Informationssicherheit: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung Markierung: Manuelle Zurücksetzung |
Keine Bearbeitungszusammenfassung |
||
| Zeile 1: | Zeile 1: | ||
'''Informationssicherheit''' - Eigenschaft von Systemen [[Vertraulichkeit]], [[Verfügbarkeit]] und [[Integrität]] sicherzustellen | '''Informationssicherheit''' - Eigenschaft von Systemen [[Vertraulichkeit]], [[Verfügbarkeit]] und [[Integrität]] sicherzustellen | ||
== Beschreibung == | === Beschreibung === | ||
Als '''Informationssicherheit''' oder '''Cybersicherheit''' bezeichnet man Eigenschaften von technischen oder nicht-technischen Systemen zur [[Datenverarbeitung|Informationsverarbeitung]], -[[Datenspeicher|speicherung]] und -lagerung, die die Schutzziele [[Vertraulichkeit]], [[Verfügbarkeit]] und [[Integrität (Informationssicherheit)|Integrität]] sicherstellen. | Als '''Informationssicherheit''' oder '''Cybersicherheit''' bezeichnet man Eigenschaften von technischen oder nicht-technischen Systemen zur [[Datenverarbeitung|Informationsverarbeitung]], -[[Datenspeicher|speicherung]] und -lagerung, die die Schutzziele [[Vertraulichkeit]], [[Verfügbarkeit]] und [[Integrität (Informationssicherheit)|Integrität]] sicherstellen. | ||
* Informationssicherheit dient dem Schutz vor [[Gefahr]]en bzw. [[Bedrohung]]en, der Vermeidung von wirtschaftlichen [[Schaden|Schäden]] und der Minimierung von [[Risiko|Risiken]]. | * Informationssicherheit dient dem Schutz vor [[Gefahr]]en bzw. [[Bedrohung]]en, der Vermeidung von wirtschaftlichen [[Schaden|Schäden]] und der Minimierung von [[Risiko|Risiken]]. | ||
In der Praxis orientiert sich die Informationssicherheit im Rahmen des [[IT-Sicherheitsmanagement]]s unter anderem an der internationalen [[ISO/IEC-27000-Reihe]]. | In der Praxis orientiert sich die Informationssicherheit im Rahmen des [[IT-Sicherheitsmanagement]]s unter anderem an der internationalen [[ISO/IEC-27000-Reihe]]. | ||
* Im deutschsprachigen Raum ist ein Vorgehen nach [[IT-Grundschutz]] verbreitet. | * Im deutschsprachigen Raum ist ein Vorgehen nach [[IT-Grundschutz]] verbreitet. | ||
* Im Bereich der [[Evaluierung]] und [[Zertifizierung]] von IT-Produkten und -systemen findet die Norm [[ISO/IEC 15408]] ([[Common Criteria for Information Technology Security Evaluation|Common Criteria]]) häufig Anwendung. | * Im Bereich der [[Evaluierung]] und [[Zertifizierung]] von IT-Produkten und -systemen findet die Norm [[ISO/IEC 15408]] ([[Common Criteria for Information Technology Security Evaluation|Common Criteria]]) häufig Anwendung. | ||
Die Normenreihe [[IEC 62443]] befasst sich mit der Informationssicherheit von „Industrial Automation and Control Systems“ (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller. | Die Normenreihe [[IEC 62443]] befasst sich mit der Informationssicherheit von „Industrial Automation and Control Systems“ (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller. | ||
=== Bedeutung === | ==== Bedeutung ==== | ||
In den frühen Kindertagen<!-- Entweder präzisieren oder umformulieren. | In den frühen Kindertagen<!-- Entweder präzisieren oder umformulieren. | ||
* Aktuell klingt dies etwas umgangssprachlich und nicht enzyklopädisch. --> des ([[Personal Computer|Personal]]-)[[Computer]]s verstand man unter Computersicherheit die Sicherstellung der korrekten Funktionalität von Hardware (Ausfall von zum Beispiel Bandlaufwerken oder anderen mechanischen Bauteilen) und Software (richtige Installation und Wartung von Programmen). | * Aktuell klingt dies etwas umgangssprachlich und nicht enzyklopädisch. --> des ([[Personal Computer|Personal]]-)[[Computer]]s verstand man unter Computersicherheit die Sicherstellung der korrekten Funktionalität von Hardware (Ausfall von zum Beispiel Bandlaufwerken oder anderen mechanischen Bauteilen) und Software (richtige Installation und Wartung von Programmen). | ||
* Mit der Zeit änderten sich die Anforderungen an die Computer ([[Internet]], [[Datenspeicher|Speichermedien]]); die Aufgaben zur Computersicherheit mussten umgestaltet werden. | * Mit der Zeit änderten sich die Anforderungen an die Computer ([[Internet]], [[Datenspeicher|Speichermedien]]); die Aufgaben zur Computersicherheit mussten umgestaltet werden. | ||
* Somit bleibt der Begriff der Computersicherheit wandelbar. | * Somit bleibt der Begriff der Computersicherheit wandelbar. | ||
Private und öffentliche [[Unternehmen]] sind heute in allen Bereichen ihrer Geschäftstätigkeit, Privatpersonen in den meisten Belangen des täglichen Lebens auf IT-Systeme angewiesen. | Private und öffentliche [[Unternehmen]] sind heute in allen Bereichen ihrer Geschäftstätigkeit, Privatpersonen in den meisten Belangen des täglichen Lebens auf IT-Systeme angewiesen. | ||
