topic - Kurzbeschreibung

Beschreibung

Anhang

Siehe auch

Sicherheit

Dokumentation

RFC

Man-Pages

Info-Pages

Links

Einzelnachweise

Projekt

Weblinks

Testfragen

TMP

Themenfeld 1 - Einführung und Grundlagen

• IT-Sicherheit und rechtliche Rahmenbedingungen

Sicherheit - Zustand frei von unvertretbaren Risiken

Beschreibung

Zustand frei von unvertretbaren Risiken, gefahrenfrei

sēcūritās (lateinisch), sēcūrus „sorglos“, sēd „ohne“ und cūra „(Für-)Sorge“

Bezogen auf

• Lebewesen
• Objekte/Systeme
• Wertvorstellungen
• Zeitraum
• ...

Grundbedürfnis Sicherheit

Sicherheitsbedarf steigt

• Globalisierung
• steigende Mobilität
• wachsender Abhängigkeit von Technik

Relative Sicherheit

Relativer Zustand der Gefahrenfreiheit

Begrenzt auf

• Zeitraum
• Umgebung
• Bedingungen

Ereignisse, die sich nicht beeinflussen oder voraussehen lassen

• Sicherheitsvorkehrungen können zu Fall gebracht werden

Beeinträchtigungen können nicht ausgeschlossen werden

• Nur hinreichend unwahrscheinlich gemacht werden

Beispiel Kraftfahrzeugwesen

• Zahlreiche Vorschriften
• Regelmäßige Kontrollen

Dennoch führt Führen von Kraftfahrzeugen regelmäßig zu gefährlichen Zuständen

• unabsichtlich, fahrlässig
• absichtlich, böswillig

Vertretbaren Risiken

Komplexe Systeme

In komplexen Systemen lassen sich Risiken nicht völlig auszuschließen

• nur hinreichend unwahrscheinlich machen

Vertretbares Risiko

• Hängt von vielen Faktoren ab
• Wird subjektiv und kulturell verschieden bewertet

Steigender Nutzen

• Höhere Wahrscheinlichkeiten für Beeinträchtigungen mit steigendem Nutzen werden als vertretbar angesehen
• Aktien-Spekulation, Teilnahme am Straßenverkehr, ...

ISMS

Sicherheitskonzepte

• Definierter Zustand von Sicherheit
• Definition von Maßnahmen
• Zyklische Kontrollen

Erfolgreiche Sicherheitsmaßnahmen

• Können Beeinträchtigungen (erwartete und unerwartete) abwehren oder hinreichend unwahrscheinlich machen

Security und Safety

Sicherheit umfasst Security und Safety

• Sicherheitskonzepte spezifizieren diese Anforderungen

Security	Safety
Angriffssicherheit Sicherheit eines Systems Schutz des Objektes vor der Umgebung Immunität	Betriebssicherheit Zuverlässigkeit eines Systems Schutz der Umgebung vor einem Objekt Isolation

Beispiel

Es ist unzureichend, von einer Fluchttür lediglich „Sicherheit“ zu fordern.

Security-Anforderung	Safety-Anforderung
Vermeidung einer unberechtigten Nutzung der Tür im Normalbetrieb	Gewährleistung eines gefahrlosen Flucht- und Rettungsweges

Wirtschaftliche Sicherheit

Materieller / finanziellen Mittel

• ist für die Existenz oder
• für geplanten Vorhaben
• im vorgesehenen Zeitraum gewährleistet

Dies kann sowohl

• das einzelne Individuum betreffen, als auch
• Kollektive (betriebswirtschaftliche Unternehmen oder ganze Staaten)

Versicherungen

• Absicherung unabweisbare Gefahren
• erhöht nicht objektiv die Sicherheit
• aber das subjektive Sicherheitsgefühl
• im Eintrittsfall eine Behebung oder Ausgleich des Schadens ermöglichen

Betriebswirtschaftliche Sicherheit

• technische, logistische und organisatorische Maßnahmen
• in Bezug auf Maschinen oder Anlagen im industriellen Bereich
• Ausfallsicherheit, Verlässlichkeit und Verfügbarkeit

Technische Sicherheit

Betriebssicherheit

Technische Konstruktionen oder Objekte

Zustand der voraussichtlich störungsfreien und gefahrenfreien Funktion

• „Sicherheit“ ist abhängig von ihrer Definition
• welcher Grad von Unsicherheit akzeptiert wird

