Informationssicherheit
Teil einer Serie über ⓘ |
Informationssicherheit |
---|
Verwandte Sicherheitskategorien |
|
Bedrohungen |
|
Verteidigungen |
|
Informationssicherheit, manchmal abgekürzt als InfoSec, ist die Praxis des Schutzes von Informationen durch die Minderung von Informationsrisiken. Sie ist ein Teil des Informationsrisikomanagements. In der Regel geht es darum, die Wahrscheinlichkeit eines unbefugten/unangemessenen Zugriffs auf Daten oder die unrechtmäßige Nutzung, Offenlegung, Unterbrechung, Löschung, Verfälschung, Änderung, Einsichtnahme, Aufzeichnung oder Entwertung von Informationen zu verhindern oder zu verringern. Dazu gehören auch Maßnahmen zur Verringerung der nachteiligen Auswirkungen solcher Vorfälle. Geschützte Informationen können jede Form annehmen, z. B. elektronisch oder physisch, materiell (z. B. Papiere) oder immateriell (z. B. Wissen). Das Hauptaugenmerk der Informationssicherheit liegt auf dem ausgewogenen Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Daten (auch als CIA-Dreiklang bekannt), wobei der Schwerpunkt auf der effizienten Umsetzung von Richtlinien liegt, ohne die Produktivität des Unternehmens zu beeinträchtigen. Dies wird größtenteils durch einen strukturierten Risikomanagementprozess erreicht, der Folgendes umfasst:
- Identifizierung von Informationen und zugehörigen Werten sowie potenziellen Bedrohungen, Schwachstellen und Auswirkungen;
- die Bewertung der Risiken
- die Entscheidung, wie mit den Risiken umzugehen ist, d. h. sie zu vermeiden, abzuschwächen, zu teilen oder zu akzeptieren
- wenn eine Risikominderung erforderlich ist, Auswahl oder Entwurf geeigneter Sicherheitskontrollen und deren Umsetzung
- die Überwachung der Aktivitäten und gegebenenfalls die Vornahme von Anpassungen, um Probleme, Veränderungen und Verbesserungsmöglichkeiten anzugehen. ⓘ
Um diese Disziplin zu standardisieren, arbeiten Akademiker und Fachleute zusammen, um Leitlinien, Richtlinien und Industriestandards zu Passwörtern, Antivirensoftware, Firewalls, Verschlüsselungssoftware, rechtlicher Haftung, Sicherheitsbewusstsein und -schulung usw. anzubieten. Diese Standardisierung kann durch eine Vielzahl von Gesetzen und Vorschriften vorangetrieben werden, die sich darauf auswirken, wie Daten abgerufen, verarbeitet, gespeichert, übertragen und vernichtet werden. Die Umsetzung von Standards und Leitlinien innerhalb einer Organisation kann jedoch nur begrenzte Wirkung haben, wenn keine Kultur der kontinuierlichen Verbesserung eingeführt wird. ⓘ
Als Informationssicherheit bezeichnet man Eigenschaften von technischen oder nicht-technischen Systemen zur Informationsverarbeitung, -speicherung und -lagerung, die die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken. ⓘ
In der Praxis orientiert sich die Informationssicherheit im Rahmen des IT-Sicherheitsmanagements unter anderem an der internationalen ISO/IEC-27000-Reihe. Im deutschsprachigen Raum ist ein Vorgehen nach IT-Grundschutz verbreitet. Im Bereich der Evaluierung und Zertifizierung von IT-Produkten und -systemen findet die Norm ISO/IEC 15408 (Common Criteria) häufig Anwendung. ⓘ
Die Normenreihe IEC 62443 befasst sich mit der Informationssicherheit von „Industrial Automation and Control Systems“ (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller. ⓘ
Definition
Im Folgenden werden verschiedene Definitionen von Informationssicherheit vorgeschlagen, die aus unterschiedlichen Quellen stammen:
- "Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Anmerkung: Darüber hinaus können auch andere Eigenschaften wie Authentizität, Verantwortlichkeit, Nichtabstreitbarkeit und Zuverlässigkeit einbezogen werden." (ISO/IEC 27000:2009)
- "Der Schutz von Informationen und Informationssystemen vor unbefugtem Zugriff, Verwendung, Offenlegung, Störung, Änderung oder Zerstörung, um Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleisten." (CNSS, 2010)
- "Stellt sicher, dass nur autorisierte Benutzer (Vertraulichkeit) bei Bedarf Zugang zu genauen und vollständigen Informationen (Integrität) haben (Verfügbarkeit)." (ISACA, 2008)
- "Informationssicherheit ist der Prozess des Schutzes des geistigen Eigentums einer Organisation." (Pipkin, 2000)
- "...Informationssicherheit ist eine Disziplin des Risikomanagements, deren Aufgabe es ist, die Kosten der Informationsrisiken für das Unternehmen zu verwalten." (McDermott und Geer, 2001)
- "Ein gut informiertes Gefühl der Sicherheit, dass Informationsrisiken und -kontrollen im Gleichgewicht sind." (Anderson, J., 2003)
- "Informationssicherheit ist der Schutz von Informationen und minimiert das Risiko, dass Informationen Unbefugten zugänglich gemacht werden." (Venter und Eloff, 2003)
- "Informationssicherheit ist ein multidisziplinäres Studien- und Berufsfeld, das sich mit der Entwicklung und Umsetzung von Sicherheitsmechanismen aller verfügbaren Arten (technisch, organisatorisch, menschlich und rechtlich) befasst, um Informationen an all ihren Orten (innerhalb und außerhalb der Unternehmensgrenzen) und folglich auch Informationssysteme, in denen Informationen erstellt, verarbeitet, gespeichert, übertragen und vernichtet werden, vor Bedrohungen zu schützen. Bedrohungen für Informationen und Informationssysteme können in Kategorien eingeteilt werden, und für jede Kategorie von Bedrohungen kann ein entsprechendes Sicherheitsziel definiert werden. Ein Satz von Sicherheitszielen, der als Ergebnis einer Bedrohungsanalyse ermittelt wurde, sollte regelmäßig überarbeitet werden, um seine Angemessenheit und Konformität mit dem sich entwickelnden Umfeld sicherzustellen. Zu den derzeit relevanten Sicherheitszielen können gehören: Vertraulichkeit, Integrität, Verfügbarkeit, Datenschutz, Authentizität und Vertrauenswürdigkeit, Nichtabstreitbarkeit, Rechenschaftspflicht und Überprüfbarkeit." (Cherdantseva und Hilton, 2013)
- Die Sicherheit von Informationen und Informationsressourcen unter Verwendung von Telekommunikationssystemen oder -geräten bedeutet den Schutz von Informationen, Informationssystemen oder Büchern vor unberechtigtem Zugriff, Beschädigung, Diebstahl oder Zerstörung (Kurose und Ross, 2010). ⓘ
Überblick
Das Kernstück der Informationssicherheit ist die Informationssicherung, d. h. die Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit (CIA) von Informationen, um sicherzustellen, dass die Informationen in keiner Weise gefährdet sind, wenn kritische Probleme auftreten. Zu diesen Problemen gehören unter anderem Naturkatastrophen, Computer-/Server-Fehlfunktionen und physischer Diebstahl. Während papiergestützte Geschäftsabläufe immer noch weit verbreitet sind und eine eigene Reihe von Informationssicherheitspraktiken erfordern, werden digitale Unternehmensinitiativen immer mehr in den Vordergrund gerückt, wobei die Informationssicherheit jetzt in der Regel von IT-Sicherheitsspezialisten übernommen wird. Diese Spezialisten wenden die Informationssicherheit auf die Technologie an (meistens auf eine Form von Computersystemen). Es sei darauf hingewiesen, dass mit einem Computer nicht unbedingt ein Heimcomputer gemeint ist. Ein Computer ist jedes Gerät mit einem Prozessor und etwas Speicher. Solche Geräte können von nicht vernetzten Einzelgeräten wie Taschenrechnern bis hin zu vernetzten mobilen Computern wie Smartphones und Tablet-Computern reichen. IT-Sicherheitsspezialisten sind aufgrund der Art und des Wertes der Daten in größeren Unternehmen fast immer in allen größeren Unternehmen/Einrichtungen zu finden. Sie sind dafür verantwortlich, die gesamte Technologie des Unternehmens vor böswilligen Cyberangriffen zu schützen, mit denen häufig versucht wird, an wichtige private Informationen zu gelangen oder die Kontrolle über die internen Systeme zu erlangen. ⓘ
Der Bereich der Informationssicherheit hat sich in den letzten Jahren stark weiterentwickelt. Es bietet viele Spezialisierungsmöglichkeiten, darunter die Sicherung von Netzwerken und verwandten Infrastrukturen, die Sicherung von Anwendungen und Datenbanken, Sicherheitstests, die Prüfung von Informationssystemen, die Planung der Geschäftskontinuität, die Aufdeckung elektronischer Daten und die digitale Forensik. Die Beschäftigung von Fachleuten für Informationssicherheit ist sehr stabil. Im Jahr 2013 hatten mehr als 80 Prozent der Fachleute innerhalb eines Jahres keinen Wechsel des Arbeitgebers oder der Beschäftigung zu verzeichnen, und es wird prognostiziert, dass die Zahl der Fachleute von 2014 bis 2019 jährlich um mehr als 11 Prozent steigen wird. ⓘ
Bedrohungen
Bedrohungen der Informationssicherheit treten in vielen verschiedenen Formen auf. Zu den häufigsten Bedrohungen gehören heute Softwareangriffe, Diebstahl von geistigem Eigentum, Identitätsdiebstahl, Diebstahl von Geräten oder Informationen, Sabotage und Informationserpressung. Die meisten Menschen haben schon einmal mit Software-Angriffen zu tun gehabt. Viren, Würmer, Phishing-Angriffe und Trojanische Pferde sind einige gängige Beispiele für Software-Angriffe. Auch der Diebstahl von geistigem Eigentum ist für viele Unternehmen im Bereich der Informationstechnologie (IT) ein großes Problem. Identitätsdiebstahl ist der Versuch, sich als eine andere Person auszugeben, um an deren persönliche Daten zu gelangen oder deren Zugang zu wichtigen Informationen durch Social Engineering auszunutzen. Der Diebstahl von Geräten oder Informationen wird heutzutage immer häufiger, da die meisten Geräte heutzutage mobil sind, anfällig für Diebstahl sind und mit zunehmender Datenkapazität auch viel begehrter geworden sind. Sabotage besteht in der Regel in der Zerstörung der Website eines Unternehmens, um das Vertrauen der Kunden zu erschüttern. Bei der Erpressung von Informationen wird versucht, das Eigentum oder die Informationen eines Unternehmens zu stehlen, um im Gegenzug eine Zahlung für die Rückgabe der Informationen oder des Eigentums an den Eigentümer zu erhalten, wie bei Ransomware. Es gibt viele Möglichkeiten, sich vor einigen dieser Angriffe zu schützen, aber eine der funktionellsten Vorsichtsmaßnahmen ist die regelmäßige Sensibilisierung der Benutzer. Die größte Bedrohung für jede Organisation sind Benutzer oder interne Mitarbeiter, die auch als Insider-Bedrohungen bezeichnet werden. ⓘ
Regierungen, Militärs, Unternehmen, Finanzinstitute, Krankenhäuser, gemeinnützige Organisationen und Privatunternehmen sammeln eine Vielzahl vertraulicher Informationen über ihre Mitarbeiter, Kunden, Produkte, Forschungsergebnisse und ihren Finanzstatus. Sollten vertrauliche Informationen über die Kunden, die Finanzen oder eine neue Produktlinie eines Unternehmens in die Hände eines Konkurrenten oder eines Black-Hat-Hackers gelangen, könnten ein Unternehmen und seine Kunden einen weitreichenden, nicht wieder gutzumachenden finanziellen Schaden erleiden und auch der Ruf des Unternehmens könnte Schaden nehmen. Aus geschäftlicher Sicht muss die Informationssicherheit gegen die Kosten abgewogen werden; das Gordon-Loeb-Modell bietet einen mathematisch-ökonomischen Ansatz, um diesem Problem zu begegnen. ⓘ
Für den Einzelnen hat die Informationssicherheit erhebliche Auswirkungen auf die Privatsphäre, die in verschiedenen Kulturen sehr unterschiedlich betrachtet wird. ⓘ
Reaktionen auf Bedrohungen
Mögliche Reaktionen auf eine Sicherheitsbedrohung oder ein Risiko sind:
- reduzieren/vermindern - Schutzmaßnahmen und Gegenmaßnahmen einführen, um Schwachstellen zu beseitigen oder Bedrohungen abzuwehren
- abtreten/übertragen - die Kosten der Bedrohung auf eine andere Einheit oder Organisation übertragen, z. B. durch Abschluss einer Versicherung oder Outsourcing
- Akzeptieren - abwägen, ob die Kosten der Gegenmaßnahme die möglichen Kosten des Verlustes durch die Bedrohung überwiegen ⓘ
Geschichte
Seit den Anfängen der Kommunikation haben Diplomaten und militärische Befehlshaber erkannt, dass ein Mechanismus zum Schutz der Vertraulichkeit der Korrespondenz und ein Mittel zur Aufdeckung von Manipulationen notwendig ist. Julius Caesar wird die Erfindung der Caesar-Chiffre um 50 v. Chr. zugeschrieben, die verhindern sollte, dass seine geheimen Botschaften gelesen werden, falls eine Nachricht in die falschen Hände geriet. In den meisten Fällen wurde der Schutz jedoch durch die Anwendung von Verfahrenskontrollen erreicht. Sensible Informationen wurden gekennzeichnet, um anzuzeigen, dass sie geschützt und von vertrauenswürdigen Personen transportiert, bewacht und in einer sicheren Umgebung oder einem Tresor aufbewahrt werden sollten. Mit der Ausweitung der Postdienste schufen die Regierungen offizielle Organisationen, um Briefe abzufangen, zu entziffern, zu lesen und wieder zu verschließen (z. B. das 1653 gegründete britische Secret Office). ⓘ
Jahrhunderts wurden komplexere Klassifizierungssysteme entwickelt, die es den Regierungen ermöglichten, ihre Informationen nach dem Grad ihrer Sensibilität zu verwalten. Die britische Regierung beispielsweise kodifizierte dies bis zu einem gewissen Grad mit der Veröffentlichung des Official Secrets Act im Jahr 1889. Abschnitt 1 des Gesetzes betraf die Spionage und die unrechtmäßige Weitergabe von Informationen, während sich Abschnitt 2 mit der Verletzung des offiziellen Vertrauens befasste. Bald wurde eine Verteidigung des öffentlichen Interesses hinzugefügt, um die Offenlegung von Informationen im Interesse des Staates zu schützen. Ein ähnliches Gesetz wurde 1889 in Indien verabschiedet, der Indian Official Secrets Act, der mit der britischen Kolonialzeit in Verbindung gebracht wurde und dazu diente, gegen Zeitungen vorzugehen, die sich der Politik des Raj widersetzten. Eine neuere Version wurde 1923 verabschiedet, die sich auf alle Angelegenheiten mit vertraulichen oder geheimen Informationen für die Regierung erstreckte. Zur Zeit des Ersten Weltkriegs wurden mehrstufige Klassifizierungssysteme für die Übermittlung von Informationen zwischen den verschiedenen Fronten verwendet, was zu einem verstärkten Einsatz von Abteilungen für die Erstellung und das Brechen von Codes in diplomatischen und militärischen Hauptquartieren führte. In der Zwischenkriegszeit wurde die Verschlüsselung immer ausgefeilter, da Maschinen eingesetzt wurden, um Informationen zu verschlüsseln und zu entschlüsseln. ⓘ
Mit der Einführung der Computersicherheit wurde die Geschichte der Informationssicherheit eingeleitet. Die Notwendigkeit dafür entstand während des Zweiten Weltkriegs. Die Menge an Informationen, die die alliierten Länder während des Zweiten Weltkriegs austauschten, erforderte eine formale Anpassung der Klassifizierungssysteme und Verfahrenskontrollen. Es entwickelte sich eine Reihe von geheimnisvollen Kennzeichnungen, die anzeigten, wer mit den Dokumenten umgehen durfte (in der Regel Offiziere und nicht Soldaten) und wo sie aufbewahrt werden sollten, während immer komplexere Tresore und Lagereinrichtungen entwickelt wurden. Die Enigma-Maschine, die von den Deutschen zur Verschlüsselung von Kriegsdaten eingesetzt und von Alan Turing erfolgreich entschlüsselt wurde, kann als eindrucksvolles Beispiel für die Erstellung und Nutzung gesicherter Informationen angesehen werden. Es wurden Verfahren entwickelt, um sicherzustellen, dass Dokumente ordnungsgemäß vernichtet wurden, und es war die Nichtbeachtung dieser Verfahren, die zu einigen der größten nachrichtendienstlichen Coups des Krieges führte (z. B. die Gefangennahme von U-570). ⓘ
Während des Kalten Krieges wurden verschiedene Großrechner online miteinander verbunden, um anspruchsvollere Aufgaben zu erledigen, und zwar in einem Kommunikationsprozess, der einfacher war als das Hin- und Herschicken von Magnetbändern durch Rechenzentren. Daher begann die Advanced Research Projects Agency (ARPA) des US-Verteidigungsministeriums mit der Erforschung der Machbarkeit eines vernetzten Kommunikationssystems für den Informationsaustausch innerhalb der US-Streitkräfte. Im Jahr 1968 wurde das ARPANET-Projekt von Dr. Larry Roberts ins Leben gerufen, aus dem sich später das Internet entwickeln sollte. ⓘ
