SlideShare ist ein Scribd-Unternehmen logo
1 von 52
Downloaden Sie, um offline zu lesen
IT-Sicherheit




Glossar
IT-Sicherheit
                          1
Index IT-Sicherheit

Abhörsicherheit                              management method

Angriff                                      Crasher

Anwendungssicherheit                         Datensicherheit

Authentifizierung                            DoS, denial of service

Authentizität                                EAL, evaluation assurance level

Autorisierung                                Flaming

Backdoor                                     Hacker

Bedrohung                                    Heuristik
Broadcaststurm                               Hijacking

Brute-Force-Angriff                          Hoax

BS 7799                                      Identifikation

BSI, Bundesamt für Sicherheit in der Info.   Identität

CC, common criteria                          Informationssicherheit

Compliance                                   Internetsicherheit

Content-Sicherheit                           ISMS, information security management system

Cracker                                      ISO 17799

CRAMM, computer risk analysis and            IT-Sicherheit

                                                                                            2
IT-Sicherheit

ITSEC, information technology    Sicherheitsdienst

security evaluation criteria     Sicherheitsinfrastruktur

Makrovirus                       Sicherheitsmanagement

Malware                          Sicherheitspolitik

Man-in-the-Middle-Angriff        Sicherheitsprotokoll
Netzwerksicherheit               Sicherheitsrichtlinie

Perimeter-Sicherheit             Sicherheitsstufe

Phishing                         Sicherheitsvereinbarung

Phreaking                        Snooping

PnP-Sicherheit                   Spam

Risiko                           Spoofing

Risikoanalyse                    Spyware

Sabotage                         TCSEC, trusted computer security

Schwachstelle                    trap door

Schwachstellenmanagement         Trojaner

Sicherheit                       Virus

Sicherheits-ID                   WLAN-Sicherheit

Sicherheitsarchitektur           Wurm

                                                                    3
IT-Sicherheit

Abhörsicherheit   Unter Abhörsicherheit versteht man ganz allgemein die Sicherheit gegen unberechtigtes
bug proof         Mithören von Dritten bei der Übertragung zwischen Endteilnehmern. Dabei kann es sich
                  sowohl um die drahtlose Übertragung mittels Funktechnik handeln als auch um das Abhören
                  der leitungsgebundenen Übertragung über Kabel oder Lichtwellenleiter. Das Abhören betrifft
                  die Daten- als auch die Sprachkommunikation, wobei letztere durch das Fernmeldegeheimnis
                  geschützt ist.
                  Zur Vermeidung des Abhörens werden verschiedene Techniken eingesetzt. Diese reichen von
                  der Feldstärkemessung über die OTDR-Technik und der Dämpfungsmessung der
                  Übertragungsstrecke bis zur Verschlüsselung der Information, der gängigsten Methode gegen
                  unberechtigtes Abhören.
                  Bei der Mobilkommunikation, bei der die Luftschnittstelle offen ist, werden zu diesem Zweck
                  alle Gespräche individuell verschlüsselt. Als Verschlüsselungsalgorithmus wird ein
                  teilnehmereigener Primzahlen-Algorithmus verwendet, der sich auf der SIM-Karte befindet,
                  aber nicht ausgelesen werden kann.


Angriff           Angriffe sind unerlaubte und nichtautorisierte Aktivitäten zum Schaden von Ressourcen,
attack            Dateien und Programmen. Man unterscheidet zwischen passiven und aktiven Angriffen.
                  Passive Angriffe bedrohen die Vertraulichkeit der Kommunikation, beeinflussen aber nicht die
                  Kommunikation oder den Nachrichteninhalt. Sie zielen ausschließlich auf die unerlaubte
                  Informationsbeschaffung. Die Abhörsicherheit kann durch diverse Verfahren unterlaufen
                  werden. Eines der bekanntesten ist Tempest, bei dem die elektromagnetische Strahlung von
                  Bildschirmen, Computerboards und Datenkabel empfangen und ausgewertet wird. Ein großes
                  Angriffspotential bieten alle Datenkabel, Telefonleitungen, Lichtwellenleiter und vor allem die
                  Funktechnik, die besonders gefährdet ist. Ist es bei Datenkabeln die elektromagnetische
                                                                                                                    4
IT-Sicherheit

                       Strahlung, die abgehört werden kann, so besteht bei Lichtwellenleitern die Möglichkeit diese
                       stark zu krümmen, bis die Moden das Kernglas verlassen und die optischen Signale austreten.
                       Bei den aktiven Angriffen werden die Nachrichten, die Komponenten des
                       Kommunikationssystems oder die Kommunikation verfälscht. Es kann sich dabei um Angriffe
                       kann auf Netze, um diese funktional zu stören, wie beispielsweise eine DoS-Attacke, um
                       Angriffe auf den Zugang zu Systemen oder um die Entschlüsselung verschlüsselter Daten und
                       Nachrichten. Ein aktiver Angreifer kann durch Einfügen, Löschen oder Modifizieren von Inhalten
                       bestimmte Reaktionen des Empfängers auslösen und dessen Verhaltensweisen steuern. Zu
                       diesen aktiven Angriffen gehören das Übermitteln von Viren, Würmern und Trojanern.

Anwendungssicherheit   Der Schutz der Anwendungsebene ist ein wesentlicher Aspekt der IT-Sicherheit, da die
application security   Angriffe über Web-Applikationen erfolgen und nicht unmittelbar erkennbar sind. Die Angriffe
                       reichen von Datendiebstahl über Wirtschaftsspionage und Datenmissbrauch bis hin zu
                       Vandalismus. So können auf dieser Ebene Dateien mit unternehmenskritischen Informationen
                       und schützenswerten Zugriffsberechtigungen entnommen oder E-Commerce bzw. M-Commerce
                       auf fremden Accounts missbräuchlich ausgeführt werden.
                       Application Security dient dem präventiven Schutz und kann durch Erkennen von IT-Risiken in
                       die Applikationsebene implementiert werden. Bei der Anwendungssicherheit wird der Inhalt
                       der Datenpakete überprüft und nicht der Header.
                       Ansatzpunkte liegen in der genutzten Software, in einer möglichen Authentifizierung bei der
                       Anwendung oder durch geeignete Verschlüsselungsmaßnahmen. So kann man beispielsweise
                       Angriffe, die gleichartig ablaufen wie das Cross Site Scripting (XSS), durch Einbau
                       entsprechender Codes abwehren.


                                                                                                                        5
IT-Sicherheit

Authentifizierung   Unter der Authentifizierung versteht man die Aufgaben- und Benutzer-abhängige Zugangs-
authentication      und/oder Zugriffsberechtigung. Die Authentifizierung hat den Zweck Systemfunktionen vor
                    Missbrauch zu schützen. In der Kommunikation stellt die Authentifizierung sicher, dass der
                    Kommunikationspartner auch derjenige ist, für den er sich ausgibt.
                    Bei der Authentifizierung wird zwischen einseitiger und gegenseitiger Authentifizierung
                    unterschieden. In der Praxis ist meistens die einseitige Authentifizierung üblich, wobei
                    beispielsweise beim Login der Benutzer sein Passwort eingibt und damit nachweist, dass er
                    wirklich der angegebene Benutzer ist. Als Sicherheitsdienst für die einseitige Identifikation
                    dient der Empfängernachweis durch den die Benutzer-Identität und damit auch der
                    Benutzungsberechtigung gegenüber dem System nachgewiesen werden. Dazu dienen
                    hauptsächlich Passwörter, Passwortverfahren, persönliche ID-Nummern, kryptografische
                    Techniken sowie Magnet- oder Chip-Ausweiskarten. Eine strenge Authentifizierung kann mit
                    der Vergabe von Einmalpasswörtern (OTP) und OTP-Token erfolgen.
                    Darüber hinaus gibt es Authentisierungssysteme die mit biometrischen Daten arbeiten und
                    Mehrfaktorensysteme, die auf so genannte USB-Token setzen.
                    Sicherer als die einseitige Authentifizierung ist die gegenseitige, bei der alle
                    Kommunikationspartner ihre Identität beweisen müssen, bevor untereinander vertrauliche
                    Daten ausgetauscht werden. So sollte beispielsweise bei Geldautomaten dieser vor Eingabe
                    der PIN-Nummer beweisen, dass es sich bei dem POS-Terminal um ein echtes Geldterminal
                    handelt und nicht um eine Attrappe.


Authentizität       Authentizität ist die Echtheit, Zuverlässigkeit und Glaubwürdigkeit einer Mitteilung. Nach
authenticity        heutiger Rechtsauffassung ist die Authentizität nur dann sichergestellt, wenn die Mitteilung,
                                                                                                                    6
IT-Sicherheit

                beispielsweise das Schriftstück, mit Original-Unterschrift versehen ist und zwar von
                autorisierten Personen, die die schriftliche Willenserklärung abgeben dürfen. In einigen Fällen
                schreibt das Gesetz zur Bestimmung der Authentizität notarielle Beglaubigung, Beurteilung
                oder Beurkundung vor.
                Bezogen auf die Informationstechnik geht es bei der Authentizität um die Verbindlichkeit von
                Daten, Dokumenten, Informationen oder Nachrichten, die einer bestimmten
                Datenendeinrichtung oder einem Sender sicher zugeordnet werden können. Durch die
                Authentizität muss sichergestellt werden, dass die Herkunft solcher Information zweifelsfrei
                nachgewiesen werden kann. Eine Möglichkeit für den Nachweis ist die digitale Signatur (DSig).

Autorisierung   Die Autorisierung ist eine Berechtigung, eine explizite Zulassung, die sich auf einen Benutzer
authorization   bezieht. Sie definiert, wer was in einem Netz was tun oder welche System-Ressourcen nutzen
                darf. Bei der Autorisierung werden dem Nutzer Rechte zugewiesen. Sie berechtigen den
                Benutzer eine bestimmte Aktion auszuüben. Um einen wirksamen Schutz zu erreiche, sollten
                bei der Rechtevergabe der Nutzer nur für die Ressourcen autorisiert werden, die er unbedingt
                benötigt.
                Eine Autorisierung setzt eine Prüfung der ausführende Person oder Kommunikationseinrichtung
                voraus. Erst nach der Ermächtigung kann die gewünschte Aktion oder Transaktion ausgeführt
                werden. So wird beispielsweise eine Transaktion mittels einer Kreditkarte zuerst durch den
                Kreditkartenherausgeber autorisiert, nach dem die Kartendaten überprüft wurden.


Backdoor        Backdoors sind unberechtigte Zugriffe auf Rechner und deren Datenbestände. Wie der Name
                sagt, erfolgt der unberechtigte Zugriff durch die Hintertür. Der Angreifer erlangt über ein
                verstecktes, ständig laufendes Programm häufig uneingeschränkte Zugriffsrechte. Im
                                                                                                                  7
IT-Sicherheit

            Gegensatz zu Trojanern ermöglichen Backdoors einen direkten Zugriff auf den betroffenen
            Rechner, spionieren interessante und persönliche Daten aus und ermöglichen die Manipulation
            von Hard- und Software.
            Backdoor werden häufig dazu benutzt um Viren, Würmer oder Trojaner auf dem angegriffenen
            Rechner zu installieren oder diesen für unbefugte Operationen wie DDoS-Attacken zu
            benutzen.


Bedrohung   Ganz allgemein versteht man unter Bedrohung eine potentielle Gefahr, die durch eine
threat      Schwachstelle ausgelöst wird. Es kann sich dabei um ein Ereignis handeln, das Schaden
            verursacht, um einen Angriff auf ein System, eine Übertragungstrecke oder auf den
            Informationsinhalt einer Nachricht, um Spionage oder Sabotage oder auch um Gefahren, die
            unbeabsichtigt oder durch natürliche Ereignisse wie Stromausfall, absichtlich oder vorsätzlich
            von Mitarbeitern ausgehen. Bedrohung kann von der Technik selbst ausgehen, durch
            Fehlbedienungen oder Gewaltanwendung.
            In der Informations- und Kommunikationstechnik kann sich die Bedrohung auf die
            Verfügbarkeit von Systemen und Ressourcen beziehen oder ebenso auf die Integrität und
            Vertraulichkeit von Nachrichten. Das Potential von Bedrohungen ist unermesslich, da es sich
            gleichermaßen auf Systeme und Übertragungstechniken, auf Programme und Anwendungen
            beziehen kann. Es gibt die aktive Bedrohung bei der Informationen oder der Systemstatus
            verändert werden, oder die passive Bedrohung, deren Fokus sich auf das Ausspähen von
            Informationen bezieht.
            Mit der Bedrohungsanalyse werden alle möglichen Bedrohungsszenarien eines
            Kommunikations- oder Informationssystems erkannt, analysiert und dokumentiert. Sie


                                                                                                             8
IT-Sicherheit

                      bewertet die Wahrscheinlichkeit eines Angriffs und den möglichen, durch Angreifer
                      entstehenden Schaden. Die Bedrohungsanalyse ist Teil der Risikoanalyse und dem
                      Risikomanagement.


Broadcaststurm        Broadcaststürme entstehen dann, wenn in einer Netzkonfiguration viele Stationen gleichzeitig
broadcast storm       eine Antwort an die sendende Station senden. In der Regel hat die sendende Station einen
                      Broadcast gesendet, der gleichzeitig von vielen Stationen beantwortet wird, was mit Re-
                      Broadcasten bezeichnet werden kann. Da das Re-Broadcasten einer gewissen
                      Wahrscheinlichkeit unterliegt, hängt die Anzahl der beantworteten Broadcast von dieser ab.
                      Ist die Wahrscheinlichkeit gering, bekommen einige Knoten im Netzwerk keine Nachricht, ist
                      sie dagegen hoch, verhält sich das Antwortverhalten wie beim Flooding.
                      In der Regel handelt es sich bei Broadcaststürmen um Probleme in der Redundanz, der
                      Konkurrenzsituation und/oder von Kollisionen. So können beispielsweise topologische
                      Schleifen im Netzwerk Verursacher von Broadcaststürmen sein.
                      Broadcaststürme können einen erheblichen Schaden anrichten, da sie hinlänglich
                      Netzwerkressourcen binden und dadurch den eigentlichen Datenverkehr beeinträchtigen.


Brute-Force-Angriff   Ein Brute-Force-Angriff stellt einen gewaltsamen Angriff auf einen kryptografischen
brute force attack    Algorithmus dar. Das Verfahren probiert systematisch alle möglichen Kombinationen durch, um
                      den Krypto-Algorithmus zu knacken.
                      Brute-Force-Angriffe können ebenso auf verschlüsselte Dateien, Nachrichten und
                      Informationen oder auch auf Passwörter angesetzt werden.
                      Damit Brute-Force-Angriffe möglichst zeitintensiv sind, setzen die meisten
                      Verschlüsselungssysteme sehr lange Schlüssel ein. Bei einem 32-Bit-Schlüssel wären es vier
                                                                                                                     9
IT-Sicherheit

          Milliarden Möglichkeiten, die die heutigen Personal Computer in Minuten durchprobiert hätten.
          Entsprechend länger dauert die Ermittlung eines 48-Bit-Schlüssels oder gar eines 64-Bit-
          Schlüssels, der nur in mehreren tausend Jahren zu knacken wäre.


BS 7799   Der British Standard BS 7799 von 1995 führt die offizielle Bezeichnung „Code of Practise for
          Information Security Management“ und bildet die Prüfungsgrundlage für die Sicherheit von IT-
          Systemen. Der britische Standard bildet eine international anerkannte Norm für die Bewertung
          der Sicherheit von IT-Umgebungen. Aus diesem Standard ist der internationale Standard ISO
          17799 hervorgegangen, der als Referenzdokument für die Erstellung eines
          Informationssicherheits-Managementsystems (ISMS) dient. Das Ziel dieser Norm ist die
          Einführung eines Prozessansatzes, mit dem ein organisationsbezogenes ISMS entwickelt,
          umgesetzt, überwacht und verbessert werden kann.
          Bei den Zertifizierungen nach BS 7799 steht das gesamte IT-System auf dem Prüfstand und
          wird auf vorhandenes Risikopotenzial hin untersucht; und nicht einzelne Anwendungen,
          Subsysteme oder Dateien. Der Schutz sensibler Daten und wichtiger Geschäftsprozesse
          stehen im Vordergrund.
          Wichtige Aspekte des Standards sind die Definition, Spezifikation und Implementierung eines
          Informationssicherheits-Managementsystems (ISMS), die Entwicklung organisationsbezogener
          Normen und Praktiken hinsichtlich der Informationssicherheit sowie die Überwachung der
          Einhaltung von Vereinbarungen an die Informationssicherheit. Der Standard besteht aus zehn
          Kapiteln, die die Grundlagen für den praktischen Einsatz bilden:
          Security Policy, Security Organization, Asset Classification and Control, Personal Security,
          Physical and Environmental Security, Computer and Network Management, System Access
          Control, System Development and Maintenance, Business Continuity and Disaster Recovery
                                                                                                          10
IT-Sicherheit

                                                            Planning und Compliance.
                                                            ISO 17799, das das
                                                            Management von
                                                            Informationssicherheit
                                                            beschreibt, schafft die
                                                            Voraussetzungen für die
                                                            Zertifizierung eines ISMS-
                                                            Systems.
                                                            Der Standard BS 7799 besteht
                                                            aus zwei Teilen:
                                                            Teil 1: Leitfaden zum
                                                            Management von
                                                            Informationssicherheit,
                                                            Teil 2 von 1999: Spezifikation
                                                            für Managementsysteme der
                                                            Informationssicherheit.
Sicherheitskonzept
                                                            Im Jahre 2002 wurde der zweite
Teil an internationale Management-Standards und die OECD-Richtlinien angepasst. Damit
können Unternehmen einen Sicherheitsprozess etablieren, der den Sicherheitswert
systematisch auf einem zu definierenden Niveau verbessert.
Das von der ISO im Herbst 2005 herausgegebene Regelwerk ISO 2700x beinhaltet in der ISO
27001 die Aspekte von BS 7799 und löst dieses ab.
http://www.thewindow.to/bs7799/index.htm


                                                                                             11
IT-Sicherheit

BSI, Bundesamt für    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde 1991 nach Inkrafttreten
Sicherheit in der     des BSI-Errichtungsgesetzes gegründet. Der Aufgabenbereich des BSI liegt in der Entwicklung
Informationstechnik   und Förderung von Technologien für sichere Netze für die Informationstechnik.
                      Schwerpunkte der BSI-Aktivitäten sind der Schutz gegen Computer-Viren, die elektronische
                      Signatur, die Internetsicherheit, der IT-Grundschutz, die Überprüfung von
                      Sicherheitsarchitekturen und das E-Government. Verschiedenen Arbeitsgruppen befassen sich
                      mit der Fortentwicklung des E-Government, der Bereitstellung von Computer-Dienstleistungen
                      für Bundesbehörden sowie der Sicherheit des Internet. Das BSI erstellt Dokumente für die
                      genannten Schwerpunkte, die über das Internet abgerufen werden können.
                      http://www.bsi.de


CC, common criteria                                                     „Common Criteria for Information
                                                                        Technology Security Evaluation“ (CC) ist
                                                                        die Weiterentwicklung von ITSEC, der
                                                                        TCSEC der USA und der kanadischen
                                                                        CTCPEC. Es handelt sich um weltweit
                                                                        anerkannte Sicherheitsstandards für die
                                                                        Bewertung und Zertifizierung
                                                                        informationstechnischer Systeme.
                                                                        Die Common-Criteria-Zertifizierung wurde
                                                                        1998 von den Regierungsstellen in den
                                                                        USA, Kanada, Deutschland, Großbritannien
                                                                        und Frankreich begründet und bereits von
                      Entwicklung der Common Criteria (CC)              mehreren anderen Ländern übernommen.
                                                                                                                    12
IT-Sicherheit

                                                                               Dabei hat das Bundesamt
                                                                               für Sicherheit in der
                                                                               Informationstechnik (BSI)
                                                                               bei der Entwicklung der
                                                                               Common Criteria eine
                                                                               aktive Rolle übernommen.
                                                                               Die Common Criteria
                                                                             wurden von der NIST
             Sicherheitslevels nach ITSEC und Common Criteria (CC)
                                                                             veröffentlicht und sind
                                                                             international von der ISO
             standardisiert. Der Standard ISO 15408 beschreibt die Bewertung der Sicherheitsfunktionen
             von IT-Produkten.
             In den Common Criterias werden der Geltungsbereich für die sicherheitsrelevante Evaluierung
             beschrieben, darüber hinaus die funktionalen Anforderungen in Zusammenhang mit der
             Bedrohung und den Sicherheitszielen und die Anforderungen an die Vertrauenswürdigkeit.
             Die Klassifizierung der IT-Sicherheitsprüfung im Rahmen der Common Criteria erfolgt in sieben
             so genannten EAL-Stufen, die auch als Schutzprofile bezeichnet werden. Diese reichen von
             EAL1 für unzureichendes Vertrauen bis hin zu EAL7 für den formal verifizierten Entwurf und
             Test des IT-Equipments.
             http://www.bsi.bund.de/cc/


Compliance   Der Begriff Compliance umschreibt ein regelkonformes Verhalten eines Unternehmens in
             Bezug auf die gesetzlichen und regulativen Bestimmungen. Die Compliance soll sicherstellen,
             dass die unternehmerischen Risiken erkannt, bewertet und durch die Implementierung
                                                                                                             13
IT-Sicherheit

                     technischer Lösungen erfüllt werden.
                     Die Rechtskonformität betrifft in gleichem Maße die handelsrechtliche und steuerrechtliche
                     Dokumentation von Vorgängen, aber ebenso sicherheitsrelevante Lösungen der elektronischen
                     Kommunikation und vor allem der Archivierung. Einschlägige Richtlinien für
                     sicherheitstechnische Konformität finden sich in dem British Standard BS 7799, dem IT-
                     Grundschutzhandbuch des deutschen Bundesamtes für Sicherheit in der Informationstechnik
                     (BSI GsHb), in den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen
                     (GDPdU) und in den Grundsätzen für ordnungsgemäße DV-gestützte Buchführungssysteme
                     (GoBS).
                     An weiteren Richtlinien und Gesetzen, die unternehmensspezifische Aspekte berücksichtigen,
                     sind Basel II zu nennen, in denen die Eigenkapitalvorschriften festgelegt sind, die
                     International Financial Reporting Standards (IFRS) für die Rechnungslegungen, das Gesetz zur
                     Kontrolle und Transparenz im Unternehmensbereich (KonTraG) mit der die Corporate
                     Governance in deutschen Unternehmen verbessert werden soll und den Sarbanes-Oxley-Act,
                     der bei international tätigen Unternehmen die Bilanztransparenz erhöht.


