Informationssicherheit

Informationen sind schützenswerte Güter. Nur autorisierte Benutzer oder Programme sollten auf sie zugreifen dürfen. Darum muss der Zugriff beschränkt und kontrolliert werden. Mit I. wird dieser Schutz bezeichnet, der vor Gefahren bzw. Bedrohungen bewahrt und der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken dienen soll. In dieser Sicht ist I. eine ökonomische Größe, mit der z. B. in Betrieben und Organisationen gerechnet werden muss. Früher war synonym der engere Begriff Datensicherheit gebräuchlich. Der Begriff IT-Sicherheit zielt an erster Stelle auf den Schutz elektronisch gespeicherter Informationen und deren Verarbeitung. Auch hierfür wird zunehmend der Begriff I. verwendet.

1. Schutzziele

Um I. zu gewährleisten, werden allgemeine Schutzziele definiert. Im Einzelnen:

a) Vertraulichkeit (confidentiality): Nur autorisierte Benutzer haben Zugang zu übertragenen und gespeicherten Daten und dürfen diese lesen bzw. modifizieren. Es ist alles Notwendige zu unternehmen, um zu verhindern, dass Daten in unbefugte Hände geraten. Allerdings gibt es Umstände, unter denen auch Programme und Systemkonfigurationen Unbefugten gegenüber vertraulich zu behandeln sind.

b) Integrität (integrity): Daten sind vor beabsichtigten oder unbeabsichtigten Veränderungen zu schützen. Alle Änderungen müssen nachvollziehbar sein. Die Bedrohung der Integrität betrifft ebenfalls Daten, Programme, Hardware und alle sonstigen für die Verarbeitung notwendigen Mittel. Es ist alles Notwendige zu unternehmen, um zu verhindern, dass Daten verfälscht und falsche Daten verarbeitet oder Programme verfälscht werden, so dass sie (insb. unbemerkt) fehlerhafte Ergebnisse erzeugen oder unerwünschte Funktionen ausführen, Hardware und sonstige notwendige Mittel verfälscht werden, so dass sie gewünschte Funktionen unterlassen oder fehlerhaft ausführen oder unerwünschte Funktionen ausführen.

c) Verfügbarkeit: Der ständige Zugriff auf die Daten muss gewährleistet sein. Die Bedrohung der Verfügbarkeit betrifft Daten, Programme, Hardware und alle sonstigen für die Verarbeitung notwendigen Mittel. Es ist alles Notwendige zu unternehmen, um zu verhindern, dass Daten verschwinden oder nicht zugreifbar sind, wenn sie gebraucht werden, Programme nicht funktionsbereit sind, wenn sie aufgerufen werden sollen, Hardware und sonstige notwendigen Mittel nicht funktionsfähig oder gar verschwunden sind, wenn sie für die Verarbeitung benötigt werden. Dies impliziert die aktive Verhinderung von Systemausfällen.

d) Authentizität/Verbindlichkeit: Übertragene Daten müssen echt und vertrauenswürdig sein. Ihre Übertragung muss durch Protokollierung überprüfbar sein. Die Bedrohung der Authentizität betrifft v. a. Daten, insb. Dokumente und Urkunden, die elektronisch übertragen werden. Es ist alles Notwendige zu unternehmen, damit die richtige Herkunft solcher Daten bestätigt werden kann, die Urheber dieser Daten korrekt authentifiziert werden können und kein unzulässiges Abstreiten durchgeführter Handlungen möglich ist. Allerdings kann es in bestimmten Anwendungszusammenhängen auch wichtig sein, dass die Authentizität von Programmen und von Hardware und anderen erforderlichen Mittel garantiert werden muss (z. B. im elektronischen Zahlungsverkehr und beim elektronischen Abschluss von Verträgen).

Es ist klar, dass zwischen diesen Zielen Beziehungen bestehen. Gleichwohl sind aber die Gewährleistung von Vertraulichkeit bzw. von Authentizität voneinander unabhängige Grundziele der I.: Authentisierung beschränkt den Kreis der möglichen Sender einer Nachricht, Geheimhaltung den der möglichen Empfänger.

