
== Security Engineering ==
Das Fachgebiet [[Security Engineering]] stellt Instrumente zur Abwehr und Analyse von Angriffen und Bedrohungen von IT-Systemen bereit.
 
== Ausbildung ==
Neben den Standards zur Informationssicherheit gibt es auch Standards für die Ausbildung von Sicherheitsfachkräften.
* Als wichtigste sind zu nennen die Zertifizierungen zum [[Certified Information Security Manager]] (CISM) und [[Certified Information Systems Auditor]] (CISA) der [[ISACA]], die Zertifizierung zum [[Certified Information Systems Security Professional]] (CISSP) des International Information Systems Security Certification Consortium (ISC)², die Security+ Zertifizierung von [[CompTIA]], die Zertifizierung zum [[TeleTrusT Information Security Professional]] (TISP) des TeleTrusT – Bundesverband IT-Sicherheit e.&nbsp;V. sowie die GIAC-Zertifizierungen des SANS Institute.
* Eine erweiterte Übersicht bietet die [[Liste der IT-Zertifikate]].
 
== Audits und Zertifizierungen ==
Um ein gewisses Standardmaß an Informationssicherheit zu gewährleisten, ist die regelmäßige Überprüfung von Maßnahmen zur Risikominimierung und -dezimierung Pflicht.
* Auch hier rücken wieder organisatorische und technische Aspekte in den Vordergrund.
 
Technische Sicherheit kann zum Beispiel durch Maßnahmen wie regelmäßige [[Penetrationstest (Informatik)|Penetrationstests]] oder vollständige [[IT-Sicherheitsaudit|Sicherheitsaudits]] erreicht werden, um eventuell bestehende Sicherheitsrisiken im Bereich von informationstechnischen Systemen, Applikationen und/oder in der informationstechnischen [[Infrastruktur]] zu erkennen und zu beseitigen.
 
Organisatorische Sicherheit kann durch [[Audit]]s der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden.
* Beispielsweise können vordefinierte Testschritte beziehungsweise Kontrollpunkte eines Prozesses während eines Audits getestet werden.
 
Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur weiteren Risikominimierung beziehungsweise -dezimierung ableiten.
* Eine Methodik, wie in diesem Absatz beschrieben, ist unmittelbar konform zu [[Normung|Normen]] wie [[ISO/IEC 27001]], [[BS 7799]] oder [[gesetz]]lichen Vorschriften.
* Hier wird meist eine Nachvollziehbarkeit über Vorgänge der Informationssicherheit unmittelbar eingefordert, indem Unternehmen ein [[Risikomanagement]] abverlangt wird.
 
Bei der Arbeit an Maschinen und Anlagen haben Komponenten der funktionalen Sicherheit für den Menschen eine wichtige Schutzfunktion.
* Damit Sicherheitsfunktionen von Steuerungen zuverlässig funktionieren, muss auch die Steuerung selbst vor Ausfall und Manipulation geschützt werden.
* Daher werden auch Security-Aspekte der funktionalen Sicherheit von industriellen Automatisierungssystemen geprüft und zertifiziert.
* Diese Prüfung/Zertifizierung kann nur in Kombination mit einer Zertifizierung der funktionalen Sicherheit durchgeführt werden oder auf einer solchen Zertifizierung aufbauen.
* Ein Prüfgrundsatz formuliert Anforderungen für das Erreichen eines Security-Levels 1 (SL 1: Schutz gegen gelegentlichen oder zufälligen Verstoß) nach [[IEC 62443|DIN EN 62443-3-3]].
* Weitere Grundlagen dieses Prüfgrundsatzes sind die Normen IEC/TS 62443-1-1, DIN EN IEC 62443-4-1, DIN EN IEC 62443-4-2.
 
Den organisatorischen Ablauf einer Prüfung/Zertifizierung regelt die DGUV Test Prüf- und Zertifizierungsordnung, Teil 1: Zertifizierung von Produkten, Prozessen und Qualitätsmanagementsystemen (DGUV Grundsatz 300-003).
 
== Umsetzungsbereiche ==
[[:Kategorie:Sicherheit/Umsetzungsbereiche]]
 
== Gesetzliche Rahmenbedingungen ==
[[Sicherheit/Gesetze]]
 
== Einsatz mobiler Endgeräte ==
[[Mobiler Endgeräte]]
 
== Anhang ==
=== Siehe auch ===
{{Special:PrefixIndex/Informationssicherheit}}
 
* [[Cyberabwehr]]
* [[Cyberkrieg]]
* [[Europäische Agentur für Netz- und Informationssicherheit]]
* [[Internetkriminalität]], [[IT-Sicherheitsverfahren]]
* [[Need-to-know-Prinzip]]
* [[TeleTrusT]]
* [[:Datei:Mind map of information security.svg|Mind Map der Informationssicherheit]]
 
==== Links ====
===== Einzelnachweise =====
<references />
<references />
===== Projekt =====
======= Projekt =======
======= Weblinks =======
<noinclude>