Content-Sicherheit   Die Content-Security befasst sich mit dem Schutz der Informationen vor allen bekannten
content security     Viren, Würmern und Trojanern, sowie mit der Erkennung von neuen Gefahren und die
                     Verhinderung von Spams. Zur Content-Security gehören Sicherheitslösungen für die Abwehr
                     von Hackerangriffen, die über Sicherheitslücken in Netzwerken und Anwendungen Schaden
                     anrichten.
                     Bei der Content-Security werden die Daten hinsichtlich ihrer Integrität geprüft; des Weiteren
                     wird geprüft ob sie verschlüsselt gesendet, empfangen und genutzt werden dürfen. Diese
                     Sicherheitsprüfungen erfolgen nach einem festgelegten Regelwerk, den Policies, mit dem
                                                                                                                     14
IT-Sicherheit

                       organisatorische und personenspezifische Kenndaten überprüft werden.
                       Die Maßnahmen für die Content-Security reichen von Anti-Virus-Programmen mit denen der
                       Web-Verkehr und alle E-Mails gescannt werden, über die Abwehr von Hackerangriffen bis hin
                       zu nachgeschalteten Anti-Spam-Filtern, Web-Filtern und E-Mail-Filtern. Wobei die Web-
                       Filterung unerwünschte Webseiten ausfiltert und die E-Mail-Filterung die E-Mails
                       inhaltsabhängig nach Text- und Anhängen durchsucht und entsprechend ausfiltert.


Cracker                Ein Cracker ist eine Person, die unberechtigt in ein Computersystem eindringt. Ziel der Cracker
                       - der Begriff wird oft synonym mit Hacker verwendet - ist es, die Sicherheitssysteme zu
                       knacken und die gewonnenen vertraulichen Daten nicht zum wirtschaftlichen oder sozialen
                       Nachteil für das betroffene Unternehmen oder die betroffene Institution auszunutzen.
                       Cracker verursachen häufig Schäden an den Systemen, im Gegensatz zu Hackern, die meistens
                       nur ihre spezifische Visitenkarte hinterlassen.
                       Im deutschen Sprachgebrauch versteht man unter einem Cracker eine Person die den
                       Kopierschutz von Systemen knackt.


CRAMM, computer risk   CRAMM ist ein bereits 1987 vorgestelltes Software-Paket für das wissensbasierte
analysis and           Risikomanagement, das dem britischen Sicherheitsstandard BS 7799 entspricht und nach ISO
management method      17799 zertifiziert ist.
                       CRAMM basiert auf einer toolgestützten Struktur mit der Geschäftsprozesse modelliert und
                       Schwachstellen in IT- und Kommunikationssystemen bewertet werden können. Darüber hinaus
                       kann CRAMM Sicherheitsvorschläge unterbreiten, Notversorgungsmaßnahmen planen, ISMS
                       generieren und zu schützende Objekte identifizieren. Mit dem Ergebnis, das als Report
                       ausgegeben werden kann, kann das Management Schwachstellen und Risiken in den IT-
                                                                                                                         15
IT-Sicherheit

                  gestützten Geschäftsprozessen, in Software und Hardware, Netzwerken, Personal, Gebäude
                  u.a. erfassen, bewerten und beseitigen.


Crasher           Die Begriffe Hacker, Cracker und Crasher haben unterschiedliche Bedeutung. Bei einem
                  Crasher handelt es sich um jemanden, der Vandalismus in Computersystemen ausübt, diese
                  zum Absturz bringt und vorsätzlich Schaden anrichtet.


Datensicherheit   Unter Datensicherheit sind gesetzliche Regelungen und technische Maßnahmen zu verstehen,
data security     durch die die unberechtigte Speicherung, Verarbeitung und Weitergabe schutzwürdiger Daten
                  verhindert werden soll. Ziel ist es, die Persönlichkeitsrechte des Menschen vor den Folgen der
                  Erfassung seiner Individualdaten bei der manuellen und automatischen Datenverarbeitung zu
                  schützen. Innerhalb eines Betriebs gehören dazu personelle, organisatorische und
                  revisionstechnische Regelungen, außerdem geräte- und programmtechnische
                  Schutzmechanismen.
                  Datenschutz, Datenintegrität und Datensicherung bilden die verlässliche
                  Informationsverarbeitung.
                  In Deutschland ist der Datenschutz durch das „Gesetz zum Schutz vor Missbrauch
                  personenbezogener Daten bei der Datenverarbeitung“ vom 27.1.1977 im
                  Bundesdatenschutzgesetz (BDSG) verankert. Gewerbliche oder staatliche Computeranwender
                  mit schutzbedürftigen Daten müssen Datenschutzbeauftragte einsetzen.
                  Darüber hinaus gibt es in Deutschland das Bundesgesetz über den Datenschutzgesetz vom
                  19.06.1992. Es lautet: „Wer personenbezogene Daten für sich selbst oder im Auftrag für
                  andere elektronisch bearbeitet, muss durch geeignete Maßnahmen den Verlust und den
                  Missbrauch dieser Daten verhindern“.
                                                                                                                   16
IT-Sicherheit

DoS, denial of service   Denial of Service (DoS) sind Attacken im Internet zur Beeinträchtigung von Webservices, die
DoS-Attacke              damit außer Betrieb gesetzt werden. Diese Angriffe können durch Überlastung von Servern
                         ausgelöst werden, so beispielsweise mittels der Bombardierung eines Mail-Servers mit einer
                         so großen Anzahl von Mails, dass dieser seine Funktion wegen Überlast nicht mehr ausüben
                         kann, oder durch die Überflutung eines Netzwerks mit Datenpaketen.
                         DoS-Attacken zielen in der Regel nicht auf den Zugang zum Netzwerk, System oder zu den
                         Datenbeständen ab, sondern haben das Ziel einen Dienst einzuschränken, zu blockieren oder
                         unbenutzbar zu machen. Dazu werden die zur Verfügung stehenden Programme oder
                         Netzwerk-Ressourcen außerordentlich überbelastet.
                         Ein DoS-Angriff kann durch IP-Spoofing vorbereitet werden. Der Angreifer nutzt dazu eine
                         autorisierte IP-Adresse und gelangt so in das System oder das Netzwerk, um dann seine DoS-
                         Attacke auszuführen.
                         Neben dem Mail-Bombing, gibt es noch das SYN-Flooding, das Ping-Flooding und die DDoS-
                         Attacken.


EAL, evaluation                                                                       Die Evaluation Assurance Level
assurance level                                                                       (EAL) kennzeichnen die
                                                                                      Vertrauenswürdigkeit in eine
                                                                                      Sicherheitsleistung. Im
                                                                                      Rahmen der Common Criteria
                                                                                      (CC) werden sie für die
                                                                                      Bestimmung der
                                                                                      Sicherheitsprüfungen
                         Sicherheitslevels nach ITSEC und Common Criteria (CC)        verwendet.
                                                                                                                       17
IT-Sicherheit

          Es gibt sieben EAL-Stufen, die mit den Ziffern 1 bis 7 gekennzeichnet sind und mit steigender
          Ziffer einen höheren Sicherheitsstandard repräsentieren. So bietet die EAL-Stufe EAL1 einen
          einfachen Funktionalitätstest, der ein unzureichendes Vertrauen in die IT-Sicherheitsprüfungen
          darstellt; EAL7 bietet als höchster Sicherheitstandard eine formal logische Verifizierung.
          Anhand der EAL-Stufen ist eine Vergleichbarkeit der Sicherheitsfunktionalitäten von
          Programmen und Systemen gegeben. Allerdings sind bei der Bewertung der
          Sicherheitsleistungen die Schwachstellen, über die Eindringlinge in das oder Attacken auf das
          System ausgeführt werden können, zu analysieren.

Flaming   Flaming ist ein Internet-Jargon für eine bösartige, oft persönliche oder gar beleidigende
          Angriffe auf den Verfasser eines Artikels in einer Newsgroup, in Diskussionsforen oder auch
          beim Schreiben von E-Mails. Flaming sind verbale Auswüchse, die gegen die Netiquette
          verstoßen und unterbleiben sollten.


Hacker    Unter Hacker versteht man Personen, die sich über öffentliche Netze oder IP-Netze
          unberechtigten Zugang zu anderen Systemen verschaffen und versuchen auf den
          Datenbestand in fremden Systemen zuzugreifen. Der unberechtigte Zugang erfolgt in der
          Regel unter Umgehung der Sicherheitssysteme.
          Das Eindringen kann bei der Datenübertragung, auf den Leitungen, den
          Übertragungskomponenten oder Protokollen stattfinden.
          Als Gegenmaßnahmen gegen Hacker empfehlen sich u.a. das regelmäßige Auswechseln von
          Passwörtern, die Beseitigung von Schwachstellen im System, das Abschalten von nicht
          genutzten Systemdiensten, das Callback als Kommunikationsroutine, die Überwachung von
          Service-Eingängen und der Einsatz von IDS-Systemen.
                                                                                                           18
IT-Sicherheit

Heuristik      Heuristik ist die Lehre von Methoden zum Auffinden neuer Erkenntnisse. Heuristische
heuristics   Verfahren werden beispielsweise beim Aufspüren neuer Viren angewendet und zwar
             vorwiegend in dem Zeitraum, in dem noch kein neues Update für die Virenscanner entwickelt
             wurde. Um zu verhindern, dass in dem Zeitraum in dem die Hersteller die Updates für neue
             Viren entwickeln, der Schaden durch ein neues Virus möglichst gering gehalten wird, werden
             die Schädlinge mittels heuristischer Verfahren abgefangen. Hierbei suchen die Virenscanner
             nach verdächtigen Codes, der beispielsweise die Festplatte formatiert oder unerwartete
             Online-Verbindungen aufbaut. Das Erkennen solcher Phänomene wird vom Virenscanner
             angezeigt.
Hijacking
             Das englische Wort Hijacking steht für Entführung. Es wird in IP-Netzen für Angreifer benutzt,
             in denen der Angreifer eine Domain oder eine aktive IP-Sitzung übernimmt. Der Angreifer
             schlüpft dabei nach der Autorisierung des Nutzers in dessen Rolle und übernimmt die IP-
             Verbindung. Beim UDP-Prokoll ist das Vorgehen besonders einfach, da es nicht
             verbindungsorientiert arbeitet. Anders ist es beim TCP-Protokoll, bei dem der Angreifer die
             Sequenznummer erraten muss.
             Ziel des Hijacking ist es, sich fremde Informationen und Datenbestände anzueignen. Daher
             kann das Hijacking auf den Content ausgerichtet sein, dann handelt es sich um Content-
             Hijacking, aber auch auf Domains, man spricht dann von Domain-Hijacking. Beim Content-
             Hijacking geht es um fremde Inhalte, an denen der Angreifer interessiert ist und die er sich
             aneignen möchte. Ein solcher Content-Angriff auf eine Domain kann beispielsweise dazu
             dienen den PageRank von der Website, von der der Content entnommen wurde, zu
             verschlechtern und gleichzeitig den eigenen zu erhöhen.
             Beim Domain-Hijacking geht es um registrierte, aber bereits gelöschte Websites. Diese sind
                                                                                                              19
IT-Sicherheit

                 dann von besonderem Interesse, wenn viele Hyperlinks auf diese Website hinweisen und
                 diese einen höheren PageRank besitzen. Der Angreifer bestückt die besetzte Domain mit
                 eigenen Inhalten und profitiert von dem vorhandenen PageRank.


Hoax             Hoaxes sind elektronische Falschmeldungen, die bewusst durch Dritte über E-Mails verbreitet
                 werden. Die Hoaxes enthalten Text, der in die Irre führen soll wie eine Zeitungsente oder ein
                 Aprilscherz, richten aber keinen direkten Schaden an. Um eine weite Verbreitung zu finden,
                 werden sie als Kettenbrief gehandhabt.
                 Eine Hoax kann alle Themenbereiche tangieren, die Warnung vor einem Virus, Unternehmens-
                 und Börsennachrichten, den Umweltschutz, das Wetter bis hin zu weiteren Warnhinweisen. Sie
                 verbreiten sich extrem schnell und werden von Virenscannern nicht erkannt. In Hoaxes finden
                 sich in der Regel Aufrufe, diese auch an Bekannte und Kollegen weiterzuleiten.


Identifikation   Die Identifikation ist die Überprüfung einer Person oder eines Objektes in Bezug auf
identification   vorgelegte, eindeutig kennzeichnende Merkmale, die Identität. Diese Identität kann anhand
                 von eindeutigen Merkmalen, die denen eines Ausweises entsprechen, überprüft werden. Oder
                 auch mittels Passwörtern und gespeicherten Referenzpasswörtern.
                 Für die Identifizierung gibt es verschiedene Medien und Verfahren; u.a. Chipkarten,
                 Magnetkarten, Smartkarten und biometrische Verfahren. Darüber hinaus werden in der
                 Warenwirtschaft Strichcodes, 2D-Codes und RFID für die eindeutige Warenkennzeichnung
                 eingesetzt.
                 Bei der biometrischen Identifikation werden individuelle, körperspezifische Merkmale wie der
                 Fingerabdruck, das Gesichtsfeld oder die Iris für die Identifikation genutzt.


                                                                                                                 20
IT-Sicherheit

Identität                Eine Identität ist der eindeutige Identifikator für eine Person, Organisation, Ressource oder
identity                 einen Service zusammen mit optionaler zusätzlicher Information (z.B. Berechtigungen,
                         Attributen). Die Identität umfasst eindeutig kennzeichnende Merkmale.
                         Es gibt verschiedene Techniken zur eindeutigen Identitätskennzeichnung wie die ID-Nummer
                         oder der elektronische Schlüssel, der die Identität eines Benutzers sicherstellt, und diverse
                         Verfahren zur Prüfung und Feststellung der Identität.


Informationssicherheit   Informationssicherheit ist der Präventivschutz für Persönlichkeits- und Unternehmens-
information security                                                                       Informationen und ist auf
                                                                                           kritische Geschäftsprozesse
                                                                                           fokussiert. Ein solcher
                                                                                           Schutz bezieht sich
                                                                                           gleichermaßen auf Personen,
                                                                                           Unternehmen, Systeme und
                                                                                           Prozesse und wird durch
                                                                                           Integrität, Verfügbarkeit,
                                                                                           Vertraulichkeit,
                                                                                           Verbindlichkeit,
                                                                                           Nachweisbarkeit und
                                                                                           Authentizität erzielt. Die
                                                                                           Informationssicherheit soll
                                                                                           den Verlust, die
                                                                                           Manipulation, den
                         Schwachstellen in der Informationssicherheit                      unberechtigten Zugriff und
                                                                                                                         21
IT-Sicherheit

                     die Verfälschung von Daten verhindern.
                     Die Basis für die Informationssicherheit kann durch konzeptionelle, organisatorische und
                     operative Maßnahmen erreicht werden. Dazu gehört die Umsetzung von sicherheitsrelevanten
                     Grundsätzen eines Unternehmens, die so genannte Informationssicherheitspolitik. In dieser
                     sind die Ziele des Unternehmens und die Realisierung festgelegt.
                     Ein wichtiger Ansatz für die Sicherheit von Informationssystemen ist der British Standard BS
                     7799 sowie der ISO-Standard 17799 als Implementierungsleitfaden. Diese beiden
                     Sicherheitsstandards werden in der Security-Norm ISO 27001 berücksichtigt.

Internetsicherheit   Als weltweit größter Netzverbund bietet das Internet Angreifern hinreichende Möglichkeiten,
Internet security    sich unberechtigten Zugriff auf Datenbestände und Ressourcen zu verschaffen, Datenbestände
                                                                                             und übertragene
                                                                                            Daten zu
                                                                                            manipulieren und zu
                                                                                            sabotieren. Die
                                                                                            technischen
                                                                                            Möglichkeiten für das
                                                                                            unberechtigte
                                                                                            Eindringen in fremde
                                                                                            Datenbestände
                                                                                            reichen vom Abhören
                                                                                            von Passwörtern,
                                                                                            über das IP-Spoofing,
                     Übertragungsstrecke mit Web-Shield                                     bei dem sich der

                                                                                                                    22
IT-Sicherheit

                      Eindringling einer gefälschten IP-Adresse bedient, über das IP-Hijacking, bei dem der
                      Angreifer eine bestehende IP-Verbindung übernimmt, den Replay-Angriff, bei dem der
                      Angreifer gezielt vorher gesammelte Informationen einsetzt, um dadurch fehlerhafte
                      Transaktionen auszuführen, über das SYN-Flooding, einem gezielten Angriff auf den Server, um
                      diesen durch Überlast von seinen eigentlichen Aufgaben abzulenken, bis hin zum Man-in-the-
                      Middle-Angriff, einer Attacke, bei der die Kommunikation zwischen zwei Partnern abgefangen
                      und manipuliert wird.
                      Wirkungsvolle Maßnahmen gegen diese Bedrohungen der Internetsicherheit bieten so
                      genannte Web-Shields, die als Application Layer Gateway (ALG), auch bekannt als Web
                      Application Firewall (WAF), agieren. Im Gegensatz zu klassischen Firewalls und IDS-Systemen
                      untersuchen die genannten Systeme die Kommunikation auf der Anwendungsebene.


ISMS, information     Ein Informationssicherheits-Managementsystem (ISMS), das nach der Normenreihe ISO 2700x
security management   zertifiziert wird, erfüllt die Voraussetzungen für ein qualifiziertes Sicherheitsmanagement. Ein
system                solches ISMS-System, bestehend aus Richtlinien, Maßnahmen und Tools, beherrscht
                      spezifische IT-Risiken und garantiert die geforderte IT-Sicherheit.
                      Ein ISMS-System mit einem Prozess-orientierten Ansatz bildet die Grundlage für das
                      Unternehmen und dessen Positionierung hinsichtlich der Informationssicherheit. In einem
                      solchen Ansatz sollten die Bedeutung, die Anforderungen und die Ziele der
                      Informationssicherheit festgelegt sein. Des Weiteren sollte die Effektivität des ISMS
                      kontrolliert und das System ständig nachvollziehbar verbessert werden. Bei diesem Prozess-
                      orientierten Ansatz kann jede Aktivität, die Ressourcen nutzt, als Prozess betrachtet werden.
                      Wobei jeder Prozess den Input für den folgenden Prozess bilden kann.
                      Ein ISMS-System muss in allen Hierarchieebenen eines Unternehmens implementiert sein und
                                                                                                                         23
IT-Sicherheit

            von Verantwortlichen betreut werden. In der Implementierung eines solchen Systems spiegelt
            sich die Organisation mit ihren unternehmerischen Anforderungen wider. Die Normenreihe ISO
            2700x behandelt die Thematik ISMS, dabei geht die Norm ISO 27001 auf die
            Zertifizierungsanforderungen ein und ISO 27003 gibt Anleitungen für die Entwicklung und die
            Implementierung eines Information Security Management Systems (ISMS).


