Zum Inhalt springen

Informationssicherheit

Aus Foxwiki

Informationssicherheit - Eigenschaft von Systemen Vertraulichkeit, Verfügbarkeit und Integrität sicherzustellen

Beschreibung

Als Informationssicherheit oder Cybersicherheit bezeichnet man Eigenschaften von technischen oder nicht-technischen Systemen zur Informationsverarbeitung, -speicherung und -lagerung, die die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen.

In der Praxis orientiert sich die Informationssicherheit im Rahmen des IT-Sicherheitsmanagements unter anderem an der internationalen ISO/IEC-27000-Reihe.

Die Normenreihe IEC 62443 befasst sich mit der Informationssicherheit von „Industrial Automation and Control Systems“ (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller.

Bedeutung

In den frühen Kindertagen des (Personal-)Computers verstand man unter Computersicherheit die Sicherstellung der korrekten Funktionalität von Hardware (Ausfall von Bandlaufwerken oder anderen Bauteilen) und Software (richtige Installation und Wartung von Programmen).

  • Mit der Zeit änderten sich die Anforderungen an die Computer (Internet, Speichermedien); die Aufgaben zur Computersicherheit mussten umgestaltet werden.
  • Somit bleibt der Begriff der Computersicherheit wandelbar.

Private und öffentliche Unternehmen sind heute in allen Bereichen ihrer Geschäftstätigkeit, Privatpersonen in den meisten Belangen des täglichen Lebens auf IT-Systeme angewiesen.

  • Da neben der Abhängigkeit auch die Risiken für IT-Systeme in Unternehmungen in der Regel größer sind als für Computer und Netzwerke in privaten Haushalten, ist Informationssicherheit überwiegend Aufgabe von Unternehmen.

Entsprechende Verpflichtungen lassen sich im gesamten deutschsprachigen Raum aus den verschiedenen Gesetzen zum Gesellschaftsrecht, Haftungsrecht, Datenschutz, Bankenrecht usw. herleiten.

Motivation

Das Streben nach Informationssicherheit resultiert aus einer risikoorientierten Herangehensweise

  • Es soll Unternehmen vor Kapitalschäden jeglicher Art schützen.
Klassische Beispiele
  • Image- und Vertrauensverlust
  • Datenverlust
  • Produktivitätsausfall
  • Wirtschaftsspionage
  • Verletzung von Marken- und Urheberrechten

Es liegt in der Natur der Sache, dass Unternehmer solchen Schäden durch entsprechende Maßnahmen vermeiden wollen.

Warum ist Sicherheit überhaupt ein Thema?
  • Verteilte Informatiksysteme sind kritische Ressourcen
  • Globalisierung der Kommunikationsbedürfnisse und -infrastruktur (Internet)
Grenzüberschreitenden Kooperation
  • Email
  • Informationssysteme
  • Desktop-Conferencing
  • Soziale Netzwerke
Offene Systeme
  • Vielfältige Schnittstellen und Datenaustausch
  • Erhöhung des Angriffs- und Schadenpotentials
Physische Sicherheit
  • kann oft nicht gewährleistet werden
  • Zugang zu Räumen und IT-Systemen
Vertrauen als Ressource
  • Wem vertraue ich, wem nicht?
  • Wer ist mein Gegenüber wirklich?

Arten und Wichtigkeit von Informationen

ISO/IEC 27001
"Informationen sind Werte"
  • Wertvoll für eine Organisation
  • Wie die übrigen Geschäftswerte
  • Müssen in geeigneter Weise geschützt werden
Angemessener Schutz unabhängig von
  • Erscheinungsform
  • Art der Nutzung
  • Speicherung

Begriffe

Informationssicherheit/Begriffe

Schutzziele

Informationssicherheit/Schutzziele

Maßnahmen

Grundschutz/Maßnahmen

IT-Sicherheitsmanagement

Information Security Management System (ISMS) - Managementsystem für Informationssicherheit

Beschreibung

IT-Sicherheitsmanagement

Managementsystem zur Gewährleistung der Informationssicherheit/IT-Sicherheit

Aufgaben
  • Systematische Absicherung eines IT-Verbundes
  • Gefahren und Bedrohungen abwehren
  • Auswahl und Umsetzung von IT-Sicherheitsmaßnahmen
    • für Geschäftsprozesse
  • Vorgehensweise
    • Eine normierte Vorgehensweise durch Verwenden von IT-Standards ermöglichen
Begriffsherkunft

Der Begriff des IT-Sicherheitsmanagements taucht erstmals mit der Veröffentlichung der Green Books im Jahre 1989 auf

