reading

Herstellung und Verlag: BoD – Books on Demand GmbH, Norderstedt.

MniConsult GmbH

Uwe Irmer

Dipl. Ing. Univ.

Dipl. Wirtschaftsingenieur

ISBN: 9783746070766

Jeder Tag ist eine neue
Herausforderung.

Uwe Irmer, Januar 2019

Inhaltsverzeichnis

ABKÜRZUNGSVERZEICHNIS
VORWORT
TEIL1- GRUNDLAGEN DER INFORMATIONSSICHERHEIT
INFORMATIONSSICHERHEIT
DOMÄNEN DER INFORMATIONSSICHERHEIT
DATENSCHUTZ
DATENSICHERHEIT
DAS INFORMATIONSSICHERHEIT MANAGEMENT SYSTEM ISMS
ISMS AUFBAU
ISMS- LEITLINIEN, PROZESSE UND VERFAHREN
ISMS- DOKUMENT UND RECORDS
RISIKOMANAGEMENT
SCHRITTE ZUR FESTLEGUNG EINES INFORMATIONSSICHERHEIT MANAGEMENTSYSTEMS ISMS
KONTINUIERLICHER VERBESSERUNGSPROZESS
TEIL 2- BEDROHUNGEN UND MASSNAHMEN DER INFORMATIONSSICHERHEIT
PHYSIKALISCHE SICHERHEIT
PERSONELLE SICHERHEIT
MALWARE
ZUGANGSKONTROLLE
KRYPTOGRAFIE
BUSINESS CONTINUITY MANAGEMENT BCM
NETZWERKSICHERHEIT
SOCIAL ENGINEERING
SICHERHEIT IN WEB BASIERTEN ANWENDUNGEN
TEIL 3- CLOUD COMPUTING
EINFÜHRUNG IN DAS CLOUD COMPUTING
DIE EVOLUTIONÄREN SCHRITTE DES CLOUD COMPUTING
AUSBLICK UND SCHLUSSWORT
LITERATURVERZEICHNIS

Abkürzungsverzeichnis

Abkürzung	Erlläuterung
BCM	Business Continuity Management
CIA	Confidentiality, Integrity, Availability
COSO	Committee of Sponsoring Organizations of the Treadway Commission
CPU	Central Processing Unit
CRM	Customer Relationship Management
DNS	Domain name service
ERM	Enterprise Risk Management
GPS	Global Positioning System
IAM	Identity an Access Management
IKS	Internes Kontroll System
IoT	Internet of Things
ISMS	Information Sicherheit Management System
IT	Informationstechnologie
KI	Künstliche Intelligenz
KMU	Kleine und mittlere Untermehmen
LDAP	Lightweigt Directory Access Protocol
NIST	National Institute of Standards and Technology
SLA	Service Level Agreement
SMS	Short Message Service
SQL	Structured query language
SSL	Secure socket layer
VPN	Virtuelles privates Netzwerk
WAF	Web Application Firewall
WLAN	Wireless Local Area Network

Vorwort

Seit der Veröffentlichung der letzten Auflage in 2019 hat sich die Sicherheitslage weiterhin verschärft. Waren bislang grosse und internationale Unternehmen, Banken und andere Instutionen und Unternehmen mit hoher Reputation das Ziel der Angriffe, so betrifft es zunehmend kleinere und mittlere Unternehmen sowie Privatpersonen. Die Angriffsmethoden werden dabei immer ausgefeilter. Neben den bekannten Phishing emails kommen nun auch SMS Nachrichten und weitere Kontaktmöglichkeiten zum Einsatz.

Wieder einmal zeigt die aktuelle Gefährdungslage die Notwendigkeit eines gut implementierten Systems zur Informationssicherheit in Unternehmen auf. Und ebenso die Notwendigkeit, implementierte Schutzmassnahmen der ständigen Verbesserung und Aktualisierung auf neue Bedrohungsszenarien zu unterziehen. Zudem die Anpassung an neue Lebenssituationen.

Besonders erwähnt sei hier das Homeoffice. Ausgelöst durch die Corona Krise im Frühjahr 2020 arbeiten immer mehr Menschen im Homeoffice. Umfragen zufolge wollen sowohl Unternehmen als auch Mitarbeitende auch nach der Corona Krise das Homeoffice beibehalten. Ein Anlass also, das Thema Homeoffice aus Sicht der Informationssicherheit dauerhaft zu berücksichtigen und in die Prozesse aufzunehmen.

Dieses Booklet bietet eine Übersicht über das Thema Informationssicherheit und zeigt eine Auswahl an Massnahmen um die Informationssicherheit zu gewährleisten.

Der erste Teil behandelt das Thema Informationssicherheit und befasst sich mit den Grundlagen hierzu. Nach der Erörterung der Frage, welche Werte Informationen für ein Unternehmen oder eine Organisation darstellen zeigt das Booklet das ISO Normenwerk auf und gibt einen Überblick über die Domänen der Informationssicherheit. Zum Abschluss des ersten Teils beschreibt das Booklet die Einführung eines Informationssicherheit Management Systems und gibt Anmerkungen zur Best Practice hierzu. In diesem Zusammenhang erfolgt auch eine Einführung in das Risikomanagement und Risikoanalyse.

Der zweite Teil des Booklets beschreibt eine Auswahl von Massnahmen zur Gewährleistung der Informationssicherheit. So erfolgt neben physikalischer und personeller Sicherheit eine Einführung in technische Themen wie Malware, Verschlüsselung, Netzwerksicherheit und Business Continuity Management.