1973 stellte der Internet-Pionier Robert Metcalfe fest, dass wichtige Elemente des ARPANET Sicherheitsmängel aufwiesen, wie z. B.: "Anfälligkeit der Passwortstruktur und -formate, fehlende Sicherheitsverfahren für Einwahlverbindungen und nicht vorhandene Benutzeridentifizierung und -autorisierung", abgesehen von den fehlenden Kontrollen und Sicherheitsvorkehrungen zum Schutz der Daten vor unberechtigtem Zugriff. Hacker hatten mühelos Zugang zum ARPANET, da die Telefonnummern in der Öffentlichkeit bekannt waren. Aufgrund dieser Probleme und der ständigen Verletzung der Computersicherheit sowie der exponentiellen Zunahme der Zahl der Hosts und Benutzer des Systems wurde die "Netzsicherheit" oft als "Netzunsicherheit" bezeichnet. ⓘ
Jahrhunderts und in den ersten Jahren des einundzwanzigsten Jahrhunderts kam es zu raschen Fortschritten in den Bereichen Telekommunikation, Computerhardware und -software sowie Datenverschlüsselung. Durch die Verfügbarkeit kleinerer, leistungsfähigerer und preiswerterer Computergeräte wurde die elektronische Datenverarbeitung auch für kleine Unternehmen und Privatanwender zugänglich. Die Einführung des Transfer Control Protocol/Internetwork Protocol (TCP/IP) in den frühen 1980er Jahren ermöglichte die Kommunikation zwischen verschiedenen Computertypen. Diese Computer wurden schnell über das Internet miteinander verbunden. ⓘ
Das rasche Wachstum und die weite Verbreitung der elektronischen Datenverarbeitung und des elektronischen Geschäftsverkehrs über das Internet sowie zahlreiche Fälle von internationalem Terrorismus führten dazu, dass bessere Methoden zum Schutz der Computer und der von ihnen gespeicherten, verarbeiteten und übertragenen Informationen erforderlich wurden. Es entstanden die akademischen Disziplinen der Computersicherheit und der Informationssicherung sowie zahlreiche Berufsverbände, die alle das gemeinsame Ziel verfolgen, die Sicherheit und Zuverlässigkeit von Informationssystemen zu gewährleisten. ⓘ
Grundlegende Prinzipien
Wichtige Konzepte
Der CIA-Dreiklang aus Vertraulichkeit, Integrität und Verfügbarkeit ist das Herzstück der Informationssicherheit. (Die Mitglieder des klassischen InfoSec-Dreiklangs - Vertraulichkeit, Integrität und Verfügbarkeit - werden in der Literatur austauschbar als Sicherheitsattribute, Eigenschaften, Sicherheitsziele, grundlegende Aspekte, Informationskriterien, kritische Informationsmerkmale und Grundbausteine bezeichnet). Es wird jedoch weiterhin darüber diskutiert, ob diese CIA-Trias ausreicht, um den sich schnell ändernden technologischen und geschäftlichen Anforderungen gerecht zu werden, wobei empfohlen wird, die Überschneidungen zwischen Verfügbarkeit und Vertraulichkeit sowie die Beziehung zwischen Sicherheit und Datenschutz zu erweitern. Gelegentlich wurden weitere Grundsätze wie "Rechenschaftspflicht" vorgeschlagen; es wurde darauf hingewiesen, dass Themen wie die Nichtabstreitbarkeit nicht gut in die drei Kernkonzepte passen. ⓘ
Der Dreiklang scheint erstmals 1977 in einer NIST-Veröffentlichung erwähnt worden zu sein. ⓘ
In den 1992 veröffentlichten und 2002 überarbeiteten OECD-Leitlinien für die Sicherheit von Informationssystemen und -netzen wurden neun allgemein anerkannte Grundsätze vorgeschlagen: Bewusstsein, Verantwortung, Reaktion, Ethik, Demokratie, Risikobewertung, Sicherheitsentwurf und -implementierung, Sicherheitsmanagement und Neubewertung. Darauf aufbauend wurden 2004 in den Engineering Principles for Information Technology Security des NIST 33 Grundsätze vorgeschlagen. Aus jedem dieser Grundsätze wurden Richtlinien und Praktiken abgeleitet. ⓘ
1998 schlug Donn Parker ein alternatives Modell für den klassischen CIA-Dreiklang vor, das er als die sechs atomaren Elemente der Information bezeichnete. Die Elemente sind Vertraulichkeit, Besitz, Integrität, Authentizität, Verfügbarkeit und Nutzen. Die Vorzüge der Parkerschen Hexade sind unter Sicherheitsexperten umstritten. ⓘ
Im Jahr 2011 veröffentlichte die Open Group den Standard O-ISM3 für das Informationssicherheitsmanagement. Dieser Standard schlägt eine operationelle Definition der Schlüsselkonzepte der Sicherheit vor, mit Elementen, die als "Sicherheitsziele" bezeichnet werden und sich auf die Zugriffskontrolle (9), die Verfügbarkeit (3), die Datenqualität (1), die Konformität und die Technik (4) beziehen. 2009 veröffentlichte die DoD Software Protection Initiative Archived 2016-09-25 at the Wayback Machine die Three Tenets of Cybersecurity Archived 2020-05-10 at the Wayback Machine, die die Anfälligkeit des Systems, den Zugang zum Fehler und die Fähigkeit zur Ausnutzung des Fehlers betreffen. Keines dieser Modelle ist weit verbreitet. ⓘ
Datenschutz
Beim Datenschutz geht es nicht um den Schutz von allgemeinen Daten vor Schäden, sondern um den Schutz personenbezogener Daten vor Missbrauch („Datenschutz ist Personenschutz“). Der Schutz personenbezogener Daten stützt sich auf das Prinzip der informationellen Selbstbestimmung. Diese wurde im BVerfG-Urteil zur Volkszählung festgeschrieben. Geschützt werden muss dabei die Privatsphäre, d. h. Persönlichkeitsdaten bzw. Anonymität müssen gewahrt bleiben. Datenschutz verlangt über die Datensicherheit hinaus den Ausschluss des Zugangs zu Daten mit unberechtigtem Lesen durch unbefugte Dritte. Das deutsche Bundesdatenschutzgesetz (BDSG) beschreibt in § 1 ausschließlich Anforderungen für den Umgang mit personenbezogenen Daten. Die DSGVO und das BDSG definieren den Unterschied der Begriffe Datenschutz und Datensicherheit nicht. Nur wenn geeignete Schutzmaßnahmen getroffen werden, kann man davon ausgehen, dass vertrauliche bzw. personenbezogene Daten nicht in die Hände von Unbefugten gelangen. Hierbei spricht man in der Regel von technischen und organisatorischen Maßnahmen zum Datenschutz, die insbesondere in Art. 32 DSGVO, dem BDSG und in den Landesdatenschutzgesetzen beschrieben sind. ⓘ
In der Informationssicherheit ist Vertraulichkeit "die Eigenschaft, dass Informationen nicht für unbefugte Personen, Einrichtungen oder Prozesse zugänglich gemacht oder offengelegt werden. "Obwohl sie dem Begriff "Datenschutz" ähnlich ist, sind die beiden Wörter nicht austauschbar. Vielmehr ist die Vertraulichkeit eine Komponente des Datenschutzes, die dazu dient, unsere Daten vor unbefugten Einblicken zu schützen. Beispiele für die Gefährdung der Vertraulichkeit elektronischer Daten sind der Diebstahl von Laptops, der Diebstahl von Passwörtern oder der Versand sensibler E-Mails an die falschen Personen. ⓘ
Integrität
In der IT-Sicherheit bedeutet Datenintegrität, dass die Richtigkeit und Vollständigkeit von Daten über ihren gesamten Lebenszyklus hinweg gewahrt und sichergestellt wird. Dies bedeutet, dass die Daten nicht auf unbefugte oder unentdeckte Weise verändert werden können. Dies ist nicht dasselbe wie die referentielle Integrität in Datenbanken, obwohl sie als ein Spezialfall der Konsistenz im Sinne des klassischen ACID-Modells der Transaktionsverarbeitung angesehen werden kann. Informationssicherheitssysteme enthalten in der Regel Kontrollen zur Gewährleistung ihrer eigenen Integrität, insbesondere zum Schutz des Kerns oder der Kernfunktionen gegen absichtliche und zufällige Bedrohungen. Mehrzweck- und Mehrbenutzer-Computersysteme zielen darauf ab, die Daten und die Verarbeitung so aufzuteilen, dass kein Benutzer oder Prozess einen anderen nachteilig beeinflussen kann: Die Kontrollen können jedoch nicht erfolgreich sein, wie wir bei Vorfällen wie Malware-Infektionen, Hacks, Datendiebstahl, Betrug und Verletzungen der Privatsphäre sehen. ⓘ
Im weiteren Sinne ist Integrität ein Grundsatz der Informationssicherheit, der sowohl die menschliche/soziale, verfahrenstechnische und wirtschaftliche Integrität als auch die Datenintegrität umfasst. Als solches berührt sie Aspekte wie Glaubwürdigkeit, Konsistenz, Wahrhaftigkeit, Vollständigkeit, Genauigkeit, Aktualität und Sicherheit. ⓘ
Verfügbarkeit
Damit ein Informationssystem seinen Zweck erfüllen kann, müssen die Informationen verfügbar sein, wenn sie benötigt werden. Das bedeutet, dass die Computersysteme, die zur Speicherung und Verarbeitung der Informationen verwendet werden, die Sicherheitskontrollen, die zum Schutz der Informationen eingesetzt werden, und die Kommunikationskanäle, über die auf die Informationen zugegriffen wird, korrekt funktionieren müssen. Hochverfügbarkeitssysteme zielen darauf ab, jederzeit verfügbar zu sein und Dienstunterbrechungen aufgrund von Stromausfällen, Hardwarefehlern und System-Upgrades zu verhindern. Zur Sicherstellung der Verfügbarkeit gehört auch die Verhinderung von Denial-of-Service-Angriffen, wie z. B. eine Flut von eingehenden Nachrichten, die das Zielsystem im Wesentlichen zum Abschalten zwingen. ⓘ
Im Bereich der Informationssicherheit kann die Verfügbarkeit oft als einer der wichtigsten Bestandteile eines erfolgreichen Informationssicherheitsprogramms angesehen werden. Letztlich müssen die Endbenutzer in der Lage sein, ihre Aufgaben zu erfüllen. Durch die Sicherstellung der Verfügbarkeit ist ein Unternehmen in der Lage, die von den Interessengruppen des Unternehmens erwarteten Standards zu erfüllen. Dies kann Themen wie Proxy-Konfigurationen, Web-Zugang von außen, Zugriff auf freigegebene Laufwerke und das Versenden von E-Mails betreffen. Führungskräfte haben oft kein Verständnis für die technische Seite der Informationssicherheit und sehen die Verfügbarkeit als einfache Lösung an, aber dies erfordert oft die Zusammenarbeit vieler verschiedener Organisationsteams, wie z. B. Netzwerkbetrieb, Entwicklungsbetrieb, Reaktion auf Zwischenfälle und Richtlinien-/Änderungsmanagement. Zu einem erfolgreichen Informationssicherheitsteam gehören viele verschiedene Schlüsselrollen, die ineinandergreifen und aufeinander abgestimmt sein müssen, damit die CIA-Dreiergruppe effektiv bereitgestellt werden kann. ⓘ
Unleugbarkeit
In der Rechtswissenschaft bedeutet Nichtabstreitbarkeit, dass jemand die Absicht hat, seine vertraglichen Verpflichtungen zu erfüllen. Es bedeutet auch, dass eine Partei einer Transaktion nicht bestreiten kann, eine Transaktion erhalten zu haben, noch kann die andere Partei bestreiten, eine Transaktion gesendet zu haben. ⓘ
Es ist wichtig, darauf hinzuweisen, dass Technologie wie kryptografische Systeme zwar bei den Bemühungen um Nichtabstreitbarkeit helfen können, das Konzept aber im Kern ein Rechtskonzept ist, das über den Bereich der Technologie hinausgeht. So reicht es beispielsweise nicht aus, nachzuweisen, dass die Nachricht mit einer digitalen Signatur übereinstimmt, die mit dem privaten Schlüssel des Absenders unterzeichnet wurde, so dass nur der Absender die Nachricht abgeschickt haben kann und niemand sonst sie während der Übermittlung verändert haben kann (Datenintegrität). Der vermeintliche Absender könnte im Gegenzug nachweisen, dass der Algorithmus der digitalen Signatur anfällig oder fehlerhaft ist, oder behaupten oder beweisen, dass sein Signaturschlüssel kompromittiert wurde. Die Schuld für diese Verstöße kann beim Absender liegen oder auch nicht, und solche Behauptungen können den Absender von der Haftung befreien oder auch nicht, aber die Behauptung würde die Behauptung entkräften, dass die Signatur notwendigerweise Authentizität und Integrität beweist. Als solcher kann der Absender die Nachricht zurückweisen (denn Authentizität und Integrität sind Voraussetzungen für die Nichtabstreitbarkeit). ⓘ
Risikomanagement
Allgemein ausgedrückt ist ein Risiko die Wahrscheinlichkeit, dass etwas Schlimmes passiert, das einen Informationswert schädigt (oder den Verlust des Wertes verursacht). Eine Schwachstelle ist eine Schwäche, die ausgenutzt werden könnte, um ein Informationsgut zu gefährden oder zu schädigen. Eine Bedrohung ist alles (vom Menschen verursachte oder natürliche), was einen Schaden verursachen kann. Die Wahrscheinlichkeit, dass eine Bedrohung eine Schwachstelle ausnutzt, um Schaden zu verursachen, stellt ein Risiko dar. Wenn eine Bedrohung eine Schwachstelle ausnutzt, um Schaden anzurichten, hat dies eine Auswirkung. Im Zusammenhang mit der Informationssicherheit ist die Auswirkung ein Verlust an Verfügbarkeit, Integrität und Vertraulichkeit sowie möglicherweise andere Verluste (Einkommensverluste, Verlust von Menschenleben, Verlust von Immobilien). ⓘ
Das Certified Information Systems Auditor (CISA) Review Manual 2006 definiert Risikomanagement als "den Prozess der Identifizierung von Schwachstellen und Bedrohungen für die Informationsressourcen, die von einer Organisation zur Erreichung von Geschäftszielen genutzt werden, und die Entscheidung darüber, welche Gegenmaßnahmen gegebenenfalls zu ergreifen sind, um das Risiko auf ein akzeptables Niveau zu reduzieren, basierend auf dem Wert der Informationsressource für die Organisation." ⓘ
Diese Definition enthält zwei Punkte, die einer Klarstellung bedürfen. Erstens ist der Prozess des Risikomanagements ein fortlaufender, iterativer Prozess. Er muss unendlich oft wiederholt werden. Das Geschäftsumfeld verändert sich ständig, und jeden Tag tauchen neue Bedrohungen und Schwachstellen auf. Zweitens muss bei der Wahl der Gegenmaßnahmen (Kontrollen), die zur Bewältigung von Risiken eingesetzt werden, ein Gleichgewicht zwischen Produktivität, Kosten, Wirksamkeit der Gegenmaßnahme und dem Wert des zu schützenden Informationsgutes gefunden werden. Darüber hinaus sind diesen Verfahren Grenzen gesetzt, da Sicherheitsverletzungen in der Regel selten sind und in einem spezifischen Kontext auftreten, der nicht ohne weiteres dupliziert werden kann. Daher sollte jedes Verfahren und jede Gegenmaßnahme selbst auf Schwachstellen untersucht werden. Es ist weder möglich, alle Risiken zu identifizieren, noch ist es möglich, alle Risiken zu eliminieren. Das verbleibende Risiko wird als "Restrisiko" bezeichnet. ⓘ
Eine Risikobewertung wird von einem Team von Personen durchgeführt, die über Kenntnisse in bestimmten Bereichen des Unternehmens verfügen. Die Zusammensetzung des Teams kann sich im Laufe der Zeit ändern, da verschiedene Bereiche des Unternehmens bewertet werden. Die Bewertung kann auf einer subjektiven qualitativen Analyse beruhen, die sich auf fundierte Meinungen stützt, oder, wenn verlässliche Dollar-Zahlen und historische Informationen verfügbar sind, auf einer quantitativen Analyse. ⓘ
Die Forschung hat gezeigt, dass die größte Schwachstelle in den meisten Informationssystemen der menschliche Benutzer, Bediener, Entwickler oder andere Personen sind. Der ISO/IEC 27002:2005 Code of practice for information security management empfiehlt, bei einer Risikobewertung Folgendes zu untersuchen:
- Sicherheitspolitik,
- Organisation der Informationssicherheit,
- Vermögensverwaltung,
- Sicherheit der Humanressourcen,
- physische und umgebungsbezogene Sicherheit,
- Kommunikations- und Betriebsmanagement,
- Zugangskontrolle,
- Erwerb, Entwicklung und Wartung von Informationssystemen,
- Management von Informationssicherheitsvorfällen,
- Management der Geschäftskontinuität
- Einhaltung von Vorschriften. ⓘ
Im Großen und Ganzen besteht der Risikomanagementprozess aus:
- Identifizierung der Vermögenswerte und Schätzung ihres Wertes. Dazu gehören: Menschen, Gebäude, Hardware, Software, Daten (elektronisch, gedruckt, andere), Zubehör.
- Durchführen einer Bedrohungsbewertung. Dazu gehören: Naturereignisse, Kriegshandlungen, Unfälle, böswillige Handlungen innerhalb oder außerhalb der Organisation.
- Durchführung einer Schwachstellenanalyse, wobei für jede Schwachstelle die Wahrscheinlichkeit berechnet wird, dass sie ausgenutzt wird. Bewertung von Richtlinien, Verfahren, Standards, Schulungen, physischer Sicherheit, Qualitätskontrolle und technischer Sicherheit.
- Berechnen Sie die Auswirkungen, die jede Bedrohung auf jeden einzelnen Vermögenswert haben würde. Verwenden Sie eine qualitative oder quantitative Analyse.
- Identifizieren, wählen und implementieren Sie geeignete Kontrollen. Geben Sie eine verhältnismäßige Antwort. Berücksichtigen Sie Produktivität, Kosteneffizienz und den Wert des Gutes.
