Informationssicherheit: Unterschied zwischen den Versionen
Markierung: Zurückgesetzt |
Änderung 65202 von Dirkwagner (Diskussion) rückgängig gemacht. Markierung: Rückgängigmachung |
||
Zeile 306: | Zeile 306: | ||
# [[Ken Thompson]]: [http://www.ece.cmu.edu/~ganger/712.fall02/papers/p761-thompson.pdf ''Reflections on Trusting Trust''] (PDF; 220 kB; englisch). Artikel über Software-Sicherheit und deren Untergrabung, etwa durch Trojaner. | # [[Ken Thompson]]: [http://www.ece.cmu.edu/~ganger/712.fall02/papers/p761-thompson.pdf ''Reflections on Trusting Trust''] (PDF; 220 kB; englisch). Artikel über Software-Sicherheit und deren Untergrabung, etwa durch Trojaner. | ||
<noinclude> | <noinclude> | ||
=== Testfragen === | |||
<div class="toccolours mw-collapsible mw-collapsed"> | |||
''Testfrage 1'' | |||
<div class="mw-collapsible-content">'''Antwort1'''</div> | |||
</div> | |||
<div class="toccolours mw-collapsible mw-collapsed"> | |||
''Testfrage 2'' | |||
<div class="mw-collapsible-content">'''Antwort2'''</div> | |||
</div> | |||
<div class="toccolours mw-collapsible mw-collapsed"> | |||
''Testfrage 3'' | |||
<div class="mw-collapsible-content">'''Antwort3'''</div> | |||
</div> | |||
<div class="toccolours mw-collapsible mw-collapsed"> | |||
''Testfrage 4'' | |||
<div class="mw-collapsible-content">'''Antwort4'''</div> | |||
</div> | |||
<div class="toccolours mw-collapsible mw-collapsed"> | |||
''Testfrage 5'' | |||
<div class="mw-collapsible-content">'''Antwort5'''</div> | |||
</div> | |||
[[Kategorie:IT-Sicherheit|!]] | [[Kategorie:IT-Sicherheit|!]] |
Version vom 26. April 2023, 11:11 Uhr
Informationssicherheit - Eigenschaften Systemen, die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherzustellen
Beschreibung
Als Informationssicherheit oder Cybersicherheit bezeichnet man Eigenschaften von technischen oder nicht-technischen Systemen zur Informationsverarbeitung, -speicherung und -lagerung, die die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen.
- Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken.
In der Praxis orientiert sich die Informationssicherheit im Rahmen des IT-Sicherheitsmanagements unter anderem an der internationalen ISO/IEC-27000-Reihe.
- Im deutschsprachigen Raum ist ein Vorgehen nach IT-Grundschutz verbreitet.
- Im Bereich der Evaluierung und Zertifizierung von IT-Produkten und -systemen findet die Norm ISO/IEC 15408 (Common Criteria) häufig Anwendung.
Die Normenreihe IEC 62443 befasst sich mit der Informationssicherheit von „Industrial Automation and Control Systems“ (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller.
Begriffsbeschreibungen
Viele der nachfolgenden Begriffe werden je nach Autor und sprachlichem Umfeld unterschiedlich interpretiert.
Für die Abkürzung IT wird die Bezeichnung Informationstechnik synonym zu Informationstechnologie benutzt.
- Die technische Verarbeitung und Übertragung von Informationen steht bei der IT im Vordergrund.
Im Englischen hat der deutsche Begriff der IT-Sicherheit zwei verschiedene Ausprägungen.
- Die Eigenschaft der Funktionssicherheit (englisch: safety) bezeichnet, dass sich ein System entsprechend der zur erwarteten Funktionalität verhält und kann dabei auch weitergehende risikomindernde Maßnahmen umfassen.
- Diese Maßnahmen werden dann als Funktionale Sicherheit bezeichnet. Informationssicherheit (englisch: security) bezieht sich auf den Schutz der technischen Verarbeitung von Informationen und ist eine Eigenschaft eines funktionssicheren Systems.
- Sie soll verhindern, dass nicht-autorisierte Datenmanipulationen möglich sind oder die Preisgabe von Informationen stattfindet.[1]Vorlage:Rp
Der Begriff Informationssicherheit bezieht sich oft auf eine globale Informationssicherheit, bei der die Zahl der möglichen schädlichen Szenarien summarisch reduziert ist oder der Aufwand zur Kompromittierung für den Betreiber in einem ungünstigen Verhältnis zum erwarteten Informationsgewinn steht.