ISO 17799   Der im Jahre 2000 verabschiedete internationale Standard ISO 17799 für die IT-Sicherheit ist
            aus dem British Standard BS 7799 hervorgegangen. Der Standard mit dem Titel „Code of
            Practice for Information Security Management“ bietet eine Auswahl an Kontrollmechanismen,
                                                   die auf Methoden und Verfahren basieren, die sich in
                                                   der IT-Sicherheit bewährt haben. In dem Standard
                                                   werden keine konkreten Sicherheitslösungen
                                                   empfohlen; allerdings sollten Unternehmen und
                                                   Organisationen aller Branchen die im Standard
                                                   aufgeführten Richtlinien beachten und umsetzen.
                                                   Die ISO hat mit ISO 17799 ein formelles
                                                   Anerkennungs- und Zertifizierungsverfahren für die
                                                   Einhaltung der Standards eingeführt, wodurch sich die
                                                   allgemeine Qualität des Standards verbessert hat.
                                                   Dieser Standard, der den ersten Teil von BS 7799
                                                   umfasst, ist weltweit akzeptiert. Im Jahre 2005 wurde
                                                   ISO 17799 überarbeitet und in der neuen Fassung
            Vom BS 7799 über die ISO 17799         unter der Normenreihe ISO 2700x als ISO 27002
            zur ISO 27002                          veröffentlicht.
                                                                                                           24
IT-Sicherheit

                ISO 17799 ist eine Sammlung von Empfehlungen, die für die IT-Sicherheit und das Business
                Continuity Management (BCM) angewendet werden. Diese Richtlinien haben sich in der Praxis
                bewährt können in allen Hierarchieebenen von Unternehmen, Institutionen und
                Organisationen eingesetzt werden. Da die Vielfalt der Sicherheitsaspekte von der
                Systemumgebung und der Unternehmensorganisation geprägt ist, ist ISO 17799 ein flexibler
                Standard, der eigene Interpretationen zulässt.


IT-Sicherheit                                                             Die IT-Sicherheit tangiert alle
IT security                                                               technischen Maßnahmen zur
                                                                          Verringerung des
                                                                          Gefährdungspotenzials für IT-
                                                                          Anwendungen und -Systeme.
                                                                          Alle mit dem
                                                                          Gefährdungspotenzial in
                                                                          Zusammenhang stehenden
                                                                          Schutzmaßnahmen, wie die
                                                                          Entwicklung von
                                                                          Sicherheitskonzepten, die
                                                                          Vergabe von
                                                                          Zugriffsberechtigungen und die
                                                                          Implementierung von
                                                                          Sicherheitsstandards, sind
                                                                          Aspekte der IT-Sicherheit. IT-
                Sicherheitskonzept
                                                                          Sicherheit ist die technische
                                                                                                            25
IT-Sicherheit

                      Umsetzung der Sicherheitskonzepte unter wirtschaftlichen Aspekten.
                      Die IT-Sicherheit umfasst alle gefährdeten und daher schützenswerten Einrichtungen, Systeme
                      und Personen. Dazu gehören u.a. Gebäude, Netze, Hardware und Software sowie die an den
                      Systemen Arbeitenden. Ziel der IT-Sicherheit ist es, die Verfügbarkeit von Systemen und
                      Daten sicherzustellen, die Vertraulichkeit zu gewährleisten, damit weder Unbefugte auf
                      Dateien zugreifen können und die Dateien auch bei der Übertragung weiterhin vertraulich
                      bleiben, die Sicherstellung der Authentizität und der Integrität der Daten.
                      Für die physikalische IT-Sicherheit gibt es mehrere nationale und europäische Standards, so
                      die Definition der Brandabschnitte nach DIN 4102 oder die in den EN-1047-Standards
                      spezifizierten Belastungsgrenzen für Daten und Systeme. Darüber hinaus gibt es Richtlinien
                      und Güteklassen für den Einbruchschutz mit der Beschreibung des Mauerwerks.


ITSEC, information                                                         Die Information Technology Security
technology security                                                        Evaluation Criteria (ITSEC) sind
evaluation criteria                                                        europäische Sicherheitsstandards, die
                                                                           der Bewertung und Zertifizierung der
                                                                           Sicherheit von IT-Systemen dienen. Es
                                                                           handelt sich um eine technisch
                                                                           orientierte, produktbezogene
                                                                           Sicherheitsrichtlinie.
                                                                           ITSEC ist aus verschiedenen
                                                                           europäischen Sicherheitsrichtlinien, den
                                                                           UK Confidence Levels, German Criteria,
                      Entwicklung der ITSEC                                French Criteria und dem US Orange
                                                                                                                      26
IT-Sicherheit

              Book TCSEC hervorgegangen.
              Die Kriterien sind in einem Katalog zusammengefasst und sind nur für den europäischen Raum
              gültig.
              Das Vertrauen in die Sicherheitsstufen von ITSEC ist in sogenannte Evolutionsstufen
              gegliedert. Es gibt die Stufen E0, was ein unzureichendes Vertrauen widerspiegelt, bis E6 für
              höchstes Vertrauen. Je höher die Evolutionsstufe, desto fachkundiger sind die Eindringlinge.
              Die Evaluierung beinhaltet die Prüfung und Bewertung der Sicherheitseigenschaften eines IT-
              Produkts nach den festgelegten Sicherheitskriterien.
              Die Weiterentwicklung des ITSEC sind die Common Criteria for Information Technology
              Security Evaluation.
              Die ITSEC, die 1991 von der EU-Kommission verabschiedet wurde und vom Bundesamt für
              Sicherheit in der Informationstechnik (BSI) angewendet wird, ist das europäische Gegenstück
              zur amerikanischen TCSEC. Aus beiden wurden die Common Criteria (CC) entwickelt.


Makrovirus    Makroviren werden im Gegensatz zu normalen Viren in einer Makrosprache erstellt und
macro virus   befallen im Gegensatz zu diesen Dokumente der jeweiligen Host-Anwendung. Da Makros
              wiederkehrende Tastatureingaben und Programmabläufe automatisieren helfen, können
              Computerviren über Makroprogramme erstellt und reproduziert werden.
              Makroviren sind in Dokumenten eingelagert und werden bei Aufruf und Weitergabe der Dateien
              verteilt. Durch diese einfache Verbreitung können Makroviren enorme Schäden verursachen,
              beispielsweise durch Veränderung der Zahlen in einer Tabellenkalkulation.


Malware       Unter den Oberbegriff Malware fallen alle unerwünschten Software-Aktivitäten, die die IT-
              Sicherheit oder die Funktionsfähigkeit von Computern und Systemen beeinträchtigt. Dazu
                                                                                                              27
IT-Sicherheit

                           zählen im Einzelnen Viren, Trojaner und Würmer, Flooding und DoS-Attacken, Spyware,
                           Spams, Hoaxes usw. Bei Malware handelt es sich immer um Aktivitäten, die vom Benutzer
                           nicht erwünscht sind.
                           Die technischen Verfahren mit denen die Malware-Aggressoren ihre Opfer ausspähen sind auf
                           einem hohen technischen Niveau. Gängige Antiviren- und Anti-Malware-Programme sind auf
                           nicht in der Lage die Angriffe zu erkennen oder aufzuspüren. Wenn die Malware-Angriffe ihre
                           Aufgaben erfüllt und Konstruktionspläne, Kontennummern oder andere Informationen
                           ausgespäht haben, verwischen die Programme ihre eigenen Spuren. Häufig kann der
                           entstandene Schaden und das Eindringen erst dann rekonstruiert werden, wenn der
                           Privatmann oder das Unternehmen bereits geschädigt wurde.


Man-in-the-Middle-         Man-in-the-Middle ist ein Angriff auf den Kommunikationskanal zwischen zwei Partnern. Der
Angriff                    Angreifer versucht dabei den Kommunikationskanal unter seine Kontrolle zu bringen, und zwar
man-in-the-middle attack   in der Art und Weise, dass die Kommunikationspartner nicht feststellen können ob sie
                           miteinander oder mit dem Angreifer kommunizieren.
                           Man-in-the-Middle-Angriffe können dann erfolgreich sein, wenn für die Verschlüsselung Public-
                           Key-Verfahren ohne signierte Zertifikate benutzt werden, wie beispielsweise bei HTTPS.
                           Abhilfe gegen Man-in-the-Middle-Angriffe schafft nur eine eindeutige Identifikation der
                           Teilnehmer, ohne dem Angreifer die Identifikation preiszugeben.


Netzwerksicherheit         Die Netzwerksicherheit ist eine Symbiose aus Richtlinien und Vorschriften, aus Produkten und
network security           Diensten. Sie tangiert alle Unternehmensebenen, vom Benutzer über den Administrator bis
                           hin zur Unternehmensführung. Es ist ein Maßnahmenkatalog in Form einer Security Policy, die
                           dafür sorgen muss, dass die Zugriffsberechtigung, Autorisierung, Identifikation und
                                                                                                                           28
IT-Sicherheit

                       Authentifizierung verwaltet werden, dass jede Attacke, jeder unerlaubte Zugriff, jede Art der
                       Sabotage, der Manipulation, des Missbrauchs und der Beeinflussung der Datenbestände und
                       Ressourcen verhindert oder unmittelbar erkannt wird und dass das Einschleusen von Viren,
                       Würmern oder Trojanern, DoS-Attacken oder IP-Spoofing nicht möglich ist.
                       Ausgehend von einem solchen Maßnahmenkatalog können technische Lösungen implementiert
                       werden.
                       An netzwerkumfassenden Konzepten gibt es Network Access Control (NAC) von Cisco und
                       anderen Unternehmen, Network Access Protection (NAP) von Microsoft und Trusted Network
                       Connect (TNC) von der Trusting Computing Group.

Perimeter-Sicherheit   Perimeter-Sicherheit betrifft die Sicherheit am Übergang zwischen dem Unternehmensnetz und
perimeter security     dem Internet. Für die Perimeter-Sicherheit sind bestimmte Richtlinien definiert, die die IT-
                       Technik des Unternehmens gegen das Gefahrenpotential schützen, das durch Viren, Würmer
                       und Hacker verursacht wird. Zu den in den Richtlinien genannten Möglichkeiten gehören
                       Firewalls, Virenscanner und Anti-Viren-Software sowie Web-Filtertechniken.


Phishing               Mit der Wortschöpfung Phishing, das sich aus Passwort und Fishing zusammensetzt, ist
                       ebenso wie das Pharming eine Technik, bei der der Angreifer versucht, die persönliche
                       Identifikations-Nummer (PIN) und die Transaktionsnummer (TAN) von Bankkunden über das
                       Internet abzufragen und damit Finanztransaktionen durchzuführen.
                       Die Angreifer, die Phisher, fragen über gefälschte Bank-Homepages die vertraulichen Daten ab.
                       Zu diesem Zweck wird eine nachgemachte Homepage eines Geldinstituts ins Internet gestellt.
                       Nach dem Zufallsprinzip werden E-Mails mit einem Link auf die gefälschte Hompage versandt.
                       In diesen E-Mails werden Sicherheitsaspekte oder bankrelevante Themen behandelt mit dem
                                                                                                                       29
IT-Sicherheit

                                                                                     Hinweis auf die angebliche
                                                                                     Homepage. Die in die
                                                                                     nachgebildeten Hompages
                                                                                     eingetragenen persönliche
                                                                                     Identifikationsnummern
                                                                                     und Transaktionsnummern
                                                                                     werden ausgefiltert und
                                                                                     stehen den Angreifern
                                                                                     unmittelbar für
                                                                                     unberechtigte
                                                                                     Finanztransaktionen auf
                                                                                     der richtigen Homepage zur
                                                                                     Verfügung.
                                                                                     Da das Phishing wegen
            Beispiel, in der die Postbank auf gefälschte Home-Pages zum Zwecke des   dessen Vorgehensweise
            Phishings hinweist
                                                                                nicht mehr den erhofften
            Erfolg zeitigt, wurde es verfeinert zum Spear-Phishing. Bei dieser Methode werden die Opfer
            ganz gezielt angegangen in dem sich die Phisher als alte Bekannte ausgeben und dazu
            harmlose Informationen aus Social Networks benutzen. Das darüber aufgebaute Vertrauen
            nutzen die Phisher um über Formulare einen Link anzuklicken über den eine Ominöse Software
            geladen wird.


Phreaking   Das Phreaking ist eine ältere Methode zu Umgehung von Telefonkosten, die ursächlich mit den
            Vermittlungstechniken in Telefonnetzen und dort im Besonderen mit der Signalisierung
                                                                                                                  30
IT-Sicherheit

                         zusammenhängt. Die Kreativität der Phreaker, das sind Diejenigen die das Phreaking
                         beherrschen, hat sich nicht nur auf das Nachbilden von Signalisierungssequenzen beschränkt.
                         Phreaker analysieren und modifizieren die Schwachstellen der verschiedenen Einwahltechniken
                         und Bezahlformen, einschließlich der Telefonkarten oder Callingcards, und setzen die
                         Erkenntnisse konsequent zum eigenen kostenlosen Telefonieren ein.
                         Was die Signalisierung betrifft, so arbeiten Fernmeldenetze in den USA, in Kanada, Australien
                         und China mit der älteren C5-Signalisierung, die als Innenband-Signalisierung mit Zweiton-
                         und Mehrtonverfahren im Sprachkanal arbeitet, also keinen unabhängigen Signalisierungskanal
                         benutzt, wie beispielsweise das Signalisierungssystem Nr. 7 (CCS7). Die Steuersignale und -
                         sequenzen der C5-Signalisierung können somit direkt aus dem Sprachkanal ausgefiltert und
                         für eigene Zwecke missbraucht werden. Da die Betreibergesellschaften die Steuersequenzen
                         wegen des Phreaking ändern, arbeiten die Phreaker mit Frequenzscannern, die die Frequenzen
                         automatisch scannen, die Sequenzen aufzeichnen und das Ganze noch in einen Softwaredialer
                         einbringen. Über das Monitoring der Carrier können Phreaker mittels Fangschaltung erfasst
                         werden.
                         Das Phreaking, das besonders bei internationalen Verbindungen interessant ist, ist ein
                         globales Problem. National ist das Phreaking, bedingt durch die verwendete Außenband-
                         Signalisierung schwierig.

PnP-Sicherheit           Plug-and-Play (PnP) ist ein Schnittstellenkonzept für das konfliktfreie Anschließen von
plug and play security   Peripheriegeräten an einen Personal Computer. Das schnelle Erkennen der angeschlossenen
                         Peripheriegeräte bietet aber nicht nur Vorteile, sondern auch diverse Risiken, da durch
                         unberechtigten Zugriff wichtige Daten aus den Personal Computern (PC) kopiert, ebenso aber
                         auch Daten, Viren und Trojaner über die Plug-and-Play-Schnittstelle in das Firmennetz
                                                                                                                         31
IT-Sicherheit

         eingespeist werden können. In diesem Zusammenhang darf die Entwicklung der Mobilspeicher
         wie dem USB-Stick nicht außer Acht gelassen werden. Dieses Risiko wird durch drahtlose
         Schnittstellen wie Wireless-USB noch erhöht, da der Anwender häufig nicht erkennen kann,
         wer mit seinem Computer gerade kommuniziert. Die Betriebssysteme bieten keine Möglichkeit
         der Schnittstellenkontrolle.
         Sicherheitsaspekte von Schnittstellen ist daher ein Thema der Netzwerk- und IT-Sicherheit.
         Bei der Absicherung der Schnittstellen kommt es auf die konsequente Umsetzung der
         Sicherheitsregeln an. Diese Umsetzung kann durch Sicherheitsmodule vorgenommen werden,
         die die Nutzung der PnP-Geräte überwachen. Die Echtzeitüberwachung von Schnittstellen und
         Peripheriegeräten ist ein Punkt bei der Lösung der Schnittstellen-Sicherheitsproblematik, die
         automatische Geräteerkennung und schnelle Freigabe ein weiterer. Die PnP-Geräte, die eine
         Zugangsberechtigung haben, werden zentral oder direkt am Arbeitsplatz über Fernzugriff
         registriert. Die Einstellungen können entweder direkt im Active Directory von Windows oder im
         NetWare Directory Service (NDS) zentral verwaltet werden.


Risiko   Unter Risiko versteht man die Wahrscheinlichkeit für den Eintritt eines Schadensfalles. Ein
risk     solches Schadensereignis kann in der IT-Technik durch bestimmte Schwachstellen in den
         Systemen, Komponenten, Kommunikationsnetzen oder Software auftreten, die zufällig oder
         vorsätzlich ausgenutzt werden. Das bedeutet, dass die Sicherheit der Systeme unmittelbar
         von dem Risiko abhängig ist: Je höher das Risiko, desto geringer ist die vorhandene Sicherheit
         und umgekehrt. Das Risiko beginnt da, wo die Sicherheit aufhört. Je höher die Sicherheit
         veranschlagt wird, desto geringer ist das Risiko.
         Werden die risikobehafteten Schwachstellen durch methodische Verfahren ermittelt, spricht
         man von Risikoanalyse. Bei einer solchen Analyse werden technische und menschliche
                                                                                                          32
IT-Sicherheit

                Schwachstellen erforscht, damit die Häufigkeit und die Länge der Schadensfälle eingeschränkt
                und reduziert werden kann. Die Ergebnisse der Risikoanalyse fließen in das
                Risikomanagement ein.
                Risiken lassen sich klassifizieren nach den Objekten, den Aktivitäten, den Urhebern und der
                Ursache, nach der Häufigkeit und der Schadenshöhe.


Risikoanalyse   Die Risikoanalyse arbeitet mit methodischen Verfahren und beschäftigt sich mit der Erkennung
risk analysis                                                         und Bewertung von Gefahren und
                                                                      Bedrohungen, denen die
                                                                      Informationssysteme ausgesetzt sind.
                                                                      Sie erforscht menschliche und
                                                                      technische Schwachstellen um die
                                                                      Schadensfälle zu analysieren und
                                                                      deren Häufigkeit und Dauer zu
                                                                      reduzieren.
                                                                      Neben der analytischen Bewertung des
                                                                      Risikos und der Abschätzung der
                                                                      Wahrscheinlichkeit zukünftiger
                Faktoren der Risikoanalyse
                                                                      Gefahren, geht es bei der
                Risikoanalyse um die Konsequenzen und die Kosten, die sich aus den Ausfallzeiten der IT-
                Systeme und einem möglichen Datenverlust ergeben.
                Die Ergebnisse der Risikoanalyse gehen unmittelbar in das Risikomanagement ein.



                                                                                                               33
IT-Sicherheit

Sabotage            Im Kontext mit ITWissen.info und den darin behandelten Themenbereichen der
                    Datenkommunikation und der Informationstechnik ist Sabotage als ein vorsätzlicher Eingriff in
                    ein System, Netzwerk oder Programm um dessen Funktion zu beeinträchtigen und den
                    wirtschaftlichen Ablauf zu stören. Sabotage gefährdet die Daten- und Netzwerksicherheit
                    sowie die Informations- und IT-Sicherheit. Sie stellt eine Bedrohung dar und kann sich auch
                    auf die Beschädigung von Einrichtungen oder Systemen beziehen.
                    Im Gegensatz zur Manipulation setzt die Sabotage kriminelle Energie voraus.


Schwachstelle       Der Begriff Vulnerability, zu Deutsch Schwachstelle, wird in der Informationssicherheit in dem
vulnerability       Sinne benutzt, als dass es sich um einen Fehler der Software handelt, der von Hackern
                    genutzt werden kann und ihnen den Zugriff auf Systeme oder Netzwerke ermöglicht. In
                    Zusammenhang mit den Common Vulnerabilities and Exposures (CVE) geht es bei der
                    Vulnerability um die Verletzung der Sicherheitspolitik eines IT-Systems durch einen Angreifer.
                    Das Vulnerability Management (VM) erarbeitet Verfahren und Prozesse um die
                    sicherheitsrelevanten Schachstellen in IT-Systemen zu erkennen und beseitigen.


