Informationssicherheit: Unterschied zwischen den Versionen

Aus Foxwiki
Zeile 15: Zeile 15:


== Motivation und Ziele der Informationssicherheit ==
== Motivation und Ziele der Informationssicherheit ==
Informationen (oder Daten) sind schützenswerte Güter.
[[Sicherheit/Ziele]]
* Der Zugriff auf diese sollte beschränkt und kontrolliert sein.
* Nur autorisierte Benutzer oder Programme dürfen auf die Information zugreifen. ''[[Schutzziele (Informationssicherheit)|Schutzziele]]'' werden zum Erreichen bzw.
 
Einhalten der Informationssicherheit und damit zum Schutz der Daten vor beabsichtigten Angriffen von IT-Systemen definiert:
* Die Allgemeine Schutzziele sind nach ihrer englischen Abkürzung auch als CIA(-Triade) bekannt:
** ''[[Vertraulichkeit]]'' (englisch: ''confidentiality''): Daten dürfen lediglich von autorisierten Benutzern gelesen werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der [[Datenübertragung]].
** ''[[Integrität (Informationssicherheit)|Integrität]]'' (englisch: ''integrity''): Daten dürfen nicht unbemerkt verändert werden.
* Alle Änderungen müssen nachvollziehbar sein.
** ''[[Verfügbarkeit]]'' (englisch: ''availability''): Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet sein.
* Weitere Schutzziele der Informationssicherheit:
** ''[[Authentizität]]'' (englisch: ''authenticity'') bezeichnet die Eigenschaften der Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit eines Objekts.
** ''Verbindlichkeit/Nichtabstreitbarkeit'' (englisch: ''non repudiation''): Sie erfordert, dass „kein unzulässiges Abstreiten durchgeführter Handlungen“ möglich ist.<ref name="unibr_itsec05-0a_F25" /> Sie ist unter anderem wichtig beim elektronischen Abschluss von Verträgen.
* Erreichbar ist sie beispielsweise durch [[elektronische Signatur]]en.
** ''Zurechenbarkeit'' (englisch: ''accountability''): „Eine durchgeführte Handlung kann einem Kommunikationspartner eindeutig zugeordnet werden.“
** in bestimmtem Kontext (zum Beispiel im Internet) auch ''[[Anonymität]]''
* Besonderes Schutzziel im Zuge der [[Datenschutz-Grundverordnung|DSGVO]]:
** ''Resilienz'' (englisch: ''resilience''): Widerstandsfähigkeit/Belastbarkeit gegenüber Ausspähungen, irrtümlichen oder mutwilligen Störungen oder absichtlichen Schädigungen (Sabotagen)
 
Jedes noch so gut geplante und umgesetzte IT-System kann [[Sicherheitslücke|Schwachstellen]] besitzen.
* Sind bestimmte Angriffe zum Umgehen der vorhandenen Sicherheitsvorkehrungen möglich, ist das System ''[[Verwundbarkeit|verwundbar]]''.
* Nutzt ein Angreifer eine Schwachstelle oder eine Verwundbarkeit zum Eindringen in ein IT-System, sind die Vertraulichkeit, Datenintegrität und Verfügbarkeit bedroht (englisch: ''threat'').
* Angriffe auf die Schutzziele bedeuten für Unternehmen Angriffe auf reale [[Unternehmenswert]]e, im Regelfall das Abgreifen oder Verändern von unternehmensinternen Informationen.
* Jede mögliche Bedrohung ist ein ''[[Risiko]]'' (englisch: ''risk'') für das Unternehmen.
* Unternehmungen versuchen durch die Verwendung eines [[Risikomanagement]]s (englisch: ''risk management'') die Wahrscheinlichkeit des Eintretens eines Schadens und die daraus resultierende Schadenshöhe zu bestimmen.
Nach einer ''[[Risikoanalyse]]'' und ''Bewertung'' der unternehmensspezifischen IT-Systeme können entsprechende ''Schutzziele'' definiert werden.
* Anschließend folgt die Auswahl von IT-Sicherheitsmaßnahmen für die jeweiligen [[Geschäftsprozess]]e eines Unternehmens.
* Dieser Vorgang zählt zu den Tätigkeiten des IT-Sicherheitsmanagements.
* Eine genormte Vorgehensweise wird durch das Verwenden von IT-Standards ermöglicht.
 
