Die oberste Aufgabe in der IT-Security ist es, den technischen Entwicklungen zu folgen. Die sich digitalisierende und vernetzende Welt schreitet technologisch sehr rasch voran. Neue Technologien erfordern neue Software, neue Einsatzgebiete erfordern neue Sicherheitsmaßnahmen.
Während früher einfach ein paar wenige, große Computer Aufgaben für ganze Firmen übernommen haben und von ein paar Personen bedient wurden, sind es heute eine Unzahl an kleinen Geräten, die alle miteinander verbunden sind.
Da kann es ganz schön knifflig werden, überhaupt zu erklären, was genau gerade wovor zu schützen ist, welche Bedrohungen es gibt und welche Lücken in Sicherheitssystemen ausgenutzt werden könnten.
Es sind aber sogenannte Schutzziele definiert – diese gelten als „Hauptziele“ jeder IT-Security. Diese sind:
Vertraulichkeit – Integrität – Verfügbarkeit
Wenn Sie sich diese drei Schutzziele bewusst zu Herzen nehmen, haben Sie schon die halbe IT-Security umgesetzt! Bei weiteren Recherchen helfen Ihnen übrigens die englischen Begriffe – diese sind deshalb auch in Klammer beigefügt. So sehen diese im Detail aus:
Vertraulichkeit (engl. Confidentiality)
Daten, Informationen und daraus resultierendes Wissen soll vor Personen, die kein Recht auf die Sichtung dieser haben, verborgen werden.
Integrität (engl. Integritiy)
Daten, Informationen und daraus resultierendes Wissen sollen vor unerlaubten Veränderungen und Manipulationen geschützt werden.
Verfügbarkeit (engl. Availability)
Daten, Informationen und daraus resultierendes Wissen sollen jenen, die erlaubten Zugang haben, bei Bedarf auch zugänglich sein.
Diese drei Ziele sind deshalb so wichtig und zentral, da sie im privaten sowie im unternehmerischen Kontext gleich bedeutend sind. Schauen Sie sich dazu folgende Beispiele an:
Beispiele
Die drei Schutzziele im privaten Kontext am Beispiel „Online-Banking“
Sie nutzen den Online-Zugang Ihres Bankkontos. Das ist ein heikles Thema, denn es geht hier um Ihr Geld. Wie sind die Schutzziele hier erfüllt?
Vertraulichkeit: Ihre Zugangs- und Kontodaten sowie Passwörter sollen nur Ihnen zugänglich sein.
Integrität: Niemand außer Ihnen soll unerlaubt Überweisungen online durchführen dürfen.
Verfügbarkeit: Sie sollen jederzeit und von überall aus unbeschränkt Zugang zu ihrem Konto haben können.
Die drei Schutzziele im unternehmerischen Kontext am Beispiel „Produktentwicklung“
Ein Unternehmen entwickelt ein völlig neues Produkt, das den Markt revolutionieren soll. Das soll natürlich vonstatten gehen, ohne dass die Konkurrenz davon mitprofitiert. Wie könnten hier die Schutzziele erfüllt sein?
Vertraulichkeit: Alle Informationen über die Entwicklung des neuen Produkts sind nur von befugten Personen einsehbar.
Integrität: Gewonnene Daten aus der Entwicklung des Produkts sind vor Sabotage und Manipulation von außen geschützt.
Verfügbarkeit: Alle beteiligten und befugten Personen haben gesicherten Zugriff auf die Entwicklung des neuen Produkts und den daraus resultierenden Daten.
Zusätzlich gibt es auch noch erweiterte Schutzziele, die je nach Bedarf bedacht werden müssen. Diese sind nicht unbedingt in der IT-Security zu verankern und können sich im privaten sowie unternehmerischen Kontext stark unterscheiden.
Zurechenbarkeit (engl. Accountability) oder auch Anonymität (engl. Anonymity)
Eine Handlung in der IT-Umgebung kann einer Person eindeutig zugeordnet werden – oder eben nicht. Im unternehmerischen Kontext kann bei interner Sabotage beispielsweise die verantwortliche Person ausgeforscht werden. Im privaten will man übrigens eher das Gegenteil erreichen, nämlich dass die Person größtmögliche Anonymität im Zusammenhang mit ihren Daten genießt – beispielsweise, wenn im Internet zu gesundheitlichen Themen recherchiert wird.
Authentizität (engl. Authenticity)
Daten, Informationen und daraus resultierendes Wissen soll auf Echtheit überprüfbar sein, zum Beispiel ob übermittelte Forschungsergebnisse original oder von einer dritten Partei manipuliert worden sind.