===== Weblinks =====
===== Testfragen =====
# https://de.wikipedia.org/wiki/Informationssicherheit
# [http://www.bsi.de/ Bundesamt für Sicherheit in der Informationstechnik (BSI)]
# [[BMWi]]: [http://www.it-sicherheit-in-der-wirtschaft.de/ Task Force „IT-Sicherheit in der Wirtschaft“]
# [https://www.initiative-s.de/de/index.html Seiten-Check der Initiative-S der Taskforce „IT-Sicherheit in der Wirtschaft“]. Service des [[Eco – Verband der Internetwirtschaft|eco-Verbands der Internetwirtschaft e.V.]], gefördert durch das [[Bundesministerium für Wirtschaft und Technologie]] (BMWi)
# [https://www.sicher-im-netz.de/ Deutschland sicher im Netz e.&nbsp;V.]
# [http://www.enisa.europa.eu/act/ar/deliverables/2006/ar-guide/de ''A Users’ Guide: How to raise information security awareness'' (DE).] [[Bundesamt für Sicherheit in der Informationstechnik]], Juni 2006, [[ENISA]] (mit PDF ''Leitfaden für die Praxis: Wege zu mehr Bewusstsein für Informationssicherheit''; 2&nbsp;MB)
# [https://www.din.de/de/mitwirken/normenausschuesse/nia/nationale-gremien/wdc-grem:din21:54770248 DIN-Normenausschuss Informationstechnik und Anwendungen NA 043-01-27 AA IT-Sicherheitsverfahren]
# Christian Hawellek: [https://pentest24.de/strafrechtliche-relevanz-von-it-sicherheitsaudits/ ''Die strafrechtliche Relevanz von IT-Sicherheitsaudits – Wege zur Rechtssicherheit vor dem Hintergrund des neuen Computerstrafrechts''. ]
# [[Ken Thompson]]: [http://www.ece.cmu.edu/~ganger/712.fall02/papers/p761-thompson.pdf ''Reflections on Trusting Trust''] Artikel über Software-Sicherheit und deren Untergrabung, etwa durch Trojaner.
 
<noinclude>
=== Testfragen ===
<div class="toccolours mw-collapsible mw-collapsed">
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 1''
''Testfrage 1''
<div class="mw-collapsible-content">'''Antwort1'''</div>
<div class="mw-collapsible-content">
<nowiki>'''Antwort1'''
</div>
 
</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
<div class="toccolours mw-collapsible mw-collapsed">
Zeile 330: Zeile 218:
</div>
</div>


[[Kategorie:Grundschutz]]
[[Kategorie:Sicherheit]]
[[Kategorie:Informationssicherheit]]
 
</noinclude>
</noinclude>

Version vom 10. Mai 2023, 10:50 Uhr

Sicherheit - Zustand frei von unvertretbaren Risiken (gefahrenfrei)

Beschreibung

Sicherheit
Lateinisch: sēcūritās, sēcūrus „sorglos“, sēd „ohne“ und cūra „(Für-)Sorge“
bezogen auf
  • Lebewesen
  • Objekte/Systeme
  • Wertvorstellungen
  • Zeitraum
  • ...
Sicherheit als Grundbedürfnis

Sicherheitsbedarf steigt

  • Globalisierung
  • steigende Mobilität
  • wachsender Abhängigkeit von Technik
Relative Sicherheit
Relativer Zustand der Gefahrenfreiheit

begrenzt auf

  • Zeitraum
  • Umgebung
  • Bedingungen
Ereignisse, die sich nicht beeinflussen oder voraussehen lassen
  • Sicherheitsvorkehrungen können zu Fall gebracht werden
Beeinträchtigungen können nicht ausgeschlossen werden
  • Nur hinreichend unwahrscheinlich gemacht werden
Beispiel Kraftfahrzeugwesen
  • Zahlreiche Vorschriften
  • Regelmäßige Kontrollen

Das Führen von Kraftfahrzeugen für dennoch regelmäßig zu gefährlichen Zuständen

  • unabsichtlich
    • fahrlässig
  • absichtlich
    • böswillig
Vertretbaren Risiken
Komplexe Systeme
In komplexen Systemen lassen sich Risiken nicht völlig auszuschließen
Vertretbares Risiko
  • hängt von vielen Faktoren ab
  • wird subjektiv und kulturell verschieden bewertet
Wahrscheinlichkeiten
  • höhere Wahrscheinlichkeiten für Beeinträchtigungen mit steigendem Nutzen werden als vertretbar angesehen
  • Aktien-Spekulation, Teilnahme am Straßenverkehr, ...
Sicherheitskonzepte
  • Definierter Zustand von Sicherheit
  • Definition von Maßnahmen
Erfolgreiche Sicherheitsmaßnahmen
  • können Beeinträchtigungen (erwartete und unerwartete) abwehren oder hinreichend unwahrscheinlich machen

Security und Safety

Sicherheit umfasst Security und Safety
Security

Angriffssicherheit

  • Sicherheit eines Systems
  • Schutz des Objektes vor der Umgebung
  • Immunität
Safety

Betriebssicherheit

  • Zuverlässigkeit eines Systems
  • Schutz der Umgebung vor einem Objekt
  • Isolation
Sicherheitskonzepte spezifizieren diese Anforderungen

Es ist unzureichend, von einer Fluchttür lediglich „Sicherheit“ zu fordern.

