May the 4th (be with you)! Wichtige Information Du lernen!
In der Informationssicherheit geht es darum, Informationen zu schützen.
Was sind aber genau Informationen - und was soll da geschützt werden?
Informationen
Informationen sind per Definition Daten mit einer konkreten Bedeutung.
Ein Beispiel:
CXK1345KK ist für sich genommen ein Datum ohne konkrete Bedeutung. Es sind lediglich einige Buchstaben und Zahlen in einer Reihenfolge. Bedeutung erlangt dies z.B. mit der Zusatzinformation, dass es sich um eine Ausweisnummer handelt. Damit ist das Datum eine Information geworden. Weitere Informationen wären der Name des Inhabers, die ausstellende Behörde etc.
Was soll ich nun bei solch einer Information schützen?
In der Informationssicherheit haben sich über die Zeit 3 wesentliche Schutzziele gefestigt.
Dies sind:
die Vertraulichkeit,
die Integrität und
die Verfügbarkeit.
Im englischen oft als CIA-Triade (Confidentiality, Integrity und Availability) bezeichnet.
Warum sind gerade diese Schutzziele so entscheidend?
Schauen wir uns dazu die einzelnen Schutzziele genauer an.
Vertraulichkeit
Bedeutet, dass die Information nur Berechtigten gegenüber offenbart wird bzw. nur Berechtigte Zugriff auf die Information erhalten.
Erreicht wird dies z.B. durch Verschlüsselung (und Teilen des Schlüssels nur mit Berechtigten), durch Einrichten einer Berechtigungsstruktur auf Dateien und Verzeichnisse sowie Zugriff nur bei Bedarf. Auch das Vermeiden des öffentlichen Sprechens über die Information ist Teil der Vertraulichkeit.
Im Zusammenhang mit der Vertraulichkeit liest man auch oft vom Need-to-Know-Prinzip, was darauf abstellt, dass Informationen am besten vertraulich bleiben, wenn man sie nur mit Personen teilt, die die Information für Ihre Arbeit auch tatsächlich benötigen. So soll der Kreis der Berechtigten auf das Minimum beschränkt werden.
Vertraulichkeit ist auch ein Thema im Bereich des physischen Schutzes, wenn es um Zugang zu Räumlichkeiten im Unternehmen geht. Nicht jeder muss z.B. den Serverraum betreten dürfen.
Integrität
Integrität beschäftigt sich mit der Vertrauenswürdigkeit der Information und soll sicherstellen, dass Änderungen an der Information nur durch Befugte erfolgt und dass ich als Zugriffsberechtigter stets darauf vertrauen kann, dass alle Änderungen an der Information zulässig gewesen sind. Außerdem soll jede Veränderung nachvollziehbar dokumentiert sein.
Die Integrität von Informationen wird regelmäßig durch sogenannte „Hashes“ sichergestellt. Durch kryptografische Operationen auf die Information wird ein Wert (Hash) erzeugt, welcher so lange unverändert ist, solange die Information unverändert bleibt. Ändert sich die Information, ändert sich auch dessen Hashwert und so kann erkannt werden, dass eine Änderung erfolgt ist. Durch ein entsprechendes Berechtigungsmanagement muss nun sichergestellt werden, dass die Änderung durch eine befugte Person oder befugte Operation erfolgt ist.
Selbst beim Transfer der Information von einem Speicherort zum anderen bleibt der Hashwert nachprüfbar gleich, so dass selbst beim Übertragen über unsichere Kanäle die Integrität sichergestellt werden kann (nicht aber die Vertraulichkeit, hierfür benötigt es beispielsweise eine verschlüsselte Übertragung).
Verfügbarkeit
Das Schutzziel Verfügbarkeit soll sicherstellen, dass die Information genau dann für den Berechtigten zugreifbar ist, wenn sie benötigt wird.
Dies erfolgt beispielsweise durch Redundanz, so dass, falls ein System ausfällt, das redundante System übernimmt und die Arbeit fortgesetzt werden kann.
Auch die Datensicherung (Backups) kann die Verfügbarkeit erhöht werden, bei kritischen Informationen erfolgt die Datensicherung teilweise sogar sekündlich.
Auch die Verteilung der Informationen auf verschiedene Rechenzentren mit größerem Abstand zueinander und auf verschiedene Anbieter ist Teil eines Verfügbarkeitskonzepts, ebenso wie die lokale Anbindung an multiple Telekommunikationsanbieter, um bei Ausfall einfach wechseln zu können.
Auch die Themen aktuelle Betriebssysteme und gepatchte Software gehören in den Bereich der Verfügbarkeit, wie es auch die für die jeweilige Tätigkeit geeignete Ausstattung ist.
Um das Vertrauen in die gespeicherten Informationen und die Zugriffsbefugten weiter zu stärken wird oft noch das Schutzziel Authentizität ergänzt.
Die Authentizität soll sicherstellen, dass der Information auch inhaltlich vertraut werden kann. Die Integrität stellt zwar sicher, dass die Informationen an sich nicht unbefugt verändert wurde, aber gewährleistet nicht, dass die Information an sich korrekt ist und der Berechtigte auch wirklich ist, wer er behauptet zu sein.
Alle meine Informationen können beispielsweise integer sein, aber einfach falsch - und daher möglicherweise unbrauchbar. Gerade im Zusammenhang mit selbstlernenden Systemen ist dies ein häufiges Problem. Auch kann bei einer Benutzerkennung nicht unbedingt gesagt werden, wer diese tatsächlich zuletzt benutzt hat. Der Anwender, welchem sie zugewiesen wurde oder möglicherweise ein Betrüger, welcher die Daten erlangt hat?
Das Schutzziel Authentizität soll hier gewährleisten, dass der Information, gleich welcher Art, vertraut werden kann, also der Inhalt wahr ist.
Die Informationssicherheit versucht nun, mit allen zur Verfügung stehenden Mitteln diese Schutzziele zu gewährleisten. Dafür kommen technische und organisatorische Maßnahmen zum Einsatz, zum Beispiel:
Technische Maßnahmen | Organisatorische Maßnahmen |
Firewalls | Sicherheitsregelwerke |
Malwareschutz | Handlungsleitlinien |
Backup-Systeme | Sicherheitsprozesse |
Multi-Faktor-Authentifizierung | Sicherheitsschulungen (Awareness) |
Habt Ihr Fragen zu den Schutzzielen, benötigt Ihr Unterstützung bei der Erstellung Eures Sicherheitsregelwerkes (Policies, Prozesse etc.) oder der Auswahl geeigneter technisch-organisatorischer Maßnahmen?
Dann kommt auf uns zu, wir helfen Euch!
Comments