* Da neben der Abhängigkeit auch die Risiken für IT-Systeme in Unternehmungen in der Regel größer sind als für Computer und [[Netzwerk]]e in privaten Haushalten, ist Informationssicherheit überwiegend Aufgabe von Unternehmen. | * Da neben der Abhängigkeit auch die Risiken für IT-Systeme in Unternehmungen in der Regel größer sind als für Computer und [[Netzwerk]]e in privaten Haushalten, ist Informationssicherheit überwiegend Aufgabe von Unternehmen. | ||
Entsprechende Verpflichtungen lassen sich im gesamten deutschsprachigen Raum aus den verschiedenen Gesetzen zum Gesellschaftsrecht, Haftungsrecht, Datenschutz, Bankenrecht usw. herleiten. | Entsprechende Verpflichtungen lassen sich im gesamten deutschsprachigen Raum aus den verschiedenen Gesetzen zum Gesellschaftsrecht, Haftungsrecht, Datenschutz, Bankenrecht usw. herleiten. | ||
* Dort stellt Informationssicherheit einen Baustein des [[Risikomanagement]]s dar. | * Dort stellt Informationssicherheit einen Baustein des [[Risikomanagement]]s dar. | ||
* International spielen Vorschriften wie [[Basel II]] und der [[Sarbanes-Oxley Act]] eine wichtige Rolle. | * International spielen Vorschriften wie [[Basel II]] und der [[Sarbanes-Oxley Act]] eine wichtige Rolle. | ||
=== IT und OT === | ==== IT und OT ==== | ||
=== Arten und Wichtigkeit von Informationen === | ==== Arten und Wichtigkeit von Informationen ==== | ||
=== Schutz von Informationen === | ==== Schutz von Informationen ==== | ||
; ISO/IEC 27001 | ; ISO/IEC 27001 | ||
; Informationen sind Werte | ; Informationen sind Werte | ||
| Zeile 35: | Zeile 35: | ||
; Angemessener Schutz unabhängig von | ; Angemessener Schutz unabhängig von | ||
* Erscheinungsform | * Erscheinungsform | ||
* Art der Nutzung | * Art der Nutzung | ||
* Speicherung | * Speicherung | ||
=== Informationssicherheit im Fokus === | ==== Informationssicherheit im Fokus ==== | ||
; Warum ist Sicherheit überhaupt ein Thema? | ; Warum ist Sicherheit überhaupt ein Thema? | ||
* Verteilte Informatiksysteme sind kritische Ressourcen | * Verteilte Informatiksysteme sind kritische Ressourcen | ||
* Globalisierung der Kommunikationsbedürfnisse und -infrastruktur (Internet) | * Globalisierung der Kommunikationsbedürfnisse und -infrastruktur (Internet) | ||
; "grenzüberschreitenden" Kooperation | ; "grenzüberschreitenden" Kooperation | ||
* Email | * Email | ||
* Informationssysteme | * Informationssysteme | ||
* Desktop-Conferencing | * Desktop-Conferencing | ||
| Zeile 58: | Zeile 58: | ||
; Vertrauen als Ressource | ; Vertrauen als Ressource | ||
* Wem vertraue ich, wem nicht? | * Wem vertraue ich, wem nicht? | ||
* Wer ist mein Gegenüber wirklich? | * Wer ist mein Gegenüber wirklich? | ||
=== Warum Informationssicherheit? === | ==== Warum Informationssicherheit? ==== | ||
* Das Streben nach Informationssicherheit resultiert aus einer risikoorientierten Herangehensweise | * Das Streben nach Informationssicherheit resultiert aus einer risikoorientierten Herangehensweise | ||
* Es soll Unternehmen vor Kapitalschäden jeglicher Art schützen | * Es soll Unternehmen vor Kapitalschäden jeglicher Art schützen | ||
; Klassische Beispiele | ; Klassische Beispiele | ||
* Image- und Vertrauensverlust | * Image- und Vertrauensverlust | ||
* Datenverlust | * Datenverlust | ||
| Zeile 74: | Zeile 74: | ||
Es liegt in der Natur der Sache, dass Unternehmer solchen Schäden durch entsprechende Maßnahmen vermeiden wollen. | Es liegt in der Natur der Sache, dass Unternehmer solchen Schäden durch entsprechende Maßnahmen vermeiden wollen. | ||
=== Datensicherung === | ==== Datensicherung ==== | ||
; Normbegriff der Rechtsordnung | ; Normbegriff der Rechtsordnung | ||
; Summe aller | ; Summe aller | ||
* technischen und | * technischen und | ||
* organisatorischen Maßnahmen | * organisatorischen Maßnahmen | ||
zur Gewährleistung des Datenschutzes | zur Gewährleistung des Datenschutzes | ||
; Maßnahmen müssen in einem angemessenen Verhältnis zum angestrebten Schutzzweck stehen. | ; Maßnahmen müssen in einem angemessenen Verhältnis zum angestrebten Schutzzweck stehen. | ||
=== Datensicherheit === | ==== Datensicherheit ==== | ||
; Datensicherheit als technischer Begriff | ; Datensicherheit als technischer Begriff | ||
* Planende, | * Planende, | ||
* steuernde, | * steuernde, | ||
* verarbeitende und | * verarbeitende und | ||
* kontrollierende Maßnahmen | * kontrollierende Maßnahmen | ||
; zur Gewährleistung der Sicherheitsziele | ; zur Gewährleistung der Sicherheitsziele | ||
| Zeile 94: | Zeile 94: | ||
* Vertraulichkeit | * Vertraulichkeit | ||
* Integrität | * Integrität | ||
; der informationstechnischen Infrastruktur | ; der informationstechnischen Infrastruktur | ||
==== Datensicherheit ==== | ===== Datensicherheit ===== | ||
; Datensicherung als antiquierter Begriff | ; Datensicherung als antiquierter Begriff | ||
