Grundwerte der Informationssicherheit
topic - Kurzbeschreibung
Beschreibung
- Motivation und Ziele der Informationssicherheit
Informationen (oder Daten) sind schützenswerte Güter.
- Der Zugriff auf diese sollte beschränkt und kontrolliert sein
- Nur autorisierte Benutzer oder Programme dürfen auf die Information zugreifen.
Schutzziele werden zum Erreichen bzw. Einhalten der Informationssicherheit und damit zum Schutz der Daten vor beabsichtigten Angriffen von IT-Systemen definiert.
Allgemeine Schutzziele
- Auch als CIA bekannt
- Nach ihren englischen Abkürzungen
| Schutzziel |
Englisch |
Beschreibung
|
| Vertraulichkeit |
Confidentiality |
Daten dürfen lediglich von autorisierten Benutzern gelesen werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der Datenübertragung.
|
| Integrität |
Integrity |
Daten dürfen nicht unbemerkt verändert werden. Alle Änderungen müssen nachvollziehbar sein.
|
| Verfügbarkeit |
Availability |
Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet sein.
Weitere Forderungen
| Schutzziel |
Englisch |
Beschreibung
|
| Authentizität |
Authenticity |
Bezeichnet die Eigenschaften der Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit eines Objekts.
|
| Verbindlichkeit/Nichtabstreitbarkeit |
Non repudiation |
Sie erfordert, dass „kein unzulässiges Abstreiten durchgeführter Handlungen“ möglich ist. Sie ist unter anderem wichtig beim elektronischen Abschluss von Verträgen. Erreichbar ist sie beispielsweise durch elektronische Signaturen.
|
| Zurechenbarkeit |
Accountability |
„Eine durchgeführte Handlung kann einem Kommunikationspartner eindeutig zugeordnet werden.“
- in bestimmtem Kontext (zum Beispiel im Internet) auch Anonymität
|
| Authentizität |
Authenticity |
Gesicherte Datenherkunft
|
| Überwachung |
|
Zugriff zu Ressourcen
|
| Ordnungsgemäßes Funktionieren |
|
eines IT-Systems
|
| Revisions-Fähigkeit |
|
Organisation des Verfahrens, Nachvollziehbarkeit, wie und wann welche Daten in das IT-System gelangt sind
|
| Transparenz |
|
IT-Verfahren ist nachvollziehbar für Sachkundige, in zumutbarer Zeit, mit zumutbarem Aufwand. Setzt eine aktuelle und angemessene Dokumentation voraus.
|
Besonderes Schutzziel im Zuge der DSGVO
| Schutzziel |
Englisch |
Beschreibung
|
| Resilienz |
Resilience |
Widerstandsfähigkeit/Belastbarkeit gegenüber Ausspähungen, irrtümlichen oder mutwilligen Störungen oder absichtlichen Schädigungen (Sabotagen)
|
Risikoanalyse und Bewertung
- Jedes noch so gut geplante und umgesetzte IT-System kann Schwachstellen besitzen.
- Sind bestimmte Angriffe zum Umgehen der vorhandenen Sicherheitsvorkehrungen möglich, ist das System verwundbar.
- Nutzt ein Angreifer eine Schwachstelle oder eine Verwundbarkeit zum Eindringen in ein IT-System, sind die Vertraulichkeit, Datenintegrität und Verfügbarkeit bedroht (englisch: threat).
- Angriffe auf die Schutzziele bedeuten für Unternehmen Angriffe auf reale Unternehmenswerte, im Regelfall das Abgreifen oder Verändern von unternehmensinternen Informationen.
- Jede mögliche Bedrohung ist ein Risiko (englisch: risk) für das Unternehmen.
- Unternehmungen versuchen durch die Verwendung eines Risikomanagements (englisch: risk management) die Wahrscheinlichkeit des Eintretens eines Schadens und die daraus resultierende Schadenshöhe zu bestimmen.
Nach einer Risikoanalyse und Bewertung der unternehmensspezifischen IT-Systeme können entsprechende Schutzziele definiert werden.
- Anschließend folgt die Auswahl von IT-Sicherheitsmaßnahmen für die jeweiligen Geschäftsprozesse eines Unternehmens.
- Dieser Vorgang zählt zu den Tätigkeiten des IT-Sicherheitsmanagements.
- Eine genormte Vorgehensweise wird durch das Verwenden von IT-Standards ermöglicht.
- Im Rahmen des IT-Sicherheitsmanagements findet die Auswahl und Umsetzung entsprechender IT-Sicherheitsstandards statt.
- Zu diesem Zweck existieren im Bereich IT-Sicherheitsmanagement verschiedene Standards.
- Mit Hilfe des ISO/IEC 27001- oder des IT-Grundschutz-Standards wird mit anerkannten Regeln versucht, die Komplexität soziotechnischer Systeme für den Bereich des IT-Sicherheitsmanagements zu reduzieren und ein geeignetes Maß an Informationssicherheit zu finden.
Anhang
Siehe auch
Sicherheit
Dokumentation
RFC
Man-Pages
Info-Pages
Links
Einzelnachweise
Projekt
Weblinks
Testfragen
|