IT Security

Sicherheitsziele

Unter Sicherheitsziele bzw. Schutzziele versteht man im Allgemeinen Anforderungen an ein System, die zum Schutz von Gütern erfüllt werden muss. Es kann durchaus vorkommen, dass sich Schutzziele wiedersprechen und es nicht möglich ist, alle Ziele gleichermassen zu erfüllen. Schutzziele sind notwendig, um den abstrakten Begriff der Sicherheit im Kontext der Informationstechnologie greifbar und so vor allem auch messbar bzw. bewertbar zu machen.

CIA-Schutzziele

Die sogenannten CIA Schutzziele (engl. CIA Triad) stammen aus dem Bereich der Informationssicherheit. CIA hat dabei aber natürlich nichts mit der Central Intelligence Agency, also dem US-amerikanischer Auslandsnachrichtendienst, zu tun, sondern steht als Abkürzung für:

CIA Triad

Confidentiality (Vertraulichkeit) keine unautorisierte Informationsgewinnung, kein Mitlesen möglich (z.B. durch Verschlüsselung)

Integrity (Integrität) es ist nicht möglich, Daten unbemerkt zu manipulieren (-> Signieren)

Availability (Verfügbarkeit) ein System sollte immer verfügbar sein (High Availability durch Redundanz, LB, Skalierung, etc.)

Es handelt sich dabei nicht um die einzigen Schutzziele (auch Sicherheitsziele genannt), sondern viel mehr um die drei wichtigsten Ziele. Weitere Schutzziele sind beispielsweise Authentizität, Privatsphäre, Verlässlichkeit oder auch (Nicht-)Abstreitbarkeit / Verbindlichkeit.

• Authentizität (Authenticity)

• Verbindlichkeit (Non Repudiation)

Authentizität: Unter Authentizität versteht man sowohl einen Identitätsnachweis als auch die Authentizität der eigentlichen Daten. Bei ersterem möchte man sicherstellen, dass der Kommunikationspartner auch der ist, für den man ihn hält. Dafür soll eine Instanz einer anderen ihre Identität nachweisen können, ohne dass es Zweifel gibt. Bei der Authentizität der Daten geht es dann noch darum, dass die erhaltenen Daten auch tatsächlich von der authentisierten Instanz stammen. Die Authentizität wird oft auch als übergeordnetes Schutzziel angesehen, da die anderen Schutzziele sonst wertlos sind, wenn man nicht sicher sein kann, ob man mit dem tatsächlichen gewünschten Kommunikationspartner kommuniziert oder mit einem unbekannten Dritten.

3 Authentisierungsmethoden: 1 Wissen, 2 Haben, 3 Sein. Mehrere Faktoren kombinieren, erhöhen die Sicherheit. Mehrere Faktoren verlangen = starke Authentisierung.

Verbindlichkeit: Bei der Nichtabstreitbarkeit (auch Verbindlichkeit) geht es darum, dass eine Kommunikation im Nachhinein nicht von einer der beteiligten Instanzen gegenüber Dritten abgestritten werden kann (engl. non repudiation). Wichtig ist dieses Ziel insbesondere für Dienstleister. Falls Verträge online abgeschlossen werden, ist die Nichtabstreitbarkeit sehr wichtig. Es ist nicht möglich, im Nachhinein eine Aktion abzustreiten (Zertifikate, PKI, Kryptografie).

Privatsphäre: Das Schutzziel der Privatsphäre geht im Normalfall vom Nutzer aus und ist Dienstbetreibern oft ein Dorn im Auge. Der Begriff Privatsphäre ist im IT-Kontext eng verwandt mit dem Datenschutz. Es geht darum, dass Teile oder sämtliche Kommunikationsvorgänge eines Nutzers geheim gehalten werden. Erreicht werden kann dies unter anderem durch die Gewährleistung der Anonymität, bei der die Identität des Nutzers nicht offengelegt wird. Bei der Pseudonymität bleibt der Nutzer zwar weiterhin identifizierbar, allerdings nicht unter seiner wahren Identität.

Die Datenschutz-Grundverordnung (DSGVO oder DS-GVO) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch die meisten Datenverarbeiter, sowohl private wie öffentliche, EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, und auch andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden. Eingeführt im Mai 2018.

LogoDie Datenschutzgrundverordnung - Your EuropeYour Europe
DSGVO - Europe

DSGVO richtet sich an EU Unternehmen, ob Sie selber auch davon betroffen sind können Sie beim EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) nachsehen.

LogoAngemessenheitsbeschluss der EU betreffend die Schweizwww.edoeb.admin.ch
Bericht EDÖB zur DSGVO

IT Grundschutz

Das Ziel eines IT Grundschutzes ist das Erreichen eines mittleren, angemessenen und ausreichenden Schutzniveaus für IT-Systeme. Zum Erreichen des Ziels gibt es IT-Grundschutz-Kataloge, welche technische Sicherheitsmassnahmen und infrastrukturelle, organisatorische und personelle Schutzmassnahmen empfehlen.

Am bekanntesten ist der Grundschutz, welcher vom Deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt wurde.

Der IT-Grundschutz des BSI ist eine bewährte Methodik, um das Niveau der Informationssicherheit in Behörden und Unternehmen jeder Grössenordnung zu erhöhen. Die Angebote des IT-Grundschutzes gelten in Verwaltung und Wirtschaft als Massstab, wenn es um die Absicherung von Informationen und den Aufbau eines Managementsystems für Informationssicherheit (ISMS) geht. Dabei ist der IT-Grundschutz durch seine Kompatibilität zu ISO 27001 auch international angesehen.

Der BSI IT Grundschutz ist in mehrere Bausteine unterteilt, dabei geht es nicht nur um Systeme und Technik, sondern auch Management und Organisation. Hier die verschiedenen Bausteine

  • ISMS: Sicherheitsmanagement

  • ORP: Organisation und Personal

  • CON: Konzeption und Vorgehensweise

  • OPS: Betrieb

  • DER: Detektion und Reaktion

  • APP: Anwendungen

  • SYS: IT-Systeme

  • IND: Industrielle IT

  • NET: Netze und Kommunikation

  • INF: Infrastruktur

LogoIT-GrundschutzBundesamt für Sicherheit in der Informationstechnik
BSI - IT-Grundschutz
IT-GrundschutzFMH
IT-Grundschutzempfehlung FMH (Berufsverband der Schweizer Ärztinnen und Ärzte)
527KB
FMH Empfehlung IT-Grundschutz.png
image
Open
FMH Empfehlung IT-Grundschutz
PreviousTageszieleNextSystem Sicherheit

Last updated