IT-Sicherheit für Dummies. Rainer W. Gerling
Чтение книги онлайн.

Читать онлайн книгу IT-Sicherheit für Dummies - Rainer W. Gerling страница 15

СКАЧАТЬ durch autorisierte Personen oder Programme erfolgen. Die Sicherheit in der Informationstechnik und der damit verbundene Schutz von Informationen und informationsverarbeitenden Systemen vor Angriffen und unautorisierten Zugriffen im Sinne dieses Gesetzes erfordert die Einhaltung bestimmter Sicherheitsstandards zur Gewährleistung der informationstechnischen Grundwerte und Schutzziele.

      Sicherheit in der Informationstechnik … bedeutet die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Integrität oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen

      1. in informationstechnischen Systemen, Komponenten oder Prozessen oder

      2. bei der Anwendung von informationstechnischen Systemen, Komponenten oder Prozessen.«

      § 2 Abs. 2 BSI-Gesetz (BGBl. I S. 2821, zuletzt geändert durch Art. 1 des Gesetzes vom 18. Mai 2021 (BGBl. I S. 1122)

      Die Gültigkeit dieser Definition in Satz 4 ist auf den Geltungsbereich des BSI-Gesetzes eingeschränkt. Diese Einschränkung haben wir weggelassen und durch »…« ersetzt. Ohne diese Einschränkung wäre das eine allgemeine rechtliche Definition der IT-Sicherheit. Lassen Sie uns diese Definition nun interpretieren, um sie im Detail zu verstehen.

      Die Sätze 1 bis 3 wurden erst 2021 durch das sogenannte IT-Sicherheitsgesetz 2.0 zur Erläuterung in das BSI-Gesetz eingefügt, »um den Inhalt der Schutzziele der Informationssicherheit näher zu bestimmen«. So finden Sie die Begründung der Ergänzung in der Bundestagsdrucksache. Sie müssen nicht nur die Informationen schützen, sondern auch die informationsverarbeitenden Systeme.

      

Informationstechnische Systeme sind technische Anlagen, »die der Informationsverarbeitung dienen und eine abgeschlossene Funktionseinheit bilden. Typische IT-Systeme sind Server, Clients, Einzelplatzcomputer, Mobiltelefone, Router, Switches und Sicherheitsgateways.« [BMI16]

      Satz 3 geht vom Schutz vor Angriffen und unberechtigten Zugriffen aus. Die Definition greift dabei zu kurz, da sie nur auf den Schutz vor Angriffen (beabsichtigte Störungen, englisch security) abzielt und die unbeabsichtigten Störungen (englisch safety) außen vor lässt. Dabei müssen Sie in einem umfassenden Informationssicherheitskonzept auch den Schutz vor Störungen durch Naturgewalten und Unfälle (zum Beispiel Brand im Rechenzentrum, Stromausfall, Hochwasser) berücksichtigen. Ihnen kann es als Nutzerin egal sein, ob Ihr Internetzugang im Home Office wegen eines Hackerangriffs auf den Provider oder wegen eines Stromausfalls beim Provider ausgefallen ist. In beiden Fällen können Sie nicht arbeiten.

      In der IT-Sicherheit müssen Sicherheitsstandards eingehalten werden, das heißt, ohne Sicherheitsstandards, also ohne Vorgaben, gibt es keine Informationssicherheit. Durch die Sicherheitsstandards wird der Soll-Zustand vorgegeben. Abweichungen des Ist-Zustands vom Soll-Zustand werden als Sicherheitsvorfälle bezeichnet. Der Begriff Standard ist hier nicht nur im Sinne von ISO-Standards, DIN-Normen oder BSI-Grundschutz zu verstehen. Jede Passwortrichtlinie und jede Nutzerordnung in Ihrem Unternehmen oder Ihrer Behörde ist ein interner Sicherheitsstandard im Sinne einer solchen Vorgabe.