- In dieser Sichtweise ist die Informationssicherheit eine ökonomische Größe, mit der zum Beispiel in Betrieben und Organisationen gerechnet werden muss.
- Daneben bezieht sich der Begriff auch auf die Sicherheit unter einem bestimmten Szenarium.
- In diesem Sinn liegt Informationssicherheit vor, wenn über einen bereits bekannten Weg kein Angriff auf das System mehr möglich ist.
- Man spricht von einer binären Größe, weil die Information beim Anwenden dieser speziellen Methode entweder sicher oder nicht sicher sein kann.
- Aspekte der Informationssicherheit
Folgende Aspekte sind in dem umfassenden Begriff Informationssicherheit (Schutz der verarbeiteten Informationen) enthalten:
Option | Beschreibung |
---|---|
IT-Sicherheit | |
Computersicherheit | |
Datensicherheit | |
Datensicherung | |
Datenschutz |
IT-Sicherheit
Der IT-Sicherheit kommt eine Schlüsselrolle für die Sicherheit von soziotechnischen Systemen zu.
- IT oder auch ITK-Systeme sind Teil der soziotechnischen Systeme.
- Zu den Aufgaben der IT-Sicherheit gehört der Schutz von ITK-Systemen von Organisationen (zum Beispiel Unternehmen) gegen Bedrohungen.
- Damit soll unter anderem wirtschaftlicher Schaden verhindert werden.
IT-Sicherheit ist ein Teil der Informationssicherheit.
- In Abgrenzung zu IT-Sicherheit umfasst Informationssicherheit neben der Sicherheit der IT-Systeme und der darin gespeicherten Daten auch die Sicherheit von nicht elektronisch verarbeiteten Informationen; ein Beispiel: Die „Prinzipien der Informationssicherheit“ können auch auf per Hand auf Papier notierte Rezepte eines Restaurants angewendet werden (da Vertraulichkeit, Integrität und Verfügbarkeit der Rezepte für das Restaurant extrem wichtig sein können, selbst wenn dieses Restaurant vollkommen ohne Einsatz irgendeines IT-Systems betrieben wird).
Computersicherheit
Computersicherheit: die Sicherheit eines Computersystems vor Ausfall (man spricht von ungeplanter oder geplanter Ausfallzeit, engl. downtime) und Manipulation (Datensicherheit) sowie vor unerlaubtem Zugriff.
Datensicherheit
Datensicherheit ist ein häufig mit dem Datenschutz verknüpfter Begriff, der von diesem zu unterscheiden ist: Datensicherheit hat das technische Ziel, Daten jeglicher Art in ausreichendem Maße gegen Verlust, Manipulationen und andere Bedrohungen zu sichern.
- Hinreichende Datensicherheit ist eine Voraussetzung für einen effektiven Datenschutz.
- Das frühere BDSG nannte den Begriff der Datensicherheit lediglich im damaligen § 9a BDSG im Zusammenhang mit dem ebenfalls nicht näher definierten „Datenschutzaudit“.
Es gibt einen Ansatz namens Datenzentrierte Sicherheit (englisch Data-centric security), bei dem die Sicherheit der Daten selbst im Vordergrund steht und nicht die Sicherheit von Netzwerken, Servern oder Anwendungen.
Datensicherung
Vorlage:Hauptartikel Datensicherung ist ein Synonym für das englischsprachige „Backup“ (dt. Sicherung), es war der ursprüngliche gesetzliche Begriff für Datensicherheit.
Datenschutz
Vorlage:Hauptartikel Beim Datenschutz geht es nicht um den Schutz von allgemeinen Daten vor Schäden, sondern um den Schutz personenbezogener Daten vor Missbrauch („Datenschutz ist Personenschutz“).
- Der Schutz personenbezogener Daten stützt sich auf das Prinzip der informationellen Selbstbestimmung.
- Diese wurde im BVerfG-Urteil zur Volkszählung festgeschrieben.
- Geschützt werden muss dabei die Privatsphäre, d. h. Persönlichkeitsdaten bzw. Anonymität müssen gewahrt bleiben.
- Datenschutz verlangt über die Datensicherheit hinaus den Ausschluss des Zugangs zu Daten mit unberechtigtem Lesen durch unbefugte Dritte.
