Wenn Sie Ihre Systeme, und die darin vorhandenen Informationen und Daten sicher gestalten wollen, dann erreichen sie dies nur über bestimmte Grundwerte. Diese Grundwerte werden durch sogenannte IT-Sicherheit Schutzziele bestimmt. Dabei handelt es sich um die „Verfügbarkeit“, die „Vertraulichkeit“ und die „Integrität“.
Dabei sind diese fundamentalen IT-Sicherheit Schutzziele Grundlage und Gradmesser zugleich. Sie geben nämlich einerseits Aufschluss darüber, wie sicher die Systeme und Daten in Ihrem Unternehmen wirklich sind. Andererseits dienen sie dazu, weiterführende Maßnahmen zu planen und umzusetzen. Werden alle Schutzziele erfüllt, ist Ihr Unternehmen bestmöglich abgesichert. Das gilt nicht nur für Angriffe von außen, sondern auch für interne Einwirkungen – sei es vorsätzlich oder durch Unachtsamkeit. In diesem Beitrag werden die wichtigsten Inhalte zum Thema „Schutzziele der IT-Sicherheit“ anhand von nachvollziehbaren Beispielen vorgestellt.
IT-Sicherheit Schutzziel – „Verfügbarkeit“
Es kommt immer häufiger vor, dass die Webseite eines Unternehmens nicht mehr erreichbar ist. Angreifer blockieren dabei gezielt die Internet-Startseite eines Unternehmens durch sogenannte DDos-Attacken. Das wiegt umso schwerer, wenn über diese Seiten Waren verkauft oder Dienstleistungen angeboten werden. Es wird schnell deutlich: Je länger die Verfügbarkeit ausgesetzt ist, desto größer ist der Schaden für den Betreiber des oder der Systeme.
Die Verfügbarkeit eines Systems wird dementsprechend durch die Zeit definiert, in der das System funktioniert. Im Sinne der Schutzziele geht es also darum, die Verfügbarkeit möglichst hoch zu halten. Oder anders ausgedrückt: Es gilt, das Risiko von Systemausfällen zu minimieren!
Dabei sind es nicht immer externe Eingriffe in das System, die zum Problem werden. Auch intern sollten Sie sich einen Überblick über die vorhandenen Systeme und deren Verfügbarkeit verschaffen. Sie sollten sich daher entsprechend gegen Ausfälle schützen! Dazu ist eine Analyse zu empfehlen. In dieser sollte die Ausfallwahrscheinlichkeit, die Ausfallzeit und das Schadenspotenzial untersucht werden.
IT-Sicherheit Schutzziel – „Vertraulichkeit“
Stellen Sie sich vor, Sie telefonieren in einer wichtigen Angelegenheit. Die Inhalte dieses Gesprächs soll niemand anderes mitbekommen als Sie und ihr Gesprächspartner. Nun erfahren Sie, dass Sie abgehört wurden. Und dass Sie keine Kenntnis darüber haben, wer und zu welchem Zweck Sie ausspioniert wurden.
Unter Vertraulichkeit versteht man mithin, dass Daten und Informationen nur von den Personen eingesehen oder mitgehört werden dürfen, die dazu auch berechtigt sind. Will man Daten und Informationen vertraulich behandeln, muss klar festgelegt sein, wer in welcher Art und Weise Zugriff darauf hat.
Doch man muss noch einen weiteren Aspekt beachten. Zur Vertraulichkeit von Daten gehört nämlich auch, dass diese bei der Übertragung nicht von unautorisierten Personen verändert werden! Das heißt, es muss dafür gesorgt sein, dass die Informationen und Daten bei einer Übertragung in geeigneter Weise verschlüsselt werden.
IT-Sicherheit Schutzziel – „Integrität“
Auch hier ein Beispiel zur besseren Verständlichkeit. Stellen Sie sich vor, Sie haben in Ihrem Unternehmen einen zentralen Datenbestand. Auf diesen wird anhand mehrerer Programme zugegriffen. Jedes Programm hat aber nur einen genau festgelegten Zugriff auf einen selektiven Datenbankbereich. Jeder Benutzer meldet sich zudem mit einem individuellen Passwort an, um nur seine Daten zu lesen und zu bearbeiten.
In einer Abteilung wurde nun aus Gründen des „vereinfachten Arbeitens“ jedes Passwort allen Mitarbeitern zugänglich gemacht. Offensichtlich ist die Integrität der Daten, auf die zugegriffen wird, nun nicht mehr gegeben. Denn nun können Datenänderungen von mehreren Personen, die jedoch dieselbe digitale Identität benutzen, vorgenommen werden.
Integrität oder Unversehrtheit bedeutet zudem zweierlei. Nämlich die Vollständigkeit und Korrektheit der Daten (Datenintegrität) als auch die korrekte Funktionsweise des Systems (Systemintegrität). So ist sicherzustellen, dass Daten im Laufe der Verarbeitung oder Übertragung mittels des Systems nicht beschädigt oder durch Nicht-Berechtigte unbefugt verändert werden können.
Viele verwechseln Integrität zudem mit Vertraulichkeit. Integrität bedeutet allerdings, dass es nicht möglich sein darf, Daten unerkannt bzw. unbemerkt zu ändern. Es geht hierbei also insbesondere um die Nachvollziehbarkeit von Daten- und Systemänderungen, wohingegen bei Vertraulichkeit der Fokus auf der Berechtigung liegt.
Weiterführende Links:
Wikipedia: Artikel zum Thema Informationssicherheit
Informationssicherheit nach der neuen ISO 27001
Weitere Fragen zum Thema beantworte ich gerne über die mail-Adresse: info@vialevo.de. Über Anmerkungen, Hinweise und Kommentare würde ich mich sehr freuen.