sicherheitsthemen.de
Sicherheit ist ein hohes Gut und nicht leicht zu erreichen!

Inhalt:

• Baby-Sicherheit
• Computer-Sicherheit
• IT-Sicherheit
• Sicherheitssprüche

Service:

• Home
• Kontakt
• Sprüche
• Suche

Projekte:

• Controlling
• CRM
• EAI
• E-Commerce
• ERP
• E-Learning
• Mechatronik
• PPS
• Wirtschaftsinformatik
• PM-Zitate
• My Career

IT Sicherheit

Was versteht man eigentlich unter IT Sicherheit?

Zuerst einmal ist es also die Sicherheit der Informationstechnologie (teilweise spricht man auch von IT Systemsicherheit). Diese Informationstechnologiesicherheit hat als Ziel die Informationssicherheit zu gewährleisten . Diese Informationssicherheit wiederum hat das Ziel, die Verarbeitung, Speicherung und Kommunikation von Informationen so zu gestalten, dass die Vertraulichkeit, Verfügbarkeit und Integrität der Informationen und Systeme in ausreichendem Maß sichergestellt wird (siehe Schutzziele im Folgenden).
Zur Zielerreichung müssen verschiedene Teilaspekte (s. dort) integriert betrachtet werden. Informationssicherheit bezeichnet in diesem Zusammenhang das Ziel, diese Systeme von Gefahr bzw. Bedrohungen zu schützen, Schaden zu vermeiden und Risiken zu minimieren.
Dabei umfasst die Informationssicherheit -neben der Sicherheit der IT-Systeme und der darin gespeicherten Daten- auch die Sicherheit von nicht elektronisch verarbeiteten Informationen.

Inhalte der IT Sicherheit

• die Einrichtung und Aufrechterhaltung geeigneter betrieblicher und technischer Massnahmen, um die Einhaltung der Schutzziele der Informationssicherheit bei IT-gestützter Verarbeitung von Informationen zu gewährleisten
• Funktionalität: Hardware und Software sollen erwartungsgemäß funktionieren.
• Einhaltung der betrieblichen Prozesse
• Einrichtung geeigneter Sicherheitstechniken (Firewall, Zugriffschutz, Intrusion Detection, …)
• Vorsorgemassnahmen zur möglichst reibungslosen Weiterführung bzw. Wiederaufnahme der Produktion nach Störungen

Klassifikationen von IT Sicherheit

nach [SB92]

• nach der Intention
  • Sicherheit gegen beabsichtigte Angriffe (security) wie z.B. Abhören, Verändern und Zerstören von Informationen, etc.
  • Sicherheit gegen unbeabsichtigte Ereignisse (safety) wie z.B. Fehlfunktionen aufgrund höherer Gewalt oder technischer Fehler, etc.
• nach Art der bedrohten Ressourcen (Daten, Programme, HW, Infrastruktur, Gebäude, etc.)
  • Daten - Datenschutz, Datensicherheit, Datensicherung
  • SW - Softwareschutz (Schutz gegen Softwarepiraterie) und Sicherstellung der Integrität (z.B. Schutz vor Viren)
  • HW - Hardwareschutz, die Sicherstellung der Verfügbarkeit und der Schutz gegen Missbrauch
  • Gebäude - den Schutz von Gebäuden, Räumen und infrastrukturellen Anlagen (z.b. Klimaanlagen) woei den Schutz der Außenhaut eines Rechenzentrums und seiner Umgebung (Perimeterschutz)
• nach der Art der Bedrohung
  • Verlust der Vertraulichkeit (loss of confidentiality) - unbefugter Informationsgewinn
  • Verlust der Integrität (loss of integrity) - unbefugte Modifikation von Information und Hardware
  • Verlust der Verfügbarkeit (loss of availability) - unbefugte Beeinträchtigung der Funktionalität
  • Verlust der Originalität - unbefugte Duplikation von Information
• nach der Art der Vorkehrungen (die "klassische" Einteilung der Systemsicherheit)
  • informationstechnische Maßnahmen - z.B. Passwortschutz, Virenfilter, Firewalls
  • bauliche Maßnahmen - Zugangsbeschränkungen
  • organisatorische Maßnahmen - Berechtigungskonzept, Datensicherung und Back-Up, Versicherungen
  • personelle Maßnahmen - Information (informieren), Awareness schaffen

