Informationssicherheit und Datenschutz E-Book

Autoren:

Christian Blaicher (Kapitel 3, 4)

Milan Burgdorf (Kapitel 3, 8, 22, 29)

Dirk Fox (Kapitel 2, 9, 13, 26)

Stefan Gora (Kapitel 1, 5, 6, 11, 12, 15, 21, 32)

Volker Hammer (Kapitel 8, 24, 25, 29)

Kai Jendrian (Kapitel 7, 10, 23, 31)

Hans-Joachim Knobloch (Kapitel 16)

Jannis Pinter (Kapitel 14, 17, 20)

Friederike Schellhas-Mende (Kapitel 3, 4)

Jochen Schlichting (Kapitel 18, 19, 27, 28, 30)

Redaktion:

Susanne Cussler, Dirk Fox

Secorvo Security Consulting GmbH

Secorvo Security Consulting (Hrsg.)

Informationssicherheit und Datenschutz

Handbuch für Praktiker und Begleitbuch zum T.I.S.P.

4., aktualisierte und erweiterte Auflage

Lektorat: Sandra Bollenbacher

Copy-Editing: Petra Heubach-Erdmann, Düsseldorf

Satz & Layout: Birgit Bäuerlein

Herstellung: Stefanie Weidner, Frank Heidt

Umschlaggestaltung: Helmut Kraus, www.exclam.de

Bibliografische Information der Deutschen NationalbibliothekDie Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet unter http://dnb.d-nb.de abrufbar.

ISBN:

Print

978-3-86490-978-8

PDF

978-3-98890-010-4

ePub

978-3-98890-011-1

4., aktualisierte und erweiterte Auflage 2024

Copyright © 2024 dpunkt.verlag GmbH

Wieblinger Weg 17

69123 Heidelberg

Schreiben Sie uns:

Falls Sie Anregungen, Wünsche und Kommentare haben, lassen Sie es uns wissen: [email protected].

Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte vorbehalten. Die Verwendung der Texte und Abbildungen, auch auszugsweise, ist ohne die schriftliche Zustimmung des Verlags urheberrechtswidrig und daher strafbar. Dies gilt insbesondere für die Vervielfältigung, Übersetzung oder die Verwendung in elektronischen Systemen. Es wird darauf hingewiesen, dass die im Buch verwendeten Soft- und Hardware-Bezeichnungen sowie Markennamen und Produktbezeichnungen der jeweiligen Firmen im Allgemeinen warenzeichen-, marken- oder patentrechtlichem Schutz unterliegen. Alle Angaben und Programme in diesem Buch wurden mit größter Sorgfalt kontrolliert. Weder Autor noch Verlag noch Herausgeber können jedoch für Schäden haftbar gemacht werden, die in Zusammenhang mit der Verwendung dieses Buches stehen.

Vorwort des TeleTrusT Deutschland e.V.

Zur vierten Auflage

T.I.S.P. – TeleTrusT Information Security Professional

Gerade in Zeiten des wirtschaftlichen Umbruchs steigen das Interesse von Beschäftigten, spezielle Qualifikationen zu erwerben und nachweisen zu können, und der Bedarf seitens der Arbeitgeber, wirklich qualifizierte Fachkräfte zu beschäftigen.

Die Sicherheit von informationsverarbeitenden Prozessen ist ein Querschnittsthema, das praktisch alle Wirtschaftsbereiche betrifft. Das T.I.S.P.-Zertifikat ist das erste Expertenzertifikat im Bereich der Informationssicherheit, das speziell auf den deutschen bzw. europäischen Raum abgestimmt ist und die dort verbreiteten Standards und Gesetzgebungen berücksichtigt. »T.I.S.P.« steht für profundes Wissen auf dem Gebiet der Informationssicherheit.

Ein Blick in die USA zeigt, dass derartige Expertenzertifikate weite Verbreitung und Anerkennung erfahren können. Gleichwohl sind nicht alle ausländischen Zertifikate für den deutschsprachigen und europäischen Raum geeignet, da sich Standards und Gesetzgebung z. B. in den USA von europäischen Richtlinien und Gesetzen stark unterscheiden.

Aus den Reihen der TeleTrusT-Mitgliedsunternehmen kam der Anstoß für die Entwicklung eines Expertenzertifikats für den Bereich Informationssicherheit. Daraus resultierte ein Zertifizierungsprogramm, das sich inzwischen auf dem Markt etabliert hat und stetig wachsende Anerkennung findet.

Das vorliegende Buch geht auf die Nachfrage nach spezieller T.I.S.P.-Literatur ein und trägt so zur Vermittlung von Fachwissen ebenso wie zur weiteren Verbreitung des T.I.S.P. als Zeichen für herausgehobene Fachqualifizierung bei. Der Bundesverband IT-Sicherheit (TeleTrusT), unter dessen Schirmherrschaft das T.I.S.P.-Zertifikat entwickelt wurde, begrüßt diese Publikation deshalb in besonderer Weise.

Dr. Holger Mühlbauer

Geschäftsführer des TeleTrusT Deutschland e.V.

Berlin, im Januar 2024

Vorwort zur vierten Auflage

Die Informationssicherheit gehört zu den am schnellsten wachsenden Gebieten der Informationstechnik – nicht nur wirtschaftlich, sondern auch inhaltlich. Und so erscheint es zunächst einmal verwegen, sich an einer Zusammenstellung des Grundwissens der Informationssicherheit zu versuchen. Umgekehrt benötigt ein Fachgebiet, das ständiger Weiterentwicklung und Veränderung unterliegt, genau das in besonderem Maße: einen Grundkanon an Basiskenntnissen, der dem Einsteiger Orientierung bietet und dem Fortgeschrittenen dabei hilft, neues Wissen einzuordnen, es in Beziehung zu setzen und zu bewerten.

Vor 20 Jahren wagte sich der Unternehmensverband TeleTrusT e.V. mit der Konzeption des T.I.S.P.-Zertifikats (TeleTrustT Information Security Professional), der zugehörigen Prüfung und des Seminar-Curriculums an eine erste Definition eines solchen Grundkanons im Gebiet Informationssicherheit. In den darauf folgenden Jahren führten die inhaltlichen Abstimmungen zwischen den Seminaranbietern und die Weiterentwicklung des Seminarkonzepts zu einer gemeinsamen und damit zugleich immer solideren und anerkannteren Vorstellung davon, was zu diesem Grundwissen der Informationssicherheit zählt. Sicher auch aus diesem Grund hat sich das T.I.S.P.-Zertifikat als eine weithin geschätzte, berufsqualifizierende Auszeichnung für Experten in der IT- und Informationssicherheit durchsetzen können: Über 2000 Experten tragen mittlerweile diesen Titel.

Als wir im Jahr 2007 beschlossen, die zur damaligen Zeit wichtigsten Grundlagen der Informationssicherheit auszuwählen und aufzuschreiben, konnten wir auf diesen Erfahrungen, Einsichten und Ergebnissen aufbauen. Dennoch war die Arbeit gewaltig, und so dauerte es vier Jahre, bis wir uns mit der ersten Ausgabe unter dem Titel »Zentrale Bausteine der Informationssicherheit« im Jahr 2011 in die Fachöffentlichkeit wagten.

Die Nachfrage ermutigte uns, und so ergänzten wir in der zweiten Auflage 2014 wichtige Themenbereiche wie »Rechtliche Aspekte«, »IPv6« und »Incident-Management«, die wir zunächst ausgespart hatten. Auch mussten wir mehrere der inzwischen 32 Kapitel aktualisieren und inhaltlich konsolidieren. Für die dritte Auflage 2019 nahmen wir eine zweite Überarbeitung in Angriff. Sie fiel nicht so umfangreich aus – offenbar war es zuvor schon recht gut gelungen, das Basiswissen von schnelllebigerem (und damit auch früher veraltendem) Detailwissen zu trennen. Neben der Berücksichtigung vieler aktueller Entwicklungen – insbesondere in Rechtsfragen und beim BSI-Grundschutz – ergänzten wir ein Kapitel zur »Sicherheit in mobilen Endgeräten«. Die 2022 für die nun vorliegende vierte Auflage begonnene dritte Überarbeitung zielte – neben zahlreichen, der technischen Entwicklung und der Gesetzgebung geschuldeten Aktualisierungen und Ergänzungen im Detail – vor allem darauf ab, dem Thema »Datenschutz« mehr Raum zuzubilligen: ein eigenes Hauptkapitel und zwei zusätzliche Kapitel zu »Datenschutzkonzept« und »Löschkonzept«. Auch das Thema »Cloud Security« ist nun mit einem eigenen Kapitel vertreten.

Aus den »Zentralen Bausteinen« der ersten Auflage ist inzwischen ein umfangreiches, über 900 Seiten starkes Handbuch geworden: mit kondensierter Praxiserfahrung angereichertes Grundlagenwissen zu Informationssicherheit und Datenschutz, verfasst von Praktikern für Praktiker. Nach wie vor ist es das Begleitbuch zur T.I.S.P.-Zertifizierung; es eignet sich aber sowohl für ein Selbststudium als auch als Nachschlagewerk.

Wir hoffen, dass Sie viele interessante, einige neue und vor allem für Sie und Ihre Berufspraxis wichtige Erkenntnisse aus der Lektüre ziehen werden. Und sollte Ihnen etwas auffallen, fehlen oder auch besonders gut gefallen – in jedem Fall freuen wir uns über Ihre Rückmeldung an [email protected].

