Benutzerspezifische Werkzeuge

IT-Sicherheit

Der Einsatz technischer Sicherheitsmechanismen ermöglicht es, das erforderliche Vertrauen in Kommunikations- und Transaktionspartner sowie Infrastrukturbetreiber erheblich zu reduzieren. IT-Sicherheit ist eine notwendige Voraussetzung für die betriebliche Nutzung von Informationssystemen und für eine Informationelle Selbstbestimmung. Die tatsächliche Relevanz von IT-Sicherheit wird oft erst durch deren Fehlen erkannt.

Aspekte der IT-Sicherheit

IT-Sicherheit ist kein statisches, sondern ein dynamisches Betrachtungsobjekt, das der technischen Entwicklung folgt. Zu Zeiten weniger Großrechner, die ausschließlich von Experten bedient wurden, spielte IT-Sicherheit kaum eine Rolle und war auf den physikalischen Schutz des Zugangs zur Anlage fokussiert. Mit steigendem Grad der elektronischen Repräsentation, Vernetzung und Steuerung realer Vorgänge in Informationssystemen erweitert sich der Umfang des Begriffs „IT-Sicherheit“ und beeinflusst damit auch die Art der erforderlichen und verfügbaren Sicherheitsmechanismen.

IT-Sicherheit hat unterschiedliche Aspekte: Es gilt im Konkreten, systematisch zu klären, was wovor zu schützen ist, welche Bedrohungen bestehen und anhand welcher Sicherheitslücken und Schwachstellen Angriffe durchgeführt werden können. Die Festlegung von Sicherheitsanforderungen an ein Informationssystem und die Entscheidung, in welchem Rahmen Schutzmechanismen eingesetzt werden, sind Gegenstand des IT-Sicherheitsmanagements.

Schutzziele und Bedrohungen

Zur Beantwortung der Frage, was zu schützen ist, werden in der IT-Sicherheit Schutzziele definiert. Im Wesentlichen sind dies die drei Schutzziele „Vertraulichkeit“, „Integrität“ und „Verfügbarkeit“: Vertraulichkeit (engl. Confidentiality) hat zum Ziel, Informationen und Ressourcen (z. B. Dokumente, Produktionsdaten, Kommunikation) vor Unbefugten zu verbergen. Vertrauliche Informationen auch vertraulich zu halten, ist für staatliche Institutionen, Unternehmen und auch Privatpersonen ein zentrales Anliegen. Integrität (engl. Integrity) hingegen fokussiert auf die Unversehrtheit von Informationen und Ressourcen und hat zum Ziel, diese vor unerlaubten Veränderungen zu schützen. Verfügbarkeit von Informationen und Ressourcen soll gewährleistet werden, damit jedem Teilnehmer die gewünschte Nutzung eines Informationssystems bei Bedarf auch möglich ist.

Bedrohungen sind ebenfalls sehr vielfältig und immer vorhanden. Als Bedrohungen werden Umstände oder Ereignisse verstanden, die prinzipiell die Schutzziele der IT-Sicherheit verletzen und zu einem Schaden führen können. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nennt als Beispiele für Bedrohungen höhere Gewalt, menschliche Fehlhandlungen, technisches Versagen oder vorsätzliche Handlungen [BSI 08].

Schwachstellen

Schwachstellen in Informationssystemen sind mögliche Ansatzpunkte für Angriffe, die dazu führen, dass angestrebte Schutzziele nicht erreicht werden. Die Ursachen für Schwachstellen sind mannigfaltig, so können fehlerhafte Programmierung, falsches Systemdesign, mangelhafte Beachtung von Sicherheitsanforderungen u.v.m. Grund für Schwachstellen sein. Der Identifikation von Schwachstellen kommt daher in der IT-Sicherheit eine große Bedeutung zu. Entsprechend der verschiedenen Ursachemöglichkeiten existiert hierfür eine Vielzahl an Methoden, die sich anhand ihrer Vorgehensweise in Sammel-, Kreativitäts- und analytische Methoden einteilen lassen (vertiefend siehe z. B. [Bishop und Bishop 05]). Als erste Annäherung lässt sich feststellen, dass der Aufwand der Identifikation mit der erreichbaren Vollständigkeit der Identifikation steigt. Eine vollständige Identifikation aller Schwachstellen eines Informationssystems ist – wenn überhaupt – schwer zu erreichen. Somit ist hundertprozentige Sicherheit meist eine Illusion und es existiert ein inhärentes Restrisiko.