* Kopieerstellung von Datenbeständen | * Kopieerstellung von Datenbeständen | ||
* Ziel: Rekonstruktion bei Verlust | * Ziel: Rekonstruktion bei Verlust | ||
* Verfügbarkeit | * Verfügbarkeit | ||
* Integrität | * Integrität | ||
; Datensicherung zur Gewährleistung der | ; Datensicherung zur Gewährleistung der | ||
* Verfügbarkeit | * Verfügbarkeit | ||
* Integrität | * Integrität | ||
; der informationstechnischen Infrastruktur ist im weiteren Sinne auch Voraussetzung für die Erzielung einer Gesamtsicherheit, die | ; der informationstechnischen Infrastruktur ist im weiteren Sinne auch Voraussetzung für die Erzielung einer Gesamtsicherheit, die | ||
* alle Komponenten der IT-Infrastruktur erfasst, die | * alle Komponenten der IT-Infrastruktur erfasst, die | ||
* für die betrieblichen Wertschöpfungsprozesse relevant sind | * für die betrieblichen Wertschöpfungsprozesse relevant sind | ||
; Interesse von Unternehmen | ; Interesse von Unternehmen | ||
* Sicherstellung der kontinuierlichen Bedürfnisbefriedigung | * Sicherstellung der kontinuierlichen Bedürfnisbefriedigung | ||
* Gewinnmaximierung | * Gewinnmaximierung | ||
; Interesse des Einzelnen | ; Interesse des Einzelnen | ||
* Schutz seiner (personenbezogenen) Daten vor Missbrauch | * Schutz seiner (personenbezogenen) Daten vor Missbrauch | ||
=== IT-Systeme === | ==== IT-Systeme ==== | ||
; IT-Systeme bestehen aus | ; IT-Systeme bestehen aus | ||
* Objekten | * Objekten | ||
| Zeile 125: | Zeile 125: | ||
* Umfeldbedingungen | * Umfeldbedingungen | ||
==== Objekte ==== | ===== Objekte ===== | ||
; Objekte eines IT-Systems sind alle aktiven und passiven Komponenten | ; Objekte eines IT-Systems sind alle aktiven und passiven Komponenten | ||
* Hardware | * Hardware | ||
* Software | * Software | ||
* gespeicherten Daten | * gespeicherten Daten | ||
; Im weiteren Sinne | ; Im weiteren Sinne | ||
* Gesamte informationstechnische Infrastruktur | * Gesamte informationstechnische Infrastruktur | ||
; schutzwürdige Objekte | ; schutzwürdige Objekte | ||
* Einzelne Objekte (Server, Anwendungen, Verbindungen) | * Einzelne Objekte (Server, Anwendungen, Verbindungen) | ||
* Gruppen von Objekten | * Gruppen von Objekten | ||
* Gesamter IT-Verbund | * Gesamter IT-Verbund | ||
; Für jedes Objekt muss geregelt sein | ; Für jedes Objekt muss geregelt sein | ||
* welche Subjekte | * welche Subjekte | ||
* unter welchen Voraussetzungen | * unter welchen Voraussetzungen | ||
* Zugang und | * Zugang und | ||
* Zugriff erhalten | * Zugriff erhalten | ||
==== Subjekte ==== | ===== Subjekte ===== | ||
; Subjekte eines IT-Systems sind | ; Subjekte eines IT-Systems sind | ||
* Betreiber | * Betreiber | ||
| Zeile 151: | Zeile 151: | ||
* Benutzer | * Benutzer | ||
; Zugang der Subjekte zu IT-Systemen und Zugriff auf einzelne Objekte erfordert | ; Zugang der Subjekte zu IT-Systemen und Zugriff auf einzelne Objekte erfordert | ||
* Identifikation | * Identifikation | ||
* Authentifizierung | * Authentifizierung | ||
; Subjekte können auch technische Kommunikationselemente sein | ; Subjekte können auch technische Kommunikationselemente sein | ||
* selbststeuernde Aktionen | * selbststeuernde Aktionen | ||
* z.B Verbindung zu fremden Systemen | * z.B Verbindung zu fremden Systemen | ||
* mit dem Ziel des Zugriffs auf fremde Objekte | * mit dem Ziel des Zugriffs auf fremde Objekte | ||
* aufbauen | * aufbauen | ||
* nutzen | * nutzen | ||
* wieder abbauen | * wieder abbauen | ||
==== Anmeldung ==== | ===== Anmeldung ===== | ||
; Zugangsverfahren | ; Zugangsverfahren | ||
| Zeile 169: | Zeile 169: | ||
; Im Zugangsverfahren wird die Berechtigung von | ; Im Zugangsverfahren wird die Berechtigung von | ||
* natürlichen oder | * natürlichen oder | ||
* technischen Subjekten | * technischen Subjekten | ||
; durch | ; durch | ||
* technische oder | * technische oder | ||
* logische Verfahren | * logische Verfahren | ||
; zur Identifizierung / Authentifizierung überprüft | ; zur Identifizierung / Authentifizierung überprüft | ||
==== Zugriffskontrolle ==== | ===== Zugriffskontrolle ===== | ||
; Zugriff | ; Zugriff | ||
; Ausführung von | ; Ausführung von | ||
* lesenden, | * lesenden, | ||
* schreibenden oder | * schreibenden oder | ||
* steuernden Aktionen | * steuernden Aktionen | ||
; auf definierte Objekte eines IT-Systems | ; auf definierte Objekte eines IT-Systems | ||
; Zugriffskontrolle erfolgt auf logischer Ebene | ; Zugriffskontrolle erfolgt auf logischer Ebene | ||
* nach ordnungsgemäßer Zugangskontrolle | * nach ordnungsgemäßer Zugangskontrolle | ||
* mittels Verfahren zur Identifizierung und / oder | * mittels Verfahren zur Identifizierung und / oder | ||
* Authentifizierung von Zugriffsrechten. | * Authentifizierung von Zugriffsrechten. | ||
===== Need-to-Know-Prinzip ===== | ====== Need-to-Know-Prinzip ====== | ||