Für die Autoren und die gesamte Redaktion

Dirk Fox

Januar 2024

Inhaltsübersicht

1Aufgaben und Ziele der Informationssicherheit

2Betriebswirtschaftliche Aspekte der Informationssicherheit

3Informationssicherheit und rechtliche Anforderungen

4Datenschutzrecht

5Hackermethoden

6ISO 27001 und ISO 27002

7IT-Grundschutz

8Sicherheitskonzept

9Datenschutzkonzept

10Physische Sicherheit

11Grundlagen der Netzwerksicherheit

12Firewalls

13Kryptografie

14Vertrauensmodelle und PKI-Komponenten

15Virtual Private Networks

16Sicherheit in mobilen Netzen

17Authentifizierung und Berechtigungsmanagement

18Betriebssystemsicherheit

19Windows-Sicherheit

20Unix-Sicherheit

21Virtualisierung

22Sicherheit von mobilen Endgeräten

23Anwendungssicherheit

24Technisches Löschen und Vernichten

25Datenschutzrechtliches Löschkonzept

26Awareness

27Malware und Content Security

28Intrusion Detection

29Datensicherung

30Incident-Management und Computer-Emergency-Response-Teams

31Business-Continuity-Management

32Cloud Security

Anhang

Übersicht zu Standards der Informationssicherheit

Index

Abkürzungen und Glossar

Inhaltsverzeichnis

1Aufgaben und Ziele der Informationssicherheit

Einleitung

1.1Aufgaben und Anforderungen eines ISMS

1.1.1Risikomanagement

1.1.2Gefährdungen erkennen und bewerten

1.1.3Angreifermodelle betrachten

1.1.4Hauptursachen für Sicherheitsprobleme identifizieren

1.1.5Sicherheitskonzept erstellen

1.1.6Sicherheitsmaßnahmen überprüfen

1.2Generische Sicherheitsziele

1.2.1Vertraulichkeit

1.2.2Integrität

1.2.3Verfügbarkeit

1.2.4Authentizität

1.2.5Sicherheitsziele und Sicherheitskonzept

Zusammenfassung

Literatur

2Betriebswirtschaftliche Aspekte der Informationssicherheit

Einleitung

2.1Risikomanagement

2.2Quantitative Modelle

2.2.1Kosten von Risiken

2.2.2Kosten von Sicherheitsvorfällen

2.2.3Kosten von Sicherheitsmaßnahmen

2.2.4Das ROSI-Modell

2.2.5Grenzen des ROSI-Ansatzes

2.2.6Alternative quantitative Modelle

2.3Qualitative Betrachtungen

2.3.1Grenzen betriebswirtschaftlicher Betrachtungen

2.3.2Wirtschaftlichkeit von Investitionsentscheidungen

2.3.3Risikomatrix

2.3.4Pareto-Prinzip

2.3.5Erfahrungswerte – Best Practice

Zusammenfassung

Literatur

3Informationssicherheit und rechtliche Anforderungen

Einleitung

3.1Informationssicherheit und Recht im Überblick

3.1.1Risikomanagement als rechtliche Anforderung

3.1.2Anforderungen aus dem Gesellschaftsrecht

3.1.3Anforderungen aus dem Bankenrecht

3.1.4Anforderungen aus dem Steuer- und Handelsrecht

3.1.5Informationssicherheit für Kritische Infrastrukturen

3.2Telekommunikationsrecht

3.2.1Grundlagen zur Informationssicherheit im Telekommunikationsrecht

3.2.2Anforderungen an Informationssicherheit im Telekommunikationsrecht

3.2.3Durchsetzung von Informationssicherheit im Telekommunikationsrecht

3.3Strafrecht

3.4Verträge und Vertragsrecht

3.4.1Anforderungen an Informationssicherheit in Verträgen und im Vertragsrecht

3.4.2Durchsetzung von Informationssicherheit in Verträgen und im Vertragsrecht

3.5Arbeitsrecht

3.5.1Arbeitsrecht als Gestaltungsmittel der Informationssicherheit

3.5.2Regelungen im Arbeitsverhältnis

3.5.3Regelungen durch Betriebsvereinbarung

3.6Regulierte Infrastrukturen

3.6.1eIDAS-Verordnung

3.6.2Rolle und Anforderungen an Vertrauensdiensteanbieter

3.6.3Arten von elektronischen Signaturen

3.6.4Anforderungen an die Erstellung qualifizierter Zertifikate

3.6.5Rechtsfolgen und Beweisrecht beim Einsatz von Vertrauensdiensten

3.7Rechtliche Grenzen für Sicherheitsmaßnahmen

3.7.1Datenschutzrecht

3.7.2Telekommunikationsrecht

3.7.3Telemedienrecht

3.7.4Betriebliche Mitbestimmung

Zusammenfassung

Literatur

4Datenschutzrecht

Einleitung

4.1Ziele des Datenschutzrechts

4.1.1Entwicklung des Datenschutzrechts

4.1.2Anwendungsbereich und Begriffsbestimmungen

4.1.3Sachlicher Anwendungsbereich

4.1.4Personenbezogene Daten

4.1.5Verarbeitung von Daten

4.1.6Räumlicher Anwendungsbereich

4.1.7Weitere Begriffsbestimmungen

4.1.8Rechtsrahmen und Umsetzungsvorgaben

4.1.9Datenschutzrechtliche Grundprinzipien

4.1.10Datenschutzleitlinie

4.1.11Zweck und Geltungsbereich

4.1.12Datenschutzrichtlinie

4.1.13Richtlinie zur Privatnutzung des betrieblichen Internets und E-Mail

4.1.14Richtlinie für datenschutzrechtliche Anforderungen an IT-Projekte

4.1.15Datenschutzimplementierung/Datenschutzmanagementsystem (DSMS)

4.1.16Datenschutzrichtlinien und arbeitsanweisungen

4.1.17Datenschutzorganisation

4.1.18Datenschutzkonzept

4.2Verarbeitungstätigkeiten

4.2.1Datenschutz-Folgenabschätzung (Art. 35 DSGVO)

4.2.2Rollen-Berechtigungskonzept

4.2.3Informationspflichten

4.2.4Auftragsverarbeitung

4.2.5Auftragsverarbeitungsvertrag

4.2.6Grenzen der Auftragsverarbeitung

4.2.7Technische und organisatorische Maßnahmen (TOM)

4.2.8Gemeinsame Verantwortlichkeit

4.2.9Drittstaatentransfer von personenbezogenen Daten

4.2.10Angemessenheitsbeschluss (Art. 45 DSGVO)

4.2.11Vorliegen geeigneter Garantien (Art. 46 DSGVO)

4.2.12Standarddatenschutzklauseln der Kommission oder einer Aufsichtsbehörde

4.2.13Löschregeln

4.3Datenschutz-Vorgänge

4.3.1Datenschutzverpflichtung

4.3.2Datenschutzschulung

4.3.3Betroffenenrechte

4.3.4Auskunft

4.3.5Auskunftsersuchen von Betroffenen

4.3.6Auskunftsersuchen von Dritten sowie von Ämtern und Ermittlungsbehörden

4.3.7Berichtigung

4.3.8Löschung

4.3.9Einschränkung

4.3.10Datenübertragung

4.3.11Widerspruch

4.3.12Datenschutzvorfälle

4.3.13Whistleblower-Richtlinie

4.3.14Benennung des Datenschutzbeauftragten

4.3.15Audits

4.3.16Kontinuierliche Umsetzungsverpflichtung der Sicherheit der Verarbeitung

4.3.17Datenschutzaudit

4.3.18Self Assessment

4.3.19Zertifizierung

4.4Gesetz über digitale Dienste

4.5Sicherheit der Verarbeitung zur Gewährleistung der Informationssicherheit

4.5.1Durchsetzung von Informationssicherheit im Datenschutzrecht

4.6Telemedien-Datenschutzrecht

4.6.1Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG)

4.6.2Grundlagen zum Telemedien-Datenschutzrecht

4.6.3Anforderungen an Datenschutz im Telemedienrecht

4.6.4Durchsetzung von Datenschutz im Telemedienrecht

4.6.5Cookie-Banner

4.6.6Einwilligung nach § 25 TTDSG/Art. 6 Abs. 1 lit. a DSGVO

4.6.7Nudging und Dark Pattern

4.7Telekommunikations-Datenschutzrecht

4.7.1Anforderungen an Datenschutz im Telekommunikationsrecht

4.7.2Durchsetzung von Datenschutz im Telekommunikationsrecht

4.8Strafrecht

4.8.1Grundlagen zu Datenschutz und Informationssicherheit im Strafrecht

4.8.2Anforderungen an Informationssicherheit und Datenschutz im Strafrecht

4.8.3Durchsetzung von Datenschutz und Informationssicherheit im Strafrecht

4.8.4Schutz der Informations- und Datenverarbeitung durch Strafrecht

4.9Arbeitsrecht

4.9.1Regelungen im Arbeitsverhältnis

4.9.2Datenschutz im Homeoffice

4.9.3Durchsetzung von Datenschutzmaßnahmen im Arbeitsverhältnis

4.9.4Haftung der Arbeitnehmer

4.9.5Regelungen durch Betriebsvereinbarung

Zusammenfassung

5Hackermethoden

Einleitung

5.1Begriffsdefinition »Hacker«

5.2Ursachen von Sicherheitsproblemen

5.2.1SQL-Injection

5.2.2Buffer Overflows

5.2.3Motivation eines Angreifers

5.3Vorgehensweise bei Penetrationstests

5.3.1Informationsbeschaffung

5.3.2Portscans

5.3.3Automatische Überprüfungen

5.3.4Manuelle Untersuchungen

5.3.5Anwendung von Exploits

5.3.6Schwachstellenverkettung und Lateral Movement

5.3.7Social Engineering

5.4Angriffswerkzeuge

5.4.1Rootkits

5.4.2Virus Construction Kits

5.4.3Trojaner und Kryptotrojaner

5.4.4PowerShell

Zusammenfassung

Literatur

6ISO 27001 und ISO 27002

Einleitung

6.1Entstehungsgeschichte

6.2Die Familie der ISO-27000-Standards

6.3ISO 27001

6.3.1Vorgehensweise und Anwendungen

6.3.2Inhaltliche Elemente der ISO 27001

6.3.3Notwendige Dokumentation

6.3.4Prüfungs- und Zertifizierungsprozess

6.4ISO 27002

Zusammenfassung

Literatur

7IT-Grundschutz

Einleitung

7.1Historie

7.2IT-Grundschutz – der Ansatz

7.3IT-Grundschutz-Dokumente

7.3.1BSI-Standard 200-1: Managementsysteme für Informationssicherheit

7.3.2BSI-Standard 200-2: IT-Grundschutz-Vorgehensweise

7.3.3BSI-Standard 200-3: Risikomanagement

7.3.4BSI-Standard 100-4: Notfallmanagement

7.3.5IT-Grundschutz-Kompendium

7.4Tool-Unterstützung

7.5ISO 27001-Zertifizierung auf Basis von IT-Grundschutz

Zusammenfassung

Literatur

8Sicherheitskonzept

Einleitung

8.1Ziele eines Sicherheitskonzepts

8.2Zentrale Aufgaben im Sicherheitskonzept

8.2.1Berechtigte und Unberechtigte

8.2.2Schwachstellen vermeiden

8.2.3Identifikation von Unregelmäßigkeiten

8.2.4Reaktionen auf Störfälle

Zusammenfassung

Literatur

9Datenschutzkonzept

Einleitung

9.1Ziele des Datenschutzkonzepts

9.2Zentrale Elemente eines Datenschutzkonzepts

9.2.1Organisation

9.2.2Regelungen

9.2.3Prozesse

9.2.4Verträge

9.2.5Audits

9.2.6Dokumentation

9.2.7Vorlagen

9.3Regelmäßige Überarbeitung

Zusammenfassung

10Physische Sicherheit

Einleitung

10.1Bedrohungen

10.2Erhöhung der Gebäudesicherheit

10.2.1Bewusste Standortwahl

10.2.2Sichere bauliche Gestaltung

10.2.3Schutzzonen

10.2.4Rettungs- und Fluchtwege

10.3Angemessene Überwachung

10.4Monitoring und automatisierte Maßnahmensteuerung

10.5Wirksamer Brandschutz

10.6Stromversorgung

10.7Physische Schutzmaßnahmen in externen Bereichen

10.7.1Mobile Endgeräte

10.7.2Häuslicher Arbeitsplatz

10.7.3Datenträger

Zusammenfassung

Literatur

11Grundlagen der Netzwerksicherheit

Einleitung

11.1Das OSI-Modell

11.1.1Protokolle, Adressen und Ports

11.1.2Bedrohungen

11.2Das Internet Protocol

11.3IPv4

11.3.1Address Resolution Protocol – ARP

11.3.2Bedrohungen gegen IPv4

11.4IPv6

11.4.1Unterschiede zwischen IPv6 und IPv4

11.4.2Neighbor Discovery

11.4.3Header-Erweiterungen

11.4.4Fragmentierung

11.4.5Privatsphäre

11.4.6Netzwerk-Scans

11.4.7Produkte und Implementierungen

11.4.8Besonderheiten zur Tunnelung von IPv6

11.5Multiprotocol Label Switching – MPLS

11.6Transportprotokolle

11.6.1Sicherheitsmechanismen in Transportprotokollen

11.6.2Übersicht über verschiedene Transportprotokolle

11.7Netzwerkmanagementprotokolle

11.7.1Konfigurationsprotokolle

11.7.2Auskunftsdienst DNS

11.7.3Routing-Protokolle

11.7.4Anmerkung zu verschiedenen Sicherheitsmechanismen der Protokolle

11.8Sicherheitsmechanismen für Netzwerke

11.8.1IEEE 802.1X

11.8.2IPsec

11.8.3SSL/TLS

11.8.4Datagram Transport Layer Security – DTLS

11.8.5Secure Shell – SSH

11.8.6Überwachung des Netzwerkverkehrs

11.9Netzarchitektur

11.9.1Einteilung des Netzes in Zonen

11.9.2Zugriffskontrolle auf Switchen

11.9.3Virtuelle LANs

11.9.4Network Address Translation

11.9.5Software Defined Networking (SDN)

