Название: IT-Sicherheit für Dummies
Автор: Rainer W. Gerling
Издательство: John Wiley & Sons Limited
Жанр: Зарубежная компьютерная литература
isbn: 9783527833573
isbn:
Deaktivieren nicht benötigter Dienste,
Deinstallation aller nicht benötigten Programme,
Änderung aller voreingestellten Passwörter.
Weitere Schutzziele
Häufig werden auch noch weitere Schutzziele betrachtet. Gebräuchliche weitere Schutzziele sind Compliance, Datenschutz, Qualität, Resilienz, Verbindlichkeit oder Zuverlässigkeit.
Eine Besonderheit stellen hier die Begriffe Compliance und Datenschutz dar. Beides sind eher rechtliche Konzepte. Compliance bedeutet die Einhaltung aller rechtlichen Vorgaben durch ein Unternehmen oder ein Individuum. Soweit Gesetze rechtliche Vorgaben zur IT-Sicherheit machen, ist das Thema Compliance, also die Einhaltung dieser Vorgaben, unmittelbar für die Informationssicherheit relevant. In Teil II dieses Buches werden wir uns die entsprechenden Gesetze näher anschauen. Darüber hinaus gibt es Gesetze, die indirekte Vorgaben machen. So bestehen zum Beispiel gesetzliche Aufbewahrungsfristen für Steuerunterlagen. Für die Dauer der Aufbewahrungspflicht muss die Informationssicherheit die Integrität und Verfügbarkeit der Unterlagen sicherstellen.
Datenschutz schützt die Betroffenen – das sind natürliche Personen – davor, dass ihre Rechte und Freiheiten durch die Verarbeitung ihrer Daten verletzt werden. Dabei macht die Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung, DS-GVO) auch Vorgaben zur Informationssicherheit, um dieses Schutzziel zu erreichen. Damit ist die Einhaltung des Datenschutzes für Unternehmen ein Aspekt der Compliance. Die konkreten technisch-organisatorischen Vorgaben, die sich aus der DS-GVO ergeben, betrachten wir im Kapitel 10 ausführlich.
Die übrigen Schutzziele lassen sich aus den drei grundlegenden Schutzzielen ableiten, sie bündeln zum Teil auch Aspekte unterschiedlicher Schutzziele.
Qualität und Zuverlässigkeit beschreiben sehr ähnliche Schutzziele. Dabei spielen sowohl Aspekte der Verfügbarkeit als auch der Integrität eine Rolle. Ein informationsverarbeitendes System ist zuverlässig und qualitativ hochwertig, wenn es nicht ausfällt (Verfügbarkeit) und die Informationen richtig sind (Integrität).
Resilienz beschreibt die Fähigkeit eines technischen Systems, bei einem Teilausfall nicht vollständig zu versagen. Robustheit, Belastbarkeit oder Widerstandsfähigkeit sind Begriffe, die »Resilienz« recht gut umschreiben. Resilienz ist auch ein spezieller Aspekt der Verfügbarkeit. Vorausschauend werden die Komponenten bei der Planung so gestaltet und dimensioniert, dass ein Teilversagen – gegebenenfalls auch nur mit verminderter Leistung – kompensiert werden kann.
Eine Fabrikhalle ist resilient, wenn Sie nach der Beschädigung eines Stützpfeilers durch einen Gabelstapler nicht einstürzt, da das Dach durch die anderen Pfeiler noch hinreichend getragen wird. Nach der Reparatur des beschädigten Pfeilers hat das Dach wieder die volle Belastbarkeit.
Kapitel 3
Bausteine der Informationssicherheit
IN DIESEM KAPITEL
Was ist ein Risiko?
Was muss wann gemeldet werden?
Was sind Sicherheitsstandards?
Wie funktioniert ein Audit?