Im Rahmen des IT-Sicherheitsmanagements findet die Auswahl und Umsetzung entsprechender ''IT-Sicherheitsstandards'' statt.
* Zu diesem Zweck existieren im Bereich IT-Sicherheitsmanagement verschiedene Standards.
* Mit Hilfe des ''[[ISO/IEC 27001]]''- oder des ''[[IT-Grundschutz]]''-Standards wird mit anerkannten Regeln versucht, die Komplexität [[Soziotechnisches System|soziotechnischer Systeme]] für den Bereich des IT-Sicherheitsmanagements zu reduzieren und ein geeignetes Maß an Informationssicherheit zu finden.


== Bedeutung der Informationssicherheit ==
== Bedeutung der Informationssicherheit ==

Version vom 26. April 2023, 11:23 Uhr

Informationssicherheit - Eigenschaft Systemen Vertraulichkeit, Verfügbarkeit und Integrität sicherzustellen

Beschreibung

Als Informationssicherheit oder Cybersicherheit bezeichnet man Eigenschaften von technischen oder nicht-technischen Systemen zur Informationsverarbeitung, -speicherung und -lagerung, die die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen.

In der Praxis orientiert sich die Informationssicherheit im Rahmen des IT-Sicherheitsmanagements unter anderem an der internationalen ISO/IEC-27000-Reihe.

Die Normenreihe IEC 62443 befasst sich mit der Informationssicherheit von „Industrial Automation and Control Systems“ (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller.

Begriffsbeschreibungen

Sicherheit/Begriffe

Motivation und Ziele der Informationssicherheit

Sicherheit/Ziele

Bedeutung der Informationssicherheit

In den frühen Kindertagen des (Personal-)Computers verstand man unter Computersicherheit die Sicherstellung der korrekten Funktionalität von Hardware (Ausfall von zum Beispiel Bandlaufwerken oder anderen mechanischen Bauteilen) und Software (richtige Installation und Wartung von Programmen).

  • Mit der Zeit änderten sich die Anforderungen an die Computer (Internet, Speichermedien); die Aufgaben zur Computersicherheit mussten anders gestaltet werden.
  • Somit bleibt der Begriff der Computersicherheit wandelbar.

Private und öffentliche Unternehmen sind heute in allen Bereichen ihrer Geschäftstätigkeit, Privatpersonen in den meisten Belangen des täglichen Lebens auf IT-Systeme angewiesen.

  • Da neben der Abhängigkeit auch die Risiken für IT-Systeme in Unternehmungen in der Regel größer sind als für Computer und Netzwerke in privaten Haushalten, ist Informationssicherheit überwiegend Aufgabe von Unternehmen.

Entsprechende Verpflichtungen lassen sich im gesamten deutschsprachigen Raum aus den verschiedenen Gesetzen zum Gesellschaftsrecht, Haftungsrecht, Datenschutz, Bankenrecht usw. herleiten.

Bedrohungen

Bedrohungen

Maßnahmen

Sicherheit/Maßnahmen

Standards, „Best Practices“ und Ausbildung im Überblick

Zur Bewertung und Zertifizierung der Sicherheit von Computersystemen existieren internationale Normen.

IT-Sicherheitsmanagement

Die Aufgabe des IT-Sicherheitsmanagements ist die systematische Absicherung eines informationsverarbeitenden IT-Verbundes.

  • Gefahren für die Informationssicherheit oder Bedrohungen des Datenschutzes eines Unternehmens oder einer Organisation sollen verhindert oder abgewehrt werden.
  • Die Auswahl und Umsetzung von IT-Sicherheitsstandards zählt zu den Aufgaben des IT-Sicherheitsmanagements.
  • Standards des IT-Sicherheitsmanagements sind beispielsweise:
  • IT-Grundschutz des BSI
    • Die IT-Grundschutz-Kataloge definieren für die verschiedenen Aspekte einer IT-Landschaft konkrete Maßnahmen, die zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen (Waschzettel).
  • Für Systeme mit hohem Schutzbedarf geben die Grundschutzkataloge ein strukturiertes Vorgehen, um die notwendigen Maßnahmen zu identifizieren.
  • Die Grundschutz-Kataloge sind primär in Deutschland bekannt, liegen allerdings auch englischsprachig vor.
  • ISO/IEC 27001: Norm für Informationssicherheitsmanagementsysteme (ISMS)
  • ISO/IEC 27002: Leitfaden für das Informationssicherheitsmanagement (vormals ISO/IEC17799:2005)

Weltweit am stärksten verbreitet ist die ISO/IEC 27001-Norm.

Weitere Standards sind zu finden im Vorlage:Hauptartikel

Security Engineering

Das Fachgebiet Security Engineering stellt Instrumente zur Abwehr und Analyse von Angriffen und Bedrohungen von IT-Systemen bereit.

Ausbildung

Neben den Standards zur Informationssicherheit gibt es auch Standards für die Ausbildung von Sicherheitsfachkräften.