Zusammenfassung

Literatur

12Firewalls

Einleitung

12.1Grundlagen von Firewalls

12.1.1Absicherung von Firewalls

12.1.2Regelwerk

12.2Firewall-Typen

12.2.1Paketfilter

12.2.2Application Level Gateway

12.2.3Stealth Gateway

12.2.4Unified Threat Management (UTM)/Next-Generation Firewalls

12.3Firewall-Architekturen

12.3.1Einstufige Paketfilter-Architektur

12.3.2Multi-Homed-Architektur

12.3.3Demilitarisierte Zone

12.3.4PAP-Firewall-Architekturen

12.4Firewall-Konzepte

12.4.1Anforderungsanalyse für den Firewall-Einsatz

12.4.2Betriebliche Anforderungen für die Firewall-Konzeption

12.5Grenzen von Firewalls

Zusammenfassung

Literatur

13Kryptografie

Einleitung

13.1Vorgehensweise

13.2Begriffsklärung

13.3Angriffs- und Sicherheitsziele

13.3.1Lesen von Daten – Vertraulichkeit

13.3.2Ändern von Daten – Integrität

13.3.3Wiedereinspielen von Daten – Frische

13.3.4Vortäuschen einer Identität – Urheber-Authentizität

13.3.5Abstreiten der Verantwortung – Nicht-Abstreitbarkeit

13.3.6Weitere Angriffs- und Sicherheitsziele

13.4Grundsätzliche Angriffsszenarien

13.5Sichere Kanäle

13.5.1Verschlüsselung

13.5.2Chiffrierverfahren

13.5.3Betriebsmodi

13.5.4Integrität

13.5.5Authentisierte Verschlüsselung

13.6Herausforderung Schlüsselverteilung

13.6.1Der direkte Weg

13.6.2Indirekt über vertrauenswürdige Dritte

13.7Asymmetrische Verfahren zur Schlüsselverteilung

13.7.1Grundprinzipien asymmetrischer Verfahren

13.7.2Schlüsseltransport

13.7.3Schlüsselaustausch

13.8Digitale Signaturen

13.8.1Grundprinzipien digitaler Signaturen

13.8.2Digitale Signaturen für die Nicht-Abstreitbarkeit

13.8.3Digitale Signaturen für Zertifikate

13.9Praktischer Einsatz

13.9.1Schlüssel- und Hash-Wert-Längen

13.9.2Proprietäre Verfahren

13.9.3Proprietäre Implementierungen

13.9.4Erzeugung von Zufallszahlen

Zusammenfassung

Literatur

14Vertrauensmodelle und PKI-Komponenten

Einleitung

14.1Vertrauensmodelle

14.1.1Web of Trust

14.1.2Zentrales Modell der Public-Key-Infrastruktur

14.2Public-Key-Infrastruktur

14.2.1Zertifikate und CRLs

14.2.2Zertifizierungshierarchien

14.2.3Verifikation einer digitalen Signatur

14.2.4Komponenten und Prozesse einer PKI

14.2.5Policies für Public-Key-Infrastrukturen

14.3Standards im Bereich PKI

14.3.1X.509-Standard

14.3.2PKIX-Standards

14.3.3PKCS-Standards

14.3.4Common-PKI-Spezifikationen

14.4Verknüpfung von Public-Key-Infrastrukturen

14.5Langzeitarchivierung

Zusammenfassung

Literatur

15Virtual Private Networks

Einleitung

15.1VPN-Szenarien

15.1.1Site-to-Site-VPN

15.1.2End-to-Site-VPN

15.1.3End-to-End-VPN

15.1.4Protokollebenen von VPN und VPN-Tunnel

15.2Technische Realisierung von VPNs

15.2.1PPP, L2F und PPTP

15.2.2Layer 2 Tunneling Protocol – L2TP

15.2.3IP Security – IPsec

15.2.4OpenVPN

15.2.5WireGuard

15.3Spezielle Risiken von VPNs

Zusammenfassung

Literatur

16Sicherheit in mobilen Netzen

Einleitung

16.1Bedrohungen in mobilen Netzen

16.2Wireless LAN

16.2.1Entwicklung und Standardisierung

16.2.2Netzarchitektur und Netzkomponenten

16.2.3Sicherheitsverfahren

16.2.4Empfohlene Sicherheitsmaßnahmen

16.3Bluetooth

16.3.1Entwicklung und Standardisierung

16.3.2Netzarchitektur und -komponenten

16.3.3Sicherheitsverfahren in Bluetooth

16.3.4Bluetooth-Sicherheitsmechanismen im Detail

16.3.5Bewertung der Sicherheitsmaßnahmen

16.4Mobilfunk

16.4.1GSM

16.4.2GPRS

16.4.3UMTS

16.4.4LTE

Zusammenfassung

Literatur

17Authentifizierung und Berechtigungsmanagement

Einleitung

17.1Benutzer

17.2Identität

17.3Identifizierung

17.4Authentifizierung

17.4.1Authentifizierung durch Wissen

17.4.2Authentifizierung durch Besitz

17.4.3Authentifizierung durch Biometrie

17.4.4Authentifizierung in verteilten Systemen

17.5Autorisierung und Zugriffskontrolle

17.5.1Zugriffsrechtematrix

17.5.2Zugriffskontrolllisten

17.5.3Capabilities

17.5.4Rollenbasierte Zugriffskontrolle

17.5.5Nachteile von Zugriffskontrollstrategien

17.6Identitäts- und Berechtigungsmanagement

17.7Single Sign-On

17.7.1Unternehmensweites Single Sign-On

17.7.2SSO für Web-Services

17.7.3OpenID

17.7.4OAuth 2.0

17.7.5OpenID-Connect

17.7.6SAML

17.7.7Mozilla Persona

17.7.8Sicherheit von SAML, OpenID, OAuth und Mozilla Persona

Zusammenfassung

Literatur

18Betriebssystemsicherheit

Einleitung

18.1Identität und Autorisierung

18.1.1Benutzer, Benutzergruppen und Rollen

18.1.2Ressourcen

18.1.3Zugriffsrechte

18.1.4Erweiterung von Rechten – privilegierte Aktionen

18.2Systemzugang und Authentisierung

18.2.1Sicherer lokaler Zugang

18.2.2Sicherer Fernzugang

18.2.3Session-Sicherheit

18.3Schutz der Anwenderdaten

18.3.1Ablage auf Speichermedien

18.3.2Verarbeitung im Speicher

18.3.3Transit über ein Netzwerk

18.4Konfigurationsmanagement

18.5Protokollierung und Überwachung

18.5.1Protokollierung und Auswertung

18.5.2Überwachung im laufenden Betrieb

18.6Selbstschutz und Härtung des Betriebssystems

18.6.1Härtung gegen spezifische Bedrohungen

18.6.2Malwareschutz

18.6.3Boot-Schutz

18.6.4Verwaltung angeschlossener Geräte und Speichermedien

18.6.5Reduktion der Angriffsoberfläche

18.6.6Einschränkung des zulässigen Netzwerkverkehrs

Zusammenfassung

Literatur

19Windows-Sicherheit

Einleitung

19.1Identifizierung und Autorisierung

19.1.1Benutzer, Benutzergruppen und Rollen

19.1.2Ressourcen

19.1.3Zugriffsrechte

19.1.4Erweiterung von Rechten – privilegierte Aktionen

19.2Systemzugang und Authentisierung

19.2.1Sicherer lokaler Zugang

19.2.2Sicherer Fernzugang

19.2.3Session-Sicherheit

19.3Schutz der Anwenderdaten

19.3.1Ablage auf Speichermedien

19.3.2Verarbeitung im Speicher

19.3.3Transit über ein Netzwerk

19.4Konfigurationsmanagement

19.4.1Die Registry

19.4.2Active Directory Domain Services

19.4.3Gruppenrichtlinien

19.4.4Management-Werkzeuge

19.5Protokollierung und Überwachung

19.5.1Protokollierung und Auswertung der Protokollierung

19.5.2Überwachung im laufenden Betrieb

19.6Selbstschutz und Härtung des Betriebssystems

19.6.1Härtung gegen spezifische Bedrohungen

19.6.2Malwareschutz

19.6.3Bootschutz

19.6.4Verwaltung angeschlossener Geräte und Speichermedien

19.6.5Reduktion der Angriffsoberfläche

19.6.6Einschränkung des zulässigen Netzwerkverkehrs

Zusammenfassung

Literatur

20Unix-Sicherheit

Einleitung

20.1Identität und Autorisierung

20.1.1Benutzer, Benutzergruppen und Rollen

20.1.2Ressourcen

20.1.3Zugriffsrechte

20.1.4Erweiterung von Rechten – privilegierte Aktionen

20.2Systemzugang und Authentisierung

20.2.1Sicherer lokaler Zugang

20.2.2Sicherer Fernzugang

20.2.3Session-Sicherheit

20.3Schutz der Anwenderdaten

20.3.1Ablage auf Speichermedien

20.3.2Verarbeitung im Speicher

20.3.3Transit über ein Netzwerk

20.4Konfigurationsmanagement

20.5Protokollierung und Überwachung

20.5.1Protokollierung und Auswertung

20.5.2Überwachung im laufenden Betrieb

20.6Selbstschutz des Betriebssystems

20.6.1Härtung gegen spezifische Bedrohungen

20.6.2Malwareschutz

20.6.3Boot-Schutz

20.6.4Verwaltung angeschlossener Geräte und Speichermedien

20.6.5Reduktion der Angriffsoberfläche

20.6.6Einschränkung des zulässigen Netzwerkverkehrs

Zusammenfassung

Literatur

21Virtualisierung

Einleitung

21.1Vorteile von Virtualisierungslösungen

21.2Nachteile von Virtualisierungslösungen

21.3Servervirtualisierung

21.4Plattformvirtualisierung (Container)

21.5Speichervirtualisierung (SAN)

21.6Clientvirtualisierung (VDI)

21.7Netzwerkvirtualisierung

21.8Grundsätzliche Sicherheitsmaßnahmen

21.9Abhängigkeiten und neue Angriffswege/Fehlkonfigurationen berücksichtigen

Zusammenfassung

Literatur

22Sicherheit von mobilen Endgeräten

Einleitung und Überblick

22.1Herausforderungen

22.2Generelle Security-Architekturen mobiler Systeme

22.3Bindung an Hersteller/Store und Eingriffsmöglichkeiten des Benutzers

22.4Bring your own Device

22.5Mobile Device Management

Zusammenfassung

23Anwendungssicherheit

Einleitung

Definition gängiger Begriffe

Das Sicherheitsdilemma

23.1Secure Software Development Lifecycle

23.1.1Phasen der Softwareentwicklung

23.1.2Besonderheiten der »Supply Chain«

23.2Schwachstellen in Anwendungen

23.3Reifegradmodelle

23.4Threat Modeling und Security Requirements

23.5Secure Design

23.6Kryptografie

23.7Secure Coding

23.8Verifikation und Audit

Zusammenfassung

Literatur

24Technisches Löschen und Vernichten

Einleitung

24.1Anforderungen zum Löschen und Entsorgen

24.2Realisierung durch ein Lösch- und Entsorgungskonzept

24.3Speicherorte

24.4Technische Löschmaßnahmen

24.4.1Drei Schritte in Löschläufen

24.4.2Anforderungen an Löschmechanismen

24.4.3Grenzen des einfachen Löschens

24.4.4Sicheres Löschen durch Überschreiben

24.4.5Verschlüsselung und Löschen

24.4.6Löschen auf USB-Sticks und anderen Flash-Medien

24.4.7Vernichten und Entsorgen

24.4.8Integration in den Arbeitsalltag

Zusammenfassung

Literatur

25Datenschutzrechtliches Löschkonzept

Einleitung

25.1Vorgaben der DSGVO zum Löschen personenbezogener Daten

25.2Vorgehensweise nach DIN 66398

25.3Der Regelkatalog

25.3.1Datenarten und Löschregeln

25.3.2Verbindlichkeit des Regelkatalogs

25.3.3Pflegeprozess für den Regelkatalog

25.4Umsetzung

25.4.1Löschmaßnahmen

25.4.2Umsetzungsbereiche

25.4.3Spezielle Aufgaben für die Umsetzung

25.4.4Umsetzungsdefizite

25.5Nutzen …

Zusammenfassung

Literatur

26Awareness

Einleitung

26.1»Risikofaktor« Mensch

26.1.1Zur Wahrnehmung von Informationssicherheit

26.1.2Randbedingungen und Konsequenzen

26.2Durchführung von Awareness-Kampagnen

26.2.1Kampagnen-Problematiken

26.2.2Zielsetzung einer Awareness-Kampagne

26.3Awareness in der Praxis

26.3.1Erfolgsfaktoren

26.3.2Beteiligte

26.3.3Das Vier-Phasen-Konzept einer Awareness-Kampagne

26.3.4Gamification

26.3.5Erfolgsmessung

Zusammenfassung

Literatur

27Malware und Content Security

Einleitung und Historie

27.1Historie

27.2Technische Verbreitungswege und Funktionen

27.2.1Ablauf einer Infektion

27.2.2Verbreitungswege

27.2.3Mobile Datenträger

27.3Geschäftsmodelle und Auswirkungen

27.3.1Motivation der Angreifer

27.3.2Geschäftsmodelle

27.3.3Auswirkungen von Schadsoftware

27.4Gegenmaßnahmen

27.4.1Abschottung von Systemen

27.4.2Content-Analyse

27.4.3Erfassung des Netzwerkverkehrs

27.4.4Dekomposition der Inhalte und Header-Analyse

27.4.5Klassifikation von Inhalten

27.4.6Ergebnisgesteuerte Aktionen

27.4.7Besonderheiten bei der Nutzung eines Content-Filters für Anti-Spam-Maßnahmen