- Das deutsche Bundesdatenschutzgesetz (BDSG) beschreibt in Vorlage:§ ausschließlich Anforderungen für den Umgang mit personenbezogenen Daten.
- Die DSGVO und das BDSG definieren den Unterschied der Begriffe Datenschutz und Datensicherheit nicht.
- Nur wenn geeignete Schutzmaßnahmen getroffen werden, kann man davon ausgehen, dass vertrauliche bzw. personenbezogene Daten nicht in die Hände von Unbefugten gelangen.
- Hierbei spricht man in der Regel von technischen und organisatorischen Maßnahmen zum Datenschutz, die insbesondere in Vorlage:Art. DSGVO, dem BDSG und in den Landesdatenschutzgesetzen beschrieben sind.
Motivation und Ziele der Informationssicherheit
Informationen (oder Daten) sind schützenswerte Güter.
- Der Zugriff auf diese sollte beschränkt und kontrolliert sein.
- Nur autorisierte Benutzer oder Programme dürfen auf die Information zugreifen. Schutzziele werden zum Erreichen bzw.
Einhalten der Informationssicherheit und damit zum Schutz der Daten vor beabsichtigten Angriffen von IT-Systemen definiert:
- Die Allgemeine Schutzziele sind nach ihrer englischen Abkürzung auch als CIA(-Triade) bekannt:
- Vertraulichkeit (englisch: confidentiality): Daten dürfen lediglich von autorisierten Benutzern gelesen werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der Datenübertragung.
- Integrität (englisch: integrity): Daten dürfen nicht unbemerkt verändert werden.
- Alle Änderungen müssen nachvollziehbar sein.
- Verfügbarkeit (englisch: availability): Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet sein.
- Weitere Schutzziele der Informationssicherheit:
- Authentizität (englisch: authenticity) bezeichnet die Eigenschaften der Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit eines Objekts.
- Verbindlichkeit/Nichtabstreitbarkeit (englisch: non repudiation): Sie erfordert, dass „kein unzulässiges Abstreiten durchgeführter Handlungen“ möglich ist.[2] Sie ist unter anderem wichtig beim elektronischen Abschluss von Verträgen.
- Erreichbar ist sie beispielsweise durch elektronische Signaturen.
- Zurechenbarkeit (englisch: accountability): „Eine durchgeführte Handlung kann einem Kommunikationspartner eindeutig zugeordnet werden.“
- in bestimmtem Kontext (zum Beispiel im Internet) auch Anonymität
- Besonderes Schutzziel im Zuge der DSGVO:
- Resilienz (englisch: resilience): Widerstandsfähigkeit/Belastbarkeit gegenüber Ausspähungen, irrtümlichen oder mutwilligen Störungen oder absichtlichen Schädigungen (Sabotagen)
Jedes noch so gut geplante und umgesetzte IT-System kann Schwachstellen besitzen.
- Sind bestimmte Angriffe zum Umgehen der vorhandenen Sicherheitsvorkehrungen möglich, ist das System verwundbar.
- Nutzt ein Angreifer eine Schwachstelle oder eine Verwundbarkeit zum Eindringen in ein IT-System, sind die Vertraulichkeit, Datenintegrität und Verfügbarkeit bedroht (englisch: threat).
- Angriffe auf die Schutzziele bedeuten für Unternehmen Angriffe auf reale Unternehmenswerte, im Regelfall das Abgreifen oder Verändern von unternehmensinternen Informationen.
- Jede mögliche Bedrohung ist ein Risiko (englisch: risk) für das Unternehmen.
- Unternehmungen versuchen durch die Verwendung eines Risikomanagements (englisch: risk management) die Wahrscheinlichkeit des Eintretens eines Schadens und die daraus resultierende Schadenshöhe zu bestimmen.
Nach einer Risikoanalyse und Bewertung der unternehmensspezifischen IT-Systeme können entsprechende Schutzziele definiert werden.
- Anschließend folgt die Auswahl von IT-Sicherheitsmaßnahmen für die jeweiligen Geschäftsprozesse eines Unternehmens.
- Dieser Vorgang zählt zu den Tätigkeiten des IT-Sicherheitsmanagements.
- Eine genormte Vorgehensweise wird durch das Verwenden von IT-Standards ermöglicht.
Im Rahmen des IT-Sicherheitsmanagements findet die Auswahl und Umsetzung entsprechender IT-Sicherheitsstandards statt.