Zuverlässigkeit

• Tritt bei einer Störung keine Gefährdung auf, spricht man von Zuverlässigkeit
• Die Norm IEC 61508 definiert Sicherheit als „Freiheit von unvertretbaren Risiken“
• „funktionalen Sicherheit“ als Teilaspekt der Gesamtsicherheit

Bauteilzuverlässigkeit

Technische Konstruktionen oder Objekte

Bauteilzuverlässigkeit

• Primäre Grundlage für die Betriebssicherheit
• Bauteile dürfen nicht durch Überbelastung oder Materialversagen Ihre Funktionsfähigkeit verlieren

Bedeutung der Software bei technischen Systemen

• Software für sicherheitskritische Systeme
• hoher Aufwand für die Sicherstellung der Fehlerarmut der Software
• strenge Maßstäbe an den Softwareentwicklungsprozess
• Für einige Bereiche gibt es einschlägige Normen Industrien (Eisenbahn: EN 50128)

Kosten vs. Sicherheit

• Häufig stehen kostenaufwändige Sicherheitsmaßnahmen den wirtschaftlichen Belangen zum Kapitalgewinn entgegen

Sicherheitstechnik

Unmittelbare Sicherheit

Gefahrenentstehung verhindern

Safe-Life-Ansatz

• Versagen wird ausgeschlossen
• Klärung aller äußeren Einflüsse
• sicheres Bemessen
• weiterer Kontrolle
• beschränktes Versagen ermöglicht
• gefahrlose Außerbetriebnahme möglich
• redundante Anordnung von Baugruppen
• Gesamtfunktion immer gewährleistet
• auch bei Teilausfällen

Verfahren

• Auswirkungsanalyse
• Fehlerbaumanalyse
• PAAG-Verfahren

Sicherheitssysteme

Unbeabsichtigten Folgen von Sicherheitssysteme

Können Sicherheitsgewinn zunichtemachen

Prognosen vs. empirische Beobachtung

Der auf Prognosen setzenden Sicherheitsforschung wird vorgeworfen, empirische Beobachtung der Systeme zu vernachlässigen

Beispiel

Risiken und Nebenwirkungen beim Einsatz von VPNs

• Nicht alle VPN-Systeme sind sicher gegen Man-in-the-Middle-Angriffe
• insbesondere in der Phase des Aushandelns der Übertragungs- und Kryptografieparameter

Implementierung von VPNs erfordert eine Menge Vorarbeiten

• Vielzahl und Komplexität der verfügbaren Protokolle

VPNs erfordert je nach Architektur erhebliche zusätzliche Ressourcen

Schutzeinrichtungen

Schutzeinrichtung	Beschreibung
Trennend	Verkleidung Verdeckung Sicherheitsdomäne Firewall
Ortsbindend	Zweihandbedienung Tipptaster Anketten
Abweisend	Handabweiser Zugangskontrolle Raumverschluss
Detektierend	Lichtschranke Pendelklappen Monitoring Intrusion Detektion

Was ist Informationssicherheit?

Informationssicherheit

Bedrohung – Schwachstelle - Gefährdung - Risiko

Bedrohungen

Einsatz mobiler Endgeräte

Mobiler Endgeräte

Sicherheits-Ziele

siehe Sicherheits-Ziele

TMP

Informationssicherheit - Eigenschaft von Systemen Vertraulichkeit, Verfügbarkeit und Integrität sicherzustellen

Beschreibung

Als Informationssicherheit oder Cybersicherheit bezeichnet man Eigenschaften von technischen oder nicht-technischen Systemen zur Informationsverarbeitung, -speicherung und -lagerung, die die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen.

• Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken.

In der Praxis orientiert sich die Informationssicherheit im Rahmen des IT-Sicherheitsmanagements unter anderem an der internationalen ISO/IEC-27000-Reihe.

• Im deutschsprachigen Raum ist ein Vorgehen nach IT-Grundschutz verbreitet.
• Im Bereich der Evaluierung und Zertifizierung von IT-Produkten und -systemen findet die Norm ISO/IEC 15408 (Common Criteria) häufig Anwendung.

Die Normenreihe IEC 62443 befasst sich mit der Informationssicherheit von „Industrial Automation and Control Systems“ (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller.

Begriffsbeschreibungen

Sicherheit/Begriffe

Motivation und Ziele der Informationssicherheit

Sicherheit/Ziele

Bedeutung der Informationssicherheit

In den frühen Kindertagen des (Personal-)Computers verstand man unter Computersicherheit die Sicherstellung der korrekten Funktionalität von Hardware (Ausfall von zum Beispiel Bandlaufwerken oder anderen mechanischen Bauteilen) und Software (richtige Installation und Wartung von Programmen).