- Bewerten Sie die Wirksamkeit der Kontrollmaßnahmen. Sicherstellen, dass die Kontrollen den erforderlichen kosteneffektiven Schutz ohne erkennbare Produktivitätseinbußen bieten. ⓘ
Bei jedem gegebenen Risiko kann die Unternehmensleitung entscheiden, das Risiko aufgrund des relativ geringen Wertes des Vermögenswertes, der relativ geringen Häufigkeit des Auftretens und der relativ geringen Auswirkungen auf das Unternehmen zu akzeptieren. Oder die Unternehmensleitung kann sich dafür entscheiden, das Risiko zu mindern, indem sie geeignete Kontrollmaßnahmen auswählt und umsetzt, um das Risiko zu verringern. In einigen Fällen kann das Risiko auf ein anderes Unternehmen übertragen werden, indem man eine Versicherung abschließt oder es an ein anderes Unternehmen auslagert. Die Realität mancher Risiken kann umstritten sein. In solchen Fällen kann sich die Unternehmensleitung dafür entscheiden, das Risiko zu leugnen. ⓘ
Sicherheitskontrollen
Die Auswahl und Umsetzung geeigneter Sicherheitskontrollen wird einer Organisation zunächst helfen, das Risiko auf ein akzeptables Niveau zu senken. Die Auswahl der Kontrollen sollte auf der Grundlage der Risikobewertung erfolgen. Kontrollen können unterschiedlicher Natur sein, aber im Grunde sind sie Mittel zum Schutz der Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen. ISO/IEC 27001 hat Kontrollen in verschiedenen Bereichen definiert. Organisationen können zusätzliche Kontrollen je nach den Anforderungen der Organisation implementieren. ISO/IEC 27002 bietet einen Leitfaden für organisatorische Informationssicherheitsstandards. ⓘ
Administrative Kontrollen
Administrative Kontrollen (auch Verfahrenskontrollen genannt) bestehen aus genehmigten schriftlichen Richtlinien, Verfahren, Standards und Leitlinien. Administrative Kontrollen bilden den Rahmen für die Führung des Unternehmens und die Verwaltung der Mitarbeiter. Sie informieren die Mitarbeiter darüber, wie das Unternehmen zu führen ist und wie das Tagesgeschäft abzulaufen hat. Gesetze und Vorschriften, die von staatlichen Stellen erlassen werden, gehören ebenfalls zu den Verwaltungskontrollen, da sie die Unternehmen informieren. In einigen Branchen gibt es Richtlinien, Verfahren, Standards und Leitlinien, die befolgt werden müssen - der von Visa und MasterCard vorgeschriebene Payment Card Industry Data Security Standard (PCI DSS) ist ein solches Beispiel. Andere Beispiele für Verwaltungskontrollen sind die Sicherheitsrichtlinien des Unternehmens, Passwortrichtlinien, Einstellungsrichtlinien und Disziplinarrichtlinien. ⓘ
Administrative Kontrollen bilden die Grundlage für die Auswahl und Implementierung logischer und physischer Kontrollen. Logische und physische Kontrollen sind Ausprägungen der Verwaltungskontrollen, die von überragender Bedeutung sind. ⓘ
Logische Kontrollen
Logische Kontrollen (auch technische Kontrollen genannt) verwenden Software und Daten zur Überwachung und Kontrolle des Zugangs zu Informationen und Computersystemen. Passwörter, netz- und hostbasierte Firewalls, Systeme zur Erkennung von Eindringlingen in das Netz, Zugangskontrolllisten und Datenverschlüsselung sind Beispiele für logische Kontrollen. ⓘ
Eine wichtige logische Kontrolle, die häufig übersehen wird, ist das Prinzip der geringsten Rechte, das besagt, dass einer Person, einem Programm oder einem Systemprozess nicht mehr Zugriffsrechte gewährt werden dürfen, als für die Ausführung der Aufgabe erforderlich sind. Ein eklatantes Beispiel für die Nichteinhaltung des Prinzips der geringsten Berechtigung ist die Anmeldung bei Windows als Benutzer Administrator, um E-Mails zu lesen und im Internet zu surfen. Verstöße gegen dieses Prinzip können auch auftreten, wenn eine Person im Laufe der Zeit zusätzliche Zugriffsrechte erwirbt. Dies geschieht, wenn sich die Aufgaben eines Mitarbeiters ändern, er in eine neue Position befördert wird oder er in eine andere Abteilung versetzt wird. Die für die neuen Aufgaben erforderlichen Zugriffsrechte werden häufig zu den bereits bestehenden Zugriffsrechten hinzugefügt, die möglicherweise nicht mehr notwendig oder angemessen sind. ⓘ
Physikalische
Physische Kontrollen überwachen und kontrollieren die Umgebung des Arbeitsplatzes und der EDV-Einrichtungen. Dazu gehören Türen, Schlösser, Heizungs- und Klimaanlagen, Rauch- und Feuermelder, Brandbekämpfungssysteme, Kameras, Absperrungen, Zäune, Sicherheitspersonal, Kabelschlösser usw. Die Aufteilung des Netzes und des Arbeitsplatzes in funktionale Bereiche gehört ebenfalls zu den physischen Kontrollen. ⓘ
Eine wichtige physische Kontrolle, die häufig übersehen wird, ist die Aufgabentrennung, die sicherstellt, dass eine Person eine kritische Aufgabe nicht allein erledigen kann. So sollte beispielsweise ein Mitarbeiter, der einen Erstattungsantrag stellt, nicht auch in der Lage sein, die Zahlung zu genehmigen oder den Scheck zu drucken. Ein Anwendungsprogrammierer sollte nicht gleichzeitig der Server- oder Datenbankadministrator sein; diese Rollen und Verantwortlichkeiten müssen voneinander getrennt werden. ⓘ
Verteidigung in der Tiefe
Die Informationssicherheit muss Informationen während ihrer gesamten Lebensdauer schützen, von der Erstellung der Informationen bis zu ihrer endgültigen Vernichtung. Die Informationen müssen geschützt werden, während sie in Bewegung sind und während sie ruhen. Während ihrer Lebensdauer können Informationen viele verschiedene Informationsverarbeitungssysteme und viele verschiedene Teile von Informationsverarbeitungssystemen durchlaufen. Es gibt viele verschiedene Möglichkeiten, wie die Informationen und Informationssysteme bedroht werden können. Um die Informationen während ihrer Lebensdauer vollständig zu schützen, muss jede Komponente des Informationsverarbeitungssystems ihre eigenen Schutzmechanismen haben. Der Aufbau, die Schichtung und die Überlappung von Sicherheitsmaßnahmen wird als "Verteidigung in der Tiefe" bezeichnet. Im Gegensatz zu einer Metallkette, die bekanntlich nur so stark ist wie ihr schwächstes Glied, zielt die Strategie der "Verteidigung in der Tiefe" auf eine Struktur ab, bei der im Falle des Versagens einer Verteidigungsmaßnahme andere Maßnahmen weiterhin Schutz bieten. ⓘ
Erinnern Sie sich an die frühere Diskussion über administrative Kontrollen, logische Kontrollen und physische Kontrollen. Diese drei Arten von Kontrollen können als Grundlage für die Entwicklung einer Strategie der Tiefenverteidigung verwendet werden. Mit diesem Ansatz lässt sich die "Defense in Depth"-Strategie als drei verschiedene, übereinander liegende Schichten oder Ebenen konzipieren. Weitere Einblicke in die Defense-in-Depth-Strategie lassen sich gewinnen, wenn man sie sich wie die Schichten einer Zwiebel vorstellt, wobei die Daten den Kern der Zwiebel bilden, die Menschen die nächste äußere Schicht der Zwiebel, und die Netzwerksicherheit, die Host-basierte Sicherheit und die Anwendungssicherheit die äußersten Schichten der Zwiebel bilden. Beide Perspektiven sind gleichermaßen gültig und bieten wertvolle Einblicke in die Umsetzung einer guten Defense-in-Depth-Strategie. ⓘ
Klassifizierung
Ein wichtiger Aspekt der Informationssicherheit und des Risikomanagements ist das Erkennen des Wertes von Informationen und die Festlegung geeigneter Verfahren und Schutzanforderungen für die Informationen. Nicht alle Informationen sind gleichwertig, und nicht alle Informationen erfordern den gleichen Grad an Schutz. Dies erfordert, dass die Informationen einer Sicherheitsklassifizierung unterzogen werden. Der erste Schritt bei der Klassifizierung von Informationen besteht darin, ein Mitglied der Geschäftsleitung als Eigentümer der zu klassifizierenden Informationen zu bestimmen. Als Nächstes ist eine Klassifizierungsrichtlinie zu entwickeln. Die Richtlinie sollte die verschiedenen Klassifizierungskennzeichnungen beschreiben, die Kriterien für die Zuweisung einer bestimmten Kennzeichnung festlegen und die erforderlichen Sicherheitskontrollen für jede Klassifizierung auflisten. ⓘ
Zu den Faktoren, die Einfluss darauf haben, welche Klassifizierung einer Information zugewiesen werden sollte, gehören der Wert dieser Information für das Unternehmen, das Alter der Information und die Frage, ob die Information veraltet ist oder nicht. Auch Gesetze und andere Vorschriften spielen bei der Klassifizierung von Informationen eine wichtige Rolle. Die Information Systems Audit and Control Association (ISACA) und ihr Geschäftsmodell für Informationssicherheit dienen Sicherheitsfachleuten als Hilfsmittel, um die Sicherheit aus einer Systemperspektive zu betrachten und eine Umgebung zu schaffen, in der die Sicherheit ganzheitlich verwaltet werden kann, so dass die tatsächlichen Risiken angegangen werden können. ⓘ
Die Art der Klassifizierungskennzeichen für die Informationssicherheit, die ausgewählt und verwendet werden, hängt von der Art der Organisation ab; Beispiele sind:
- Im geschäftlichen Bereich werden Kennzeichnungen wie: Öffentlich, Sensibel, Privat, Vertraulich.
- Im staatlichen Sektor werden Bezeichnungen wie: Unclassified, Inoffiziell, Geschützt, Vertraulich, Geheim, Streng Geheim und ihre nicht-englischen Entsprechungen.
- In sektorübergreifenden Formationen das Ampelprotokoll, das aus folgenden Elementen besteht: Weiß, Grün, Gelb und Rot. ⓘ
Alle Mitarbeiter der Organisation sowie die Geschäftspartner müssen im Hinblick auf das Klassifizierungsschema geschult werden und die erforderlichen Sicherheitskontrollen und Handhabungsverfahren für jede Klassifizierung verstehen. Die Klassifizierung eines bestimmten Informationsguts sollte regelmäßig überprüft werden, um sicherzustellen, dass die Klassifizierung für die Informationen noch angemessen ist und dass die für die Klassifizierung erforderlichen Sicherheitskontrollen vorhanden sind und in den richtigen Verfahren befolgt werden. ⓘ
Zugangskontrolle
Der Zugang zu geschützten Informationen muss auf Personen beschränkt werden, die zum Zugriff auf die Informationen berechtigt sind. Auch die Computerprogramme und in vielen Fällen die Computer, die die Informationen verarbeiten, müssen autorisiert sein. Dies setzt voraus, dass Mechanismen zur Kontrolle des Zugriffs auf geschützte Informationen vorhanden sind. Die Ausgereiftheit der Zugriffskontrollmechanismen sollte dem Wert der zu schützenden Informationen entsprechen; je sensibler oder wertvoller die Informationen sind, desto stärker müssen die Kontrollmechanismen sein. Die Grundlage, auf der die Zugangskontrollmechanismen aufgebaut sind, beginnt mit der Identifizierung und Authentifizierung. ⓘ
Die Zugangskontrolle erfolgt im Allgemeinen in drei Schritten: Identifizierung, Authentifizierung und Autorisierung. ⓘ
Identifizierung
Identifizierung ist eine Aussage darüber, wer jemand ist oder was etwas ist. Wenn eine Person sagt: "Hallo, ich heiße John Doe", dann behauptet sie damit, wer sie ist. Diese Behauptung kann jedoch wahr sein oder auch nicht. Bevor John Doe Zugang zu geschützten Informationen erhalten kann, muss überprüft werden, ob die Person, die behauptet, John Doe zu sein, wirklich John Doe ist. In der Regel erfolgt die Angabe in Form eines Benutzernamens. Durch die Eingabe dieses Benutzernamens erklären Sie, dass Sie die Person sind, zu der der Benutzername gehört". ⓘ
Authentifizierung
Authentifizierung ist der Akt der Verifizierung einer behaupteten Identität. Wenn John Doe in eine Bank geht, um Geld abzuheben, sagt er dem Bankangestellten, dass er John Doe ist, eine Identitätsbehauptung. Der Bankangestellte verlangt einen Lichtbildausweis, also gibt er ihm seinen Führerschein. Der Bankangestellte prüft, ob auf dem Führerschein John Doe steht, und vergleicht das Foto auf dem Führerschein mit der Person, die behauptet, John Doe zu sein. Wenn das Foto und der Name mit der Person übereinstimmen, hat der Kassierer bestätigt, dass John Doe derjenige ist, der er vorgibt zu sein. In ähnlicher Weise beweist der Benutzer durch die Eingabe des richtigen Passworts, dass er/sie die Person ist, der der Benutzername gehört. ⓘ
Es gibt drei verschiedene Arten von Informationen, die für die Authentifizierung verwendet werden können:
- Etwas, das Sie wissen: Dinge wie eine PIN, ein Passwort oder der Mädchenname Ihrer Mutter
- Etwas, das Sie haben: ein Führerschein oder eine Magnetstreifenkarte
- Etwas, das Sie sind: biometrische Daten, einschließlich Handabdrücke, Fingerabdrücke, Stimmabdrücke und Netzhautscans (Augenscans) ⓘ
Eine starke Authentifizierung erfordert die Angabe von mehr als einer Art von Authentifizierungsinformationen (Zwei-Faktor-Authentifizierung). Der Benutzername ist heute die gängigste Form der Identifizierung auf Computersystemen, und das Passwort ist die gängigste Form der Authentifizierung. Benutzernamen und Passwörter haben ihren Zweck erfüllt, aber sie sind zunehmend unzureichend. Benutzernamen und Passwörter werden allmählich durch ausgefeiltere Authentifizierungsmechanismen wie zeitbasierte Einmal-Passwort-Algorithmen ersetzt oder ergänzt. ⓘ
Autorisierung
Nachdem eine Person, ein Programm oder ein Computer erfolgreich identifiziert und authentifiziert wurde, muss festgelegt werden, auf welche Informationsressourcen sie zugreifen dürfen und welche Aktionen sie durchführen dürfen (ausführen, anzeigen, erstellen, löschen oder ändern). Dies wird als Autorisierung bezeichnet. Die Autorisierung für den Zugriff auf Informationen und andere Computerdienste beginnt mit administrativen Richtlinien und Verfahren. In den Richtlinien wird festgelegt, welche Informationen und Computerdienste von wem und unter welchen Bedingungen genutzt werden dürfen. Die Zugriffskontrollmechanismen werden dann so konfiguriert, dass diese Richtlinien durchgesetzt werden. Verschiedene Computersysteme sind mit unterschiedlichen Arten von Zugangskontrollmechanismen ausgestattet. Einige bieten sogar eine Auswahl an verschiedenen Zugangskontrollmechanismen. Der Zugangskontrollmechanismus, den ein System anbietet, basiert auf einem von drei Ansätzen zur Zugangskontrolle, oder er kann aus einer Kombination der drei Ansätze abgeleitet werden. ⓘ
Der nicht-diskretionäre Ansatz konsolidiert die gesamte Zugangskontrolle unter einer zentralisierten Verwaltung. Der Zugang zu Informationen und anderen Ressourcen basiert in der Regel auf der Funktion (Rolle) des Einzelnen in der Organisation oder auf den Aufgaben, die der Einzelne erfüllen muss. Der diskretionäre Ansatz gibt dem Ersteller oder Eigentümer der Informationsressource die Möglichkeit, den Zugriff auf diese Ressourcen zu kontrollieren. Bei der obligatorischen Zugangskontrolle wird der Zugang auf der Grundlage der der Informationsressource zugewiesenen Sicherheitseinstufung gewährt oder verweigert. ⓘ
Beispiele für gängige Zugriffskontrollmechanismen sind die rollenbasierte Zugriffskontrolle, die in vielen fortgeschrittenen Datenbankverwaltungssystemen verfügbar ist, einfache Dateiberechtigungen in UNIX- und Windows-Betriebssystemen, Gruppenrichtlinienobjekte in Windows-Netzwerksystemen sowie Kerberos, RADIUS, TACACS und die einfachen Zugriffslisten, die in vielen Firewalls und Routern verwendet werden. ⓘ
Um effektiv zu sein, müssen Richtlinien und andere Sicherheitskontrollen durchsetzbar sein und aufrechterhalten werden. Wirksame Richtlinien stellen sicher, dass die Mitarbeiter für ihre Handlungen zur Rechenschaft gezogen werden. In den Richtlinien des US-Finanzministeriums für Systeme, die sensible oder geschützte Informationen verarbeiten, heißt es beispielsweise, dass alle fehlgeschlagenen und erfolgreichen Authentifizierungs- und Zugriffsversuche protokolliert werden müssen und dass jeder Zugriff auf Informationen eine Art Prüfpfad hinterlassen muss. ⓘ
