1 / 331

IT-Sicherheit in Kommunikationsdiensten

IT-Sicherheit in Kommunikationsdiensten. Verbesserungsvorschläge werden gerne angenommen: Mail-Adresse: wkruth@t-online.de Danke. Modulstruktur. 1 Datenschutz, Datensicherung, IT-Sicherheit 2 Durchführung einer Bedrohungs-, Risiko- und Schadensanalyse

iphigenie-kadin
Download Presentation

IT-Sicherheit in Kommunikationsdiensten

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. IT-Sicherheit in Kommunikationsdiensten W. Kruth 2001

  2. Verbesserungsvorschläge werden gerne angenommen: Mail-Adresse: wkruth@t-online.de Danke. W. Kruth 2001

  3. Modulstruktur • 1 Datenschutz, Datensicherung, IT-Sicherheit • 2 Durchführung einer Bedrohungs-, Risiko- und Schadensanalyse • 3 Datenschutz- und Datensicherungskonzept • 4 Sicherheit im Intranet und Internet W. Kruth 2001

  4. Modulstruktur • 5 Kryptografie und Digitale Signatur • 6 Sicherheit im E-Business • 7 Sicherheit von E-Government-Prozessen W. Kruth 2001

  5. Modul 1 Datenschutz Datensicherung IT-Sicherheit W. Kruth 2001

  6. Datenschutz • Datenschutz ist der normative Auftrag an juristische Personen des privaten und öffentlichen Rechts, das informationelle Selbstbestimmungsrecht des Einzelnen vor unzulässiger Beeinträchtigung zu schützen. W. Kruth 2001

  7. Datenschutz • Die nicht-automatisierte und automatisierte • Erhebung • Speicherung • Verarbeitung • Übermittlung personenbezogener Daten ist nur zulässig, wenn dies durch Gesetz oder andere Rechtsvorschrift ausdrücklich bestimmt ist. W. Kruth 2001

  8. Datenschutz • Personenbezogene Daten sind alle • Informationen bei nicht-automatisierter DV bzw. • Daten bei automatisierter DV, die direkt oder indirekt sich auf • Eigenschaften • wirtschaftliche und soziale Verhältnisse einer natürlichen Person beziehen. W. Kruth 2001

  9. Datenschutz • Außerhalb der normativ geregelten Erlaubnistatbestände dürfen personenbezogene Daten nur mit einer auf Sacherkennung basierenden Einwilligung der betroffenen natürlichen Person erhoben werden. W. Kruth 2001

  10. Datenschutz • Rechtsvorschriften zum Datenschutz sind zunächst lex specialis mit Anwendungsvorrang vor lex generalis. • Lex generalis wirken subsidiär. • Das Wissen über die infrage kommenden Rechtsvorschriften ist eine essentielle Voraussetzung für praktizierbaren Datenschutz. W. Kruth 2001

  11. Datenschutz • Die Datenschutz-Kompetenz ist bei der Stelle oder Person angesiedelt, die nach den Organisationsregeln des Unternehmens die originäre Zuständigkeit für die Erhebung, Speicherung, Verarbeitung oder Übermittlung von definierten personenbezogenen Daten verliehen bekommt. W. Kruth 2001

  12. Datenschutz • Diese „verantwortliche Stelle“ kann sich externer Unterstützung durch Outsourcing bedienen (Auftragsdatenverarbeitung). • Bei Auftragsdatenverarbeitung wird der Auftragnehmer aus datenschutzrechtlicher Sicht Bestandteil der verantwortlichen Stelle. W. Kruth 2001

  13. Datenschutz • Werden personenbezogene Daten von einer verantwortlichen Stelle an eine andere Stelle innerhalb oder außerhalb des Unternehmens übermittelt, die ein legales und nachprüfbares Interesse bekundet, wird die empfangende Stelle ebenfalls „verantwortliche Stelle“ im Sinne der Datenschutzgesetze. W. Kruth 2001

  14. Datenschutz • Beim gemeinsamen Zugriff mehrerer Stellen auf einen gemeinsamen Datenbestand mit personenbezogenen Daten müssen die Individual- und Gruppenrechte exakt spezifiziert sein. • Verantwortliche Stelle für die einzelnen Daten ist jeweils die Organisationseinheit oder Person, der die Pflege der Daten obliegt. W. Kruth 2001

