Informationssicherheit

Aus Foxwiki

Informationssicherheit - Eigenschaft von Systemen Vertraulichkeit, Verfügbarkeit und Integrität sicherzustellen

Beschreibung

Als Informationssicherheit oder Cybersicherheit bezeichnet man Eigenschaften von technischen oder nicht-technischen Systemen zur Informationsverarbeitung, -speicherung und -lagerung, die die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen.

In der Praxis orientiert sich die Informationssicherheit im Rahmen des IT-Sicherheitsmanagements unter anderem an der internationalen ISO/IEC-27000-Reihe.

Die Normenreihe IEC 62443 befasst sich mit der Informationssicherheit von „Industrial Automation and Control Systems“ (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller.

Themenfeld 1 - Einführung und Grundlagen
  • IT-Sicherheit und rechtliche Rahmenbedingungen

Sicherheit

IT und OT

Arten und Wichtigkeit von Informationen

Schutz von Informationen

ISO/IEC 27001
Informationen sind Werte
  • Wertvoll für eine Organisation
  • Wie die übrigen Geschäftswerte
  • Müssen in geeigneter Weise geschützt werden
Angemessener Schutz unabhängig von
  • Erscheinungsform
  • Art der Nutzung
  • Speicherung

Informationssicherheit im Fokus

Warum ist Sicherheit überhaupt ein Thema?
  • Verteilte Informatiksysteme sind kritische Ressourcen
  • Globalisierung der Kommunikationsbedürfnisse und -infrastruktur (Internet)
"grenzüberschreitenden" Kooperation
  • Email
  • Informationssysteme
  • Desktop-Conferencing
  • Soziale Netzwerke
Offene Systeme
  • Vielfältige Schnittstellen und Datenaustausch
  • Erhöhung des Angriffs- und Schadenpotentials
Physische Sicherheit kann oft nicht gewährleistet werden
  • Zugang zu Räumen und IT-Systemen
Vertrauen als Ressource
  • Wem vertraue ich, wem nicht?
  • Wer ist mein Gegenüber wirklich?

Warum Informationssicherheit?

  • Das Streben nach Informationssicherheit resultiert aus einer risikoorientierten Herangehensweise
  • Es soll Unternehmen vor Kapitalschäden jeglicher Art schützen
Klassische Beispiele
  • Image- und Vertrauensverlust
  • Datenverlust
  • Produktivitätsausfall
  • Wirtschaftsspionage
  • Verletzung von Marken- und Urheberrechten

Es liegt in der Natur der Sache, dass Unternehmer solchen Schäden durch entsprechende Maßnahmen vermeiden wollen.

Datensicherung

Normbegriff der Rechtsordnung
Summe aller
  • technischen und
  • organisatorischen Maßnahmen

zur Gewährleistung des Datenschutzes

Maßnahmen müssen in einem angemessenen Verhältnis zum angestrebten Schutzzweck stehen.

Datensicherheit

Datensicherheit als technischer Begriff
  • Planende,
  • steuernde,
  • verarbeitende und
  • kontrollierende Maßnahmen
zur Gewährleistung der Sicherheitsziele
  • Verfügbarkeit
  • Vertraulichkeit
  • Integrität
der informationstechnischen Infrastruktur

Datensicherheit

Datensicherung als antiquierter Begriff
  • Kopieerstellung von Datenbeständen
  • Ziel: Rekonstruktion bei Verlust
  • Verfügbarkeit
  • Integrität
Datensicherung zur Gewährleistung der
  • Verfügbarkeit
  • Integrität
der informationstechnischen Infrastruktur ist im weiteren Sinne auch Voraussetzung für die Erzielung einer Gesamtsicherheit, die
  • alle Komponenten der IT-Infrastruktur erfasst, die
  • für die betrieblichen Wertschöpfungsprozesse relevant sind
Interesse von Unternehmen
  • Sicherstellung der kontinuierlichen Bedürfnisbefriedigung
  • Gewinnmaximierung
Interesse des Einzelnen
  • Schutz seiner (personenbezogenen) Daten vor Missbrauch

IT-Systeme

IT-Systeme bestehen aus
  • Objekten
  • Subjekten
  • Aktionen
  • Umfeldbedingungen

Objekte

Objekte eines IT-Systems sind alle aktiven und passiven Komponenten
  • Hardware
  • Software
  • gespeicherten Daten
Im weiteren Sinne
  • Gesamte informationstechnische Infrastruktur
schutzwürdige Objekte
  • Einzelne Objekte (Server, Anwendungen, Verbindungen)
  • Gruppen von Objekten
  • Gesamter IT-Verbund
Für jedes Objekt muss geregelt sein
  • welche Subjekte
  • unter welchen Voraussetzungen
  • Zugang und
  • Zugriff erhalten