Audits und Zertifizierungen

Um ein gewisses Standardmaß an Informationssicherheit zu gewährleisten, ist die regelmäßige Überprüfung von Maßnahmen zur Risikominimierung und -dezimierung Pflicht.

  • Auch hier rücken wieder organisatorische und technische Aspekte in den Vordergrund.

Technische Sicherheit kann zum Beispiel durch Maßnahmen wie regelmäßige Penetrationstests oder vollständige Sicherheitsaudits erreicht werden, um eventuell bestehende Sicherheitsrisiken im Bereich von informationstechnischen Systemen, Applikationen und/oder in der informationstechnischen Infrastruktur zu erkennen und zu beseitigen.

Organisatorische Sicherheit kann durch Audits der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden.

  • Beispielsweise können vordefinierte Testschritte beziehungsweise Kontrollpunkte eines Prozesses während eines Audits getestet werden.

Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur weiteren Risikominimierung beziehungsweise -dezimierung ableiten.

  • Eine Methodik, wie in diesem Absatz beschrieben, ist unmittelbar konform zu Normen wie ISO/IEC 27001, BS 7799 oder gesetzlichen Vorschriften.
  • Hier wird meist eine Nachvollziehbarkeit über Vorgänge der Informationssicherheit unmittelbar eingefordert, indem Unternehmen ein Risikomanagement abverlangt wird.

Bei der Arbeit an Maschinen und Anlagen haben Komponenten der funktionalen Sicherheit für den Menschen eine wichtige Schutzfunktion.

  • Damit Sicherheitsfunktionen von Steuerungen zuverlässig funktionieren, muss auch die Steuerung selbst vor Ausfall und Manipulation geschützt werden.
  • Daher werden auch Security-Aspekte der funktionalen Sicherheit von industriellen Automatisierungssystemen geprüft und zertifiziert.
  • Diese Prüfung/Zertifizierung kann nur in Kombination mit einer Zertifizierung der funktionalen Sicherheit durchgeführt werden oder auf einer solchen Zertifizierung aufbauen.
  • Ein Prüfgrundsatz formuliert Anforderungen für das Erreichen eines Security-Levels 1 (SL 1: Schutz gegen gelegentlichen oder zufälligen Verstoß) nach DIN EN 62443-3-3.
  • Weitere Grundlagen dieses Prüfgrundsatzes sind die Normen IEC/TS 62443-1-1, DIN EN IEC 62443-4-1, DIN EN IEC 62443-4-2.

Den organisatorischen Ablauf einer Prüfung/Zertifizierung regelt die DGUV Test Prüf- und Zertifizierungsordnung, Teil 1: Zertifizierung von Produkten, Prozessen und Qualitätsmanagementsystemen (DGUV Grundsatz 300-003).

Umsetzungsbereiche

Sicherheit/Umsetzungsbereiche

Gesetzliche Rahmenbedingungen

Sicherheit/Gesetze

Anhang

Siehe auch

Unterseiten

Dokumentation

RFC
Man-Pages
Info-Pages

Links

Einzelnachweise
Projekt
Weblinks
  1. https://de.wikipedia.org/wiki/Informationssicherheit
  2. Bundesamt für Sicherheit in der Informationstechnik (BSI)
  3. BMWi: Task Force „IT-Sicherheit in der Wirtschaft“
  4. Seiten-Check der Initiative-S der Taskforce „IT-Sicherheit in der Wirtschaft“. Service des eco-Verbands der Internetwirtschaft e.V., gefördert durch das Bundesministerium für Wirtschaft und Technologie (BMWi)
  5. Deutschland sicher im Netz e. V.
  6. A Users’ Guide: How to raise information security awareness (DE). Bundesamt für Sicherheit in der Informationstechnik, Juni 2006, ENISA (mit PDF Leitfaden für die Praxis: Wege zu mehr Bewusstsein für Informationssicherheit; 2 MB)
  7. DIN-Normenausschuss Informationstechnik und Anwendungen NA 043-01-27 AA IT-Sicherheitsverfahren
  8. Christian Hawellek: Die strafrechtliche Relevanz von IT-Sicherheitsaudits – Wege zur Rechtssicherheit vor dem Hintergrund des neuen Computerstrafrechts.
  9. Ken Thompson: Reflections on Trusting Trust (PDF; 220 kB; englisch). Artikel über Software-Sicherheit und deren Untergrabung, etwa durch Trojaner.


Testfragen

Testfrage 1

Antwort1

Testfrage 2

Antwort2

Testfrage 3

Antwort3

Testfrage 4

Antwort4

Testfrage 5

Antwort5