Informationen stellen kostbare Vermögenswerte eines jeden Unternehmens dar. In ihnen schlummern bedeutende wirtschaftliche Werte und sie beherbergen das Fundament für unzählige Unternehmensexistenzen.
Die Big 3 der Informationssicherheit, auch als Schutzziele bekannt, bilden die Kernpunkte zum Schutz Ihrer Informationen. Was genau hinter den Begriffen: Vertraulichkeit, Integrität und Verfügbarkeit steckt und durch welche Bedrohungen diese Schutzziele verletzt werden können, erfahren Sie im Folgenden.
Vertraulichkeit in der Systemsicherheit
Ein System liefert Vertraulichkeit, wenn niemand unautorisiert Informationen gewinnen kann.
Bedrohungen der Vertraulichkeit
Eine typische Bedrohung für die Vertraulichkeit von Daten ist zum Beispiel, wenn der Arbeitsplatz akustisch oder visuell nicht richtig abgesichert ist und Unbefugte so einfach an Informationen gelangen können. Bestimmt haben Sie es auch schon mal erlebt, dass Sie in der Bahn jemandem ohne Probleme auf den Bildschirm und damit vielleicht auch auf die Präsentation für die nächste Vorstandssitzung schauen konnten. Auch über den Büroflur bekommt man z.B. oft unabsichtlich sensible Informationen mit.
Manchmal sind solche „Vertraulichkeits-Lecks“ auch besonders perfide, weil man sich ihrer gar nicht bewusst ist. Moderne Drucker speichern z.B. oft automatisch Daten auf der eingebauten Festplatte ab. Die ARD kaufte für einen Test gebrauchte Multifunktionsdrucker auf ebay und las mit einer kostenlosen Software die Festplatten aus. Es fanden sich Scheidungsunterlagen, Lohnsteuerkarten, polizeiliche Zeugenvernehmungen, etc. Einer der Drucker befand sich wohl in einer Anwaltskanzlei, die sich nicht bewusst war, dass die gescannten Dokumente gespeichert wurden. In diesem Fall ist das sogar nicht nur aus datenschutztechnischen Gründen relevant, sondern auch ein Verstoß gegen §203 Strafgesetzbuch, nach dem fremde Geheimnisse, die persönliche Lebensbereiche oder Betriebs- oder Geschäftsgeheimnisse betreffen, nicht weitergegeben werden dürfen.
So oft Sie können, sollten Sie daher Gebrauch von Verschlüsselung machen. Ein ungeschütztes WLAN oder unverschlüsselte E-Mails sind potentielle Sicherheitsrisiken. Auch für den Fall, dass ein Dienst-Smartphone, Laptop oder USB-Stick verloren gehen sollte, steht es um die Vertraulichkeit der Daten wesentlich besser, wenn das Gerät verschlüsselt war.
Auch wenn die Anwaltskanzlei aus dem ARD Versuch mit einem blauen Auge davon kam. Können Vorfälle wie dieser unter reellen Bedingungen einen starken Imageverlust nach sich ziehen.
Damit es erst gar nicht zu unbekannten Einfallstoren kommen kann, empfiehlt es sich immer alle Bestandteile seiner IT-Umgebung zu inventarisieren. Dank IT-Inventarisierung können somit jederzeit alle Geräte erfasst werden und die Auflistung aktuell aufbereitet werden.
Integrität der Systemsicherheit
Ein System gewährleistet die Integrität, wenn es nicht möglich ist, zu schützende Daten unautorisiert und unbemerkt zu verändern.
Bedrohungen der Integrität
Ein Beispiel für den aktiven Angriff auf die Integrität von Daten wäre die sogenannte SQL-Injection. Bei dieser Attacke nutzt ein Angreifer die mangelnde Überprüfung von Nutzereingaben aus, um eigene Befehle in eine SQL-Datenbank einzuschleusen. So kann der Angreifer die Daten in der Datenbank manipulieren oder unter Umständen sogar die gesamte Datenbank löschen. Wenn Sie mehr über SQL-Injection wissen möchten, werden Sie auf unserem Blog fündig.
Die Integrität von Daten kann aber nicht nur durch Angriffe, sondern auch unabsichtlich verletzt werden. Z.B. dann, wenn Soft- oder Hardware fehlerhaft arbeiten und dadurch falsche Informationen gespeichert oder weitergegeben werden.
Auch um die Datenintegrität zu gewährleisten gilt wieder, immer Verschlüsselung zu verwenden, wenn es möglich ist. Wichtige Kundenkommunikation sollte am besten auf dem Postweg, persönlich oder verschlüsselt erfolgen, damit Daten auf wichtigen Verträgen nicht einfach unbemerkt von Dritten geändert werden können.
Um derartigen Sicherheitslecks vorzubeugen, lohnt es sich immer auf einen Penetrationstest zurück zu greifen. Dieser hilft Ihnen Schwachstellen und mögliche Einfallstore frühzeitig zu erkennen und gibt Ihren IT-Security Spezialisten darüber hinaus die Chance ihre Arbeit auf Erfolg zu prüfen.