  • Aus einem Teil der Green Books entwickelte sich die BS-7799-Norm für Informationssicherheit
  • Gleichwohl wurden bereits von amerikanischen Behörden in den 1970er-Jahren Methoden für ein strukturiertes Vorgehen zur Absicherung gegen Bedrohungen der Informationssicherheit verwendet
  • In den 1980er-Jahren folgten im englischsprachigen Bereich einige Studien und Aufsätze zum Thema computer abuse and security und wie eine effektive Informationssicherheit durch organisatorische Maßnahmen in einem Unternehmen erreicht werden konnte

Sicherheitstechnik

Institutionen nutzt Sicherheitstechnik

Beispielsweise um sich vor Gefahren aus dem Internet abzusichern

  • Virenschutzprogramme
  • Spamfilter
  • gestaffelte Firewalls
  • Software zur Angriffserkennung

Sicherheitsorganisation

Organisatorische Maßnahme

Richtlinien

  • Für die Benutzung mobiler Systeme
  • Mitarbeiter über Gefahren im Internet informieren
  • ...
Fehlende Konzeption

Sowohl die Anwendung von Technik als auch die Einführung organisatorischer Maßnahmen erfolgt oft jedoch ohne Konzept und Erfolgskontrolle

Isolierte Maßnahmen

Für eine angemessene Informationssicherheit ist die isolierte Umsetzung einzelner technischer oder organisatorischer Maßnahmen erfahrungsgemäß, allerdings weder effektiv noch effizient

  • Vielmehr ist ein Rahmen erforderlich, der dafür sorgt, dass alle Maßnahmen zielgerichtet gesteuert und überwacht werden
Komponenten eines Managementsystem für Informationssicherheit
Managementprinzipien
  • etwa der Vorgabe von Zielen in der Organisation, der Erstellung von Kommunikationsgrundsätzen oder Regelungen für Kosten-Nutzen-Analysen,
Ressourcen und Mitarbeitern
  • Steuerung des Einsatzes von Technik und Personal
  • Beschreibung des Sicherheitsprozesses
Worauf sollten Sie beim Aufbau und Betrieb eines ISMS achten?

BSI-Standard 200-1: Managementsysteme für Informationssicherheit

  • Die dort genannten Empfehlungen werden im -Standard 200-2: -Grundschutz-Methodik konkretisiert
  • In den Kapiteln 3 und 4 erfahren Sie dort beispielsweise, worauf bei der Initiierung und Organisation des Sicherheitsprozesses zu achten ist
Aspekte des Managements von Informationssicherheit gemäß IT-Grundschutz
Aspekt Beschreibung
Sicherheitsprozess
Managementprinzipien
Sicherheitsorganisation
Sicherheitsleitlinie
Sicherheitskonzept
Dokumentation

Aufgabe

Systematische Absicherung eines Informationsverbunds
  • Gefahren für die Informationssicherheit oder Bedrohungen des Datenschutzes eines Unternehmens oder einer Organisation sollen verhindert oder abgewehrt werden
  • Die Auswahl und Umsetzung von IT-Sicherheitsstandards zählt zu den Aufgaben des IT-Sicherheitsmanagements

Standards

IT-Grundschutz des BSI
  • Die IT-Grundschutz-Kataloge definieren für die verschiedenen Aspekte einer IT-Landschaft konkrete Maßnahmen, die zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen
  • Für Systeme mit hohem Schutzbedarf geben die Grundschutzkataloge ein strukturiertes Vorgehen, um die notwendigen Maßnahmen zu identifizieren
  • Die Grundschutz-Kataloge sind primär in Deutschland bekannt, liegen allerdings auch englischsprachig vor
ISO/IEC 27001
Norm für Informationssicherheitsmanagementsysteme (ISMS)
ISO/IEC 27002
Leitfaden für das Informationssicherheitsmanagement

