Schutzziele der Informationssicherheit

Die Schutzziele der Informationssicherheit dienen dazu, Informationen jeglicher Art zu schützen. Im Allgemeinen spricht man von drei Schutzzielen: Vertraulichkeit, Verfügbarkeit und Integrität.

(Basis-) Schutzziele

Angesichts der hohen Bedeutung von Informationen für verschiedene Organisationen (Betriebsgeheimnisse, Kundendaten etc.) wurden Schutzziele der Informationssicherheit definiert.

Mit diesen Schutzzielen soll die ...

• Vertraulichkeit (Schutz vor unbefugtem Zugriff auf Informationen),
• Verfügbarkeit (Gewährleistung eines unterbrechungsfreien Zugangs zu Systemen und Daten) und
• Integrität (Sicherstellung der Korrektheit und Unversehrtheit von Informationen und Systemen)

... der Daten sichergestellt werden, um Risiken für Organisationen so weit es geht zu minimieren. Jedes Schutzziel erfordert spezifische Maßnahmen und Methoden, um es zu erreichen.

Vertraulichkeit

Durch die Vertraulichkeit wird sichergestellt, dass bestimmte Informationen nur den Personen zugänglich sind, die die entsprechenden Berechtigungen haben.

Maßnahmen zur Gewährleistung der Vertraulichkeit

Zur Gewährleistung der Vertraulichkeit können folgende Maßnahmen ergriffen werden:

• Verschlüsselung von sensiblen Daten: Durch die Anwendung kryptografischer Verfahren werden die Daten in eine unleserliche Form umgewandelt, sodass sie nur mit einem passenden Entschlüsselungs-Schlüssel wieder lesbar werden. Beispiele für Verschlüsselungstechniken sind symmetrische Verschlüsselung (wie AES) und asymmetrische Verschlüsselung (wie RSA).
• Zugriffskontrollen: Durch die Implementierung von Zugriffskontrollmechanismen kann der Zugriff auf Informationen eingeschränkt und auf autorisierte Benutzer beschränkt werden. Dies umfasst die Vergabe von Benutzerkonten, Passwörtern, Rollen und Berechtigungen, um sicherzustellen, dass nur autorisierte Personen auf die Daten zugreifen können.
• Firewall: Alternativ könntest du Vertraulichkeit durch eine Firewall realisieren. Diese stellt sicher, dass interne Netzwerke geschützt werden und nur berechtigte Personen von außen auf die Netzwerkressourcen zugreifen können.

Verfügbarkeit

Mit dem Schutzziel der Verfügbarkeit soll sichergestellt werden, dass Informationen im größtmöglichen zeitlichen Rahmen zugänglich sind.

In anderen Worten: Es geht darum, Systemausfälle möglichst zu verhindern.

Maßnahmen zur Gewährleistung der Verfügbarkeit

• Redundante Systeme: Durch den Einsatz redundanter Hardware, Netzwerkkomponenten oder Systeme wird sichergestellt, dass im Falle eines Ausfalls eines Systems ein anderes System die Funktionalität übernimmt. Dadurch wird die Ausfallzeit minimiert und die Verfügbarkeit erhöht.

• Failover-Systeme: Failover bezeichnet den automatischen Wechsel zu einem Backup-System, wenn das primäre System ausfällt. Dies kann beispielsweise durch die Verwendung von Cluster-Technologien oder Virtualisierung erreicht werden.
  \rarr$\rarr$ Hierfür müssen natürlich regelmäßig Datenbackups gemacht werden und redundante Systeme werden vorausgesetzt.

• Load-Balancing: Durch die Verteilung der Arbeitslast auf mehrere Systeme kann die Verfügbarkeit verbessert werden, da einzelne Systeme nicht überlastet werden. Load-Balancer überwachen die Auslastung der Systeme und leiten den Datenverkehr so um, dass er gleichmäßig auf die verfügbaren Ressourcen verteilt wird.