2. Sicherheitsmanagement

In der Praxis orientiert sich die I. im Rahmen des IT-Sicherheitsmanagements u. a. an internationalen und nationalen Normungssystemen. Die Aufgabe des IT-Sicherheitsmanagements ist es, informationsverarbeitende Systeme gegen Gefahren systematisch abzusichern. Auch die Auswahl und Umsetzung des passenden IT-Sicherheitsstandards zählt zu den Aufgaben des IT-Sicherheitsmanagements.

Im deutschsprachigen Raum ist ein Vorgehen nach dem IT-Grundschutz des BSI verbreitet. Die IT-Grundschutz-Kataloge definieren für die verschiedenen Aspekte einer IT-Landschaft konkrete Maßnahmen, die zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen. Für Systeme mit hohem Schutzbedarf geben die Grundschutzkataloge ein strukturiertes Vorgehen vor.

3. Vorgehensweisen

Datensicherheit (I.) hat also zum Ziel, beliebige Daten (Informationen) vor Schäden wie Manipulation und Nicht-Verfügbarkeit schützen. Hierzu zählen u. a. Aspekte wie die physische Sicherheit, der Schutz vor Fremdzugriffen, der Schutz vor internen Zugriffen, die Verschlüsselung der Kommunikation, die Datensicherung wie auch Updates und Patches. Sicherheitsmaßnahmen können bspw. durch Verschlüsselungs- bzw. Kryptographieverfahren, Hashfunktionen und MACs, kryptographische Protokolle und digitale Signaturen getroffen werden.

Die grundlegende Methode, die mit der Datensicherheit verknüpften Schutzziele zu erreichen, ist die Verschlüsselung. Sie transformiert einen Klartext in Abhängigkeit von einer „Schlüssel“ genannten Zusatzinformation in einen zugehörigen Geheimtext. Dieser ist für alle, die den Schlüssel nicht kennen, nicht zu entziffern. Für den Empfänger hingegen, der den Schlüssel kennt, ist der Text normal lesbar. In allen modernen Verschlüsselungsalgorithmen sind Klartexte, Geheimtexte und Schlüssel jeweils als Folgen von Bits gegeben. Um praktisch einsetzbar zu sein, müssen Verschlüsselungsalgorithmen folgende Mindestanforderungen erfüllen: Sie sollten entzifferungsresistent, aber einfach einzusetzen sein. Ver- und Entschlüsselung müssen schnell genug erfolgen können, um praktischen Anforderungen zu genügen. Die Forderung nach Entzifferungsresistenz ist dabei immer relativ zu den aktuellen technischen und mathematischen Möglichkeiten zu betrachten. Wichtig bei der Bewertung von Verschlüsselungsalgorithmen ist, dass es zum Nutzungszeitpunkt praktisch nicht möglich sein darf, die verschlüsselte Nachricht ohne Kenntnis des Schlüssels mit der verfügbaren Technik innerhalb eines akzeptablen Zeitrahmens zu entschlüsseln.

Ziel des Integritätsschutzes ist, dass der Empfänger einer Nachricht feststellen kann, ob er sie unverfälscht erhalten hat. Sein Grundprinzip besteht darin, die Nachricht unverschlüsselt und unverändert zu übersenden, gleichzeitig aber bestimmte Kontrollinformationen mitzuschicken, die eine Prüfung ermöglichen, ob die eigentliche Nachricht unverfälscht ist. Voraussetzung dazu ist allerdings, dass der Empfänger die Kontrolldaten unmanipuliert erhält. Darum muss ihr Umfang möglichst gering sein, jede Manipulation an der eigentlichen Nachricht muss feststellbar sein und sie selbst müssen unmanipulierbar übertragen werden. Zur Berechnung der Kontrollinformationen werden typischerweise Hashfunktionen und MACs verwendet. Der Einsatz eines MACs ist von Vorteil, wenn extrem hohe Durchsatzraten gefordert sind (oder nur eine geringe Rechenkapazität zur Verfügung steht) und das Risiko der Schlüsseloffenlegung auf beiden Seiten sehr gering ist.

