Informations-Sicherheit
Aus P3wiki
Inhaltsverzeichnis |
Definition
Informationssicherheit, Zustand eines Systems der Informationsverarbeitung (IV), in dem das IV-System durch angemessene Maßnahmen so geschützt ist, daß die angestrebten Sachziele wie Vertraulichkeit, Integrität, Verfügbarkeit und Verbindlichkeit von Daten gewährleistet sind und das verbleibende Restrisiko als tragbar bewertet wird. Damit ist die unberechtigte Nutzung von Ressourcen erschwert und wird möglichst erkannt.
Detail
- Unberechtigte Nutzung liegt vor, wenn ein Benutzer, dem die entsprechenden Zugriffsrechte nicht erteilt wurden, Informationen zur Kenntnis nehmen kann, ändern oder generell das System nicht entsprechend den Vorstellungen des Betreibers nutzt.
- Unberechtigt handelt auch ein Berechtigter, wenn er das System nicht oder nicht nur entsprechend den ihm zugeteilten Aufgaben und Rechten nutzt - sich z.B. Zugriffsrechte verschafft, die ihm nicht zustehen (Innentäter).
- Informationssicherheit umfasst den gesamten Bereich der Informationsverarbeitung inklusive der Speicherung sowie den Bereich der Übertragung von Daten (und Programmen). Zur Informationssicherheit gehören auch die Bereiche personelle und physische Sicherheit.
Sachziele der Informations-Sicherheit
Anerkannte Sachziele der Informations-Sicherheit
- Integrity - Integrität. Eigenschaft eines Systems, die Korrektheit der Objekte (Daten) sicherzustellen - Schutz vor unberechtigter Veränderung.
- Availability - Verfügbarkeit. Wahrscheinlichkeit, ein System zu einem vorgegebenen Zeitpunkt in einem funktionsfähigen Zustand anzutreffen.
- Confidentiality - Vertraulichkeit. Eigenschaft eines Systems, nur Berechtigten den Zugriff auf bestimmte Daten zu gestatten und Unberechtigten den Zugriff auf alle Daten zu verwehren - Schutz vor unberechtigter Kenntnisnahme.
- Liability - Verbindlichkeit. Rechtsverbindlichkeit mit authentication (Authentifizierung) und
- non-repudiation - Nicht-Zurückweisung. Nachweisbare Absendung und/oder Empfang einer Nachricht.
Weitere Ziele der Informations-Sicherheit
- anonymity - Anonymität,
- pseudonymity - Pseudonymität,
- accountability - Abrechenbarkeit,
- untraceability - Unbeobachtbarkeit.
Informationssicherheit wird also unabhängig vom Ort des Risikos gesehen: Gespeicherte oder in Netzen (LANs, Intranet, Extranet, Internet) übertragene Daten.
Maßnahmen für das Erreichen der Informations-Sicherheit
Informationssicherheit wird durch personelle, organisatorische und durch technische Maßnahmen erreicht.
- Technische Maßnahmen sind:
- Zugriffskontrolle durch Festlegungen, wer darf auf welche Daten wie zugreifen, Überprüfen der Benutzer und Protokollierung aller Aktivitäten und Auswertung der Protokolle. Zur Zugriffskontrolle gehören auch Maßnahmen wie Firewalls.
- Verschlüsselung gespeicherter und übertragener Daten. Zwar 'sieht' ein Angreifer oder Unberechtigter diese Daten, er kann sie aber nicht interpretieren.
- Voraussetzung sind klassisch-materielle Maßnahmen wie Zugangskontrolle zu den Räumen und Gebäuden sowie elektrische und elektromagnetische Sicherheit wie Kapselung der Systeme zum Schutz gegen elektromagnetische Abstrahlung.
- Häufig werden Sicherheitsprodukte angeboten, die zwar Sicherheit generieren, selbst aber nicht sicher sind; daher müssen die ausgewählten Produkte sorgfältig überprüft werden.
Fazit
E-Business erfordert ein hohes Sicherheitsniveau. Der Einsatz der hier genannten Sicherheitsmaßnahmen ist Stand der Technik.
Autor: Hartmut Pohl