- Zu diesem Zweck existieren im Bereich IT-Sicherheitsmanagement verschiedene Standards.
- Mit Hilfe des ISO/IEC 27001- oder des IT-Grundschutz-Standards wird mit anerkannten Regeln versucht, die Komplexität soziotechnischer Systeme für den Bereich des IT-Sicherheitsmanagements zu reduzieren und ein geeignetes Maß an Informationssicherheit zu finden.
Bedeutung der Informationssicherheit
In den frühen Kindertagen des (Personal-)Computers verstand man unter Computersicherheit die Sicherstellung der korrekten Funktionalität von Hardware (Ausfall von zum Beispiel Bandlaufwerken oder anderen mechanischen Bauteilen) und Software (richtige Installation und Wartung von Programmen).
- Mit der Zeit änderten sich die Anforderungen an die Computer (Internet, Speichermedien); die Aufgaben zur Computersicherheit mussten anders gestaltet werden.
- Somit bleibt der Begriff der Computersicherheit wandelbar.
Private und öffentliche Unternehmen sind heute in allen Bereichen ihrer Geschäftstätigkeit, Privatpersonen in den meisten Belangen des täglichen Lebens auf IT-Systeme angewiesen.
- Da neben der Abhängigkeit auch die Risiken für IT-Systeme in Unternehmungen in der Regel größer sind als für Computer und Netzwerke in privaten Haushalten, ist Informationssicherheit überwiegend Aufgabe von Unternehmen.
Entsprechende Verpflichtungen lassen sich im gesamten deutschsprachigen Raum aus den verschiedenen Gesetzen zum Gesellschaftsrecht, Haftungsrecht, Datenschutz, Bankenrecht usw. herleiten.
- Dort stellt Informationssicherheit einen Baustein des Risikomanagements dar.
- International spielen Vorschriften wie Basel II und der Sarbanes-Oxley Act eine wichtige Rolle.
Bedrohungen
Maßnahmen
Standards, „Best Practices“ und Ausbildung im Überblick
Zur Bewertung und Zertifizierung der Sicherheit von Computersystemen existieren internationale Normen.
- Wichtige Normen in diesem Zusammenhang waren die amerikanischen TCSEC und die europäischen ITSEC-Standards.
- Beide wurden 1996 von dem neueren Common-Criteria-Standard abgelöst.
- Die Evaluierung und Zertifizierung von IT-Produkten und -systemen erfolgt in Deutschland in der Regel durch das Bundesamt für Sicherheit in der Informationstechnik (BSI).
IT-Sicherheitsmanagement
Die Aufgabe des IT-Sicherheitsmanagements ist die systematische Absicherung eines informationsverarbeitenden IT-Verbundes.
- Gefahren für die Informationssicherheit oder Bedrohungen des Datenschutzes eines Unternehmens oder einer Organisation sollen verhindert oder abgewehrt werden.
- Die Auswahl und Umsetzung von IT-Sicherheitsstandards zählt zu den Aufgaben des IT-Sicherheitsmanagements.
- Standards des IT-Sicherheitsmanagements sind beispielsweise:
- IT-Grundschutz des BSI
- Die IT-Grundschutz-Kataloge definieren für die verschiedenen Aspekte einer IT-Landschaft konkrete Maßnahmen, die zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen (Waschzettel).
- Für Systeme mit hohem Schutzbedarf geben die Grundschutzkataloge ein strukturiertes Vorgehen, um die notwendigen Maßnahmen zu identifizieren.
- Die Grundschutz-Kataloge sind primär in Deutschland bekannt, liegen allerdings auch englischsprachig vor.
- ISO/IEC 27001: Norm für Informationssicherheitsmanagementsysteme (ISMS)
- ISO/IEC 27002: Leitfaden für das Informationssicherheitsmanagement (vormals ISO/IEC17799:2005)
Weltweit am stärksten verbreitet ist die ISO/IEC 27001-Norm.
Weitere Standards sind zu finden im Vorlage:Hauptartikel
Security Engineering
Das Fachgebiet Security Engineering stellt Instrumente zur Abwehr und Analyse von Angriffen und Bedrohungen von IT-Systemen bereit.
Ausbildung
Neben den Standards zur Informationssicherheit gibt es auch Standards für die Ausbildung von Sicherheitsfachkräften.