• Disaster Recovery Plan: Ein Disaster Recovery Plan ist ein vordefinierter Prozess zur Wiederherstellung des Systems nach einem größeren Ausfall oder einer Katastrophe. Dies beinhaltet die Dokumentation der erforderlichen Schritte, um das System wiederherzustellen, und die Sicherung von Daten und Konfigurationen an einem externen Standort.

Integrität

Mit der Integrität der Daten soll sichergestellt werden, dass keine Veränderung an den Daten unerkannt bleibt. Hier geht es also darum nachvollziehen zu können, welche Änderungen an den Daten vorgenommen wurden.

\rarr$\rarr$ Bei Brüchen oder Beschädigungen von Glasfasern können Lichtsignale gestört oder gestreut werden. Dies führt zu Signalverlusten oder Fehlern bei der Datenübertragung. Wenn diese Veränderungen nicht erkannt werden, können sie zu unerkannten Veränderungen der Daten führen.

Maßnahmen zur Gewährleistung der Integrität

• Prüfsummen: Prüfsummen sind mathematische Algorithmen, die basierend auf den Daten berechnet wird und als eine Art „Fingerabdruck“ der Daten dient. Wenn sich die Daten ändern, ändert sich auch die Prüfsumme. Bei der Übertragung oder Speicherung von Daten kann die Prüfsumme erneut berechnet und mit der gespeicherten Prüfsumme verglichen werden, um festzustellen, ob die Daten unversehrt geblieben sind.
• Zugriffskontrollen: Durch die Implementierung von Zugriffsrechten und Berechtigungen kann sichergestellt werden, dass nur autorisierte Benutzer die Fähigkeit haben, Daten zu ändern oder zu löschen.
• Regelmäßige Backups: Durch die regelmäßige Sicherung von Daten können im Falle von Datenverlusten, Beschädigungen oder Fehlern die Integrität der Informationen wiederhergestellt werden. Die Backups sollten an einem sicheren Ort aufbewahrt und regelmäßig auf ihre Integrität überprüft werden.

Erweiterte Schutzziele der Informationssicherheit

Neben den drei Basis-Schutzielen Verfügbarkeit, Vertraulichkeit und Integrität werden von Unternehmen oft noch zwei weitere Schutzziele festgelegt - diese sind:

Authentizität

Die Authentizität bezieht sich darauf, dass die Identität von Benutzern, Geräten oder Informationen verifiziert werden kann. Es geht darum sicherzustellen, dass diejenigen, mit denen man interagiert, tatsächlich diejenigen sind, für die sie sich ausgeben.

\rarr$\rarr$ Methoden zur Gewährleistung von Authentizität sind beispielsweise digitale Signaturen. Eine digitale Signatur ist eine kryptografische Methode, die es ermöglicht, die Echtheit einer Nachricht oder eines Dokuments zu bestätigen und Manipulationen zu erkennen.

Verbindlichkeit

Die Verbindlichkeit bezieht sich darauf, dass Aktionen oder Transaktionen nachvollziehbar und nicht abstreitbar sind. Es geht darum sicherzustellen, dass jede Aktion oder Transaktion eindeutig einer bestimmten Person oder einem bestimmten System zugeordnet werden kann.

\rarr$\rarr$ Methoden zur Gewährleistung von Verbindlichkeit sind beispielsweise Zugriffskontrollen. Durch die Vergabe von Benutzerkonten und Berechtigungen können Aktionen einer bestimmten Person zugeordnet und überwacht werden.

Angriffsvektoren

Ein Angriffsvektor (engl. Attack Vector) sind Methoden oder Wege, die von Angreifern genutzt werden, um Schwachstellen in Informationssystemen auszunutzen und die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit zu gefährden. Es handelt sich um potenzielle Angriffspunkte oder Eintrittspunkte, die es Angreifern ermöglichen, auf Informationen zuzugreifen, diese zu manipulieren oder den Zugriff auf sie zu blockieren.

Einige Beispiele für verschiedene Angriffsvektoren sind:

• Phishing
• Trojaner
• Malware
• ...