[[File:needToKnow.png|400px]] | [[File:needToKnow.png|400px]] | ||
Ein Subjekt darf nur auf ein Objekt zugreifen können, wenn dies in seiner Zuständigkeit liegt. | Ein Subjekt darf nur auf ein Objekt zugreifen können, wenn dies in seiner Zuständigkeit liegt. | ||
==== | ===== Aktionen ===== | ||
; Aktionen | ; Aktionen | ||
* aktiv/passiv | * aktiv/passiv | ||
* objektnutzend/objektsteuernd | * objektnutzend/objektsteuernd | ||
| Zeile 205: | Zeile 205: | ||
* Anwendungssoftware | * Anwendungssoftware | ||
==== Umfeld ==== | ===== Umfeld ===== | ||
; Konstrukte am Standort beschrieben das Umfeld | ; Konstrukte am Standort beschrieben das Umfeld | ||
* räumlich | * räumlich | ||
| Zeile 216: | Zeile 216: | ||
* Kommunikationsarchitektur | * Kommunikationsarchitektur | ||
=== Gesetzliche Grundlagen === | ==== Gesetzliche Grundlagen ==== | ||
[[Sicherheit/Gesetzliche_Grundlagen]] | [[Sicherheit/Gesetzliche_Grundlagen]] | ||
== Begriffe == | === Begriffe === | ||
[[Sicherheit/Begriffe]] | [[Sicherheit/Begriffe]] | ||
== Motivation und Ziele == | === Motivation und Ziele === | ||
[[Sicherheit/Ziele]] | [[Sicherheit/Ziele]] | ||
== Bedrohung – Schwachstelle - Gefährdung - Risiko == | === Bedrohung – Schwachstelle - Gefährdung - Risiko === | ||
[[Bedrohungen]] | [[Bedrohungen]] | ||
== Maßnahmen == | === Maßnahmen === | ||
[[Sicherheit/Maßnahmen]] | [[Sicherheit/Maßnahmen]] | ||
== Standards, „Best Practices“ und Ausbildung == | === Standards, „Best Practices“ und Ausbildung === | ||
Zur Bewertung und [[Zertifizierung]] der ''Sicherheit von Computersystemen'' existieren internationale [[Qualitätsmanagementnorm|Normen]]. | Zur Bewertung und [[Zertifizierung]] der ''Sicherheit von Computersystemen'' existieren internationale [[Qualitätsmanagementnorm|Normen]]. | ||
* Wichtige Normen in diesem Zusammenhang waren die amerikanischen [[Trusted Computer System Evaluation Criteria|TCSEC]] und die europäischen [[Information Technology Security Evaluation Criteria|ITSEC]]-Standards. | * Wichtige Normen in diesem Zusammenhang waren die amerikanischen [[Trusted Computer System Evaluation Criteria|TCSEC]] und die europäischen [[Information Technology Security Evaluation Criteria|ITSEC]]-Standards. | ||
* Beide wurden 1996 von dem neueren [[Common Criteria for Information Technology Security Evaluation|Common-Criteria]]-Standard abgelöst. | * Beide wurden 1996 von dem neueren [[Common Criteria for Information Technology Security Evaluation|Common-Criteria]]-Standard abgelöst. | ||
* Die Evaluierung und Zertifizierung von IT-Produkten und -systemen erfolgt in Deutschland in der Regel durch das [[Bundesamt für Sicherheit in der Informationstechnik]] (BSI). | * Die Evaluierung und Zertifizierung von IT-Produkten und -systemen erfolgt in Deutschland in der Regel durch das [[Bundesamt für Sicherheit in der Informationstechnik]] (BSI). | ||
== IT-Sicherheitsmanagement == | === IT-Sicherheitsmanagement === | ||
[[Managementsystem_für_Informationssicherheit]] | [[Managementsystem_für_Informationssicherheit]] | ||
== Security Engineering == | === Security Engineering === | ||
Das Fachgebiet [[Security Engineering]] stellt Instrumente zur Abwehr und Analyse von Angriffen und Bedrohungen von IT-Systemen bereit. | Das Fachgebiet [[Security Engineering]] stellt Instrumente zur Abwehr und Analyse von Angriffen und Bedrohungen von IT-Systemen bereit. | ||
== Ausbildung == | === Ausbildung === | ||
Neben den Standards zur Informationssicherheit gibt es auch Standards für die Ausbildung von Sicherheitsfachkräften. | Neben den Standards zur Informationssicherheit gibt es auch Standards für die Ausbildung von Sicherheitsfachkräften. | ||
* Als wichtigste sind zu nennen die Zertifizierungen zum [[Certified Information Security Manager]] (CISM) und [[Certified Information Systems Auditor]] (CISA) der [[ISACA]], die Zertifizierung zum [[Certified Information Systems Security Professional]] (CISSP) des International Information Systems Security Certification Consortium (ISC)², die Security+ Zertifizierung von [[CompTIA]], die Zertifizierung zum [[TeleTrusT Information Security Professional]] (TISP) des TeleTrusT – Bundesverband IT-Sicherheit e. V. sowie die GIAC-Zertifizierungen des SANS Institute. | * Als wichtigste sind zu nennen die Zertifizierungen zum [[Certified Information Security Manager]] (CISM) und [[Certified Information Systems Auditor]] (CISA) der [[ISACA]], die Zertifizierung zum [[Certified Information Systems Security Professional]] (CISSP) des International Information Systems Security Certification Consortium (ISC)², die Security+ Zertifizierung von [[CompTIA]], die Zertifizierung zum [[TeleTrusT Information Security Professional]] (TISP) des TeleTrusT – Bundesverband IT-Sicherheit e. V. sowie die GIAC-Zertifizierungen des SANS Institute. | ||