Subjekte

Subjekte eines IT-Systems sind
  • Betreiber
  • Anwender
  • Benutzer
Zugang der Subjekte zu IT-Systemen und Zugriff auf einzelne Objekte erfordert
  • Identifikation
  • Authentifizierung
Subjekte können auch technische Kommunikationselemente sein
  • selbststeuernde Aktionen
  • z.B Verbindung zu fremden Systemen
  • mit dem Ziel des Zugriffs auf fremde Objekte
  • aufbauen
  • nutzen
  • wieder abbauen

Anmeldung

Zugangsverfahren
Anmeldeverfahren von Subjekten zu IT-Systemen oder einzelnen Objekten
Im Zugangsverfahren wird die Berechtigung von
  • natürlichen oder
  • technischen Subjekten
durch
  • technische oder
  • logische Verfahren
zur Identifizierung / Authentifizierung überprüft

Zugriffskontrolle

Zugriff
Ausführung von
  • lesenden,
  • schreibenden oder
  • steuernden Aktionen
auf definierte Objekte eines IT-Systems
Zugriffskontrolle erfolgt auf logischer Ebene
  • nach ordnungsgemäßer Zugangskontrolle
  • mittels Verfahren zur Identifizierung und / oder
  • Authentifizierung von Zugriffsrechten.
Need-to-Know-Prinzip

Ein Subjekt darf nur auf ein Objekt zugreifen können, wenn dies in seiner Zuständigkeit liegt.

Aktionen

Aktionen
  • passiv
  • aktiv
  • objektsteuernd
  • objektnutzend
Differenzierung auf Softwareebene durch
  • Systemsoftware
  • Anwendungssoftware

Umfeld

Konstrukte am Standort beschrieben das Umfeld
  • räumlich
  • versorgungstechnisch
  • Klimatechnisch
  • ...
Sekundäres Umfeld vernetzter Systeme
  • Netztopologie
  • Kommunikationsarchitektur

Gesetzliche Grundlagen

Sicherheit/Gesetzliche_Grundlagen

Begriffe

Sicherheit/Begriffe

Motivation und Ziele

Sicherheit/Ziele

Bedeutung

In den frühen Kindertagen des (Personal-)Computers verstand man unter Computersicherheit die Sicherstellung der korrekten Funktionalität von Hardware (Ausfall von zum Beispiel Bandlaufwerken oder anderen mechanischen Bauteilen) und Software (richtige Installation und Wartung von Programmen).

  • Mit der Zeit änderten sich die Anforderungen an die Computer (Internet, Speichermedien); die Aufgaben zur Computersicherheit mussten anders gestaltet werden.
  • Somit bleibt der Begriff der Computersicherheit wandelbar.

Private und öffentliche Unternehmen sind heute in allen Bereichen ihrer Geschäftstätigkeit, Privatpersonen in den meisten Belangen des täglichen Lebens auf IT-Systeme angewiesen.

  • Da neben der Abhängigkeit auch die Risiken für IT-Systeme in Unternehmungen in der Regel größer sind als für Computer und Netzwerke in privaten Haushalten, ist Informationssicherheit überwiegend Aufgabe von Unternehmen.

Entsprechende Verpflichtungen lassen sich im gesamten deutschsprachigen Raum aus den verschiedenen Gesetzen zum Gesellschaftsrecht, Haftungsrecht, Datenschutz, Bankenrecht usw. herleiten.

Bedrohungen

Bedrohungen

Maßnahmen

Sicherheit/Maßnahmen

Standards, „Best Practices“ und Ausbildung

Zur Bewertung und Zertifizierung der Sicherheit von Computersystemen existieren internationale Normen.

IT-Sicherheitsmanagement

Managementsystem_für_Informationssicherheit

Security Engineering

Das Fachgebiet Security Engineering stellt Instrumente zur Abwehr und Analyse von Angriffen und Bedrohungen von IT-Systemen bereit.

Ausbildung

Neben den Standards zur Informationssicherheit gibt es auch Standards für die Ausbildung von Sicherheitsfachkräften.

Audits und Zertifizierungen

Um ein gewisses Standardmaß an Informationssicherheit zu gewährleisten, ist die regelmäßige Überprüfung von Maßnahmen zur Risikominimierung und -dezimierung Pflicht.

