Название: IT-Sicherheit für Dummies
Автор: Rainer W. Gerling
Издательство: John Wiley & Sons Limited
Жанр: Зарубежная компьютерная литература
isbn: 9783527833573
isbn:
Digitale beziehungsweise elektronische Signaturen, um zu prüfen, ob die Daten verändert und von wem sie erstellt wurden.
Vertraulichkeit
Die Diskussion über die Vertraulichkeit beginnen wir am einfachsten mit der Frage: »Ist es akzeptabel, wenn Dritte Ihre Daten sehen?«. Wenn Sie diese Frage mit »ja« beantworten, müssen Sie sich weiter keine Gedanken machen. Aber kaum jemand wird diese Frage mit »ja« beantworten. Wenn Sie die Daten Dritter verarbeiten, seien es nun personenbezogene oder technische Daten, kann die Antwort auch nicht leichtfertig »ja« sein, denn hier gibt es klare gesetzliche Vorgaben. Schützenswerte Daten müssen durch geeignete technische und/oder organisatorische Maßnahmen vor unberechtigter Kenntnisnahme geschützt werden. Natürlich können Sie Ihre Daten auf einen Datenträger kopieren und sie dann in einen Tresor einschließen. Aber darunter leidet die Benutzbarkeit der Daten ganz erheblich. Trotzdem kann der Tresor unter Umständen eine geeignete technische Maßnahme sein. Eine technisch sinnvollere Methode, wenn man mit den Daten regelmäßig arbeiten will, ist es, die Daten zu verschlüsseln. Situationen, in denen Sie Ihre Daten verschlüsseln sollten, sind:
Festplatten in Notebooks, da Notebooks typischerweise das Betriebsgelände verlassen und damit ein Verlustrisiko besteht,
mobile Datenträger, da diese auf Grund ihrer Größe leicht verloren gehen können,
E-Mails, da diese sich während des Transports leicht abfangen lassen,
Zugriff auf Webseiten, da insbesondere bei der Anmeldung an Portalen häufig Passwörter übertragen werden,
VoIP-Telefonie, da es möglich ist, die Sprachkommunikation im Netz abzuhören,
Netzwerkverkehr in fremden Netzen (zum Beispiel WLAN im Hotel oder ICE) per VPN, da die anderen Nutzer des Netzes den Datenverkehr abfragen können.
Authentizität
Ein weiteres Schutzziel, dass wir in den Regelungen gesehen haben, ist »Authentizität«. Der Begriff stammt aus dem Griechischen und Lateinischen und bedeutet soviel wie »Echtheit« oder »Verbürgtheit«. Im RFC 4949 wird der englische Begriff »authenticity« als »the property of being genuine and able to be verified and be trusted« definiert, also »die Eigenschaft, echt zu sein, überprüft werden zu können und vertrauenswürdig zu sein«. In der Informationssicherheit verwenden wir Authentizität überwiegend als »tatsächlich vom Urheber oder Autor stammend«. Wird eine Nachricht, ein Text oder ein Dokument mit einem Urheber oder Absender verknüpft, so können Sie die Authentizität als einen Teilaspekt der Integrität betrachten.
Verantwortlichkeit
Die Verantwortlichkeit (englisch Accountability) beschreibt, dass wir der Nutzerin oder auch dem Anbieter Handlungen belastbar zuschreiben können. Wahrscheinlich können Sie sich auch Situationen vorstellen, wo es für Sie erstrebenswert ist, dass Ihnen Ihre Handlungen nicht zugeordnet werden können (plausible deniability). Gerade Whistleblower oder Regimekritiker in undemokratischen Ländern setzen sich einem hohen Verfolgungsdruck aus, wenn ihnen jede Handlung gerichtsfest zugeordnet werden kann.
Die Verantwortlichkeit oder auch Nichtabstreitbarkeit können wir als einen Teilaspekt des Schutzziels Integrität betrachten, wenn wir einer Handlung oder einer Information die Identität des Urhebers hinzufügen. Wird die Identität des Urhebers mit der Information so verknüpft, dass die Verknüpfung nicht mehr aufgelöst werden kann, so lässt sich die Urheberschaft nicht mehr abstreiten. Der Urheber muss die Verantwortung für die Information übernehmen. Technisch lässt sich dies durch eine digitale Signatur erreichen.
