IT-Sicherheit für Dummies. Rainer W. Gerling
Чтение книги онлайн.

Читать онлайн книгу IT-Sicherheit für Dummies - Rainer W. Gerling страница 17

СКАЧАТЬ und/oder Hash-Werten, um prüfen zu können, ob die Daten verändert wurden.

       Digitale beziehungsweise elektronische Signaturen, um zu prüfen, ob die Daten verändert und von wem sie erstellt wurden.

      Vertraulichkeit

       Festplatten in Notebooks, da Notebooks typischerweise das Betriebsgelände verlassen und damit ein Verlustrisiko besteht,

       mobile Datenträger, da diese auf Grund ihrer Größe leicht verloren gehen können,

       E-Mails, da diese sich während des Transports leicht abfangen lassen,

       Zugriff auf Webseiten, da insbesondere bei der Anmeldung an Portalen häufig Passwörter übertragen werden,

       VoIP-Telefonie, da es möglich ist, die Sprachkommunikation im Netz abzuhören,

       Netzwerkverkehr in fremden Netzen (zum Beispiel WLAN im Hotel oder ICE) per VPN, da die anderen Nutzer des Netzes den Datenverkehr abfragen können.

      Ein weiteres Schutzziel, dass wir in den Regelungen gesehen haben, ist »Authentizität«. Der Begriff stammt aus dem Griechischen und Lateinischen und bedeutet soviel wie »Echtheit« oder »Verbürgtheit«. Im RFC 4949 wird der englische Begriff »authenticity« als »the property of being genuine and able to be verified and be trusted« definiert, also »die Eigenschaft, echt zu sein, überprüft werden zu können und vertrauenswürdig zu sein«. In der Informationssicherheit verwenden wir Authentizität überwiegend als »tatsächlich vom Urheber oder Autor stammend«. Wird eine Nachricht, ein Text oder ein Dokument mit einem Urheber oder Absender verknüpft, so können Sie die Authentizität als einen Teilaspekt der Integrität betrachten.

      Die Verantwortlichkeit oder auch Nichtabstreitbarkeit können wir als einen Teilaspekt des Schutzziels Integrität betrachten, wenn wir einer Handlung oder einer Information die Identität des Urhebers hinzufügen. Wird die Identität des Urhebers mit der Information so verknüpft, dass die Verknüpfung nicht mehr aufgelöst werden kann, so lässt sich die Urheberschaft nicht mehr abstreiten. Der Urheber muss die Verantwortung für die Information übernehmen. Technisch lässt sich dies durch eine digitale Signatur erreichen.

      Eine digitale Signatur ist ein technisches (genauer ein kryptografisches) Verfahren, das sicherstellt, dass ein Dokument nicht mehr verändert werden kann. Der Ersteller versiegelt das Dokument so, dass Veränderungen bemerkt werden. Eine elektronische Signatur dagegen ist ein rechtlicher Begriff aus der europäischen Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (eIDAS-Verordnung, ABl. L 257 vom 28.8.2014, S. 73). Eine elektronische Signatur kann unter anderem mittels einer digitalen Signatur erzeugt werden.

      

Wenn Sie einen Vertrag schriftlich schließen, ist aufgrund des von allen Vertragsparteien unterschriebenen Dokuments klar, was genau der Vertragsinhalt ist, da Sie es »schwarz auf weiß besitzen«. Jeder von uns hat schon mal die Erfahrung gemacht, wie schwierig es ist, bei einen telefonischen Vertragsabschluss die Konditionen verbindlich geklärt zu bekommen oder nachträglich beweisen zu können. Sie können nicht ohne Weiteres belegen, was die andere Partei gesagt hat. Ein elektronisches Dokument (genauer Textform, siehe § 126b BGB) ist in der Beweiskraft irgendwo zwischen einem mündlichen Vertrag und einem schriftlichen Vertrag angesiedelt. Der Gesetzgeber verlangt bei der Textform lediglich, dass in der Erklärung die Person des Erklärenden genannt wird und dass der Empfänger die Datei auf einem dauerhaften Datenträger für einen angemessen Zeitraum speichert und dass die Datei unverändert wiedergegeben werden kann.

      Durch geeignete IT-Sicherheitsmaßnahmen muss sichergestellt werden können, dass eine textliche Äußerung auch dem Urheber der Äußerung rechtsverbindlich zugeordnet werden kann. Dabei ist es egal, ob es sich um einen Vertrag per E-Mail handelt oder um eine Hassrede in einem sozialen Medium. Gesetzlich ist die elektronische Form in § 126a BGB geregelt. Soll die elektronische Form die Schriftform ersetzen, muss das Dokument mit einer qualifizierten elektronischen Signatur im Sinne der eIDAS-Verordnung versehen werden.

      Viele IT-Systeme werden in einem Zustand ausgeliefert, der keinen sicheren Betrieb zulässt. Die Sicherheitsfunktionen müssen erst eingeschaltet oder angepasst werden. Vielen Nutzerinnen fehlt jedoch das Wissen, diese Konfigurationen vorzunehmen. Der Anbieter hat auch eher ein Interesse an dem reibungslosen Funktionieren seiner Hard- oder Software als an der Sicherheit.

      

Microsoft Office 365 (Desktop-Komponenten) beziehungsweise Microsoft Office 2019/2021 kann über Gruppenrichtlinien konfiguriert und angepasst werden. Insgesamt gibt es in den entsprechenden Vorlagen von Microsoft (Version 5035.1000) 2898 Einstellungen, die Sie vornehmen können. Zum Glück sind nicht alle davon sicherheitsrelevant. Das BSI hat im September 2019 Empfehlungen für die sichere Konfiguration von Office 2013/2016/2019 herausgegeben. Insgesamt sind in diesen Empfehlungen immer noch 457 Einstellungen enthalten. Selbst die Umsetzung dieser doch schon deutlich weniger Einstellmöglichkeiten überfordert viele Nutzerinnen.

      Typische wichtige Einstellmöglichkeiten, die im Unternehmen (und auch im Privatbereich) vorgenommen werden sollten:

       Einschränkung der Übertragung von sogenannten Telemetriedaten (das sind Daten über Ihre Nutzung der Software) in Betriebssystemen und Anwendungen,

       Festlegen der Firewall-Einstellungen in Routern und bei Betriebssystemen (insbesondere bei mobilen СКАЧАТЬ