Schutzziele

Datenschutz

Dieses Schutzziel bezieht sich ausschliesslich auf den Schutz personenbezogener Daten.
Datenschutz etabliert das Prinzip der informationellen Selbstbestimmung, wie sie auch im BVG-Urteil zur Volkszählung festgeschrieben wurde.
Privatsphäre: Persönlichkeitsdaten bzw. Anonymität müssen gewahrt bleiben.
Einhaltung des Bundesdatenschutzgesetzes

Informationssicherheit (auch Datensicherheit)

Dieses Schutzziel bezieht sich auf alle relevanten Informationen einer Organisation oder eines Unternehmens einschliesslich personenbezgener Daten. Es sind insbesondere die VIV-Ziele:

Vertraulichkeit

Daten dürfen lediglich von autorisierten Benutzern gelesen bzw. modifiziert werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der Datenübertragung.

Integrität

Daten dürfen nicht unbemerkt verändert werden, resp. müssen alle Änderungen nachvollziehbar sein.

Verfügbarkeit

Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet werden.

Authentizität

Echtheit und Glaubwürdigkeit einer Person oder eines Dienstes müssen überprüfbar sein.

Randthemen und verwandte Begriffe

Verbindlichkeit/Nachvollziehbarkeit

Urheber von Veränderungen müssen erkennbar sein und dürfen Veränderung nicht abstreiten können.

Nicht-Anfechtbarkeit

der Nachweis, dass eine Nachricht versendet und empfangen worden ist (Authentizität/Nachweisbarkeit)

Zugriffssteuerung

Reglementierung des Zugriffes von außen

Anonymität

in bestimmtem Kontext z.B. im Internet

Bedrohungen

• Computerviren, Trojaner und Würmer, die zusammengefasst als Malware bezeichnet werden
• Spoofing, Phishing, Pharming oder Vishing, wo eine falsche Identität vorgetäuscht wird
• Ransomware
• Hacking, Cracking sowie andere Formen von Sabotage
• Spionage, z.B. in Form von Man in the Middle Angriffen,
• höhere Gewalt, z.B. in Form von Blitzschlag, Feuer oder Überschwemmung
• Social Engineering

Quelle: Wikipedia

Prioritäten der IT-Sichterheit (IT-Security)

• Gesetzliche Anforderungen erfüllen (Compliance)
• Geschäftsbetrieb aufrecht erhalten (Business Continuity)
• Datenlecks abdichten (Information Leakage Prevention)
• Viren und Spyware abwehren
• Benutzerverwaltung (Identity Management)
• Einbruchsabwehr (Intrusion Detection / Prevention)
• Content- und Spam-Filterung

Gefährlichste Kanäle für den Verlust von Daten

• Tragbare Speichermedien (USB-Sticks, CDs, DVDs, Disketten, portable Festplatten)
• E-Mail
• Internet (Web-Mail, Foren, Chatrooms)
• Drucker
• Instant Messaging (ICQ, …)

Klassifikation von Schäden

nach [SB92]

• Direkte Schäden
  • Wiederbeschaffungskosten (Aufwände zur Wiederbeschaffung)
  • Wiederherstellungs- und Reparaturkosten
  • Schäden durch Verlust der Geheimhaltung und der Integrität Abhören, Ausspionieren, Manipulation
  • Rechenzeit-Diebstahl
• Folgeschäden / strategische Kosten
  • Stillstandskosten
  • Auswirkungen auf andere Systemkomponenten
  • Imageverlust
  • Anspruchskosten

