Informationssicherheit und Datenschutz (eBook)
906 Seiten
dpunkt (Verlag)
978-3-98890-011-1 (ISBN)
Christian Blaicher, Milan Burgdorf, Dirk Fox, Stefan Gora, Volker Hammer, Kai Jendrian, Hans-Joachim Knobloch, Jannis Pinter, Friederike Schellhas-Mende, Jochen Schlichting
Christian Blaicher, Milan Burgdorf, Dirk Fox, Stefan Gora, Volker Hammer, Kai Jendrian, Hans-Joachim Knobloch, Jannis Pinter, Friederike Schellhas-Mende, Jochen Schlichting
1Aufgaben und Ziele der Informationssicherheit
Einleitung
Viele Trends verstärken die Integration unternehmensinterner Abläufe in die Informationstechnik: von der Einbindung von Kunden und Partnern in die eigenen Prozesse über mobile Anwendungen, der verstärkten Nutzung und Verzahnung von Cloud-Diensten bis hin zu Industrie 4.0 und vielfältigen Anwendungen im Internet of Things. Damit wächst auch die Abhängigkeit der Geschäftsprozesse vom korrekten Funktionieren der Technik und der Verfügbarkeit integrer Datenbestände. Die in der Literaturliste am Ende dieses Kapitels aufgeführten Studien und Lageberichte zeigen, dass die Probleme der Informationssicherheit und die durch Angreifer verursachten Schäden kontinuierlich zunehmen.
Bei den Angriffen ist eine deutliche Kommerzialisierung feststellbar. Ging es vor vielen Jahren noch um »Ruhm« und »Ehre« der sogenannten Hacker1, so spielen inzwischen finanzielle Motive krimineller Institutionen die Hauptrolle. Mit Kryptotrojanern und Mining-Bots kann viel Geld verdient werden. Die Vermietung von Bots und die Erpressung von Onlineanbietern mit der Androhung verteilter Denial-of-Service-Angriffe sind keine Seltenheit. Zudem wird Wirtschaftsspionage gezielt über IT-Systeme und Anwendungen betrieben. Das unerlaubte Kopieren oder Versenden von Daten mit Geschäftsgeheimnissen oder die Auftragsentwicklung eines Trojaners, um einen Wettbewerber gezielt ausspähen zu können, sind durch reale Fälle belegt. Neben diesen primär wirtschaftlich motivierten Angriffen nehmen auch politisch motivierte Attacken in Form von »Cyber War« und »Cyber-Terrorismus« zu.
Um der hohen Abhängigkeit von der Informationstechnik, den modernen und vielfältigen Angriffsformen und den rechtlichen Vorgaben Rechnung zu tragen, muss das Thema Informationssicherheit im Unternehmen mit einer klaren Strategie angegangen und umgesetzt werden. Dies soll durch ein Informationssicherheitsmanagementsystem (ISMS) erreicht werden. Ohne ein ISMS bestehen große Risiken für die Werte und die Produktionsabläufe des jeweiligen Unternehmens.
Der erste Abschnitt dieses Kapitels gibt einen kurzen Überblick über die wichtigsten Aspekte eines ISMS. Anschließend werden im zweiten Abschnitt die grundlegenden Sicherheitsziele dargestellt, die häufig als Ausgangspunkt zur Auswahl von Sicherheitsmaßnahmen herangezogen werden. Diese Einleitung stellt damit zugleich den inhaltlichen Rahmen der T.I.S.P.-Kurse und der Prüfung für das T.I.S.P.-Zertifikat auf und soll den Einstieg ins Thema erleichtern.
1.1Aufgaben und Anforderungen eines ISMS
Ein Informationssicherheitsmanagementsystem (englisch: Information Security Management System) soll geordnete Prozesse zum Umgang mit den Problemstellungen der Informationssicherheit bereitstellen. Ein ISMS benötigt:
- •eine Informationssicherheitsorganisation, mit Rollen und Ressourcen sowie Regelungen zur Verantwortung,
- •definierte Prozesse, in denen Risiken erfasst und bewertet werden, unter anderem ein Risikomanagement mit Analyse von Gefährdungen und Angreifermodellen sowie ein Sicherheitskonzept, in dem dokumentiert wird, welche Maßnahmen ergriffen werden sollen, um ein angestrebtes Sicherheitsniveau zu erreichen,
- •Maßnahmen, mit denen die Einhaltung der Sicherheitsvorgaben überprüft wird.