  • Auch hier rücken wieder organisatorische und technische Aspekte in den Vordergrund.

Technische Sicherheit kann zum Beispiel durch Maßnahmen wie regelmäßige Penetrationstests oder vollständige Sicherheitsaudits erreicht werden, um eventuell bestehende Sicherheitsrisiken im Bereich von informationstechnischen Systemen, Applikationen und/oder in der informationstechnischen Infrastruktur zu erkennen und zu beseitigen.

Organisatorische Sicherheit kann durch Audits der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden.

  • Beispielsweise können vordefinierte Testschritte beziehungsweise Kontrollpunkte eines Prozesses während eines Audits getestet werden.

Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur weiteren Risikominimierung beziehungsweise -dezimierung ableiten.

  • Eine Methodik, wie in diesem Absatz beschrieben, ist unmittelbar konform zu Normen wie ISO/IEC 27001, BS 7799 oder gesetzlichen Vorschriften.
  • Hier wird meist eine Nachvollziehbarkeit über Vorgänge der Informationssicherheit unmittelbar eingefordert, indem Unternehmen ein Risikomanagement abverlangt wird.

Bei der Arbeit an Maschinen und Anlagen haben Komponenten der funktionalen Sicherheit für den Menschen eine wichtige Schutzfunktion.

  • Damit Sicherheitsfunktionen von Steuerungen zuverlässig funktionieren, muss auch die Steuerung selbst vor Ausfall und Manipulation geschützt werden.
  • Daher werden auch Security-Aspekte der funktionalen Sicherheit von industriellen Automatisierungssystemen geprüft und zertifiziert.
  • Diese Prüfung/Zertifizierung kann nur in Kombination mit einer Zertifizierung der funktionalen Sicherheit durchgeführt werden oder auf einer solchen Zertifizierung aufbauen.
  • Ein Prüfgrundsatz formuliert Anforderungen für das Erreichen eines Security-Levels 1 (SL 1: Schutz gegen gelegentlichen oder zufälligen Verstoß) nach DIN EN 62443-3-3.
  • Weitere Grundlagen dieses Prüfgrundsatzes sind die Normen IEC/TS 62443-1-1, DIN EN IEC 62443-4-1, DIN EN IEC 62443-4-2.

Den organisatorischen Ablauf einer Prüfung/Zertifizierung regelt die DGUV Test Prüf- und Zertifizierungsordnung, Teil 1: Zertifizierung von Produkten, Prozessen und Qualitätsmanagementsystemen (DGUV Grundsatz 300-003).

Umsetzungsbereiche

Sicherheit/Umsetzungsbereiche

Gesetzliche Rahmenbedingungen

Sicherheit/Gesetze

Bedrohung – Schwachstelle - Gefährdung - Risiko

Bedrohungen

Einsatz mobiler Endgeräte

Mobiler Endgeräte

Anhang

Siehe auch

Sicherheit

Dokumentation

RFC
Man-Pages
Info-Pages

Links

Einzelnachweise
Projekt
Weblinks
  1. https://de.wikipedia.org/wiki/Informationssicherheit
  2. Bundesamt für Sicherheit in der Informationstechnik (BSI)
  3. BMWi: Task Force „IT-Sicherheit in der Wirtschaft“
  4. Seiten-Check der Initiative-S der Taskforce „IT-Sicherheit in der Wirtschaft“. Service des eco-Verbands der Internetwirtschaft e.V., gefördert durch das Bundesministerium für Wirtschaft und Technologie (BMWi)
  5. Deutschland sicher im Netz e. V.
  6. A Users’ Guide: How to raise information security awareness (DE). Bundesamt für Sicherheit in der Informationstechnik, Juni 2006, ENISA (mit PDF Leitfaden für die Praxis: Wege zu mehr Bewusstsein für Informationssicherheit; 2 MB)
  7. DIN-Normenausschuss Informationstechnik und Anwendungen NA 043-01-27 AA IT-Sicherheitsverfahren
  8. Christian Hawellek: Die strafrechtliche Relevanz von IT-Sicherheitsaudits – Wege zur Rechtssicherheit vor dem Hintergrund des neuen Computerstrafrechts.
  9. Ken Thompson: Reflections on Trusting Trust (PDF; 220 kB; englisch). Artikel über Software-Sicherheit und deren Untergrabung, etwa durch Trojaner.


Testfragen

Testfrage 1

Antwort1

Testfrage 2

Antwort2

Testfrage 3

Antwort3

Testfrage 4

Antwort4

Testfrage 5

Antwort5