Informationssikkerhed

fra Wikipedia, den gratis encyklopædi
Spring til navigation Spring til søgning

Informationssikkerhed er det udtryk, der bruges til at beskrive egenskaberne ved tekniske eller ikke-tekniske systemer til behandling , lagring og lagring af oplysninger, der sikrer beskyttelsesmålene fortrolighed , tilgængelighed ogintegritet . Informationssikkerhed tjener til at beskytte mod farer eller trusler , undgå økonomiske skader og minimere risici .

I praksis er informationssikkerhed i forbindelse med IT -sikkerhedsstyring blandt andet baseret på den internationale ISO / IEC 27000 -serie . I tysktalende lande er en IT-Grundschutz- tilgang udbredt. ISO / IEC 15408 ( Common Criteria ) standarden bruges ofte til evaluering og certificering af it -produkter og -systemer.

En anden vigtig række af standarder inden for informationssikkerhed er IEC 62443 , der omhandler cybersikkerheden i "Industrial Automation and Control Systems" (IACS), der forfølger en holistisk tilgang for operatører, integratorer og producenter - og altid bliver en i fremtiden i Industri 4.0 til mere og mere vigtigt. [1]

Beskrivelser af vilkår

Mange af de følgende udtryk tolkes forskelligt afhængigt af forfatteren og det sproglige miljø.

For forkortelsen IT bruges udtrykket informationsteknologi synonymt med informationsteknologi . Den tekniske behandling og transmission af oplysninger er i forgrunden inden for IT.

På engelsk har det tyske udtryk IT -sikkerhed to forskellige udtryk. Egenskaben ved funktionel sikkerhed sikrer, at et system opfører sig i overensstemmelse med den forventede funktionalitet. Det fungerer, som det skal. Informationssikkerhed refererer til beskyttelsen af den tekniske behandling af information og er en egenskab ved et funktionelt pålideligt system. Det er beregnet til at forhindre uautoriseret databehandling eller videregivelse af oplysninger. [2] : 4 f.

Udtrykket informationssikkerhed refererer ofte til global informationssikkerhed , hvor antallet af mulige skadelige scenarier reduceres i opsummering, eller indsatsen i at kompromittere for operatøren er i et ugunstigt forhold til den forventede informationsgevinst. Fra dette synspunkt er informationssikkerhed en økonomisk variabel, der f.eks. Må forventes i virksomheder og organisationer. Udtrykket vedrører også sikkerhed under et specifikt scenario . I denne forstand er informationssikkerhed til stede, når et angreb på systemet ikke længere er muligt via en allerede kendt rute. Man taler om en binær mængde, fordi når man bruger denne særlige metode, kan oplysningerne enten være sikre eller ej. [3]

Følgende aspekter er inkluderet i det omfattende udtryk informationssikkerhed (beskyttelse af de behandlede oplysninger):

IT -sikkerhed

IT-sikkerhed spiller en central rolle i sikkerheden i socio-tekniske systemer . IT- eller IKT-systemer er en del af de socio-tekniske systemer. IT -sikkerhedens opgaver omfatter beskyttelse af organisationers (f.eks. Virksomheders) IKT -systemer mod trusler. Dette skal blandt andet forhindre økonomisk skade. [2] : 3-7

IT -sikkerhed er en del af informationssikkerhed . I modsætning til IT -sikkerhed omfatter informationssikkerhed ikke kun sikkerheden i IT -systemerne og de data, der er gemt deri, men også sikkerheden ved oplysninger, der ikke behandles elektronisk; Et eksempel: "Principperne for informationssikkerhed" kan også anvendes på opskrifter i en restaurant, der er håndskrevet på papir (da opskriftenes fortrolighed, integritet og tilgængelighed kan være ekstremt vigtig for restauranten, selvom denne restaurant er helt uden brug af et it -system).

Computersikkerhed

Computersikkerhed: sikkerheden i et computersystem før fejl (dette kaldes uplanlagt eller planlagt nedetid, engelsk nedetid.) Og manipulation (datasikkerhed), samt mod uautoriseret adgang.

Datasikkerhed

Datasikkerhed er et begreb, der ofte er forbundet med databeskyttelse og skal skelnes fra det: datasikkerhed har det tekniske mål at beskytte data af enhver art mod tab, manipulation og andre trusler i tilstrækkelig grad. Tilstrækkelig datasikkerhed er en forudsætning for effektiv databeskyttelse. BDSG nævner kun begrebet datasikkerhed i afsnit 9a i forbindelse med " databeskyttelsesrevisionen ", som heller ikke er nærmere defineret.

Der er en tilgang kaldet data -centric sikkerhed, hvor sikkerheden for de data, selv er i forgrunden og ikke sikkerheden i netværk , servere eller applikationer.

backup af data

Datasikkerhedskopiering er (dt. Sikring) synonymt med det engelsksprogede "Backup", det var det oprindelige juridiske udtryk for datasikkerhed.

data beskyttelse

Databeskyttelse handler ikke om at beskytte generelle data mod skader, men om at beskytte personoplysninger mod misbrug ("databeskyttelse er personlig beskyttelse"). Beskyttelsen af personoplysninger er baseret på princippet om informativ selvbestemmelse . Dette blev fastlagt i BVerfG -dommen om folketællingen . Den private sfære skal beskyttes, dvs. personoplysninger og anonymitet skal bevares. Ud over datasikkerhed kræver databeskyttelse udelukkelse af adgang til data med uautoriseret læsning af uautoriserede tredjeparter. Den tyske føderale databeskyttelseslov ( BDSG ) beskriver i § 1 kun krav til håndtering af personoplysninger. GDPR og BDSG definerer ikke forskellen mellem udtrykkene databeskyttelse og datasikkerhed. Kun hvis der træffes passende beskyttelsesforanstaltninger, kan det antages, at fortrolige eller personlige data ikke falder i hænderne på uautoriserede personer. Som regel taler man her om tekniske og organisatoriske foranstaltninger til databeskyttelse, som især er beskrevet i art. 32 GDPR, BDSG og i statens databeskyttelseslove.

Informationssikkerhedsmotivation og mål

Information (eller data) er varer, der er værd at beskytte. Adgangen til disse bør begrænses og kontrolleres. Kun autoriserede brugere eller programmer har adgang til oplysningerne. Beskyttelse mål defineres for at opnå eller opretholde informationssikkerhed og dermed at beskytte data fra beregnet angreb af it-systemer: [2] : 6-11

  • Generelle beskyttelsesmål:
    • Fortrolighed (engelsk: fortrolighed): Data må kun læses eller ændres af autoriserede brugere, dette gælder både for adgang til lagrede data såvel som under dataoverførsel .
    • Integritet (engelsk: integritet): Data må ikke ændres ubemærket. Alle ændringer skal kunne spores.
    • Tilgængelighed (engelsk: tilgængelighed): forebyggelse af systemfejl; Adgang til data skal garanteres inden for en aftalt tidsramme. [2] : 7-13
  • Yderligere beskyttelsesmål for informationssikkerhed: [2] : 7–13
    • Autenticitet (engelsk: authenticity) angiver egenskaberne ved et objekts hurtighed, testbarhed og pålidelighed. [4]
    • Bindende natur / ikke-afvisning : Det kræver, at "ingen afviselig afvisning af udførte handlinger" er mulig. [5] Det er blandt andet vigtigt, når der indgås kontrakter elektronisk. Det kan f.eks. Nås via elektroniske signaturer . [6]
    • Ansvarlighed (engelsk: ansvarlighed): "En undersøgelse, der er udført, kan klart tildeles en kommunikationspartner." [5]
    • i en bestemt kontekst (f.eks. på Internettet) også anonymitet
  • Særligt beskyttelsesmål i forbindelse med GDPR :
    • Resilience (engelsk: resilience): modstand / modstandsdygtighed over for Ausspähungen, fejlagtig eller bevidst interferens eller bevidst skade (sabotage)