Um die Schutzziele zu erreichen, ist es wichtig, die möglichen Angriffsvektoren zu kennen und entsprechende Maßnahmen zu ergreifen.

Anwendungsbeispiele für Schutzziele in der Informationssicherheit

Vertraulichkeit: Datenverschlüsselung bei der Online-Banking-Übertragung

Wenn du dein Online-Banking nutzt und eine Überweisung durchführst, möchtest du sicherstellen, dass deine sensiblen Finanzdaten vertraulich bleiben. Hier kommt die Vertraulichkeit ins Spiel:

Eine häufige Maßnahme zur Gewährleistung der Vertraulichkeit ist die Datenverschlüsselung. Bei der Übertragung deiner Bankdaten werden diese mit einer starken Verschlüsselungsmethode, wie beispielsweise SSL/TLS, geschützt.
\rarr$\rarr$ Dadurch können nur der Sender und der Empfänger die Daten entschlüsseln, während sie über das Internet übertragen werden. Selbst wenn ein Angreifer den Datenverkehr abfängt, sind die Informationen für ihn unlesbar.

Verfügbarkeit: Failover-Systeme für eine E-Commerce-Website

Angenommen, du betreibst eine E-Commerce-Website, auf der Kunden Produkte kaufen können.

Um sicherzustellen, dass die Website jederzeit verfügbar ist, könntest du Failover-Systeme einsetzen. Diese Systeme bestehen aus einem primären und einem sekundären Server. Wenn der primäre Server ausfällt, springt das Failover-System automatisch ein und übernimmt die Funktionen der Website.
\rarr$\rarr$ Dadurch wird die Ausfallzeit minimiert und die Verfügbarkeit der Website für die Kunden gewährleistet. Ein solches System kann beispielsweise auf Virtualisierungstechnologien basieren und mit Mechanismen wie automatischem Lastenausgleich kombiniert werden.

Integrität: Hash-Funktionen (Prüfsumme) zur Überprüfung von Dateiintegrität

Wenn du eine Datei herunterlädst, möchtest du sicherstellen, dass sie während der Übertragung nicht verändert wurde und ihre Integrität erhalten geblieben ist. Hier kommen Hash-Funktionen (spezielle Form von Prüfsummen) ins Spiel:

Eine Hash-Funktion berechnet einen eindeutigen Hash-Wert (also eine Prüfsumme) für eine gegebene Datei. Wenn sich die Datei auch nur geringfügig ändert, ändert sich der berechnete Hash-Wert ebenfalls. Um die Integrität zu überprüfen, kannst du den berechneten Hash-Wert mit einem zuvor bekannten und gespeicherten Hash-Wert vergleichen.
\rarr$\rarr$ Wenn die Hash-Werte übereinstimmen, kannst du sicher sein, dass die Datei unverändert ist. Dies wird beispielsweise oft bei der Überprüfung der Integrität von heruntergeladenen Softwarepaketen verwendet.

Angriffsvektor: Trojaner

Ein klassisches Beispiel für einen Cyberangriff ist das Trojanische Pferd (kurz Trojaner).

Ein Trojaner ist ein Computerprogramm, das als nützliche Anwendung getarnt ist. In Wirklichkeit werden im Hintergrund schädliche Aktionen ausgeführt, von denen der Anwender nichts weiß.

Bekannte Trojaner sind zum Beispiel:

• Storm Worm
• Zeus

Zusammenfassung Schutzziele

Die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit sind entscheidend für die Gewährleistung der Informationssicherheit.
Durch die Implementierung von Verschlüsselungstechniken, Zugriffskontrollen, regelmäßigen Backups, redundanten Systemen, Failover-Systemen, Load-Balancing und einem Disaster Recovery Plan können diese Schutzziele erreicht werden.

\rarr$\rarr$ Durch die gezielte Umsetzung dieser Maßnahmen wird die Sicherheit von Informationen und Systemen gewährleistet.