Authentizität als Ergänzung der Integrität
Ein Objekt oder ein Benutzer ist authentisch, wenn dessen Echtheit und Glaubwürdigkeit anhand einer eindeutigen Identität/charakteristischen Eigenschaften überprüfbar ist (z.B. Nutzername & Passwort, Fingerabdruck). Die Prüfung der Authentizität wird als Authentifikation bezeichnet.
Bedrohungen der Authenzität
Einen Angriff auf die Authentizität stellt z.B. die Erzeugung von Nachrichten unter einer falschen Identität dar. Beispielsweise das Bestellen von Waren im Internet unter einem falschen Namen. Wichtig ist, dass Unternehmen Kriminellen diesen Vorgang nicht auch noch erleichtern, z.B. dadurch, dass Passwörter unsicher gewählt werden.
Die aktuellen Top 10 der deutschen Passwörter sind laut dem Hasso-Plattner-Institut übrigens:
- 123456
- 123456789
- 1234
- 12345
- 12345678
- hallo
- passwort
- 1234567
- 111111
- hallo123
Solche Passwörter tragen natürlich nicht gerade zur Sicherung der Authentizität bei. Abhilfe kann hier z.B. ein Passwortmanager schaffen, also ein Programm zur sicheren Speicherung von Passwörtern. Auch wenn es möglich ist, sich in bestimmten Bereichen ohne Passwort anzumelden oder das Standardpasswort für den Serverzugang nie geändert wurde, stellt dies eine Bedrohung für die Authentizität dar.
Fest zur Authentizität gehört auch die Verbindlichkeit: „Verbindlichkeit einer Aktion wird gewährleistet, wenn ein Subjekt diese im Nachhinein nicht abstreiten kann.“ Im Bereich Verbindlichkeit kann man z.B. viel mit der Erstellung von sogenannten Logdateien erreichen. Das sind automatisch geführte Protokolle über Computeraktivitäten. Diese Logdateien können dann im Idealfall bei einem Sicherheitsvorkommnis dazu verwendet werden, aufzuklären, welcher Mitarbeiter wann Zugriff auf welche Kundendaten hatte und was er damit gemacht hat. Auch digitale Signaturen können helfen die Verbindlichkeit herzustellen. Sie funktionieren wie eine digitale Unterschrift, so dass man sicher sein kann, dass die Nachricht auch wirklich vom Unterzeichner kommt.
Verfügbarkeit von Systemen
Ein System gewährt Verfügbarkeit, wenn authentifizierte und autorisierte Subjekte in der Wahrnehmung ihrer Berechtigungen nicht unautorisiert beeinträchtigt werden können.
Bedrohung der Verfügbarkeit
Einen Angriff auf die Verfügbarkeit stellt z.B. ein Serverausfall dar. Aber auch elementare Gefährdungen müssen hier betrachtet werden. Wenn der Serverraum abgebrannt ist, dann steht der entsprechende Dienst wahrscheinlich auch nicht mehr zur Verfügung. Generell gilt es für Sie Ihre IT möglichst ausfallsicher zu gestalten. Helfen kann Ihnen hierbei ein effektives IT-Monitoring. Mit diesem erreicht Ihre Arbeit ein proaktives Level und hilft Ihnen Anomalien frühzeitig zu detektieren.
Für die Gewährleistung der Verfügbarkeit ist es besonders wichtig ein gutes Krisenmanagement zu haben. Wer ist im Notfall zuständig und wie ist derjenige erreichbar? Unumgänglich ist auch eine Back-Up Strategie, bei der nicht nur regelmäßig Back-Ups erstellt werden, sondern auch tatsächlich das Wiedereinspielen dieser Back-Ups geprobt wird. In der Praxis stellt nämlich gerade Letzteres eine größere Herausforderung dar, als man denkt.
Alle oben genannten Schutzziele dürfen aber selbstverständlich nicht komplett isoliert betrachtet werden. Sie greifen ineinander und bedingen sich gegenseitig. Das ganzheitliche Konzept von Enginsight kann Sie bei der Realisierung dieser Schutzziele daher bestens unterstützen.
Zusammenfassung: Vertraulichkeit, Integrität, Verfügbarkeit in der IT
Vertraulichkeit, Integrität und Verfügbarkeit sind die Kernpunkte des Schutzes von Informationen. Vertraulichkeit bedeutet, dass niemand unautorisiert Zugang zu Informationen hat. Bedrohungen der Vertraulichkeit sind ungeschützte Arbeitsplätze und unverschlüsselte Datenübertragungen. Integrität bedeutet, dass Informationen unverändert bleiben. Bedrohungen der Integrität sind Viren und Trojaner. Verfügbarkeit bedeutet, dass Informationen zu jeder Zeit zugänglich sind. Bedrohungen der Verfügbarkeit sind DDoS-Angriffe und Ausfälle von Hardware oder Software.
Wie Sie die einzelnen Schutzziele mit unserer Software umsetzen, zeigen wir Ihnen gern in einem persönlichen Beratungstermin. Kommen Sie gern auf uns zu!
Weiterführendes Wissen:
Information Security Management System (ISMS) – zur dauerhaften Steigerung der Informationssicherheit