Auch das Need-to-know-Prinzip muss gelten, wenn es um die Zugriffskontrolle geht. Dieses Prinzip gibt einer Person Zugriffsrechte, um ihre Aufgaben zu erfüllen. Dieses Prinzip wird in der Regierung angewandt, wenn es um unterschiedliche Freigaben geht. Auch wenn zwei Mitarbeiter in verschiedenen Abteilungen eine Top-Secret-Freigabe haben, müssen sie sich gegenseitig kennen, damit Informationen ausgetauscht werden können. Im Rahmen des Need-to-know-Prinzips gewähren die Netzwerkadministratoren den Mitarbeitern die geringsten Rechte, um zu verhindern, dass sie auf mehr Informationen zugreifen, als für sie vorgesehen ist. Need-to-know hilft bei der Durchsetzung des Dreiklangs Vertraulichkeit-Integrität-Verfügbarkeit. Need-to-know wirkt sich direkt auf den vertraulichen Bereich der Trias aus. ⓘ
Kryptographie
Bei der Informationssicherheit wird die Kryptografie eingesetzt, um verwertbare Informationen in eine Form zu bringen, die sie für andere als die befugten Benutzer unbrauchbar macht; dieser Vorgang wird als Verschlüsselung bezeichnet. Verschlüsselte (unbrauchbar gemachte) Informationen können von einem autorisierten Benutzer, der im Besitz des kryptografischen Schlüssels ist, durch den Prozess der Entschlüsselung wieder in ihre ursprüngliche, nutzbare Form gebracht werden. Die Kryptografie wird in der Informationssicherheit eingesetzt, um Informationen vor unbefugter oder versehentlicher Offenlegung zu schützen, während die Informationen (entweder elektronisch oder physisch) übertragen und gespeichert werden. ⓘ
Die Kryptografie bietet der Informationssicherheit auch andere nützliche Anwendungen, darunter verbesserte Authentifizierungsmethoden, Nachrichten-Digests, digitale Signaturen, Nichtabstreitbarkeit und verschlüsselte Netzwerkkommunikation. Ältere, weniger sichere Anwendungen wie Telnet und File Transfer Protocol (FTP) werden langsam durch sicherere Anwendungen wie Secure Shell (SSH) ersetzt, die eine verschlüsselte Netzwerkkommunikation verwenden. Die drahtlose Kommunikation kann mit Protokollen wie WPA/WPA2 oder dem älteren (und weniger sicheren) WEP verschlüsselt werden. Die kabelgebundene Kommunikation (z. B. ITU-T G.hn) wird mit AES für die Verschlüsselung und X.1035 für die Authentifizierung und den Schlüsselaustausch gesichert. Softwareanwendungen wie GnuPG oder PGP können zur Verschlüsselung von Dateien und E-Mails verwendet werden. ⓘ
Kryptographie kann Sicherheitsprobleme verursachen, wenn sie nicht korrekt implementiert wird. Kryptografische Lösungen müssen mit branchenweit anerkannten Lösungen implementiert werden, die von unabhängigen Kryptografie-Experten einer strengen Prüfung unterzogen wurden. Auch die Länge und Stärke des Verschlüsselungsschlüssels ist ein wichtiger Aspekt. Ein schwacher oder zu kurzer Schlüssel führt zu einer schwachen Verschlüsselung. Die für die Ver- und Entschlüsselung verwendeten Schlüssel müssen mit der gleichen Strenge geschützt werden wie alle anderen vertraulichen Informationen. Sie müssen vor unbefugter Offenlegung und Zerstörung geschützt werden und bei Bedarf verfügbar sein. Lösungen für eine Public-Key-Infrastruktur (PKI) lösen viele der Probleme, die mit der Schlüsselverwaltung verbunden sind. ⓘ
Prozess
Die Begriffe "vernünftige und umsichtige Person", "gebührende Sorgfalt" und "Sorgfaltspflicht" werden seit vielen Jahren in den Bereichen Finanzen, Wertpapiere und Recht verwendet. In den letzten Jahren haben diese Begriffe auch in den Bereichen Informatik und Informationssicherheit Einzug gehalten. Die U.S. Federal Sentencing Guidelines ermöglichen es nun, Unternehmensverantwortliche für die Nichtbeachtung der Sorgfaltspflicht bei der Verwaltung ihrer Informationssysteme haftbar zu machen. ⓘ
In der Geschäftswelt erwarten Aktionäre, Kunden, Geschäftspartner und Regierungen, dass die Unternehmensleitung das Unternehmen in Übereinstimmung mit anerkannten Geschäftspraktiken und unter Einhaltung von Gesetzen und anderen Vorschriften führt. Dies wird oft als die Regel der "vernünftigen und umsichtigen Person" beschrieben. Eine umsichtige Person achtet darauf, dass alles Erforderliche getan wird, um das Unternehmen nach soliden Geschäftsprinzipien und auf legale, ethische Weise zu führen. Eine umsichtige Person ist auch sorgfältig (achtsam, aufmerksam, kontinuierlich) in ihrer Sorgfaltspflicht gegenüber dem Unternehmen. ⓘ
Für den Bereich der Informationssicherheit bietet Harris die folgenden Definitionen für die Begriffe "Due Care" und "Due Diligence" vor:
"Sorgfaltspflicht sind Schritte, die zeigen, dass ein Unternehmen die Verantwortung für die Aktivitäten, die innerhalb des Unternehmens stattfinden, übernommen und die notwendigen Schritte unternommen hat, um das Unternehmen, seine Ressourcen und Mitarbeiter zu schützen." Und, [Sorgfaltspflicht sind die] "kontinuierlichen Aktivitäten, die sicherstellen, dass die Schutzmechanismen kontinuierlich aufrechterhalten werden und funktionsfähig sind." ⓘ
In diesen Definitionen sollten zwei wichtige Punkte beachtet werden. Erstens werden bei der Sorgfaltspflicht Schritte unternommen, die nachweisbar sind; das bedeutet, dass die Schritte überprüft und gemessen werden können oder sogar greifbare Artefakte hervorbringen. Das bedeutet, dass Menschen tatsächlich etwas tun, um die Schutzmechanismen zu überwachen und aufrechtzuerhalten, und dass diese Aktivitäten fortlaufend sind. ⓘ
Organisationen haben eine Verantwortung, die Sorgfaltspflicht bei der Anwendung der Informationssicherheit zu praktizieren. Der Duty of Care Risk Analysis Standard (DoCRA) bietet Grundsätze und Praktiken für die Bewertung von Risiken. Dabei werden alle Parteien berücksichtigt, die von diesen Risiken betroffen sein könnten. DoCRA hilft bei der Bewertung von Schutzmaßnahmen, ob diese geeignet sind, andere vor Schaden zu bewahren und gleichzeitig eine angemessene Belastung darstellen. Angesichts der zunehmenden Rechtsstreitigkeiten im Zusammenhang mit Datenschutzverletzungen müssen Unternehmen ein Gleichgewicht zwischen Sicherheitskontrollen, Einhaltung von Vorschriften und ihrem Auftrag herstellen. ⓘ
Sicherheitsmanagement
Das Software Engineering Institute an der Carnegie Mellon University definiert in einer Veröffentlichung mit dem Titel Governing for Enterprise Security (GES) Implementation Guide die Merkmale einer effektiven Sicherheits-Governance. Dazu gehören:
- Ein unternehmensweites Thema
- Führungskräfte sind rechenschaftspflichtig
- Betrachtung als Geschäftsanforderung
- Risikobasiert
- Definition von Rollen, Verantwortlichkeiten und Aufgabentrennung
- In der Politik angesprochen und durchgesetzt
- Angemessene Ressourcen werden bereitgestellt
- Sensibilisierung und Schulung der Mitarbeiter
- Eine Anforderung an den Lebenszyklus der Entwicklung
- Geplant, verwaltet, messbar und gemessen
- Überprüft und auditiert ⓘ
Reaktionspläne für Vorfälle
Ein Vorfallsreaktionsplan (IRP) ist eine Gruppe von Richtlinien, die die Reaktion einer Organisation auf einen Cyberangriff vorschreiben. Sobald ein Sicherheitsverstoß festgestellt wurde, wird der Plan in Kraft gesetzt. Es ist wichtig zu beachten, dass eine Datenschutzverletzung rechtliche Folgen haben kann. Die Kenntnis der lokalen und bundesstaatlichen Gesetze ist von entscheidender Bedeutung. Jeder Plan ist individuell auf die Bedürfnisse des Unternehmens zugeschnitten und kann Fähigkeiten beinhalten, die nicht Teil eines IT-Teams sind. So kann beispielsweise ein Rechtsanwalt in den Reaktionsplan einbezogen werden, um die rechtlichen Folgen einer Datenschutzverletzung zu bewältigen. ⓘ
Wie bereits erwähnt, ist jeder Plan einzigartig, aber die meisten Pläne umfassen Folgendes: ⓘ
Vorbereitung
Zu einer guten Vorbereitung gehört die Bildung eines Teams für die Reaktion auf Zwischenfälle (Incident Response Team, IRT). Dieses Team sollte über Kenntnisse in den Bereichen Penetrationstests, Computerforensik, Netzsicherheit usw. verfügen. Dieses Team sollte auch die Trends im Bereich der Cybersicherheit und moderne Angriffsstrategien im Auge behalten. Ein Schulungsprogramm für Endbenutzer ist ebenfalls wichtig, da die meisten modernen Angriffsstrategien auf die Benutzer des Netzes abzielen. ⓘ
Identifizierung
In diesem Teil des Vorfallsreaktionsplans wird festgestellt, ob es ein Sicherheitsereignis gab. Wenn ein Endnutzer Informationen meldet oder ein Administrator Unregelmäßigkeiten feststellt, wird eine Untersuchung eingeleitet. Ein Ereignisprotokoll ist ein wichtiger Bestandteil dieses Schritts. Alle Mitglieder des Teams sollten dieses Protokoll aktualisieren, um sicherzustellen, dass die Informationen so schnell wie möglich fließen. Wurde festgestellt, dass ein Sicherheitsverstoß vorliegt, sollte der nächste Schritt eingeleitet werden. ⓘ
Eindämmung
In dieser Phase arbeitet das IRT daran, die Bereiche, in denen die Sicherheitsverletzung stattgefunden hat, zu isolieren, um das Ausmaß des Sicherheitsereignisses zu begrenzen. In dieser Phase ist es wichtig, die Informationen forensisch zu sichern, damit sie später im Prozess analysiert werden können. Die Eingrenzung kann so einfach sein wie die physische Eingrenzung eines Serverraums oder so komplex wie die Segmentierung eines Netzwerks, um die Verbreitung eines Virus zu verhindern. ⓘ
Ausrottung
Hier wird die identifizierte Bedrohung von den betroffenen Systemen entfernt. Dies kann das Löschen bösartiger Dateien, das Beenden kompromittierter Konten oder das Löschen anderer Komponenten umfassen. Bei einigen Ereignissen ist dieser Schritt nicht erforderlich, aber es ist wichtig, das Ereignis vollständig zu verstehen, bevor man zu diesem Schritt übergeht. So kann sichergestellt werden, dass die Bedrohung vollständig beseitigt wird. ⓘ
Wiederherstellung
In dieser Phase werden die Systeme wieder in ihren ursprünglichen Zustand zurückversetzt. Dieser Schritt kann die Wiederherstellung von Daten, die Änderung von Benutzerzugangsdaten oder die Aktualisierung von Firewall-Regeln oder -Richtlinien umfassen, um zukünftige Sicherheitsverletzungen zu verhindern. Ohne diesen Schritt könnte das System weiterhin anfällig für künftige Sicherheitsbedrohungen sein. ⓘ
Gelernte Lektionen
In diesem Schritt werden die während des Prozesses gesammelten Informationen genutzt, um künftige Sicherheitsentscheidungen zu treffen. Dieser Schritt ist entscheidend, um sicherzustellen, dass zukünftige Ereignisse verhindert werden. Die Nutzung dieser Informationen für die Weiterbildung der Administratoren ist für den Prozess von entscheidender Bedeutung. In diesem Schritt können auch Informationen verarbeitet werden, die von anderen Stellen, die ein Sicherheitsereignis erlebt haben, weitergegeben werden. ⓘ
Änderungsverwaltung
Die Änderungsverwaltung ist ein formaler Prozess zur Steuerung und Kontrolle von Änderungen an der Informationsverarbeitungsumgebung. Dazu gehören Änderungen an Desktop-Computern, dem Netzwerk, Servern und Software. Ziel des Änderungsmanagements ist es, die Risiken zu verringern, die von Änderungen an der Informationsverarbeitungsumgebung ausgehen, und die Stabilität und Zuverlässigkeit der Verarbeitungsumgebung bei Änderungen zu verbessern. Es ist nicht das Ziel des Änderungsmanagements, die Durchführung notwendiger Änderungen zu verhindern oder zu behindern. ⓘ
Jede Änderung der Informationsverarbeitungsumgebung birgt ein gewisses Risiko. Selbst scheinbar einfache Änderungen können unerwartete Auswirkungen haben. Eine der vielen Aufgaben des Managements ist das Management von Risiken. Das Änderungsmanagement ist ein Instrument zur Bewältigung der Risiken, die durch Änderungen in der Informationsverarbeitungsumgebung entstehen. Ein Teil des Änderungsmanagementprozesses stellt sicher, dass Änderungen nicht zu einem ungünstigen Zeitpunkt durchgeführt werden, wenn sie kritische Geschäftsprozesse stören oder mit anderen Änderungen kollidieren könnten. ⓘ
Nicht jede Änderung muss verwaltet werden. Einige Arten von Änderungen sind Teil der täglichen Routine der Informationsverarbeitung und folgen einem vordefinierten Verfahren, wodurch das Gesamtrisiko für die Verarbeitungsumgebung verringert wird. Das Anlegen eines neuen Benutzerkontos oder die Bereitstellung eines neuen Desktop-Computers sind Beispiele für Änderungen, die im Allgemeinen kein Änderungsmanagement erfordern. Die Verlagerung von Benutzerdateifreigaben oder die Aufrüstung des E-Mail-Servers stellen jedoch ein wesentlich höheres Risiko für die Verarbeitungsumgebung dar und gehören nicht zu den alltäglichen Aktivitäten. Die entscheidenden ersten Schritte beim Änderungsmanagement sind (a) die Definition der Änderung (und die Kommunikation dieser Definition) und (b) die Festlegung des Umfangs des Änderungssystems. ⓘ
Das Änderungsmanagement wird in der Regel von einem Änderungsprüfungsausschuss überwacht, der sich aus Vertretern der wichtigsten Geschäftsbereiche, der Sicherheit, des Netzwerks, der Systemadministratoren, der Datenbankverwaltung, der Anwendungsentwickler, des Desktop-Supports und des Helpdesks zusammensetzt. Die Aufgaben des Änderungsprüfungsausschusses können durch den Einsatz einer automatisierten Workflow-Anwendung erleichtert werden. Die Aufgabe des Änderungsprüfungsausschusses besteht darin, sicherzustellen, dass die dokumentierten Änderungsmanagementverfahren der Organisation eingehalten werden. Der Änderungsmanagementprozess sieht wie folgt aus ⓘ
- Antrag: Jeder kann eine Änderung beantragen. Die Person, die den Änderungsantrag stellt, kann, muss aber nicht dieselbe Person sein, die die Analyse durchführt oder die Änderung umsetzt. Wenn ein Änderungsantrag eingeht, kann er einer Vorprüfung unterzogen werden, um festzustellen, ob die beantragte Änderung mit dem Geschäftsmodell und den Praktiken der Organisation vereinbar ist, und um den Umfang der für die Umsetzung der Änderung erforderlichen Ressourcen zu ermitteln.
- Genehmigen: Die Geschäftsleitung leitet das Unternehmen und kontrolliert die Ressourcenzuteilung. Daher muss sie Änderungsanträge genehmigen und jeder Änderung eine Priorität zuweisen. Die Geschäftsleitung kann eine Änderungsanforderung ablehnen, wenn die Änderung nicht mit dem Geschäftsmodell, den Branchenstandards oder bewährten Verfahren vereinbar ist. Die Geschäftsleitung kann einen Änderungsantrag auch ablehnen, wenn die Änderung mehr Ressourcen erfordert, als für die Änderung zugewiesen werden können.
- Planen: Die Planung einer Änderung umfasst die Ermittlung des Umfangs und der Auswirkungen der vorgeschlagenen Änderung, die Analyse der Komplexität der Änderung, die Zuweisung von Ressourcen sowie die Entwicklung, Prüfung und Dokumentation von Implementierungs- und Back-Out-Plänen. Es müssen die Kriterien definiert werden, anhand derer eine Entscheidung über einen Rückzug getroffen wird.
- Testen: Jede Änderung muss in einer sicheren Testumgebung getestet werden, die der tatsächlichen Produktionsumgebung sehr nahe kommt, bevor die Änderung in der Produktionsumgebung umgesetzt wird. Der Rückzugsplan muss ebenfalls getestet werden.
- Zeitplan: Ein Teil der Verantwortung des Änderungsprüfungsausschusses besteht darin, bei der Planung von Änderungen zu helfen, indem er das vorgeschlagene Implementierungsdatum auf mögliche Konflikte mit anderen geplanten Änderungen oder kritischen Geschäftsaktivitäten überprüft.
- Kommunizieren: Sobald eine Änderung geplant wurde, muss sie kommuniziert werden. Die Kommunikation soll anderen die Möglichkeit geben, den Änderungsprüfungsausschuss an andere Änderungen oder kritische Geschäftsaktivitäten zu erinnern, die bei der Planung der Änderung übersehen worden sein könnten. Die Kommunikation dient auch dazu, dem Helpdesk und den Benutzern mitzuteilen, dass eine Änderung bevorsteht. Eine weitere Aufgabe des Änderungsprüfungsausschusses besteht darin, sicherzustellen, dass die geplanten Änderungen denjenigen mitgeteilt werden, die von der Änderung betroffen sind oder anderweitig ein Interesse an der Änderung haben.
- Durchführen: Zum festgelegten Datum und Zeitpunkt müssen die Änderungen umgesetzt werden. Ein Teil des Planungsprozesses bestand darin, einen Implementierungsplan, einen Testplan und einen Ausweichplan zu entwickeln. Sollte die Implementierung der Änderung scheitern, die Tests nach der Implementierung fehlschlagen oder andere "Drop Dead"-Kriterien erfüllt sein, sollte der Rückzugsplan umgesetzt werden.