* Eine erweiterte Übersicht bietet die [[Liste der IT-Zertifikate]]. | * Eine erweiterte Übersicht bietet die [[Liste der IT-Zertifikate]]. | ||
== Audits und Zertifizierungen == | === Audits und Zertifizierungen === | ||
Um ein gewisses Standardmaß an Informationssicherheit zu gewährleisten, ist die regelmäßige Überprüfung von Maßnahmen zur Risikominimierung und -dezimierung Pflicht. | Um ein gewisses Standardmaß an Informationssicherheit zu gewährleisten, ist die regelmäßige Überprüfung von Maßnahmen zur Risikominimierung und -dezimierung Pflicht. | ||
* Auch hier rücken wieder organisatorische und technische Aspekte in den Vordergrund. | * Auch hier rücken wieder organisatorische und technische Aspekte in den Vordergrund. | ||
Technische Sicherheit kann zum Beispiel durch Maßnahmen wie regelmäßige [[Penetrationstest (Informatik)|Penetrationstests]] oder vollständige [[IT-Sicherheitsaudit|Sicherheitsaudits]] erreicht werden, um eventuell bestehende Sicherheitsrisiken im Bereich von informationstechnischen Systemen, Applikationen und/oder in der informationstechnischen [[Infrastruktur]] zu erkennen und zu beseitigen. | Technische Sicherheit kann zum Beispiel durch Maßnahmen wie regelmäßige [[Penetrationstest (Informatik)|Penetrationstests]] oder vollständige [[IT-Sicherheitsaudit|Sicherheitsaudits]] erreicht werden, um eventuell bestehende Sicherheitsrisiken im Bereich von informationstechnischen Systemen, Applikationen und/oder in der informationstechnischen [[Infrastruktur]] zu erkennen und zu beseitigen. | ||
Organisatorische Sicherheit kann durch [[Audit]]s der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden. | Organisatorische Sicherheit kann durch [[Audit]]s der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden. | ||
* Beispielsweise können vordefinierte Testschritte beziehungsweise Kontrollpunkte eines Prozesses während eines Audits getestet werden. | * Beispielsweise können vordefinierte Testschritte beziehungsweise Kontrollpunkte eines Prozesses während eines Audits getestet werden. | ||
Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur weiteren Risikominimierung beziehungsweise -dezimierung ableiten. | Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur weiteren Risikominimierung beziehungsweise -dezimierung ableiten. | ||
* Eine Methodik, wie in diesem Absatz beschrieben, ist unmittelbar konform zu [[Normung|Normen]] wie [[ISO/IEC 27001]], [[BS 7799]] oder [[gesetz]]lichen Vorschriften. | * Eine Methodik, wie in diesem Absatz beschrieben, ist unmittelbar konform zu [[Normung|Normen]] wie [[ISO/IEC 27001]], [[BS 7799]] oder [[gesetz]]lichen Vorschriften. | ||
* Hier wird meist eine Nachvollziehbarkeit über Vorgänge der Informationssicherheit unmittelbar eingefordert, indem Unternehmen ein [[Risikomanagement]] abverlangt wird. | * Hier wird meist eine Nachvollziehbarkeit über Vorgänge der Informationssicherheit unmittelbar eingefordert, indem Unternehmen ein [[Risikomanagement]] abverlangt wird. | ||
Bei der Arbeit an Maschinen und Anlagen haben Komponenten der funktionalen Sicherheit für den Menschen eine wichtige Schutzfunktion. | Bei der Arbeit an Maschinen und Anlagen haben Komponenten der funktionalen Sicherheit für den Menschen eine wichtige Schutzfunktion. | ||
* Damit Sicherheitsfunktionen von Steuerungen zuverlässig funktionieren, muss auch die Steuerung selbst vor Ausfall und Manipulation geschützt werden. | * Damit Sicherheitsfunktionen von Steuerungen zuverlässig funktionieren, muss auch die Steuerung selbst vor Ausfall und Manipulation geschützt werden. | ||
* Daher werden auch Security-Aspekte der funktionalen Sicherheit von industriellen Automatisierungssystemen geprüft und zertifiziert. | * Daher werden auch Security-Aspekte der funktionalen Sicherheit von industriellen Automatisierungssystemen geprüft und zertifiziert. | ||
* Diese Prüfung/Zertifizierung kann nur in Kombination mit einer Zertifizierung der funktionalen Sicherheit durchgeführt werden oder auf einer solchen Zertifizierung aufbauen. | * Diese Prüfung/Zertifizierung kann nur in Kombination mit einer Zertifizierung der funktionalen Sicherheit durchgeführt werden oder auf einer solchen Zertifizierung aufbauen. | ||
* Ein Prüfgrundsatz formuliert Anforderungen für das Erreichen eines Security-Levels 1 (SL 1: Schutz gegen gelegentlichen oder zufälligen Verstoß) nach [[IEC 62443|DIN EN 62443-3-3]]. | * Ein Prüfgrundsatz formuliert Anforderungen für das Erreichen eines Security-Levels 1 (SL 1: Schutz gegen gelegentlichen oder zufälligen Verstoß) nach [[IEC 62443|DIN EN 62443-3-3]]. | ||
* Weitere Grundlagen dieses Prüfgrundsatzes sind die Normen IEC/TS 62443-1-1, DIN EN IEC 62443-4-1, DIN EN IEC 62443-4-2. | * Weitere Grundlagen dieses Prüfgrundsatzes sind die Normen IEC/TS 62443-1-1, DIN EN IEC 62443-4-1, DIN EN IEC 62443-4-2. | ||