  15. Datenschutz • Datenschutz ist insgesamt eine Aufgabe des Unternehmens, die in der Binnenorganisation auf die verantwortlichen Stellen im Wege der Aufgaben- und Zuständigkeitsverteilung übertragen wird. W. Kruth 2001

  16. Datensicherung • Datensicherung als Normbegriff der Rechtsordnung ist die Summe aller technischen und organisatorischen Maßnahmen zur Gewährleistung des Datenschutzes. • Die Maßnahmen müssen in einem angemessenen Verhältnis zum angestrebten Schutzzweck stehen. W. Kruth 2001

  17. Datensicherung • Datensicherung als technischer Begriff ist die Summe aller planenden, steuernden, verarbeitenden und kontrollierenden Maßnahmen zur Gewährleistung der Sicherheitsziele • Verfügbarkeit • Integrität der informationstechnischen Infrastruktur. W. Kruth 2001

  18. Datensicherung • Datensicherung als antiquierter Begriff beschränkt sich auf alle Maßnahmen zur Kopieerstellung von Datenbeständen mit dem Ziel der Rekonstruktion bei Verlust der Verfügbarkeit und / oder der Integrität. W. Kruth 2001

  19. Datensicherung • Datensicherung zur Gewährleistung der Verfügbarkeit und Integrität der informationstechnischen Infrastruktur ist im weiteren Sinne auch Voraussetzung für die Erzielung einer Gesamtsicherheit, die alle Komponenten der IT-Infrastruktur erfasst, die für die betrieblichen Wertschöpfungsprozesse relevant sind. W. Kruth 2001

  20. Datensicherung • Das Interesse eines Unternehmens und seiner Leistungseinheiten ist primär auf die Sicherstellung der kontinuierlichen Bedürfnisbefriedigung und der Gewinnmaximierung ausgerichtet. • Das Interesse des Einzelnen fokussiert primär auf den Schutz seiner personenbezogenen Daten vor Missbrauch. W. Kruth 2001

  21. IT-Sicherheit • Ein IT-System stellt die Zusammenfassung von • Objekten, • Subjekten, • möglichen Aktionen und • Umfeldbedingungen dar. W. Kruth 2001

  22. IT-Sicherheit • Objekte eines IT-Systems sind alle aktiven und passiven Komponenten der • Hardware und Software und die • gespeicherten Daten. • Als IT-System im weiteren Sinne wird auch die informationstechnische Infrastruktur bezeichnet. W. Kruth 2001

  23. IT-Sicherheit • Diese Objekte werden einzeln, in ihrer Ordnung nach Gruppen oder als Gesamtobjekte eines IT-Systems als „schutzwürdige Objekte“ bezeichnet. • Für jedes Objekt muss geregelt sein, welche Subjekte und welchen Voraussetzungen den Zugang und den Zugriff erhalten. W. Kruth 2001

  24. IT-Sicherheit • Als Zugangsverfahren wird das Anmeldeverfahren von Subjekten zu IT-Systemen oder einzelnen Objekten bezeichnet. • Im Zugangsverfahren wird die Berechtigung von natürlichen oder technischen Subjekten durch technische oder logische Verfahren zur Identifizierung und / oder Authentifizierung überprüft. W. Kruth 2001

  25. IT-Sicherheit • Zugriff ist die Ausführung von lesenden, schreibenden oder steuernden Aktionen auf definierte Objekte eines IT-Systems. • Die Zugriffskontrolle erfolgt auf logischer Ebene nach ordnungsgemäßer Zugangskontrolle mittels Verfahren zur Identifizierung und / oder Authentifizierung von Zugriffsrechten. W. Kruth 2001

  26. IT-Sicherheit • Ein Subjekt darf demnach nur auf ein Objekt zugreifen, wenn dies in seiner Zuständigkeit liegt (Need-to-Know-Prinzip). W. Kruth 2001

  27. IT-Sicherheit • Subjekte eines IT-Systems sind zunächst • der oder die Betreiber, • der oder die Anwender und • der oder die Benutzer. • Der Zugang zu IT-Systemen und der Zugriff auf einzelne Objekte erfordert eine Identifikation oder Authentifizierung der Subjekte. W. Kruth 2001