- Dokumentieren: Alle Änderungen müssen dokumentiert werden. Die Dokumentation umfasst den ursprünglichen Änderungsantrag, seine Genehmigung, die ihm zugewiesene Priorität, die Implementierungs-, Test- und Rückzugspläne, die Ergebnisse der Kritik des Änderungsprüfungsausschusses, das Datum/die Uhrzeit der Implementierung der Änderung, wer sie durchgeführt hat und ob die Änderung erfolgreich implementiert wurde, fehlgeschlagen ist oder verschoben wurde.
- Überprüfung nach der Änderung: Der Änderungsprüfungsausschuss sollte die Änderungen im Anschluss an die Implementierung überprüfen. Besonders wichtig ist es, gescheiterte und zurückgestellte Änderungen zu überprüfen. Der Prüfungsausschuss sollte versuchen, die aufgetretenen Probleme zu verstehen und nach Verbesserungsmöglichkeiten zu suchen. ⓘ
Einfach zu befolgende und leicht anzuwendende Verfahren für das Änderungsmanagement können die Gesamtrisiken, die bei Änderungen an der Informationsverarbeitungsumgebung entstehen, erheblich verringern. Gute Änderungsmanagementverfahren verbessern die Gesamtqualität und den Erfolg von Änderungen bei deren Umsetzung. Dies wird durch Planung, gegenseitige Überprüfung, Dokumentation und Kommunikation erreicht. ⓘ
ISO/IEC 20000, Das Visible OPS-Handbuch: Implementing ITIL in 4 Practical and Auditable Steps (Vollständige Buchzusammenfassung) und ITIL bieten alle wertvolle Anleitungen für die Implementierung eines effizienten und effektiven Änderungsmanagementprogramms für die Informationssicherheit. ⓘ
Geschäftskontinuität
Das Business Continuity Management (BCM) befasst sich mit Vorkehrungen, die darauf abzielen, die kritischen Geschäftsfunktionen einer Organisation vor Unterbrechungen aufgrund von Zwischenfällen zu schützen oder zumindest die Auswirkungen zu minimieren. BCM ist für jede Organisation unerlässlich, um die Technologie und das Geschäft mit den aktuellen Bedrohungen für die Fortführung des Geschäftsbetriebs in Einklang zu bringen. Das BCM sollte in den Risikoanalyseplan eines Unternehmens aufgenommen werden, um sicherzustellen, dass alle erforderlichen Geschäftsfunktionen über die notwendigen Mittel verfügen, um im Falle einer Bedrohung einer beliebigen Geschäftsfunktion weiterarbeiten zu können. ⓘ
Es umfasst:
- Analyse der Anforderungen, z. B. Identifizierung kritischer Geschäftsfunktionen, Abhängigkeiten und potenzieller Fehlerpunkte, potenzieller Bedrohungen und somit Vorfälle oder Risiken, die für die Organisation von Belang sind;
- Spezifikation, z. B. maximal tolerierbare Ausfallzeiten; Wiederherstellungspunktziele (maximal akzeptable Zeiten für Datenverluste);
- Architektur und Design, z. B. eine geeignete Kombination von Ansätzen, einschließlich Widerstandsfähigkeit (z. B. Entwicklung von IT-Systemen und -Prozessen für hohe Verfügbarkeit, Vermeidung oder Vorbeugung von Situationen, die zu einer Unterbrechung des Geschäftsbetriebs führen könnten), Vorfall- und Notfallmanagement (z. B. Evakuierung von Räumlichkeiten, Anruf bei den Notfalldiensten, Triage/Situationsbewertung und Aufruf von Wiederherstellungsplänen), Wiederherstellung (z. B. Wiederaufbau) und Notfallmanagement (allgemeine Fähigkeiten, um mit allen auftretenden Problemen unter Einsatz aller verfügbaren Ressourcen umzugehen);
- Implementierung, z. B. Konfiguration und Planung von Backups, Datenübertragungen usw., Duplizierung und Verstärkung kritischer Elemente; Vertragsabschluss mit Dienstleistungs- und Ausrüstungslieferanten;
- Testen, z. B. Übungen zur Geschäftskontinuität verschiedener Arten, Kosten und Sicherheitsstufen;
- Management, z. B. Definition von Strategien, Festlegung von Zielen und Vorgaben; Planung und Leitung der Arbeit; Zuweisung von Mitteln, Personal und anderen Ressourcen; Festlegung von Prioritäten im Verhältnis zu anderen Aktivitäten; Teambildung, Führung, Kontrolle, Motivation und Koordinierung mit anderen Unternehmensfunktionen und -aktivitäten (z. B. IT, Einrichtungen, Personalwesen, Risikomanagement, Informationsrisiko und -sicherheit, Betrieb); Überwachung der Situation, Überprüfung und Aktualisierung der Vorkehrungen, wenn sich die Dinge ändern; Reifung des Ansatzes durch kontinuierliche Verbesserung, Lernen und angemessene Investitionen;
- Sicherstellung, z. B. Testen anhand festgelegter Anforderungen; Messen, Analysieren und Berichten von Schlüsselparametern; Durchführung zusätzlicher Tests, Überprüfungen und Audits, um das Vertrauen zu stärken, dass die Vorkehrungen im Falle einer Inanspruchnahme wie geplant funktionieren. ⓘ
Während BCM einen breit angelegten Ansatz zur Minimierung katastrophenbedingter Risiken verfolgt, indem es sowohl die Wahrscheinlichkeit als auch die Schwere von Vorfällen reduziert, konzentriert sich ein Notfallwiederherstellungsplan (Disaster Recovery Plan, DRP) speziell darauf, den Geschäftsbetrieb nach einer Katastrophe so schnell wie möglich wieder aufzunehmen. Ein Disaster Recovery Plan, der kurz nach einer Katastrophe aufgerufen wird, legt die Schritte fest, die notwendig sind, um kritische Infrastrukturen der Informations- und Kommunikationstechnologie (IKT) wiederherzustellen. Die Wiederherstellungsplanung im Katastrophenfall umfasst die Einrichtung einer Planungsgruppe, die Durchführung einer Risikobewertung, die Festlegung von Prioritäten, die Entwicklung von Wiederherstellungsstrategien, die Erstellung von Inventaren und die Dokumentation des Plans, die Entwicklung von Überprüfungskriterien und -verfahren und schließlich die Umsetzung des Plans. ⓘ
Gesetze und Vorschriften
Nachfolgend finden Sie eine unvollständige Auflistung von staatlichen Gesetzen und Verordnungen in verschiedenen Teilen der Welt, die erhebliche Auswirkungen auf die Datenverarbeitung und die Informationssicherheit haben, hatten oder haben werden. Wichtige branchenspezifische Vorschriften wurden ebenfalls aufgenommen, wenn sie sich erheblich auf die Informationssicherheit auswirken. ⓘ
- Das britische Datenschutzgesetz (Data Protection Act) von 1998 enthält neue Bestimmungen zur Regelung der Verarbeitung personenbezogener Daten, einschließlich der Beschaffung, des Besitzes, der Verwendung und der Offenlegung solcher Daten. Die Datenschutzrichtlinie der Europäischen Union (EUDPD) schreibt vor, dass alle EU-Mitglieder nationale Vorschriften erlassen, um den Datenschutz für die Bürger in der gesamten EU zu vereinheitlichen.
- Der Computer Misuse Act 1990 ist ein Gesetz des britischen Parlaments, das Computerkriminalität (z. B. Hacking) zu einem Straftatbestand macht. Das Gesetz wurde zu einem Modell, an dem sich mehrere andere Länder, darunter Kanada und die Republik Irland, bei der Ausarbeitung ihrer eigenen Gesetze zur Informationssicherheit orientiert haben.
- Die (für nichtig erklärte) EU-Richtlinie über die Vorratsdatenspeicherung verlangt von Internetanbietern und Telefongesellschaften, dass sie die Daten jeder gesendeten elektronischen Nachricht und jedes getätigten Telefonats zwischen sechs Monaten und zwei Jahren aufbewahren.
- Der Family Educational Rights and Privacy Act (FERPA) (20 U.S.C. § 1232 g; 34 CFR Part 99) ist ein US-amerikanisches Bundesgesetz, das die Privatsphäre von Schülerunterlagen schützt. Das Gesetz gilt für alle Schulen, die im Rahmen eines entsprechenden Programms des US-Bildungsministeriums Mittel erhalten. Im Allgemeinen müssen die Schulen eine schriftliche Erlaubnis der Eltern oder des berechtigten Schülers einholen, um Informationen aus den Bildungsunterlagen eines Schülers freizugeben.
- In den Sicherheitsrichtlinien für Prüfer des Federal Financial Institutions Examination Council (FFIEC) sind die Anforderungen an die Sicherheit im Online-Banking festgelegt.
- Der Health Insurance Portability and Accountability Act (HIPAA) aus dem Jahr 1996 schreibt die Einführung nationaler Standards für elektronische Transaktionen im Gesundheitswesen und nationaler Kennungen für Leistungserbringer, Krankenversicherungspläne und Arbeitgeber vor. Darüber hinaus verpflichtet es Gesundheitsdienstleister, Versicherungsanbieter und Arbeitgeber, die Sicherheit und den Datenschutz von Gesundheitsdaten zu gewährleisten.
- Der Gramm-Leach-Bliley Act von 1999 (GLBA), auch bekannt als Financial Services Modernization Act von 1999, schützt die Privatsphäre und die Sicherheit privater Finanzdaten, die von Finanzinstituten gesammelt, gespeichert und verarbeitet werden.
- Abschnitt 404 des Sarbanes-Oxley Act von 2002 (SOX) verpflichtet börsennotierte Unternehmen, die Wirksamkeit ihrer internen Kontrollen für die Finanzberichterstattung in den Jahresberichten zu bewerten, die sie am Ende eines jeden Geschäftsjahres vorlegen. Die Chief Information Officers sind für die Sicherheit, Genauigkeit und Zuverlässigkeit der Systeme verantwortlich, die die Finanzdaten verwalten und ausweisen. Das Gesetz verpflichtet börsennotierte Unternehmen außerdem, unabhängige Wirtschaftsprüfer zu beauftragen, die die Gültigkeit ihrer Bewertungen bestätigen und darüber Bericht erstatten müssen.
- Der Payment Card Industry Data Security Standard (PCI DSS) legt umfassende Anforderungen zur Verbesserung der Sicherheit von Zahlungskontodaten fest. Er wurde von den Gründungsmitgliedern des PCI Security Standards Council - darunter American Express, Discover Financial Services, JCB, MasterCard Worldwide und Visa International - entwickelt, um die breite Einführung einheitlicher Datensicherheitsmaßnahmen auf globaler Basis zu erleichtern. Der PCI DSS ist ein vielseitiger Sicherheitsstandard, der Anforderungen an Sicherheitsmanagement, Richtlinien, Verfahren, Netzwerkarchitektur, Softwaredesign und andere wichtige Schutzmaßnahmen enthält.
- Staatliche Gesetze zur Benachrichtigung bei Sicherheitsverletzungen (Kalifornien und viele andere) verpflichten Unternehmen, gemeinnützige Organisationen und staatliche Einrichtungen, Verbraucher zu benachrichtigen, wenn unverschlüsselte "persönliche Daten" möglicherweise gefährdet wurden, verloren gegangen sind oder gestohlen wurden.
- Der kanadische Personal Information Protection and Electronics Document Act (PIPEDA) unterstützt und fördert den elektronischen Handel, indem er persönliche Daten schützt, die unter bestimmten Umständen erhoben, verwendet oder weitergegeben werden, indem er die Verwendung elektronischer Mittel zur Übermittlung oder Aufzeichnung von Informationen oder Transaktionen vorsieht und indem er den Canada Evidence Act, den Statutory Instruments Act und den Statute Revision Act ändert.
- Die griechische Behörde für Kommunikationssicherheit und Datenschutz (ADAE) (Gesetz 165/2011) legt die Mindestkontrollen für die Informationssicherheit fest, die von jedem Unternehmen, das elektronische Kommunikationsnetze und/oder -dienste in Griechenland anbietet, zum Schutz der Vertraulichkeit der Kunden eingesetzt werden sollten, und beschreibt diese. Dazu gehören sowohl verwaltungstechnische als auch technische Kontrollen (z. B. sollten Protokollaufzeichnungen zwei Jahre lang aufbewahrt werden).
- Die Griechische Behörde für Kommunikationssicherheit und Datenschutz (ADAE) (Gesetz 205/2013) konzentriert sich auf den Schutz der Integrität und Verfügbarkeit der von griechischen Telekommunikationsunternehmen angebotenen Dienste und Daten. Das Gesetz zwingt diese und andere damit verbundene Unternehmen dazu, geeignete Pläne für die Geschäftskontinuität und redundante Infrastrukturen zu entwickeln, einzusetzen und zu testen. ⓘ
Mit dem Ziel einer besseren Überwachung der Unternehmensführung (Corporate Governance) und um ausländischen Investoren den Zugang zu Informationen über die Unternehmen zu erleichtern (Transparenz), trat im Mai 1998 das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) in Kraft. Kernthema der weitreichenden Änderungen im Handelsgesetzbuch (HGB) und im Aktiengesetz (AktG) war die Einführung eines Risikofrüherkennungssystems zur Erkennung von bestandsgefährdenden Risiken. Jedes am Kapitalmarkt orientierte Unternehmen musste ein solches System einrichten und Risiken des Unternehmens im Lagebericht des Jahresabschlusses veröffentlichen. ⓘ
Der im Juli 2002 in Kraft getretene Sarbanes-Oxley Act (SOX) hatte das Ziel, verlorengegangenes Vertrauen der Anleger in die veröffentlichten Bilanzdaten von amerikanischen Unternehmen wiederherzustellen. Tochterunternehmen amerikanischer Gesellschaften im Ausland und nichtamerikanische Firmen, die an amerikanischen Börsen gehandelt werden, unterliegen ebenfalls dieser Regelung. Das Gesetz schreibt Vorkehrungen im Bereich der IT-Sicherheit wie die Einführung eines ISMS nicht explizit vor. Eine einwandfreie Berichterstattung über die internen Unternehmensdaten ist nur durch zuverlässige IT-Prozesse und einen angemessenen Schutz der verwendeten Daten möglich. Eine Konformität mit dem SOX ist daher nur mit Hilfe von Maßnahmen zur IT-Sicherheit möglich. ⓘ
Die europäische Achte Richtlinie 2006/43/EG (auch „EuroSOX“ genannt) entstand in Anlehnung an das amerikanische SOX-Gesetz und trat im Juni 2006 in Kraft. Sie beschreibt die Mindestanforderungen an Unternehmen für ein Risikomanagement und legt die Pflichten der Abschlussprüfer fest. ⓘ
Die deutsche Umsetzung der europäischen EuroSOX erfolgte im Bilanzrechtsmodernisierungsgesetz (BilMoG). Es trat im Mai 2009 in Kraft. Das Gesetz änderte zum Zwecke der Harmonisierung mit Europarecht einige Gesetze wie das HGB und das Aktiengesetz. Unter anderem sind Kapitalgesellschaften wie eine AG oder eine GmbH laut § 289 HGB Abs. 5 aufgefordert, wesentliche Eigenschaften ihres Internen Kontrollsystems (IKS) im Lagebericht des Jahresabschlusses darzulegen. ⓘ
In den europäischen Regelungen Richtlinie über Eigenkapitalanforderungen (Basel I) aus dem Jahr 1988 und Richtlinie für Basissolvenzkapitalanforderungen aus dem Jahr 1973 (2002 aktualisiert; nachträglich als Solvabilität I bezeichnet) wurden viele einzelne Gesetze unter einem Oberbegriff zusammengefasst. Diese für Kreditinstitute und Versicherungsunternehmen bedeutsamen Regelungen enthielten viele Schwächen. Die neuen Regelungen Basel II für Banken (EU-weit in Kraft seit Januar 2007) und Solvabilität II für Versicherer (in Kraft seit Januar 2016) enthalten modernere Regelungen für ein Risikomanagement. Die Nachfolgeregelung Basel III wird seit 2013 eingeführt und soll bis 2019 komplett implementiert sein. ⓘ
Kultur
Die Kultur der Informationssicherheit beschreibt nicht nur, wie sicherheitsbewusst die Mitarbeiter sind, sondern auch die Ideen, Bräuche und sozialen Verhaltensweisen einer Organisation, die sich sowohl positiv als auch negativ auf die Informationssicherheit auswirken. Kulturelle Konzepte können dazu beitragen, dass verschiedene Segmente der Organisation effektiv arbeiten oder der Effektivität der Informationssicherheit innerhalb einer Organisation entgegenwirken. Die Art und Weise, wie Mitarbeiter über Sicherheit denken und fühlen und wie sie handeln, kann einen großen Einfluss auf die Informationssicherheit in Organisationen haben. Roer & Petric (2017) identifizieren sieben Kerndimensionen der Informationssicherheitskultur in Organisationen:
- Haltungen: Gefühle und Emotionen der Mitarbeiter in Bezug auf die verschiedenen Aktivitäten, die mit der organisatorischen Informationssicherheit zusammenhängen.
- Verhaltensweisen: Tatsächliche oder beabsichtigte Aktivitäten und risikobehaftete Handlungen von Mitarbeitern, die sich direkt oder indirekt auf die Informationssicherheit auswirken.
- Kognition: Bewusstsein, überprüfbares Wissen und Überzeugungen der Mitarbeiter in Bezug auf Praktiken, Aktivitäten und Selbstwirksamkeit, die mit der Informationssicherheit in Zusammenhang stehen.
- Kommunikation: Art und Weise, wie Mitarbeiter miteinander kommunizieren, Zugehörigkeitsgefühl, Unterstützung bei Sicherheitsfragen und Meldung von Vorfällen.
- Einhaltung: Befolgung der Sicherheitsrichtlinien der Organisation, Bewusstsein über die Existenz solcher Richtlinien und die Fähigkeit, sich an den Inhalt solcher Richtlinien zu erinnern.