Hvert it -system, uanset hvor godt det er planlagt og implementeret, kan have svage sider . Hvis visse angreb for at omgå de eksisterende sikkerhedsforanstaltninger er mulige, er systemet sårbart . Bruger en angriber en svaghed eller sårbarhed over for indtrængen i et it -system, fortrolighed, dataintegritet og tilgængelighed er truet (engelsk: trussel). For virksomheder betyder angreb på beskyttelsesmålene angreb på reelle virksomhedsværdier , normalt tryk på eller ændring af interne virksomhedsoplysninger. Enhver trussel er en risiko (engelsk: risiko) for virksomheden. Virksomheder forsøger ved hjælp af risikostyring (engelsk: risikostyring) sandsynligheden for, at der opstår skader og den deraf følgende skadebeløb, der skal bestemmes. [2] : 14-17

Efter en risikoanalyse og evaluering af de virksomhedsspecifikke it-systemer kan passende beskyttelsesmål defineres. Dette efterfølges af valg af IT -sikkerhedsforanstaltninger til de respektive forretningsprocesser i en virksomhed. Denne proces er en af ​​aktiviteterne i IT -sikkerhedsstyring. En standardiseret procedure er muliggjort ved brug af IT -standarder.

Som en del af it -sikkerhedsstyring vælges og implementeres de relevante it -sikkerhedsstandarder. Til dette formål er der forskellige standarder inden for IT -sikkerhedsstyring. Ved hjælp af ISO / IEC 27001 eller IT-Grundschutz- standarden forsøger man at bruge anerkendte regler til at reducere kompleksiteten af socio-tekniske systemer inden for IT-sikkerhedsstyring og finde et passende informationsniveau sikkerhed.

Betydningen af ​​informationssikkerhed

I den ( personlige ) computers tidlige barndom forstås computersikkerhed som at sikre den korrekte funktionalitet af hardware (fejl på f.eks. Bånddrev eller andre mekaniske komponenter) og software (korrekt installation og vedligeholdelse af programmer). Over tid ændrede kravene til computere ( internet , lagermedier ); computersikkerhedsopgaver skulle udformes anderledes. Således er konceptet med computersikkerhed stadig foranderligt.

I dag er private og offentlige virksomheder afhængige af it -systemer på alle områder af deres forretningsaktiviteter og privatpersoner i de fleste dagligdagsspørgsmål. Da risikoen for it -systemer i virksomheder ud over afhængigheden normalt er større end for computere og netværk i private husstande, er informationssikkerhed overvejende virksomhedernes ansvar.

Tilsvarende forpligtelser kan udledes af de forskellige love om selskabsret, ansvarsret, databeskyttelse, banklov osv. I hele den tysktalende region. Informationssikkerhed er en komponent i risikostyring der . Internationalt spiller regler som Basel II og Sarbanes-Oxley Act en vigtig rolle.

Trusler

brændt bærbar computer

Forskellige scenarier for et angreb kan forestilles i IT -sikkerhed. En manipulation af dataene på et websted via en såkaldt SQL-injektion er et eksempel. Nogle angreb, mål og årsager er beskrevet nedenfor:

Angreb og beskyttelse

Et angreb på databeskyttelse eller datasikkerhed (repræsenteret ved f.eks. Et computersystem) forstås at betyde enhver proces, hvis resultat eller mål er tab af databeskyttelse eller datasikkerhed. I denne forstand vurderes teknisk svigt også som et angreb.

Statistisk sikkerhed : Et system anses for at være sikkert, hvis angriberen har større indsats for at bryde ind i systemet end den resulterende fordel. Det er derfor vigtigt at sætte hindringerne for et vellykket indbrud så højt som muligt og dermed reducere risikoen .

Absolut sikkerhed : Et system er absolut sikkert, hvis det kan modstå alle tænkelige angreb. Absolut sikkerhed kan kun opnås under særlige forhold, der ofte begrænser systemets arbejdsevne betydeligt (isolerede systemer, få og højt kvalificerede adgangsgodkendte personer).

Manglen på computersikkerhed er en kompleks trussel, der kun kan besvares af sofistikerede forsvar. Køb og installation af software er ikke en erstatning for en grundig analyse af risici, mulige tab, forsvars- og sikkerhedsbestemmelser.

Når sikkerheden i et system er blevet overtrådt, skal det ses som kompromitteret , hvilket kræver foranstaltninger for at forhindre yderligere skade og om nødvendigt at gendanne data.

Effekter eller mål

  • Teknisk systemfejl
  • Systemmisbrug, gennem ulovlig brug af ressourcer, ændringer af offentliggjort indhold osv.
  • sabotage
  • spionage
  • Svindel og tyveri

Årsager eller midler

Federal Office for Information Security (BSI) klassificerer de forskellige angrebsmetoder og midler i: [7]

Desuden kan ovenstående effekter også opnås

Virus, orme, trojanske heste

Mens hele spektret af computersikkerhedsspørgsmål overvejes i virksomhedsmiljøet, forbinder mange private brugere udtrykket primært med beskyttelse mod virus og orme eller spyware såsom trojanske heste.

De første computervira var stadig ganske ufarlige og tjente kun til at påpege forskellige svage punkter i computersystemer. Men det blev hurtigt indset, at vira er i stand til meget mere. En hurtig videreudvikling af malware begyndte og udvidelsen af ​​dens muligheder - fra simpelthen sletning af filer til spionage på data (f.eks. Adgangskoder) til åbning af computeren for eksterne brugere ( bagdør ).

Der findes nu forskellige byggesæt på Internettet, der ikke kun giver instruktioner, men også alle de nødvendige komponenter til enkel programmering af vira. Sidst men ikke mindst smugler kriminelle organisationer virus ind på pc'er for at kunne bruge dem til deres egne formål ( UBE / UCE , DoS -angreb osv.). Sådan er der opstået enorme botnet , der også ulovligt lejes ud.

foranstaltninger

Foranstaltningerne skal tilpasses værdien af ​​virksomhedens værdier, der skal beskyttes som led i skabelsen af ​​et sikkerhedskoncept . For mange foranstaltninger betyder for høje økonomiske, organisatoriske eller personaleudgifter. Acceptproblemer opstår, når medarbejderne ikke er tilstrækkeligt involveret i IT -sikkerhedsprocessen. Hvis der implementeres for få foranstaltninger, forbliver nyttige sikkerhedshuller åbne for angribere.

ledelse

Informationssikkerhed er grundlæggende en opgave for ledelsen af ​​en organisation eller en virksomhed og bør organiseres efter en top-down tilgang. Især er vedtagelsen af ​​informationsbeskyttelse og retningslinjer for sikkerhed (engelsk: Sikkerhedspolitik ) ansvarlig for topledelsen. En anden ledelsesopgave kan være introduktion og drift af etinformationssikkerhedsstyringssystem (ISMS) . Denne er ansvarlig for den operationelle implementering og kontrol af sikkerhedspolitikken. Disse foranstaltninger har til formål at skabe passende organisations- og ledelsesstrukturer til beskyttelse af virksomheders værdier. Yderligere oplysninger findes i artiklen IT -sikkerhedsstyring .

Operationelle foranstaltninger

Foranstaltningerne omfatter fysisk eller rumlig sikkerhed for data, adgangskontrol , opsætning af fejltolerante systemer og foranstaltninger til datasikkerhed og kryptering . Sikkerheden i behandlingssystemerne er en vigtig forudsætning. Et effektivt sikkerhedskoncept tager imidlertid også hensyn til organisatoriske og personalemæssige foranstaltninger ud over tekniske foranstaltninger.

De sikkerhedsforanstaltninger, der kan træffes for informationssikkerhed af alle, der er ansvarlige for informationssikkerhed i virksomheder , men frem for alt af private brugere af computere og netværk, omfatter følgende punkter. [8.]