Verbindlichkeit (engl. Non Repudiation – übersetzt eigentlich „Nichtabstreitbarkeit“) Handlungen in einer IT-Umgebung sollen nicht einfach abgestritten werden können – das ist vor allem bei elektronisch abgewickelten Verträgen wichtig. Hier werden beispielsweise elektronische Unterschriften
Wie sollen diese Ziele nun in der Praxis erreicht werden?
Alles dreht sich bei dieser Frage um Schwachstellen. Oder besser gesagt um das Herausfinden und Beseitigen von Schwachstellen. Wie Sie bereits gelernt haben, hat bspw. jede Software Schwächen. Diese sind nicht im Vorhinein als solche klar erkennbar. Oft liegt es an der mangelhaften Programmierung der genutzten Software oder Auslegung des IT-Systems. Das muss nicht unbedingt heißen, dass „falsch“ programmiert wurde, sondern dass ganz einfach nicht alle bekannten IT- Bedrohungen in der Programmierung bedacht wurden. Schwachstellen können aber auch der Mensch bzw. der falsche Umgang mit IT-Systemen sein.
Wichtig
Natürlich kann IT-Security auch über die Hardware umgangen werden, nicht nur über die Software.
Das ist aber „unpraktischer“ – denn um über die Hardware Daten zu manipulieren oder zu stehlen, muss man schon physisch präsent sein, beispielsweise mit dem USB-Stick in der Hand oder indem gleich der ganze Computer entwendet wird.
Da ist der Zugang über das Internet in die Software schon bequemer – und vor allem auch schwerer nachzuverfolgen, wenn man währenddessen doch erwischt wird.
Um die Schutzziele der IT-Security zu erreichen, ist es also von enormer Wichtigkeit, diese Schwachstellen und mögliche Bedrohungsszenarien zu identifizieren. Und hier wird es schwierig, denn eine 100-prozentige Darstellung aller Schwachstellen ist aufgrund der ständigen Weiterentwicklung der Systeme und der allgemeinen Unfähigkeit, in die Zukunft blicken zu können, gar nicht möglich – man kann sich nur so gut es geht annähern.
Merken
IT-Security hängt stark von den aktuellen technologischen Entwicklungen ab – neue Einsatzgebiete von Informationstechnik bergen auch neue Gefahren. Hier muss schnell reagiert werden, um entsprechende Gegenmaßnahmen bieten zu können.
Es gibt drei Schutzziele, die in allen Einsatzgebieten erfüllt sein sollen:
Vertraulichkeit
Integrität
Verfügbarkeit
Es gibt drei zusätzliche Schutzziele, die nach Einsatzgebiet variieren und entsprechend bedacht werden sollen:
Zurechenbarkeit bzw. Anonymität
Authentizität
Verbindlichkeit
Um diese Schutzziele zu erreichen, ist es die Kernaufgabe der IT-Security, Schwachstellen von Systemen zu identifizieren und entsprechend zu eliminieren. Das kann auch Hardware, aktuell jedoch eher Software betreffen – hier sind vor allem Programmierfehler oder nicht bedachte Schwächen in der Programmierung gemeint.
Perfekte IT-Security kann nur angenähert, jedoch nicht zu 100 Prozent erfüllt werden. Deshalb muss IT-Security durchgehend behandelt werden.
Die oberste Aufgabe in der IT-Security ist es, den technischen Entwicklungen zu folgen. Die sich digitalisierende und vernetzende Welt schreitet technologisch sehr rasch voran. Neue Technologien erfordern neue Software, neue Einsatzgebiete erfordern neue Sicherheitsmaßnahmen.
Während früher einfach ein paar wenige, große Computer Aufgaben für ganze Firmen übernommen haben und von ein paar Personen bedient wurden, sind es heute eine Unzahl an kleinen Geräten, die alle miteinander verbunden sind.
Da kann es ganz schön knifflig werden, überhaupt zu erklären, was genau gerade wovor zu schützen ist, welche Bedrohungen es gibt und welche Lücken in Sicherheitssystemen ausgenutzt werden könnten.
Es sind aber sogenannte Schutzziele definiert – diese gelten als „Hauptziele“ jeder IT-Security. Diese sind:
Vertraulichkeit – Integrität – Verfügbarkeit
Wenn Sie sich diese drei Schutzziele bewusst zu Herzen nehmen, haben Sie schon die halbe IT-Security umgesetzt! Bei weiteren Recherchen helfen Ihnen übrigens die englischen Begriffe – diese sind deshalb auch in Klammer beigefügt. So sehen diese im Detail aus:
Daten, Informationen und daraus resultierendes Wissen soll vor Personen, die kein Recht auf die Sichtung dieser haben, verborgen werden.
Daten, Informationen und daraus resultierendes Wissen sollen vor unerlaubten Veränderungen und Manipulationen geschützt werden.
Daten, Informationen und daraus resultierendes Wissen sollen jenen, die erlaubten Zugang haben, bei Bedarf auch zugänglich sein.