Im dritten Teil befasst sich das Booklet mit dem Thema Cloud Technologie im Zusammenhang mit Informationssicherheit und bietet einen Ausblick auf zukünftige Entwicklungen.

Schweiz, Appenzell im Juni 2021

Uwe Irmer

Teil1- Grundlagen der Informationssicherheit

Einführung

Bevor es zur Klärung des Themas Informationssicherheit kommt zuerst die Definition zweier grundlegender Begriffe.

Daten

Ganz allgemein sind Daten Werte oder formulierbare Befunde, die durch Messung oder Beobachtung zustande kommen.

Speziell für die Informatik lassen sich Daten folgendermassen beschreiben:

Daten sind lesbare und bearbeitbare, digitale Repräsentationen von Informationen. Wir unterscheiden hierbei in diese 3 Typen von Daten:

Strukturierte Daten: Dies sind zum Beispiel Datenbanken oder Dateien
Semistrukturierte Daten, zum Beispiel xml Dateien. In diesen sind durch die xml Beschreiber die Strukturen definiert.
Unstrukturierte Daten. Dies sind zum Beispiel Dokumente, Texte oder Grafiken

Information:

Information entsteht durch das Bilden, Gestalten oder Darstellen von Daten. Die Information ist eine Teilmenge an Wissen die ein Sender einem Empfänger mittels Signalen über ein bestimmtes Medium vermittelt. [13] Somit werden durch kognitive Operationen beim Sender und beim Empfänger aus Daten Informationen.

Informationen weisen diese Eigenschaften auf:

Sie dienen der Wissensvermehrung
Information hat dann einen Wert wenn sie die Kenntnis erweitert
Information ist dialogisch, das heisst sie ist Sender und Empfänger bezogen
Informationen lassen sich beliebig oft kopieren
Information ist beliebig kombinierbar
Schliesslich ist Information ein Wirtschaftsgut welches einen bestimmten Wert für eine Person oder ein Unternehmen darstellt.

Damit lassen sich bereits an dieser Stelle einige Aspekte der
Informationssicherheit ableiten.

Information ist ein Wirtschaftsgut und stellt einen Wert dar. Diesen Wert gilt es zu schützen.
Information ist Sender und Empfänger bezogen. Wie ist es aber wenn der Sender sicherstellen möchte, zum Beispiel in einer vertraulichen Situation, dass auch nur der Empfänger die Information erhält? Und dass niemand auf dem Übertragungsweg Einsicht in die Information erhält?
Information lässt sich beliebig oft kopieren. Wie aber ist vorzugehen, gerade dieses zu verhindern zum Beispiel bei vertraulichen Informationen?
Information ist beliebig kombinierbar. Dies bedeutet, Teile der Information können verändert werden, gelöscht oder ergänzt werden. Damit entsteht die Gefahr, dass die Information auf dem Weg vom Sender zum Empfänger manipuliert wird und den ursprünglichen Informationsgehalt des Senders nicht mehr wiedergibt.

Informationssicherheit

Kommen wir nun zur Definition der Informationssicherheit. Ein Blick auf gängige Internetquellen oder auch auf die Literatur zeigt, dass es offenbar keine einhellige Definition gibt.

Eine gute Beschreibung ist diese:

Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und -lagernden (technischen oder nicht-technischen) Systemen, die die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken. [4]

Zusammenfassend aus den Überlegungen betreffend Information schlage ich diese Definition für die Informationssicherheit vor:

Informationssicherheit sind die Methoden zur Sicherstellung der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit eines festgelegten Sets schützensrelevanter Informationen.

Dabei sind Vertraulichkeit, Integrität und Verfügbarkeit Schutzziele, die mit der Informationssicherheit erreicht werden sollen. Diese Schutzziele werden in der englischsprachigen Literatur oftmals mit CIA abgekürzt, ausgeschrieben mit

Confidentiality (Vertraulichkeit),
Integrity (Integrität),
Availability (Verfügbarkeit)

Im Einzelnen bedeuten dies:

Vertraulichkeit:

Ist der Schutz von Informationen vor unberechtigter Offenlegung

Integrität:

Ist der Schutz von Informationen vor Modifikationen, Einfügungen, Löschungen, Um Ordnung, Duplikaten oder Wiedereinspielung

Verfügbarkeit:

Ist die Sicherstellung der Zugänglichkeit und Nutzbarkeit von Informationen für berechtigte Entitäten wie Personen oder Services. Dies in der geforderten Qualität und den erforderlichen Nutzungszeiten.

In diesem Zusammenhang sei der Begriff Entität erklärt. Entitäten sind einerseits Personen die auf Informationen zugreifen um diese zu verarbeiten. Andererseits aber auch Services wie zum Beispiel Webserver oder Anwendungen die ebenfalls Informationen bereitstellen oder verarbeiten.

Weitere Begriffe die sich im Zusammenhang mit CIA ergeben sind:

Authentizität: Die Sicherstellung der Echtheit von Informationen oder Identitäten
Authentifizierung: Prüfung und Nachweis der Identität oder anderer Eigenschaften einer Person oder Entität
Authentisierung: Vorgang des Nachweises der eigenen Identität oder anderer Eigenschaften durch eine Person oder Entität

Zurechenbarkeit- Verantwortlichkeit: Übernahme von Verantwortung, Rechenschaft und oder Haftung für Informationswerte oder auch assets genannt.

Verbindlichkeit- Nicht ab streitbar: Niemand kann das Senden oder Empfangen von Informationen abstreiten oder leugnen. Hierfür stehen 2 Methoden zur Verfügung:

Proof of origin: Hierbei kann der Empfänger den