Angriffe

Zu einer Gefährdung kommt es jedoch erst, wenn eine Schwachstelle auf eine Bedrohung trifft und diese für einen Angriff ausgenutzt werden kann. Ein besonderer Fokus bei der Betrachtung von Angriffen liegt auf gezielten Angriffen über vernetzte Informationssysteme. Als wichtigste Vertreter sind hierfür Viren, Würmer, Trojaner, Denial of Service-Attacken und Spoofing zu nennen. Viren sind Programme oder Programmcode, der für seine Verbreitung einen „Wirt“, beispielsweise eine E-Mail, benötigt. Mit der Verbreitung des Wirtes wird auch der Virus zwischen Informationssystemen verbreitet. Die betroffenen Informationssysteme werden dann i.d.R. durch Replikation des Virus „infiziert“ und aufgrund von Schadensfunktionen geschädigt. Auch Würmer enthalten einen solchen Fortpflanzungsmechanismus, sind aber bezüglich ihrer Ausbreitung selbst aktiv. Durch die Ausnutzung von Schwachstellen kopieren sie sich selbst von System zu System. Eine weitere Variante sind so genannte Trojaner, die als nützliche Programme von Anwendern installiert werden und zusätzlich, im Verborgenen, Schadfunktionen ausführen. Trojaner öffnen meist „Hintertüren“ und ermöglichen es so, zusätzlichen Programmcode nachzuladen (universaler Trojaner) oder weitere Trojaner zu erzeugen (transitive Trojaner). Damit kann es möglich sein, bspw. Zugriff auf das gesamte angegriffene System zu erhalten oder die Eingabe von Passwörtern aufzuzeichnen und unbemerkt an den (meist kriminellen) Ursprung zu übermitteln. Mehr auf einen Angriff der Verfügbarkeit ausgerichtet sind so genannte Denial of Service-Attacken. Diese versuchen, einen Dienst zum Erliegen zu bringen, beispielsweise durch eine Überlastung aufgrund unzähliger Aufrufe. Beim Spoofing wird versucht, durch Täuschung eine fremde Identität vorzutäuschen. Dies kann z. B. durch Fälschung der IP-Absenderadresse eines Datenpakets oder durch die Umlenkung einer Seitenanfrage auf eine falsche Internetseite erreicht werden. Solche Angriffe, wie sie insbesondere im Bereich des Online-Banking bekannt wurden, werden auch als Phishing bezeichnet. Darüber hinaus existieren noch weitere Angriffsformen und auch Kombinationen, wie z. B. Trojaner-Würmer.