Den organisatorischen Ablauf einer Prüfung/Zertifizierung regelt die DGUV Test Prüf- und Zertifizierungsordnung, Teil 1: Zertifizierung von Produkten, Prozessen und Qualitätsmanagementsystemen (DGUV Grundsatz 300-003). | Den organisatorischen Ablauf einer Prüfung/Zertifizierung regelt die DGUV Test Prüf- und Zertifizierungsordnung, Teil 1: Zertifizierung von Produkten, Prozessen und Qualitätsmanagementsystemen (DGUV Grundsatz 300-003). | ||
== Umsetzungsbereiche == | === Umsetzungsbereiche === | ||
[[:Kategorie:Sicherheit/Umsetzungsbereiche]] | [[:Kategorie:Sicherheit/Umsetzungsbereiche]] | ||
== Gesetzliche Rahmenbedingungen == | === Gesetzliche Rahmenbedingungen === | ||
[[Sicherheit/Gesetze]] | [[Sicherheit/Gesetze]] | ||
== Einsatz mobiler Endgeräte == | === Einsatz mobiler Endgeräte === | ||
[[Mobiler Endgeräte]] | [[Mobiler Endgeräte]] | ||
== Anhang == | === Anhang === | ||
=== Siehe auch === | ==== Siehe auch ==== | ||
{{Special:PrefixIndex/Informationssicherheit}} | {{Special:PrefixIndex/Informationssicherheit}} | ||
| Zeile 291: | Zeile 291: | ||
* [[:Datei:Mind map of information security.svg|Mind Map der Informationssicherheit]] | * [[:Datei:Mind map of information security.svg|Mind Map der Informationssicherheit]] | ||
==== Links ==== | ===== Links ===== | ||
===== Einzelnachweise ===== | ====== Einzelnachweise ====== | ||
<references /> | <references /> | ||
===== Projekt ===== | ====== Projekt ====== | ||
===== Weblinks ===== | ====== Weblinks ====== | ||
# https://de.wikipedia.org/wiki/Informationssicherheit | # https://de.wikipedia.org/wiki/Informationssicherheit | ||
# [http://www.bsi.de/ Bundesamt für Sicherheit in der Informationstechnik (BSI)] | # [http://www.bsi.de/ Bundesamt für Sicherheit in der Informationstechnik (BSI)] | ||
| Zeile 308: | Zeile 308: | ||
<noinclude> | <noinclude> | ||
=== Testfragen === | ==== Testfragen ==== | ||
<div class="toccolours mw-collapsible mw-collapsed"> | <div class="toccolours mw-collapsible mw-collapsed"> | ||
''Testfrage 1'' | ''Testfrage 1'' | ||
Version vom 11. Mai 2023, 11:08 Uhr
Informationssicherheit - Eigenschaft von Systemen Vertraulichkeit, Verfügbarkeit und Integrität sicherzustellen
Beschreibung
Als Informationssicherheit oder Cybersicherheit bezeichnet man Eigenschaften von technischen oder nicht-technischen Systemen zur Informationsverarbeitung, -speicherung und -lagerung, die die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen.
- Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken.
In der Praxis orientiert sich die Informationssicherheit im Rahmen des IT-Sicherheitsmanagements unter anderem an der internationalen ISO/IEC-27000-Reihe.
- Im deutschsprachigen Raum ist ein Vorgehen nach IT-Grundschutz verbreitet.
- Im Bereich der Evaluierung und Zertifizierung von IT-Produkten und -systemen findet die Norm ISO/IEC 15408 (Common Criteria) häufig Anwendung.
Die Normenreihe IEC 62443 befasst sich mit der Informationssicherheit von „Industrial Automation and Control Systems“ (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller.
Bedeutung
In den frühen Kindertagen des (Personal-)Computers verstand man unter Computersicherheit die Sicherstellung der korrekten Funktionalität von Hardware (Ausfall von zum Beispiel Bandlaufwerken oder anderen mechanischen Bauteilen) und Software (richtige Installation und Wartung von Programmen).
- Mit der Zeit änderten sich die Anforderungen an die Computer (Internet, Speichermedien); die Aufgaben zur Computersicherheit mussten umgestaltet werden.
- Somit bleibt der Begriff der Computersicherheit wandelbar.
Private und öffentliche Unternehmen sind heute in allen Bereichen ihrer Geschäftstätigkeit, Privatpersonen in den meisten Belangen des täglichen Lebens auf IT-Systeme angewiesen.
- Da neben der Abhängigkeit auch die Risiken für IT-Systeme in Unternehmungen in der Regel größer sind als für Computer und Netzwerke in privaten Haushalten, ist Informationssicherheit überwiegend Aufgabe von Unternehmen.
Entsprechende Verpflichtungen lassen sich im gesamten deutschsprachigen Raum aus den verschiedenen Gesetzen zum Gesellschaftsrecht, Haftungsrecht, Datenschutz, Bankenrecht usw. herleiten.
- Dort stellt Informationssicherheit einen Baustein des Risikomanagements dar.
- International spielen Vorschriften wie Basel II und der Sarbanes-Oxley Act eine wichtige Rolle.
IT und OT
Arten und Wichtigkeit von Informationen
Schutz von Informationen
- ISO/IEC 27001
- Informationen sind Werte
- Wertvoll für eine Organisation
- Wie die übrigen Geschäftswerte
- Müssen in geeigneter Weise geschützt werden
- Angemessener Schutz unabhängig von
- Erscheinungsform
- Art der Nutzung
- Speicherung
Informationssicherheit im Fokus
- Warum ist Sicherheit überhaupt ein Thema?