Schwachstellen-     Das Vulnerability Management (VM) befasst sich mit den sicherheitsrelevanten Schachstellen
management          in IT-Systemen. Mit dem VM-Management sollen Prozesse und Techniken erarbeitet werden,
VM, vulnerability   mit denen zur Steigerung der IT-Sicherheit eine Sicherheitskonfiguration in Unternehmen
management          eingeführt und verwaltet werden kann. Das Vulnerability Management umfasst die
                    Schwachstellenanalyse unter Berücksichtigung der in den Standards BS 7799 resp. ISO 17799
                    detailliert beschriebenen Faktoren Mensch, Maschine, Umgebung und Daten.
                    Darüber hinaus spielt beim VM-Management das Common Vulnerability Scoring System
                    (CVSS), mit dem ein Rating- Index erstellt wird, eine wesentliche Rolle.
                                                                                                                     34
IT-Sicherheit

Sicherheit                 Unter Sicherheit sind alle technischen und organisatorischen Maßnahmen zu verstehen die
security                   Daten schützen. Dieser Schutz wird bei den Bedienenden realisiert, in Systemen und
                           Computern, bei der Übertragung sowie in Diensten und Anwendungen. Unter Berücksichtigung
                           des möglichen Gefährdungspotentials werden Sicherheitsmechanismen implementiert, die das
                           Eindringen in Systeme, das Abhören der Übertragungswege, die Manipulation, die Sabotage
                           und das Löschen von Datensätzen verhindern soll.
                           Zu den personenbezogenen Schutzmechanismen gehören die Autorisierung und
                           Authentifizierung durch Passwörter oder persönlicher Identifikationsnummer (PIN),
                           biometrische Daten oder Signaturen. Die systembezogenen Sicherheitskriterien gehören zur
                           IT-Sicherheit und umfassen technische und organisatorische Maßnahmen. Dazu gehören die
                           Installation eigener Sicherheitsarchitekturen mit Firewalls, das Sicherheitsmanagement und
                           die Schlüsselverwaltung.
                           Kennzeichnend für die übertragungstechnische Sicherheit, die Netzwerksicherheit und die
                           Internetsicherheit, sind die Verschlüsselungsverfahren und die Datenübertragung mit
                           Sicherheitsprotokollen. Anwendungsorientierte Schutzmaßnahmen haben branchenspezifische
                           Eigenschaften, wie beispielsweise bei geschäftlichen Transaktionen, bei denen digitale
                           Signaturen und Transaktionsnummern die Sicherheit verbessern.
                           Unter Sicherheit fallen alle Kriterien, die die Integrität, Verfügbarkeit, Vertraulichkeit,
                           Verbindlichkeit, Betriebssicherheit und Authentizität betreffen.


Sicherheits-ID             Die Sicherheits-ID (SID) dient der eindeutigen Identifizierung eines Benutzer in einem
SID, security identifier   Sicherheitssystem. Sicherheits-IDs können einzelnen Personen oder ganzen Benutzergruppen
                           zugewiesen werden.
                           Bedingt durch die Vielzahl an Benutzernamen ist es möglich dass im Netz viele
                                                                                                                         35
IT-Sicherheit

                         Doppeldeutigkeiten auftreten, die entsprechende Probleme verursachen. Aus diesem Grund
                         wird mit dem Security Identifier (SID) jedem Benutzer eine eindeutige Kennung zugewiesen,
                         die kein anderer Benutzer hat. Mit der SID-Kennung, die von den Betriebssystemen
                         unterstützt werden, werden dem Benutzer in aller Regel auch Rechte zugewiesen und er ist im
                         gesamten Netzwerk unter dieser SID-Kennung identifizierbar. Wird der Benutzername aus dem
                         Netzwerk gelöscht, dann erlischt auch sein Security Identifier.
                         Unter Windows besteht der Security Identifier aus der Revisionsnummer des Betriebssystems,
                         der Identifier Authority, der Domain-ID und der Benutzer-ID.

Sicherheitsarchitektur   Die Sicherheitsarchitektur der ISO bildet den zweiten Teil des OSI-Referenzmodells und ist die
security architecture    Basis für die Integration von Sicherheit in offenen Kommunikationssystemen. Die OSI-
                         Sicherheitsarchitektur beschreibt keine bestimmte Technologie, wie Sicherheit in offenen
                         Systemen erreicht wird, sondern sie befasst sich mit den Sicherheitsaspekten in offenen
                         Kommunikationssystemen und definiert die zugehörige Gedanken- und Begriffswelt sowie
                         Richtlinien und Maßnahmen um vorhandene Standards zu verbessern und neue zu entwickeln.
                         Die OSI-Sicherheitsarchitektur stellt die Beziehungen zwischen den Sicherheitsdiensten und -
                         mechanismen mit den Schichten des OSI-Referenzmodells her. Die verschiedenen
                         Sicherheitsdienste und -mechanismen sind auf allen sieben Schichten des OSI-
                         Referenzmodells angesiedelt; von der Bitübertragungsschicht bis hin zur Anwendungsschicht.


Sicherheitsdienst        Sicherheitsdienste sollen Angriffe abwehren. Es handelt sich dabei um Technologie-
security service         unabhängige Sicherheitsmaßnahmen, die durch ihre Leistungsmerkmale genau definiert sind
                         und in die Schichtenstruktur der Sicherheitsarchitektur eingebunden werden. Die fünf primären
                         Sicherheitsdienste Vertraulichkeit, Integrität, Authentifizierung, Zugriffskontrolle und
                                                                                                                          36
IT-Sicherheit

                                            Unwiderrufbarkeit werden durch
                                            Sicherheitsmechanismen realisiert.
                                            Neben den genannten
                                            Sicherheitsdiensten gibt es weitere, die
                                            detaillierter sind, wie die
                                            Unversehrtheit der Nachricht oder der
                                            Kommunikationsnachweis. Jeder
                                            Sicherheitsdienst basiert auf einem
                                            oder mehreren
                                            Sicherheitsmechanismen.
                                            Ein Sicherheitsdienst ist die
                                            Vertraulichkeit, mit der sichergestellt
                                            wird, dass nur Befugte auf
                                            entsprechende Informationen zugreifen
                                            können. Sie schützt vor passiven
                                            Angriffen und damit vor dem
                                            unbefugten Mitlesen von übertragenen
                                            Nachrichten und gespeicherten
                                            Informationen. Bei den aktiven
                                            Angriffen steht die Veränderung der
                                            Information und die damit
                                            einhergehende Reaktion des
Sicherheitsdienste und deren -mechanismen   Empfängers im Vordergrund. Die
                                            Vertraulichkeit basiert auf den
                                                                                       37
IT-Sicherheit

                           Sicherheitsmechanismen Verschlüsselung und Integrität.
                           Der Sicherheitsdienst Datenintegrität überprüft die Datenunversehrtheit und zeigt an ob
                           Datenströme verändert, manipuliert, modifiziert, gelöscht oder vertauscht wurden.
                           Ein weiterer Sicherheitsdienst ist die Zugriffskontrolle, die durch entsprechende Mechanismen
                                                                                  die Möglichkeiten des unberechtigten
                                                                                  Zugriffs auf Programme und Daten
                                                                                  weitestgehend eingeschränkt. Mit der
                                                                                  Vertraulichkeit wird sichergestellt, dass
                                                                                Informationen nur für Befugte zugänglich
                                                                                sind. Die Authentifikation des
                                                                                Kommunikationspartners und des
                                                                                Ursprungs der Nachrichten, der
                                                                                Empfänger- und Urhebernachweis, sind
                                                                                weitere sicherheitsrelevante Dienste.


Sicherheitsinfrastruktur                                                        Unter einer Public Key Infrastructure (PKI)
PKI, public key                                                                 versteht man eine Umgebung, in der
infrastructure                                                                  Services zur Verschlüsselung und
                                                                                digitalen Signatur auf Basis von Public-
                                                                                Key-Verfahren bereitgestellt werden. Bei
                                                                                dieser Sicherheitsstruktur wird der
                                                                                öffentliche Schlüssel eines
                                                                                Zertifikatnehmers (ZN) mit den
                           Strukturierung der PKI
                                                                                entsprechenden Identifikationsmerkmalen
                                                                                                                              38
IT-Sicherheit

                          durch eine digitale Signatur von einer Zertifizierungsinstanz (CA) autorisiert.
                          Die Instanzen der Sicherheitsinfrastruktur sind dabei für das gesamte Schlüssel-Management
                          zuständig. Der Einsatz von PKI bietet eine vertrauenswürdige Netzwerkumgebung, in der
                          Kommunikation vor unberechtigtem Zugriff durch Verschlüsselung geschützt und die
                          Authentizität des Kommunikationspartners durch die digitale Signatur gewährleistet ist. Die
                          verschiedenen Anwendungen der PKI sind kryptografisch geschützt. Dazu gehören der Schutz
                          von E-Mail-Anwendungen, von Desktopsystemen und von webbasierten Anwendungen, von E-
                          Commerce, sowie die Zugriffskontrollen und die sichere Kommunikation in VPNs.
                          Die PKI nutzt zwei Schlüssel mit einer typischen Länge von 1024 bis 2048 Bit. Einen privaten,
                          den nur der Besitzer und die Zertifizierungsstelle kennen und der auch nie ausgelesen oder
                          verschickt wird, sowie einen öffentlichen Schlüssel, der dem jeweiligen Geschäftspartner
                          bekannt gemacht werden muss.
                          Die PKI-Architektur besteht aus den Instanzen Policy Certification Authority (PCA),
                          Certification Authority (CA), Registration Authority (RA) und dem Zertifikatnehmer, die
                          unterschiedliche Aufgaben realisieren. Darüber hinaus umfasst das PKI-Modell mehrere
                          Funktionseinheiten wie das Key Management Center (KMC), die Time Stamping Authority
                          (TSA) und das Key Recovery Center (KRC).
                          Der ausgezeichnete Teil der PKI wird als Trust Center bezeichnet.
                          Eine Sicherheitsinfrastruktur muss für den Endbenutzer transparent sein, allerdings sollten die
                          genauen Abläufe des Schlüssel- und Zertifikatmanagements vor dem Benutzer verborgen
                          bleiben. Er sollte aber in der Lage sein, auf einfache Art und Weise die Services zu nutzen.

Sicherheitsmanagement     Das OSI-Sicherheitsmanagement ist einer von fünf Funktionsbereichen des OSI-Managements
SM, security management
                          und hängt mit der Zielspezifikation der Benutzerverwaltung unmittelbar zusammen.
                                                                                                                            39
IT-Sicherheit

                     Sicherheitspolitische Aspekte müssen ethische und gesetzliche Komponenten ebenso
                     berücksichtigen wie rechtliche, organisatorische und wirtschaftliche Voraussetzungen.
                     Das Sicherheitsmanagement (SM) umfasst den Schutz von Informationen. Dies kann sich auf
                     den Schutz von Objekten, von Diensten und Ressourcen auswirken. Zu den
                     Sicherheitsmaßnahmen gehören u.a. die Authentifizierung, die Passwortverwaltung und die
                     Zugriffsberechtigung auf Netze und LAN-Segmente.
                     Sicherheitsbetrachtungen müssen unter der Prämisse geplant werden, dass Informationen
                     einen Wert darstellen, der quantifiziert und qualifiziert werden kann.
                     Die Datenbasis des OSI-Sicherheitsmanagements bildet die Security Management Information
                     Base (SMIB). Die OSI-Sicherheitsarchitektur kennt drei Management-Kategorien: System
                     Security Management, Security Services Management und Security Mechanismen Management.
                     Die Abwicklung des Sicherheitsmanagements zwischen den Endsystemen erfolgt über
                     Sicherheitsprotokolle. Dabei müssen die Sicherheitsprotokolle und die übertragenen
                     Management-Informationen geschützt werden.


Sicherheitspolitik   In der Sicherheitspolitik werden die Regeln und Verfahrensweisen festgelegt, nach denen die
security policies    Datenübermittlung, -verarbeitung und -speicherung erfolgen. Sie berücksichtigt personelle,
                     technische, organisatorische und rechtliche Einflussfaktoren.
                     Bei den personellen Einflussfaktoren geht es um das Bedienpersonal, der Zuverlässigkeit,
                     Sensibilität und Vertrauenswürdigkeit. Es geht um die Antworten auf Fragen wie „Wer darf auf
                     welche Daten zugreifen?“ oder „Wer ist für die Sicherheitspolitik verantwortlich?“
                     Die technischen Einflussfaktoren sind geprägt durch die vorhandenen Computer, die Art und
                     Sensibilität der Daten und der Software, aber auch durch räumliche Gegebenheiten, die Art der
                     eingesetzten Übertragungsmedien und -techniken, sowie die Anzahl der Prozesse usw. Bei der
                                                                                                                     40
IT-Sicherheit

                       Technik stellen sich Fragen hinsichtlich der Daten, der Art der Vermittlung oder der
                       Verkehrsbeziehungen. So beispielsweise: „Welche Verkehrsbeziehungen sind erlaubt?“ oder
                       „Auf welcher Schicht werden die Sicherheitsdienste installiert?“.
                       Bei den organisatorischen Einflussfaktoren handelt es sich um solche, die sich mit den
                       Arbeitsabläufen der Benutzer beschäftigen. Bei diesen Einflussfaktoren geht es um die vielen
                       sicherheitsrelevanten Aspekte, wie „An wen werden Alarme gemeldet?“ oder „Welche
                       Maßnahmen sind zu treffen, damit die Sicherheitspolitik eingehalten wird?“.
                       Darüber hinaus muss sich die Sicherheitspolitik auch nach den Gesetzen und rechtlichen
                       Vereinbarungen richten. Zu nennen sind das Bundesdatenschutzgesetz (BDSG),
                       Signaturgesetz (SigG), Teledienstdatenschutzgesetz (TDDSG) und andere. Letztlich geht es
                       auch um die Rechtsverbindlichkeit der Informationen, um deren Urhebernachweis oder
                       Kommunikationsnachweis.


Sicherheitsprotokoll   Sicherheitsprotokolle erhöhen die Sicherheit des Datenverkehrs in Kommunikationsnetzen. Sie
security protocol      können auf allen Schichten des Kommunikationsmodells eingesetzt werden und besitzen
                       verschiedene Verschlüsselungstechniken, mit denen die Authentisierung gesichert wird oder
                       die zu übertragenden Daten codiert werden.
                       Eines der bekannteren im LAN-Umfeld eingesetzten Sicherheitsprotokolle auf der
                       Vermittlungsschicht ist das PPP-Protokoll. Dieses Protokoll wird vorwiegend für
                       Netzwerkanschlüsse verwendet, die auf Einwahlverbindungen basieren. In der IP-
                       Kommunikation gehört IPsec zu den standardisierten Protokollen. Daneben ist das Tunneling-
                       Protokoll PPTP zu nennen und das für die Verschlüsselung der PPTP-Datenpakete dienende
                       Microsoft Point to Point Encryption Protokoll (MPPE).
                       Die auf der Vermittlungsschicht arbeitenden Sicherheitsprotokolle wie das PAP-Protokoll, das
                                                                                                                      41
IT-Sicherheit

                        SSH-Protokoll oder RADIUS unterstützen die Authentisierung und den Passwortschutz. Für die
                        Sicherung von Tunnel-Verbindungen ist L2Sec zu nennen. In den höheren Schichten dienen die
                        Sicherheitsprotokolle zur Verschlüsselung der Anwendungen, so beispielsweise das SSL-
                        Protokoll und das TLS-Protokoll.


Sicherheitsrichtlinie   Sicherheitsrichtlinien sind unternehmensspezifische Regeln in denen die Ziele für alle
security directive      sicherheitsrelevanten Arbeitsgebiete festgelegt sind.
                        In Unternehmen definieren die Sicherheitsrichtlinien die Regeln, die die Mitarbeiter, die an der
                        Ausarbeitung der Richtlinien beteiligt sein sollten, in ihrem Arbeitsgebiet beachten müssen.
                        Zu den wichtigsten Interessengruppen in einem Unternehmen gehören die Sicherheits- und
                        Netzwerkadministration, Arbeitnehmervertreter, Vertreter der Nutzergruppen und der
                        Geschäftsführung. Die ausgearbeiteten Sicherheitsrichtlinien sollten von den Nutzern
                        umgesetzt und akzeptiert werden, sie sollten die Sicherheit des Netzwerks und der Systeme
                        gewährleisten und die Rechte und Pflichten der Nutzer, der Administration und der
                        Geschäftsführung klar regeln. Bestandteile der Sicherheitsrichtlinien umfassen die
                        Beschaffung der Software, Computer- und Netzwerktechnik und die darin realisierten
                        Sicherheitsstandards, die Zugriffsberechtigungen und alle Maßnahmen die dem Datenverlust
                        und der Abwehr von Angriffen dienen, die Betriebs- und Wartungsrichtlinien und das
                        Reporting, um nur einige zu nennen.
                        In die Sicherheitsrichtlinien fließen die nationalen und internationalen Sicherheitsstandards
                        für die Bewertung und Zertifizierung von IT-Systemen ein. Dazu gehören die europäischen
                        Information Technology Security Evaluation Criteria (ITSEC), die amerikanischen Trusted
                        Computer Security (TCSEC) und die Common Criteria for Information Technology Security


                                                                                                                           42
IT-Sicherheit

                              Evaluation (CC). Außerdem befasst sich Kapitel 1 des britischen Standards BS 7799 für das
                              Sicherheitsmanagement mit den Sicherheitsrichtlinien für das Management und für die
                              Betreuung der IT-Sicherheit.


Sicherheitsstufe              Der Safety Integrity Level (SIL) ist ein Verfahren zur Ermittlung des potentiellen Risikos von
SIL, safety integrity level   Personen, Systemen, Geräten und Prozessen im Falle einer Fehlfunktion. Die Basis für die
                              Spezifikationen, den Entwurf und Betrieb von sicherheitstechnischen Systemen (SIS) bildet der
                              IEC-Standard 61508.
                              IEC 61508 bietet ein kohärentes Framework in dem alle früheren Sicherheitsregularien
                              berücksichtigt sind. Dazu gehören die in Deutschland bekannten Sicherheitsnormen DIN/VDE
                              19250, DIN/VDE 19251 und DIN/VDE 801. Der 61508-Standard definiert die Sicherheit in
                              Abhängigkeit vom Grad der Beschädigung und der Wahrscheinlichkeit, die eine bestimmte
                                                                                    Anwendung hinsichtlich einer
                                                                                        risikorelevanten Situation hat.
                                                                                        61508 hat eine eigene
                                                                                        Risikobewertung mit der die
                                                                                        Sicherheits-Integritätslevel (SIL)
                                                                                        für die Geräte und Systeme mit
                                                                                        Sicherheitsaufgaben ermittelt
                                                                                        werden. Der IEC-Standard kennt
                                                                                        die vier SIL-Level SIL1 bis SIL4, die
                                                                                        als Sicherheitsausführungen von
                                                                                        elektrischen und elektronischen
                              SIL-Level des IEC-Standards 61508
                                                                                        Geräten definiert sind. Im SIL-Wert
                                                                                                                                43
Glossar IT-Sicherheit
Glossar IT-Sicherheit
Glossar IT-Sicherheit
Glossar IT-Sicherheit
Glossar IT-Sicherheit
Glossar IT-Sicherheit
Glossar IT-Sicherheit
Glossar IT-Sicherheit
Glossar IT-Sicherheit

Weitere ähnliche Inhalte

Was ist angesagt?

EN 6.3: 1 IT-Sicherheit und Technischer Datenschutz
EN 6.3: 1 IT-Sicherheit und Technischer DatenschutzEN 6.3: 1 IT-Sicherheit und Technischer Datenschutz
EN 6.3: 1 IT-Sicherheit und Technischer DatenschutzSven Wohlgemuth
 
Positionspapier: Transparente, einfache und performante Ende-zu-Ende-Sicherhe...
Positionspapier: Transparente, einfache und performante Ende-zu-Ende-Sicherhe...Positionspapier: Transparente, einfache und performante Ende-zu-Ende-Sicherhe...
Positionspapier: Transparente, einfache und performante Ende-zu-Ende-Sicherhe...Fujitsu Central Europe
 
Informationssicherheitsmanagment
InformationssicherheitsmanagmentInformationssicherheitsmanagment
InformationssicherheitsmanagmentClaus Brell
 
Attacks on mobile ad hoc networks
Attacks on mobile ad hoc networksAttacks on mobile ad hoc networks
Attacks on mobile ad hoc networksZdravko Danailov
 

Was ist angesagt? (6)

EN 6.3: 1 IT-Sicherheit und Technischer Datenschutz
EN 6.3: 1 IT-Sicherheit und Technischer DatenschutzEN 6.3: 1 IT-Sicherheit und Technischer Datenschutz
EN 6.3: 1 IT-Sicherheit und Technischer Datenschutz
 
Positionspapier: Transparente, einfache und performante Ende-zu-Ende-Sicherhe...
Positionspapier: Transparente, einfache und performante Ende-zu-Ende-Sicherhe...Positionspapier: Transparente, einfache und performante Ende-zu-Ende-Sicherhe...
Positionspapier: Transparente, einfache und performante Ende-zu-Ende-Sicherhe...
 