Eine Übersicht zu den Elementen eines ISMS geben die folgenden Abschnitte, weitere Details zum Aufbau und Betrieb eines ISMS sind in Kapitel 8 und unter dem Blickwinkel des IT-Grundschutzes in Kapitel 7 dargestellt.
1.1.1Risikomanagement
Die Möglichkeit eines Schadens wird als Risiko bezeichnet, wobei die Höhe des Risikos von der Wahrscheinlichkeit des Eintritts und der Schadenshöhe bestimmt wird. Risiken sollen für ein Unternehmen nur in dem Umfang bestehen, der als tragbar bewertet wird. Um zu wissen, welche Risiken für ein Unternehmen bestehen, muss identifiziert und bewertet werden,
- •welche Gefährdungen zu Störfällen führen können,
- •welche Sicherheitsmaßnahmen die Wahrscheinlichkeit von Störfällen vermindern oder den Schaden begrenzen sollen und
- •welche Restrisiken verbleiben und vom Unternehmen getragen werden müssen.
Genau dies ist die Aufgabe des Risikomanagements: die unternehmensspezifische Bewertungsmethodik2 für die Faktoren von Risiken und für »tragbare« Risiken zu entwickeln sowie den Analyseprozess umzusetzen und laufend zu überwachen. Im Mittelpunkt dazu stehen die Bestandsaufnahme der Unternehmenswerte, die Zusammenstellung der Gefährdungen, durch die Schäden der Unternehmenswerte auftreten können und die Bewertung der gewonnenen Ergebnisse.
Als Grundlage für das Risikomanagement mit Bezug zu Informationen und IT-Systemen sind insbesondere die folgenden Fragestellungen zu klären:
- •Welche Werte hat das Unternehmen oder die Institution? Mit welchen Geschäftsprozessen wird Umsatz und Rendite erwirtschaftet? Welches sind die wichtigsten Geschäftsprozesse?
- •Welche IT-Ressourcen sind zur Unterstützung dieser Geschäftsprozesse erforderlich? Welche Systeme und Anwendungen werden benötigt? Welche Möglichkeiten bestehen, die Prozesse mit eingeschränkter oder ohne IT-Unterstützung weiterzuführen?
- •Welche Schwachstellen sind in den Architekturen, Systemen und Anwendungen vorhanden, die zu Störungen führen können? Welchen weiteren Gefährdungen sind die Prozesse ausgesetzt? Wie können diese erfasst und systematisiert werden?
- •Welche Schäden können auftreten, wenn die verschiedenen Gefährdungen eintreten? Wie wirken sich Störungen bspw. auf Produktion, Vertrieb, Umsatz, Kundenbindung oder öffentliches Ansehen der Organisation aus?
Im Rahmen der Bewertung der Risiken wird entschieden, welche Risiken durch Gegenmaßnahmen vermindert werden sollen und welche tragbar sind. Gegebenenfalls können Risiken auch externalisiert werden, bspw. durch vertragliche Regelungen mit Lieferanten oder durch Versicherungsverträge.
Veränderungen im Unternehmen, die Umgestaltung von Geschäftsprozessen und die Entwicklungsdynamik der Informationstechnik führen dazu, dass sich die Risiken und die Wirksamkeit der Sicherheitsmaßnahmen im Laufe der Zeit verändern. Die Risikoanalyse für ein Unternehmen kann deshalb nicht eine einmalige Bestandsaufnahme sein, sondern muss als regelmäßig wiederkehrender Prozess organisiert werden. Ein definierter Risikomanagementprozess soll erreichen, dass Risiken möglichst frühzeitig identifiziert und im Verlauf der Zeit beobachtet werden. Je früher Risiken festgestellt und bewertet werden können, desto eher kann von den Entscheidungsträgern festgelegt werden, wie mit ihnen umgegangen werden soll.