Eine digitale Signatur ist ein technisches (genauer ein kryptografisches) Verfahren, das sicherstellt, dass ein Dokument nicht mehr verändert werden kann. Der Ersteller versiegelt das Dokument so, dass Veränderungen bemerkt werden. Eine elektronische Signatur dagegen ist ein rechtlicher Begriff aus der europäischen Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (eIDAS-Verordnung, ABl. L 257 vom 28.8.2014, S. 73). Eine elektronische Signatur kann unter anderem mittels einer digitalen Signatur erzeugt werden.
Wenn Sie einen Vertrag schriftlich schließen, ist aufgrund des von allen Vertragsparteien unterschriebenen Dokuments klar, was genau der Vertragsinhalt ist, da Sie es »schwarz auf weiß besitzen«. Jeder von uns hat schon mal die Erfahrung gemacht, wie schwierig es ist, bei einen telefonischen Vertragsabschluss die Konditionen verbindlich geklärt zu bekommen oder nachträglich beweisen zu können. Sie können nicht ohne Weiteres belegen, was die andere Partei gesagt hat. Ein elektronisches Dokument (genauer Textform, siehe § 126b BGB) ist in der Beweiskraft irgendwo zwischen einem mündlichen Vertrag und einem schriftlichen Vertrag angesiedelt. Der Gesetzgeber verlangt bei der Textform lediglich, dass in der Erklärung die Person des Erklärenden genannt wird und dass der Empfänger die Datei auf einem dauerhaften Datenträger für einen angemessen Zeitraum speichert und dass die Datei unverändert wiedergegeben werden kann.
Durch geeignete IT-Sicherheitsmaßnahmen muss sichergestellt werden können, dass eine textliche Äußerung auch dem Urheber der Äußerung rechtsverbindlich zugeordnet werden kann. Dabei ist es egal, ob es sich um einen Vertrag per E-Mail handelt oder um eine Hassrede in einem sozialen Medium. Gesetzlich ist die elektronische Form in § 126a BGB geregelt. Soll die elektronische Form die Schriftform ersetzen, muss das Dokument mit einer qualifizierten elektronischen Signatur im Sinne der eIDAS-Verordnung versehen werden.
Benutzbarkeit
Ist ein System so komplex in der Benutzung (oder auch nur in der Konfiguration), dass ein normaler Nutzer nicht mehr damit klarkommt, kann das System nicht sicher sein. Autos haben eine weitgehend herstellerunabhängige Nutzeroberfläche, das heißt, die Anordnung der Bedienelemente wie Lenkrad, Pedale oder Schalthebel sind so weit vereinheitlicht, dass man auch mit einem unbekannten Auto ganz gut zurechtkommt. Davon sind die Nutzeroberflächen in der IT noch weit entfernt.
Viele IT-Systeme werden in einem Zustand ausgeliefert, der keinen sicheren Betrieb zulässt. Die Sicherheitsfunktionen müssen erst eingeschaltet oder angepasst werden. Vielen Nutzerinnen fehlt jedoch das Wissen, diese Konfigurationen vorzunehmen. Der Anbieter hat auch eher ein Interesse an dem reibungslosen Funktionieren seiner Hard- oder Software als an der Sicherheit.
Microsoft Office 365 (Desktop-Komponenten) beziehungsweise Microsoft Office 2019/2021 kann über Gruppenrichtlinien konfiguriert und angepasst werden. Insgesamt gibt es in den entsprechenden Vorlagen von Microsoft (Version 5035.1000) 2898 Einstellungen, die Sie vornehmen können. Zum Glück sind nicht alle davon sicherheitsrelevant. Das BSI hat im September 2019 Empfehlungen für die sichere Konfiguration von Office 2013/2016/2019 herausgegeben. Insgesamt sind in diesen Empfehlungen immer noch 457 Einstellungen enthalten. Selbst die Umsetzung dieser doch schon deutlich weniger Einstellmöglichkeiten überfordert viele Nutzerinnen.
Typische wichtige Einstellmöglichkeiten, die im Unternehmen (und auch im Privatbereich) vorgenommen werden sollten:
Einschränkung der Übertragung von sogenannten Telemetriedaten (das sind Daten über Ihre Nutzung der Software) in Betriebssystemen und Anwendungen,
Festlegen der Firewall-Einstellungen in Routern und bei Betriebssystemen (insbesondere bei mobilen СКАЧАТЬ