IT Sicherheit

Was versteht man eigentlich unter IT Sicherheit?

Zuerst einmal ist es also die Sicherheit der Informationstechnologie (teilweise spricht man auch von IT Systemsicherheit). Diese Informationstechnologiesicherheit hat als Ziel die Informationssicherheit zu gewährleisten . Diese Informationssicherheit wiederum hat das Ziel, die Verarbeitung, Speicherung und Kommunikation von Informationen so zu gestalten, dass die Vertraulichkeit, Verfügbarkeit und Integrität der Informationen und Systeme in ausreichendem Maß sichergestellt wird (siehe Schutzziele im Folgenden).
Zur Zielerreichung müssen verschiedene Teilaspekte (s. dort) integriert betrachtet werden. Informationssicherheit bezeichnet in diesem Zusammenhang das Ziel, diese Systeme von Gefahr bzw. Bedrohungen zu schützen, Schaden zu vermeiden und Risiken zu minimieren.
Dabei umfasst die Informationssicherheit -neben der Sicherheit der IT-Systeme und der darin gespeicherten Daten- auch die Sicherheit von nicht elektronisch verarbeiteten Informationen.

Inhalte der IT Sicherheit

Klassifikationen von IT Sicherheit

nach [SB92]

Schutzziele

Datenschutz

Dieses Schutzziel bezieht sich ausschliesslich auf den Schutz personenbezogener Daten.
Datenschutz etabliert das Prinzip der informationellen Selbstbestimmung, wie sie auch im BVG-Urteil zur Volkszählung festgeschrieben wurde.
Privatsphäre: Persönlichkeitsdaten bzw. Anonymität müssen gewahrt bleiben.
Einhaltung des Bundesdatenschutzgesetzes

Informationssicherheit (auch Datensicherheit)

Dieses Schutzziel bezieht sich auf alle relevanten Informationen einer Organisation oder eines Unternehmens einschliesslich personenbezgener Daten. Es sind insbesondere die VIV-Ziele:

Vertraulichkeit

Daten dürfen lediglich von autorisierten Benutzern gelesen bzw. modifiziert werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der Datenübertragung.

Integrität

Daten dürfen nicht unbemerkt verändert werden, resp. müssen alle Änderungen nachvollziehbar sein.

Verfügbarkeit

Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet werden.

Authentizität

Echtheit und Glaubwürdigkeit einer Person oder eines Dienstes müssen überprüfbar sein.

Randthemen und verwandte Begriffe

Verbindlichkeit/Nachvollziehbarkeit

Urheber von Veränderungen müssen erkennbar sein und dürfen Veränderung nicht abstreiten können.

Nicht-Anfechtbarkeit

der Nachweis, dass eine Nachricht versendet und empfangen worden ist (Authentizität/Nachweisbarkeit)

Zugriffssteuerung

Reglementierung des Zugriffes von außen

Anonymität

in bestimmtem Kontext z.B. im Internet

Bedrohungen

Quelle: Wikipedia

Prioritäten der IT-Sichterheit (IT-Security)

Gefährlichste Kanäle für den Verlust von Daten

Klassifikation von Schäden

nach [SB92]

Schadenshöhe

Beispiele

Risiko-Management

Wichtig: Ein Sicherheitskonzept lebt, es ist nicht statisch. D.h. es muss regelmäßig auf seine Leistungsfähigkeit und Wirksamkeit hin überprüft und fortgeschrieben (erweitert) werden. Kommunikationssicherheit Angriffe gegen ein Kommunikationssystem Computersicherheit Angriffe gegen einen Computer