• Mit der Zeit änderten sich die Anforderungen an die Computer (Internet, Speichermedien); die Aufgaben zur Computersicherheit mussten anders gestaltet werden.
• Somit bleibt der Begriff der Computersicherheit wandelbar.

Private und öffentliche Unternehmen sind heute in allen Bereichen ihrer Geschäftstätigkeit, Privatpersonen in den meisten Belangen des täglichen Lebens auf IT-Systeme angewiesen.

• Da neben der Abhängigkeit auch die Risiken für IT-Systeme in Unternehmungen in der Regel größer sind als für Computer und Netzwerke in privaten Haushalten, ist Informationssicherheit überwiegend Aufgabe von Unternehmen.

Entsprechende Verpflichtungen lassen sich im gesamten deutschsprachigen Raum aus den verschiedenen Gesetzen zum Gesellschaftsrecht, Haftungsrecht, Datenschutz, Bankenrecht usw. herleiten.

• Dort stellt Informationssicherheit einen Baustein des Risikomanagements dar.
• International spielen Vorschriften wie Basel II und der Sarbanes-Oxley Act eine wichtige Rolle.

Bedrohungen

Bedrohungen

Maßnahmen

Sicherheit/Maßnahmen

Standards, „Best Practices“ und Ausbildung

Zur Bewertung und Zertifizierung der Sicherheit von Computersystemen existieren internationale Normen.

• Wichtige Normen in diesem Zusammenhang waren die amerikanischen TCSEC und die europäischen ITSEC-Standards.
• Beide wurden 1996 von dem neueren Common-Criteria-Standard abgelöst.
• Die Evaluierung und Zertifizierung von IT-Produkten und -systemen erfolgt in Deutschland in der Regel durch das Bundesamt für Sicherheit in der Informationstechnik (BSI).

IT-Sicherheitsmanagement

Die Aufgabe des IT-Sicherheitsmanagements ist die systematische Absicherung eines informationsverarbeitenden IT-Verbundes.

• Gefahren für die Informationssicherheit oder Bedrohungen des Datenschutzes eines Unternehmens oder einer Organisation sollen verhindert oder abgewehrt werden.
• Die Auswahl und Umsetzung von IT-Sicherheitsstandards zählt zu den Aufgaben des IT-Sicherheitsmanagements.
• Standards des IT-Sicherheitsmanagements sind beispielsweise:
• IT-Grundschutz des BSI
  • Die IT-Grundschutz-Kataloge definieren für die verschiedenen Aspekte einer IT-Landschaft konkrete Maßnahmen, die zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen (Waschzettel).
• Für Systeme mit hohem Schutzbedarf geben die Grundschutzkataloge ein strukturiertes Vorgehen, um die notwendigen Maßnahmen zu identifizieren.
• Die Grundschutz-Kataloge sind primär in Deutschland bekannt, liegen allerdings auch englischsprachig vor.
• ISO/IEC 27001: Norm für Informationssicherheitsmanagementsysteme (ISMS)
• ISO/IEC 27002: Leitfaden für das Informationssicherheitsmanagement (vormals ISO/IEC17799:2005)

Weltweit am stärksten verbreitet ist die ISO/IEC 27001-Norm.

Weitere Standards sind zu finden im Vorlage:Hauptartikel

Security Engineering

Das Fachgebiet Security Engineering stellt Instrumente zur Abwehr und Analyse von Angriffen und Bedrohungen von IT-Systemen bereit.

Ausbildung

Neben den Standards zur Informationssicherheit gibt es auch Standards für die Ausbildung von Sicherheitsfachkräften.

• Als wichtigste sind zu nennen die Zertifizierungen zum Certified Information Security Manager (CISM) und Certified Information Systems Auditor (CISA) der ISACA, die Zertifizierung zum Certified Information Systems Security Professional (CISSP) des International Information Systems Security Certification Consortium (ISC)², die Security+ Zertifizierung von CompTIA, die Zertifizierung zum TeleTrusT Information Security Professional (TISP) des TeleTrusT – Bundesverband IT-Sicherheit e. V. sowie die GIAC-Zertifizierungen des SANS Institute.
• Eine erweiterte Übersicht bietet die Liste der IT-Zertifikate.

Audits und Zertifizierungen

Um ein gewisses Standardmaß an Informationssicherheit zu gewährleisten, ist die regelmäßige Überprüfung von Maßnahmen zur Risikominimierung und -dezimierung Pflicht.