- Als wichtigste sind zu nennen die Zertifizierungen zum Certified Information Security Manager (CISM) und Certified Information Systems Auditor (CISA) der ISACA, die Zertifizierung zum Certified Information Systems Security Professional (CISSP) des International Information Systems Security Certification Consortium (ISC)², die Security+ Zertifizierung von CompTIA, die Zertifizierung zum TeleTrusT Information Security Professional (TISP) des TeleTrusT – Bundesverband IT-Sicherheit e. V. sowie die GIAC-Zertifizierungen des SANS Institute.
- Eine erweiterte Übersicht bietet die Liste der IT-Zertifikate.
Audits und Zertifizierungen
Um ein gewisses Standardmaß an Informationssicherheit zu gewährleisten, ist die regelmäßige Überprüfung von Maßnahmen zur Risikominimierung und -dezimierung Pflicht.
- Auch hier rücken wieder organisatorische und technische Aspekte in den Vordergrund.
Technische Sicherheit kann zum Beispiel durch Maßnahmen wie regelmäßige Penetrationstests oder vollständige Sicherheitsaudits erreicht werden, um eventuell bestehende Sicherheitsrisiken im Bereich von informationstechnischen Systemen, Applikationen und/oder in der informationstechnischen Infrastruktur zu erkennen und zu beseitigen.
Organisatorische Sicherheit kann durch Audits der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden.
- Beispielsweise können vordefinierte Testschritte beziehungsweise Kontrollpunkte eines Prozesses während eines Audits getestet werden.
Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur weiteren Risikominimierung beziehungsweise -dezimierung ableiten.
- Eine Methodik, wie in diesem Absatz beschrieben, ist unmittelbar konform zu Normen wie ISO/IEC 27001, BS 7799 oder gesetzlichen Vorschriften.
- Hier wird meist eine Nachvollziehbarkeit über Vorgänge der Informationssicherheit unmittelbar eingefordert, indem Unternehmen ein Risikomanagement abverlangt wird.
Bei der Arbeit an Maschinen und Anlagen haben Komponenten der funktionalen Sicherheit für den Menschen eine wichtige Schutzfunktion.
- Damit Sicherheitsfunktionen von Steuerungen zuverlässig funktionieren, muss auch die Steuerung selbst vor Ausfall und Manipulation geschützt werden.
- Daher werden auch Security-Aspekte der funktionalen Sicherheit von industriellen Automatisierungssystemen geprüft und zertifiziert.
- Diese Prüfung/Zertifizierung kann nur in Kombination mit einer Zertifizierung der funktionalen Sicherheit durchgeführt werden oder auf einer solchen Zertifizierung aufbauen.
- Ein Prüfgrundsatz formuliert Anforderungen für das Erreichen eines Security-Levels 1 (SL 1: Schutz gegen gelegentlichen oder zufälligen Verstoß) nach DIN EN 62443-3-3.
- Weitere Grundlagen dieses Prüfgrundsatzes sind die Normen IEC/TS 62443-1-1, DIN EN IEC 62443-4-1, DIN EN IEC 62443-4-2.
Den organisatorischen Ablauf einer Prüfung/Zertifizierung regelt die DGUV Test Prüf- und Zertifizierungsordnung, Teil 1: Zertifizierung von Produkten, Prozessen und Qualitätsmanagementsystemen (DGUV Grundsatz 300-003).
Umsetzungsbereiche
Zur Sensibilisierung für die Gefahren im Bereich der IT-Sicherheit und um mögliche Gegenmaßnahmen aufzuzeigen, existieren in Deutschland einige Initiativen.
- Dazu zählen der Cyber-Sicherheitsrat Deutschland e. V., der Verein Deutschland sicher im Netz, die Allianz für Cyber-Sicherheit und die Sicherheitskooperation Cybercrime.
Privathaushalte
Programmierfehler in fast jeder Software machen es quasi unmöglich, Sicherheit vor jeder Art von Angriffen zu erreichen.
- Durch den Anschluss von Computern mit sensiblen Daten (zum Beispiel Homebanking, Bearbeitung der Dissertation) an das Internet sind diese Schwachstellen auch von außen nutzbar.
- Der Standard an IT-Sicherheit in Privathaushalten ist geringer, da kaum ausreichende Maßnahmen zur Absicherung der Infrastruktur (zum Beispiel unterbrechungsfreie Stromversorgung, Einbruchsschutz) ergriffen werden.
Aber auch in anderen Bereichen besteht in privaten Haushalten weiterhin ein Defizit.