1.1.2Gefährdungen erkennen und bewerten
Der zentrale Faktor für die Wahrscheinlichkeit von Störfällen im Bereich der Informationsverarbeitung sind Gefährdungen. Beschäftigt man sich mit der Frage, in welcher Form informationsverarbeitende Prozesse gefährdet sind, können vielerlei Möglichkeiten identifiziert werden, durch die die technischen Prozesse gestört, Daten verändert oder vernichtet sowie Informationen unbefugt eingesehen werden können.
Zu den unbeabsichtigten Ursachen von Schäden gehören insbesondere Feuer, Wassereinbruch oder Hardwaredefekte (z. B. Festplattenausfälle). Auch die Fehlbedienung durch Benutzer oder Administratoren können dieser Kategorie zugeordnet werden. Für Gefährdungen aus Angriffsszenarien müssen die Möglichkeiten absichtlicher Manipulationen und Störungen betrachtet werden, hierbei können sowohl Außentäter als auch Innentäter eine Rolle spielen. Für die Bewertung von Risiken sind daher Angreifermodelle auszuwählen, die für die Organisation relevant erscheinen. Die Angreifer können ihre Ressourcen einsetzen, um Angriffsszenarien zu realisieren, bspw. das Eindringen in IT-Systeme, das Abhören von Kommunikationsverbindungen oder gezielte Angriffe gegen einen Prozess. Details zu Angriffsmethoden sind unter anderem in Kapitel 5 dargestellt.
Auch Schwachstellen in der Software dienen Angreifern als Ansatzpunkte. Bei diesen Schwachstellen handelt es sich oft um konzeptionelle Fehler, wie fest implementierte Kennwörter, schwache Kryptografie oder die unzulängliche Prüfung von Benutzereingaben.
Schwachstellen aufgrund von Fehlern in der Software werden vom Hersteller des Produkts verursacht und können vom Betreiber kaum vermieden werden. Umso wichtiger ist es, für...
Erscheint lt. Verlag | 5.3.2024 |
---|---|
Verlagsort | Heidelberg |
Sprache | deutsch |
Themenwelt | Mathematik / Informatik ► Informatik ► Netzwerke |
Schlagworte | Authentifizierung • Berechtigungsmanagement • CERT • Datenschutz • Daten-Sicherheit • DSGVO • Information Security • Informationssicherheitsmanagement • ISO 27001 • ISO 27002 • IT-Grundschutz • IT-Security • Kryptografie • Netzwerksicherheit • PKI • Sicherheitsvorfall • VPN |
ISBN-10 | 3-98890-011-7 / 3988900117 |
ISBN-13 | 978-3-98890-011-1 / 9783988900111 |
Haben Sie eine Frage zum Produkt? |
Größe: 10,2 MB
DRM: Digitales Wasserzeichen
Dieses eBook enthält ein digitales Wasserzeichen und ist damit für Sie personalisiert. Bei einer missbräuchlichen Weitergabe des eBooks an Dritte ist eine Rückverfolgung an die Quelle möglich.
Dateiformat: EPUB (Electronic Publication)
EPUB ist ein offener Standard für eBooks und eignet sich besonders zur Darstellung von Belletristik und Sachbüchern. Der Fließtext wird dynamisch an die Display- und Schriftgröße angepasst. Auch für mobile Lesegeräte ist EPUB daher gut geeignet.
Systemvoraussetzungen:
PC/Mac: Mit einem PC oder Mac können Sie dieses eBook lesen. Sie benötigen dafür die kostenlose Software Adobe Digital Editions.
eReader: Dieses eBook kann mit (fast) allen eBook-Readern gelesen werden. Mit dem amazon-Kindle ist es aber nicht kompatibel.
Smartphone/Tablet: Egal ob Apple oder Android, dieses eBook können Sie lesen. Sie benötigen dafür eine kostenlose App.
Geräteliste und zusätzliche Hinweise
Buying eBooks from abroad
For tax law reasons we can sell eBooks just within Germany and Switzerland. Regrettably we cannot fulfill eBook-orders from other countries.
aus dem Bereich