Schutzmechanismen

Zur Abwehr vieler bekannter Angriffe stehen Schutzmechanismen zur Verfügung, die in ihrem Ansatz entweder versuchen, Vertraulichkeit und Integrität durch eine Transformation der Inhalte (Verschlüsselung) zu erreichen oder einen unberechtigten Zugriff auf Informationen oder Ressourcen zu unterbinden. Grundlage für die Gewährleistung von Vertraulichkeit, Integrität aber auch Zurechenbarkeit von Informationen ist die Kryptographie und die darauf aufbauenden Mechanismen zur Verschlüsselung von Inhalten oder die Erstellung und Verifikation digitaler Signaturen (weiterführende Literatur hierzu ist bspw. [Eckert 07]). Eine zweite Klasse von Schutzmechanismen bilden präventive Programme, wie beispielsweise Antiviren-Programme (engl.: on access scanner), die bekannte Computerviren, Würmer und Trojaner aufspüren und deren Ausführung verhindern. Hierfür werden im Hintergrund meist der gesamte Netzwerkverkehr sowie Lese- und Schreibzugriffe auf bekannte Viren hin überprüft und so eine Infektion eines Informationssystems zu verhindern versucht. Da dies nicht immer erfolgreich und von der Aktualität und Vollständigkeit der zugrunde gelegten Virus-Listen abhängig ist, stehen als zusätzlicher Schutzmechanismus so genannte Malware-Programme (engl.: on demand scanner) zur Verfügung. Diese durchsuchen beispielsweise Festplatten auf Trojaner oder sonstige Schadsoftware und versuchen solche auch zu entfernen.

Trotz dieser und weiterer Schutzmechanismen, können technisch nicht alle Angriffe vollständig abgewehrt werden. Zum einen ist der Schutz einzelner Schutzmechanismen i.d.R. nie vollständig, sondern erhöht, bspw. durch Verschlüsselung von Daten, lediglich die Kosten und den Zeitaufwand für einen Angreifer, eine Schwachstelle auszunutzen. Daher ist für die Beurteilung von Schutzmechanismen das zugrunde gelegte Angreifermodell von besonderer Bedeutung. Geht man von einem omnipotenten oder -präsenten Angreifer aus, der zu allen Informationen Zugang hat, so wird ein Erreichen der Schutzziele unmöglich. Auch bei anderen Angreifermodellen (z. B. „man in the middle“) ist eine vollständige Sicherheit i.d.R. nicht gegeben. Zum anderen existieren Angriffe, für die keine technischen Schutzmechanismen zur Verfügung stehen, wie beispielsweise beim Phishing-Angriffen im Online-Banking. Solche Angriffe erfordern daher darüber hinaus organisatorische Maßnahmen und den „gesunden Menschenverstand“ der Nutzer, um abgewehrt werden zu können. Festzustellen bleibt, dass auch bezüglich der Wirksamkeit technischer Schutzmechanismen ein inhärentes Restrisiko verbleibt.

Management von IT-Sicherheit

IT-Sicherheit ist nicht nur eine Frage der Entdeckung von Schwachstellen und der Abwehr von Angriffen im Einzelfall. Der Schutz von Informationssystemen erfordert meist die Ergreifung unterschiedlicher Maßnahmen, den gleichzeitigen Einsatz mehrerer Schutzmechanismen und eine ständige Anpassung der Maßnahmen an Veränderungen und aktuelle Gegebenheiten. IT-Sicherheit ist demnach kein statischer Zustand sondern ein Prozess. Diesen Prozess zu steuern, ist Aufgabe des IT-Sicherheitsmanagements, das in wertorientierten Unternehmen seine Ziele am IT-Risikomanagement ausrichten sollte.

Grundlage für das IT-Sicherheitsmanagement ist ein Sicherheitskonzept auf strategischer Ebene, das die Sicherheitsziele eines Unternehmens und die relevanten Rahmendbedingungen wie z. B. den Aufbau einer Sicherungsinfrastruktur und eines Risikomanagements, definiert. Darauf aufbauend werden im Idealfall Sicherheitsmaßnahmen unternehmensweit geplant. Einen Ausgangspunkt hierfür bieten bspw. die IT-Grundschutz-Kataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI), die aber i.d.R. unternehmensspezifisch angepasst und ergänzt werden müssen. Daher ist es für das IT-Sicherheitsmanagement unerlässlich, ausgehend von einer Bedrohungs- und Schwachstelleanalyse, für verfügbare Sicherheitsmaßnahmen deren Zielbeitrag zu bewerten, über deren Umsetzung zu entschieden, deren Umsetzung auf der operativen Ebene durchzuführen und bezüglich ihrer Wirkung zu überwachen. Diese Vorgehensweise entspricht dem bei Qualitätsstandards üblichen PDCA-Ansatz (Plan-Do-Check-Act) und kommt beispielsweise auch im weit verbreiteten Standard ISO/IEC 27001 für Informationssicherheits Management Systeme zur Anwendung.