- Normen: Wahrnehmungen sicherheitsrelevanter organisatorischer Verhaltensweisen und Praktiken, die von den Mitarbeitern und ihren Kollegen informell als normal oder abweichend angesehen werden, z. B. verborgene Erwartungen in Bezug auf Sicherheitsverhalten und ungeschriebene Regeln für die Nutzung von Informations- und Kommunikationstechnologien.
- Verantwortlichkeiten: Das Verständnis der Mitarbeiter für die Rollen und Verantwortlichkeiten, die sie haben, ist ein entscheidender Faktor für die Aufrechterhaltung oder Gefährdung der Informationssicherheit und damit der Organisation. ⓘ
Andersson und Reimers (2014) fanden heraus, dass Mitarbeiter sich oft nicht als Teil der "Bemühungen" der Organisation um die Informationssicherheit sehen und häufig Handlungen vornehmen, die die Interessen der Organisation an der Informationssicherheit ignorieren. Die Forschung zeigt, dass die Informationssicherheitskultur kontinuierlich verbessert werden muss. In der Studie Information Security Culture from Analysis to Change (Informationssicherheitskultur von der Analyse bis zur Veränderung) stellen die Autoren fest: "Es ist ein nie endender Prozess, ein Zyklus aus Bewertung und Veränderung oder Wartung." Um die Informationssicherheitskultur zu managen, sollten fünf Schritte unternommen werden: Vorbewertung, strategische Planung, operative Planung, Umsetzung und Nachbewertung. ⓘ
- Vor-Evaluierung: Ermittlung des Bewusstseins der Mitarbeiter für die Informationssicherheit und Analyse der aktuellen Sicherheitspolitik
- Strategische Planung: Um ein besseres Sensibilisierungsprogramm zu entwickeln, müssen wir uns klare Ziele setzen. Die Bündelung von Mitarbeitern ist hilfreich, um dies zu erreichen.
- Operative Planung: Schaffung einer guten Sicherheitskultur auf der Grundlage von interner Kommunikation, Management-Buy-in, Sicherheitsbewusstsein und Schulungsprogrammen
- Umsetzung: sollte das Engagement des Managements, die Kommunikation mit den Organisationsmitgliedern, Kurse für alle Organisationsmitglieder und das Engagement der Mitarbeiter beinhalten
- Nachevaluierung: um die Effektivität der vorangegangenen Schritte besser einschätzen zu können und auf einer kontinuierlichen Verbesserung aufzubauen ⓘ
Quellen für Normen
Die Internationale Organisation für Normung (ISO) ist eine internationale Normungsorganisation, die als Konsortium von nationalen Normungsinstituten aus 167 Ländern organisiert ist und über ein Sekretariat in Genf, Schweiz, koordiniert wird. Die ISO ist der weltweit größte Entwickler von internationalen Normen. Die Internationale Elektrotechnische Kommission (IEC) ist eine internationale Normungsorganisation, die sich mit der Elektrotechnik befasst und eng mit der ISO zusammenarbeitet. ISO/IEC 15443: "Informationstechnik - Sicherheitstechniken - Ein Rahmenwerk für die Gewährleistung der IT-Sicherheit", ISO/IEC 27002: "Information technology - Security techniques - Code of practice for information security management", ISO/IEC 20000: "Information technology - Service management" und ISO/IEC 27001: "Information technology - Security techniques - Information security management systems - Requirements" sind von besonderem Interesse für Fachleute der Informationssicherheit. ⓘ
Das US National Institute of Standards and Technology (NIST) ist eine nicht-regulatorische Bundesbehörde innerhalb des US-Handelsministeriums. Die NIST-Abteilung für Computersicherheit entwickelt Standards, Metriken, Tests und Validierungsprogramme und veröffentlicht Normen und Richtlinien zur Verbesserung der sicheren IT-Planung, -Implementierung, -Verwaltung und -Betrieb. Das NIST verwaltet auch die Veröffentlichungen der US Federal Information Processing Standard (FIPS). ⓘ
Die Internet Society ist eine professionelle Mitgliedsgesellschaft mit mehr als 100 Organisationen und über 20.000 Einzelmitgliedern in über 180 Ländern. Sie ist führend bei der Behandlung von Fragen, die die Zukunft des Internets betreffen, und ist die organisatorische Heimat für die Gruppen, die für die Internet-Infrastrukturstandards verantwortlich sind, einschließlich der Internet Engineering Task Force (IETF) und des Internet Architecture Board (IAB). Das ISOC beherbergt die Requests for Comments (RFCs), zu denen auch die offiziellen Internet-Protokollstandards und das RFC-2196 Site Security Handbook gehören. ⓘ
Das Information Security Forum (ISF) ist eine weltweite gemeinnützige Organisation, der mehrere hundert führende Organisationen aus den Bereichen Finanzdienstleistungen, Fertigung, Telekommunikation, Konsumgüter, Regierung und anderen Bereichen angehören. Das ISF erforscht die Praktiken der Informationssicherheit und bietet in seinem halbjährlich erscheinenden Standard of Good Practice und in detaillierteren Ratgebern für Mitglieder Ratschläge an. ⓘ
Das Institute of Information Security Professionals (IISP) ist eine unabhängige, gemeinnützige Einrichtung, die von ihren Mitgliedern geleitet wird und deren Hauptziel es ist, die Professionalität von Fachleuten im Bereich der Informationssicherheit und damit die Professionalität der gesamten Branche zu fördern. Das Institut hat das IISP Skills Framework entwickelt. Dieser Rahmen beschreibt das Spektrum der Kompetenzen, die von Fachleuten für Informationssicherheit und Informationssicherung bei der effektiven Ausübung ihrer Tätigkeit erwartet werden. Es wurde in Zusammenarbeit zwischen Organisationen des privaten und öffentlichen Sektors, weltbekannten Akademikern und führenden Sicherheitsexperten entwickelt. ⓘ
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) Die BSI-Standards 100-1 bis 100-4 sind eine Reihe von Empfehlungen, die "Methoden, Prozesse, Verfahren, Ansätze und Maßnahmen zur Informationssicherheit" umfassen. Der BSI-Standard 100-2 IT-Grundschutz Methodik beschreibt, wie Informationssicherheitsmanagement umgesetzt und betrieben werden kann. Der Standard enthält einen sehr konkreten Leitfaden, die IT-Grundschutz-Kataloge (auch IT-Grundschutz-Kataloge genannt). Vor 2005 waren die Kataloge unter dem Namen "IT-Grundschutzhandbuch" bekannt. Die Kataloge sind eine Sammlung von Dokumenten, die dazu dienen, sicherheitsrelevante Schwachstellen in der IT-Umgebung (IT-Cluster) zu erkennen und zu bekämpfen. Die Sammlung umfasst mit Stand September 2013 über 4.400 Seiten mit der Einführung und den Katalogen. Der IT-Grundschutz-Ansatz orientiert sich an der ISO/IEC 2700x-Familie. ⓘ
Das Europäische Institut für Telekommunikationsnormen hat unter der Leitung der Industrial Specification Group (ISG) ISI einen Katalog von Informationssicherheitsindikatoren standardisiert. ⓘ
Begriffsbeschreibungen
IT-Sicherheit
Der IT-Sicherheit kommt eine Schlüsselrolle für die Sicherheit von soziotechnischen Systemen zu. IT oder auch ITK-Systeme sind Teil der soziotechnischen Systeme. Zu den Aufgaben der IT-Sicherheit gehören der Schutz von ITK-Systemen von Organisationen (zum Beispiel Unternehmen) gegen Bedrohungen. Damit soll unter anderem wirtschaftlicher Schaden verhindert werden. ⓘ
IT-Sicherheit ist ein Teil der Informationssicherheit. In Abgrenzung zu IT-Sicherheit umfasst Informationssicherheit neben der Sicherheit der IT-Systeme und der darin gespeicherten Daten auch die Sicherheit von nicht elektronisch verarbeiteten Informationen; ein Beispiel: Die „Prinzipien der Informationssicherheit“ können auch auf per Hand auf Papier notierte Rezepte eines Restaurants angewendet werden (da Vertraulichkeit, Integrität und Verfügbarkeit der Rezepte für das Restaurant extrem wichtig sein können, selbst wenn dieses Restaurant vollkommen ohne Einsatz irgendeines IT-Systems betrieben wird). ⓘ
Computersicherheit
Computersicherheit: die Sicherheit eines Computersystems vor Ausfall (man spricht von ungeplanter oder geplanter Ausfallzeit, engl. downtime) und Manipulation (Datensicherheit) sowie vor unerlaubtem Zugriff. ⓘ
Datensicherung
Datensicherung ist ein Synonym für das englischsprachige „Backup“ (dt. Sicherung), es war der ursprüngliche gesetzliche Begriff für Datensicherheit. ⓘ
Motivation und Ziele der Informationssicherheit
Informationen (oder Daten) sind schützenswerte Güter. Der Zugriff auf diese sollte beschränkt und kontrolliert sein. Nur autorisierte Benutzer oder Programme dürfen auf die Information zugreifen. Schutzziele werden zum Erreichen bzw. Einhalten der Informationssicherheit und damit zum Schutz der Daten vor beabsichtigten Angriffen von IT-Systemen definiert:
- Die Allgemeine Schutzziele sind nach ihrer englischen Abkürzung auch als CIA(-Triade) bekannt:
- Vertraulichkeit (englisch: confidentiality): Daten dürfen lediglich von autorisierten Benutzern gelesen bzw. modifiziert werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der Datenübertragung.
- Integrität (englisch: integrity): Daten dürfen nicht unbemerkt verändert werden. Alle Änderungen müssen nachvollziehbar sein.
- Verfügbarkeit (englisch: availability): Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet sein.
- Weitere Schutzziele der Informationssicherheit:
- Authentizität (englisch: authenticity) bezeichnet die Eigenschaften der Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit eines Objekts.
- Verbindlichkeit/Nichtabstreitbarkeit (englisch: non repudiation): Sie erfordert, dass „kein unzulässiges Abstreiten durchgeführter Handlungen“ möglich ist. Sie ist unter anderem wichtig beim elektronischen Abschluss von Verträgen. Erreichbar ist sie beispielsweise durch elektronische Signaturen.
- Zurechenbarkeit (englisch: accountability): „Eine durchgeführte Handlung kann einem Kommunikationspartner eindeutig zugeordnet werden.“
- in bestimmtem Kontext (zum Beispiel im Internet) auch Anonymität
- Besonderes Schutzziel im Zuge der DSGVO:
- Resilienz (englisch: resilience): Widerstandsfähigkeit/Belastbarkeit gegenüber Ausspähungen, irrtümlichen oder mutwilligen Störungen oder absichtlichen Schädigungen (Sabotagen) ⓘ
Jedes noch so gut geplante und umgesetzte IT-System kann Schwachstellen besitzen. Sind bestimmte Angriffe zum Umgehen der vorhandenen Sicherheitsvorkehrungen möglich, ist das System verwundbar. Nutzt ein Angreifer eine Schwachstelle oder eine Verwundbarkeit zum Eindringen in ein IT-System, sind die Vertraulichkeit, Datenintegrität und Verfügbarkeit bedroht (englisch: threat). Angriffe auf die Schutzziele bedeuten für Unternehmen Angriffe auf reale Unternehmenswerte, im Regelfall das Abgreifen oder Verändern von unternehmensinternen Informationen. Jede mögliche Bedrohung ist ein Risiko (englisch: risk) für das Unternehmen. Unternehmungen versuchen durch die Verwendung eines Risikomanagements (englisch: risk management) die Wahrscheinlichkeit des Eintretens eines Schadens und die daraus resultierende Schadenshöhe zu bestimmen. ⓘ
Nach einer Risikoanalyse und Bewertung der unternehmensspezifischen IT-Systeme können entsprechende Schutzziele definiert werden. Anschließend folgt die Auswahl von IT-Sicherheitsmaßnahmen für die jeweiligen Geschäftsprozesse eines Unternehmens. Dieser Vorgang zählt zu den Tätigkeiten des IT-Sicherheitsmanagements. Eine genormte Vorgehensweise wird durch das Verwenden von IT-Standards ermöglicht. ⓘ
Im Rahmen des IT-Sicherheitsmanagements findet die Auswahl und Umsetzung entsprechender IT-Sicherheitsstandards statt. Zu diesem Zweck existieren im Bereich IT-Sicherheitsmanagement verschiedene Standards. Mit Hilfe des ISO/IEC 27001- oder des IT-Grundschutz-Standards wird mit anerkannten Regeln versucht, die Komplexität soziotechnischer Systeme für den Bereich des IT-Sicherheitsmanagements zu reduzieren und ein geeignetes Maß an Informationssicherheit zu finden. ⓘ
Bedeutung der Informationssicherheit
In den frühen Kindertagen des (Personal-)Computers verstand man unter Computersicherheit die Sicherstellung der korrekten Funktionalität von Hardware (Ausfall von zum Beispiel Bandlaufwerken oder anderen mechanischen Bauteilen) und Software (richtige Installation und Wartung von Programmen). Mit der Zeit änderten sich die Anforderungen an die Computer (Internet, Speichermedien); die Aufgaben zur Computersicherheit mussten anders gestaltet werden. Somit bleibt der Begriff der Computersicherheit wandelbar. ⓘ
Private und öffentliche Unternehmen sind heute in allen Bereichen ihrer Geschäftstätigkeit, Privatpersonen in den meisten Belangen des täglichen Lebens auf IT-Systeme angewiesen. Da neben der Abhängigkeit auch die Risiken für IT-Systeme in Unternehmungen in der Regel größer sind als für Computer und Netzwerke in privaten Haushalten, ist Informationssicherheit überwiegend Aufgabe von Unternehmen. ⓘ
Entsprechende Verpflichtungen lassen sich im gesamten deutschsprachigen Raum aus den verschiedenen Gesetzen zum Gesellschaftsrecht, Haftungsrecht, Datenschutz, Bankenrecht usw. herleiten. Dort stellt Informationssicherheit einen Baustein des Risikomanagements dar. International spielen Vorschriften wie Basel II und der Sarbanes-Oxley Act eine wichtige Rolle. ⓘ
Bedrohungen
Verschiedene Szenarien eines Angriffs lassen sich in der IT-Sicherheit vorstellen. Eine Manipulation der Daten einer Website über eine sogenannte SQL-Injection ist ein Beispiel. Nachfolgend werden einige Angriffe, Ziele sowie Ursachen beschrieben: ⓘ
Angriffe und Schutz
Unter einem Angriff auf den Datenschutz oder Datensicherheit (repräsentiert durch zum Beispiel ein Computersystem) versteht man jeden Vorgang, dessen Folge oder Ziel ein Verlust des Datenschutzes oder der Datensicherheit ist. Auch technisches Versagen wird in diesem Sinne als Angriff gewertet. ⓘ
Statistische Sicherheit: Ein System wird dann als sicher bezeichnet, wenn für den Angreifer der Aufwand für das Eindringen in das System höher ist als der daraus resultierende Nutzen. Deshalb ist es wichtig, die Hürden für einen erfolgreichen Einbruch möglichst hoch zu setzen und damit das Risiko zu reduzieren. ⓘ
Absolute Sicherheit: Ein System ist dann absolut sicher, wenn es jedem denkbaren Angriff widerstehen kann. Die absolute Sicherheit kann nur unter besonderen Bedingungen erreicht werden, die die Arbeitsfähigkeit des Systems oft erheblich einschränken (isolierte Systeme, wenige und hochqualifizierte Zugriffsberechtigte). ⓘ
Der Mangel an Computersicherheit ist eine vielschichtige Bedrohung, die nur durch eine anspruchsvolle Abwehr beantwortet werden kann. Der Kauf und die Installation einer Software ist kein Ersatz für eine umsichtige Analyse der Risiken, möglicher Verluste, der Abwehr und von Sicherheitsbestimmungen. ⓘ
Ist einmal die Sicherheit eines Systems verletzt worden, muss es als kompromittiert betrachtet werden, was Maßnahmen zur Verhinderung weiterer Schäden und ggf. zur Datenrettung erfordert. ⓘ
Effekte oder Ziele
- Technischer Systemausfall
- Systemmissbrauch z. B. durch illegitime Ressourcennutzung, Veränderung von publizierten Inhalten wie Vandalismus etc.
- Sabotage
- Spionage
- Betrug und Diebstahl ⓘ
Ursachen oder Mittel
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) klassifiziert die unterschiedlichen Angriffsmethoden und -mittel in:
- Schadsoftware bzw. Malware, zu denen unter anderem Computerviren, Trojaner und Würmer gehören,
- Ransomware, eine besondere Form von Schadsoftware, die den Zugriff auf Daten und Systeme einschränkt und dessen Ressourcen erst gegen Zahlung eines Lösegelds wieder freigibt,
- Social Engineering,
- Advanced Persistent Threats (APT), bei denen der Angreifer sein Ziel sorgfältig aussucht,
- Unerwünscht zugesandte E-Mails (Spam), der wiederum in klassischen Spam, Schadprogramm-Spam und Phishing unterteilt werden,
- Botnetze,
- Distributed-Denial-of-Service-(DDoS)-Angriffe,
- Drive-by-Exploits und Exploit-Kits, die Schwachstellen in Browser, Browser-Plug-ins oder Betriebssystemen ausnutzen,
- Identitätsdiebstahl, wie zum Beispiel Spoofing, Phishing, Pharming oder Vishing,
- Seitenkanalangriffe – also solche Angriffe, die Nebeneffekte (Laufzeitverhalten, Energieverbrauch) beobachten und so Rückschlüsse auf die Daten ziehen; dies findet insbesondere bei Schlüsselmaterial Anwendung.
