Modellierung und Implementierung sicherer Informationssysteme

• Klare Konzeption nötig:
  • Anwendungsziele und erwarteter Nutzen,
  • Maßnahmen,
  • Bewertungskriterien.
• Prozessanalyse, einschließlich
  • Integrationsmechanismen,
  • Risikoanalyse.
• Kooperation zwischen Anbietern, Management und Nutzern,
  • Zuweisung und Beschreibung von Verantwortlichkeiten,
  • Einbeziehung der Personalvertretung.
• Aktivitäten dokumentieren und protokollieren.
• Sicherheitskonzept möglichst durch Technik absichern.

Qualitätsmanagement und Systembewertung werden als Entwicklungsergebnis oft unterschätzt, sind jedoch von besonderer Bedeutung für den Erfolg eines Informationssystems.

IT-Sicherheitskonzept des Betriebs

Teil des allgemeinen EDV-Konzepts

Verwundbarkeit

Eigentum, etwa an Datenverarbeitungsanlagen, aber auch an Daten und Informationen, macht verwundbar. Daher sind die Schutzobjekte zu spezifizieren.

Bedrohung

Wer verwundbar ist, ist in seiner Sicherheit bedroht. Zu spezifizieren sind Angreifer und Motive.

Schutz

Die Verwundbarkeit ist gegen Bedrohung und Gefährdung zu schützen. Spezifikation der Schutzmaßnahmen: Welche verwundbare Stelle wird vor welcher Bedrohung durch welche Maßnahme geschützt?

• Verhindern von Angriffen (davor),
• Erkennen von Angriffen (während),
• Begrenzung des Schadens, den Angriffe bewirken können (danach).

Wer Daten zu schützen hat, muss sich über mögliche Angreifer und deren Motive Gedanken machen. Systeme sind so zu konstruieren, dass sie einen Missbrauchsversuch möglichst abweisen - Vorschriften nützen nichts ohne Maßnahmen zu ihrer Durchsetzung. Verhindern ist sicherer als Verbieten.

Schutzobjekte

• Personenbezogene Daten (Datenschutz im Sinne der Datenschutzgesetzgebung) -
  • Kundendaten/Patientendaten,
  • Personaldaten,
  • Aufzeichnungen von Benutzeraktivitäten.
• Private Daten (Schutz der Privatsphäre), z. B. elektronische Korrespondenz, Notizen, Entwürfe.
• Dokumente, Gutachten.
• Betriebs- oder Geschäftsgeheimnisse:
  • Pläne,
  • Kosten und Ertragslage,
  • Probleme.
• Programme (Urheberschutz):
  • Schutz kommerzieller Software vor Raubkopie (Verpflichtung durch gesetzliche und vertragliche Regelungen),
  • Schutz eigener Software-Entwicklungen.
• Betriebssystem (Systemintegrität),
  • Schutz vor Manipulationen am System,
  • Schutz vor unbefugten Autorisierungsänderungen,
  • Schutz vor Sabotage.
• DV-Leistung (Systemverfügbarkeit).

Die zu schützenden Daten können sich auf

• Bildschirmen,
• Arbeitsplatzrechnern,
• Kommunikationsleitungen,
• Disketten u. a. Wechselmedien,
• Platten,
• Bändern und Kassetten, auch Sicherungs- und Archivbändern,
• Druckerlisten,
• und mitsamt den Datenträgern auf Müllkippen

Bedrohungen

• Benutzerfehler.
• Undurchsichtiges Verhalten von Betriebssystemen und Anwendungen.
• Unzuverlässige Software.
• Insider (Vertuschung, Frustreaktionen).
• Zufällige Besucher an unbeaufsichtigten Geräten.
• Nichtmedizinisches Personal (z. B. Putzdienst).
• Wartungsdienst,
• Reparaturdienst (Fall »Vobis-Festplatten«).
• Presse.
• Kriminelle.
• Hacker.

Es gibt viele bekannt gewordene Vorfälle - die Dunkelziffer ist vermutlich trotzdem sehr hoch. Siehe auch CSI Computer Crime and Security Survey

Angreifer und Motive

• Zugelassene Benutzer (»Insider«):
  • reine Anwender ohne besondere Systemkenntnisse,
  • Programmierer mit guten Systemkenntnissen,
  • Systemprogrammierer mit sehr genauen Systemkenntnissen und besonderen Privilegien.
  Motive:
  • versehentliche Einblicke in vertrauliche Daten durch Bedienungs- oder Systemfehler,
  • Neugier, Schabernack, Rache und Habgier oder finanzielle Probleme,
  In den meisten Fällen werden Daten nicht mit krimineller Absicht vernichtet, unbefugt eingesehen oder weitergeleitet, sondern durch Unachtsamkeit, Fahrlässigkeit oder schiere Unwissenheit der berechtigten Anwender.
• Hacker:
  • Betriebsfremde, die sich ins System einschleichen, um ihre Fähigkeiten zu beweisen, eventuell um Rechenzeit zu stehlen,
  • unterschiedlich gute Systemkenntnisse, meistens aber Kenntnisse von Sicherheitslücken,
  • in der Regel Amateure; keine teure Ausrüstung; intellektuelle Leistungsfähigkeit nicht über Universitätsdiplom.
  Motive: »Sportlicher« Ehrgeiz. Sicherheitslücken sind eine Herausforderung für Tüftler.
• Spione:
  • Ziel: persönliche Daten ausspähen, Projekte ausspionieren oder sabotieren,
  • in der Regel für fremde Auftraggeber,
  • in der Regel sehr gute Systemkenntnisse,
  • professionelles Vorgehen, eventuell teure Ausstattung, aber auch ausgeprägtes Kosten-Nutzen-Denken,
  • Gewaltanwendung nicht ausgeschlossen.
Motive (der Auftraggeber): politisch, wirtschaftlich oder privat.