Für ein an Unternehmenszielen ausgerichtetes IT-Sicherheitsmanagement ist die wirtschaftliche Bewertung von Sicherheitsmaßnahmen eine zentrale Herausforderung. Während die Kosten in der Regel gut zu bestimmen sind, ist der „Nutzen“ nur schwierig zu ermitteln. Für die Bewertung der Vorteilhaftigkeit von Investitionen in IT-Sicherheitsmechanismen werden in der Praxis zwar einfache Kennzahlen berechnet (z. B. ROSI (Return on Security Investment)), diese sind jedoch nur begrenzt aussagefähig. Darüber hinaus bestehen weitere Ansätze, die durch ihre Integration in das Risikomanagement und die Berechnung der erreichbaren Risikoreduktion zu besseren Ergebnissen –allerdings bei höherem Aufwand bei der Datenerhebung und Berechnung– kommen (eine Übersicht findet sich z. B. in [Prokein 07]). Allerdings zeigt es sich, dass weniger fehlende Methoden eine wirtschaftliche Bewertung von IT-Sicherheitsmaßnahmen verhindert als vielmehr eine belastbare Datengrundlage.

Die aktuelle Entwicklung zukünftiger Informationssysteme beispielsweise hin zu Service-orientierten Architekturen, fortschreitende Vernetzung zu unternehmensübergreifenden Geschäftsprozessen oder auch Dezentralisierung und Virtualisierung der IT-Infrastruktur werden das Management von IT-Sicherheit vor neue Herausforderungen stellen: Zum einen werden neue Sicherheitskonzepte benötigt, die über eine reine Zugriffskontrolle hinaus auch eine Nutzungskontrolle von Informationssystemen ermöglicht, um beispielsweise steigende Anforderungen aus dem Bereich „Compliance“ gerecht zu werden. Zum anderen sind neue Methoden zur Bewertung von IT-Sicherheitsmaßnahmen erforderlich, die es auch erlauben, die immer komplexer werdenden und sich dynamisch verändernden Beziehungen zwischen Bedrohungen und deren Auswirkungen auf das Unternehmensergebnis zu berücksichtigen. IT-Sicherheit ist und bleibt damit ein „Schlüssel“ für die Zukunft der Informationsgesellschaft und dürfte –sowohl in Theorie als auch in der Praxis– weiter an Bedeutung gewinnen.

Literatur

Bishop , M. A.; Bishop, M.: Introduction to Computer Security, Addison-Wesley Longman, 2005.

BSI - Bundesamt für Sicherheit in der Informationstechnik: IT-Grundschutz, https://www.bsi.bund.de/DE/Themen/ITGrundschutz/itgrundschutz_node.html (Abgerufen am 08.09.2011).

Eckert, C.: IT-Sicherheit: Konzepte - Verfahren – Protokolle, 5. Auflage, Oldenbourg, 2007.

Müller, G.; Rannenberg, K.: Multilateral Security in Communications, Addison-Wesley, 1999.

Prokein, O.: IT-Risikomanagement: Identifikation, Quantifizierung und wirtschaftliche Steuerung, Deutscher Universitätsverlag, 2008.

 

Autor


 

Dr. Stefan Sackmann, Universität Freiburg, Institut für Informatik und Gesellschaft, Friedrichstr. 50, 79098 Freiburg i.Br.

Autoreninfo


Zuletzt bearbeitet: 26.09.2014 08:48
Letzter Abruf: 19.11.2017 00:31
Artikelaktionen