Adgangskontrol

Godkendt adgang til computersystemer og applikationssoftware skal garanteres gennem pålidelig og sikker adgangskontrol . Dette kan implementeres med individuelle brugernavne og tilstrækkeligt komplekse adgangskoder og især med andre faktorer (se også tofaktorautentificering ), såsom transaktionsnumre eller sikkerhedstokener .

Brug begrænsede brugerkonti

Systemadministratoren har lov til at foretage dybtgående ændringer på en computer. Dette kræver tilstrækkeligt kendskab til farerne, og det er alt andet end tilrådeligt for normale brugere at surfe på Internettet , downloade filer eller e-mails med administratorrettigheder. Moderne operativsystemer har derfor mulighed for at begrænse brugerrettigheder , så f.eks. Systemfiler ikke kan ændres.

Begrænsende konfiguration

Brugerbegrænsede brugerkonti til dagligt arbejde forhindrer kompromittering af selve operativsystemet , systemkonfigurationen og den (beskyttede) applikation installeret og systemprogrammer, men beskytter ikke mod kompromittering af brugerdata og brugerkonfiguration: under begrænsede brugerkonti er alle programmer (til Shell -scripts eller batchfiler er også eksekverbare, selvom meget få brugere endda bruger denne mulighed.

Da brugere typisk (kun) bruger de programmer, der følger med operativsystemet, og dem, der er installeret af deres administrator, er det muligt at give brugerne rettigheder til kun at udføre filer, hvor operativsystemet og de installerede programmer er gemt (og ikke kan skrives til) ), og at blive trukket tilbage, uanset hvor du selv kan skrive. Ondsindede programmer, der f.eks. Downloades fra et inficeret websted og gemmes i browserens cache som såkaldt " drive-by-download " uden at blive opdaget af brugeren, gøres således uskadelige.

Nuværende versioner af Microsoft Windows tillader implementering af denne begrænsning med de såkaldte "software restriction guidelines" [9] [10] [11] [12] [13] alias "SAFER".

DEP [14] for nuværende operativsystemer anvender den samme begrænsning i virtuel hukommelse .

Hold software opdateret

Opdateringer tilbydes (regelmæssigt) til mange programmer. Disse tilbyder ikke kun ændret eller forbedret funktionalitet, men løser ofte også sikkerhedshuller og programfejl . Programmer, der kommunikerer med internettet via netværk , f.eks. Operativsystemer , browsere , beskyttelsesprogrammer eller e-mail- programmer, påvirkes især.

Sikkerhedsrelevante softwareopdateringer bør installeres på de relevante computersystemer så hurtigt som muligt fra verificerbare og pålidelige kilder. Mange Internet of Things -enheder og -programmer tilbyder en automatisk funktion, der opdaterer softwaren i baggrunden uden brugerindgreb ved at downloade den opdaterede software direkte fra Internettet.

Afinstaller forældet, usikker og ubrugt software

Software, hvis producent har afbrudt vedligeholdelse, såkaldt End of Life (EOL), som er usikker, eller som ikke længere bruges, skal afinstalleres for at sikre beskyttelse.

Lav sikkerhedskopier

Mindst én sikkerhedskopi af hver vigtig fil skal laves på et separat lagermedium . Der er f.eks. Backup -software til dette formål, der udfører disse opgaver regelmæssigt og automatisk. Som led i tilbagevendende vedligeholdelsesarbejde skal sikkerhedskopier, der foretages, kontrolleres for integritet, fortrolighed og tilgængelighed.

I erhvervssektoren er backup -løsninger med lokal afstand, såsom et andet datacenter med redundant spejling samt cloud -løsninger mulige. Disse løsninger er ofte dyre. Forbedring af datasikkerhed gennem sikkerhedskopier er billigere i den private sektor. Afhængigt af datamængden kan mindre flytbare medier, såsom DVD eller Blu-ray samt eksterne (USB) harddiske eller NAS- systemer bruges til sikkerhedskopiering.

I princippet bør dataenes relevans til erhvervsmæssige eller private formål bestemme typen og hyppigheden af ​​sikkerhedskopien samt antallet af sikkerhedskopier.

Brug antivirussoftware

Når data hentes fra Internettet eller fra mailservere eller kopieres fra datalagringsmedier , er der altid mulighed for, at der også findes ondsindede filer blandt dem. For at undgå kompromis bør der kun åbnes filer eller vedhæftede filer, som du har tillid til, eller som anerkendes som ufarlige af et antivirusprogram ; hverken tillid eller antivirusprogrammer kan imidlertid beskytte mod alle ondsindede filer: en troværdig kilde kan i sig selv blive inficeret, og antivirusprogrammer kan ikke opdage ny eller ukendt malware. Også med denne software skal det sikres, at den opdateres regelmæssigt (muligvis endda flere gange om dagen). Antivirusprogrammer har ofte selv skadelige bivirkninger: de (regelmæssigt) genkender ufarlige systemfiler ved en fejl ved at være "inficeret" og fjerner dem, hvorefter operativsystemet ikke længere fungerer (korrekt) eller slet ikke starter. Ligesom alle computerprogrammer har de også selv fejl og sikkerhedshuller, så computersystemet kan være mere usikkert end før eller ikke blive mere sikkert efter installationen. Derudover luller de den typiske bruger til vildledende sikkerhed med deres reklameudtalelser som f.eks. "Tilbyder omfattende beskyttelse mod alle trusler" og kan få dem til at opføre sig mere risikabelt. Ondsindede programmer er normalt rettet mod specielle og ofte udbredte operativsystemer eller ofte anvendte browsere .

Diversificering

En anden foranstaltning til at reducere risiciene er at diversificere software, dvs. at bruge software fra forskellige, ikke engang markedsledende udbydere. Angrebene fra crackere er ofte rettet mod produkter fra store leverandører, fordi de gør den største gevinst med kriminelle angreb og ellers opnå den størst ”berømmelse”. I denne henseende kan det være tilrådeligt at bruge produkter fra mindre og mindre kendte virksomheder eller for eksempel open source- software.

Brug firewalls

For angreb, der truer uden brugerens aktive indgriben, er det vigtigt at installere en netværks firewall eller personlig firewall . En masse uønsket adgang til computeren og utilsigtet adgang fra egen computer, som normalt ikke engang bemærkes af brugeren, kan forhindres på denne måde. Konfigurationen af ​​en firewall er ikke triviel og kræver en vis viden om processerne og farerne.

Sandkasser

"Sandkasser" låser et potentielt skadeligt program. I værste fald kan programmet kun ødelægge sandkassen. For eksempel er der ingen grund til, at en PDF -læser skal have adgang til OpenOffice -dokumenter. I dette tilfælde ville sandkassen være "alle PDF -dokumenter og intet andet". Teknikker som AppArmor og SELinux muliggør konstruktion af en sandkasse.

Deaktiver aktivt indhold

Aktivt indhold er funktioner, der har til formål at forenkle betjeningen af ​​en computer. Den automatiske åbning eller udførelse af downloadede filer indebærer imidlertid en risiko for, at de udfører ondsindet kode og inficerer computeren. For at undgå dette bør aktivt indhold som ActiveX , Java eller JavaScript deaktiveres så langt som muligt.

Krypter følsomme data

Data, der ikke bør falde i hænderne på tredjemand, kan beskyttes med passende foranstaltninger, f.eks. Med GPG -softwaren eller harddiskkryptering (se også kryptografi ). Dette gælder ikke kun data, der er i transit mellem to computere, men også data, der er stationære på masselagringsenheder . Et typisk eksempel er transmission af kreditkortnumre under online shopping, som ofte [15] er beskyttet via HTTPS . Indholdet kan kun tilgås, hvis den ene part har den korrekte nøgle . Ukrypterede, trådløse netværk såsom åbne WLAN'er er særligt udsatte. Sollten keine weitere Schutzmaßnahmen ergriffen worden sein, wie z. B. der Einsatz von einem VPN , erhalten Unbefugte potenziell unbemerkten Zugriff auf die übertragenen Daten.