Daneben können die oben genannten Effekte auch durch
- physischen Einbruch zum Stehlen sensibler Daten wie Schlüssel oder zum Platzieren von Malware,
- höhere Gewalt, zum Beispiel in Form von Blitzschlag, Feuer, Vulkanausbruch oder Überschwemmung oder
- Fehlbedienung durch Personal oder zugangsberechtigte Personen verursacht werden. ⓘ
Viren, Würmer, trojanische Pferde
Während im Firmenumfeld die ganze Themenbreite der Computersicherheit Beachtung findet, verbinden viele Privatanwender mit diesem Begriff primär den Schutz vor Viren, Würmern, Spyware und Trojanern (trojanische Pferde). ⓘ
Die ersten Computerviren waren noch recht harmlos und dienten lediglich dem Aufzeigen diverser Schwachstellen von Computersystemen. Doch recht bald erkannte man, dass Viren zu weitaus mehr in der Lage sind. Es begann eine rasante Weiterentwicklung der Schädlinge und der Ausbau ihrer Fähigkeiten – vom simplen Löschen von Dateien über das Ausspionieren von Daten (zum Beispiel von Passwörtern) bis hin zum Öffnen des Rechners für entfernte Benutzer (Backdoor). ⓘ
Mittlerweile existieren diverse Baukästen im Internet, die neben einer Anleitung auch alle notwendigen Bestandteile für das einfache Programmieren von Viren liefern. Nicht zuletzt schleusen kriminelle Organisationen Viren auf PCs ein, um diese für ihre Zwecke (UBE/UCE, DoS-Angriffe etc.) zu nutzen. So entstanden bereits riesige Bot-Netze, die auch illegal vermietet werden. ⓘ
Maßnahmen
Die Maßnahmen müssen im Rahmen der Erstellung eines Sicherheitskonzeptes an den Wert der zu schützenden Unternehmenswerte angepasst werden. Zu viele Maßnahmen bedeuten zu hohe finanzielle, organisatorische oder personelle Aufwände. Akzeptanzprobleme treten auf, wenn die Mitarbeiter nicht genügend in den Prozess der IT-Sicherheit eingebunden werden. Implementiert man zu wenig Maßnahmen, bleiben für Angreifer lohnende Sicherheitslücken offen. ⓘ
Management
Informationssicherheit ist grundsätzlich eine Aufgabe der Leitung einer Organisation oder eines Unternehmens und sollte nach einem Top-Down-Ansatz organisiert sein. Insbesondere die Verabschiedung von Informationsschutz- und Sicherheitsrichtlinien (englisch: Security Policy) ist Aufgabe des obersten Managements. Weitere Aufgabe des Managements kann die Einführung und der Betrieb eines Informationssicherheitsmanagement-Systems (ISMS) sein. Dieses ist für die operative Umsetzung und Kontrolle der Security Policy zuständig. Durch diese Maßnahmen sollen geeignete Organisations- und Managementstrukturen für den Schutz der Unternehmenswerte geschaffen werden. Weitere Informationen sind im Artikel IT-Sicherheitsmanagement zu finden. ⓘ
Operative Maßnahmen
Maßnahmen sind unter anderem physische beziehungsweise räumliche Sicherung von Daten und weitere Vorkehrungen der Datensicherung, Verschlüsselung, Zugriffskontrollen sowie der Einsatz fehlertoleranter Systeme. Wichtige Voraussetzung ist die Sicherheit der verarbeitenden Systeme. Ein effektives Sicherheitskonzept berücksichtigt neben technischen Maßnahmen auch organisatorische und personelle Maßnahmen. ⓘ
Zu den Sicherheitsmaßnahmen, die von jedem Verantwortlichen für die Informationssicherheit in Unternehmen, aber vor allem auch von privaten Nutzern von Computern und Netzwerken für die Informationssicherheit getroffen werden können, gehören unter anderem die folgenden Punkte. ⓘ
Zugangskontrolle
Der berechtigte Zugang zu Computersystemen und Anwendungssoftware muss durch eine zuverlässige und sichere Zugangskontrolle gewährleistet werden. Dies kann mit individuellen Benutzernamen und hinreichend komplexen Kennwörtern und insbesondere mit weiteren Faktoren realisiert werden (siehe auch Zwei-Faktor-Authentifikation), wie zum Beispiel mit Transaktionsnummern oder mit Security-Token. ⓘ
Eingeschränkte Benutzerkonten verwenden
Der Systemadministrator darf tiefgehende Änderungen an einem Computer durchführen. Dies erfordert entsprechende Kenntnis der Gefahren, und es ist für normale Benutzer alles andere als ratsam, mit den Rechten eines Administrators im Internet zu surfen, Dateien oder E-Mails herunterzuladen. Moderne Betriebssysteme verfügen daher über die Möglichkeit, die Benutzerrechte einzuschränken, so dass zum Beispiel Systemdateien nicht verändert werden können. ⓘ
Restriktive Konfiguration
Die Verwendung eingeschränkter Benutzerkonten für die tägliche Arbeit verhindert die Kompromittierung des Betriebssystems selbst, der Systemkonfiguration und der (schreibgeschützt) installierten Anwendungs- und System-Programme, bietet aber keinen Schutz gegen Kompromittierung der Benutzerdaten und der Benutzerkonfiguration: unter eingeschränkten Benutzerkonten sind beliebige Programme (dazu zählen auch Shellskripts und Stapelverarbeitungsdateien) ausführbar, obwohl die wenigsten Benutzer diese Möglichkeit überhaupt nutzen. ⓘ
Da Benutzer typischerweise (nur) die mit dem Betriebssystem gelieferten sowie die von ihrem Administrator installierten Programme verwenden, ist es möglich, Benutzern die Rechte zum Ausführen von Dateien nur dort zu gewähren, wo das Betriebssystem und die installierten Programme abgelegt sind (und sie nicht schreiben können), und überall dort zu entziehen, wo sie selbst schreiben können. Schädliche Programme, die beispielsweise von einer infizierten Webseite heruntergeladen und vom Benutzer unbemerkt als sog. „Drive-by-Download“ im Cache des Browsers abgelegt werden, werden damit unschädlich gemacht. ⓘ
Aktuelle Versionen von Microsoft Windows erlauben die Umsetzung dieser Restriktion mit den sog. „Softwarebeschränkungsrichtlinien“ alias „SAFER“. ⓘ
Die Datenausführungsverhinderung aktueller Betriebssysteme wendet dieselbe Restriktion im virtuellen Speicher an. ⓘ
Software aktuell halten
Für viele Programme werden (regelmäßig) Aktualisierungen angeboten. Diese bieten nicht immer nur eine veränderte oder verbesserte Funktionalität, sondern beheben häufig auch Sicherheitslücken und Programmfehler. Besonders betroffen sind vor allem Programme, die über Netzwerke mit dem Internet kommunizieren, wie zum Beispiel Betriebssysteme, Browser, Schutzprogramme oder E-Mail-Programme. ⓘ
Sicherheitsrelevante Software-Aktualisierungen sollten so schnell wie möglich aus überprüfbaren und zuverlässigen Quellen auf den entsprechenden Rechnersystemen installiert werden. Viele Geräte im Internet der Dinge und Programme bieten eine automatische Funktion an, die die Aktualisierung im Hintergrund ohne das Eingreifen des Benutzers bewerkstelligt, indem die aktualisierte Software direkt aus dem Internet geladen wird. ⓘ
Veraltete, unsichere und unbenutzte Software deinstallieren
Software, deren Hersteller die Wartung eingestellt hat, sogenannte End of Life (EOL), die unsicher ist oder die nicht mehr benutzt wird, muss deinstalliert werden, um den Schutz zu gewährleisten. ⓘ
Sicherungskopien erstellen
Von jeder Datei, die wichtig ist, muss mindestens eine Sicherungskopie auf einem separaten Speichermedium angefertigt werden. Hierzu gibt es zum Beispiel Backup-Software, die diese Aufgaben regelmäßig und automatisch erledigt. Im Rahmen von wiederkehrenden Wartungsarbeiten müssen angefertigte Sicherungskopien auf Integrität, Vertraulichkeit und Verfügbarkeit geprüft werden. ⓘ
Im Unternehmensbereich kommen Backup-Lösungen mit örtlicher Distanz wie beispielsweise durch ein zweites Rechenzentrum mit redundanter Spiegelung sowie Cloud-Lösungen infrage. Diese Lösungen sind oftmals kostspielig. Die Verbesserung der Datensicherheit durch Sicherungskopien ist im Privatbereich weniger kostenintensiv. So können je nach Datenmenge auch kleinere Wechseldatenträger wie DVD oder Blu-ray sowie externe (USB-)Festplatten oder NAS-Systeme zur Sicherung genutzt werden. ⓘ
Grundsätzlich gilt, dass die Relevanz der Daten für unternehmerische oder private Zwecke über Art und Häufigkeit der Sicherung sowie über die Anzahl der Sicherungskopien entscheiden sollte. ⓘ
Antiviren-Software verwenden
Wenn Daten aus dem Internet, von Mailservern heruntergeladen oder von Datenträgern kopiert werden, besteht immer die Möglichkeit, dass sich darunter auch schädliche Dateien befinden. Solche Schadprogramme sind oft auf weitverbreitete Betriebssysteme oder häufig genutzte Browser ausgerichtet. ⓘ
Zur Vermeidung einer Kompromittierung sollten nur Dateien oder Anhänge geöffnet werden, denen man vertraut oder die von einem sogenannten Antivirenprogramm als unschädlich erkannt werden. ⓘ
Allerdings können weder Vertrauen noch Antivirenprogramme vor allen schädlichen Dateien schützen. Eine vertrauenswürdige Quelle kann selbst infiziert sein, und Antivirenprogramme können unter Umständen neue sowie unbekannte Schädlinge nicht entdecken. Deshalb sollten sie regelmäßig, eventuell sogar mehrmals täglich aktualisiert werden. ⓘ
Antivirenprogramme können sogar schädliche Nebenwirkungen haben, indem sie unschädliche Systemdateien irrtümlich als „infiziert“ erkennen und diese beseitigen, worauf das Betriebssystem nicht mehr korrekt funktioniert oder gar nicht mehr startet. Wie alle Computerprogramme können sie selbst Fehler und Sicherheitslücken haben, sodass unter Umständen das Computersystem nach der Installation nicht sicherer ist oder sogar unsicherer werden kann. Zudem können sie durch Werbeaussagen wie „bietet umfassenden Schutz gegen alle Bedrohungen“ zu riskanterem Verhalten verleiten. ⓘ
Diversifikation
Eine weitere Maßnahme zur Reduktion der Gefahren besteht in der Diversifizierung von Software, also darin, Software von verschiedenen, auch nicht marktführenden Anbietern zu verwenden. Die Angriffe von Crackern zielen oftmals auf Produkte von großen Anbietern, weil sie bei kriminellen Angriffen damit den größten Gewinn erzielen und ansonsten gegebenenfalls den größten „Ruhm“ erlangen. Insofern kann es ratsam sein, auf Produkte von kleineren und weniger bekannten Unternehmen oder auf Open-Source-Software zurückzugreifen. ⓘ
Firewalls verwenden
Gegen Angriffe, die ohne das aktive Zutun des Nutzers drohen, ist eine Netzwerk-Firewall oder eine Personal Firewall unerlässlich. Sie verhindert unerwünschte Zugriffe auf den Computer und unbeabsichtigte Aktivitäten des eigenen Computers, die vom Benutzer meist gar nicht bemerkt werden. Die Konfiguration einer Firewall ist nicht trivial und erfordert eine gewisse Kenntnis der Vorgänge und Gefahren. ⓘ
Sandbox
Eine Sandbox (übertragene Bezeichnung: "Sandkasten") sperrt ein potenziell schädliches Programm ein. Im schlimmsten Falle kann das Programm im Innern der Sandbox Schaden anrichten. Beispielsweise gibt es keinen Grund, weshalb ein PDF-Reader auf OpenOffice-Dokumente zugreifen muss. Die Sandbox wäre in diesem Fall „alle PDF-Dokumente und sonst nichts“. Techniken wie AppArmor und SELinux ermöglichen den Bau einer Sandbox. ⓘ
Aktive Inhalte deaktivieren
Bei aktiven Inhalten handelt es sich um Funktionalitäten, die die Bedienung eines Computers vereinfachen sollen. Das automatische Öffnen beziehungsweise Ausführen von heruntergeladenen Dateien birgt jedoch die Gefahr, dass diese schädlichen Code ausführen und den Rechner infizieren. Um dies zu vermeiden, sollten aktive Inhalte, wie zum Beispiel ActiveX, Java oder JavaScript, so weit wie möglich deaktiviert werden. ⓘ
Protokollierung
Automatisch erstellte Protokolle oder Logdateien können dabei helfen, zu einem späteren Zeitpunkt zu ermitteln, wie es zu Schäden an einem Rechnersystem gekommen ist. ⓘ
Sichere Entwicklungssysteme und Laufzeitumgebungen verwenden
Für die Generierung und Wartung sicherer Software ist es sehr nützlich, schon bei der Softwareentwicklung strukturiert zu programmieren und leicht überschaubare und erlernbare Werkzeuge zu verwenden, die möglichst enggefasste Sichtbarkeitsregeln und gekapselte Programmmodule mit eindeutig definierten Schnittstellen erlauben. Durch eingeschränkte Freiheiten bei der Programmierung, wie zum Beispiel die Beschränkung auf einfache Vererbung oder das Verbot von Zirkelbezügen oder kritischen Typumwandlungen, wird in der Regel zugleich das Potenzial von Programmfehlern eingeschränkt. Dabei ist es auch sinnvoll und hilfreich, bereits getestete Software durch geeignete Maßnahmen wiederzuverwenden, wie zum Beispiel durch die Verwendung von Prozeduren oder objektorientierten Datenstrukturen. ⓘ
Entwickler von Software, die zum sicheren Datenaustausch zwischen Rechnern eingesetzt wird, müssen moderne Entwicklungssysteme und Programmiersprachen einsetzen, da ältere Systeme häufig Sicherheitslücken aufweisen und nicht über die entsprechende Sicherheitsfunktionalität verfügen. Sichere Software ist nur in entsprechenden, modernen und sicheren Laufzeitumgebungen lauffähig und sollte mit Entwicklungswerkzeugen (wie zum Beispiel Compilern) erstellt werden, die ein möglichst hohes Maß an inhärenter Sicherheit bieten, wie zum Beispiel Modulsicherheit, Typsicherheit oder die Vermeidung von Pufferüberläufen. ⓘ
Auch bei Geräten, die nicht in einem Rechnernetz beziehungsweise im Internet der Dinge betrieben werden, kann die Informationssicherheit durch geeignete Entwicklungssysteme und Laufzeitumgebungen erhöht werden. Datenverlust durch unzuverlässigen Programmcode (Computerabsturz) kann vorbeugend zum Beispiel durch compilergenerierte Überprüfung von Indizes von Datenfeldern, unzulässigen Zeigern oder nach dem Auftreten von Programmfehlern durch Ausnahmebehandlung in der Laufzeitumgebung vermieden werden. Ferner ist es in objektorientierten Laufzeitumgebungen unerlässlich und auch in anderen Systemen sicherer, eine automatische Speicherbereinigung durchzuführen, damit nicht versehentlich Speicherplatz freigegeben wird. ⓘ
Manche Entwickler vertrauen auf die Verifikation von Programmcode, um die Korrektheit von Software zu verbessern. Ferner ist es möglich, bereits implementierte Software durch bestimmte Verfahren, wie zum Beispiel die Verwendung von Proof-Carrying Code, erst während der Laufzeit zu überprüfen und deren Ausführung bei der Nichteinhaltung von Sicherheitsrichtlinien zu verhindern. ⓘ
Sensibilisierung und Befähigung der Mitarbeiter
Ein wichtiger Aspekt in der Umsetzung von Sicherheitsrichtlinien ist die Ansprache der eigenen Mitarbeiter, die Bildung von sogenannter IT-Security-Awareness. Hier fordern die ersten Arbeitsrichter den Nachweis der erfolgten Mitarbeitersensibilisierung für den Fall eines etwaigen Verstoßes gegen die Firmenrichtlinien. ⓘ
Da Industriespionage oder gezielte, wirtschaftlich motivierte Sabotage gegen Unternehmen nicht allein mit technischen Mitteln, sondern beispielsweise durch Social Engineering ausgeführt werden, erhält diese menschliche Seite der Informationssicherheit zusätzliche Bedeutung. Mitarbeiter sollten über mögliche Tricks der Angreifer orientiert sein und gelernt haben, mit potenziellen Angriffen umzugehen. Die Sensibilisierung variiert typischerweise von Unternehmen zu Unternehmen von Präsenzveranstaltungen über webbasierte Seminare bis hin zu Sensibilisierungskampagnen. ⓘ
Der Fokus verschiebt sich dabei inzwischen von der reinen Sensibilisierung (Awareness) hin zur Befähigung (Empowerment) der Anwender, eigenverantwortlich für mehr Sicherheit im Umgang mit IT-gestützten Informationen zu sorgen. In Unternehmen kommt dabei dem „Information Security Empowerment“ der Führungskräfte besondere Bedeutung zu, da sie Vorbildfunktion für ihre Abteilungsmitarbeiter haben und dafür verantwortlich sind, dass die Sicherheitsrichtlinien ihres Verantwortungsbereiches zu den Arbeitsabläufen passen – eine wichtige Voraussetzung für die Akzeptanz. ⓘ
Standards, „Best Practices“ und Ausbildung im Überblick
Zur Bewertung und Zertifizierung der Sicherheit von Computersystemen existieren internationale Normen. Wichtige Normen in diesem Zusammenhang waren die amerikanischen TCSEC und die europäischen ITSEC-Standards. Beide wurden 1996 von dem neueren Common-Criteria-Standard abgelöst. Die Evaluierung und Zertifizierung von IT-Produkten und -systemen erfolgt in Deutschland in der Regel durch das Bundesamt für Sicherheit in der Informationstechnik (BSI). ⓘ