Informationssicherheitsmanagment
InformationssicherheitsmanagmentInformationssicherheitsmanagment
Informationssicherheitsmanagment
 
Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter
 
Attacks on mobile ad hoc networks
Attacks on mobile ad hoc networksAttacks on mobile ad hoc networks
Attacks on mobile ad hoc networks
 
Peer-to-Peer Security
Peer-to-Peer SecurityPeer-to-Peer Security
Peer-to-Peer Security
 

Andere mochten auch

Glossar Leuchtdioden
Glossar LeuchtdiodenGlossar Leuchtdioden
Glossar LeuchtdiodenITWissen.info
 
Ppt0000001
Ppt0000001Ppt0000001
Ppt0000001maritza
 
Sicher unterwegs im gefaehrlichsten Medium der Welt
Sicher unterwegs im gefaehrlichsten Medium der WeltSicher unterwegs im gefaehrlichsten Medium der Welt
Sicher unterwegs im gefaehrlichsten Medium der Weltwww.zebedin.at
 
Die Gefahr Im Web
Die Gefahr Im WebDie Gefahr Im Web
Die Gefahr Im WebC0pa
 
Malware Augeneder Hagmayr
Malware Augeneder HagmayrMalware Augeneder Hagmayr
Malware Augeneder Hagmayrphooeikp
 
Malwaretheorie
MalwaretheorieMalwaretheorie
Malwaretheoriephooeikp
 
Ein Manifest für Cyber Resilience
Ein Manifest für Cyber ResilienceEin Manifest für Cyber Resilience
Ein Manifest für Cyber ResilienceSymantec
 
Gefahren Internet - Web 2010
Gefahren Internet - Web 2010Gefahren Internet - Web 2010
Gefahren Internet - Web 2010Joerg Thelenberg
 
Wie schütze ich mich vor Malware?
Wie schütze ich mich vor Malware?Wie schütze ich mich vor Malware?
Wie schütze ich mich vor Malware?INFONAUTICS GmbH
 
Computerkriminalität in der deutschen Wirtschaft 2010
Computerkriminalität in der deutschen Wirtschaft 2010Computerkriminalität in der deutschen Wirtschaft 2010
Computerkriminalität in der deutschen Wirtschaft 2010Torben Haagh
 
Cyber crime and cyber security
Cyber crime and cyber  securityCyber crime and cyber  security
Cyber crime and cyber securityKeshab Nath
 
Social Engineering
Social EngineeringSocial Engineering
Social Engineeringthetacker
 
Internet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpointInternet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpointBernd Hoyer
 
Final cyber crime and security
Final cyber crime and securityFinal cyber crime and security
Final cyber crime and securitynikunjandy
 
Cyber crime & security
Cyber crime & securityCyber crime & security
Cyber crime & securitypinkutinku26
 

Andere mochten auch (19)

Glossar Leuchtdioden
Glossar LeuchtdiodenGlossar Leuchtdioden
Glossar Leuchtdioden
 
Ppt0000001
Ppt0000001Ppt0000001
Ppt0000001
 
Sicher unterwegs im gefaehrlichsten Medium der Welt
Sicher unterwegs im gefaehrlichsten Medium der WeltSicher unterwegs im gefaehrlichsten Medium der Welt
Sicher unterwegs im gefaehrlichsten Medium der Welt
 
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit
Zukunftstrends von Informationstechnologie und Cyber-SicherheitZukunftstrends von Informationstechnologie und Cyber-Sicherheit
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit
 
Die Gefahr Im Web
Die Gefahr Im WebDie Gefahr Im Web
Die Gefahr Im Web
 
openHPI_Zertifikat
openHPI_ZertifikatopenHPI_Zertifikat
openHPI_Zertifikat
 
Malware Augeneder Hagmayr
Malware Augeneder HagmayrMalware Augeneder Hagmayr
Malware Augeneder Hagmayr
 
Malwaretheorie
MalwaretheorieMalwaretheorie
Malwaretheorie
 
Ein Manifest für Cyber Resilience
Ein Manifest für Cyber ResilienceEin Manifest für Cyber Resilience
Ein Manifest für Cyber Resilience
 
Gefahren Internet - Web 2010
Gefahren Internet - Web 2010Gefahren Internet - Web 2010
Gefahren Internet - Web 2010
 
Wie schütze ich mich vor Malware?
Wie schütze ich mich vor Malware?Wie schütze ich mich vor Malware?
Wie schütze ich mich vor Malware?
 
Computerkriminalität in der deutschen Wirtschaft 2010
Computerkriminalität in der deutschen Wirtschaft 2010Computerkriminalität in der deutschen Wirtschaft 2010
Computerkriminalität in der deutschen Wirtschaft 2010
 
Cyber crime and cyber security
Cyber crime and cyber  securityCyber crime and cyber  security
Cyber crime and cyber security
 
Social Engineering
Social EngineeringSocial Engineering
Social Engineering
 
Internet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpointInternet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpoint
 
ESET - Cyber Security Pro
ESET - Cyber Security ProESET - Cyber Security Pro
ESET - Cyber Security Pro
 
Final cyber crime and security
Final cyber crime and securityFinal cyber crime and security
Final cyber crime and security
 
Datenschutz
DatenschutzDatenschutz
Datenschutz
 
Cyber crime & security
Cyber crime & securityCyber crime & security
Cyber crime & security
 

Ähnlich wie Glossar IT-Sicherheit

Wie sicher ist Ihre IT-Infrastruktur?
Wie sicher ist Ihre IT-Infrastruktur?Wie sicher ist Ihre IT-Infrastruktur?
Wie sicher ist Ihre IT-Infrastruktur?WM-Pool Pressedienst
 
bitkasten - Identverfahren für BiPRO
bitkasten - Identverfahren für BiPRObitkasten - Identverfahren für BiPRO
bitkasten - Identverfahren für BiPROChristian Gericke
 
Microsoft security workshop kurz
Microsoft security workshop kurzMicrosoft security workshop kurz
Microsoft security workshop kurzAllessandra Negri
 
Sicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITSicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITFraunhofer AISEC
 
Datensicherheit: Diebstahl und Prävention
Datensicherheit: Diebstahl und PräventionDatensicherheit: Diebstahl und Prävention
Datensicherheit: Diebstahl und PräventionAcertigo
 
Infografik: Ransomware bedroht jedes Unternehmen
Infografik: Ransomware bedroht jedes UnternehmenInfografik: Ransomware bedroht jedes Unternehmen
Infografik: Ransomware bedroht jedes Unternehmenbhoeck
 
Cyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftCyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftFraunhofer AISEC
 
Proaktive Sicherheit durch Threat Modeling
Proaktive Sicherheit durch Threat ModelingProaktive Sicherheit durch Threat Modeling
Proaktive Sicherheit durch Threat ModelingPhilippe A. R. Schaeffer
 
+ Self Defending Network V2
+ Self Defending Network V2+ Self Defending Network V2
+ Self Defending Network V2Werner Buhre
 
Sicherheit für das Energieinformationsnetz
Sicherheit für das EnergieinformationsnetzSicherheit für das Energieinformationsnetz
Sicherheit für das EnergieinformationsnetzFraunhofer AISEC
 
Sicherheit am Arbeitsplatz - Präsentation
Sicherheit am Arbeitsplatz - PräsentationSicherheit am Arbeitsplatz - Präsentation
Sicherheit am Arbeitsplatz - PräsentationErhard Dinhobl
 
SMS PASSCODE: Authentifizierung per Handy
SMS PASSCODE: Authentifizierung per HandySMS PASSCODE: Authentifizierung per Handy
SMS PASSCODE: Authentifizierung per Handynetlogix
 
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Fujitsu Central Europe
 
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorabtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorbhoeck
 
Microsoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampMicrosoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampAlexander Benoit
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Carsten Muetzlitz
 
IT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitIT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitFilipe Felix
 
Rahmenbedingungen mobile security
Rahmenbedingungen mobile securityRahmenbedingungen mobile security
Rahmenbedingungen mobile securityPeter Teufl
 

Ähnlich wie Glossar IT-Sicherheit (20)

Wie sicher ist Ihre IT-Infrastruktur?
Wie sicher ist Ihre IT-Infrastruktur?Wie sicher ist Ihre IT-Infrastruktur?
Wie sicher ist Ihre IT-Infrastruktur?
 
Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)Thing
 
bitkasten - Identverfahren für BiPRO
bitkasten - Identverfahren für BiPRObitkasten - Identverfahren für BiPRO
bitkasten - Identverfahren für BiPRO
 
Microsoft security workshop kurz
Microsoft security workshop kurzMicrosoft security workshop kurz
Microsoft security workshop kurz
 
Sicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITSicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der IT
 
Datensicherheit: Diebstahl und Prävention
Datensicherheit: Diebstahl und PräventionDatensicherheit: Diebstahl und Prävention
Datensicherheit: Diebstahl und Prävention
 
Infografik: Ransomware bedroht jedes Unternehmen
Infografik: Ransomware bedroht jedes UnternehmenInfografik: Ransomware bedroht jedes Unternehmen
Infografik: Ransomware bedroht jedes Unternehmen
 
Cyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftCyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der Wissenschaft
 
Proaktive Sicherheit durch Threat Modeling
Proaktive Sicherheit durch Threat ModelingProaktive Sicherheit durch Threat Modeling
Proaktive Sicherheit durch Threat Modeling
 
+ Self Defending Network V2
+ Self Defending Network V2+ Self Defending Network V2
+ Self Defending Network V2
 
Sicherheit für das Energieinformationsnetz
Sicherheit für das EnergieinformationsnetzSicherheit für das Energieinformationsnetz
Sicherheit für das Energieinformationsnetz
 
Grenzen der Kryptographie
Grenzen der KryptographieGrenzen der Kryptographie
Grenzen der Kryptographie
 
Sicherheit am Arbeitsplatz - Präsentation
Sicherheit am Arbeitsplatz - PräsentationSicherheit am Arbeitsplatz - Präsentation
Sicherheit am Arbeitsplatz - Präsentation
 
SMS PASSCODE: Authentifizierung per Handy
SMS PASSCODE: Authentifizierung per HandySMS PASSCODE: Authentifizierung per Handy
SMS PASSCODE: Authentifizierung per Handy
 
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
 
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorabtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
 
Microsoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampMicrosoft Cyber Security IT-Camp
Microsoft Cyber Security IT-Camp
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)
 
IT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitIT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-Sicherheit
 
Rahmenbedingungen mobile security
Rahmenbedingungen mobile securityRahmenbedingungen mobile security
Rahmenbedingungen mobile security
 

Mehr von ITWissen.info

Mehr von ITWissen.info (6)

Glossar Akustik
Glossar AkustikGlossar Akustik
Glossar Akustik
 
Glossar HF-Stecker
Glossar HF-SteckerGlossar HF-Stecker
Glossar HF-Stecker
 
Glossar Smart-Energy
Glossar Smart-Energy Glossar Smart-Energy
Glossar Smart-Energy
 
Glossar: Handy-TV
Glossar: Handy-TV Glossar: Handy-TV
Glossar: Handy-TV
 
Glossar Home Networks
Glossar Home NetworksGlossar Home Networks
Glossar Home Networks
 