Auch für Behörden und Unternehmen ist die Datensicherheit, vor allem in Bezug auf den Datentransport ein äußerst sensibles Thema. Immer wieder erfordern Geschäftsprozesse die mobile Verfügbarkeit von Forschungs-, Finanz-, Kunden- oder Kontodaten. Bei der Datenaufbewahrung und dem Datentransport müssen sich Behörden und Unternehmen auf höchste Sicherheit verlassen können. Gelangen sensible Daten in unbefugte Hände, entsteht meist ein irreparabler Schaden, insbesondere wenn die Daten verbreitet oder missbraucht werden. Um dies zu verhindern und höchste Datensicherheit für den mobilen Datentransport zu gewährleisten, müssen neben dem Kriterium der Datenverschlüsselung auch die Kriterien wie Datenintegrität (siehe Authentifizierung ), Lebenszyklus der Schlüssel beachtet werden.

Das angestrebte Niveau an Datensicherheit bestimmt die empfohlenen Verschlüsselungsmethoden und Verschlüsselungsstärken. Für Anwendungen mit symmetrischer Verschlüsselung empfiehlt das BSI (Deutschland) die Verschlüsselungsmethode AES mit einer Schlüssellänge ab 128 Bit [16] . Als Betriebsart werden CCM , GCM , CBC und CTR empfohlen.

Passwörter , persönliche Identifikationsnummern (PIN) und Transaktionsnummern (TAN) sollten nicht unverschlüsselt gespeichert oder übertragen werden.

Protokollierung

Automatisch erstellte Protokolle oder Logdateien können dabei helfen, zu einem späteren Zeitpunkt zu ermitteln, wie es zu Schäden an einem Rechnersystem gekommen ist.

Sichere Entwicklungssysteme und Laufzeitumgebungen verwenden

Für die Generierung und Wartung sicherer Software ist es sehr nützlich, schon bei der Softwareentwicklung strukturiert zu programmieren und leicht überschaubare und erlernbare Werkzeuge zu verwenden, die möglichst enggefasste Sichtbarkeitsregeln und gekapselte Programmmodule mit eindeutig definierten Schnittstellen erlauben. [17] Durch eingeschränkte Freiheiten bei der Programmierung, wie zum Beispiel die Beschränkung auf einfache Vererbung oder das Verbot von Zirkelbezügen oder kritischen Typumwandlungen , wird in der Regel zugleich das Potential von Programmfehlern eingeschränkt. Dabei ist es auch sinnvoll und hilfreich, bereits getestete Software durch geeignete Maßnahmen wiederzuverwenden, wie zum Beispiel durch die Verwendung von Prozeduren oder objektorientierten Datenstrukturen .

Entwickler von Software, die zum sicheren Datenaustausch zwischen Rechnern eingesetzt wird, müssen moderne Entwicklungssysteme und Programmiersprachen einsetzen, da ältere Systeme häufig Sicherheitslücken haben und nicht über die entsprechende Sicherheitsfunktionalität verfügen. Sichere Software ist nur in entsprechenden, modernen und sicheren Laufzeitumgebungen lauffähig und sollte mit Entwicklungswerkzeugen (wie zum Beispiel Compilern ) erstellt werden, die ein möglichst hohes Maß an inhärenter Sicherheit bieten, wie zum Beispiel Modulsicherheit, Typsicherheit oder die Vermeidung von Pufferüberläufen .

Auch bei Geräten, die nicht in einem Rechnernetz beziehungsweise im Internet der Dinge betrieben werden, kann die Informationssicherheit durch geeignete Entwicklungssysteme und Laufzeitumgebungen erhöht werden. Datenverlust durch unzuverlässigen Programmcode ( Computerabsturz ) kann vorbeugend zum Beispiel durch compilergenerierte Überprüfung von Indizes von Datenfeldern , unzulässigen Zeigern oder nach dem Auftreten von Programmfehlern durch Ausnahmebehandlung in der Laufzeitumgebung vermieden werden. Ferner ist es in objektorientierten Laufzeitumgebungen unerlässlich und auch in anderen Systemen sicherer, eine automatische Speicherbereinigung durchzuführen, damit nicht versehentlich Speicherplatz freigegeben wird.

Manche Entwickler vertrauen auf die Verifikation von Programmcode , um die Korrektheit von Software zu verbessern. Ferner ist es möglich, bereits implementierte Software durch bestimmte Verfahren, wie zum Beispiel die Verwendung von Proof-Carrying Code , erst während der Laufzeit zu überprüfen und deren Ausführung bei der Nichteinhaltung von Sicherheitsrichtlinien zu verhindern.

Sensibilisierung und Befähigung der Mitarbeiter

Ein wichtiger Aspekt in der Umsetzung von Sicherheitsrichtlinien ist die Ansprache der eigenen Mitarbeiter, die Bildung von sogenannter IT-Security- Awareness . Hier fordern die ersten Arbeitsrichter den Nachweis der erfolgten Mitarbeitersensibilisierung für den Fall eines etwaigen Verstoßes gegen die Firmenrichtlinien. Zusätzliche Bedeutung bekommt diese menschliche Seite der Informationssicherheit außerdem, da Industriespionage oder gezielte, wirtschaftlich motivierte Sabotage gegen Unternehmen nicht allein mit technischen Mitteln ausgeführt werden. Um ihren Opfern zu schaden oder Informationen zu stehlen, nutzen die Angreifer beispielsweise Social Engineering , das nur abzuwehren ist, wenn die Mitarbeiter über mögliche Tricks der Angreifer orientiert sind und gelernt haben, mit potenziellen Angriffen umzugehen. Die Mitarbeitersensibilisierung variiert typischerweise von Unternehmen zu Unternehmen von Präsenzveranstaltungen über webbasierte Seminare bis hin zu Sensibilisierungskampagnen.

Der Fokus verschiebt sich dabei inzwischen von der reinen Sensibilisierung („Awareness“) hin zur Befähigung („ Empowerment “) der Anwender, eigenverantwortlich für mehr Sicherheit im Umgang mit IT-gestützten Informationen zu sorgen. [18] In Unternehmen kommt dabei dem „Information Security Empowerment“ der Führungskräfte besondere Bedeutung zu, da sie Vorbildfunktion für ihre Abteilungsmitarbeiter haben und dafür verantwortlich sind, dass die Sicherheitsrichtlinien ihres Verantwortungsbereiches zu den dortigen Arbeitsabläufen passen – eine wichtige Voraussetzung für die Akzeptanz. [19]

Standards, „Best practices“ und Ausbildung im Überblick

Zur Bewertung und Zertifizierung der Sicherheit von Computersystemen existieren internationale Normen . Wichtige Normen in diesem Zusammenhang waren die amerikanischen TCSEC und die europäischen ITSEC -Standards. Beide wurden 1996 von dem neueren Common Criteria -Standard abgelöst. Die Evaluierung und Zertifizierung von IT-Produkten und -systemen erfolgt in Deutschland in der Regel durch das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Die Aufgabe des IT-Sicherheitsmanagements ist die systematische Absicherung eines informationsverarbeitenden IT-Verbundes. Gefahren für die Informationssicherheit oder Bedrohungen des Datenschutzes eines Unternehmens oder einer Organisation sollen verhindert oder abgewehrt werden. Die Auswahl und Umsetzung von IT-Sicherheitsstandards zählt zu den Aufgaben des IT-Sicherheitsmanagements. Standards des IT-Sicherheitsmanagements sind beispielsweise:

  • IT-Grundschutz des BSI
    • Die IT-Grundschutz-Kataloge definieren für die verschiedenen Aspekte einer IT-Landschaft konkrete Maßnahmen, die zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen ( Waschzettel ). Für Systeme mit hohem Schutzbedarf geben die Grundschutzkataloge ein strukturiertes Vorgehen, um die notwendigen Maßnahmen zu identifizieren. Die Grundschutz-Kataloge sind primär in Deutschland bekannt, liegen allerdings auch englischsprachig vor.
  • ISO/IEC 27001 : Norm für Informationsicherheitsmanagementsysteme (ISMS)
  • ISO/IEC 27002 : Leitfaden für das Informationssicherheitsmanagement (vormals ISO/IEC17799:2005)

Weltweit am stärksten verbreitet ist die ISO/IEC 27001-Norm.