27.4.8Content-Filter und verschlüsselte Inhalte

27.4.9Verhaltensanalyse

27.4.10Mikrovirtualisierung

Literatur

28Intrusion Detection

Einleitung

28.1Einordnung und Definitionen

28.2Architektur und Komponenten von Intrusion-Detection-Systemen

28.3Grundproblem der Analyse – oder »der Schein trügt«

28.4Typen von Intrusion-Detection-Systemen

28.4.1Host-based Intrusion-Detection-Systeme

28.4.2Network-based Intrusion-Detection-System

28.4.3Hybride Intrusion-Detection-Systeme

28.5Komponenten von Intrusion-Detection-Systemen

28.5.1Hostsensoren

28.5.2Netzsensoren

28.5.3Datenbankkomponenten

28.5.4Managementstation

28.5.5Auswertungsstation

28.6Methoden der Angriffserkennung

28.6.1Erkennen von Angriffsmustern

28.6.2Anomalieerkennung

28.6.3Korrelation von Ereignisdaten

28.7Das Intrusion-Detection-Dilemma

28.8Ausblick und Vorgaben für IDS

28.8.1Anforderungen an die Sicherheitsadministration

28.8.2Auswahl und Test eines IDS

Zusammenfassung

Literatur

29Datensicherung

Einleitung

29.1Zwecke der Datensicherung

29.2Strategien der Datensicherung

29.3Technische Mechanismen

29.4Backups von vertraulichen Daten

29.5Backup-Medien

29.6Datensicherung in der Cloud

29.7Erfolgsfaktoren für Recovery

29.7.1Physische Verfügbarkeit

29.7.2Betriebliche Voraussetzungen für Recovery

29.7.3Recovery-Fähigkeit überprüfen

29.8Datensicherungskonzept

Zusammenfassung

Literatur

30Incident-Management und Computer-Emergency-Response-Teams

Einleitung

30.1Ziel und Aufgaben des Incident-Managements

30.2Der Aufbau des CERT

30.3Regelmäßige Aufgaben des CERT

30.3.1Überwachen der Informationsströme – Erkennen von Incidents

30.3.2Aufbau- und Pflegearbeiten

30.4Der Incident-Prozess

30.4.1Phase 1: Analysieren

30.4.2Phase 2: Reagieren

30.4.3Phase 3: Nachbereitung

Zusammenfassung

Literatur

Übersicht über CERT-Organisationen

31Business-Continuity-Management

Einleitung

31.1Business Continuity

31.1.1Hohe Verfügbarkeit erreichen und schwere Störfälle beherrschen

31.1.2Business-Impact-Analyse

31.1.3Verantwortung für Business Continuity

31.2Business Continuity vorbereiten

31.2.1Notfall-Teams und Krisenstab etablieren

31.2.2Störfalleskalationswege aufbauen

31.2.3Notfallhandbuch bereitstellen

31.2.4Notfallvorsorge

31.2.5Krisenkommunikation vorbereiten

31.2.6BC-Training, BC-Awareness und BC-Kultur

31.3BCM etablieren

31.3.1Das BCM-Team

31.3.2Initialisierung des Business-Continuity-Managements

31.3.3BCM-Planungsphase

31.3.4Umsetzungsphase

31.3.5Überwachung

31.3.6Weiterentwicklung

31.4Standards für BCM

31.4.1ISO 22301

31.4.2ISO 22313

31.4.3ISO/IEC 27031

31.4.4BSI-Standard 100-4 Notfallmanagement

31.4.5BCI Good Practice Guidelines

Zusammenfassung

Literatur

32Cloud Security

Einleitung

32.1Cloud-Modelle und Cloud-Angebote

32.2Gefahren der Cloud-Nutzung

32.3Identitäts- und Berechtigungsmanagement

32.4Verschlüsselung

32.5Konfigurationsmanagement

32.6Weitere Sicherheitsaspekte Cloud Security

Zusammenfassung

Literatur

Anhang

Übersicht zu Standards der Informationssicherheit

Index

Abkürzungen und Glossar

1Aufgaben und Ziele der Informationssicherheit

Einleitung

Viele Trends verstärken die Integration unternehmensinterner Abläufe in die Informationstechnik: von der Einbindung von Kunden und Partnern in die eigenen Prozesse über mobile Anwendungen, der verstärkten Nutzung und Verzahnung von Cloud-Diensten bis hin zu Industrie 4.0 und vielfältigen Anwendungen im Internet of Things. Damit wächst auch die Abhängigkeit der Geschäftsprozesse vom korrekten Funktionieren der Technik und der Verfügbarkeit integrer Datenbestände. Die in der Literaturliste am Ende dieses Kapitels aufgeführten Studien und Lageberichte zeigen, dass die Probleme der Informationssicherheit und die durch Angreifer verursachten Schäden kontinuierlich zunehmen.

Bei den Angriffen ist eine deutliche Kommerzialisierung feststellbar. Ging es vor vielen Jahren noch um »Ruhm« und »Ehre« der sogenannten Hacker1, so spielen inzwischen finanzielle Motive krimineller Institutionen die Hauptrolle. Mit Kryptotrojanern und Mining-Bots kann viel Geld verdient werden. Die Vermietung von Bots und die Erpressung von Onlineanbietern mit der Androhung verteilter Denial-of-Service-Angriffe sind keine Seltenheit. Zudem wird Wirtschaftsspionage gezielt über IT-Systeme und Anwendungen betrieben. Das unerlaubte Kopieren oder Versenden von Daten mit Geschäftsgeheimnissen oder die Auftragsentwicklung eines Trojaners, um einen Wettbewerber gezielt ausspähen zu können, sind durch reale Fälle belegt. Neben diesen primär wirtschaftlich motivierten Angriffen nehmen auch politisch motivierte Attacken in Form von »Cyber War« und »Cyber-Terrorismus« zu.

Um der hohen Abhängigkeit von der Informationstechnik, den modernen und vielfältigen Angriffsformen und den rechtlichen Vorgaben Rechnung zu tragen, muss das Thema Informationssicherheit im Unternehmen mit einer klaren Strategie angegangen und umgesetzt werden. Dies soll durch ein Informationssicherheitsmanagementsystem (ISMS) erreicht werden. Ohne ein ISMS bestehen große Risiken für die Werte und die Produktionsabläufe des jeweiligen Unternehmens.

Der erste Abschnitt dieses Kapitels gibt einen kurzen Überblick über die wichtigsten Aspekte eines ISMS. Anschließend werden im zweiten Abschnitt die grundlegenden Sicherheitsziele dargestellt, die häufig als Ausgangspunkt zur Auswahl von Sicherheitsmaßnahmen herangezogen werden. Diese Einleitung stellt damit zugleich den inhaltlichen Rahmen der T.I.S.P.-Kurse und der Prüfung für das T.I.S.P.-Zertifikat auf und soll den Einstieg ins Thema erleichtern.

1.1Aufgaben und Anforderungen eines ISMS

Ein Informationssicherheitsmanagementsystem (englisch: Information Security Management System) soll geordnete Prozesse zum Umgang mit den Problemstellungen der Informationssicherheit bereitstellen. Ein ISMS benötigt:

•

eine Informationssicherheitsorganisation, mit Rollen und Ressourcen sowie Regelungen zur Verantwortung,

•

definierte Prozesse, in denen Risiken erfasst und bewertet werden, unter anderem ein Risikomanagement mit Analyse von Gefährdungen und Angreifermodellen sowie ein Sicherheitskonzept, in dem dokumentiert wird, welche Maßnahmen ergriffen werden sollen, um ein angestrebtes Sicherheitsniveau zu erreichen,

•

Maßnahmen, mit denen die Einhaltung der Sicherheitsvorgaben überprüft wird.

Eine Übersicht zu den Elementen eines ISMS geben die folgenden Abschnitte, weitere Details zum Aufbau und Betrieb eines ISMS sind in Kapitel 8 und unter dem Blickwinkel des IT-Grundschutzes in Kapitel 7 dargestellt.

1.1.1Risikomanagement

Die Möglichkeit eines Schadens wird als Risiko bezeichnet, wobei die Höhe des Risikos von der Wahrscheinlichkeit des Eintritts und der Schadenshöhe bestimmt wird. Risiken sollen für ein Unternehmen nur in dem Umfang bestehen, der als tragbar bewertet wird. Um zu wissen, welche Risiken für ein Unternehmen bestehen, muss identifiziert und bewertet werden,

•

welche Gefährdungen zu Störfällen führen können,

•

welche Sicherheitsmaßnahmen die Wahrscheinlichkeit von Störfällen vermindern oder den Schaden begrenzen sollen und

•

welche Restrisiken verbleiben und vom Unternehmen getragen werden müssen.

Genau dies ist die Aufgabe des Risikomanagements: die unternehmensspezifische Bewertungsmethodik2 für die Faktoren von Risiken und für »tragbare« Risiken zu entwickeln sowie den Analyseprozess umzusetzen und laufend zu überwachen. Im Mittelpunkt dazu stehen die Bestandsaufnahme der Unternehmenswerte, die Zusammenstellung der Gefährdungen, durch die Schäden der Unternehmenswerte auftreten können und die Bewertung der gewonnenen Ergebnisse.

Als Grundlage für das Risikomanagement mit Bezug zu Informationen und IT-Systemen sind insbesondere die folgenden Fragestellungen zu klären:

•

Welche Werte hat das Unternehmen oder die Institution? Mit welchen Geschäftsprozessen wird Umsatz und Rendite erwirtschaftet? Welches sind die wichtigsten Geschäftsprozesse?

•

Welche IT-Ressourcen sind zur Unterstützung dieser Geschäftsprozesse erforderlich? Welche Systeme und Anwendungen werden benötigt? Welche Möglichkeiten bestehen, die Prozesse mit eingeschränkter oder ohne IT-Unterstützung weiterzuführen?

•

Welche Schwachstellen sind in den Architekturen, Systemen und Anwendungen vorhanden, die zu Störungen führen können? Welchen weiteren Gefährdungen sind die Prozesse ausgesetzt? Wie können diese erfasst und systematisiert werden?

•

Welche Schäden können auftreten, wenn die verschiedenen Gefährdungen eintreten? Wie wirken sich Störungen bspw. auf Produktion, Vertrieb, Umsatz, Kundenbindung oder öffentliches Ansehen der Organisation aus?

Im Rahmen der Bewertung der Risiken wird entschieden, welche Risiken durch Gegenmaßnahmen vermindert werden sollen und welche tragbar sind. Gegebenenfalls können Risiken auch externalisiert werden, bspw. durch vertragliche Regelungen mit Lieferanten oder durch Versicherungsverträge.

Veränderungen im Unternehmen, die Umgestaltung von Geschäftsprozessen und die Entwicklungsdynamik der Informationstechnik führen dazu, dass sich die Risiken und die Wirksamkeit der Sicherheitsmaßnahmen im Laufe der Zeit verändern. Die Risikoanalyse für ein Unternehmen kann deshalb nicht eine einmalige Bestandsaufnahme sein, sondern muss als regelmäßig wiederkehrender Prozess organisiert werden. Ein definierter Risikomanagementprozess soll erreichen, dass Risiken möglichst frühzeitig identifiziert und im Verlauf der Zeit beobachtet werden. Je früher Risiken festgestellt und bewertet werden können, desto eher kann von den Entscheidungsträgern festgelegt werden, wie mit ihnen umgegangen werden soll.

1.1.2Gefährdungen erkennen und bewerten

Der zentrale Faktor für die Wahrscheinlichkeit von Störfällen im Bereich der Informationsverarbeitung sind Gefährdungen. Beschäftigt man sich mit der Frage, in welcher Form informationsverarbeitende Prozesse gefährdet sind, können vielerlei Möglichkeiten identifiziert werden, durch die die technischen Prozesse gestört, Daten verändert oder vernichtet sowie Informationen unbefugt eingesehen werden können.

Zu den unbeabsichtigten Ursachen von Schäden gehören insbesondere Feuer, Wassereinbruch oder Hardwaredefekte (z. B. Festplattenausfälle). Auch die Fehlbedienung durch Benutzer oder Administratoren können dieser Kategorie zugeordnet werden. Für Gefährdungen aus Angriffsszenarien müssen die Möglichkeiten absichtlicher Manipulationen und Störungen betrachtet werden, hierbei können sowohl Außentäter als auch Innentäter eine Rolle spielen. Für die Bewertung von Risiken sind daher Angreifermodelle auszuwählen, die für die Organisation relevant erscheinen. Die Angreifer können ihre Ressourcen einsetzen, um Angriffsszenarien zu realisieren, bspw. das Eindringen in IT-Systeme, das Abhören von Kommunikationsverbindungen oder gezielte Angriffe gegen einen Prozess. Details zu Angriffsmethoden sind unter anderem in Kapitel 5 dargestellt.