Bei der Authentisierung von Benutzern gegenüber Kommunikationspartnern sind Verfahren erforderlich, die allen Beteiligten die Feststellung der Identität ihrer Kommunikationspartner unmissverständlich erlauben. Ein einfaches Verfahren ist eine Passwortabfrage. Werden die Passwörter dabei aber unverschlüsselt über ein Netz übertragen, können sie verhältnismäßig einfach mitgelesen werden. Besser geeignete Verfahren sind hardwarebasierte Einmalpasswörter und kryptographische Challenge-Response-Protokolle. Dazu zählt CHAP, das bei der Nutzung des Point-to-Point-Protocol eingesetzt wird, und die bei der Kommunikation über ISDN eingesetzte Authentisierung mittels CLIP/COLP.

Das kryptographische Konstrukt einer digitalen Signatur schließlich dient dem Ziel, für digitale Dateien und Nachrichten ein Pendant zur handschriftlichen Unterschrift einsetzen zu können. Die wesentliche Voraussetzung dafür ist, dass jeder Teilnehmer ein nur ihm bekanntes Geheimnis besitzt, mit dem er zu beliebigen Dateien eine digitale Signatur bilden kann. Anhand von öffentlichen Informationen muss es dann möglich sein, diese digitale Signatur zu überprüfen. Kann sie so verifiziert werden, ist die Integrität der signierten Datei gegeben. Da zudem nur die Person, der die digitale Signatur eindeutig zugeordnet werden kann, sie anhand ihrer geheimen Informationen gebildet haben kann, ist auch die Nichtabstreitbarkeit gegeben.

4. Risikominimierung

Um ein gewisses Standardmaß an I. zu gewährleisten, ist die regelmäßige Überprüfung von Maßnahmen zur Risikominimierung und -dezimierung Pflicht. Technische Sicherheit kann z. B. durch regelmäßige Penetrationstests oder vollständige Sicherheitsaudits erreicht werden, um eventuell bestehende Sicherheitsrisiken im Bereich von informationstechnischen Systemen, Applikationen und/oder in der informationstechnischen Infrastruktur zu erkennen und zu beseitigen. Organisatorische Sicherheit kann durch Audits der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden. Bspw. können vordefinierte Testschritte bzw. Kontrollpunkte eines Prozesses während eines Audits getestet werden.

Beide Vorgehensweisen sollten in Sicherheitsrichtlinien protokolliert werden, die eine Aufstellung zu schützender Posten, eine Katalogisierung der möglichen Bedrohungen, eine Bestimmung der Wahrscheinlichkeiten der festgestellten Bedrohungen (Risikoanalyse) sowie eine Kosten-Nutzen-Analyse enthalten und die Implementierung von Schutzmaßnahmen enthalten.

In diesem Zusammenhang wird durch Beschaffungsrichtlinien festgelegt, welche Sicherheitseigenschaften bei Beschaffungen zu berücksichtigen sind. Vertraulichkeitsrichtlinien beschreiben, welche Erwartungen bezüglich der Vertraulichkeit von Daten gemacht werden dürfen. Zugriffsrichtlinien definieren grundlegende Zugriffsrechte zur vorhandenen Infrastruktur, typischerweise unterteilt nach verschiedenen Klassen von Personen in einer Organisation. Überwachungsrichtlinien definieren, welche Maßnahmen zur Überwachung der Umsetzung der Sicherheitsrichtlinien getroffen werden müssen. Authentifizierungsrichtlinien legen fest, welche Verfahren und Technologien zur Authentifizierung eingesetzt werden und nach welchen Richtlinien bspw. Passworte zu wählen sind. Verfügbarkeitsrichtlinien legen grundsätzliche Anforderungen an die Verfügbarkeit von Informationen und die verarbeitenden Systeme fest. Wartungsrichtlinien definieren, wie Wartungsarbeiten durchzuführen sind und wie internes und externes Wartungspersonal Zugriff auf Systeme und Daten erhält. Benachrichtigungsrichtlinien bestimmen schließlich, welche Verletzungen der Sicherheitsrichtlinien gemeldet werden müssen und wer für die Behebung der Sicherheitsverletzung zuständig ist.

Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur weiteren Risikominimierung bzw. -dezimierung ableiten. Eine Methodik wie in diesem Absatz beschrieben, ist unmittelbar konform zu Normen wie ISO/IEC 27001, BS 7799 oder gesetzlichen Vorschriften. Hier wird meist eine Nachvollziehbarkeit über Vorgänge der I. unmittelbar eingefordert, indem Unternehmen ein Risikomanagement abverlangt wird.