Sicherheit & Schutzziele

Was ist Sicherheit und worin wird unterschieden? In der Informatik ist der Begriff Sicherheit sehr breit gefächert. Man unterscheidet im Großen und Ganzen folgende Begriffe:
Vulnerability : Der wohl am häufigsten verwendete Begriff, die Schwachstelle eines Systems. Also die wunde Stelle, an der Angreifer ein System angreifen.

Threat : Die Bedrohung an sich, mit der die Vulnerability (Schwachstelle) angegriffen wird, durch den der Schaden dann entstehen kann.

Threat Consequence : Die Folge, die der Threat mit sich bringt, nach dem damit die Vulnerability ausgenutzt wurde.

Exploit (auch Threat Action) : Der konkrete Schadenvorfall, also der durchgeführte Threat, mit der eine Sicherheitslücke / Schwachstelle (Vulnerability) ausgenutzt wurde.

Countermeasure : Die Gegenmassnahme um Schwachstellen zu beseitigen oder zumindest zu mindern.

Einfaches Beispiel:
Ein Unternehmen mit Sitz direkt an einem großen Fluss
Vulnerability : Kein Backup der Daten
Threat Action : Hochwasser
Threat : Schaden an Hardware (Festplatten)
Threat Consecuence : unwiederbringlicher Datenverlust
Countermeasure : Backup der Daten an unterschiedlichen Orten, an einem geeigneten Ort im Haus, an den kein Hochwasser gelangt.

Risiko : Das konkrete Risiko lässt sich anhand einer Funktion berechnen. Hierfür ist Vulnerability, Threat, Asset ausschalggeben. Wobei Asset den zu schützenen Wert betrifft. Ausserdem stehen Threat und Asset Value in einem Verhältnis, genau so wie Vulnerability und Asset Value. Je höher der Asset ist, desto größer die Bedrohung also der Threat.

Beispiel 1: Asset ist ein Datensatz bestehende aus einer kleinen CD Sammlung, welche im mp3-Format digitalisiert wurde. Die CDs sind weiterhin vorhanden => Der Asset ist gering, der Threat beschränkt sich auf den Festplattendefekt, da es sich um ein nicht schützenswerten Datensatz handelt.

Beispiel 2: Asset ist ein Datensatz einer Bank, bestehend aus Ihren Kinden Daten: Vorname, Nachname, Kontonummer. Der Asset ist hoch, der Threat beschränkt sich nun nicht mehr nur auf den Festplattendefekt, sondern auch auf Grund der Vertraulichkeit gegenüber unautorisierten Löschen, Kopieren oder Manipulieren.

Definition von Schutzzielen:

Hierfür werden in der IT Sicherheit Schutzziele definiert, welche im großen und ganzen aus folgenden Hauptpunkten bestehen:

Vertraulichkeit (engl. Confidentiality) : Schutz vor unautorisierter Informationsgewinnung. Egal ob Einsehen oder Verändern von Daten durch unautorisierte Personen.

Integrität (engl. Integrity) : Garantie für Korrektheit der Daten. Schutz vor unbefugten Datenmanipulation. Z.B. Ein man-in-the-middle-Angriff, welcher die Internetkommunikation unerlaubt ändert.

Verfügbarkeit (engl. Availability) : Dass ein System jederzeit betriebsbereit ist und die Verarbeitung der Daten korrekt funktioniert. Z.B. (D)DoS Attacke, welche ein System nicht mehr verfügbar macht.

Security und Safety

Auch unterscheidet man zwischen Security und Safety.
Safety : Bezieht sich in der IT Security auf die Betriebssicherheit, also Ablauf- und Ausfallsicherheit. Z.B. Backups
Security : Beschreibt die Sicherheit in Bezug auf Angriffssicherheit, welche sich wiederum in folgende Unterpunkte spaltet:

Authentizität : Die Echtheit und die Glaubwürdigkeit des Subjektes, z.B. ist die aufgesuchte Webseite wirklich die Webseite der Bank, oder ist dies eine gefälschte Phishing-Seite, welche nur meine Logindaten abgreift.

Integrität : Gewährleistung, dass die Daten nicht unbemerkt oder unautorisiert manipuliert werden können.

Vertraulichkeit : Das System darf keine Informatinen an nicht autorisierte Personen zugänglich machen.

Verfügbarkeit : Das System muss funktionsfähig und verfügbar sein. Ein Backup-System muss erreichbar sein, so dass regelmässig Snapshots angelegt werden können.

Verbindlichkeit : Verbindlichkeit und Zuordenbarkeit einer Menge von Aktionen ohne der Möglichkeit der Abstreitbarkeit im Nachhinein.

Entnommen aus dem Buch: “IT-Sicherheit von Claudia Eckert, 5. Auflage, Verlag Oldenbourg”

Beispiele 1: Ein Server liefert die Webseite unverschlüsselt mittels HTTP Protokoll aus, was wiederum das Abgreifen der Logindaten von den Kunden ermöglicht. Ein klarer Verstoss gegen das Schutzziel: Security, der Vertraulichkeit, da sensible Daten abgegriffen werden können.

Beispiel 2: Durch einen Programmierfehler in der Software eines Automobilherstellers, funktioniert die Start-Stopp Automatik nicht zuverlässig. An jeder 10ten Ampel startet der Motor nicht mehr automatisch. Ein klarer Verstoss gegen das Schutzziel: Safety, da die Verlässlichkeit nicht gegeben ist und sogar Unfälle passieren können.

Beispiel 3: Nach einer Bestellung möchte ein Kunde, dass der Shop seinen Namen aus der internen Datenbank löscht, da der Kunde nicht mit dem Produkt und/oder dem Shop in Verbindung gebracht werden möchte. Verstoss gegen die Integrität / Abstreitbarkeit.