Auch Schwachstellen in der Software dienen Angreifern als Ansatzpunkte. Bei diesen Schwachstellen handelt es sich oft um konzeptionelle Fehler, wie fest implementierte Kennwörter, schwache Kryptografie oder die unzulängliche Prüfung von Benutzereingaben.

Schwachstellen aufgrund von Fehlern in der Software werden vom Hersteller des Produkts verursacht und können vom Betreiber kaum vermieden werden. Umso wichtiger ist es, für die Systeme und Anwendungen durch ein geordnetes Patch-Management zeitnah für einen möglichst aktuellen Stand der eingesetzten Produkte zu sorgen.3 Eine wesentliche Weichenstellung wird aber schon mit der Auswahl der Softwareprodukte vorgenommen. Um spätere Gefährdungen zu vermindern, müssen die qualitativen Anforderungen an die Software definiert sowie ausreichende Ressourcen für die Umsetzung und Prüfung von Sicherheitsanforderungen bereitgestellt werden.

Das IT-Grundschutz-Kompendium des BSI (Bundesamt für Sicherheit in der Informationstechnik) enthält eine gut strukturierte Sammlung von sogenannten »elementaren Gefährdungen«. Sie bieten somit einen sehr guten Ausgangspunkt zur Erfassung und Beurteilung von Gefährdungen und Risiken für die eigene IT-Landschaft. Als ein Teil dieser Fragestellungen müssen Angreifermodelle betrachtet werden.

1.1.3Angreifermodelle betrachten

Sicherheitsmaßnahmen sollen einerseits wirksam und andererseits kostengünstig sein. Ein Zuwenig an Maßnahmen gegen Angriffe könnte leerlaufen, die Investitionen würden nur eingeschränkt wirken. Würden dagegen Maßnahmen gegen unrealistische Angriffe realisiert, sind unnötige Kosten und Zeitaufwände zu erwarten. Um Sicherheitsmaßnahmen sinnvoll auswählen und kombinieren zu können, muss geprüft werden, welche Angreifer und Angreifermodelle in den Angriffsszenarien zu berücksichtigen sind.

Viele Fälle aus der Praxis zeigen, dass Störungen und Informationsabfluss nicht von »außen«, sondern absichtlich oder fahrlässig durch die Mitarbeiter verursacht wurden. Einige Länder geben offen zu, dass die eigenen Geheimdienste für die jeweilige Industrie auch Spionage betreiben und dazu entweder versuchen, Mitarbeiter des Zielunternehmens anzuwerben, eigene Mitarbeiter einzuschleusen oder über externe Wege an die gewünschten Informationen zu gelangen. Neben dem mehr oder weniger anonymen Angreifer aus dem Internet sollten deshalb gezielte Ausforschung, Interessen der Mitbewerber oder eigene Mitarbeiter bei den Betrachtungen berücksichtigt werden.

Die Überlegungen zu Angreifermodellen münden unter anderem in Annahmen zu den Ressourcen, die einem potenziellen Angreifer zur Verfügung stehen. Werden diesen die Werte des Unternehmens gegenübergestellt, kann entschieden werden, ob z. B. nur gegen einen Gelegenheitstäter aus dem Internet, gegenüber verärgerten Mitarbeitern oder möglichst auch vor einer Institution mit professionellen Angriffsmöglichkeiten Schutz geboten werden soll. Diese Entscheidungen gehen in die Identifikation von Angriffsszenarien und damit die Risikoanalyse ein.

1.1.4Hauptursachen für Sicherheitsprobleme identifizieren

Die Hauptursachen für Sicherheitsprobleme werden in der Regel in den »Hackern« oder »unachtsamen Mitarbeitern« gesehen. Die Verantwortlichen für die Informationsverarbeitung müssen sich aber vor Augen führen, dass die wirklichen Ursachen oft tiefer liegen.

Voraussetzungen für erfolgreiche Angriffe sind oft Schwachstellen in der Software. Auch viele unbeabsichtigte Fehler könnten durch »gute« Software vermieden werden. Fehler in den Programmen entstehen oder werden übersehen, weil Software häufig unter sehr hohem Zeitdruck entwickelt wird. Das Einhalten des Release-Termins wird hoch priorisiert, Maßnahmen zur Qualitätssicherung dagegen zurückgestellt. Solche Produkte erscheinen gelegentlich als »Bananen-Software«: Die Software reift beim Kunden. Die Qualitätssicherung wird erst durch den Anwender durchgeführt. Die Lernkurve beinhaltet dann potenziell viele Störfälle durch Fehler wie auch Angriffe. Unzureichende Qualitätssicherungs- und Abnahmeprozesse sind deshalb eine der Hauptursachen für Sicherheitsprobleme.

Eine weitere Ursache für Sicherheitsprobleme wird oft in der Komplexität der jeweiligen IT-Landschaft gesehen. Dazu trägt die Abhängigkeit der zahlreichen IT-Komponenten untereinander, die sich ständig ändernde Technologie oder auch die Kompliziertheit von einzelnen Softwarelösungen bei. Auch wenn diese Aspekte eine Rolle für Sicherheitsprobleme spielen, tragen zu Störfällen mit komplexen Ursachen und Manipulationsmöglichkeiten eher die unzureichende Kapselung von Teilsystemen und die daraus entstehenden unerwarteten Wechselwirkungen bei. Schnelle, unbedachte Einführungsprozesse, die Randbedingungen für die Informationssicherheit nicht berücksichtigen, tragen dann zu Sicherheitsproblemen und Unternehmensrisiken bei.

Schließlich fehlt es oft auch bei Produkten mit hohem Qualitätsstandard an den notwendigen personellen Ressourcen, um sie mit den gebotenen Sicherheitsmechanismen einzusetzen. Viele sinnvolle Sicherheitsfunktionen werden in der Praxis wegen Zeitdruck, aus Unkenntnis oder aus Bequemlichkeit nicht genutzt. Der Mangel an Ressourcen, und damit sind vor allem Zeit und qualifizierte Mitarbeiter gemeint, ist eine weitere wesentliche Ursache für Sicherheitsprobleme. Um dieser Ursache zu begegnen, muss den Sicherheitszielen von der Unternehmensleitung ein hoher Stellenwert eingeräumt werden. Mitarbeiter müssen dazu qualifiziert werden und die zeitlichen Spielräume bekommen, um Sicherheitsmaßnahmen im Alltag umzusetzen.

Um effektiv auf Sicherheitsprobleme reagieren und Schwachstellen möglichst von vornherein vermeiden zu können, sollte die Organisation ein Sicherheitskonzept erstellen und umsetzen.

1.1.5Sicherheitskonzept erstellen

Es erscheint sinnvoll, auf Sicherheitsprobleme wirksam zu reagieren. Daher muss festgelegt werden, welche nicht tragbaren Risiken wie zu vermindern sind. Im Sicherheitskonzept werden deshalb den in der Risikoanalyse erkannten Sicherheitsproblemen systematisch die Maßnahmen zu ihrer Verringerung oder Vermeidung gegenübergestellt. Eine bewährte Praxis ist es, Maßnahmen gegen Bedrohungen anhand von vier generischen Sicherheitszielen der Informationssicherheit abzuleiten. Die Maßnahmen umfassen alle Bereiche, wie technische, bauliche, organisatorische, personelle, informationstechnische Maßnahmen oder auch Maßnahmen der Qualifikation und Motivation von Mitarbeitern (Awareness). Im Sicherheitskonzept müssen die Verantwortlichkeiten und das Vorgehen für die Umsetzung der Maßnahmen geregelt sein. Dadurch soll gewährleistet werden, dass die finanziellen und personellen Ressourcen für die Umsetzung zur Verfügung stehen.4

Das Sicherheitskonzept soll ebenso alle Phasen im Lebenszyklus von Geschäftsprozessen oder IT-Produkten berücksichtigen. Wie oben dargestellt, ist das richtige Prozessdesign oder die Auswahl geeigneter Softwareprodukte für das erreichbare Sicherheitsniveau genauso wichtig, wie die Maßnahmen während der Einführung und des Betriebs. Aber auch das »Lebensende« von Datenbeständen muss einbezogen werden, in dem die Verantwortlichen ein sicheres Löschen und eine adäquate Entsorgung von Datenträgern gewährleisten.5

Die Auswahl und Gestaltung der Maßnahmen im Sicherheitskonzept wird von mehreren Faktoren beeinflusst. Im Vordergrund steht regelmäßig die Bewertung der Eignung und des Nutzens von Maßnahmen unter Berücksichtigung der monetären Kosten wie auch der betrieblichen Aufwände und des Beitrags zur Verbesserung des Sicherheitsniveaus. Häufig muss auch zwischen Zielkonflikten balanciert werden. So kann die durchgängige Verschlüsselung von Daten in bestimmten Störfall-Szenarien zu einem Datenverlust führen, wenn nicht mehr auf den notwendigen Schlüssel zurückgegriffen werden kann. Zielkonflikte zwischen Sicherheitsmaßnahmen auf der einen Seite und der Eignung für die Nutzer auf der anderen Seite treten immer dann auf, wenn zusätzliche Eingaben erwartet werden, weitere Voraussetzungen erfüllt sein müssen (z. B. »Chipkarte muss stecken«), Zeitverzögerungen nicht akzeptiert werden oder ein erforderliches Know-how benutzerseitig nicht gegeben ist. Die Auswahl von Maßnahmen muss deshalb in die Sicherheitskultur des Unternehmens passen und auch Anforderungen an eine gute Ergonomie berücksichtigen.

Das Sicherheitskonzept muss in Form eines oder mehrerer Dokumente schriftlich vorliegen. Nur so kann diese komplexe Aufgabenstellung bewältigt und Entscheidungen nachvollzogen werden. Ein dokumentiertes Sicherheitskonzept ist zudem eine zwingende Voraussetzung, um bspw. durch Audits überprüfen zu können, ob die Sicherheitsmaßnahmen umgesetzt sind.

Für den Aufbau eines Sicherheitskonzepts gibt es keine formale Vorgabe oder Vorgehensweise. Eine Orientierung an etablierten Standards wie bspw. dem IT-Grundschutz (s. Kap. 7) wird empfohlen. In der Regel bietet es sich an, das Gesamtkonzept auf mehrere Dokumente oder Webseiten aufzuteilen. Dazu sollte vorab eine Dokumentationsstruktur festgelegt werden, damit die Informationen nicht redundant dargestellt werden und mit möglichst geringem Aufwand gepflegt werden können.

Ein hierarchischer Ansatz bietet den Vorteil, dass allgemeine Teile »vor die Klammer« gezogen werden können. Auf den unteren Ebenen können die Dokumente dann auf Zielgruppen ausgerichtet werden, z. B. nach Verantwortlichkeiten oder für Umsetzungsbereiche sowie konkrete technische Vorgaben für einzelne Systeme oder Systemgruppen.

Für die Durchsetzung der Sicherheitsmaßnahmen ist es entscheidend, dass das ISMS und das Sicherheitskonzept von der Unternehmensleitung in einer Sicherheitsleitlinie verankert werden. Nur wenn so deutlich wird, dass die Geschäftsführung Informationssicherheit als ein wichtiges Unternehmensziel sieht und die Ressourcen dafür bereitstellt, haben die Verantwortlichen für Informationssicherheit den notwendigen Rückhalt.

Die Geschäftsprozesse, die Risikobewertung wie auch die eingesetzten Techniksysteme unterliegen regelmäßigen Veränderungen. Deshalb muss auch das Sicherheitskonzept regelmäßig überprüft und an die Veränderungen angepasst werden.

1.1.6Sicherheitsmaßnahmen überprüfen

In Organisationen besteht aus unterschiedlichen Gründen häufig eine mehr oder weniger große Abweichung zwischen den Vorgaben für Prozesse und Systeme und der Betriebspraxis. Dies gilt leider auch für Sicherheitsmaßnahmen und -prozesse. Um zu gewährleisten, dass die Sicherheitsmaßnahmen umgesetzt werden, ist es deshalb notwendig, deren Realisierung zu überprüfen. Eine sinnvolle Prüfung ist nur möglich, wenn es eine definierte Soll-Vorgabe gibt. Idealerweise wird das Sicherheitskonzept mit den nachgeordneten Dokumenten so gestaltet, dass diese Soll-Vorgabe und damit die Prüfbedingungen einfach abgeleitet werden können.