Weitere Standards sind zu finden im

Neben den Standards zur Informationssicherheit gibt es auch Standards für die Ausbildung von Sicherheitsfachkräften. Als wichtigste sind zu nennen die Zertifizierungen zum Certified Information Security Manager (CISM) und Certified Information Systems Auditor (CISA) der ISACA , die Zertifizierung zum Certified Information Systems Security Professional (CISSP) des International Information Systems Security Certification Consortium (ISC)², die Security+ Zertifizierung von CompTIA , die Zertifizierung zum TeleTrusT Information Security Professional (TISP) [20] des TeleTrusT – Bundesverband IT-Sicherheit e. V. sowie die GIAC-Zertifizierungen des SANS Institute. Eine erweiterte Übersicht bietet die Liste der IT-Zertifikate .

Audits und Zertifizierungen

Um ein gewisses Standardmaß an Informationssicherheit zu gewährleisten, ist die regelmäßige Überprüfung von Maßnahmen zur Risikominimierung und -dezimierung Pflicht. Auch hier rücken wieder organisatorische und technische Aspekte in den Vordergrund.

Technische Sicherheit kann zum Beispiel durch Maßnahmen wie regelmäßige Penetrationstests oder vollständige Sicherheitsaudits erreicht werden, um eventuell bestehende Sicherheitsrisiken im Bereich von informationstechnischen Systemen, Applikationen und/oder in der informationstechnischen Infrastruktur zu erkennen und zu beseitigen.

Organisatorische Sicherheit kann durch Audits der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden. Beispielsweise können vordefinierte Testschritte beziehungsweise Kontrollpunkte eines Prozesses während eines Audits getestet werden.

Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur weiteren Risikominimierung beziehungsweise -dezimierung ableiten. Eine Methodik wie in diesem Absatz beschrieben, ist unmittelbar konform zu Normen wie ISO/IEC 27001 , BS 7799 oder gesetzlichen Vorschriften. Hier wird meist eine Nachvollziehbarkeit über Vorgänge der Informationssicherheit unmittelbar eingefordert, indem Unternehmen ein Risikomanagement abverlangt wird.

Umsetzungsbereiche

Zur Sensibilisierung für die Gefahren im Bereich der IT-Sicherheit und um mögliche Gegenmaßnahmen aufzuzeigen, existieren in Deutschland einige Initiativen. Dazu zählen der Cyber-Sicherheitsrat Deutschland eV, der Verein Deutschland sicher im Netz , die Allianz für Cyber-Sicherheit und die Sicherheitskooperation Cybercrime .

Privathaushalte

Programmierfehler in fast jeder Software machen es quasi unmöglich, Sicherheit vor jeder Art von Angriffen zu erreichen. Durch den Anschluss von Computern mit sensiblen Daten (zum Beispiel Homebanking , Bearbeitung der Dissertation ) an das Internet sind diese Schwachstellen auch von außen nutzbar. Der Standard an IT-Sicherheit in Privathaushalten ist geringer, da kaum ausreichende Maßnahmen zur Absicherung der Infrastruktur (zum Beispiel unterbrechungsfreie Stromversorgung , Einbruchsschutz) ergriffen werden.

Aber auch in anderen Bereichen besteht in privaten Haushalten weiterhin ein Defizit.

Viele private Benutzer haben noch nicht verstanden, dass es wichtig ist, die Konfiguration der genutzten Software an die jeweiligen Bedürfnisse anzupassen. So ist es bei vielen an das Internet angeschlossenen Rechnern nicht nötig, dass auf ihnen Server -Programme laufen. Server-Dienste werden von vielen Betriebssystemen in der Standardinstallation geladen; mit deren Deaktivierung schließt man eine Reihe wichtiger Angriffspunkte.

Sicherheitsaspekte wie zum Beispiel die Einrichtung von Zugriffsbeschränkungen sind vielen Benutzern ebenfalls fremd. Außerdem ist es von Bedeutung, sich über Schwachstellen in der eingesetzten Software zu informieren und regelmäßig Aktualisierungen einzuspielen.

Zur Computersicherheit gehört nicht nur der präventive Einsatz technischer Werkzeuge wie beispielsweise Firewalls , Intrusion-Detection-Systeme etc., sondern auch ein organisatorischer Rahmen in Form durchdachter Grundsätze (Policy, Strategie), die den Menschen als Anwender der Werkzeuge in das System einbezieht. Allzu oft gelingt es Hackern , durch Ausnutzung eines zu schwachen Kennworts oder durch sogenanntes Social Engineering Zugang zu sensiblen Daten zu erlangen.

IT-Sicherheit bei Sparkassen und Banken

Zur Beschleunigung des Prozesses und Hervorhebung der Wichtigkeit haben unter anderem die Ergebnisse von Basel II , die Vorschriften von BaFin und des KWG sowie der einzelnen Verbandsrevisionen der Sparkassen und Banken beigetragen. Verstärkt werden sowohl externe als auch interne Prüfungen auf dieses Thema ausgelegt. Gleichzeitig entstand ein umfangreiches Dienstleistungsangebot zur Durchführung verschiedener Projekte, die einen IT-Sicherheitsprozesses in Unternehmen etablieren sollen. Anbieter sind sowohl innerhalb der jeweiligen Unternehmensgruppe als auch auf dem externen Markt zu finden. Bei anderen Finanzdienstleistungsinstituten, Versicherungsunternehmen und den Unternehmen des Wertpapierhandels wird das Konzept im Allgemeinen identisch sein, wobei hier zum Beispiel auch andere Gesetze eine Rolle spielen können.

IT-Sicherheit bei anderen Unternehmen

Auch wenn die Gesetzgebungen und Prüfungen in anderen Sektoren der Wirtschaft weniger Vorgaben macht, behält die IT-Sicherheit ihren hohen Stellenwert. Hilfestellungen gewähren die kostenfreien IT-Grundschutz-Kataloge des BSI .

Durch die zunehmende Vernetzung verschiedener Niederlassungen z. B. bei Firmenzukäufen gewinnt eine Absicherung der IT-Systeme größere Bedeutung. Durch die Datenübertragung aus einem internen, geschlossenen Netzwerk über eine externe, öffentliche Verbindung zum anderen Standort existieren risikobehaftete Situationen.

Die Auswirkungen für Unternehmen sind ua:

  • Verlust von Daten,
  • Manipulation von Daten,
  • unzuverlässiger Empfang von Daten,
  • verspätete Verfügbarkeit von Daten,
  • Abkopplung von Systemen für das operative Geschäft,
  • unzulässige Verwertung von Daten,
  • fehlende Entwicklungsfähigkeit der eingesetzten Systeme.

Aber nicht nur im firmeninternen Datenaustausch liegt die Gefahr, es werden zunehmend Anwendungen direkt zu den Nutzern übertragen, oder aber externe Mitarbeiter oder gar outgesourcte Dienstleistern auf im Unternehmen gespeicherte Daten zuzugreifen und diese zu bearbeiten und zu verwalten. Für deren Zugriffsberechtigung muss eine Authentisierung ebenso erfolgen können, wie eine Dokumentation der getätigten und veränderten Aktionen.