Glossar A/D-Wandler
Glossar A/D-WandlerGlossar A/D-Wandler
Glossar A/D-Wandler
 

Glossar IT-Sicherheit

  • 2. Index IT-Sicherheit Abhörsicherheit management method Angriff Crasher Anwendungssicherheit Datensicherheit Authentifizierung DoS, denial of service Authentizität EAL, evaluation assurance level Autorisierung Flaming Backdoor Hacker Bedrohung Heuristik Broadcaststurm Hijacking Brute-Force-Angriff Hoax BS 7799 Identifikation BSI, Bundesamt für Sicherheit in der Info. Identität CC, common criteria Informationssicherheit Compliance Internetsicherheit Content-Sicherheit ISMS, information security management system Cracker ISO 17799 CRAMM, computer risk analysis and IT-Sicherheit 2
  • 3. IT-Sicherheit ITSEC, information technology Sicherheitsdienst security evaluation criteria Sicherheitsinfrastruktur Makrovirus Sicherheitsmanagement Malware Sicherheitspolitik Man-in-the-Middle-Angriff Sicherheitsprotokoll Netzwerksicherheit Sicherheitsrichtlinie Perimeter-Sicherheit Sicherheitsstufe Phishing Sicherheitsvereinbarung Phreaking Snooping PnP-Sicherheit Spam Risiko Spoofing Risikoanalyse Spyware Sabotage TCSEC, trusted computer security Schwachstelle trap door Schwachstellenmanagement Trojaner Sicherheit Virus Sicherheits-ID WLAN-Sicherheit Sicherheitsarchitektur Wurm 3
  • 4. IT-Sicherheit Abhörsicherheit Unter Abhörsicherheit versteht man ganz allgemein die Sicherheit gegen unberechtigtes bug proof Mithören von Dritten bei der Übertragung zwischen Endteilnehmern. Dabei kann es sich sowohl um die drahtlose Übertragung mittels Funktechnik handeln als auch um das Abhören der leitungsgebundenen Übertragung über Kabel oder Lichtwellenleiter. Das Abhören betrifft die Daten- als auch die Sprachkommunikation, wobei letztere durch das Fernmeldegeheimnis geschützt ist. Zur Vermeidung des Abhörens werden verschiedene Techniken eingesetzt. Diese reichen von der Feldstärkemessung über die OTDR-Technik und der Dämpfungsmessung der Übertragungsstrecke bis zur Verschlüsselung der Information, der gängigsten Methode gegen unberechtigtes Abhören. Bei der Mobilkommunikation, bei der die Luftschnittstelle offen ist, werden zu diesem Zweck alle Gespräche individuell verschlüsselt. Als Verschlüsselungsalgorithmus wird ein teilnehmereigener Primzahlen-Algorithmus verwendet, der sich auf der SIM-Karte befindet, aber nicht ausgelesen werden kann. Angriff Angriffe sind unerlaubte und nichtautorisierte Aktivitäten zum Schaden von Ressourcen, attack Dateien und Programmen. Man unterscheidet zwischen passiven und aktiven Angriffen. Passive Angriffe bedrohen die Vertraulichkeit der Kommunikation, beeinflussen aber nicht die Kommunikation oder den Nachrichteninhalt. Sie zielen ausschließlich auf die unerlaubte Informationsbeschaffung. Die Abhörsicherheit kann durch diverse Verfahren unterlaufen werden. Eines der bekanntesten ist Tempest, bei dem die elektromagnetische Strahlung von Bildschirmen, Computerboards und Datenkabel empfangen und ausgewertet wird. Ein großes Angriffspotential bieten alle Datenkabel, Telefonleitungen, Lichtwellenleiter und vor allem die Funktechnik, die besonders gefährdet ist. Ist es bei Datenkabeln die elektromagnetische 4
  • 5. IT-Sicherheit Strahlung, die abgehört werden kann, so besteht bei Lichtwellenleitern die Möglichkeit diese stark zu krümmen, bis die Moden das Kernglas verlassen und die optischen Signale austreten. Bei den aktiven Angriffen werden die Nachrichten, die Komponenten des Kommunikationssystems oder die Kommunikation verfälscht. Es kann sich dabei um Angriffe kann auf Netze, um diese funktional zu stören, wie beispielsweise eine DoS-Attacke, um Angriffe auf den Zugang zu Systemen oder um die Entschlüsselung verschlüsselter Daten und Nachrichten. Ein aktiver Angreifer kann durch Einfügen, Löschen oder Modifizieren von Inhalten bestimmte Reaktionen des Empfängers auslösen und dessen Verhaltensweisen steuern. Zu diesen aktiven Angriffen gehören das Übermitteln von Viren, Würmern und Trojanern. Anwendungssicherheit Der Schutz der Anwendungsebene ist ein wesentlicher Aspekt der IT-Sicherheit, da die application security Angriffe über Web-Applikationen erfolgen und nicht unmittelbar erkennbar sind. Die Angriffe reichen von Datendiebstahl über Wirtschaftsspionage und Datenmissbrauch bis hin zu Vandalismus. So können auf dieser Ebene Dateien mit unternehmenskritischen Informationen und schützenswerten Zugriffsberechtigungen entnommen oder E-Commerce bzw. M-Commerce auf fremden Accounts missbräuchlich ausgeführt werden. Application Security dient dem präventiven Schutz und kann durch Erkennen von IT-Risiken in die Applikationsebene implementiert werden. Bei der Anwendungssicherheit wird der Inhalt der Datenpakete überprüft und nicht der Header. Ansatzpunkte liegen in der genutzten Software, in einer möglichen Authentifizierung bei der Anwendung oder durch geeignete Verschlüsselungsmaßnahmen. So kann man beispielsweise Angriffe, die gleichartig ablaufen wie das Cross Site Scripting (XSS), durch Einbau entsprechender Codes abwehren. 5
  • 6. IT-Sicherheit Authentifizierung Unter der Authentifizierung versteht man die Aufgaben- und Benutzer-abhängige Zugangs- authentication und/oder Zugriffsberechtigung. Die Authentifizierung hat den Zweck Systemfunktionen vor Missbrauch zu schützen. In der Kommunikation stellt die Authentifizierung sicher, dass der Kommunikationspartner auch derjenige ist, für den er sich ausgibt. Bei der Authentifizierung wird zwischen einseitiger und gegenseitiger Authentifizierung unterschieden. In der Praxis ist meistens die einseitige Authentifizierung üblich, wobei beispielsweise beim Login der Benutzer sein Passwort eingibt und damit nachweist, dass er wirklich der angegebene Benutzer ist. Als Sicherheitsdienst für die einseitige Identifikation dient der Empfängernachweis durch den die Benutzer-Identität und damit auch der Benutzungsberechtigung gegenüber dem System nachgewiesen werden. Dazu dienen hauptsächlich Passwörter, Passwortverfahren, persönliche ID-Nummern, kryptografische Techniken sowie Magnet- oder Chip-Ausweiskarten. Eine strenge Authentifizierung kann mit der Vergabe von Einmalpasswörtern (OTP) und OTP-Token erfolgen. Darüber hinaus gibt es Authentisierungssysteme die mit biometrischen Daten arbeiten und Mehrfaktorensysteme, die auf so genannte USB-Token setzen. Sicherer als die einseitige Authentifizierung ist die gegenseitige, bei der alle Kommunikationspartner ihre Identität beweisen müssen, bevor untereinander vertrauliche Daten ausgetauscht werden. So sollte beispielsweise bei Geldautomaten dieser vor Eingabe der PIN-Nummer beweisen, dass es sich bei dem POS-Terminal um ein echtes Geldterminal handelt und nicht um eine Attrappe. Authentizität Authentizität ist die Echtheit, Zuverlässigkeit und Glaubwürdigkeit einer Mitteilung. Nach authenticity heutiger Rechtsauffassung ist die Authentizität nur dann sichergestellt, wenn die Mitteilung, 6
  • 7. IT-Sicherheit beispielsweise das Schriftstück, mit Original-Unterschrift versehen ist und zwar von autorisierten Personen, die die schriftliche Willenserklärung abgeben dürfen. In einigen Fällen schreibt das Gesetz zur Bestimmung der Authentizität notarielle Beglaubigung, Beurteilung oder Beurkundung vor. Bezogen auf die Informationstechnik geht es bei der Authentizität um die Verbindlichkeit von Daten, Dokumenten, Informationen oder Nachrichten, die einer bestimmten Datenendeinrichtung oder einem Sender sicher zugeordnet werden können. Durch die Authentizität muss sichergestellt werden, dass die Herkunft solcher Information zweifelsfrei nachgewiesen werden kann. Eine Möglichkeit für den Nachweis ist die digitale Signatur (DSig). Autorisierung Die Autorisierung ist eine Berechtigung, eine explizite Zulassung, die sich auf einen Benutzer authorization bezieht. Sie definiert, wer was in einem Netz was tun oder welche System-Ressourcen nutzen darf. Bei der Autorisierung werden dem Nutzer Rechte zugewiesen. Sie berechtigen den Benutzer eine bestimmte Aktion auszuüben. Um einen wirksamen Schutz zu erreiche, sollten bei der Rechtevergabe der Nutzer nur für die Ressourcen autorisiert werden, die er unbedingt benötigt. Eine Autorisierung setzt eine Prüfung der ausführende Person oder Kommunikationseinrichtung voraus. Erst nach der Ermächtigung kann die gewünschte Aktion oder Transaktion ausgeführt werden. So wird beispielsweise eine Transaktion mittels einer Kreditkarte zuerst durch den Kreditkartenherausgeber autorisiert, nach dem die Kartendaten überprüft wurden. Backdoor Backdoors sind unberechtigte Zugriffe auf Rechner und deren Datenbestände. Wie der Name sagt, erfolgt der unberechtigte Zugriff durch die Hintertür. Der Angreifer erlangt über ein verstecktes, ständig laufendes Programm häufig uneingeschränkte Zugriffsrechte. Im 7
  • 8. IT-Sicherheit Gegensatz zu Trojanern ermöglichen Backdoors einen direkten Zugriff auf den betroffenen Rechner, spionieren interessante und persönliche Daten aus und ermöglichen die Manipulation von Hard- und Software. Backdoor werden häufig dazu benutzt um Viren, Würmer oder Trojaner auf dem angegriffenen Rechner zu installieren oder diesen für unbefugte Operationen wie DDoS-Attacken zu benutzen. Bedrohung Ganz allgemein versteht man unter Bedrohung eine potentielle Gefahr, die durch eine threat Schwachstelle ausgelöst wird. Es kann sich dabei um ein Ereignis handeln, das Schaden verursacht, um einen Angriff auf ein System, eine Übertragungstrecke oder auf den Informationsinhalt einer Nachricht, um Spionage oder Sabotage oder auch um Gefahren, die unbeabsichtigt oder durch natürliche Ereignisse wie Stromausfall, absichtlich oder vorsätzlich von Mitarbeitern ausgehen. Bedrohung kann von der Technik selbst ausgehen, durch Fehlbedienungen oder Gewaltanwendung. In der Informations- und Kommunikationstechnik kann sich die Bedrohung auf die Verfügbarkeit von Systemen und Ressourcen beziehen oder ebenso auf die Integrität und Vertraulichkeit von Nachrichten. Das Potential von Bedrohungen ist unermesslich, da es sich gleichermaßen auf Systeme und Übertragungstechniken, auf Programme und Anwendungen beziehen kann. Es gibt die aktive Bedrohung bei der Informationen oder der Systemstatus verändert werden, oder die passive Bedrohung, deren Fokus sich auf das Ausspähen von Informationen bezieht. Mit der Bedrohungsanalyse werden alle möglichen Bedrohungsszenarien eines Kommunikations- oder Informationssystems erkannt, analysiert und dokumentiert. Sie 8
  • 9. IT-Sicherheit bewertet die Wahrscheinlichkeit eines Angriffs und den möglichen, durch Angreifer entstehenden Schaden. Die Bedrohungsanalyse ist Teil der Risikoanalyse und dem Risikomanagement. Broadcaststurm Broadcaststürme entstehen dann, wenn in einer Netzkonfiguration viele Stationen gleichzeitig broadcast storm eine Antwort an die sendende Station senden. In der Regel hat die sendende Station einen Broadcast gesendet, der gleichzeitig von vielen Stationen beantwortet wird, was mit Re- Broadcasten bezeichnet werden kann. Da das Re-Broadcasten einer gewissen Wahrscheinlichkeit unterliegt, hängt die Anzahl der beantworteten Broadcast von dieser ab. Ist die Wahrscheinlichkeit gering, bekommen einige Knoten im Netzwerk keine Nachricht, ist sie dagegen hoch, verhält sich das Antwortverhalten wie beim Flooding. In der Regel handelt es sich bei Broadcaststürmen um Probleme in der Redundanz, der Konkurrenzsituation und/oder von Kollisionen. So können beispielsweise topologische Schleifen im Netzwerk Verursacher von Broadcaststürmen sein. Broadcaststürme können einen erheblichen Schaden anrichten, da sie hinlänglich Netzwerkressourcen binden und dadurch den eigentlichen Datenverkehr beeinträchtigen. Brute-Force-Angriff Ein Brute-Force-Angriff stellt einen gewaltsamen Angriff auf einen kryptografischen brute force attack Algorithmus dar. Das Verfahren probiert systematisch alle möglichen Kombinationen durch, um den Krypto-Algorithmus zu knacken. Brute-Force-Angriffe können ebenso auf verschlüsselte Dateien, Nachrichten und Informationen oder auch auf Passwörter angesetzt werden. Damit Brute-Force-Angriffe möglichst zeitintensiv sind, setzen die meisten Verschlüsselungssysteme sehr lange Schlüssel ein. Bei einem 32-Bit-Schlüssel wären es vier 9
  • 10. IT-Sicherheit Milliarden Möglichkeiten, die die heutigen Personal Computer in Minuten durchprobiert hätten. Entsprechend länger dauert die Ermittlung eines 48-Bit-Schlüssels oder gar eines 64-Bit- Schlüssels, der nur in mehreren tausend Jahren zu knacken wäre. BS 7799 Der British Standard BS 7799 von 1995 führt die offizielle Bezeichnung „Code of Practise for Information Security Management“ und bildet die Prüfungsgrundlage für die Sicherheit von IT- Systemen. Der britische Standard bildet eine international anerkannte Norm für die Bewertung der Sicherheit von IT-Umgebungen. Aus diesem Standard ist der internationale Standard ISO 17799 hervorgegangen, der als Referenzdokument für die Erstellung eines Informationssicherheits-Managementsystems (ISMS) dient. Das Ziel dieser Norm ist die Einführung eines Prozessansatzes, mit dem ein organisationsbezogenes ISMS entwickelt, umgesetzt, überwacht und verbessert werden kann. Bei den Zertifizierungen nach BS 7799 steht das gesamte IT-System auf dem Prüfstand und wird auf vorhandenes Risikopotenzial hin untersucht; und nicht einzelne Anwendungen, Subsysteme oder Dateien. Der Schutz sensibler Daten und wichtiger Geschäftsprozesse stehen im Vordergrund. Wichtige Aspekte des Standards sind die Definition, Spezifikation und Implementierung eines Informationssicherheits-Managementsystems (ISMS), die Entwicklung organisationsbezogener Normen und Praktiken hinsichtlich der Informationssicherheit sowie die Überwachung der Einhaltung von Vereinbarungen an die Informationssicherheit. Der Standard besteht aus zehn Kapiteln, die die Grundlagen für den praktischen Einsatz bilden: Security Policy, Security Organization, Asset Classification and Control, Personal Security, Physical and Environmental Security, Computer and Network Management, System Access Control, System Development and Maintenance, Business Continuity and Disaster Recovery 10
  • 11. IT-Sicherheit Planning und Compliance. ISO 17799, das das Management von Informationssicherheit beschreibt, schafft die Voraussetzungen für die Zertifizierung eines ISMS- Systems. Der Standard BS 7799 besteht aus zwei Teilen: Teil 1: Leitfaden zum Management von Informationssicherheit, Teil 2 von 1999: Spezifikation für Managementsysteme der Informationssicherheit. Sicherheitskonzept Im Jahre 2002 wurde der zweite Teil an internationale Management-Standards und die OECD-Richtlinien angepasst. Damit können Unternehmen einen Sicherheitsprozess etablieren, der den Sicherheitswert systematisch auf einem zu definierenden Niveau verbessert. Das von der ISO im Herbst 2005 herausgegebene Regelwerk ISO 2700x beinhaltet in der ISO 27001 die Aspekte von BS 7799 und löst dieses ab. http://www.thewindow.to/bs7799/index.htm 11
  • 12. IT-Sicherheit BSI, Bundesamt für Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde 1991 nach Inkrafttreten Sicherheit in der des BSI-Errichtungsgesetzes gegründet. Der Aufgabenbereich des BSI liegt in der Entwicklung Informationstechnik und Förderung von Technologien für sichere Netze für die Informationstechnik. Schwerpunkte der BSI-Aktivitäten sind der Schutz gegen Computer-Viren, die elektronische Signatur, die Internetsicherheit, der IT-Grundschutz, die Überprüfung von Sicherheitsarchitekturen und das E-Government. Verschiedenen Arbeitsgruppen befassen sich mit der Fortentwicklung des E-Government, der Bereitstellung von Computer-Dienstleistungen für Bundesbehörden sowie der Sicherheit des Internet. Das BSI erstellt Dokumente für die genannten Schwerpunkte, die über das Internet abgerufen werden können. http://www.bsi.de CC, common criteria „Common Criteria for Information Technology Security Evaluation“ (CC) ist die Weiterentwicklung von ITSEC, der TCSEC der USA und der kanadischen CTCPEC. Es handelt sich um weltweit anerkannte Sicherheitsstandards für die Bewertung und Zertifizierung informationstechnischer Systeme. Die Common-Criteria-Zertifizierung wurde 1998 von den Regierungsstellen in den USA, Kanada, Deutschland, Großbritannien und Frankreich begründet und bereits von Entwicklung der Common Criteria (CC) mehreren anderen Ländern übernommen. 12
  • 13. IT-Sicherheit Dabei hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) bei der Entwicklung der Common Criteria eine aktive Rolle übernommen. Die Common Criteria wurden von der NIST Sicherheitslevels nach ITSEC und Common Criteria (CC) veröffentlicht und sind international von der ISO standardisiert. Der Standard ISO 15408 beschreibt die Bewertung der Sicherheitsfunktionen von IT-Produkten. In den Common Criterias werden der Geltungsbereich für die sicherheitsrelevante Evaluierung beschrieben, darüber hinaus die funktionalen Anforderungen in Zusammenhang mit der Bedrohung und den Sicherheitszielen und die Anforderungen an die Vertrauenswürdigkeit. Die Klassifizierung der IT-Sicherheitsprüfung im Rahmen der Common Criteria erfolgt in sieben so genannten EAL-Stufen, die auch als Schutzprofile bezeichnet werden. Diese reichen von EAL1 für unzureichendes Vertrauen bis hin zu EAL7 für den formal verifizierten Entwurf und Test des IT-Equipments. http://www.bsi.bund.de/cc/ Compliance Der Begriff Compliance umschreibt ein regelkonformes Verhalten eines Unternehmens in Bezug auf die gesetzlichen und regulativen Bestimmungen. Die Compliance soll sicherstellen, dass die unternehmerischen Risiken erkannt, bewertet und durch die Implementierung 13
  • 14. IT-Sicherheit technischer Lösungen erfüllt werden. Die Rechtskonformität betrifft in gleichem Maße die handelsrechtliche und steuerrechtliche Dokumentation von Vorgängen, aber ebenso sicherheitsrelevante Lösungen der elektronischen Kommunikation und vor allem der Archivierung. Einschlägige Richtlinien für sicherheitstechnische Konformität finden sich in dem British Standard BS 7799, dem IT- Grundschutzhandbuch des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI GsHb), in den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) und in den Grundsätzen für ordnungsgemäße DV-gestützte Buchführungssysteme (GoBS). An weiteren Richtlinien und Gesetzen, die unternehmensspezifische Aspekte berücksichtigen, sind Basel II zu nennen, in denen die Eigenkapitalvorschriften festgelegt sind, die International Financial Reporting Standards (IFRS) für die Rechnungslegungen, das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) mit der die Corporate Governance in deutschen Unternehmen verbessert werden soll und den Sarbanes-Oxley-Act, der bei international tätigen Unternehmen die Bilanztransparenz erhöht. Content-Sicherheit Die Content-Security befasst sich mit dem Schutz der Informationen vor allen bekannten content security Viren, Würmern und Trojanern, sowie mit der Erkennung von neuen Gefahren und die Verhinderung von Spams. Zur Content-Security gehören Sicherheitslösungen für die Abwehr von Hackerangriffen, die über Sicherheitslücken in Netzwerken und Anwendungen Schaden anrichten. Bei der Content-Security werden die Daten hinsichtlich ihrer Integrität geprüft; des Weiteren wird geprüft ob sie verschlüsselt gesendet, empfangen und genutzt werden dürfen. Diese Sicherheitsprüfungen erfolgen nach einem festgelegten Regelwerk, den Policies, mit dem 14
  • 15. IT-Sicherheit organisatorische und personenspezifische Kenndaten überprüft werden. Die Maßnahmen für die Content-Security reichen von Anti-Virus-Programmen mit denen der Web-Verkehr und alle E-Mails gescannt werden, über die Abwehr von Hackerangriffen bis hin zu nachgeschalteten Anti-Spam-Filtern, Web-Filtern und E-Mail-Filtern. Wobei die Web- Filterung unerwünschte Webseiten ausfiltert und die E-Mail-Filterung die E-Mails inhaltsabhängig nach Text- und Anhängen durchsucht und entsprechend ausfiltert. Cracker Ein Cracker ist eine Person, die unberechtigt in ein Computersystem eindringt. Ziel der Cracker - der Begriff wird oft synonym mit Hacker verwendet - ist es, die Sicherheitssysteme zu knacken und die gewonnenen vertraulichen Daten nicht zum wirtschaftlichen oder sozialen Nachteil für das betroffene Unternehmen oder die betroffene Institution auszunutzen. Cracker verursachen häufig Schäden an den Systemen, im Gegensatz zu Hackern, die meistens nur ihre spezifische Visitenkarte hinterlassen. Im deutschen Sprachgebrauch versteht man unter einem Cracker eine Person die den Kopierschutz von Systemen knackt. CRAMM, computer risk CRAMM ist ein bereits 1987 vorgestelltes Software-Paket für das wissensbasierte analysis and Risikomanagement, das dem britischen Sicherheitsstandard BS 7799 entspricht und nach ISO management method 17799 zertifiziert ist. CRAMM basiert auf einer toolgestützten Struktur mit der Geschäftsprozesse modelliert und Schwachstellen in IT- und Kommunikationssystemen bewertet werden können. Darüber hinaus kann CRAMM Sicherheitsvorschläge unterbreiten, Notversorgungsmaßnahmen planen, ISMS generieren und zu schützende Objekte identifizieren. Mit dem Ergebnis, das als Report ausgegeben werden kann, kann das Management Schwachstellen und Risiken in den IT- 15