Die Analyse von Sicherheitsvorfällen ist eine zweite wichtige Quelle für die Überprüfung des Sicherheitskonzepts. Sie kann Erkenntnisse zum Incident-Prozess und zur Wirksamkeit von technischen Maßnahmen sowie organisatorischen Prozessen liefern. Durch geplante interne oder externe Audits kann zusätzlich festgestellt werden, ob Lücken im Sicherheitskonzept oder der Umsetzung bestehen. Sie bilden somit eine gute Grundlage, die Realisierung des Konzepts und die Wirksamkeit der Maßnahmen zu überprüfen (s. a. [Gora07]).

Die Prozesse des Informationssicherheitsmanagements müssen gewährleisten, dass die Ergebnisse der Überprüfungen in die nächste Risikobewertung einfließen. Auch die Maßnahmen des Sicherheitskonzepts sind hinsichtlich der Wirksamkeit und der Kosten-Nutzen-Aspekte neu zu bewerten, soweit Erkenntnisse dafür relevant sind. Falls notwendig, muss im Sicherheitskonzept bei der Auswahl von Maßnahmen und der Gestaltung von Prozessen entsprechend nachgesteuert werden.

1.2Generische Sicherheitsziele

Die Auswahl von Maßnahmen und die Gestaltung des Sicherheitskonzepts werden an den Sicherheitszielen der Organisation ausgerichtet. Als Grundlage für die spezifischen Sicherheitsziele ist es sinnvoll, die vier generischen Sicherheitsziele der Informationssicherheit heranzuziehen. Sie haben sich seit den 90er-Jahren etabliert und zielen darauf, die folgenden Eigenschaften von Daten zu gewährleisten:

•

V

ertraulichkeit

•

I

ntegrität

•

V

erfügbarkeit

•

A

uthentizität

Diese vier Sicherheitsziele werden auch als VIVA-Kriterien bezeichnet und sind als diese Abkürzung gut zu merken. Im Folgenden werden die vier generischen Sicherheitsziele kurz vorgestellt.6

1.2.1Vertraulichkeit

Für das Ziel Vertraulichkeit muss der Schutz von Informationen vor der Kenntnisnahme durch unbefugte Personen gewährleistet werden. Um die Vertraulichkeit zu erreichen, können bspw. für den Zugriff auf Datenbestände in Anwendungen oder für die Zugriffssicherung von Dateien geeignete Berechtigungen vergeben werden. Eine Verschlüsselung kann bei der Übertragung von Daten wie auch zur Absicherung von Beständen auf Speichermedien oder im Hauptspeicher eingesetzt werden. Auch physische Maßnahmen, wie eine Zutrittssicherung oder die Verwendung von Tresoren können erforderlich sein, um die Vertraulichkeit von Daten zu erreichen. Abbildung 1.2 zeigt ein historisches Beispiel für eine Gefährdung der Vertraulichkeit.

1.2.2Integrität

Ein weiteres Sicherheitsziel ist der Schutz der Integrität von Daten bei der Speicherung oder Übertragung. Dazu sollte verhindert werden, dass Daten unbefugt verändert werden oder zumindest muss erkannt werden, dass Veränderungen vorgenommen wurden. Beispiele für schützenswerte Bestände sind Finanztransaktionen, die Rezeptur für ein Medikament oder eine von einem Server heruntergeladene Software, die so wie vom Hersteller bereitgestellt installiert werden soll.

Um unberechtigte Veränderungen an Daten zu verhindern, sind unbefugte Benutzer vom Zugriff auszuschließen. Die Maßnahmen der Zugriffskontrolle und physische Sicherheitsmaßnahmen können den Zugang und damit die Möglichkeit zu Manipulationen erschweren. Mit einer anderen Gruppe von Maßnahmen können Veränderungen an Daten nachträglich erkannt werden. Dafür eignen sich kryptografische Prüfsummen, wie Message Authentication Codes (MAC) oder digitale Signaturen. Auch eine nicht mehr entschlüsselbare Datei kann ein Indiz für eine Veränderung sein. In der Abbildung 1.3 könnte der Empfänger die Veränderung nur dann feststellen, wenn der Angreifer ungeschickt ist und die Nachricht deshalb sinnlos wird.

1.2.3Verfügbarkeit

Geschäftsprozesse und andere Vorgänge sind für ihren reibungslosen Ablauf darauf angewiesen, dass Daten, Software und Hardware geeignet verfügbar sind. Zu den geforderten Zeiten soll für autorisierte Benutzer der Zugriff auf Programme und Daten möglich sein. Je »wertvoller« der Geschäftsprozess ist und je mehr Anwender auf eine IT-Unterstützung angewiesen sind, desto höher sind in der Regel die Verfügbarkeitsanforderungen.

Der Ausschluss unbefugter Benutzer vom Zugriff kommt auch hier wieder zum Tragen, weil dadurch für Unbefugte die Angriffe gegen die Verfügbarkeit erschwert werden. Daneben kann durch das Vorhalten redundanter Komponenten die Verfügbarkeit erhöht werden. Zu den einfachsten Maßnahmen gehören Backups und Ersatzsysteme. In Abhängigkeit vom Schutzbedarf können aber auch redundante Systeme, von RAID-Platten über Server-Cluster mit Lastverteilung bis hin zu Reserverechenzentren im Hot-Standby-Betrieb oder in der Cloud, eingesetzt werden. Reaktionsmöglichkeiten bei Denial-of-Service-Angriffen aus dem Internet können durch gezielte Maßnahmen des Monitorings, Filtermechanismen für Web-Anfragen und angepasste Lastverteilung oder spezielle Dienstleister verbessert werden. Wichtige Aspekte zur Verbesserung der Verfügbarkeit sind auch die Qualitätssicherung von Software sowohl hinsichtlich Fehlervermeidung als auch bezüglich Lasttests.

Eine Verfügbarkeit von 100 %, also 24 Stunden am Tag, 7 Tage die Woche und 365 Tage im Jahr ist praktisch kaum zu erreichen, da Wartungsfenster, Migrationserfordernisse und ungeplante Systemausfälle zumindest zu kurzzeitigen Ausfällen führen können. In der Praxis hat es sich daher bewährt, Verfügbarkeitskategorien zu definieren und Prozentwerte wie 99 % oder 99,9 % von den erforderlichen Betriebszeiten anzugeben.

1.2.4Authentizität

Für das Sicherheitsziel Authentizität und der damit zusammenhängenden Nicht-Abstreitbarkeit von Daten müssen die Daten einem Absender eindeutig zugeordnet werden können. Der Absender kann eine Person oder auch ein System oder eine Anwendung sein. Das Sicherheitsziel ist erfüllt, wenn ein Dritter überprüfen kann, ob die Daten wirklich vom angenommenen Absender stammen. Auch für dieses Sicherheitsziel soll eine Grafik skizzieren, wie die Authentizität verfälscht werden kann.

Je nach Anwendungskontext kann die Anforderung an den Nachweis unterschiedlich weit gehen. In einfachen Szenarien kann schon ein unternehmensinterner Nachweis ausreichen. Die Prüfmöglichkeit könnte dann bspw. für einen digitalen Workflow erreicht werden, wenn durch ein mit engen Zugriffsrechten geschütztes Log-Protokoll nachvollzogen werden kann, wer für einzelne Arbeits- und Genehmigungsschritte verantwortlich ist. Umfassende Szenarien fordern dagegen sogar die Möglichkeit zum Nachweis vor Gericht mit hohem Beweiswert. Eine Sicherheitsmaßnahme, die dieses Ziel unterstützt, ist die elektronische Signatur: Damit kann bspw. auch der Absender einer E-Mail eindeutig bestimmt werden.

1.2.5Sicherheitsziele und Sicherheitskonzept

Verschiedene Störungsursachen können sich auf die Sicherheitsziele auf unterschiedliche Weise auswirken. Beispielsweise kann die Verfälschung von Daten (Integrität) oder das Scheitern einer Signaturprüfung (Authentizität) eine Prozessstörung und damit eine Verfügbarkeitseinschränkung zur Folge haben. Auch können Sicherheitsmaßnahmen zugunsten mehrerer Sicherheitsziele wirken. Für die Maßnahmen der Zutritts- und Zugriffsbeschränkung, durch die Unbefugte ausgeschlossen werden sollen, wurde dies oben angedeutet. Auch können Zielkonflikte bei der Auswahl von Maßnahmen auftreten. So führt die Verschlüsselung von Daten in den meisten Fällen dazu, dass ein zusätzliches Störfall-Szenario für die Verfügbarkeit, nämlich der Schlüsselverlust, beherrscht werden muss. Schließlich müssen auch andere Anforderungsbereiche berücksichtigt werden. Die Vorgaben des Datenschutzrechts schränken bspw. die Möglichkeiten der Überwachung von Benutzern ein. Wenn Aspekte der Ergonomie nicht berücksichtigt werden, scheitern Sicherheitsmaßnahmen in der Praxis oft daran, dass die Benutzer sie nicht ausführen wollen oder nicht über die Zeit oder die Fähigkeiten verfügen, sie einsetzen zu können.

Für die Erarbeitung eines Sicherheitskonzepts ist es daher wichtig, nach den verschiedenen Sicherheitszielen zu unterscheiden. Denn es hängt von den jeweiligen Unternehmensanforderungen, der Ausgestaltung der Geschäftsprozesse und dem IT-Einsatz ab, wie der Schutzbedarf spezifischer Komponenten einzustufen ist. Je nachdem wie stark die Sicherung von Verfügbarkeit, Vertraulichkeit, Integrität oder Authentizität gefordert ist, müssen im Sicherheitskonzept Maßnahmen unterschiedlich gewichtet und kombiniert werden. So könnte es für ein Unternehmen eher akzeptabel sein, die Produktion eines Medikaments auszusetzen, als eine Charge mit falscher Rezeptur zu vertreiben. Bei einer Farbproduktion ist dagegen Liefertreue möglicherweise das entscheidende Kriterium, während geringfügige Abweichungen im Farbton von den Kunden toleriert werden. Die Gewichtung der Sicherheitsziele ist daher zentral für das Sicherheitskonzept. Darüber hinaus können auch weitere Faktoren Einfluss auf die Gestaltung des Sicherheitskonzepts haben, damit es erfolgreich in der Praxis umgesetzt wird. So müssen die Maßnahmen derart ausgewählt werden, dass sie von den Verantwortlichen auch umgesetzt werden können, also bspw. die Zuständigkeiten und Ressourcenlage berücksichtigen. Ein weicherer Faktor ist die Unternehmenskultur, die bspw. stärker auf Kontrolle, auf klare Anweisungen oder die Motivation und Eigenverantwortung der Mitarbeiter ausgerichtet sein kann. Auch solche Kriterien sollten bei der Auswahl von Alternativen berücksichtigt werden.

In der folgenden Tabelle sind noch einmal zusammenfassend die vier Sicherheitsziele, ausgewählte Beispiele für IT-basierte Angriffe und Sicherheitsmaßnahmen aufgeführt.

Tabelle 1.1:Sicherheitsziele, Angriffsbeispiele und Beispiele für Sicherheitsmaßnahmen

Sicherheitsziel (englische Bezeichnung)

Angriffsbeispiel

Beispielsmaßnahmen

Vertraulichkeit (confidentiality)

Abhören des Übertragungsmediums

Verschlüsselung, Zugangskontrolle, Berechtigungskonzepte

Integrität (integrity)

Einspielen falscher Datenpakete

Verwendung von Prüfsummen, definierte Installationsprozesse

Verfügbarkeit (availability)

Denial-of-Service-Angriffe

Einsatz von Filtermechanismen, hohe Leistungsreserven Hardware, redundante Auslegung

Authentizität (authenticity)

Fälschung der Datenherkunft (Person, E-Mail, IP-Adresse)

Digitale Signatur, organisatorische Prozesse

Ein gutes Sicherheitskonzept stellt das Gewicht der Sicherheitsziele für die verschiedenen Unternehmens- und Technikbereiche dar und begründet unter Berücksichtigung von Zielkonflikten, Restrisiken und anderen Faktoren, eine ausgewogene Auswahl von Sicherheitsmaßnahmen. Die weiteren Kapitel dieses Buches vertiefen hierzu relevante Aspekte wie technische Lösungen und konzeptionelle Fragen, z. B. von rechtlichen Fragestellungen über Standards der Informationssicherheit bis hin zu Business Continuity.