• Auch hier rücken wieder organisatorische und technische Aspekte in den Vordergrund.

Technische Sicherheit kann zum Beispiel durch Maßnahmen wie regelmäßige Penetrationstests oder vollständige Sicherheitsaudits erreicht werden, um eventuell bestehende Sicherheitsrisiken im Bereich von informationstechnischen Systemen, Applikationen und/oder in der informationstechnischen Infrastruktur zu erkennen und zu beseitigen.

Organisatorische Sicherheit kann durch Audits der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden.

• Beispielsweise können vordefinierte Testschritte beziehungsweise Kontrollpunkte eines Prozesses während eines Audits getestet werden.

Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur weiteren Risikominimierung beziehungsweise -dezimierung ableiten.

• Eine Methodik, wie in diesem Absatz beschrieben, ist unmittelbar konform zu Normen wie ISO/IEC 27001, BS 7799 oder gesetzlichen Vorschriften.
• Hier wird meist eine Nachvollziehbarkeit über Vorgänge der Informationssicherheit unmittelbar eingefordert, indem Unternehmen ein Risikomanagement abverlangt wird.

Bei der Arbeit an Maschinen und Anlagen haben Komponenten der funktionalen Sicherheit für den Menschen eine wichtige Schutzfunktion.

• Damit Sicherheitsfunktionen von Steuerungen zuverlässig funktionieren, muss auch die Steuerung selbst vor Ausfall und Manipulation geschützt werden.
• Daher werden auch Security-Aspekte der funktionalen Sicherheit von industriellen Automatisierungssystemen geprüft und zertifiziert.
• Diese Prüfung/Zertifizierung kann nur in Kombination mit einer Zertifizierung der funktionalen Sicherheit durchgeführt werden oder auf einer solchen Zertifizierung aufbauen.
• Ein Prüfgrundsatz formuliert Anforderungen für das Erreichen eines Security-Levels 1 (SL 1: Schutz gegen gelegentlichen oder zufälligen Verstoß) nach DIN EN 62443-3-3.
• Weitere Grundlagen dieses Prüfgrundsatzes sind die Normen IEC/TS 62443-1-1, DIN EN IEC 62443-4-1, DIN EN IEC 62443-4-2.

Den organisatorischen Ablauf einer Prüfung/Zertifizierung regelt die DGUV Test Prüf- und Zertifizierungsordnung, Teil 1: Zertifizierung von Produkten, Prozessen und Qualitätsmanagementsystemen (DGUV Grundsatz 300-003).

Umsetzungsbereiche

Sicherheit/Umsetzungsbereiche

Gesetzliche Rahmenbedingungen

Sicherheit/Gesetze

Anhang

Siehe auch

• Cyberabwehr
• Cyberkrieg
• Europäische Agentur für Netz- und Informationssicherheit
• Internetkriminalität, IT-Sicherheitsverfahren
• Need-to-know-Prinzip
• TeleTrusT
• Mind Map der Informationssicherheit

==

Dokumentation

RFC

Man-Pages

Info-Pages

Links

Einzelnachweise

Projekt

Weblinks

1. https://de.wikipedia.org/wiki/Informationssicherheit
2. Bundesamt für Sicherheit in der Informationstechnik (BSI)
3. BMWi: Task Force „IT-Sicherheit in der Wirtschaft“
4. Seiten-Check der Initiative-S der Taskforce „IT-Sicherheit in der Wirtschaft“. Service des eco-Verbands der Internetwirtschaft e.V., gefördert durch das Bundesministerium für Wirtschaft und Technologie (BMWi)
5. Deutschland sicher im Netz e. V.
6. A Users’ Guide: How to raise information security awareness (DE). Bundesamt für Sicherheit in der Informationstechnik, Juni 2006, ENISA (mit PDF Leitfaden für die Praxis: Wege zu mehr Bewusstsein für Informationssicherheit; 2 MB)
7. DIN-Normenausschuss Informationstechnik und Anwendungen NA 043-01-27 AA IT-Sicherheitsverfahren
8. Christian Hawellek: Die strafrechtliche Relevanz von IT-Sicherheitsaudits – Wege zur Rechtssicherheit vor dem Hintergrund des neuen Computerstrafrechts.
9. Ken Thompson: Reflections on Trusting Trust (PDF; 220 kB; englisch). Artikel über Software-Sicherheit und deren Untergrabung, etwa durch Trojaner.

Testfragen