Viele private Benutzer haben noch nicht verstanden, dass es wichtig ist, die Konfiguration der genutzten Software an die jeweiligen Bedürfnisse anzupassen.
- So ist es bei vielen an das Internet angeschlossenen Rechnern nicht nötig, dass auf ihnen Server-Programme laufen.
- Server-Dienste werden von vielen Betriebssystemen in der Standardinstallation geladen; mit deren Deaktivierung schließt man eine Reihe wichtiger Angriffspunkte.
Sicherheitsaspekte wie zum Beispiel die Einrichtung von Zugriffsbeschränkungen sind vielen Benutzern ebenfalls fremd.
- Außerdem ist es von Bedeutung, sich über Schwachstellen in der eingesetzten Software zu informieren und regelmäßig Aktualisierungen einzuspielen.
Zur Computersicherheit gehört nicht nur der präventive Einsatz technischer Werkzeuge wie beispielsweise Firewalls, Intrusion-Detection-Systeme etc., sondern auch ein organisatorischer Rahmen in Form durchdachter Grundsätze (Policy, Strategie), die den Menschen als Anwender der Werkzeuge in das System einbezieht.
- Allzu oft gelingt es Hackern, durch Ausnutzung eines zu schwachen Kennworts oder durch sogenanntes Social Engineering Zugang zu sensiblen Daten zu erlangen.
IT-Sicherheit bei Sparkassen und Banken
Zur Beschleunigung des Prozesses und Hervorhebung der Wichtigkeit haben unter anderem die Ergebnisse von Basel II, die Vorschriften von BaFin und des KWG sowie der einzelnen Verbandsrevisionen der Sparkassen und Banken beigetragen.
- Verstärkt werden sowohl externe als auch interne Prüfungen auf dieses Thema ausgelegt.
- Gleichzeitig entstand ein umfangreiches Dienstleistungsangebot zur Durchführung verschiedener Projekte, die einen IT-Sicherheitsprozesses in Unternehmen etablieren sollen.
- Anbieter sind sowohl innerhalb der jeweiligen Unternehmensgruppe als auch auf dem externen Markt zu finden.
- Bei anderen Finanzdienstleistungsinstituten, Versicherungsunternehmen und den Unternehmen des Wertpapierhandels wird das Konzept im Allgemeinen identisch sein, wobei hier zum Beispiel auch andere Gesetze eine Rolle spielen können.
Siehe auch|Krisenreaktionszentrum für IT-Sicherheit der Deutschen Versicherungswirtschaft
IT-Sicherheit bei anderen Unternehmen
Auch wenn die Gesetzgebungen und Prüfungen in anderen Sektoren der Wirtschaft weniger Vorgaben macht, behält die IT-Sicherheit ihren hohen Stellenwert.
- Hilfestellungen gewähren die kostenfreien IT-Grundschutz-Kataloge des BSI.
Durch die zunehmende Vernetzung verschiedener Niederlassungen z. B. bei Firmenzukäufen gewinnt eine Absicherung der IT-Systeme größere Bedeutung.
- Durch die Datenübertragung aus einem internen, geschlossenen Netzwerk über eine externe, öffentliche Verbindung zum anderen Standort entstehen risikobehaftete Situationen.
Die Auswirkungen für Unternehmen sind u. a.:
- Verlust von Daten,
- Manipulation von Daten,
- unzuverlässiger Empfang von Daten,
- verspätete Verfügbarkeit von Daten,
- Abkopplung von Systemen für das operative Geschäft,
- unzulässige Verwertung von Daten,
- fehlende Entwicklungsfähigkeit der eingesetzten Systeme.
Die Gefahr liegt nicht nur im firmeninternen Datenaustausch.
- Zunehmend werden Anwendungen direkt zu den Nutzern übertragen, oder externe Mitarbeiter und outgesourcte Dienstleister können auf interne Daten zugreifen und diese bearbeiten und verwalten.
- Dies erfordert entsprechende Zugriffsberechtigungen (Authentifizierung) sowie eine Dokumentation der getätigten Aktionen wie Datenabruf oder Datenänderungen.
Dieser Thematik folgend entstehen neue Anforderungen an die bestehenden Sicherheitskonzepte.
- Hinzu kommen die gesetzlichen Vorgaben, die ebenfalls in das IT-Sicherheitskonzept mit integriert werden müssen.
- Die entsprechenden Gesetze werden von externen und internen Prüfern kontrolliert.