Zusammenfassung

In diesem Kapitel wurde die Notwendigkeit eines kontrollierten und gesteuerten Umgangs mit dem Thema Informationssicherheit durch ein Informationssicherheitsmanagementsystem sowie die wesentlichen Sicherheitsziele der Informationssicherheit dargestellt. Welche Maßnahmen und Methoden geeignet sind, die Sicherheitsziele und ein angemessenes Maß an Informationssicherheit zu erreichen, werden in den folgenden Kapiteln detailliert ausgeführt.

Literatur

[Gora07]

Gora, S.: Security Audits, Secorvo White Paper, 2007; https://www.secorvo.de/publikationen/secorvo-wp14.pdf (Stand: 17.01.2024)

[BSI17]

Bundesamt für Sicherheit in der Informationstechnik (BSI): BSI-Lagebericht IT-Sicherheit; https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html (Stand: 17.01.2024)

[HEISE]

heise online: Heise Newsticker; http://www.heisec.de (Stand: 17.01.2024)

[NCSC]

Nationales Zentrum für Cybersicherheit: Lageberichte; https://www.ncsc.admin.ch/ncsc/de/home/dokumentation/berichte/lageberichte.html (Stand: 17.01.2024)

2Betriebswirtschaftliche Aspekte der Informationssicherheit

Einleitung

Jede unternehmerische Aktivität ist zahlreichen Risiken ausgesetzt. Daher ist unternehmerisches Handeln zu einem erheblichen Teil Risikomanagement: Jede unternehmerische Entscheidung soll Chancen ergreifen und zielt zugleich auf die Minimierung ganz unterschiedlicher Arten von Risiken. Dabei stehen vor allem Marktrisiken im Fokus; aber auch finanzielle Risiken (Liquiditätsrisiko, Zahlungsausfälle bei Kunden) und rechtliche Risiken (Patente, gesetzliche Anforderungen, Prozessrisiken) spielen im Kontext der Globalisierung und steigender Erwartungen der Marktteilnehmer an den unternehmerischen Erfolg eine immer wichtigere Rolle.

Das gilt insbesondere für die Besserung der Kreditwürdigkeit oder wenn der Unternehmenswert ermittelt wird, z. B. im Vorfeld eines Unternehmensverkaufs oder bei einer Börsennotierung. Dabei kommt der Bewertung der bestehenden Risiken und der Einschätzung der diesbezüglichen Stärke des Unternehmens ein erhebliches Gewicht zu. Seit einigen Jahren spielen dabei neben externen Risiken auch sogenannte operationelle Risiken eine immer größere Rolle. Darunter werden alle betrieblichen Risiken innerhalb eines Unternehmens mit wirtschaftlichen Auswirkungen verstanden. In der Eigenkapitalvereinbarung Basel II, nach der seit Inkrafttreten von Kreditinstituten erstmals auch operationelle Risiken bei der Eigenkapitalhinterlegung zu berücksichtigen sind, werden diese definiert als »Risiko von Verlusten, die durch die Unangemessenheit oder das Versagen von internen Verfahren, Menschen und Systemen oder durch externe Ereignisse verursacht werden.« [Wiki_23]. In diese Kategorie fallen insbesondere alle Ausfälle und Fehler der Informationstechnik – unabhängig davon, ob diese durch technisches Versagen, durch gezielte oder ungezielte, externe oder interne Manipulation verursacht werden.

Alle Arten von Bedrohungen der Informationssicherheit zählen daher zu den operationellen Unternehmensrisiken. Daher wird – auch vor dem Hintergrund zunehmender Compliance-Anforderungen – die Informationssicherheit inzwischen in vielen Unternehmen als aktives Risikomanagement verstanden. Zum einen, weil in einer globalisierten Wirtschaft ein unkontrollierter Abfluss von Informationen irreparable wirtschaftliche Schäden verursachen kann, zum anderen, weil immer mehr Geschäftsprozesse von dem störungsfreien Funktionieren der Informationstechnik abhängen. Selbst aus dem Datenschutz können Risiken mit betriebswirtschaftlichen Auswirkungen erwachsen: Beschwerden von Kunden oder Mitarbeitern bei der Aufsichtsbehörde wegen Verstößen gegen geltendes Datenschutzrecht oder meldepflichtige Datenschutz-Vorfälle können nicht nur die Einleitung von Untersuchungen der Aufsichtsbehörde, sondern auch schmerzhafte Bußgelder und Schadensersatzforderungen der Betroffenen zur Folge haben.

Damit hat auch die betriebswirtschaftliche Bewertung von Maßnahmen der Informationssicherheit und des Datenschutzes an Bedeutung gewonnen. Der Schlüssel zu einer angemessenen betriebswirtschaftlichen Betrachtung und Bewertung ist dabei die vollständige Erfassung und eine adäquate Quantifizierung der bestehenden Risiken einerseits sowie der Kosten und Wirksamkeit von Risiko senkenden Maßnahmen andererseits. Unternehmerisch lässt sich nur auf der Grundlage möglichst konkreter, quantitativ unterlegter Bedrohungsszenarien und Lösungsalternativen entscheiden, wie mit bestimmten Risiken zu verfahren ist. Dazu lassen sich im Wesentlichen vier Möglichkeiten der Risikobehandlung unterscheiden: ignorieren, verringern, versichern oder verhindern (s. a. Abschnitt 2.3.3).

Eine solche Quantifizierung liefert zugleich eine einfache Bewertung des erreichten Sicherheitsniveaus: Dieses ist angemessen, wenn alle nicht akzeptablen Risiken durch geeignete Maßnahmen ausgeschlossen und alle verbleibenden durch passende Maßnahmen in ihren Auswirkungen begrenzt werden. Leider scheitert dieser Ansatz an zwei praktischen Schwierigkeiten: So ist erstens in den meisten Fällen eine hinreichend präzise Quantifizierung der Risiken nicht möglich, und es gelingt zweitens nur mit wenigen Maßnahmen, ein bestimmtes Risiko mit vertretbarem Aufwand treffsicher und vollständig auszuschließen.

Die folgenden Abschnitte zeigen, dass die Betrachtung der Informationssicherheit aus betriebswirtschaftlicher Perspektive trotz verschiedener praktischer Schwierigkeiten dennoch einige wertvolle Ansätze bereithält. Unvermeidlich ist die Beschäftigung mit dieser Perspektive ohnehin, da mit der steigenden Bedeutung der Informationstechnik und immer umfangreicherer Verarbeitung personenbezogener Daten die Informationssicherheit und der Datenschutz zu immer wichtigeren Elementen des Risikomanagements werden.

2.1Risikomanagement

Unter Risikomanagement werden alle Prozesse eines Unternehmens zum Umgang mit Geschäftsrisiken verstanden. Die ISO 31000 definiert das Risikomanagement als die »koordinierte Aktivität zur Lenkung und Steuerung einer Organisation in Bezug auf Risiken« [ISO_18]. Das beginnt bei der Identifikation und Analyse von Risiken, ihrer Bewertung, des Umgangs mit den identifizierten Risiken und ihrer Überwachung. Große Unternehmen fassen meist die Behandlung aller Risiken in einem übergreifenden Risikomanagementprozess zusammen, um eine einheitliche Risikobehandlung sicherzustellen. In vielen Branchen gibt es hier aufsichtsbehördliche Anforderungen, die zu erfüllen sind und sowohl eine Dokumentation der Risikobehandlung als auch eine regelmäßige interne und externe Auditierung des Risikomanagements erfordern. Ähnliche Anforderungen leiten sich aus einer Börsennotierung des Unternehmens ab.

Den Gesamtprozess des Risikomanagements kann man sich – vereinfacht – vorstellen, wie in Abbildung 2.1 gezeigt: Regelmäßig (z. B. jährlich) sowie anlassbezogen (beim Auftreten eines neuen Risikos, z. B. durch die technische Entwicklung oder eine Unternehmensakquisition) werden die Risiken aus der Risikoübersicht geprüft: Sind sie (noch) relevant? Wenn ja, wie sind die Risiken zu bewerten? Wenn sie als hohes Risiko zu bewerten sind: Können Maßnahmen getroffen werden, um das Risiko zu senken? Wenn nicht: Kann das (verbleibende) Risiko dennoch akzeptiert werden?

Bei der Identifikation von Risiken können Bedrohungsszenarien helfen, wie z. B. in der »Risiko-Toolbox« der Enisa vorgeschlagen [ENISA_23]. Die Klassifikation dieser (IT-Sicherheits-)Risiken erfolgt dann in der Regel durch eine Einordnung in eine Risikomatrix (Abb. 2.4): Schadenspotenzial (Schadenshöhe) und Eintrittswahrscheinlichkeit (Häufigkeit) werden in drei bis vier, selten auch fünf Stufen unterteilt (niedrig, mittel, hoch, ggf. sehr hoch) [BITKOM_05, BSI_17]. Die Zuordnung zu einer Stufe wird dabei entweder mit quantitativen Bewertungsmodellen oder qualitativ vorgenommen. Aus der resultierenden Risikoklasse leitet sich dann in der Regel ein unterschiedlicher Umgang mit den identifizierten Risiken ab. Die ISO/IEC 27005:2022 beschreibt einen solchen systematischen Prozess zur Identifikation, Bewertung, Behandlung und Überwachung der IT-Sicherheitsrisiken [ISO_22]. Dieses Management der IT-Sicherheitsrisiken sollte dann geeignet in den unternehmensweiten Risk-Management-Prozess (Enterprise Risk Management – ERM) integriert werden [NIST_20].

2.2Quantitative Modelle

Aus betriebswirtschaftlicher Perspektive muss jeder Sicherheitsmaßnahme eine angemessene Risikoreduktion gegenüberstehen – der für die Umsetzung der Maßnahme erforderliche Aufwand muss sich »lohnen«. Für diese betriebswirtschaftliche Abwägung und Maßnahmenbewertung wurden Berechnungsmodelle zur Bestimmung eines quantitativen Return on Security Investment (ROSI) entwickelt.

Risiken und Sicherheitsmaßnahmen lassen sich betriebswirtschaftlich als Kosten ausdrücken: Risiken werden im Falle ihres Eintretens zu einem quantifizierbaren Schaden; Sicherheitsmaßnahmen hingegen verursachen unmittelbare direkte Kosten.

Den Kosten für eine Sicherheitsmaßnahme sollte, damit die Investition wirtschaftlich ist, eine (nachhaltige) Risikoreduktion gegenüberstehen. Ziel dabei ist, eine hinreichende Risikoreduktion mit moderaten Kosten zu erreichen. Denn übersteigen die Kosten einer Sicherheitsmaßnahme das tatsächliche Risiko, ist es wirtschaftlicher, auf die Sicherheitsmaßnahme zu verzichten und das Risiko billigend in Kauf zu nehmen.

Abbildung 2.2 zeigt in einer vereinfachten Schemagrafik das idealtypische Verhältnis von Risiken, Kosten (Aufwand) und Sicherheitsmaßnahmen. Dabei wurde angenommen, dass die Maßnahmen nach »Wirkungsgrad« ergriffen wurden: Maßnahmen mit hoher Risikoreduktion, aber geringen Kosten wurden zuerst ergriffen, Maßnahmen mit hohen Kosten und geringer Risikoreduktion später – daher der stetige Verlauf der Kurven. Tatsächlich werden die Maßnahmen in der Praxis nicht in solcherart idealisierter Reihenfolge (die wirksamsten Maßnahmen zuerst) umgesetzt – einerseits aufgrund von Abhängigkeiten der Maßnahmen untereinander und der daraus resultierenden Schwierigkeit, die tatsächliche Risikoreduktion zu bestimmen, andererseits wegen der Abhängigkeit von externen Faktoren. Ein »realer« Kurvenverlauf wird in der Praxis daher nicht so stetig ausfallen (können).

In den folgenden Abschnitten werden Modelle zur Quantifizierung der Kosten von Risiken und Maßnahmen vorgestellt.