  • 16. IT-Sicherheit gestützten Geschäftsprozessen, in Software und Hardware, Netzwerken, Personal, Gebäude u.a. erfassen, bewerten und beseitigen. Crasher Die Begriffe Hacker, Cracker und Crasher haben unterschiedliche Bedeutung. Bei einem Crasher handelt es sich um jemanden, der Vandalismus in Computersystemen ausübt, diese zum Absturz bringt und vorsätzlich Schaden anrichtet. Datensicherheit Unter Datensicherheit sind gesetzliche Regelungen und technische Maßnahmen zu verstehen, data security durch die die unberechtigte Speicherung, Verarbeitung und Weitergabe schutzwürdiger Daten verhindert werden soll. Ziel ist es, die Persönlichkeitsrechte des Menschen vor den Folgen der Erfassung seiner Individualdaten bei der manuellen und automatischen Datenverarbeitung zu schützen. Innerhalb eines Betriebs gehören dazu personelle, organisatorische und revisionstechnische Regelungen, außerdem geräte- und programmtechnische Schutzmechanismen. Datenschutz, Datenintegrität und Datensicherung bilden die verlässliche Informationsverarbeitung. In Deutschland ist der Datenschutz durch das „Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung“ vom 27.1.1977 im Bundesdatenschutzgesetz (BDSG) verankert. Gewerbliche oder staatliche Computeranwender mit schutzbedürftigen Daten müssen Datenschutzbeauftragte einsetzen. Darüber hinaus gibt es in Deutschland das Bundesgesetz über den Datenschutzgesetz vom 19.06.1992. Es lautet: „Wer personenbezogene Daten für sich selbst oder im Auftrag für andere elektronisch bearbeitet, muss durch geeignete Maßnahmen den Verlust und den Missbrauch dieser Daten verhindern“. 16
  • 17. IT-Sicherheit DoS, denial of service Denial of Service (DoS) sind Attacken im Internet zur Beeinträchtigung von Webservices, die DoS-Attacke damit außer Betrieb gesetzt werden. Diese Angriffe können durch Überlastung von Servern ausgelöst werden, so beispielsweise mittels der Bombardierung eines Mail-Servers mit einer so großen Anzahl von Mails, dass dieser seine Funktion wegen Überlast nicht mehr ausüben kann, oder durch die Überflutung eines Netzwerks mit Datenpaketen. DoS-Attacken zielen in der Regel nicht auf den Zugang zum Netzwerk, System oder zu den Datenbeständen ab, sondern haben das Ziel einen Dienst einzuschränken, zu blockieren oder unbenutzbar zu machen. Dazu werden die zur Verfügung stehenden Programme oder Netzwerk-Ressourcen außerordentlich überbelastet. Ein DoS-Angriff kann durch IP-Spoofing vorbereitet werden. Der Angreifer nutzt dazu eine autorisierte IP-Adresse und gelangt so in das System oder das Netzwerk, um dann seine DoS- Attacke auszuführen. Neben dem Mail-Bombing, gibt es noch das SYN-Flooding, das Ping-Flooding und die DDoS- Attacken. EAL, evaluation Die Evaluation Assurance Level assurance level (EAL) kennzeichnen die Vertrauenswürdigkeit in eine Sicherheitsleistung. Im Rahmen der Common Criteria (CC) werden sie für die Bestimmung der Sicherheitsprüfungen Sicherheitslevels nach ITSEC und Common Criteria (CC) verwendet. 17
  • 18. IT-Sicherheit Es gibt sieben EAL-Stufen, die mit den Ziffern 1 bis 7 gekennzeichnet sind und mit steigender Ziffer einen höheren Sicherheitsstandard repräsentieren. So bietet die EAL-Stufe EAL1 einen einfachen Funktionalitätstest, der ein unzureichendes Vertrauen in die IT-Sicherheitsprüfungen darstellt; EAL7 bietet als höchster Sicherheitstandard eine formal logische Verifizierung. Anhand der EAL-Stufen ist eine Vergleichbarkeit der Sicherheitsfunktionalitäten von Programmen und Systemen gegeben. Allerdings sind bei der Bewertung der Sicherheitsleistungen die Schwachstellen, über die Eindringlinge in das oder Attacken auf das System ausgeführt werden können, zu analysieren. Flaming Flaming ist ein Internet-Jargon für eine bösartige, oft persönliche oder gar beleidigende Angriffe auf den Verfasser eines Artikels in einer Newsgroup, in Diskussionsforen oder auch beim Schreiben von E-Mails. Flaming sind verbale Auswüchse, die gegen die Netiquette verstoßen und unterbleiben sollten. Hacker Unter Hacker versteht man Personen, die sich über öffentliche Netze oder IP-Netze unberechtigten Zugang zu anderen Systemen verschaffen und versuchen auf den Datenbestand in fremden Systemen zuzugreifen. Der unberechtigte Zugang erfolgt in der Regel unter Umgehung der Sicherheitssysteme. Das Eindringen kann bei der Datenübertragung, auf den Leitungen, den Übertragungskomponenten oder Protokollen stattfinden. Als Gegenmaßnahmen gegen Hacker empfehlen sich u.a. das regelmäßige Auswechseln von Passwörtern, die Beseitigung von Schwachstellen im System, das Abschalten von nicht genutzten Systemdiensten, das Callback als Kommunikationsroutine, die Überwachung von Service-Eingängen und der Einsatz von IDS-Systemen. 18
  • 19. IT-Sicherheit Heuristik Heuristik ist die Lehre von Methoden zum Auffinden neuer Erkenntnisse. Heuristische heuristics Verfahren werden beispielsweise beim Aufspüren neuer Viren angewendet und zwar vorwiegend in dem Zeitraum, in dem noch kein neues Update für die Virenscanner entwickelt wurde. Um zu verhindern, dass in dem Zeitraum in dem die Hersteller die Updates für neue Viren entwickeln, der Schaden durch ein neues Virus möglichst gering gehalten wird, werden die Schädlinge mittels heuristischer Verfahren abgefangen. Hierbei suchen die Virenscanner nach verdächtigen Codes, der beispielsweise die Festplatte formatiert oder unerwartete Online-Verbindungen aufbaut. Das Erkennen solcher Phänomene wird vom Virenscanner angezeigt. Hijacking Das englische Wort Hijacking steht für Entführung. Es wird in IP-Netzen für Angreifer benutzt, in denen der Angreifer eine Domain oder eine aktive IP-Sitzung übernimmt. Der Angreifer schlüpft dabei nach der Autorisierung des Nutzers in dessen Rolle und übernimmt die IP- Verbindung. Beim UDP-Prokoll ist das Vorgehen besonders einfach, da es nicht verbindungsorientiert arbeitet. Anders ist es beim TCP-Protokoll, bei dem der Angreifer die Sequenznummer erraten muss. Ziel des Hijacking ist es, sich fremde Informationen und Datenbestände anzueignen. Daher kann das Hijacking auf den Content ausgerichtet sein, dann handelt es sich um Content- Hijacking, aber auch auf Domains, man spricht dann von Domain-Hijacking. Beim Content- Hijacking geht es um fremde Inhalte, an denen der Angreifer interessiert ist und die er sich aneignen möchte. Ein solcher Content-Angriff auf eine Domain kann beispielsweise dazu dienen den PageRank von der Website, von der der Content entnommen wurde, zu verschlechtern und gleichzeitig den eigenen zu erhöhen. Beim Domain-Hijacking geht es um registrierte, aber bereits gelöschte Websites. Diese sind 19
  • 20. IT-Sicherheit dann von besonderem Interesse, wenn viele Hyperlinks auf diese Website hinweisen und diese einen höheren PageRank besitzen. Der Angreifer bestückt die besetzte Domain mit eigenen Inhalten und profitiert von dem vorhandenen PageRank. Hoax Hoaxes sind elektronische Falschmeldungen, die bewusst durch Dritte über E-Mails verbreitet werden. Die Hoaxes enthalten Text, der in die Irre führen soll wie eine Zeitungsente oder ein Aprilscherz, richten aber keinen direkten Schaden an. Um eine weite Verbreitung zu finden, werden sie als Kettenbrief gehandhabt. Eine Hoax kann alle Themenbereiche tangieren, die Warnung vor einem Virus, Unternehmens- und Börsennachrichten, den Umweltschutz, das Wetter bis hin zu weiteren Warnhinweisen. Sie verbreiten sich extrem schnell und werden von Virenscannern nicht erkannt. In Hoaxes finden sich in der Regel Aufrufe, diese auch an Bekannte und Kollegen weiterzuleiten. Identifikation Die Identifikation ist die Überprüfung einer Person oder eines Objektes in Bezug auf identification vorgelegte, eindeutig kennzeichnende Merkmale, die Identität. Diese Identität kann anhand von eindeutigen Merkmalen, die denen eines Ausweises entsprechen, überprüft werden. Oder auch mittels Passwörtern und gespeicherten Referenzpasswörtern. Für die Identifizierung gibt es verschiedene Medien und Verfahren; u.a. Chipkarten, Magnetkarten, Smartkarten und biometrische Verfahren. Darüber hinaus werden in der Warenwirtschaft Strichcodes, 2D-Codes und RFID für die eindeutige Warenkennzeichnung eingesetzt. Bei der biometrischen Identifikation werden individuelle, körperspezifische Merkmale wie der Fingerabdruck, das Gesichtsfeld oder die Iris für die Identifikation genutzt. 20
  • 21. IT-Sicherheit Identität Eine Identität ist der eindeutige Identifikator für eine Person, Organisation, Ressource oder identity einen Service zusammen mit optionaler zusätzlicher Information (z.B. Berechtigungen, Attributen). Die Identität umfasst eindeutig kennzeichnende Merkmale. Es gibt verschiedene Techniken zur eindeutigen Identitätskennzeichnung wie die ID-Nummer oder der elektronische Schlüssel, der die Identität eines Benutzers sicherstellt, und diverse Verfahren zur Prüfung und Feststellung der Identität. Informationssicherheit Informationssicherheit ist der Präventivschutz für Persönlichkeits- und Unternehmens- information security Informationen und ist auf kritische Geschäftsprozesse fokussiert. Ein solcher Schutz bezieht sich gleichermaßen auf Personen, Unternehmen, Systeme und Prozesse und wird durch Integrität, Verfügbarkeit, Vertraulichkeit, Verbindlichkeit, Nachweisbarkeit und Authentizität erzielt. Die Informationssicherheit soll den Verlust, die Manipulation, den Schwachstellen in der Informationssicherheit unberechtigten Zugriff und 21
  • 22. IT-Sicherheit die Verfälschung von Daten verhindern. Die Basis für die Informationssicherheit kann durch konzeptionelle, organisatorische und operative Maßnahmen erreicht werden. Dazu gehört die Umsetzung von sicherheitsrelevanten Grundsätzen eines Unternehmens, die so genannte Informationssicherheitspolitik. In dieser sind die Ziele des Unternehmens und die Realisierung festgelegt. Ein wichtiger Ansatz für die Sicherheit von Informationssystemen ist der British Standard BS 7799 sowie der ISO-Standard 17799 als Implementierungsleitfaden. Diese beiden Sicherheitsstandards werden in der Security-Norm ISO 27001 berücksichtigt. Internetsicherheit Als weltweit größter Netzverbund bietet das Internet Angreifern hinreichende Möglichkeiten, Internet security sich unberechtigten Zugriff auf Datenbestände und Ressourcen zu verschaffen, Datenbestände und übertragene Daten zu manipulieren und zu sabotieren. Die technischen Möglichkeiten für das unberechtigte Eindringen in fremde Datenbestände reichen vom Abhören von Passwörtern, über das IP-Spoofing, Übertragungsstrecke mit Web-Shield bei dem sich der 22
  • 23. IT-Sicherheit Eindringling einer gefälschten IP-Adresse bedient, über das IP-Hijacking, bei dem der Angreifer eine bestehende IP-Verbindung übernimmt, den Replay-Angriff, bei dem der Angreifer gezielt vorher gesammelte Informationen einsetzt, um dadurch fehlerhafte Transaktionen auszuführen, über das SYN-Flooding, einem gezielten Angriff auf den Server, um diesen durch Überlast von seinen eigentlichen Aufgaben abzulenken, bis hin zum Man-in-the- Middle-Angriff, einer Attacke, bei der die Kommunikation zwischen zwei Partnern abgefangen und manipuliert wird. Wirkungsvolle Maßnahmen gegen diese Bedrohungen der Internetsicherheit bieten so genannte Web-Shields, die als Application Layer Gateway (ALG), auch bekannt als Web Application Firewall (WAF), agieren. Im Gegensatz zu klassischen Firewalls und IDS-Systemen untersuchen die genannten Systeme die Kommunikation auf der Anwendungsebene. ISMS, information Ein Informationssicherheits-Managementsystem (ISMS), das nach der Normenreihe ISO 2700x security management zertifiziert wird, erfüllt die Voraussetzungen für ein qualifiziertes Sicherheitsmanagement. Ein system solches ISMS-System, bestehend aus Richtlinien, Maßnahmen und Tools, beherrscht spezifische IT-Risiken und garantiert die geforderte IT-Sicherheit. Ein ISMS-System mit einem Prozess-orientierten Ansatz bildet die Grundlage für das Unternehmen und dessen Positionierung hinsichtlich der Informationssicherheit. In einem solchen Ansatz sollten die Bedeutung, die Anforderungen und die Ziele der Informationssicherheit festgelegt sein. Des Weiteren sollte die Effektivität des ISMS kontrolliert und das System ständig nachvollziehbar verbessert werden. Bei diesem Prozess- orientierten Ansatz kann jede Aktivität, die Ressourcen nutzt, als Prozess betrachtet werden. Wobei jeder Prozess den Input für den folgenden Prozess bilden kann. Ein ISMS-System muss in allen Hierarchieebenen eines Unternehmens implementiert sein und 23
  • 24. IT-Sicherheit von Verantwortlichen betreut werden. In der Implementierung eines solchen Systems spiegelt sich die Organisation mit ihren unternehmerischen Anforderungen wider. Die Normenreihe ISO 2700x behandelt die Thematik ISMS, dabei geht die Norm ISO 27001 auf die Zertifizierungsanforderungen ein und ISO 27003 gibt Anleitungen für die Entwicklung und die Implementierung eines Information Security Management Systems (ISMS). ISO 17799 Der im Jahre 2000 verabschiedete internationale Standard ISO 17799 für die IT-Sicherheit ist aus dem British Standard BS 7799 hervorgegangen. Der Standard mit dem Titel „Code of Practice for Information Security Management“ bietet eine Auswahl an Kontrollmechanismen, die auf Methoden und Verfahren basieren, die sich in der IT-Sicherheit bewährt haben. In dem Standard werden keine konkreten Sicherheitslösungen empfohlen; allerdings sollten Unternehmen und Organisationen aller Branchen die im Standard aufgeführten Richtlinien beachten und umsetzen. Die ISO hat mit ISO 17799 ein formelles Anerkennungs- und Zertifizierungsverfahren für die Einhaltung der Standards eingeführt, wodurch sich die allgemeine Qualität des Standards verbessert hat. Dieser Standard, der den ersten Teil von BS 7799 umfasst, ist weltweit akzeptiert. Im Jahre 2005 wurde ISO 17799 überarbeitet und in der neuen Fassung Vom BS 7799 über die ISO 17799 unter der Normenreihe ISO 2700x als ISO 27002 zur ISO 27002 veröffentlicht. 24
  • 25. IT-Sicherheit ISO 17799 ist eine Sammlung von Empfehlungen, die für die IT-Sicherheit und das Business Continuity Management (BCM) angewendet werden. Diese Richtlinien haben sich in der Praxis bewährt können in allen Hierarchieebenen von Unternehmen, Institutionen und Organisationen eingesetzt werden. Da die Vielfalt der Sicherheitsaspekte von der Systemumgebung und der Unternehmensorganisation geprägt ist, ist ISO 17799 ein flexibler Standard, der eigene Interpretationen zulässt. IT-Sicherheit Die IT-Sicherheit tangiert alle IT security technischen Maßnahmen zur Verringerung des Gefährdungspotenzials für IT- Anwendungen und -Systeme. Alle mit dem Gefährdungspotenzial in Zusammenhang stehenden Schutzmaßnahmen, wie die Entwicklung von Sicherheitskonzepten, die Vergabe von Zugriffsberechtigungen und die Implementierung von Sicherheitsstandards, sind Aspekte der IT-Sicherheit. IT- Sicherheitskonzept Sicherheit ist die technische 25
  • 26. IT-Sicherheit Umsetzung der Sicherheitskonzepte unter wirtschaftlichen Aspekten. Die IT-Sicherheit umfasst alle gefährdeten und daher schützenswerten Einrichtungen, Systeme und Personen. Dazu gehören u.a. Gebäude, Netze, Hardware und Software sowie die an den Systemen Arbeitenden. Ziel der IT-Sicherheit ist es, die Verfügbarkeit von Systemen und Daten sicherzustellen, die Vertraulichkeit zu gewährleisten, damit weder Unbefugte auf Dateien zugreifen können und die Dateien auch bei der Übertragung weiterhin vertraulich bleiben, die Sicherstellung der Authentizität und der Integrität der Daten. Für die physikalische IT-Sicherheit gibt es mehrere nationale und europäische Standards, so die Definition der Brandabschnitte nach DIN 4102 oder die in den EN-1047-Standards spezifizierten Belastungsgrenzen für Daten und Systeme. Darüber hinaus gibt es Richtlinien und Güteklassen für den Einbruchschutz mit der Beschreibung des Mauerwerks. ITSEC, information Die Information Technology Security technology security Evaluation Criteria (ITSEC) sind evaluation criteria europäische Sicherheitsstandards, die der Bewertung und Zertifizierung der Sicherheit von IT-Systemen dienen. Es handelt sich um eine technisch orientierte, produktbezogene Sicherheitsrichtlinie. ITSEC ist aus verschiedenen europäischen Sicherheitsrichtlinien, den UK Confidence Levels, German Criteria, Entwicklung der ITSEC French Criteria und dem US Orange 26
  • 27. IT-Sicherheit Book TCSEC hervorgegangen. Die Kriterien sind in einem Katalog zusammengefasst und sind nur für den europäischen Raum gültig. Das Vertrauen in die Sicherheitsstufen von ITSEC ist in sogenannte Evolutionsstufen gegliedert. Es gibt die Stufen E0, was ein unzureichendes Vertrauen widerspiegelt, bis E6 für höchstes Vertrauen. Je höher die Evolutionsstufe, desto fachkundiger sind die Eindringlinge. Die Evaluierung beinhaltet die Prüfung und Bewertung der Sicherheitseigenschaften eines IT- Produkts nach den festgelegten Sicherheitskriterien. Die Weiterentwicklung des ITSEC sind die Common Criteria for Information Technology Security Evaluation. Die ITSEC, die 1991 von der EU-Kommission verabschiedet wurde und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) angewendet wird, ist das europäische Gegenstück zur amerikanischen TCSEC. Aus beiden wurden die Common Criteria (CC) entwickelt. Makrovirus Makroviren werden im Gegensatz zu normalen Viren in einer Makrosprache erstellt und macro virus befallen im Gegensatz zu diesen Dokumente der jeweiligen Host-Anwendung. Da Makros wiederkehrende Tastatureingaben und Programmabläufe automatisieren helfen, können Computerviren über Makroprogramme erstellt und reproduziert werden. Makroviren sind in Dokumenten eingelagert und werden bei Aufruf und Weitergabe der Dateien verteilt. Durch diese einfache Verbreitung können Makroviren enorme Schäden verursachen, beispielsweise durch Veränderung der Zahlen in einer Tabellenkalkulation. Malware Unter den Oberbegriff Malware fallen alle unerwünschten Software-Aktivitäten, die die IT- Sicherheit oder die Funktionsfähigkeit von Computern und Systemen beeinträchtigt. Dazu 27
  • 28. IT-Sicherheit zählen im Einzelnen Viren, Trojaner und Würmer, Flooding und DoS-Attacken, Spyware, Spams, Hoaxes usw. Bei Malware handelt es sich immer um Aktivitäten, die vom Benutzer nicht erwünscht sind. Die technischen Verfahren mit denen die Malware-Aggressoren ihre Opfer ausspähen sind auf einem hohen technischen Niveau. Gängige Antiviren- und Anti-Malware-Programme sind auf nicht in der Lage die Angriffe zu erkennen oder aufzuspüren. Wenn die Malware-Angriffe ihre Aufgaben erfüllt und Konstruktionspläne, Kontennummern oder andere Informationen ausgespäht haben, verwischen die Programme ihre eigenen Spuren. Häufig kann der entstandene Schaden und das Eindringen erst dann rekonstruiert werden, wenn der Privatmann oder das Unternehmen bereits geschädigt wurde. Man-in-the-Middle- Man-in-the-Middle ist ein Angriff auf den Kommunikationskanal zwischen zwei Partnern. Der Angriff Angreifer versucht dabei den Kommunikationskanal unter seine Kontrolle zu bringen, und zwar man-in-the-middle attack in der Art und Weise, dass die Kommunikationspartner nicht feststellen können ob sie miteinander oder mit dem Angreifer kommunizieren. Man-in-the-Middle-Angriffe können dann erfolgreich sein, wenn für die Verschlüsselung Public- Key-Verfahren ohne signierte Zertifikate benutzt werden, wie beispielsweise bei HTTPS. Abhilfe gegen Man-in-the-Middle-Angriffe schafft nur eine eindeutige Identifikation der Teilnehmer, ohne dem Angreifer die Identifikation preiszugeben. Netzwerksicherheit Die Netzwerksicherheit ist eine Symbiose aus Richtlinien und Vorschriften, aus Produkten und network security Diensten. Sie tangiert alle Unternehmensebenen, vom Benutzer über den Administrator bis hin zur Unternehmensführung. Es ist ein Maßnahmenkatalog in Form einer Security Policy, die dafür sorgen muss, dass die Zugriffsberechtigung, Autorisierung, Identifikation und 28
  • 29. IT-Sicherheit Authentifizierung verwaltet werden, dass jede Attacke, jeder unerlaubte Zugriff, jede Art der Sabotage, der Manipulation, des Missbrauchs und der Beeinflussung der Datenbestände und Ressourcen verhindert oder unmittelbar erkannt wird und dass das Einschleusen von Viren, Würmern oder Trojanern, DoS-Attacken oder IP-Spoofing nicht möglich ist. Ausgehend von einem solchen Maßnahmenkatalog können technische Lösungen implementiert werden. An netzwerkumfassenden Konzepten gibt es Network Access Control (NAC) von Cisco und anderen Unternehmen, Network Access Protection (NAP) von Microsoft und Trusted Network Connect (TNC) von der Trusting Computing Group. Perimeter-Sicherheit Perimeter-Sicherheit betrifft die Sicherheit am Übergang zwischen dem Unternehmensnetz und perimeter security dem Internet. Für die Perimeter-Sicherheit sind bestimmte Richtlinien definiert, die die IT- Technik des Unternehmens gegen das Gefahrenpotential schützen, das durch Viren, Würmer und Hacker verursacht wird. Zu den in den Richtlinien genannten Möglichkeiten gehören Firewalls, Virenscanner und Anti-Viren-Software sowie Web-Filtertechniken. Phishing Mit der Wortschöpfung Phishing, das sich aus Passwort und Fishing zusammensetzt, ist ebenso wie das Pharming eine Technik, bei der der Angreifer versucht, die persönliche Identifikations-Nummer (PIN) und die Transaktionsnummer (TAN) von Bankkunden über das Internet abzufragen und damit Finanztransaktionen durchzuführen. Die Angreifer, die Phisher, fragen über gefälschte Bank-Homepages die vertraulichen Daten ab. Zu diesem Zweck wird eine nachgemachte Homepage eines Geldinstituts ins Internet gestellt. Nach dem Zufallsprinzip werden E-Mails mit einem Link auf die gefälschte Hompage versandt. In diesen E-Mails werden Sicherheitsaspekte oder bankrelevante Themen behandelt mit dem 29
  • 30. IT-Sicherheit Hinweis auf die angebliche Homepage. Die in die nachgebildeten Hompages eingetragenen persönliche Identifikationsnummern und Transaktionsnummern werden ausgefiltert und stehen den Angreifern unmittelbar für unberechtigte Finanztransaktionen auf der richtigen Homepage zur Verfügung. Da das Phishing wegen Beispiel, in der die Postbank auf gefälschte Home-Pages zum Zwecke des dessen Vorgehensweise Phishings hinweist nicht mehr den erhofften Erfolg zeitigt, wurde es verfeinert zum Spear-Phishing. Bei dieser Methode werden die Opfer ganz gezielt angegangen in dem sich die Phisher als alte Bekannte ausgeben und dazu harmlose Informationen aus Social Networks benutzen. Das darüber aufgebaute Vertrauen nutzen die Phisher um über Formulare einen Link anzuklicken über den eine Ominöse Software geladen wird. Phreaking Das Phreaking ist eine ältere Methode zu Umgehung von Telefonkosten, die ursächlich mit den Vermittlungstechniken in Telefonnetzen und dort im Besonderen mit der Signalisierung 30