Weltweit am stärksten verbreitet ist die ISO/IEC 27001-Norm

Folgende Standards werden dem IT-Sicherheitsmanagement zugerechnet

Weltweit am stärksten verbreitet ist die ISO/IEC-27001-Norm

IT-Grundschutz des BSI IT-Grundschutz-Kataloge definieren für die verschiedenen Aspekte einer IT-Landschaft konkrete Anforderungen, die zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen (Waschzettel)
Für Systeme mit hohem Schutzbedarf geben die Grundschutzkataloge ein strukturiertes Vorgehen, um die notwendigen Maßnahmen zu identifizieren
Die Grundschutz-Kataloge sind primär in Deutschland bekannt liegen allerdings auch englischsprachig vor
ISO/IEC 27001 Norm für Informationsicherheitsmanagementsysteme (ISMS)
ISO/IEC 27002 Leitfaden für das Informationssicherheitsmanagement (vormals ISO/IEC17799:2005)
BS 7799-1 und BS 7799-2 Vorgänger der ISO/IEC 27001 und ISO/IEC 27002
Weitere Standards mit IT-Sicherheitsaspekten
ITIL Best-Practices-Sammlung für das IT-Servicemanagement
ISO/IEC 20000 die ISO/IEC-Norm für IT-Servicemanagement
BS 15000 Britischer Standard für IT-Servicemanagement
COBIT IT-Governance-Framework
ISO/IEC 13335 Ehemalige Normenreihe zum Sicherheitsmanagement in der Informations- und Kommunikationstechnik
EN ISO 27799 Medizinische Informatik - Sicherheitsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002 (speziell für den Gesundheitsbereich)
VdS 10005 Richtlinie für IT-Sicherheit im kleinen Mittelstand
Payment Card Industry Data Security Standard (PCI-DSS) Regelwerk für die Abwicklung von Kreditkartentransaktionen
Benchmarks des Center for Internet Security
Federal Information Processing Standards (FIPS) weitere des US National Institute of Standards and Technology (NIST)

Verfahren und Regeln

Verfahren und Regeln innerhalb einer Organisation
Informationssicherheit
  • definieren
  • steuern
  • kontrollieren
  • aufrechterhalten
  • fortlaufend verbessern
Begriff wird im Standard ISO/IEC 27002 definiert
Deutscher Anteil an dieser Normungsarbeit

Informationssicherheit und Datenschutz

Überschneidende Zuständigkeiten
Informationssicherheitsbeauftragte (ISB) und Datenschutzbeauftragter (DSB)
  • Sollten personell getrennt wahrgenommen werden
ISO/IEC 27701

Mit der ISO/IEC 27701 wird das klassische Informationssicherheitsmanagementsystem um Datenschutzaspekte erweitert

  • Sodass beide Beauftragte über das gleiche Dokumentenwerk gegenseitig zuarbeiten können

Allgemeine Ansätze

Ansatz Beschreibung
Verankerung in der Organisation Die Verantwortlichkeiten und Befugnisse für den Informationssicherheitsprozess werden vom obersten Management eindeutig und widerspruchsfrei zugewiesen
  • Insbesondere wird ein Mitarbeiter bestimmt, der umfassend verantwortlich für das Informationssicherheitsmanagementsystem ist (in der Regel Informationssicherheitsbeauftragter oder kurz ISB genannt)
  • Alternativ kann sich die Organisation auch eines externen Dienstleisters bedienen, der den ISB stellt
Verbindliche Ziele Die durch den Informationssicherheitsprozess zu erreichenden Ziele werden durch das Topmanagement vorgegeben.
Richtlinien Verabschiedung von Sicherheitsrichtlinien (Security Policy), die den sicheren Umgang mit der IT-Infrastruktur und den Informationen definieren durch das oberste Management
Personalmanagement Bei Einstellung, Einarbeitung sowie Beendigung oder Wechsel der Anstellung von Mitarbeitern werden die Anforderungen der Informationssicherheit berücksichtigt.
Aktualität des Wissens Es wird sichergestellt, dass das Unternehmen über aktuelles Wissen in Bezug auf Informationssicherheit verfügt.
Qualifikation und Fortbildung Es wird sichergestellt, dass das Personal seine Verantwortlichkeiten versteht und es für seine Aufgaben geeignet und qualifiziert ist.
Adaptive Sicherheit Das angestrebte Niveau der Informationssicherheit wird definiert, umgesetzt und fortlaufend an die aktuellen Bedürfnisse sowie die Gefährdungslage angepasst (Kontinuierlicher Verbesserungsprozess)
Vorbereitung Das Unternehmen ist auf Störungen, Ausfälle und Sicherheitsvorfälle in der elektronischen Datenverarbeitung vorbereitet

Zertifizierung

IT-Grundschutz/Zertifizierung



Standards, „Best Practices“ und Ausbildung

Common Criteria

Zur Bewertung und Zertifizierung der Sicherheit von Computersystemen existieren internationale Normen.

Security Engineering

Security Engineering stellt Instrumente zur Abwehr und Analyse von Angriffen und Bedrohungen von IT-Systemen bereit.

Ausbildung

Neben den Standards zur Informationssicherheit gibt es auch Standards für die Ausbildung von Sicherheitsfachkräften.