- Da keine Methoden definiert worden sind, um diese Ergebnisse zu erreichen, wurden hier für die jeweiligen Bereiche verschiedenen „Best Practice“-Methoden entwickelt, wie zum Beispiel ITIL, COBIT, ISO oder Basel II.
Hier gilt der Ansatz, ein Unternehmen so zu führen und zu kontrollieren, dass die relevanten und möglichen Risiken abgedeckt sind (IT-Governance).
- Grundlagen dafür sind sowohl die zwingenden Standards, also Gesetze (HGB, AO, GOB) und Fachgutachten (Sarbanes-Oxley Act, 8. EU-Audit-Richtlinie), als auch die unterstützenden Standards (Best Practice).
Die Risiken müssen identifiziert, analysiert und bewertet werden, um ein ganzheitliches Sicherheitskonzept aufbauen zu können.
- Dies beinhaltet nicht nur die eingesetzten Technologien, sondern auch konzeptionelle Aspekte wie Zuständigkeiten, Berechtigungen, Kontrollinstanzen oder Mindestanforderungen für bestimmte Sicherheitsmerkmale.
So werden nun an die EDV besondere Anforderungen gestellt:
- Verhinderung von Manipulationen
- Nachweis von Eingriffen
- Installation von Frühwarnsystemen
- Interne Kontrollsysteme
Dabei ist zu beachten, dass die Daten der Automation derart gespeichert werden, dass sie jederzeit lesbar, nachvollziehbar und konsistent sind.
- Dazu müssen diese Daten vor Manipulation und Löschung geschützt werden.
- Jegliche Änderung soll ein Versionsmanagement auslösen und die Reporte und Statistiken über die Prozesse und deren Änderungen müssen direkt zentral abrufbar sein.
Eine Abhilfe können hier hochentwickelte Automatisierungslösungen sein.
- Dadurch, dass weniger manuelle Eingriffe notwendig sind, werden potenzielle Gefahrenquellen ausgeschlossen.
- Die RZ-Automation umfasst somit folgende Gebiete:
- Risikofaktor Prozessablauf
- Risikofaktor Ressourcen
- Risikofaktor Technologie
- Risikofaktor Zeit
IT-Sicherheit in öffentlichen Einrichtungen und Behörden
Im Bereich öffentliche Einrichtungen und Behörden sind die IT-Grundschutz-Kataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) Standardwerke.
- In großem Maße erhalten diese Stellen das zugehörige GSTOOL, welches die Durchführung deutlich vereinfacht, kostenlos.
Gesetzliche Rahmenbedingungen
Anhang
Siehe auch
- Cyberabwehr
- Cyberkrieg
- Europäische Agentur für Netz- und Informationssicherheit
- Internetkriminalität, IT-Sicherheitsverfahren
- Need-to-know-Prinzip
- TeleTrusT
- Mind Map der Informationssicherheit
Unterseiten
Dokumentation
RFC
Man-Pages
Info-Pages
Links
Einzelnachweise
Projekt
Weblinks
- https://de.wikipedia.org/wiki/Informationssicherheit
- Bundesamt für Sicherheit in der Informationstechnik (BSI)
- BMWi: Task Force „IT-Sicherheit in der Wirtschaft“
- Seiten-Check der Initiative-S der Taskforce „IT-Sicherheit in der Wirtschaft“. Service des eco-Verbands der Internetwirtschaft e.V., gefördert durch das Bundesministerium für Wirtschaft und Technologie (BMWi)
- Deutschland sicher im Netz e. V.
- A Users’ Guide: How to raise information security awareness (DE). Bundesamt für Sicherheit in der Informationstechnik, Juni 2006, ENISA (mit PDF Leitfaden für die Praxis: Wege zu mehr Bewusstsein für Informationssicherheit; 2 MB)
- DIN-Normenausschuss Informationstechnik und Anwendungen NA 043-01-27 AA IT-Sicherheitsverfahren
- Christian Hawellek: Die strafrechtliche Relevanz von IT-Sicherheitsaudits – Wege zur Rechtssicherheit vor dem Hintergrund des neuen Computerstrafrechts.
- Ken Thompson: Reflections on Trusting Trust (PDF; 220 kB; englisch). Artikel über Software-Sicherheit und deren Untergrabung, etwa durch Trojaner.
Testfragen
Testfrage 1
Testfrage 2
Testfrage 3
Testfrage 4
Testfrage 5