- Verteilte Informatiksysteme sind kritische Ressourcen
- Globalisierung der Kommunikationsbedürfnisse und -infrastruktur (Internet)
- "grenzüberschreitenden" Kooperation
- Informationssysteme
- Desktop-Conferencing
- Soziale Netzwerke
- Offene Systeme
- Vielfältige Schnittstellen und Datenaustausch
- Erhöhung des Angriffs- und Schadenpotentials
- Physische Sicherheit kann oft nicht gewährleistet werden
- Zugang zu Räumen und IT-Systemen
- Vertrauen als Ressource
- Wem vertraue ich, wem nicht?
- Wer ist mein Gegenüber wirklich?
Warum Informationssicherheit?
- Das Streben nach Informationssicherheit resultiert aus einer risikoorientierten Herangehensweise
- Es soll Unternehmen vor Kapitalschäden jeglicher Art schützen
- Klassische Beispiele
- Image- und Vertrauensverlust
- Datenverlust
- Produktivitätsausfall
- Wirtschaftsspionage
- Verletzung von Marken- und Urheberrechten
Es liegt in der Natur der Sache, dass Unternehmer solchen Schäden durch entsprechende Maßnahmen vermeiden wollen.
Datensicherung
- Normbegriff der Rechtsordnung
- Summe aller
- technischen und
- organisatorischen Maßnahmen
zur Gewährleistung des Datenschutzes
- Maßnahmen müssen in einem angemessenen Verhältnis zum angestrebten Schutzzweck stehen.
Datensicherheit
- Datensicherheit als technischer Begriff
- Planende,
- steuernde,
- verarbeitende und
- kontrollierende Maßnahmen
- zur Gewährleistung der Sicherheitsziele
- Verfügbarkeit
- Vertraulichkeit
- Integrität
- der informationstechnischen Infrastruktur
Datensicherheit
- Datensicherung als antiquierter Begriff
- Kopieerstellung von Datenbeständen
- Ziel: Rekonstruktion bei Verlust
- Verfügbarkeit
- Integrität
- Datensicherung zur Gewährleistung der
- Verfügbarkeit
- Integrität
- der informationstechnischen Infrastruktur ist im weiteren Sinne auch Voraussetzung für die Erzielung einer Gesamtsicherheit, die
- alle Komponenten der IT-Infrastruktur erfasst, die
- für die betrieblichen Wertschöpfungsprozesse relevant sind
- Interesse von Unternehmen
- Sicherstellung der kontinuierlichen Bedürfnisbefriedigung
- Gewinnmaximierung
- Interesse des Einzelnen
- Schutz seiner (personenbezogenen) Daten vor Missbrauch
IT-Systeme
- IT-Systeme bestehen aus
- Objekten
- Subjekten
- Aktionen
- Umfeldbedingungen
Objekte
- Objekte eines IT-Systems sind alle aktiven und passiven Komponenten
- Hardware
- Software
- gespeicherten Daten
- Im weiteren Sinne
- Gesamte informationstechnische Infrastruktur
- schutzwürdige Objekte
- Einzelne Objekte (Server, Anwendungen, Verbindungen)
- Gruppen von Objekten
- Gesamter IT-Verbund
- Für jedes Objekt muss geregelt sein
- welche Subjekte
- unter welchen Voraussetzungen
- Zugang und
- Zugriff erhalten
Subjekte
- Subjekte eines IT-Systems sind
- Betreiber
- Anwender
- Benutzer
- Zugang der Subjekte zu IT-Systemen und Zugriff auf einzelne Objekte erfordert
- Identifikation
- Authentifizierung
- Subjekte können auch technische Kommunikationselemente sein
- selbststeuernde Aktionen
- z.B Verbindung zu fremden Systemen
- mit dem Ziel des Zugriffs auf fremde Objekte
- aufbauen
- nutzen
- wieder abbauen
Anmeldung
- Zugangsverfahren
- Anmeldeverfahren von Subjekten zu IT-Systemen oder einzelnen Objekten
- Im Zugangsverfahren wird die Berechtigung von
- natürlichen oder
- technischen Subjekten
- durch
- technische oder
- logische Verfahren
- zur Identifizierung / Authentifizierung überprüft
Zugriffskontrolle
- Zugriff
- Ausführung von
- lesenden,
- schreibenden oder
- steuernden Aktionen
- auf definierte Objekte eines IT-Systems
- Zugriffskontrolle erfolgt auf logischer Ebene
- nach ordnungsgemäßer Zugangskontrolle
- mittels Verfahren zur Identifizierung und / oder
- Authentifizierung von Zugriffsrechten.
Need-to-Know-Prinzip
Ein Subjekt darf nur auf ein Objekt zugreifen können, wenn dies in seiner Zuständigkeit liegt.
Aktionen
- Aktionen
- aktiv/passiv
- objektnutzend/objektsteuernd
- Differenzierung auf Softwareebene durch
- Systemsoftware
- Anwendungssoftware
Umfeld
- Konstrukte am Standort beschrieben das Umfeld
- räumlich
- versorgungstechnisch
- Klimatechnisch
- ...
- Sekundäres Umfeld vernetzter Systeme
- Netztopologie
- Kommunikationsarchitektur
Gesetzliche Grundlagen
Sicherheit/Gesetzliche_Grundlagen
Begriffe
Motivation und Ziele
Bedrohung – Schwachstelle - Gefährdung - Risiko
Maßnahmen
Standards, „Best Practices“ und Ausbildung
Zur Bewertung und Zertifizierung der Sicherheit von Computersystemen existieren internationale Normen.
- Wichtige Normen in diesem Zusammenhang waren die amerikanischen TCSEC und die europäischen ITSEC-Standards.
- Beide wurden 1996 von dem neueren Common-Criteria-Standard abgelöst.
- Die Evaluierung und Zertifizierung von IT-Produkten und -systemen erfolgt in Deutschland in der Regel durch das Bundesamt für Sicherheit in der Informationstechnik (BSI).
