ТОП просматриваемых книг сайта:
IT-Sicherheit für Dummies. Rainer W. Gerling
Читать онлайн.Название IT-Sicherheit für Dummies
Год выпуска 0
isbn 9783527833573
Автор произведения Rainer W. Gerling
Жанр Зарубежная компьютерная литература
Издательство John Wiley & Sons Limited
Phishing-Mails erkenne ich auf den erstten Blick.Schlecht gemachte Phishing-E-Mails erkennen Sie leicht, wenn Sie wissen, woran Sie diese erkennen können. Wirklich gute Phishing-E-Mails sind jedoch auch für erfahrene IT-Sicherheitsexperten allein durch normales Öffnen und Betrachten sehr schwer zu erkennen. Zum Glück sind diese selten, da sie aufwendig zu erstellen sind. Für nicht so erfahrene Nutzerinnen sind allerdings auch durchschnittliche Phishing-E-Mails im beruflichen Alltagsstress nicht immer direkt zu erkennen.
Eine E-Mail ist beim Transport vor unbefugten Zugriffen geschützt.Der Vergleich der Vertraulichkeit einer E-Mail mit einer Postkarte ist Ihnen sicher bekannt. Aktuell können Sie nur dann sicher sein, dass eine E-Mail »unterwegs« geschützt ist, wenn Sie sie mit einem geeigneten Verfahren (S/MIME oder OpenPGP) verschlüsseln. Häufig, aber leider nicht immer, wird der Transport einer E-Mail von Mail-Server zu Mail-Server durch eine solche Verschlüsselung geschützt. Ob eine solche Transportverschlüsselung genutzt wird, entscheiden aber die Betreiber der Mail-Server und nicht Sie als Absender oder Empfänger der E-Mail.Die Transportverschlüsselung schützt nur vor dem Abhören der Übertragung zwischen den Mail-Servern durch Dritte. Eine unverschlüsselte E-Mail ist für den Betreiber eines Mail-Servers grundsätzlich zugänglich. Der Zugriff ist rechtlich nur eng beschränkt zulässig, aber rein technisch eben durchaus möglich.
Sie haben jetzt schon einige Begriffe und Konzepte der IT-Sicherheit kennengelernt. Begriffe wie Backup, Cloud, LAN, Schadsoftware oder Verschlüsselung haben Sie im normalen IT-Leben wohl auch schon einmal gehört. Speziellere Begriffe wie S/MIME, OpenPGP oder Transportverschlüsselung sind dagegen vielleicht völlig neu für Sie. Beim weiteren Studium des Buches werden Sie diese Begriffe im Detail kennenlernen und die Konzepte dahinter verstehen.
Kapitel 2
Grundlagen der Informationssicherheit
IN DIESEM KAPITEL
Grundkonzepte der Informationssicherheit
Vertraulichkeit, Integrität und Verfügbarkeit
Authentizität und weitere Schutzziele
Technik allein genügt nicht!
Bevor wir uns mit den Details der IT-Sicherheit beschäftigen, müssen wir definieren, was IT-Sicherheit, Informationssicherheit oder Cybersicherheit jeweils ist. Es stellt sich die Frage, ob diese Begriffe Synonyme sind oder ob es Unterschiede zwischen ihnen gibt. In vielen Fachbüchern finden Sie natürlich entsprechende Definitionen im jeweiligen Kapitel über IT-Sicherheit. In der Regel sind diese aber stark durch eine technische Sichtweise geprägt.
Was ist Informationssicherheit?
Informationssicherheit ist weit mehr als IT-Sicherheit und schließt ganz wesentlich auch organisatorische Aspekte mit ein. Sie beschäftigen sich in der Informationssicherheit grundsätzlich mit dem Schutz von Informationen, unabhängig davon, wo die Informationen gespeichert sind. Es kann Ihnen dabei egal sein, ob die Informationen digital auf elektronischen Datenträgern, analog auf Papier oder nur in den Köpfen der Beschäftigten vorhanden sind. In der IT-Sicherheit geht es im Gegensatz dazu nur um die Sicherheit der IT und der dort hinterlegten digitalen Informationen.
Was ist IT-Sicherheit?
Erstaunlicherweise finden Sie eine in diesem Sinne nahezu vollständige Definition der IT-Sicherheit in einem deutschen Gesetz, dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik, oder kurz BSI-Gesetz. Das BSI ist die Behörde in Deutschland, die sich um die Informationssicherheit im Regierungsnetz und im Bereich der kritischen Infrastruktur (kurz KRITIS, siehe Kapitel 6, Abschnitt BSI-Gesetz) sowie generell um die Förderung der Informationssicherheit kümmert.