Dieser Thematik folgend entstehen neue Anforderungen an die bestehenden Sicherheitskonzepte. Hinzu kommen die gesetzlichen Vorgaben, die ebenfalls in das IT-Sicherheitskonzept mit integriert werden müssen. Die entsprechenden Gesetze werden von externen und internen Prüfern kontrolliert. Da keine Methoden definiert worden sind, um diese Ergebnisse zu erreichen, wurden hier für die jeweiligen Bereiche verschiedenen „Best-Practice“-Methoden entwickelt, wie zum Beispiel ITIL , COBIT , ISO oder Basel II .

Hier gilt der Ansatz, ein Unternehmen so zu führen und zu kontrollieren, dass die relevanten und möglichen Risiken abgedeckt sind. Als Standard für die sogenannte IT-Governance sind einmal die zwingenden, sprich Gesetze ( HGB , AO , GOB) und Fachgutachten ( Sarbanes-Oxley Act , 8. EU-Audit-Richtlinie) und die unterstützenden („Best Practice Methode“) zu sehen.

Das bedeutet diese Risiken zu identifizieren, analysieren und bewerten. Um darauf aufbauend die Erstellung eines ganzheitlichen Sicherheitskonzeptes zu ermöglichen. Das beinhaltet nicht nur die eingesetzten Technologien, sondern auch organisatorische Maßnahmen, wie Zuständigkeiten, Berechtigungen, Kontrollinstanzen oder konzeptionelle Aspekte wie etwa Mindestanforderungen für bestimmte Sicherheitsmerkmale zu definieren.

So werden nun an die EDV besondere Anforderungen gestellt:

  1. Verhinderung von Manipulationen
  2. Nachweis von Eingriffen
  3. Installation von Frühwarnsystemen
  4. Interne Kontrollsysteme

Dabei ist zu beachten, dass die Daten der Automation derart gespeichert werden, dass sie jederzeit lesbar, nachvollziehbar und konsistent sind. Dazu müssen diese Daten vor Manipulation und Löschung geschützt werden. Jegliche Änderung soll ein Versionsmanagement auslösen und die Reporte und Statistiken über die Prozesse und deren Änderungen müssen direkt zentral abrufbar sein.

Eine Abhilfe können hier hochentwickelte Automatisierungslösungen sein. Dadurch, dass weniger manuelle Eingriffe notwendig sind, werden potentielle Gefahrenquellen ausgeschlossen. Die RZ-Automation umfasst somit folgende Gebiete:

  • Risikofaktor Prozessablauf
  • Risikofaktor Ressourcen
  • Risikofaktor Technologie
  • Risikofaktor Zeit

IT-Sicherheit in öffentlichen Einrichtungen und Behörden

In diesem Bereich sind die IT-Grundschutz-Kataloge des BSI Standardwerke. In großem Maße erhalten diese Stellen das zugehörige GSTOOL , welches die Durchführung deutlich vereinfacht, kostenlos.

Gesetzliche Rahmenbedingungen

Corporate Governance kann als Rahmen der IT-Sicherheit gesehen werden. Der Begriff stammt aus dem strategischen Management und bezeichnet einen Prozess zur Steuerung eines privatwirtschaftlichen Unternehmens. Durch Regeln und Kontrollmechanismen wird ein Ausgleich zwischen den verschiedenen Interessengruppen ( Stakeholdern ) angestrebt. Der Prozess dient dem Erhalt des Unternehmens und unterliegt einer regelmäßigen externen Überprüfung. [21] :32 f.

Gesetze zur Corporate Governance

Mit dem Ziel einer besseren Überwachung der Unternehmensführung (Corporate Governance) und ausländischen Investoren den Zugang zu Informationen über die Unternehmen zu erleichtern (Transparenz), trat im Mai 1998 das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) in Kraft. Das Kernthema der weitreichenden Änderungen im Handelsgesetzbuch (HGB) und im Aktiengesetz (AktG) war die Einführung eines Risikofrüherkennungssystems zur Erkennung von bestandsgefährdenden Risiken. Jedes am Kapitalmarkt orientierte Unternehmen musste ein solches System einrichten und Risiken des Unternehmens im Lagebericht des Jahresabschlusses veröffentlichen. [22] :37 f.

Der im Juli 2002 in Kraft getretene Sarbanes-Oxley Act (SOX) hatte das Ziel, verlorengegangenes Vertrauen der Anleger in die veröffentlichten Bilanzdaten von amerikanischen Unternehmen wiederherzustellen. Tochterunternehmen amerikanischer Gesellschaften im Ausland und nichtamerikanische Firmen, die an amerikanischen Börsen gehandelt werden, unterliegen ebenfalls dieser Regelung.[23] :295 f. Das Gesetz schreibt Vorkehrungen im Bereich der IT-Sicherheit wie die Einführung eines ISMS nicht explizit vor. Eine einwandfreie Berichterstattung über die internen Unternehmensdaten ist nur durch zuverlässige IT-Prozesse und einen angemessenen Schutz der verwendeten Daten möglich. Eine Konformität mit dem SOX ist daher nur mit Hilfe von Maßnahmen zur IT-Sicherheit möglich.[23] :295 f. [24] :3 f.

Die europäische Achte Richtlinie 2006/43/EG (auch „EuroSOX“ genannt) entstand in Anlehnung an das amerikanische SOX-Gesetz und trat im Juni 2006 in Kraft. Sie beschreibt die Mindestanforderungen an Unternehmen für ein Risikomanagement und legt die Pflichten der Abschlussprüfer fest.[23] :296

Die deutsche Umsetzung der europäischen EuroSOX erfolgte im Bilanzrechtsmodernisierungsgesetz (BilMoG). Es trat im Mai 2009 in Kraft. Das Gesetz änderte zum Zwecke der Harmonisierung mit Europarecht einige Gesetze wie das HGB und das Aktiengesetz . Unter anderem sind Kapitalgesellschaften wie eine AG oder eine GmbH laut § 289 HGB Abs. 5 aufgefordert, wesentliche Eigenschaften ihres Internen Kontrollsystems (IKS) im Lagebericht des Jahresabschlusses darzulegen.[23] :296

In den europäischen Regelungen Richtlinie über Eigenkapitalanforderungen (Basel I) aus dem Jahr 1988 und Richtlinie für Basissolvenzkapitalanforderungen aus dem Jahr 1973 (2002 aktualisiert; nachträglich als Solvabilität I bezeichnet) wurden viele einzelne Gesetze unter einem Oberbegriff zusammengefasst. [25] Diese für Kreditinstitute und Versicherungsunternehmen bedeutsamen Regelungen enthielten viele Schwächen. Die neuen Regelungen Basel II für Banken (EU-weit in Kraft seit Januar 2007) und Solvabilität II für Versicherer (in Kraft seit Januar 2016) enthalten modernere Regelungen für ein Risikomanagement.[23] :296 f. Die Nachfolgeregelung Basel III wird seit 2013 eingeführt und soll bis 2019 komplett implementiert sein.

Datenschutzgesetze

Die erste Fassung des Bundesdatenschutzgesetzes (BDSG) mit dem Namen Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung wurde am 27. Januar 1977 erlassen ( BGBl. I S. 201 ). Unter dem Eindruck des sogenannten Volkszählungsurteils von 1983 trat durch das Gesetz zur Fortentwicklung der Datenverarbeitung und des Datenschutzes vom 20. Dezember 1990 am 1. Juni 1991 eine Neufassung des BDSG in Kraft ( BGBl. 1990 I S. 2954, 2955 ). Eine der zahlreichen Änderungen des Gesetzes trat im August 2002 in Kraft. Sie diente der Anpassung des Gesetzes an die Richtlinie 95/46/EG (Datenschutzrichtlinie) . [26]

Neben dem BDSG existieren in Deutschland weitere gesetzliche Vorschriften, die die Einführung und das Betreiben eines ISMS erfordern. Dazu zählen das Telemediengesetz (TMG) und das Telekommunikationsgesetz (TKG).