IT-Sicherheitsmanagement
Managementsystem_für_Informationssicherheit
Security Engineering
Das Fachgebiet Security Engineering stellt Instrumente zur Abwehr und Analyse von Angriffen und Bedrohungen von IT-Systemen bereit.
Ausbildung
Neben den Standards zur Informationssicherheit gibt es auch Standards für die Ausbildung von Sicherheitsfachkräften.
- Als wichtigste sind zu nennen die Zertifizierungen zum Certified Information Security Manager (CISM) und Certified Information Systems Auditor (CISA) der ISACA, die Zertifizierung zum Certified Information Systems Security Professional (CISSP) des International Information Systems Security Certification Consortium (ISC)², die Security+ Zertifizierung von CompTIA, die Zertifizierung zum TeleTrusT Information Security Professional (TISP) des TeleTrusT – Bundesverband IT-Sicherheit e. V. sowie die GIAC-Zertifizierungen des SANS Institute.
- Eine erweiterte Übersicht bietet die Liste der IT-Zertifikate.
Audits und Zertifizierungen
Um ein gewisses Standardmaß an Informationssicherheit zu gewährleisten, ist die regelmäßige Überprüfung von Maßnahmen zur Risikominimierung und -dezimierung Pflicht.
- Auch hier rücken wieder organisatorische und technische Aspekte in den Vordergrund.
Technische Sicherheit kann zum Beispiel durch Maßnahmen wie regelmäßige Penetrationstests oder vollständige Sicherheitsaudits erreicht werden, um eventuell bestehende Sicherheitsrisiken im Bereich von informationstechnischen Systemen, Applikationen und/oder in der informationstechnischen Infrastruktur zu erkennen und zu beseitigen.
Organisatorische Sicherheit kann durch Audits der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden.
- Beispielsweise können vordefinierte Testschritte beziehungsweise Kontrollpunkte eines Prozesses während eines Audits getestet werden.
Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur weiteren Risikominimierung beziehungsweise -dezimierung ableiten.
- Eine Methodik, wie in diesem Absatz beschrieben, ist unmittelbar konform zu Normen wie ISO/IEC 27001, BS 7799 oder gesetzlichen Vorschriften.
- Hier wird meist eine Nachvollziehbarkeit über Vorgänge der Informationssicherheit unmittelbar eingefordert, indem Unternehmen ein Risikomanagement abverlangt wird.
Bei der Arbeit an Maschinen und Anlagen haben Komponenten der funktionalen Sicherheit für den Menschen eine wichtige Schutzfunktion.
- Damit Sicherheitsfunktionen von Steuerungen zuverlässig funktionieren, muss auch die Steuerung selbst vor Ausfall und Manipulation geschützt werden.
- Daher werden auch Security-Aspekte der funktionalen Sicherheit von industriellen Automatisierungssystemen geprüft und zertifiziert.
- Diese Prüfung/Zertifizierung kann nur in Kombination mit einer Zertifizierung der funktionalen Sicherheit durchgeführt werden oder auf einer solchen Zertifizierung aufbauen.
- Ein Prüfgrundsatz formuliert Anforderungen für das Erreichen eines Security-Levels 1 (SL 1: Schutz gegen gelegentlichen oder zufälligen Verstoß) nach DIN EN 62443-3-3.
- Weitere Grundlagen dieses Prüfgrundsatzes sind die Normen IEC/TS 62443-1-1, DIN EN IEC 62443-4-1, DIN EN IEC 62443-4-2.
Den organisatorischen Ablauf einer Prüfung/Zertifizierung regelt die DGUV Test Prüf- und Zertifizierungsordnung, Teil 1: Zertifizierung von Produkten, Prozessen und Qualitätsmanagementsystemen (DGUV Grundsatz 300-003).
Umsetzungsbereiche
Kategorie:Sicherheit/Umsetzungsbereiche
Gesetzliche Rahmenbedingungen
Einsatz mobiler Endgeräte
Anhang
Siehe auch
- Cyberabwehr
- Cyberkrieg
- Europäische Agentur für Netz- und Informationssicherheit
- Internetkriminalität, IT-Sicherheitsverfahren
- Need-to-know-Prinzip
- TeleTrusT
- Mind Map der Informationssicherheit
Links
Einzelnachweise
Projekt
Weblinks
- https://de.wikipedia.org/wiki/Informationssicherheit
- Bundesamt für Sicherheit in der Informationstechnik (BSI)
- BMWi: Task Force „IT-Sicherheit in der Wirtschaft“
- Seiten-Check der Initiative-S der Taskforce „IT-Sicherheit in der Wirtschaft“. Service des eco-Verbands der Internetwirtschaft e.V., gefördert durch das Bundesministerium für Wirtschaft und Technologie (BMWi)
- Deutschland sicher im Netz e. V.
- A Users’ Guide: How to raise information security awareness (DE). Bundesamt für Sicherheit in der Informationstechnik, Juni 2006, ENISA (mit PDF Leitfaden für die Praxis: Wege zu mehr Bewusstsein für Informationssicherheit; 2 MB)
- DIN-Normenausschuss Informationstechnik und Anwendungen NA 043-01-27 AA IT-Sicherheitsverfahren
- Christian Hawellek: Die strafrechtliche Relevanz von IT-Sicherheitsaudits – Wege zur Rechtssicherheit vor dem Hintergrund des neuen Computerstrafrechts.
- Ken Thompson: Reflections on Trusting Trust Artikel über Software-Sicherheit und deren Untergrabung, etwa durch Trojaner.
Testfragen
Testfrage 1
Antwort1
Testfrage 2
Antwort2
Testfrage 3
Antwort3
Testfrage 4
Antwort4
Testfrage 5
Antwort5