Safety-Anforderung
  • Gewährleistung eines gefahrlosen Flucht- und Rettungsweges
Security-Anforderung
  • Vermeidung einer unberechtigten Nutzung der Tür im Normalbetrieb

Wirtschaftliche Sicherheit

Sicherheit im Spannungsfeld
Materieller / finanziellen Mittel
  • ist für die Existenz oder
  • für geplanten Vorhaben
  • im vorgesehenen Zeitraum gewährleistet
Dies kann sowohl
  • das einzelne Individuum betreffen, als auch
  • Kollektive (betriebswirtschaftliche Unternehmen oder ganze Staaten)
Versicherungen
  • Absicherung unabweisbare Gefahren
  • erhöht nicht objektiv die Sicherheit
  • aber das subjektive Sicherheitsgefühl
  • im Eintrittsfall eine Behebung oder Ausgleich des Schadens ermöglichen
Betriebswirtschaftliche Sicherheit
  • technische, logistische und organisatorische Maßnahmen
  • in Bezug auf Maschinen oder Anlagen im industriellen Bereich
  • Ausfallsicherheit, Verlässlichkeit und Verfügbarkeit

Technische Sicherheit

Betriebssicherheit
Technische Konstruktionen oder Objekte
Zustand der voraussichtlich störungsfreien und gefahrenfreien Funktion
  • „Sicherheit“ ist abhängig von ihrer Definition
  • welcher Grad von Unsicherheit akzeptiert wird
Zuverlässigkeit
  • Tritt bei einer Störung keine Gefährdung auf, spricht man von Zuverlässigkeit
  • Die Norm IEC 61508 definiert Sicherheit als „Freiheit von unvertretbaren Risiken“
  • „funktionalen Sicherheit“ als Teilaspekt der Gesamtsicherheit
Bauteilzuverlässigkeit
Technische Konstruktionen oder Objekte
Bauteilzuverlässigkeit
  • Primäre Grundlage für die Betriebssicherheit
  • Bauteile dürfen nicht durch Überbelastung oder Materialversagen Ihre Funktionsfähigkeit verlieren
Bedeutung der Software bei technischen Systemen
  • Software für sicherheitskritische Systeme
  • hoher Aufwand für die Sicherstellung der Fehlerarmut der Software
  • strenge Maßstäbe an den Softwareentwicklungsprozess
  • Für einige Bereiche gibt es einschlägige Normen Industrien (Eisenbahn: EN 50128)
Kosten vs. Sicherheit
  • Häufig stehen kostenaufwändige Sicherheitsmaßnahmen den wirtschaftlichen Belangen zum Kapitalgewinn entgegen

Sicherheitstechnik

Unmittelbare Sicherheit
Gefahrenentstehung wird verhindert
safe-life-Ansatz
  • Versagen wird ausgeschlossen
  • Klärung aller äußeren Einflüsse
  • sicheres Bemessen
  • weiterer Kontrolle wird
  • beschränktes Versagen ermöglicht gefahrlose Außerbetriebnahme möglich
redundante Anordnung von Baugruppen
  • Gesamtfunktion immer gewährleistet
  • auch bei Teilausfällen


Verfahren der Sicherheitstechnik
Unbeabsichtigten Folgen von Sicherheitssysteme
können Sicherheitsgewinn zunichtemachen
Prognosen vs. empirische Beobachtung
  • Der auf Prognosen setzenden Sicherheitsforschung wird vorgeworfen, empirische Beobachtung der Systeme zu vernachlässigen
Beispiel
Risiken von VPN

Risiken und Nebenwirkungen beim Einsatz von VPNs

  • Nicht alle VPN-Systeme sind sicher gegen Man-in-the-Middle-Angriffe
  • insbesondere in der Phase des Aushandelns der Übertragungs- und Kryptografiesparameter

Implementierung von VPNs erfordert eine Menge Vorarbeiten

  • Vielzahl und Komplexität der verfügbaren Protokolle

VPNs erfordert je nach Architektur erhebliche zusätzliche Ressourcen

Schutzeinrichtungen
Schutzeinrichtung Beschreibung
Trennend Verkleidung, Verdeckung, Sicherheitsdomänen, Firewall
Ortsbindend Zweihandbedienung, Tipptaster, Anketten
Abweisend Handabweiser, Zugangskontrolle, Raumverschluss
Detektierend Lichtschranke, Pendelklappen, Monitoring, Intrusion Detektion

Anhang

Siehe auch
Links
= Einzelnachweise =
= Projekt =
= Weblinks =
Testfragen

Testfrage 1 

<nowiki>Antwort1

Testfrage 2

Antwort2

Testfrage 3

Antwort3

Testfrage 4

Antwort4

Testfrage 5

Antwort5
Abgerufen von „https://wiki.foxtom.de/index.php?title=Informationssicherheit&oldid=67926