Der Schutz der Privatsphäre wird in Großbritannien seit 1984 durch den Data Protection Act (DPA) geregelt. Dieser bot in seiner ursprünglichen Version einen minimalen Datenschutz. Die Verarbeitung personenbezogener Daten wurde 1998 durch eine neue Fassung des DPA ersetzt. Diese trat 2000 in Kraft und glich britisches Recht an die EG-Richtlinie 95/46/EG an. In Großbritannien verpflichtete die britische Regierung 2001 alle Ministerien mit dem BS 7799 konform zu werden. Die Implementierung eines ISMS erleichtert es britischen Unternehmen eine Konformität zum DPA nachzuweisen. [27] :135 f.

Die Datenschutz-Grundverordnung setzt die Richtlinie 95/46/EG außer Kraft. Sie trat am 24. Mai 2016 in Kraft und gilt ab 25. Mai 2018 unmittelbar in allen Staaten der Europäischen Union. Die bisherigen nationalen Regelungen wie der englische DPA und das deutsche BDSG werden abgelöst bzw. neu gefasst, um die Regelungsaufträge der Verordnung an den nationalen Gesetzgeber zu erfüllen.

IT-Sicherheitsgesetz

Unter dem Eindruck von Terroranschlägen und aus militärischen Erwägungen tritt in Deutschland und anderen Ländern zunehmend der Schutz kritischer Infrastrukturen vor Cyber-Attacken in den Vordergrund. Hierzu trat am 25. Juli 2015 ein Artikelgesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz, ITSiG) in Kraft. [28] Das Gesetz weist dem Bundesamt für Sicherheit in der Informationstechnik die zentrale Rolle beim Schutz kritischer Infrastrukturen in Deutschland zu.

Hierzu wurde das BSI-Gesetz um Sicherheitsanforderungen an sogenannte „Kritische Infrastrukturen“ ergänzt. Dies sind Einrichtungen, Anlagen oder Teile davon, die

  • den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und
  • von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.

In einer zugehörigen Verordnung KRITIS-Verordnung (BSI-KritisV [29] ) wird geklärt, welche Einrichtungen, Anlagen oder Teile davon konkret unter die Vorgaben des IT-Sicherheitsgesetzes fallen. Unter anderem zählen Stromnetze, Atomkraftwerke und Krankenhäuser dazu. [30]

Kritische Infrastrukturen müssen branchenspezifische Mindeststandards erfüllen, wozu insbesondere die Einführung eines ISMS zählt. Weiterhin müssen sie relevante Vorfälle, die die IT-Sicherheit betreffen, an das BSI melden.

Durch das IT-Sicherheitsgesetz wurden außerdem weitere Gesetze wie z. B. das Energiewirtschaftsgesetz geändert. Durch die Änderung des Energiewirtschaftsgesetz werden sämtliche Strom- und Gasnetzbetreiber verpflichtet, den IT-Sicherheitskatalog der Bundesnetzagentur umzusetzen und ein ISMS einzuführen. [31]

Am 27. März 2019 veröffentlichte das Bundesinnenministerium ferner den Entwurf für ein IT-Sicherheitsgesetz 2.0, der einen ganzheitlichen Ansatz zur IT-Sicherheit enthält. Aufgenommen werden soll unter anderem ein verbraucherfreundliches IT-Sicherheitskennzeichen für Handelsprodukte, zudem werden die Kompetenzen des BSI gestärkt und Straftatbestände in der Cybersicherheit und die damit verbundene Ermittlungstätigkeit ausgedehnt. Der Gesetzentwurf erweitert zudem die Adressaten von Meldepflichten und Umsetzungsmaßnahmen. Insgesamt ist durch das Gesetz mit einer erheblichen wirtschaftlichen Mehrbelastung für Unternehmen und Behörden zu rechnen. [32]

Im Dezember 2020 legte die Bundesregierung weitere Entwürfe für das IT-Sicherheitsgesetz 2.0 vor. [33] Verbände und anderen Interessensvertreter kritisierten die kurze Kommentarfristen von wenigen Tagen, teils nur 24 Stunden, die laut Kritikern einem „faktischen Ausschluss von Beteiligung“ gleichkämen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) werde zu einer „Cyber-Behörde mit Hackerbefugnissen“ aufgerüstet. [34] Der Bundesverband der Verbraucherzentralen begrüßte, dass das BSI auch den Schutz von Konsumenten erhalten soll, wies aber zugleich auf mögliche Interessenskonflikte mit anderen Aufgabenbereichen dieser Behörde wie der Unterstützung bei der Strafverfolgung hin. [35] Am 16. Dezember 2020 wurde das IT-Sicherheitsgesetz 2.0 im Kabinett beschlossen und zur Notifizierung bei der europäischen Kommission eingereicht. Anfang 2021 wird das Gesetz im Bundestag diskutiert werden. Nachdem das Gesetzesvorhaben im Frühjahr 2021 den Bundestag und Bundesrat passierte trat das IT-Sicherheitsgesetz 2.0 Ende Mai offiziell in Kraft. [36]

Strafrechtliche Aspekte

Jegliches rechtswidrige Verändern, Löschen, Unterdrücken oder Unbrauchbar-Machen fremder Daten erfüllt den Tatbestand nach § 303a StGB ( Datenveränderung ). In besonders schweren Fällen ist dies auch nach § 303b I Nr. 1 StGB („ Computersabotage “) strafbar und wird mit Haftstrafe von bis zu fünf Jahren oder Geldstrafe bestraft. Die Durchführung von DDOS-Attacken stellt seit 2007 ebenfalls eine Computersabotage dar, gleiches gilt für jegliche Handlungen, die zur Beschädigung eines Informationssystems führen, das für einen anderen von wesentlicher Bedeutung ist.

Das Ausspähen von Daten (§ 202a StGB), also die Erlangung des Zugangs zu fremden Daten, die hiergegen besonders geschützt sind, wird mit Haftstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. Das Abfangen fremder Daten in Netzen oder aus elektromagnetischen Abstrahlungen ist seit 2007 ebenfalls strafbar, anders als bei § 202a StGB kommt es hier nicht auf eine besondere Zugangssicherung an. Das sich Verschaffen, Erstellen, Verbreiten, Öffentlich-Zugänglichmachen etc. von sog. „Hackertools“ steht ebenfalls seit 2007 unter Strafe, wenn damit eine Straftat vorbereitet wird (§ 202c StGB).

Daten sind nach § 202a Abs. 2 in Verbindung mit Abs. 1 aber nur vor dem Ausspähen geschützt, wenn sie „besonders gesichert“ sind, um ein Ausufern des Tatbestandes zu vermeiden. Das heißt, erst wenn der Nutzer seine Daten technisch schützt, genießt er auch den strafrechtlichen Schutz. Die frühere Debatte, ob das „Hacken“ ohne Abruf von Daten strafbar sei, ist hinfällig, seit der Wortlaut der Norm 2007 derart geändert wurde, dass Strafbarkeit bereits mit Erlangung des Zugangs zu Daten einsetzt. Weiter ist umstritten, ob die Verschlüsselung zur besonderen Sicherung zählt. Sie ist zwar sehr effektiv, aber es wird argumentiert, die Daten seien ja nicht gesichert, sondern lägen nur in „unverständlicher“ bzw. schlicht „anderer“ Form vor.