Schadenshöhe

Beispiele

Risiko-Management

• Aufgaben - Ziel: Risikoreduktion
• Risikoanalyse
  • Wertanalyse - welche Werte gilt es zu schützen?
  • Bedrohungsanalyse welche Risiken/Bedrohungen gibt es?
  • Schwachstellenanalyse - wo sind diese?
  • Risikobewertung - wie sind die Bedrohungen zu bewerten/einzuschätzen und wie sieht das Gesamtrisiko aus?
• Sicherheitsplan zur Risikovermeidung - durch Schutz- und Abwehrmaßnahmen
• Katastrophenplan - was wäre wenn? Back-Up-Planung, Notlauforganisation, Wiederbeschaffungskonzept, Wiederanlaufplan
• Überwälzung von Risiken - Versicherungen
• Risikoakzeptanz - ein Restrisiko wird aufgrund von Wirtschaftlichkeitsbetrachtungen hingenommen

Wichtig: Ein Sicherheitskonzept lebt, es ist nicht statisch. D.h. es muss regelmäßig auf seine Leistungsfähigkeit und Wirksamkeit hin überprüft und fortgeschrieben (erweitert) werden. Kommunikationssicherheit Angriffe gegen ein Kommunikationssystem

• unbefugtes Abhören von Daten (data interception, passive wire tapping) - Vertraulichkeit
• unbefugtes Verändern von Daten (manipulation, active wire tapping) - Integrität
• Aufzeichnung einer Nachricht und Wiedereinspielen zu einem späteren Zeitpunkt (replay) - Integrität, Originalität, Authentizität
• Vortäuschung einer falschen Identität (masquerade) - Integrität, Authentizität
• Verleugnung der Teilnahme an einer Kommunikation (repudiation) durch Sender oder Empfänger - Integrität, Verbindlichkeit
• Verhindern/unterbrechen der Kommunikationsbeziehung (denial of service) - Verfügbarkeit
• Verkehrsanalyse (traffic analysis) - Vertraulichkeit

Computersicherheit Angriffe gegen einen Computer

• unbefugtes Lesen (Vertraulichkeit), Verändern (Integrität), Löschen (Verfügbarkeit) und Kopieren von Daten(Vertraulichkeit, Originalität)
• unbefugte Exekution von Programmen (Verfügbarkeit, Originalität)
• Manipulation von Software (durch Viren, Würmer, trojanische Pferde und ähnliche Attacken) (Integrität, Verfügbarkeit)
• Erstellung von Raubkopien (Originalität)
• Zeitdiebstahl (Rechenzeit) (Originalität)

Bücher bei Amazon zum IT-Sicherheit

IT-Sicherheit für Dummies (Affiliate-Link),
Gerling, Rainer W., Wiley-VCH, Taschenbuch, 3527718524, 24,00 €


IT-Sicherheit: Konzepte – Verfahren – Protokolle (De Gruyter Studium) (Affiliate-Link),
Eckert, Claudia, De Gruyter Oldenbourg, Gebundene Ausgabe, 3110996898, 84,95 €


IT-Sicherheit: Technologien und Best Practices für die Umsetzung im Unternehmen (Affiliate-Link),
Lang, Michael, Carl Hanser Verlag GmbH & Co. KG, Gebundene Ausgabe, 3446472231, 39,99 €


Hacking u. Security: Das umfassende Hacking-Handbuch mit über 1.000 Seiten Profiwissen. 3., aktualisierte Auflage des IT-Standardwerks (Affiliate-Link),
Kofler, Michael, Rheinwerk Computing, Gebundene Ausgabe, 3836291649, 49,90 €


Beauftragte für IT-Sicherheit und Informationssicherheit (Kommunikation & Recht) (Affiliate-Link),
Deusch, Florian, Fachmedien Recht und Wirtschaft in Deutscher Fachverlag GmbH, Taschenbuch, 3800518732, 69,00 €


Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites (Affiliate-Link),
Heidrich, Joerg, Rheinwerk Computing, Gebundene Ausgabe, 3836286742, 59,90 €



Weitere Produkte zum Thema it-sicherheit bei Amazon.de (Affiliate-Link)

Mögen Sie Tierkrimis von Katzen, Hunden, Schweinen etc?

Impressum | Support/Unterstützung
https://www.sicherheitsthemen.de - Design and Service © 2006-2024 Achim Schmidtmann. All Rights Reserved.