  28. IT-Sicherheit • Subjekte können aber auch technische Kommunikationselemente sein, die mittels selbststeuernder Aktionen eine Connection zu fremden Systemen mit dem Ziel des Zugriffs auf fremde Objekte aufbauen, nutzen und wieder abbauen. W. Kruth 2001

  29. IT-Sicherheit • Aktionen können passiv oder aktiv sein. • Zu unterscheiden ist zwischen objektsteuernden und objektnutzenden Aktionen; eine begriffliche Differenzierung erfolgt auf Softwareebene durch die Abgrenzung der Systemsoftware von der Anwendungssoftware. W. Kruth 2001

  30. IT-Sicherheit • Das Umfeld eines IT-Systems wird primär durch • räumliche • versorgungstechnische und • klimatechnische Konstrukte am Standort beschrieben. • Für vernetzte Systeme definiert sich ein sekundäres Umfeld durch die Netztopologie und die Kommunikationsarchitektur. W. Kruth 2001

  31. IT-Sicherheit • IT-Sicherheit kann zunächst durch Ausschluss definiert werden. • Danach gilt ein IT-System als sicher, wenn in der Realität keine Bedrohungen auftreten, die die Sicherheit des Gesamtsystems oder einzelner Objekte beeinträchtigen. W. Kruth 2001

  32. IT-Sicherheit • Die Ausschluss-Definition bietet keinen pragmatischen Ansatz. Sie hat nur theoretischen Charakter. • Die induktive Definition der Sicherheit geht dagegen davon aus, dass unter den bekannten oder vermuteten Aktionen Manipulationen möglich sind, die nach Art und Auswirkung erfassbar sind. W. Kruth 2001

  33. IT-Sicherheit • Induktive Definition der Sicherheit: • Ein System muss nach Abschluss der Installation oder zu einem anderen definierten Zeitpunkt als sicher angenommen werden. • Ein System ist so lange als sicher anzusehen, wie kein Subjekt Aktionen ausführen kann, die die Vertraulichkeit, Verfügbarkeit, Integrität und Verbindlichkeit der Objekte beeinträchtigen. W. Kruth 2001

  34. IT-Sicherheit • Eine weitere Definition folgt dem pragmatischen Ansatz: • Ein System ist dann sicher, wenn es geeignet ist, durch eigene oder additive Maßnahmen die zur Gewährleistung der Sicherheitsziele festgelegten Anforderungen in der Praxis zum Abschluss der Installation oder zu einem Zeitpunkt zu erkennen. W. Kruth 2001

  35. IT-Sicherheit • Das Gesamtziel der IT-Sicherheit differenziert sich in Teilzielen: • Gewährleistung der Vertraulichkeit • Gewährleistung der Verfügbarkeit • Gewährleistung der Integrität • Gewährleistung der Verbindlichkeit W. Kruth 2001

  36. IT-Sicherheit • Gewährleistung der Vertraulichkeit: • Schutz der Objekte vor unautorisiertem Zugriff von nicht berechtigten Subjekten • Jeder Zugriff, der nicht durch eine klare Regelvorschrift ausdrücklich zugelassen ist, muss verweigert werden W. Kruth 2001

  37. IT-Sicherheit • Gewährleistung der Verfügbarkeit: • Schutz vor der Zerstörung oder dem Diebstahl von Objekten • Schutz vor Beeinträchtigungen der ordnungsgemäßen Aktionssteuerung und –ausführung durch Umfeld-, Software-, Hardware- oder Anwender-Versagen W. Kruth 2001

  38. IT-Sicherheit • Gewährleistung der Integrität: • Schutz vor Beeinträchtigung von Funktionen technischer Komponenten, der formalen oder materiellen Struktur von Daten durch Manipulationen mittels unzulässiger Aktionen W. Kruth 2001

  39. IT-Sicherheit • Gewährleistung der Verbindlichkeit: • Schutz vor der Verfälschung der Identität von Absendern und Empfängern • Schutz von Transportsystemen und logischen Kommunikationsverbindungen gegen Manipulation der Transaktionen W. Kruth 2001