      Laut Satz 4 sollen Sicherheitsmaßnahmen in den Systemen (Nummer 1) und bei der Nutzung der Systeme (Nummer 2) getroffen werden. Lassen Sie uns das an einem einfachen, analogen Beispiel verdeutlichen. Stellen Sie sich ein Bürogebäude vor, in dem die Türen keine Schlösser haben. Die Türen stehen ständig offen und die auf den Schreibtischen liegenden Dokumente sind dem Zugriff Unbefugter ausgesetzt, wenn ein Beschäftigter das Büro verlassen hat. Die Unternehmensleitung möchte die Sicherheit erhöhen und lässt deswegen Schlösser in die Türen einbauen. Das Ergebnis ist aber, dass trotz eingebauter Schlösser die Türen ständig offenstehen. Daraufhin erlässt die Unternehmensleitung eine Dienstanweisung, dass beim Verlassen des Büros die Bürotür abgeschlossen werden muss. Die technische Maßnahme »Schloss« allein löste das Problem nicht. Erst die ergänzende organisatorische Maßnahme »Dienstanweisung« über den Umgang mit dem Schloss schafft den gewünschten Erfolg. Da sich nicht alle Beschäftigten zu 100 Prozent an die Dienstanweisung halten, müssen zusätzlich regelmäßige Kontrollen die Regeleinhaltung sicherstellen.

      Entsprechendes gilt auch in der digitalen Welt. Es ist zum Beispiel nicht hinreichend, wenn Sie ein Betriebssystem einsetzen, das eine Anmeldung mit Benutzername und Passwort ermöglicht. Es sind auch verbindliche Regeln (typisch Passwort-Policy oder Passwortrichtlinie) im Unternehmen erforderlich, die einen vernünftigen Umgang mit Passwörtern vorgeben, etwas in puncto Mindestlänge, Komplexität und Wechselhäufigkeit. Hand aufs Herz: Nutzen Sie bei allen Ihren Rechnern ein sicheres Passwort?

      In der Definition lesen Sie auch erstmals die Begriffe »Verfügbarkeit, Integrität oder Vertraulichkeit« als etwas, das Sie sicherstellen müssen. Diese Begriffe, die auch Schutzziele genannt werden, müssen wir uns im weiteren Verlauf dieses Kapitels noch genauer anschauen.

      

»›Sicherheit von Netz- und Informationssystemen‹ [ist] die Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Angriffe abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder entsprechender Dienste, die über diese Netz- und Informationssysteme angeboten werden beziehungsweise zugänglich sind, beeinträchtigen; «

      Art. 4 Nr. 2 NIS-Richtlinie, ABl. L 194 vom 19.7.2016, S. 1–30

      Sie finden hier den zusätzlichen Begriff der »Authentizität« bei den Schutzzielen. Wenn Sie das BSI-Gesetz von Anfang bis Ende lesen, stoßen Sie auf diesen Begriff auch dort in zahlreichen Paragraphen (genauer in den Paragraphen 2, 8a, 8b und 8f). Diese Absätze wurden allerdings alle erst nachträglich in das BSI-Gesetz eingefügt. Hier sehen Sie, wie ein Begriff aus der europäischen Gesetzgebung dann bei der Anpassung der deutschen Gesetze an die europäischen Vorgaben in den deutschen Gesetzen auftaucht.

      In der NIS-Richtlinie finden Sie eine Definition der Sicherheit als Fähigkeit von Systemen, Angriffe auf Daten, Dienste und Systeme abzuwehren. In dieser Definition fehlt Schutz vor Störungen durch Naturgewalten und Unfälle vollständig. Die NIS-Richtlinie regelt den Bereich der sogenannten »kritischen Infrastruktur«, also den Bereich, der bei einem Ausfall unser gesellschaftliches Leben erheblich beeinträchtigen kann. Darüber hinaus sind dort auch die digitalen Dienste, das sind Online-Suchmaschinen, Online-Marktplätze und Cloud-Computing-Dienste, geregelt. Gerade bei der kritischen Infrastruktur ist der Schutz vor den Auswirkungen von Katastrophen extrem relevant.

      2019 trat die EU-Verordnung über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik (Rechtsakt zur Cybersicherheit) in Kraft. In dieser Verordnung finden Sie den für uns jetzt neuen Begriff »Cybersicherheit«. In der Definition taucht dann der Begriff »Cyberbedrohung« СКАЧАТЬ