Security Engineering
Das Fachgebiet Security Engineering stellt Instrumente zur Abwehr und Analyse von Angriffen und Bedrohungen von IT-Systemen bereit. ⓘ
Audits und Zertifizierungen
Um ein gewisses Standardmaß an Informationssicherheit zu gewährleisten, ist die regelmäßige Überprüfung von Maßnahmen zur Risikominimierung und -dezimierung Pflicht. Auch hier rücken wieder organisatorische und technische Aspekte in den Vordergrund. ⓘ
Technische Sicherheit kann zum Beispiel durch Maßnahmen wie regelmäßige Penetrationstests oder vollständige Sicherheitsaudits erreicht werden, um eventuell bestehende Sicherheitsrisiken im Bereich von informationstechnischen Systemen, Applikationen und/oder in der informationstechnischen Infrastruktur zu erkennen und zu beseitigen. ⓘ
Organisatorische Sicherheit kann durch Audits der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden. Beispielsweise können vordefinierte Testschritte beziehungsweise Kontrollpunkte eines Prozesses während eines Audits getestet werden. ⓘ
Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur weiteren Risikominimierung beziehungsweise -dezimierung ableiten. Eine Methodik, wie in diesem Absatz beschrieben, ist unmittelbar konform zu Normen wie ISO/IEC 27001, BS 7799 oder gesetzlichen Vorschriften. Hier wird meist eine Nachvollziehbarkeit über Vorgänge der Informationssicherheit unmittelbar eingefordert, indem Unternehmen ein Risikomanagement abverlangt wird. ⓘ
Bei der Arbeit an Maschinen und Anlagen haben Komponenten der funktionalen Sicherheit für den Menschen eine wichtige Schutzfunktion. Damit Sicherheitsfunktionen von Steuerungen zuverlässig funktionieren, muss auch die Steuerung selbst vor Ausfall und Manipulation geschützt werden. Daher werden auch Security-Aspekte der funktionalen Sicherheit von industriellen Automatisierungssystemen geprüft und zertifiziert. Diese Prüfung/Zertifizierung kann nur in Kombination mit einer Zertifizierung der funktionalen Sicherheit durchgeführt werden oder auf einer solchen Zertifizierung aufbauen. Ein Prüfgrundsatz formuliert Anforderungen für das Erreichen eines Security-Levels 1 (SL 1: Schutz gegen gelegentlichen oder zufälligen Verstoß) nach DIN EN 62443-3-3. Weitere Grundlagen dieses Prüfgrundsatzes sind die Normen IEC/TS 62443-1-1, DIN EN IEC 62443-4-1, DIN EN IEC 62443-4-2. Den organisatorischen Ablauf einer Prüfung/Zertifizierung regelt die DGUV Test Prüf- und Zertifizierungsordnung, Teil 1: Zertifizierung von Produkten, Prozessen und Qualitätsmanagementsystemen (DGUV Grundsatz 300-003). ⓘ
Umsetzungsbereiche
Zur Sensibilisierung für die Gefahren im Bereich der IT-Sicherheit und um mögliche Gegenmaßnahmen aufzuzeigen, existieren in Deutschland einige Initiativen. Dazu zählen der Cyber-Sicherheitsrat Deutschland e. V., der Verein Deutschland sicher im Netz, die Allianz für Cyber-Sicherheit und die Sicherheitskooperation Cybercrime. ⓘ
Privathaushalte
Programmierfehler in fast jeder Software machen es quasi unmöglich, Sicherheit vor jeder Art von Angriffen zu erreichen. Durch den Anschluss von Computern mit sensiblen Daten (zum Beispiel Homebanking, Bearbeitung der Dissertation) an das Internet sind diese Schwachstellen auch von außen nutzbar. Der Standard an IT-Sicherheit in Privathaushalten ist geringer, da kaum ausreichende Maßnahmen zur Absicherung der Infrastruktur (zum Beispiel unterbrechungsfreie Stromversorgung, Einbruchsschutz) ergriffen werden. ⓘ
Aber auch in anderen Bereichen besteht in privaten Haushalten weiterhin ein Defizit. ⓘ
Viele private Benutzer haben noch nicht verstanden, dass es wichtig ist, die Konfiguration der genutzten Software an die jeweiligen Bedürfnisse anzupassen. So ist es bei vielen an das Internet angeschlossenen Rechnern nicht nötig, dass auf ihnen Server-Programme laufen. Server-Dienste werden von vielen Betriebssystemen in der Standardinstallation geladen; mit deren Deaktivierung schließt man eine Reihe wichtiger Angriffspunkte. ⓘ
Sicherheitsaspekte wie zum Beispiel die Einrichtung von Zugriffsbeschränkungen sind vielen Benutzern ebenfalls fremd. Außerdem ist es von Bedeutung, sich über Schwachstellen in der eingesetzten Software zu informieren und regelmäßig Aktualisierungen einzuspielen. ⓘ
Zur Computersicherheit gehört nicht nur der präventive Einsatz technischer Werkzeuge wie beispielsweise Firewalls, Intrusion-Detection-Systeme etc., sondern auch ein organisatorischer Rahmen in Form durchdachter Grundsätze (Policy, Strategie), die den Menschen als Anwender der Werkzeuge in das System einbezieht. Allzu oft gelingt es Hackern, durch Ausnutzung eines zu schwachen Kennworts oder durch sogenanntes Social Engineering Zugang zu sensiblen Daten zu erlangen. ⓘ
IT-Sicherheit bei Sparkassen und Banken
Zur Beschleunigung des Prozesses und Hervorhebung der Wichtigkeit haben unter anderem die Ergebnisse von Basel II, die Vorschriften von BaFin und des KWG sowie der einzelnen Verbandsrevisionen der Sparkassen und Banken beigetragen. Verstärkt werden sowohl externe als auch interne Prüfungen auf dieses Thema ausgelegt. Gleichzeitig entstand ein umfangreiches Dienstleistungsangebot zur Durchführung verschiedener Projekte, die einen IT-Sicherheitsprozesses in Unternehmen etablieren sollen. Anbieter sind sowohl innerhalb der jeweiligen Unternehmensgruppe als auch auf dem externen Markt zu finden. Bei anderen Finanzdienstleistungsinstituten, Versicherungsunternehmen und den Unternehmen des Wertpapierhandels wird das Konzept im Allgemeinen identisch sein, wobei hier zum Beispiel auch andere Gesetze eine Rolle spielen können. ⓘ
IT-Sicherheit bei anderen Unternehmen
Auch wenn die Gesetzgebungen und Prüfungen in anderen Sektoren der Wirtschaft weniger Vorgaben macht, behält die IT-Sicherheit ihren hohen Stellenwert. Hilfestellungen gewähren die kostenfreien IT-Grundschutz-Kataloge des BSI. ⓘ
Durch die zunehmende Vernetzung verschiedener Niederlassungen z. B. bei Firmenzukäufen gewinnt eine Absicherung der IT-Systeme größere Bedeutung. Durch die Datenübertragung aus einem internen, geschlossenen Netzwerk über eine externe, öffentliche Verbindung zum anderen Standort entstehen risikobehaftete Situationen. ⓘ
Die Auswirkungen für Unternehmen sind u. a.:
- Verlust von Daten,
- Manipulation von Daten,
- unzuverlässiger Empfang von Daten,
- verspätete Verfügbarkeit von Daten,
- Abkopplung von Systemen für das operative Geschäft,
- unzulässige Verwertung von Daten,
- fehlende Entwicklungsfähigkeit der eingesetzten Systeme. ⓘ
Die Gefahr liegt nicht nur im firmeninternen Datenaustausch. Zunehmend werden Anwendungen direkt zu den Nutzern übertragen, oder externe Mitarbeiter und outgesourcte Dienstleister können auf interne Daten zugreifen und diese bearbeiten und verwalten. Dies erfordert entsprechende Zugriffsberechtigungen (Authentifizierung) sowie eine Dokumentation der getätigten Aktionen wie Datenabruf oder Datenänderungen. ⓘ
Dieser Thematik folgend entstehen neue Anforderungen an die bestehenden Sicherheitskonzepte. Hinzu kommen die gesetzlichen Vorgaben, die ebenfalls in das IT-Sicherheitskonzept mit integriert werden müssen. Die entsprechenden Gesetze werden von externen und internen Prüfern kontrolliert. Da keine Methoden definiert worden sind, um diese Ergebnisse zu erreichen, wurden hier für die jeweiligen Bereiche verschiedenen „Best Practice“-Methoden entwickelt, wie zum Beispiel ITIL, COBIT, ISO oder Basel II. ⓘ
Hier gilt der Ansatz, ein Unternehmen so zu führen und zu kontrollieren, dass die relevanten und möglichen Risiken abgedeckt sind (IT-Governance). Grundlagen dafür sind sowohl die zwingenden Standards, also Gesetze (HGB, AO, GOB) und Fachgutachten (Sarbanes-Oxley Act, 8. EU-Audit-Richtlinie), als auch die unterstützenden Standards (Best Practice). ⓘ
Die Risiken müssen identifiziert, analysiert und bewertet werden, um ein ganzheitliches Sicherheitskonzept aufbauen zu können. Dies beinhaltet nicht nur die eingesetzten Technologien, sondern auch konzeptionelle Aspekte wie Zuständigkeiten, Berechtigungen, Kontrollinstanzen oder Mindestanforderungen für bestimmte Sicherheitsmerkmale. ⓘ
So werden nun an die EDV besondere Anforderungen gestellt:
- Verhinderung von Manipulationen
- Nachweis von Eingriffen
- Installation von Frühwarnsystemen
- Interne Kontrollsysteme ⓘ
Dabei ist zu beachten, dass die Daten der Automation derart gespeichert werden, dass sie jederzeit lesbar, nachvollziehbar und konsistent sind. Dazu müssen diese Daten vor Manipulation und Löschung geschützt werden. Jegliche Änderung soll ein Versionsmanagement auslösen und die Reporte und Statistiken über die Prozesse und deren Änderungen müssen direkt zentral abrufbar sein. ⓘ
Eine Abhilfe können hier hochentwickelte Automatisierungslösungen sein. Dadurch, dass weniger manuelle Eingriffe notwendig sind, werden potenzielle Gefahrenquellen ausgeschlossen. Die RZ-Automation umfasst somit folgende Gebiete:
- Risikofaktor Prozessablauf
- Risikofaktor Ressourcen
- Risikofaktor Technologie
- Risikofaktor Zeit ⓘ
IT-Sicherheit in öffentlichen Einrichtungen und Behörden
Im Bereich öffentliche Einrichtungen und Behörden sind die IT-Grundschutz-Kataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) Standardwerke. In großem Maße erhalten diese Stellen das zugehörige GSTOOL, welches die Durchführung deutlich vereinfacht, kostenlos. ⓘ
Gesetzliche Rahmenbedingungen
Corporate Governance kann als Rahmen der IT-Sicherheit gesehen werden. Der Begriff stammt aus dem strategischen Management und bezeichnet einen Prozess zur Steuerung eines privatwirtschaftlichen Unternehmens. Durch Regeln und Kontrollmechanismen wird ein Ausgleich zwischen den verschiedenen Interessengruppen (Stakeholdern) angestrebt. Der Prozess dient dem Erhalt des Unternehmens und unterliegt einer regelmäßigen externen Überprüfung. ⓘ
IT-Sicherheitsgesetz
Unter dem Eindruck von Terroranschlägen und aus militärischen Erwägungen tritt in Deutschland und anderen Ländern zunehmend der Schutz kritischer Infrastrukturen vor Cyber-Attacken in den Vordergrund. Hierzu trat am 25. Juli 2015 ein Artikelgesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz, ITSiG) in Kraft. Das Gesetz weist dem Bundesamt für Sicherheit in der Informationstechnik die zentrale Rolle beim Schutz kritischer Infrastrukturen in Deutschland zu. ⓘ
Hierzu wurde das BSI-Gesetz um Sicherheitsanforderungen an sogenannte „Kritische Infrastrukturen“ ergänzt. Dies sind Einrichtungen, Anlagen oder Teile davon, die
- den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und
- von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. ⓘ
In einer zugehörigen Verordnung KRITIS-Verordnung (BSI-KritisV) wird geklärt, welche Einrichtungen, Anlagen oder Teile davon konkret unter die Vorgaben des IT-Sicherheitsgesetzes fallen. Unter anderem zählen Stromnetze, Atomkraftwerke und Krankenhäuser dazu. ⓘ
Kritische Infrastrukturen müssen branchenspezifische Mindeststandards erfüllen, wozu insbesondere die Einführung eines ISMS zählt. Weiterhin müssen sie relevante Vorfälle, die die IT-Sicherheit betreffen, an das BSI melden. ⓘ
Durch das IT-Sicherheitsgesetz wurden außerdem weitere Gesetze wie z. B. das Energiewirtschaftsgesetz geändert. Durch die Änderung des Energiewirtschaftsgesetzes werden sämtliche Strom- und Gasnetzbetreiber verpflichtet, den IT-Sicherheitskatalog der Bundesnetzagentur umzusetzen und ein ISMS einzuführen. ⓘ
Am 27. März 2019 veröffentlichte das Bundesinnenministerium ferner den Entwurf für ein IT-Sicherheitsgesetz 2.0, der einen ganzheitlichen Ansatz zur IT-Sicherheit enthält. Aufgenommen werden soll unter anderem ein verbraucherfreundliches IT-Sicherheitskennzeichen für Handelsprodukte, zudem werden die Kompetenzen des BSI gestärkt und Straftatbestände in der Cybersicherheit und die damit verbundene Ermittlungstätigkeit ausgedehnt. Der Gesetzentwurf erweitert zudem die Adressaten von Meldepflichten und Umsetzungsmaßnahmen. Insgesamt ist durch das Gesetz mit einer erheblichen wirtschaftlichen Mehrbelastung für Unternehmen und Behörden zu rechnen. ⓘ
Im Dezember 2020 legte die Bundesregierung weitere Entwürfe für das IT-Sicherheitsgesetz 2.0 vor. Verbände und andere Interessensvertreter kritisierten die kurze Kommentarfrist von wenigen Tagen, teils nur 24 Stunden, die laut Kritikern einem „faktischen Ausschluss von Beteiligung“ gleichkämen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) werde zu einer „Cyber-Behörde mit Hackerbefugnissen“ aufgerüstet. Der Bundesverband der Verbraucherzentralen begrüßte, dass das BSI auch den Schutz von Konsumenten erhalten soll, wies aber zugleich auf mögliche Interessenskonflikte mit anderen Aufgabenbereichen dieser Behörde wie der Unterstützung bei der Strafverfolgung hin. Am 16. Dezember 2020 wurde das IT-Sicherheitsgesetz 2.0 im Kabinett beschlossen und zur Notifizierung bei der Europäischen Kommission eingereicht. Nachdem das Gesetzesvorhaben im Frühjahr 2021 den Bundestag und Bundesrat passierte trat das IT-Sicherheitsgesetz 2.0 Ende Mai offiziell in Kraft. ⓘ
Strafrechtliche Aspekte
Jegliches rechtswidrige Verändern, Löschen, Unterdrücken oder Unbrauchbar-Machen fremder Daten erfüllt den Tatbestand nach § 303a StGB (Datenveränderung). In besonders schweren Fällen ist dies auch nach § 303b I Nr. 1 StGB („Computersabotage“) strafbar und wird mit Haftstrafe von bis zu fünf Jahren oder Geldstrafe bestraft. Die Durchführung von DDOS-Attacken stellt seit 2007 ebenfalls eine Computersabotage dar, Gleiches gilt für jegliche Handlungen, die zur Beschädigung eines Informationssystems führen, das für einen anderen von wesentlicher Bedeutung ist. ⓘ
Das Ausspähen von Daten (§ 202a StGB), also die Erlangung des Zugangs zu fremden Daten, die hiergegen besonders geschützt sind, wird mit Haftstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. Das Abfangen fremder Daten in Netzen oder aus elektromagnetischen Abstrahlungen ist seit 2007 ebenfalls strafbar, anders als bei § 202a StGB kommt es hier nicht auf eine besondere Zugangssicherung an. Das sich Verschaffen, Erstellen, Verbreiten, Öffentlich-Zugänglichmachen etc. von sog. „Hackertools“ steht ebenfalls seit 2007 unter Strafe, wenn damit eine Straftat vorbereitet wird (§ 202c StGB). ⓘ
Daten sind nach § 202a Abs. 2 in Verbindung mit Abs. 1 aber nur vor dem Ausspähen geschützt, wenn sie „besonders gesichert“ sind, um ein Ausufern des Tatbestandes zu vermeiden. Das heißt, erst wenn der Nutzer seine Daten technisch schützt, genießt er auch den strafrechtlichen Schutz. Die frühere Debatte, ob das „Hacken“ ohne Abruf von Daten strafbar sei, ist hinfällig, seit der Wortlaut der Norm 2007 derart geändert wurde, dass Strafbarkeit bereits mit Erlangung des Zugangs zu Daten einsetzt. Weiter ist umstritten, ob die Verschlüsselung zur besonderen Sicherung zählt. Sie ist zwar sehr effektiv, aber es wird argumentiert, die Daten seien ja nicht gesichert, sondern lägen nur in „unverständlicher“ bzw. schlicht „anderer“ Form vor. ⓘ
Als Computerbetrug wird nach § 263 a StGB mit Geldstrafe oder Freiheitsstrafe bis zu fünf Jahren bestraft, wenn Datenverarbeitungsvorgänge zur Erlangung von Vermögensvorteilen manipuliert werden. Schon das Erstellen, Verschaffen, Anbieten, Verwahren oder Überlassen dafür geeigneter Computerprogramme ist strafbar. ⓘ
Zitate
„Ich glaube, dass es zunehmend wahrscheinlicher wird, dass wir bis 2017 einige katastrophale Systemfehler erleben. Noch wahrscheinlicher, wir werden von einem fürchterlichen Systemausfall betroffen sein, weil irgendein kritisches System mit einem nicht-kritischen verbunden war, das mit dem Internet verbunden wurde, damit irgendjemand an MySpace herankommt – und dieses Hilfssystem wird von Malware infiziert.“