Im BSI-Gesetz finden wir die nachfolgende Definition der IT-Sicherheit (in der folgenden Definition sind die Satznummern angegeben, damit Sie sich leichter tun, wenn wir uns auf die Sätze beziehen):
»Informationen sowie informationsverarbeitende Systeme, Komponenten und Prozesse sind besonders schützenswert. Der Zugriff auf diese darf ausschließlich durch autorisierte Personen oder Programme erfolgen. Die Sicherheit in der Informationstechnik und der damit verbundene Schutz von Informationen und informationsverarbeitenden Systemen vor Angriffen und unautorisierten Zugriffen im Sinne dieses Gesetzes erfordert die Einhaltung bestimmter Sicherheitsstandards zur Gewährleistung der informationstechnischen Grundwerte und Schutzziele.
Sicherheit in der Informationstechnik … bedeutet die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Integrität oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen
1. in informationstechnischen Systemen, Komponenten oder Prozessen oder
2. bei der Anwendung von informationstechnischen Systemen, Komponenten oder Prozessen.«
§ 2 Abs. 2 BSI-Gesetz (BGBl. I S. 2821, zuletzt geändert durch Art. 1 des Gesetzes vom 18. Mai 2021 (BGBl. I S. 1122)
Die Gültigkeit dieser Definition in Satz 4 ist auf den Geltungsbereich des BSI-Gesetzes eingeschränkt. Diese Einschränkung haben wir weggelassen und durch »…« ersetzt. Ohne diese Einschränkung wäre das eine allgemeine rechtliche Definition der IT-Sicherheit. Lassen Sie uns diese Definition nun interpretieren, um sie im Detail zu verstehen.
Die Sätze 1 bis 3 wurden erst 2021 durch das sogenannte IT-Sicherheitsgesetz 2.0 zur Erläuterung in das BSI-Gesetz eingefügt, »um den Inhalt der Schutzziele der Informationssicherheit näher zu bestimmen«. So finden Sie die Begründung der Ergänzung in der Bundestagsdrucksache. Sie müssen nicht nur die Informationen schützen, sondern auch die informationsverarbeitenden Systeme.
Informationstechnische Systeme sind technische Anlagen, »die der Informationsverarbeitung dienen und eine abgeschlossene Funktionseinheit bilden. Typische IT-Systeme sind Server, Clients, Einzelplatzcomputer, Mobiltelefone, Router, Switches und Sicherheitsgateways.« [BMI16]
Satz 2 fordert, dass nur berechtige Personen und Programme auf die Informationen zugreifen dürfen. Dass unberechtigte Personen nicht zugreifen dürfen, ist Ihnen sofort klar. Aber eine Schadsoftware ist keine unberechtigte Person, sondern ein unberechtigtes Programm und darf auch nicht auf die Informationen zugreifen. Diese Klarstellung in Satz 2 ist nachvollziehbar und sinnvoll.
Satz 3 geht vom Schutz vor Angriffen und unberechtigten Zugriffen aus. Die Definition greift dabei zu kurz, da sie nur auf den Schutz vor Angriffen (beabsichtigte Störungen, englisch security) abzielt und die unbeabsichtigten Störungen (englisch safety) außen vor lässt. Dabei müssen Sie in einem umfassenden Informationssicherheitskonzept auch den Schutz vor Störungen durch Naturgewalten und Unfälle (zum Beispiel Brand im Rechenzentrum, Stromausfall, Hochwasser) berücksichtigen. Ihnen kann es als Nutzerin egal sein, ob Ihr Internetzugang im Home Office wegen eines Hackerangriffs auf den Provider oder wegen eines Stromausfalls beim Provider ausgefallen ist. In beiden Fällen können Sie nicht arbeiten.
In der IT-Sicherheit müssen Sicherheitsstandards eingehalten werden, das heißt, ohne Sicherheitsstandards, also ohne Vorgaben, gibt es keine Informationssicherheit. Durch die Sicherheitsstandards wird der Soll-Zustand vorgegeben. Abweichungen des Ist-Zustands vom Soll-Zustand werden als Sicherheitsvorfälle bezeichnet. Der Begriff Standard ist hier nicht nur im Sinne von ISO-Standards, DIN-Normen oder BSI-Grundschutz zu verstehen. Jede Passwortrichtlinie und jede Nutzerordnung in Ihrem Unternehmen oder Ihrer Behörde ist ein interner Sicherheitsstandard im Sinne einer solchen Vorgabe.
Laut Satz 4 sollen Sicherheitsmaßnahmen in den Systemen (Nummer 1) und bei