  • 31. IT-Sicherheit zusammenhängt. Die Kreativität der Phreaker, das sind Diejenigen die das Phreaking beherrschen, hat sich nicht nur auf das Nachbilden von Signalisierungssequenzen beschränkt. Phreaker analysieren und modifizieren die Schwachstellen der verschiedenen Einwahltechniken und Bezahlformen, einschließlich der Telefonkarten oder Callingcards, und setzen die Erkenntnisse konsequent zum eigenen kostenlosen Telefonieren ein. Was die Signalisierung betrifft, so arbeiten Fernmeldenetze in den USA, in Kanada, Australien und China mit der älteren C5-Signalisierung, die als Innenband-Signalisierung mit Zweiton- und Mehrtonverfahren im Sprachkanal arbeitet, also keinen unabhängigen Signalisierungskanal benutzt, wie beispielsweise das Signalisierungssystem Nr. 7 (CCS7). Die Steuersignale und - sequenzen der C5-Signalisierung können somit direkt aus dem Sprachkanal ausgefiltert und für eigene Zwecke missbraucht werden. Da die Betreibergesellschaften die Steuersequenzen wegen des Phreaking ändern, arbeiten die Phreaker mit Frequenzscannern, die die Frequenzen automatisch scannen, die Sequenzen aufzeichnen und das Ganze noch in einen Softwaredialer einbringen. Über das Monitoring der Carrier können Phreaker mittels Fangschaltung erfasst werden. Das Phreaking, das besonders bei internationalen Verbindungen interessant ist, ist ein globales Problem. National ist das Phreaking, bedingt durch die verwendete Außenband- Signalisierung schwierig. PnP-Sicherheit Plug-and-Play (PnP) ist ein Schnittstellenkonzept für das konfliktfreie Anschließen von plug and play security Peripheriegeräten an einen Personal Computer. Das schnelle Erkennen der angeschlossenen Peripheriegeräte bietet aber nicht nur Vorteile, sondern auch diverse Risiken, da durch unberechtigten Zugriff wichtige Daten aus den Personal Computern (PC) kopiert, ebenso aber auch Daten, Viren und Trojaner über die Plug-and-Play-Schnittstelle in das Firmennetz 31
  • 32. IT-Sicherheit eingespeist werden können. In diesem Zusammenhang darf die Entwicklung der Mobilspeicher wie dem USB-Stick nicht außer Acht gelassen werden. Dieses Risiko wird durch drahtlose Schnittstellen wie Wireless-USB noch erhöht, da der Anwender häufig nicht erkennen kann, wer mit seinem Computer gerade kommuniziert. Die Betriebssysteme bieten keine Möglichkeit der Schnittstellenkontrolle. Sicherheitsaspekte von Schnittstellen ist daher ein Thema der Netzwerk- und IT-Sicherheit. Bei der Absicherung der Schnittstellen kommt es auf die konsequente Umsetzung der Sicherheitsregeln an. Diese Umsetzung kann durch Sicherheitsmodule vorgenommen werden, die die Nutzung der PnP-Geräte überwachen. Die Echtzeitüberwachung von Schnittstellen und Peripheriegeräten ist ein Punkt bei der Lösung der Schnittstellen-Sicherheitsproblematik, die automatische Geräteerkennung und schnelle Freigabe ein weiterer. Die PnP-Geräte, die eine Zugangsberechtigung haben, werden zentral oder direkt am Arbeitsplatz über Fernzugriff registriert. Die Einstellungen können entweder direkt im Active Directory von Windows oder im NetWare Directory Service (NDS) zentral verwaltet werden. Risiko Unter Risiko versteht man die Wahrscheinlichkeit für den Eintritt eines Schadensfalles. Ein risk solches Schadensereignis kann in der IT-Technik durch bestimmte Schwachstellen in den Systemen, Komponenten, Kommunikationsnetzen oder Software auftreten, die zufällig oder vorsätzlich ausgenutzt werden. Das bedeutet, dass die Sicherheit der Systeme unmittelbar von dem Risiko abhängig ist: Je höher das Risiko, desto geringer ist die vorhandene Sicherheit und umgekehrt. Das Risiko beginnt da, wo die Sicherheit aufhört. Je höher die Sicherheit veranschlagt wird, desto geringer ist das Risiko. Werden die risikobehafteten Schwachstellen durch methodische Verfahren ermittelt, spricht man von Risikoanalyse. Bei einer solchen Analyse werden technische und menschliche 32
  • 33. IT-Sicherheit Schwachstellen erforscht, damit die Häufigkeit und die Länge der Schadensfälle eingeschränkt und reduziert werden kann. Die Ergebnisse der Risikoanalyse fließen in das Risikomanagement ein. Risiken lassen sich klassifizieren nach den Objekten, den Aktivitäten, den Urhebern und der Ursache, nach der Häufigkeit und der Schadenshöhe. Risikoanalyse Die Risikoanalyse arbeitet mit methodischen Verfahren und beschäftigt sich mit der Erkennung risk analysis und Bewertung von Gefahren und Bedrohungen, denen die Informationssysteme ausgesetzt sind. Sie erforscht menschliche und technische Schwachstellen um die Schadensfälle zu analysieren und deren Häufigkeit und Dauer zu reduzieren. Neben der analytischen Bewertung des Risikos und der Abschätzung der Wahrscheinlichkeit zukünftiger Faktoren der Risikoanalyse Gefahren, geht es bei der Risikoanalyse um die Konsequenzen und die Kosten, die sich aus den Ausfallzeiten der IT- Systeme und einem möglichen Datenverlust ergeben. Die Ergebnisse der Risikoanalyse gehen unmittelbar in das Risikomanagement ein. 33
  • 34. IT-Sicherheit Sabotage Im Kontext mit ITWissen.info und den darin behandelten Themenbereichen der Datenkommunikation und der Informationstechnik ist Sabotage als ein vorsätzlicher Eingriff in ein System, Netzwerk oder Programm um dessen Funktion zu beeinträchtigen und den wirtschaftlichen Ablauf zu stören. Sabotage gefährdet die Daten- und Netzwerksicherheit sowie die Informations- und IT-Sicherheit. Sie stellt eine Bedrohung dar und kann sich auch auf die Beschädigung von Einrichtungen oder Systemen beziehen. Im Gegensatz zur Manipulation setzt die Sabotage kriminelle Energie voraus. Schwachstelle Der Begriff Vulnerability, zu Deutsch Schwachstelle, wird in der Informationssicherheit in dem vulnerability Sinne benutzt, als dass es sich um einen Fehler der Software handelt, der von Hackern genutzt werden kann und ihnen den Zugriff auf Systeme oder Netzwerke ermöglicht. In Zusammenhang mit den Common Vulnerabilities and Exposures (CVE) geht es bei der Vulnerability um die Verletzung der Sicherheitspolitik eines IT-Systems durch einen Angreifer. Das Vulnerability Management (VM) erarbeitet Verfahren und Prozesse um die sicherheitsrelevanten Schachstellen in IT-Systemen zu erkennen und beseitigen. Schwachstellen- Das Vulnerability Management (VM) befasst sich mit den sicherheitsrelevanten Schachstellen management in IT-Systemen. Mit dem VM-Management sollen Prozesse und Techniken erarbeitet werden, VM, vulnerability mit denen zur Steigerung der IT-Sicherheit eine Sicherheitskonfiguration in Unternehmen management eingeführt und verwaltet werden kann. Das Vulnerability Management umfasst die Schwachstellenanalyse unter Berücksichtigung der in den Standards BS 7799 resp. ISO 17799 detailliert beschriebenen Faktoren Mensch, Maschine, Umgebung und Daten. Darüber hinaus spielt beim VM-Management das Common Vulnerability Scoring System (CVSS), mit dem ein Rating- Index erstellt wird, eine wesentliche Rolle. 34
  • 35. IT-Sicherheit Sicherheit Unter Sicherheit sind alle technischen und organisatorischen Maßnahmen zu verstehen die security Daten schützen. Dieser Schutz wird bei den Bedienenden realisiert, in Systemen und Computern, bei der Übertragung sowie in Diensten und Anwendungen. Unter Berücksichtigung des möglichen Gefährdungspotentials werden Sicherheitsmechanismen implementiert, die das Eindringen in Systeme, das Abhören der Übertragungswege, die Manipulation, die Sabotage und das Löschen von Datensätzen verhindern soll. Zu den personenbezogenen Schutzmechanismen gehören die Autorisierung und Authentifizierung durch Passwörter oder persönlicher Identifikationsnummer (PIN), biometrische Daten oder Signaturen. Die systembezogenen Sicherheitskriterien gehören zur IT-Sicherheit und umfassen technische und organisatorische Maßnahmen. Dazu gehören die Installation eigener Sicherheitsarchitekturen mit Firewalls, das Sicherheitsmanagement und die Schlüsselverwaltung. Kennzeichnend für die übertragungstechnische Sicherheit, die Netzwerksicherheit und die Internetsicherheit, sind die Verschlüsselungsverfahren und die Datenübertragung mit Sicherheitsprotokollen. Anwendungsorientierte Schutzmaßnahmen haben branchenspezifische Eigenschaften, wie beispielsweise bei geschäftlichen Transaktionen, bei denen digitale Signaturen und Transaktionsnummern die Sicherheit verbessern. Unter Sicherheit fallen alle Kriterien, die die Integrität, Verfügbarkeit, Vertraulichkeit, Verbindlichkeit, Betriebssicherheit und Authentizität betreffen. Sicherheits-ID Die Sicherheits-ID (SID) dient der eindeutigen Identifizierung eines Benutzer in einem SID, security identifier Sicherheitssystem. Sicherheits-IDs können einzelnen Personen oder ganzen Benutzergruppen zugewiesen werden. Bedingt durch die Vielzahl an Benutzernamen ist es möglich dass im Netz viele 35
  • 36. IT-Sicherheit Doppeldeutigkeiten auftreten, die entsprechende Probleme verursachen. Aus diesem Grund wird mit dem Security Identifier (SID) jedem Benutzer eine eindeutige Kennung zugewiesen, die kein anderer Benutzer hat. Mit der SID-Kennung, die von den Betriebssystemen unterstützt werden, werden dem Benutzer in aller Regel auch Rechte zugewiesen und er ist im gesamten Netzwerk unter dieser SID-Kennung identifizierbar. Wird der Benutzername aus dem Netzwerk gelöscht, dann erlischt auch sein Security Identifier. Unter Windows besteht der Security Identifier aus der Revisionsnummer des Betriebssystems, der Identifier Authority, der Domain-ID und der Benutzer-ID. Sicherheitsarchitektur Die Sicherheitsarchitektur der ISO bildet den zweiten Teil des OSI-Referenzmodells und ist die security architecture Basis für die Integration von Sicherheit in offenen Kommunikationssystemen. Die OSI- Sicherheitsarchitektur beschreibt keine bestimmte Technologie, wie Sicherheit in offenen Systemen erreicht wird, sondern sie befasst sich mit den Sicherheitsaspekten in offenen Kommunikationssystemen und definiert die zugehörige Gedanken- und Begriffswelt sowie Richtlinien und Maßnahmen um vorhandene Standards zu verbessern und neue zu entwickeln. Die OSI-Sicherheitsarchitektur stellt die Beziehungen zwischen den Sicherheitsdiensten und - mechanismen mit den Schichten des OSI-Referenzmodells her. Die verschiedenen Sicherheitsdienste und -mechanismen sind auf allen sieben Schichten des OSI- Referenzmodells angesiedelt; von der Bitübertragungsschicht bis hin zur Anwendungsschicht. Sicherheitsdienst Sicherheitsdienste sollen Angriffe abwehren. Es handelt sich dabei um Technologie- security service unabhängige Sicherheitsmaßnahmen, die durch ihre Leistungsmerkmale genau definiert sind und in die Schichtenstruktur der Sicherheitsarchitektur eingebunden werden. Die fünf primären Sicherheitsdienste Vertraulichkeit, Integrität, Authentifizierung, Zugriffskontrolle und 36
  • 37. IT-Sicherheit Unwiderrufbarkeit werden durch Sicherheitsmechanismen realisiert. Neben den genannten Sicherheitsdiensten gibt es weitere, die detaillierter sind, wie die Unversehrtheit der Nachricht oder der Kommunikationsnachweis. Jeder Sicherheitsdienst basiert auf einem oder mehreren Sicherheitsmechanismen. Ein Sicherheitsdienst ist die Vertraulichkeit, mit der sichergestellt wird, dass nur Befugte auf entsprechende Informationen zugreifen können. Sie schützt vor passiven Angriffen und damit vor dem unbefugten Mitlesen von übertragenen Nachrichten und gespeicherten Informationen. Bei den aktiven Angriffen steht die Veränderung der Information und die damit einhergehende Reaktion des Sicherheitsdienste und deren -mechanismen Empfängers im Vordergrund. Die Vertraulichkeit basiert auf den 37
  • 38. IT-Sicherheit Sicherheitsmechanismen Verschlüsselung und Integrität. Der Sicherheitsdienst Datenintegrität überprüft die Datenunversehrtheit und zeigt an ob Datenströme verändert, manipuliert, modifiziert, gelöscht oder vertauscht wurden. Ein weiterer Sicherheitsdienst ist die Zugriffskontrolle, die durch entsprechende Mechanismen die Möglichkeiten des unberechtigten Zugriffs auf Programme und Daten weitestgehend eingeschränkt. Mit der Vertraulichkeit wird sichergestellt, dass Informationen nur für Befugte zugänglich sind. Die Authentifikation des Kommunikationspartners und des Ursprungs der Nachrichten, der Empfänger- und Urhebernachweis, sind weitere sicherheitsrelevante Dienste. Sicherheitsinfrastruktur Unter einer Public Key Infrastructure (PKI) PKI, public key versteht man eine Umgebung, in der infrastructure Services zur Verschlüsselung und digitalen Signatur auf Basis von Public- Key-Verfahren bereitgestellt werden. Bei dieser Sicherheitsstruktur wird der öffentliche Schlüssel eines Zertifikatnehmers (ZN) mit den Strukturierung der PKI entsprechenden Identifikationsmerkmalen 38
  • 39. IT-Sicherheit durch eine digitale Signatur von einer Zertifizierungsinstanz (CA) autorisiert. Die Instanzen der Sicherheitsinfrastruktur sind dabei für das gesamte Schlüssel-Management zuständig. Der Einsatz von PKI bietet eine vertrauenswürdige Netzwerkumgebung, in der Kommunikation vor unberechtigtem Zugriff durch Verschlüsselung geschützt und die Authentizität des Kommunikationspartners durch die digitale Signatur gewährleistet ist. Die verschiedenen Anwendungen der PKI sind kryptografisch geschützt. Dazu gehören der Schutz von E-Mail-Anwendungen, von Desktopsystemen und von webbasierten Anwendungen, von E- Commerce, sowie die Zugriffskontrollen und die sichere Kommunikation in VPNs. Die PKI nutzt zwei Schlüssel mit einer typischen Länge von 1024 bis 2048 Bit. Einen privaten, den nur der Besitzer und die Zertifizierungsstelle kennen und der auch nie ausgelesen oder verschickt wird, sowie einen öffentlichen Schlüssel, der dem jeweiligen Geschäftspartner bekannt gemacht werden muss. Die PKI-Architektur besteht aus den Instanzen Policy Certification Authority (PCA), Certification Authority (CA), Registration Authority (RA) und dem Zertifikatnehmer, die unterschiedliche Aufgaben realisieren. Darüber hinaus umfasst das PKI-Modell mehrere Funktionseinheiten wie das Key Management Center (KMC), die Time Stamping Authority (TSA) und das Key Recovery Center (KRC). Der ausgezeichnete Teil der PKI wird als Trust Center bezeichnet. Eine Sicherheitsinfrastruktur muss für den Endbenutzer transparent sein, allerdings sollten die genauen Abläufe des Schlüssel- und Zertifikatmanagements vor dem Benutzer verborgen bleiben. Er sollte aber in der Lage sein, auf einfache Art und Weise die Services zu nutzen. Sicherheitsmanagement Das OSI-Sicherheitsmanagement ist einer von fünf Funktionsbereichen des OSI-Managements SM, security management und hängt mit der Zielspezifikation der Benutzerverwaltung unmittelbar zusammen. 39
  • 40. IT-Sicherheit Sicherheitspolitische Aspekte müssen ethische und gesetzliche Komponenten ebenso berücksichtigen wie rechtliche, organisatorische und wirtschaftliche Voraussetzungen. Das Sicherheitsmanagement (SM) umfasst den Schutz von Informationen. Dies kann sich auf den Schutz von Objekten, von Diensten und Ressourcen auswirken. Zu den Sicherheitsmaßnahmen gehören u.a. die Authentifizierung, die Passwortverwaltung und die Zugriffsberechtigung auf Netze und LAN-Segmente. Sicherheitsbetrachtungen müssen unter der Prämisse geplant werden, dass Informationen einen Wert darstellen, der quantifiziert und qualifiziert werden kann. Die Datenbasis des OSI-Sicherheitsmanagements bildet die Security Management Information Base (SMIB). Die OSI-Sicherheitsarchitektur kennt drei Management-Kategorien: System Security Management, Security Services Management und Security Mechanismen Management. Die Abwicklung des Sicherheitsmanagements zwischen den Endsystemen erfolgt über Sicherheitsprotokolle. Dabei müssen die Sicherheitsprotokolle und die übertragenen Management-Informationen geschützt werden. Sicherheitspolitik In der Sicherheitspolitik werden die Regeln und Verfahrensweisen festgelegt, nach denen die security policies Datenübermittlung, -verarbeitung und -speicherung erfolgen. Sie berücksichtigt personelle, technische, organisatorische und rechtliche Einflussfaktoren. Bei den personellen Einflussfaktoren geht es um das Bedienpersonal, der Zuverlässigkeit, Sensibilität und Vertrauenswürdigkeit. Es geht um die Antworten auf Fragen wie „Wer darf auf welche Daten zugreifen?“ oder „Wer ist für die Sicherheitspolitik verantwortlich?“ Die technischen Einflussfaktoren sind geprägt durch die vorhandenen Computer, die Art und Sensibilität der Daten und der Software, aber auch durch räumliche Gegebenheiten, die Art der eingesetzten Übertragungsmedien und -techniken, sowie die Anzahl der Prozesse usw. Bei der 40
  • 41. IT-Sicherheit Technik stellen sich Fragen hinsichtlich der Daten, der Art der Vermittlung oder der Verkehrsbeziehungen. So beispielsweise: „Welche Verkehrsbeziehungen sind erlaubt?“ oder „Auf welcher Schicht werden die Sicherheitsdienste installiert?“. Bei den organisatorischen Einflussfaktoren handelt es sich um solche, die sich mit den Arbeitsabläufen der Benutzer beschäftigen. Bei diesen Einflussfaktoren geht es um die vielen sicherheitsrelevanten Aspekte, wie „An wen werden Alarme gemeldet?“ oder „Welche Maßnahmen sind zu treffen, damit die Sicherheitspolitik eingehalten wird?“. Darüber hinaus muss sich die Sicherheitspolitik auch nach den Gesetzen und rechtlichen Vereinbarungen richten. Zu nennen sind das Bundesdatenschutzgesetz (BDSG), Signaturgesetz (SigG), Teledienstdatenschutzgesetz (TDDSG) und andere. Letztlich geht es auch um die Rechtsverbindlichkeit der Informationen, um deren Urhebernachweis oder Kommunikationsnachweis. Sicherheitsprotokoll Sicherheitsprotokolle erhöhen die Sicherheit des Datenverkehrs in Kommunikationsnetzen. Sie security protocol können auf allen Schichten des Kommunikationsmodells eingesetzt werden und besitzen verschiedene Verschlüsselungstechniken, mit denen die Authentisierung gesichert wird oder die zu übertragenden Daten codiert werden. Eines der bekannteren im LAN-Umfeld eingesetzten Sicherheitsprotokolle auf der Vermittlungsschicht ist das PPP-Protokoll. Dieses Protokoll wird vorwiegend für Netzwerkanschlüsse verwendet, die auf Einwahlverbindungen basieren. In der IP- Kommunikation gehört IPsec zu den standardisierten Protokollen. Daneben ist das Tunneling- Protokoll PPTP zu nennen und das für die Verschlüsselung der PPTP-Datenpakete dienende Microsoft Point to Point Encryption Protokoll (MPPE). Die auf der Vermittlungsschicht arbeitenden Sicherheitsprotokolle wie das PAP-Protokoll, das 41
  • 42. IT-Sicherheit SSH-Protokoll oder RADIUS unterstützen die Authentisierung und den Passwortschutz. Für die Sicherung von Tunnel-Verbindungen ist L2Sec zu nennen. In den höheren Schichten dienen die Sicherheitsprotokolle zur Verschlüsselung der Anwendungen, so beispielsweise das SSL- Protokoll und das TLS-Protokoll. Sicherheitsrichtlinie Sicherheitsrichtlinien sind unternehmensspezifische Regeln in denen die Ziele für alle security directive sicherheitsrelevanten Arbeitsgebiete festgelegt sind. In Unternehmen definieren die Sicherheitsrichtlinien die Regeln, die die Mitarbeiter, die an der Ausarbeitung der Richtlinien beteiligt sein sollten, in ihrem Arbeitsgebiet beachten müssen. Zu den wichtigsten Interessengruppen in einem Unternehmen gehören die Sicherheits- und Netzwerkadministration, Arbeitnehmervertreter, Vertreter der Nutzergruppen und der Geschäftsführung. Die ausgearbeiteten Sicherheitsrichtlinien sollten von den Nutzern umgesetzt und akzeptiert werden, sie sollten die Sicherheit des Netzwerks und der Systeme gewährleisten und die Rechte und Pflichten der Nutzer, der Administration und der Geschäftsführung klar regeln. Bestandteile der Sicherheitsrichtlinien umfassen die Beschaffung der Software, Computer- und Netzwerktechnik und die darin realisierten Sicherheitsstandards, die Zugriffsberechtigungen und alle Maßnahmen die dem Datenverlust und der Abwehr von Angriffen dienen, die Betriebs- und Wartungsrichtlinien und das Reporting, um nur einige zu nennen. In die Sicherheitsrichtlinien fließen die nationalen und internationalen Sicherheitsstandards für die Bewertung und Zertifizierung von IT-Systemen ein. Dazu gehören die europäischen Information Technology Security Evaluation Criteria (ITSEC), die amerikanischen Trusted Computer Security (TCSEC) und die Common Criteria for Information Technology Security 42
  • 43. IT-Sicherheit Evaluation (CC). Außerdem befasst sich Kapitel 1 des britischen Standards BS 7799 für das Sicherheitsmanagement mit den Sicherheitsrichtlinien für das Management und für die Betreuung der IT-Sicherheit. Sicherheitsstufe Der Safety Integrity Level (SIL) ist ein Verfahren zur Ermittlung des potentiellen Risikos von SIL, safety integrity level Personen, Systemen, Geräten und Prozessen im Falle einer Fehlfunktion. Die Basis für die Spezifikationen, den Entwurf und Betrieb von sicherheitstechnischen Systemen (SIS) bildet der IEC-Standard 61508. IEC 61508 bietet ein kohärentes Framework in dem alle früheren Sicherheitsregularien berücksichtigt sind. Dazu gehören die in Deutschland bekannten Sicherheitsnormen DIN/VDE 19250, DIN/VDE 19251 und DIN/VDE 801. Der 61508-Standard definiert die Sicherheit in Abhängigkeit vom Grad der Beschädigung und der Wahrscheinlichkeit, die eine bestimmte Anwendung hinsichtlich einer risikorelevanten Situation hat. 61508 hat eine eigene Risikobewertung mit der die Sicherheits-Integritätslevel (SIL) für die Geräte und Systeme mit Sicherheitsaufgaben ermittelt werden. Der IEC-Standard kennt die vier SIL-Level SIL1 bis SIL4, die als Sicherheitsausführungen von elektrischen und elektronischen SIL-Level des IEC-Standards 61508 Geräten definiert sind. Im SIL-Wert 43