Angriffe auf die Datensicherheit

Voraussetzungen für einen Angriff

Bedarf - Der Täter versucht, sich einen Vorteil zu verschaffen.

Gelegenheit - Der Täter schätzt die Tat als ausführbar ein.

Einstellung - Der Täter hat keine moralischen Hemmungen, die Tat zu begehen.

Typen des Angriffs

• abhören (passiv),
• fälschen (aktiv),
• zerstören.

Angriffstaktiken

• Ausnützen von Insiderwissen.
• Maskerade (oder Identitätstäuschung) - Der Angreifer nützt ungenügende Identifikationsprozeduren aus, um sich als berechtigter Benutzer auszuweisen.
• Fischzug - Hier hat der Angreifer es nicht auf ganz bestimmte Daten abgesehen, sondern er sucht irgendwelche Lücken im Datenschutz und was immer er an Daten bekommen kann (Hacker, Journalist).
• Müllverwertung - Variante des Fischzugs (Papiermüll oder elektronischer Müll im Speicher oder auf Datenträgern).
• Technologischer Angriff - Kenntnisse von Schwächen oder Fehlern eines Systems (z. B. mittels Netz-Scanner).
• Social Engineering - Hochstapelei, Erpressung.

Wirtschaftliche Schäden

… können entstehen durch

• Schäden an Geräten,
• Unterbrechung des EDV-Betriebs,
• Auftreten von Fehlern im System mit zeitraubender Fehlersuche und Reparatur,
• Weitergabe sensibler Daten,
• Diebstahl von Geld oder Wirtschaftsgütern durch Manipulation,
• Diebstahl von EDV-Ressourcen, zum Beispiel Zugang zu weiteren Netzen auf Kosten des Gastgebers,
• öffentliche Diskreditierung des Betriebs durch findige Journalisten.

Alle diese Schadensmöglichkeiten und ihre Kosten sind gegen die Kosten von Schutzmaßnahmen abzuwägen nach dem Prinzip der Verhältnismäßigkeit.

Oft ist es einfacher und letzlich auch billiger, alle Daten zu schützen, als eine komplizierte Auswahl.

Das Verhindern mancher Angriffe ist zu teuer oder vielleicht sogar unmöglich. In solchen Fällen kann aber oft eine geeignete billigere Abschreckungsmaßnahme die Hemmschwelle erhöhen; insbesondere für die Abwehr von Gelegenheitstätern kann das ausreichend sein.

Inhalt des Sicherheitskonzepts

• Organisations- und Prozessmodell des Betriebs,
• Daten- und Datenflussmodell des Betriebs,
• Schutzobjekte,
• Verwundbarkeit, Bedrohungen, Schutzmaßnahmen,
• Zugriffsprofile für Mitarbeitergruppen in Form einer Zugriffsmatrix,
• Grundsätze für Netzverbindungen, Internet, Kommunikationsbeziehungen und Fernwartung,
• Regelung der Zuständigkeiten im IT-Bereich,
• Management-, Prozess- und Qualitätsbewertungskriterien.

Organisatorische Maßnahmen

• Regelung der Verantwortung
• Datenschutzbeauftragter
• IT-Sicherheitsverantwortlicher (Informatiker)
• Sonstiger Personalbedarf?
• Outsourcing von Dienstleistungen? z. B. Fernwartung
• Schulung
• Vorschriften und Überwachung
• Katastrophenvorsorge, Datensicherung
• Zugangsregelungen
• Datenträgerkontrolle, z. B. Vernichten
• ...

Aufgaben des IT-Sicherheitsverantwortlichen

• Federführung beim Sicherheitskonzept.
• Physische Sicherheit der Rechner, Netze und Datenträger einschl. Brandschutz und Schutz vor Naturgewalten.
• Kontrolle der Sicherheit von Datenarchiven.
• Konfiguration der Systeme nach Sicherheitskonzept.
• überwachung des lokalen Netzes, insbesondere auf ungenehmigte Modems.
• Verwaltung von Sicherheitsausweisen, Organisation eines Trustcenters.
• Auswertung von sicherheitsrelevanten Systemaufzeichnungen.
• Kontrolle der Implementation von Software.
• Prüfung der Systemvoreinstellungen auf Sicherheitslücken.
• Schulung des IT-Personals und der Benutzer, auch im Umgang mit Gefahrenquellen.
• Erstellung von Verpflichtungserklärungen (in Abstimmung mit dem Datenschutzbeauftragten und der Personalvertretung).
• Technische Beratung des Datenschutzbeauftragten.

Kosten und Nutzen der Sicherheit

• Analyse schwierig, möglicher Schaden kaum zu beziffern.
• Gesetzlicher Zwang.
• Prinzip der Verhältnismäßigkeit.
• Datensicherheit muss durch Standardisierung billiger gemacht werden,
  • Sicherheits-Infrastruktur,
  • standardisierte Sicherheitstechnik,
  • standardisierte Schulungsvorlagen,
  • Mustervereinbarungen usw.
• Outsourcing? (Außerhausgabe von Dienstleistungen)
  • Im Bereich der Sicherheit sehr problematisch - externe werden zu Insidern, lernen Schwachpunkte sehr genau kennen.
  • Das nötige Vertrauensverhältnis schafft Abhängigkeit - man kan den Vertragspartner nicht leicht wechseln.
  • Komplexitätserhöhung durch Wettbewerb (vgl. Abschaffung des Telefonmonopols).

Weiterführende Literatur

• IT-Grundschutzhandbuch des BSI.