  40. Sicherheitspolitik • Die Sicherheitspolitik (IT Security Policy) legt fest, • welche Schutzwürdigkeit die Objekte besitzen, • gegen welche Bedrohungen die schutzwürdigen Objekte zu schützen sind, • welche Grundsätze und Regeln in puncto Sicherheit im Sicherheits-System gelten sollen und • welches Restrisiko der Betreiber akzeptieren kann. W. Kruth 2001

  41. Sicherheitspolitik • Die Schutzwürdigkeit der Objekte wird aus der Empfindlichkeit (Sensitivität) der Daten abgeleitet. • Daten sind dann sensitiv, wenn sie für natürliche Personen und / oder das Unternehmen einen gewissen Wert besitzen. W. Kruth 2001

  42. Sicherheitspolitik • Der Wert eines Datums ist allerdings keine absolute Größe, sondern er wird im Kontext der ideellen Einschätzung einer natürlichen Person und / oder finanziellen Aspekten bei betrieblicher Werteinschätzung ermittelt. W. Kruth 2001

  43. Sicherheitspolitik • Eine Bedrohung ist jede Beeinträchtigung des angestrebten Zustandes der IT-Sicherheit durch ungesteuerte bzw. ungeplante oder gesteuerte bzw. geplante Aktion eines Subjektes oder Objektes, die außerhalb der zweckbestimmten betrieblichen Nutzung des bedrohten Objektes erfolgt. W. Kruth 2001

  44. Sicherheitspolitik • Bedrohungen können nach unterschiedlichen Merkmalen klassifiziert werden: • nach Eintrittswahrscheinlichkeit • nach dem Ort der Entstehung • nach Aktionsebenen • nach allgemeinen und speziellen Bedrohungen W. Kruth 2001

  45. Sicherheitspolitik • Das Sicherheitssystem wird durch ein Regelwerk beschrieben, in dem die technischen und organisatorischen Maßnahmen • nach Art, Objektbezug, vermuteter oder bekannter Wirkung, • die Kompetenzen und Verantwortlichkeiten für die Standardisierung und Fortentwicklung des Regelwerks und die • Kontrollmechanismen zur Überprüfung des Sicherheitssystems dokumentiert sind. W. Kruth 2001

  46. Sicherheitspolitik • Das Restrisiko ist möglichst exakt zu beschreiben, um eine Worst Case-Planung für nicht beherrschbare Bedrohungen zu ermöglichen. • Extremfall der Worst Case-Planung ist der Totalausfall der IT-Infrastruktur, der durch Vorsorgemaßnahmen kompensiert werden muss. W. Kruth 2001

  47. Sicherheitspolitik • Sicherheitspolitik muss akzeptiert und durchsetzbar sein. Dazu bedarf es verschiedener Handlungen: • Sicherheitspolitik als Bestandteil der Unternehmenspolitik • IT-Sicherheit als Unternehmensziel • Strategische und operative Management-Entscheidungen im Planungs- und Realisierungsprozess W. Kruth 2001

  48. Sicherheitspolitik • Unternehmenspolitik beschreibt die sozialen, wirtschaftlichen und gesellschaftlichen Ambitionen des Unternehmens im Kontext zu seiner Umwelt. • Die unternehmenspolitische Standortbestimmung basiert auf der Kontinuität der Wertschöpfung und Gewinnerzielung. • Die Sicherheitspolitik ist essentielle Voraussetzung für die Bestands- und Erfolgssicherung. W. Kruth 2001

  49. Sicherheitspolitik • IT-Sicherheit als Unternehmensziel ist eine verbindliche Zielvorgabe für das Management. • IT-Sicherheit als Unternehmensziel führt aus der Abstraktion der Sicherheitspolitik in eine konkrete Management-Aufgabe. W. Kruth 2001

  50. Sicherheitspolitik • Das Management auf allen Führungsebenen ist Top Down-methodisch für die Belange der Sicherheitspolitik und die Herstellung des Regelwerks im IT-Sicherheitssystem zu sensibilisieren. • Die Akzeptanz und Unterstützung des Managements sind notwendige Voraussetzung für aktives Mitwirken der Beschäftigten im Sinne von Corporate Identity. W. Kruth 2001

More Related