Was ist IT-Sicherheit ? Ziele der Informationssicherheit.

IT-Security

Was ist Sicherheit ? Ziele der Informationssicherheit.

Wahrscheinlich denken viele beim Thema »IT-Sicherheit« wie die meisten Anwender an zwielichtige Cracker¹ im Auftrag von KGB oder Mafia, an Viren und Würmer, an ungesicherte WLANs. Zweifellos ist das Internet heutzutage ein gefährlicher Platz, aber IT-Sicherheit besteht nicht nur aus Spionage und Spionage abwehr. Tatsächlich lassen sich drei »Grundpfeiler« der IT-Sicherheit Identifizieren:

Vertraulichkeit
Viele Sorten von Daten dürfen Unbefugten nicht zugänglich werden. Dies betrifft die vielerorts verarbeiteten »personenbezogenen Daten«, die zumindest in Deutschland auch ausgedehnten gesetzlichen Schutz genießen (anderswo auf der Welt, etwa in den USA, ist das keineswegs so), aber natürlich auch Betriebsgeheimnisse (welcher Hersteller von Dingens würde nicht gerne wissen, was seine Konkurrenten nächstes Jahr auf den Markt bringen wollen?) oder Details der Zugangsmechanismen zu einem Computersystem wie Benutzernamen und Kennwörter. Ein weiterer wichtiger Bereich ist die Kommunikationssicherheit – Vertraulichkeit soll nicht nur für gespeicherte Daten gegeben sein, sondern auch für Kommunikationsinhalte, und es ist oft auch wünschenswert, den Kommunikationspartner eindeutig identifizieren zu können. Hierzu gehört oft auch die »Nichtzurückweisbarkeit« (engl. non-repudiation), wo es darum geht, zweifelsfrei beweisen zu können, dass eine bestimmte Kommunikation mit bestimmten Inhalten stattgefunden hat, auch wenn einer der Kommunikationspartner das bestreitet.
Verfügbarkeit
Neben der Vertraulichkeit, die sicherstellen soll, dass Unbefugte nicht auf wichtige Daten zugreifen können, ist es wichtig, dafür zu sorgen, dass die rechtmäßigen Benutzer der Daten auch wirklich mit ihnen arbeiten können: Die Daten müssen verfügbar sein, und das heißt, dass die Rechnersysteme und die Netze, die sie verbinden, verlässlich funktionieren müssen. Ein robustes Betriebssystem wie Linux kann da schon eine große Hilfe sein, aber zahlreiche Anwendungen erfordern weitere Infrastruktur wie beispielsweise die redundante Auslegung wichtiger Systemkomponenten und die entsprechende Softwarekonfiguration.
Integrität
Der dritte Aspekt der Sicherheit betrachtet im wesentlichen, dass die Daten, die Sie seit gestern abend unbeaufsichtigt gelassen haben, heute morgen noch so sind, wie sie damals waren. Wenn das nicht der Fall ist, können Hardwareschäden schuld sein, aber auch bösartige Cracker löschen heutzutage ja nicht mehr Ihre Festplatte (das wäre ärgerlich, weil Sie sie von Sicherheitskopien rekonstruieren müssen, aber zumeist nicht wirklich existentiell), sondern sie haben herausgefunden, dass es viel wirksamer sein kann, einfach in einer Datenbank oder einer wichtigen Kalkulationstabelle ein paar subtile Fehler einzubauen. Diese Fehler werden möglicherweise erst viel später entdeckt, wenn schon folgenschwere Geschäftsentscheidungen auf der Basis der falschen Daten getroffen wurden. Gerade für börsennotierte Unternehmen kann das große Probleme bedeuten. Im Sinne einer umfassenden IT-Sicherheit ist es also notwendig, die Integrität wichtiger Daten zu sichern – auf der Hardwareebene etwa durch RAID-Systeme und regelmäßige Sicherheitskopien, und gegen unerwünschte Manipulation durch geeignete kryptographische Maßnahmen. Natürlich zählen zu den »Daten« auch die Programme, die an der Bearbeitung kritischer Geschäftsdaten beteiligt sind, vom Betriebssystem bis zu den Anwendungsprogrammen.

Weiterer Schutzziele der Informationssicherheit:
Authentizität:
bezeichnet die Eigenschaft der Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit eines Objektes.
Verbindlichkeit / Nichtabstreitbarkeit:
Sie erfordert, dass kein Abstreiten möglich ist. Wird beispielsweise genutzt, beim abschließen von Verträgen. Wird überwiegend erreicht durch Digitale Signaturen. Videokonferenz wäre auch eine Möglichkeit.

Überhaupt ist Kryptographie – die Lehre von Methoden zur Verschlüsselung und Entschlüsselung von Daten – ein wichtiger Bestandteil der meisten IT-Sicherheitsverfahren, jedenfalls was Vertraulichkeit und Integrität betrifft. Auf der anderen Seite ist sie kein Allheilmittel, so dass ein Verständnis kryptographischer Verfahren und insbesondere ihrer Grenzen sehr wichtig dafür ist, Aspekte der IT-Sicherheit einschätzen zu können.
¹ Ich verwende das Wort »Cracker« im Gegensatz zum volkstümlichen »Hacker«. Ein »Hacker« (ursprünglich ein sehr positiv besetzter Begriff) ist einfach jemand, der sich mit Interesse und Neugier an eine Materie – typischerweise Programmieren – annähert und sich mit ihr beschäftigt, bis er sie nahezu perfekt beherrscht. Zum »Cracker« wird er erst in dem Moment, wo er seine Kenntnisse ausnutzt, um sich beispielsweise Zugang zu Rechnersystemen zu verschaffen, auf denen er nichts zu suchen hat. Umgekehrt ist nicht jeder Cracker automatisch auch ein Hacker – viele Cracker sind dumm wie Bohnenstroh. Ich glaube übrigens auch an die »Hacker-Ethik« des Sich-Nur-Umschauens Aber-Nichts-Anfassens, da aber ein Cracker auch durch das bloße Umschauen schon Schaden anrichten kann, oft ohne das überhaupt zu merken.

**¹,**²

Share via
Copy link
Powered by Social Snap