Diese drei Ziele sind deshalb so wichtig und zentral, da sie im privaten sowie im unternehmerischen Kontext gleich bedeutend sind. Schauen Sie sich dazu folgende Beispiele an:
Beispiele
Die drei Schutzziele im privaten Kontext am Beispiel „Online-Banking“
Sie nutzen den Online-Zugang Ihres Bankkontos. Das ist ein heikles Thema, denn es geht hier um Ihr Geld. Wie sind die Schutzziele hier erfüllt?
Die drei Schutzziele im unternehmerischen Kontext am Beispiel „Produktentwicklung“
Ein Unternehmen entwickelt ein völlig neues Produkt, das den Markt revolutionieren soll. Das soll natürlich vonstatten gehen, ohne dass die Konkurrenz davon mitprofitiert. Wie könnten hier die Schutzziele erfüllt sein?
Verfügbarkeit: Alle beteiligten und befugten Personen haben gesicherten Zugriff auf die Entwicklung des neuen Produkts und den daraus resultierenden Daten.
Zusätzlich gibt es auch noch erweiterte Schutzziele, die je nach Bedarf bedacht werden müssen. Diese sind nicht unbedingt in der IT-Security zu verankern und können sich im privaten sowie unternehmerischen Kontext stark unterscheiden.
Eine Handlung in der IT-Umgebung kann einer Person eindeutig zugeordnet werden – oder eben nicht. Im unternehmerischen Kontext kann bei interner Sabotage beispielsweise die verantwortliche Person ausgeforscht werden. Im privaten will man übrigens eher das Gegenteil erreichen, nämlich dass die Person größtmögliche Anonymität im Zusammenhang mit ihren Daten genießt – beispielsweise, wenn im Internet zu gesundheitlichen Themen recherchiert wird.
Daten, Informationen und daraus resultierendes Wissen soll auf Echtheit überprüfbar sein, zum Beispiel ob übermittelte Forschungsergebnisse original oder von einer dritten Partei manipuliert worden sind.
Wie sollen diese Ziele nun in der Praxis erreicht werden?
Alles dreht sich bei dieser Frage um Schwachstellen. Oder besser gesagt um das Herausfinden und Beseitigen von Schwachstellen. Wie Sie bereits gelernt haben, hat bspw. jede Software Schwächen. Diese sind nicht im Vorhinein als solche klar erkennbar. Oft liegt es an der mangelhaften Programmierung der genutzten Software oder Auslegung des IT-Systems. Das muss nicht unbedingt heißen, dass „falsch“ programmiert wurde, sondern dass ganz einfach nicht alle bekannten IT- Bedrohungen in der Programmierung bedacht wurden. Schwachstellen können aber auch der Mensch bzw. der falsche Umgang mit IT-Systemen sein.
Wichtig
Natürlich kann IT-Security auch über die Hardware umgangen werden, nicht nur über die Software.
Das ist aber „unpraktischer“ – denn um über die Hardware Daten zu manipulieren oder zu stehlen, muss man schon physisch präsent sein, beispielsweise mit dem USB-Stick in der Hand oder indem gleich der ganze Computer entwendet wird.
Da ist der Zugang über das Internet in die Software schon bequemer – und vor allem auch schwerer nachzuverfolgen, wenn man währenddessen doch erwischt wird.
Um die Schutzziele der IT-Security zu erreichen, ist es also von enormer Wichtigkeit, diese Schwachstellen und mögliche Bedrohungsszenarien zu identifizieren. Und hier wird es schwierig, denn eine 100-prozentige Darstellung aller Schwachstellen ist aufgrund der ständigen Weiterentwicklung der Systeme und der allgemeinen Unfähigkeit, in die Zukunft blicken zu können, gar nicht möglich – man kann sich nur so gut es geht annähern.
Merken
IT-Security hängt stark von den aktuellen technologischen Entwicklungen ab – neue Einsatzgebiete von Informationstechnik bergen auch neue Gefahren. Hier muss schnell reagiert werden, um entsprechende Gegenmaßnahmen bieten zu können.
Es gibt drei Schutzziele, die in allen Einsatzgebieten erfüllt sein sollen:
Es gibt drei zusätzliche Schutzziele, die nach Einsatzgebiet variieren und entsprechend bedacht werden sollen:
Um diese Schutzziele zu erreichen, ist es die Kernaufgabe der IT-Security, Schwachstellen von Systemen zu identifizieren und entsprechend zu eliminieren. Das kann auch Hardware, aktuell jedoch eher Software betreffen – hier sind vor allem Programmierfehler oder nicht bedachte Schwächen in der Programmierung gemeint.
Perfekte IT-Security kann nur angenähert, jedoch nicht zu 100 Prozent erfüllt werden. Deshalb muss IT-Security durchgehend behandelt werden.
-
Add a note