Audit und Zertifizierungen

Um ein Standardmaß an Informationssicherheit zu gewährleisten, ist die regelmäßige Überprüfung von Maßnahmen zur Risikominimierung und -dezimierung Pflicht.

  • Auch hier rücken wieder organisatorische und technische Aspekte in den Vordergrund.

Technische Sicherheit kann zum Beispiel durch Maßnahmen wie regelmäßige Penetrationstests oder vollständige Sicherheitsaudits erreicht werden, um eventuell bestehende Sicherheitsrisiken im Bereich von informationstechnischen Systemen, Applikationen und/oder in der informationstechnischen Infrastruktur zu erkennen und zu beseitigen.

Organisatorische Sicherheit kann durch Audits der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden.

  • Beispielsweise können vordefinierte Testschritte beziehungsweise Kontrollpunkte eines Prozesses während eines Audits getestet werden.

Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur weiteren Risikominimierung beziehungsweise -dezimierung ableiten.

  • Eine Methodik, wie in diesem Absatz beschrieben, ist unmittelbar konform zu Normen wie ISO/IEC 27001, BS 7799 oder gesetzlichen Vorschriften.
  • Hier wird meist eine Nachvollziehbarkeit über Vorgänge der Informationssicherheit unmittelbar eingefordert, indem Unternehmen ein Risikomanagement abverlangt wird.

Bei der Arbeit an Maschinen und Anlagen haben Komponenten der funktionalen Sicherheit für den Menschen eine wichtige Schutzfunktion.

  • Damit Sicherheitsfunktionen von Steuerungen zuverlässig funktionieren, muss auch die Steuerung selbst vor Ausfall und Manipulation geschützt werden.
  • Daher werden auch Security-Aspekte der funktionalen Sicherheit von industriellen Automatisierungssystemen geprüft und zertifiziert.
  • Diese Prüfung/Zertifizierung kann nur in Kombination mit einer Zertifizierung der funktionalen Sicherheit durchgeführt werden oder auf einer solchen Zertifizierung aufbauen.
  • Ein Prüfgrundsatz formuliert Anforderungen für das Erreichen eines Security-Levels 1 (SL 1: Schutz gegen gelegentlichen oder zufälligen Verstoß) nach DIN EN 62443-3-3.
  • Weitere Grundlagen dieses Prüfgrundsatzes sind die Normen IEC/TS 62443-1-1, DIN EN IEC 62443-4-1, DIN EN IEC 62443-4-2.

Den organisatorischen Ablauf einer Prüfung/Zertifizierung regelt die DGUV Test Prüf- und Zertifizierungsordnung, Teil 1: Zertifizierung von Produkten, Prozessen und Qualitätsmanagementsystemen (DGUV Grundsatz 300-003).

Umsetzungsbereiche

Informationssicherheit/Umsetzungsbereiche

Gesetzliche Rahmenbedingungen

Informationssicherheit/Gesetze

Gesetzliche Grundlagen

Informationssicherheit/Gesetzliche Grundlagen

Einsatz mobiler Endgeräte

Mobile Endgeräte

Anhang

Siehe auch

Links
Weblinks
  1. https://de.wikipedia.org/wiki/Informationssicherheit
  2. Bundesamt für Sicherheit in der Informationstechnik (BSI)
  3. BMWi: Task Force „IT-Sicherheit in der Wirtschaft“
  4. Seiten-Check der Initiative-S der Taskforce „IT-Sicherheit in der Wirtschaft“. Service des eco-Verbands der Internetwirtschaft e.V., gefördert durch das Bundesministerium für Wirtschaft und Technologie (BMWi)
  5. Deutschland sicher im Netz e. V.
  6. A Users’ Guide: How to raise information security awareness (DE). Bundesamt für Sicherheit in der Informationstechnik, Juni 2006, ENISA (mit PDF Leitfaden für die Praxis: Wege zu mehr Bewusstsein für Informationssicherheit; 2 MB)
  7. DIN-Normenausschuss Informationstechnik und Anwendungen NA 043-01-27 AA IT-Sicherheitsverfahren
  8. Christian Hawellek: Die strafrechtliche Relevanz von IT-Sicherheitsaudits – Wege zur Rechtssicherheit vor dem Hintergrund des neuen Computerstrafrechts.
  9. Ken Thompson: Reflections on Trusting Trust Artikel über Software-Sicherheit und deren Untergrabung, etwa durch Trojaner.


Abgerufen von „https://wiki.foxtom.de/index.php?title=Informationssicherheit&oldid=73239