2.2.1Kosten von Risiken

Die Festlegung eines akzeptablen Risikolevels ist eine unternehmerische Frage, die im Zweifel von der Geschäftsleitung beantwortet werden muss. Eine vernünftige Einschätzung ist allerdings nur dann möglich, wenn das Risiko in einer finanziellen Größenordnung ausgedrückt werden kann. Im Risikomanagement wird dafür üblicherweise der zu erwartende jährliche Verlust (Annual Loss Expectancy, ALE) bestimmt. Der ALE errechnet sich aus der finanziellen Höhe (Loss, L) und der Eintrittswahrscheinlichkeit (Probability, P) eines möglichen Schadens:

Der erwartete Gesamtverlust ergibt sich als Summe der Erwartungswerte aller betrachteten Einzelrisiken:

Die Anwendung der Berechnung des ALE für Bedrohungen der Informationstechnik geht auf die (inzwischen zurückgezogene) Richtlinie FIPS PUB 65 des NIST aus dem Jahr 1979 zurück [FIPS65]. Sie bildet die Grundlage für zahlreiche Ansätze von Kosten-Nutzen-Modellen der Informationssicherheit, insbesondere auch des ROSI-Ansatzes (s. u.). Die Reduktion eines spezifischen Risikos kann danach auf zweierlei Weise erfolgen:

•

Entweder wird durch geeignete Gegenmaßnahmen die Eintrittswahrscheinlichkeit des Schadens verringert, z. B. durch einen Viren-Scanner auf einem E-Mail-Server oder den Betrieb einer Firewall,

•

oder es werden Maßnahmen ergriffen, die die Auswirkungen des Schadens begrenzen, wie z. B. die konsequente Umsetzung des Need-to-know-Prinzips bei der Berechtigungsvergabe oder ausgearbeitete und trainierte Notfallpläne, betriebsbereite Ersatzsysteme und ausgefeilte Wiederanlaufprozesse.

Damit ist das Problem der Quantifizierung eines Risikos jedoch noch nicht gelöst, denn

•

für die Eintrittswahrscheinlichkeit eines Schadens in der Informationstechnik existieren – anders als für viele andere, versicherbare Schäden – keine belastbaren Erfahrungswerte,

•

durch die Schnelllebigkeit und die kurzen Innovationszyklen der Informationstechnik ändern sich sowohl die tatsächlichen Risiken als auch die möglichen Auswirkungen und deren Eintrittswahrscheinlichkeiten in sehr kurzen Zeiträumen und

•

der errechnete erwartete Verlust ist eine rein statistische Größe – er kann im Einzelfall erheblich über- oder unterschritten werden.

Da sich mit diesem Berechnungsansatz nur ein einzelnes Risiko betrachten lässt, geht das ALE-Modell außerdem implizit von der Annahme aus, dass einzelne Bedrohungen und Gegenmaßnahmen isoliert betrachtet werden können. Das ist in der Praxis jedoch in den meisten Fällen eine grobe Vereinfachung. So gibt es Gegenmaßnahmen, die Schutz vor mehreren Bedrohungen bieten, wie z. B. eine Firewall (externer Denial-of-Service-Angriff auf Client-Systeme, Missbrauch des E-Mail-Servers, unberechtigter externer Zugriff auf vertrauliche Daten), und es gibt Maßnahmen, die neue Risiken verursachen, wie z. B. die Auslagerung von Backups.

Schließlich berücksichtigt das ALE-Modell keine kumulativen Effekte: Die Einzelrisiken werden einfach addiert. In der Praxis aber wird sich die Zahl der verlorenen Kunden aufgrund eines einstündigen Ausfalls des Onlinebankings bei einem Kreditinstitut in Grenzen halten; kommt es hingegen in kurzer Zeit wiederholt zu solchen Ausfällen, kann dies einen erheblichen Image-Schaden mit schmerzlichem Kundenverlust zur Folge haben – und einen Schaden verursachen, der die Summe der erwarteten Einzelschäden erheblich übersteigt.

Nicht zuletzt kann in dem Modell nicht zwischen großen Schäden mit geringer Eintrittswahrscheinlichkeit und geringen Schäden mit hoher Eintrittswahrscheinlichkeit unterschieden werden – obwohl sich Letztere meist sehr gut kontrollieren lassen, Erstere aber existenzbedrohend sein können und ihr Eintritt daher durch geeignete Maßnahmen in jedem Fall verhindert werden sollte.

Daher wurde das ursprüngliche ROSI-Modell mehrfach verfeinert, um verwertbarere Aussagen zu erhalten.

2.2.2Kosten von Sicherheitsvorfällen

Die Kosten eines Sicherheitsvorfalls sind meist – insbesondere, wenn es tatsächlich zum Eintritt eines Schadens gekommen ist – deutlich einfacher zu quantifizieren. Leider bestimmen und dokumentieren nur die wenigsten Unternehmen die tatsächlichen Kosten eines Schadensfalls hinreichend genau, und das oft nicht einmal wegen des damit verbundenen Aufwands. Dabei ergäben sich aus diesen Erfahrungswerten sowohl eine hilfreiche Datenbasis für die finanzielle Abschätzung bestimmter Schäden als auch die Chance, geeignete Maßnahmen zu ergreifen, mit denen sich bei ähnlichen Vorfällen zukünftig das Schadensausmaß gezielt verringern ließe.

Die Kosten eines Sicherheitsvorfalls setzen sich aus den folgenden Einzelkosten zusammen:

•

Umsatzeinbußen und Wertverlust

unmittelbar durch Ausfallzeiten (diese Kosten sind in der Regel größer als die Gemeinkosten, d. h. die Betriebskosten während der Ausfallzeit) und mittelbar durch den Verlust von Kunden oder Aufträgen, bspw. aufgrund eines nachfolgenden Image-Schadens. Wertverlust und Umsatzrückgang oder -ausfall (Loss, L) lassen sich in Abhängigkeit von der Dauer t der Wirkung ausdrücken: Li(t).

•

Wiederherstellungskosten

Ersetzung oder Wiederanlauf der betroffenen Systeme, Wiedereinspielen von Images, Betriebssystemen oder Daten von Backups, gegebenenfalls Rettung teildefekter Datenträger. Die Wiederherstellungskosten setzen sich aus externen (leicht exakt quantifizierbaren) Kosten (Recovery, Re) für Unterstützungsleistungen beim Wiederanlauf und internem Aufwand (überwiegend investierte Arbeitszeit, also Personalkosten) Ri(t) zusammen.

•

Schadensersatzleistungen

Vertragsstrafen bei Lieferverzögerungen infolge eines Defekts oder Systemausfalls, Kosten für Rückrufe und Ersatzlieferungen, Haftung für verursachte Schäden Dritter (bspw. durch ungewollte Verbreitung von Schadsoftware). Dies sind leicht quantifizierbare Einmal-Kosten (Fine, F), deren Höhe unabhängig ist von der Dauer des Vorfalls.

Daraus ergibt sich eine einfache Formel für den Gesamtverlust (L) in Abhängigkeit von der Dauer eines Vorfalls (respektive seiner Auswirkungen):

Weitere, manchmal »immateriell« genannte Schäden sind betriebswirtschaftlich nicht relevant. Denn sofern sie Kosten verursachen, fließen sie »automatisch« in eine der drei oben genannten Schadenskategorien ein. So ist z. B. ein Imageschaden, der keine Umsatzeinbußen zur Folge hat, kein betriebswirtschaftlich zu berücksichtigender Schaden – sondern eine (wenn auch ungeplante) Marketingmaßnahme. Führt er hingegen zu Umsatzausfällen, ist er in Li(t) bereits berücksichtigt. Anders ausgedrückt: Jeder relevante Schaden ist ein materieller Schaden – und lässt sich einer der drei Schadenskategorien zuordnen.

2.2.3Kosten von Sicherheitsmaßnahmen

Auch die Kosten einer Sicherheitsmaßnahme setzen sich aus unterschiedlichen Elementen zusammen. Dabei sollte eine Gesamtkostenbetrachtung angestellt werden (Total Cost of Ownership, TCO), die nicht nur die Anschaffungskosten, sondern auch alle weiteren direkten und indirekten (Folge-)Kosten einer Sicherheitsinvestition berücksichtigt:

•

Konzeptionskosten C

c

Architektur, Lösungsauswahl, Testbetrieb, gegebenenfalls Anpassungen an der eigenen Infrastruktur (Konfiguration, Dokumentation) oder der gewählten Lösung

•

Investitionskosten C

i

Hardware, Software, Installation und Konfiguration, Dokumentation, Inbetriebnahme und Mitarbeiterschulungen (Administratoren, Benutzer)

•

Betriebskosten C

m

Support, Updates, jährliche Lizenzkosten, Betriebsprozesse (Betreuung, Hotline)

Aus diesen drei Kostenblöcken werden die Gesamtkosten der Sicherheitsinvestition (TCOSI) berechnet. Dabei werden die Einmalkosten (Konzeption, Investition) über den Betriebszeitraum y (in Jahren) abgeschrieben, während die Betriebskosten jährlich anfallen:

Sonnenreich und seine Mitautoren weisen in ihrer Arbeit [SoAS_06] zu Recht darauf hin, dass in der Regel mit der Einführung einer Sicherheitsmaßnahme auch Produktivitätsverluste bei den Anwendern einhergehen. So kann eine Maßnahme zur Folge haben, dass sich das Starten der Client-Rechner verlängert, die Eingabe eines zusätzlichen Passworts oder längere Reaktionszeiten beim Zugriff auf verschlüsselte Daten Bearbeitungsprozesse verlangsamen oder regelmäßige Backups wertvolle Arbeitszeit binden. Eine faire Berechnung sollte daher auch Produktivitätsverluste als Teil der »Betriebskosten« einer Sicherheitsmaßnahme in der Kalkulation berücksichtigen.

2.2.4Das ROSI-Modell

Nach dem Platzen der »Dotcom-Blase« im Jahr 2000 sahen sich IT-Verantwortliche angesichts der (steigenden) Kosten der Informationstechnik zunehmend dem kritischen Blick der Controller ausgesetzt. Wie bei anderen Investitionen auch wurde in vielen Unternehmen die Berechnung eines Return on Investment (ROI) als Bewertungsverfahren für die Wirtschaftlichkeit einer IT-Investition eingefordert. Die Kennzahl ROI geht auf Donaldson Brown (1885 – 1965) zurück, der sie im Jahr 1913 einführte. Sie sollte die Bewertung der Wirtschaftlichkeit (Rendite) einer unternehmerischen Investition ermöglichen und ist definiert als das Produkt aus Umsatzrendite (= Gewinn/Nettoumsatz · 100) in Prozent und dem Kapitalumschlag (= Nettoumsatz/Gesamtkapital). Daraus ergibt sich die folgende einfache Berechnungsformel:

Der ROI gibt also das prozentuale Verhältnis des Gewinns zum eingesetzten Kapital an. Diese Kennzahl kann sowohl zur Bestimmung der Wirtschaftlichkeit einer Gesamtinvestition (Unternehmen) als auch zur Bewertung des betriebswirtschaftlichen Erfolgs einer Periode (Monat, Quartal, Jahr) verwendet werden.

Ein erweitertes Verständnis des ROI erlaubt außerdem Wirtschaftlichkeitsbetrachtungen von Einzelinvestitionen, sofern der einer bestimmten Investition anteilig zuzurechnende Gewinn separiert werden kann:

Dabei wird der Gewinnanteil über die Nutzungsdauer der getätigten Investition berechnet. Diese Entwicklung blieb nicht ohne Auswirkung auf die IT-Sicherheit. So basiert der Ansatz zur Berechnung eines Return on Security Investment (ROSI), der auf Arbeiten von Kevin J. Soo Hoo an der Stanford University [Hoo_00] und (unabhängig von Hoo) Huaqiang Wei an der University of Idaho zurückgeht [WeFr_01], auf Browns ROI-Kennzahl. Darin stellen die Autoren eine Risk-Management-basierte Kosten-Nutzen-Berechnung für Sicherheitsinvestitionen vor. Wei gibt ein Rechenbeispiel für ein Intrusion-Detection-System, Hoo berechnet die Einsparungen für ein ganzes Bündel von Sicherheitsmaßnahmen. Allgemein bekannt wurde das ROSI-Konzept im Jahr 2002 durch eine Veröffentlichung von Scott Berinato im CIO Magazin [Beri_02].

Der Kern des ROSI-Berechnungsmodells ist einfach: Jede wirksame Sicherheitsinvestition (SI) reduziert entweder die Eintrittswahrscheinlichkeit (P) oder die Höhe eines bestimmten Schadens (L). Damit sinkt der erwartete Schaden, die Annual Loss Expectancy (ALE). Der »Gewinn« einer Sicherheitsmaßnahme ergibt sich damit aus der Verringerung dieses Erwartungswerts minus den Gesamtkosten der Maßnahme (TCOSI) und die Kennzahl ROSISI als Quotient aus Gewinn und Kosten [Enisa_12]:

2.2.5Grenzen des ROSI-Ansatzes

Eine grundsätzliche Schwierigkeit ist zunächst einmal, dass der »Gewinn« einer Sicherheitsinvestition selten in eine messbare