In den rechtlichen Vorgaben sowohl zur Informationssicherheit als auch zum Datenschutz finden Sie sehr ähnliche Strukturen. Sie können vier Bausteine herausarbeiten, die in den rechtlichen Vorgaben immer wieder auftauchen:
Risikomanagement, zum Beispiel in § 8a Abs. 1 BSI-Gesetz, §§ 75b und 75c SGB V sowie Art. 25 und Art. 32 DS-GVO,
Meldepflichten bei Vorfällen, zum Beispiel in § 8b Abs. 4 BSI-Gesetz, §§ 168 und 169 TKG, Art. 14 NIS-Richtlinie und Art. 33f DS-GVO,
Einhaltung von Sicherheitsstandards, zum Beispiel in § 8, § 8a Abs. 2 und Abs. 5 BSI-Gesetz, §§ 75b und 75c SGB V, Art 16 NIS-Richtlinie sowie Art. 40 DS-GVO,
Nachweis der Einhaltung durch Audits, zum Beispiel in § 8a Abs. 3 ff. BSI-Gesetz, §§ 75b und 75c SGB V, Art. 15 NIS-Richtlinie und Art. 41 f. DS-GVO.
Diese vier Bausteine werden uns auf lange Zeit begleiten und eine wichtige Basis für die Gestaltung der Informationssicherheit sein. Bei zukünftigen Novellierungen der einschlägigen Gesetze (zuletzt konnten Sie das bei der Novellierung des TKG im Jahr 2021 sehen) werden diese vier Bausteine weiter ausgebaut werden. Deshalb müssen wir uns mit ihnen im Folgenden eingehender beschäftigen.
Risikomanagement
Am Anfang der Informationssicherheit und der technisch-organisatorischen Maßnahmen im Datenschutz steht eine sorgfältige Analyse des Risikos. Bei einer Risikoanalyse werden Schwachstellen und Bedrohungen ermittelt. Dazu müssen Sie zuerst eine Gefährdungsübersicht erstellen. Im BSI-Standard 200-3 »Risikoanalyse auf der Basis von IT-Grundschutz« werden 47 elementare Gefährdungen der Schutzziele Vertraulichkeit, Verfügbarkeit und Unversehrtheit beschrieben. Es handelt sich sowohl um Naturgefahren wie Feuer und Wasser als auch um spezielle IT-Bedrohungen wie Verlust von IT-Geräten, Schadsoftware und Social Engineering. Nehmen Sie diese Liste als Einstieg in eine Risikobewertung. Die Gefährdungen werden dann nach »direkt relevant«, »indirekt relevant« und »nicht relevant« klassifiziert. Eventuell identifizieren Sie auch noch eine oder mehre weitere Gefährdungen. Für die weitere Risikobetrachtung beschäftigen Sie sich nur noch mit den direkt relevanten Gefährdungen.
Für jede direkt relevante Gefährdung erfolgt dann die Risikoeinstufung, indem Sie die resultierende Schadenshöhe für Ihr Unternehmen und die Eintrittswahrscheinlichkeit der Gefährdung betrachten. Bei der Klassifizierung von Schadenshöhe und Eintrittswahrscheinlichkeit sollten Sie nicht auf »Heller und Pfennig« den Schaden bestimmen, sondern nur mit so wenigen qualitativen Klassifizierungen wie möglich arbeiten. Nur dann ist die Klassifizierung in der Durchführung für Sie machbar. Mit diesem Argument sollten Sie eigentlich nur drei Klassen nehmen. Die Psychologie empfiehlt eine Einteilung in vier Klassen. Mehr Klassen sollten es aber auf keinen Fall sein.
Psychologie des Klassifizierens
Bei der Bemessung von Schadenshöhe und Eintrittswahrscheinlichkeit sollten Sie nur so wenige Klassen wie möglich nutzen. Nur dann ist es für die Person, die die Klassifizierung durchführt, einfach. Damit bieten sich drei Klassen an. Nur kann sich in dem Fall die Person das Klassifizieren einfach machen und immer die mittlere Klasse wählen. Bei vier Klassen muss die Person sich immer für einen Trend nach oben oder unten entscheiden. Insofern ist von der Psychologie her eine Einteilung in vier Klassen besser. Mehr sollten es aber auf keinen Fall sein, um den Prozess nicht zu aufwendig zu gestalten.
Die unterste Klasse darf auch keine diskriminierende Bezeichnung wie zum Beispiel »geringer Schutzbedarf« oder »kein СКАЧАТЬ