Als Computerbetrug wird nach § 263 a StGB mit Geldstrafe oder Freiheitsstrafe bis zu fünf Jahren bestraft, wenn Datenverarbeitungsvorgänge zur Erlangung von Vermögensvorteilen manipuliert werden. Schon das Erstellen, Verschaffen, Anbieten, Verwahren oder Überlassen dafür geeigneter Computerprogramme ist strafbar.

Zitate

„Ich glaube, dass es zunehmend wahrscheinlicher wird, dass wir bis 2017 einige katastrophale Systemfehler erleben. Noch wahrscheinlicher, wir werden von einem fürchterlichen Systemausfall betroffen sein, weil irgendein kritisches System mit einem nicht-kritischen verbunden war, das mit dem Internet verbunden wurde, damit irgendjemand an MySpace herankommt – und dieses Hilfssystem wird von Malware infiziert.“

Marcus J. Ranum, IT-Sicherheitsexperte [37] : zitiert nach Niels Boeing [38]

Siehe auch

Literatur

Weblinks

Einzelnachweise

  1. Stefan Loubichi: IEC 62443: IT-Sicherheit für industrielle Automatisierungssysteme – eine Einführung in die Systematik VGB PowerTech Journal, Ausgabe 6/2019, ISSN 1435-3199
  2. a b c d e f Claudia Eckert: IT-Sicherheit. Konzepte – Verfahren – Protokolle. 7., überarbeitete und erweiterte Auflage. Oldenbourg, 2012, ISBN 978-3-486-70687-1
  3. Einfache Darstellung der Informationssicherheit
  4. R. Shirey: RFC 4949, Internet Security Glossary, Version 2 . IETF . S. 29. Abgerufen am 10. November 2011: „The property of being genuine and able to be verified and be trusted.“
  5. a b Carsten Bormann et al.: Vorlesungsfolien 0. (PDF; 718 kB) In: Vorlesung Informationssicherheit 1, SS 2005, Uni Bremen. 16. April 2005, abgerufen am 30. August 2008 . Folie 25.
  6. Claudia Eckert : Vorlesung IT-Sicherheit, WS 2002/2003, TU Darmstadt. (PDF; 6,8 MB) Vorlesungsfolien Kap. 2, Folie 17. TU Darmstadt FG Sicherheit in der Informationstechnik, 20. Oktober 2004, S. 26 , archiviert vom Original am 3. Dezember 2013 ; abgerufen am 19. November 2010 .
  7. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): Die Lage der IT-Sicherheit in Deutschland 2016 . Oktober 2016.
  8. Vergleiche auch ENISA Quarterly Vol. 2, No. 3, Oct 2006 , ENISA , abgerufen am 29. Mai 2012
  9. Beschreibung der Softwarebeschränkungsrichtlinien in Windows XP , abgerufen am 9. August 2013.
  10. So wird's gemacht: Verwendung von Richtlinien für Softwareeinschränkung in Windows Server 2003 , abgerufen am 9. August 2013.
  11. Using Software Restriction Policies to Protect Against Unauthorized Software , abgerufen am 9. August 2013.
  12. Using Software Restriction Policies to Protect Against Unauthorized Software , abgerufen am 9. August 2013.
  13. How Software Restriction Policies Work , abgerufen am 9. August 2013.
  14. Detaillierte Beschreibung der Funktion „Datenausführungsverhinderung“ in Windows XP Service Pack 2, Windows XP Tablet PC Edition 2005 und Windows Server 2003 , abgerufen am 9. August 2013.
  15. W3Techs Usage of Default protocol https for websites . Abgerufen am 30. Mai 2019.
  16. BSI TR-02102-1: Kryptographische Verfahren: Empfehlungen und Schlüssellängen , Seite 22–23, Bundesamt für Sicherheit in der Informationstechnik , Bonn, 22. Februar 2019. Abgerufen am 30. Mai 2019.
  17. ENISA Quarterly, Q4 2007, vol. 3, no. 4 , ENISA , abgerufen am 29. Mai 2012
  18. Urs E. Gattiker: Why information security awareness initiatives have failed and will continue to do so . (PDF; 279 kB) Präsentation auf der govcert.nl 2007 conference.
  19. Axel Tietz, Johannes Wiele: Awareness ist nur ein Anfang . In: Informationsdienst IT-Grundschutz , Nr. 5/6, Mai 2009, S. 28–30, ( ISSN 1862-4375 )
  20. Frank van der Beek: Wie lehrt man IT-Sicherheit am Besten? Eine empirische Studie (PDF; 2,4 MB). S. 17.
  21. Michael Falk: IT-Compliance in der Corporate Governance: Anforderungen und Umsetzung. Wiesbaden, Gabler Verlag, 2012, ISBN 3-8349-3988-9
  22. Thomas A. Martin: Grundzüge des Risikomanagements nach KonTraG: Das Risikomanagementsystem zur Krisenfrüherkennung nach § 91 Abs. 2 AktG. München, Oldenbourg, 2002. ISBN 978-3-486-25876-9
  23. a b c d e J. Hofmann, W. Schmidt: Masterkurs IT-Management: Grundlagen, Umsetzung und erfolgreiche Praxis für Studenten und Praktiker. 2., akt. und erw. Auflage. Vieweg+Teubner, 2010, ISBN 978-3-8348-0842-4 .
  24. Heinrich Kersten, Jürgen Reuter, Klaus-Werner Schröder, Klaus-Dieter Wolfenstetter: IT-Sicherheitsmanagement nach ISO 27001 und Grundschutz: Der Weg zur Zertifizierung. 4., akt. u. erw. Auflage. Springer, Wiesbaden 2013, ISBN 978-3-658-01723-1 .
  25. Erste Richtlinie 73/239/EWG des Rates vom 24. Juli 1973 zur Koordinierung der Rechts- und Verwaltungsvorschriften betreffend die Aufnahme und Ausübung der Tätigkeit der Direktversicherung (mit Ausnahme der Lebensversicherung) , abgerufen am 9. Januar 2014
  26. Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze vom 22. Mai 2001 ( BGBl. I S. 904 )
  27. MJ Kenning: Security Management Standard: ISO 17799/BS 7799. In: BT Technology Journal , 19, 2001, Nr. 3, S. 132–136.
  28. Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vom 17. Juli 2015 ( BGBl. I S. 1324 )
  29. Bundesministerium der Justiz und Verbraucherschutz: KritisV. 22. April 2016, abgerufen am 22. Juli 2016 .
  30. Lisa Hegemann: IT-Sicherheitsgesetz 2.0: Wenn sich die Telekom in Ihren Rechner hacken soll. In: Zeit online. 15. Dezember 2020, abgerufen am 18. Dezember 2020 .
  31. Bundesnetzagentur: IT-Sicherheitskatalog. (PDF) Abgerufen am 22. Juli 2016 .
  32. IT-Sicherheitsgesetz (IT-SiG) 2.0 – die wichtigsten Änderungen des Referentenentwurfs im Schnellüberblick | beck-community. Abgerufen am 3. April 2019 .
  33. Patrick Beuth: Das soll im Huawei-Gesetz stehen. In: Spiegel Online. 12. Dezember 2020, abgerufen am 29. Dezember 2020 .
  34. Stefan Krempl: Bundesregierung: BSI soll mit IT-Sicherheitsgesetz 2.0 hacken dürfen. In: heise.de. 16. Dezember 2020, abgerufen am 18. Dezember 2020 .
  35. IT-Sicherheitsgesetz 2.0: „Mittelfinger ins Gesicht der Zivilgesellschaft“. In: heise.de. 10. Dezember 2020, abgerufen am 18. Dezember 2020 .
  36. Bundestag verabschiedet verschärftes IT-Sicherheitsgesetz. Süddeutsche Zeitung, abgerufen am 1. Juni 2021 .
  37. Marcus J. Ranum (Website)
  38. Niels Boeing: Blitz und Donner in der Matrix („ Technology Review “, deutsche Ausgabe, 25. Januar 2008)