Sicherheit in IT-Systemen

  • IT-Sicherheit
  • Blockchain

IT-Sicherheit - Was ist das eigentlich genau?
Wenn man sich mit Sicherheit in IT-Systemen beschäftigt, stellt man schnell fest, dass dies ein sehr vielschichtiger Themenkomplex ist. Zunächst sollten die folgenden Begriffe unterschieden werden.
  • 1. IT-Sicherheit
  • 2. Cyber-Sicherheit (auch Cyber-Security)
  • 3. Informationssicherheit
IT-Sicherheit und Cyber-Sicherheit wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) wie folgt definert:
Cyber-Sicherheit befasst sich mit allen Aspekten der Sicherheit in der Informations- und Kommunikationstechnik. Das Aktionsfeld der Informationssicherheit wird dabei auf den gesamten Cyber-Raum ausgeweitet. Dieser umfasst sämtliche mit dem Internet und vergleichbaren Netzen verbundene Informationstechnik und schließt darauf basierende Kommunikation, Anwendungen, Prozesse und verarbeitete Informationen mit ein.
zur Quelle:
Informationssicherheit hingegen wird in Abgrenzung zur IT Sicherheit wie folgt verstanden:
Informationssicherheit hat den Schutz von Informationen als Ziel. Dabei können Informationen sowohl auf Papier, in Rechnern oder auch in Köpfen gespeichert sein. Die Schutzziele oder auch Grundwerte der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit. Viele Anwender ziehen in ihre Betrachtungen weitere Grundwerte mit ein.
zur Quelle:
Informationssicherheit schließt also verschiedene Aspekte mit ein. Dazu gehören das große Feld der IT Sicherheit, aber auch Schutz der persönlichen Daten nach Datenschutzgrundverordnung, Schutz von Intellectual Property (IP) und Patenten, aber den Schutz auch Unternehmens-, Kunden und Produktdaten im weiteren Sinne. Um all diese Informationen zu schützen bedarf es zunächst einer klaren Kategorisierung der Handlungsfelder in denen man diese Informationssicherheit erreichen kann.
1. Physische Sicherheit
Hierzu gehören Handlungsfelder wie:
  • Zutrittskontrollen
  • Zutrittslimitierungen
  • Zutrittsdokumentationen
  • Alarm- und Überwachungssysteme
Physische Sicherheit
2. Technische Sicherheit
IT-Sicherheit
Unter diesem Punkt kann man recht allgemein die folgenden Aspekte nennen. Es ist wichtig festzuhalten, dass der Einsatz der Technologien auf den zu schützenden Informationsverbund bzw. das IT System, zugeschnitten sein sollten und den Schutzbedarfen der zu schützenden Informationen Rechnung tragen sollte:
  • Einsatz von Verschlüsselung
  • Einsatz von Firewalls und Antivirenlösungen
  • Einsatz von Intelligent Thread Detection Lösungen
  • Gut geführtes Asset- und Patchmanagement
  • Klares Management zu Nutzerrollen, deren Zugriffen, sowie die dazugehörige Dokumentation
3. Organisatorische Sicherheit
Dieser Punkt stellt wahrscheinlich die größte Herausforderung für die Sicherstellung von Informationssicherheit dar, da er am abstraktesten ist und für Unternehmen breit ausgelegt werden kann. Unter Maßnahmen für die angemessene Sicherstellung von Informationssicherheit können beispielsweise genannt werden:
Organisatorische Sicherheit
  • Klare Kommunikation und Vorleben des Themas Informationssicherheit durch das Management auch durch z.B. öffentlich einsehbaren Verhaltenskodex / Code of Conduct oder andere Dokumente, die im Unternehmen öffentlich zugänglich sind und verdeutlichen, dass der Unternehmensführung das Thema wichtig ist.
  • Clean Desk Policy
  • Entwicklung und Publikation von eigenen, für das Unternehmen und angeschlossene Partner verbindlichen geltende Richtlinien zur Einhaltung der Informationssicherheit (z.B. SOPs oder IT Security Regulations)
  • Die klare Aufforderung zur Einhaltung, sowie auch die Publikation von Sanktionen bei Verstöße gegen legale, ethische und intern geltende Vorgaben (z.B DSGVO oder interne Regelungen)
  • Betrieb und Aufrechterhaltung eines Information Security Management System (ISMS) sowie ggf. die Zertifzierung selbigens (e.g. ISO27001 oder TISAX Certification)
  • Ernennung von Ansprechpartnern im Unternehmen ( z.B. Informationssicherheitsbeauftragter / CISO o.ä.)
  • und vieles mehr...
Wie wird Informationssicherheit genau realisiert?
1. Schutzziele definieren
Wie in der Definition erwähnt ist es wichtig das Schutzziel der zu schützenden Informationen zu definieren. Die folgende Pyramide zeigt die wichtigsten drei Schutzziele. Es gibt auch erweiterte Schutzziele, die aber im Regelfall eines der Hauptschutzziele unterstützen. Man spricht hier auch von den CIA Zielen:
  • Confidentiality (Vertraulichkeit)
  • Integrity (Integrität, Manipulationssicherheit)
  • Availability (Verfügbarkeit)
CIA Ziele
2. Schutzbedarf festlegen
Wenn man das Schutzziel für Informationen eines bestimmten Prozesses, einer Abteilung oder bespielsweise eines Standortes einer Organisation definiert hat, ist es nun wichtig herauszuarbeiten, wie hoch der Schutzbedarf der einzelnen Schutzziele für die prozessierte Information ist. Dazu müssen die Informationsschutzbedarfe festgelegt werden. Dies kann z.B. anhand der folgenden Pyramide geschehen.
Schutzbedarf
Das Rating ist frei wählbar und kann beliebig mehrstufig sein, solange es ihrer Organisation dient. Jedes Schutzziel einer zu schützenden Information sollte nun im Hinblick auf seinen Schutzbedarf eigenordnet werden. Üblicherweise gilt für eine Information die Schutzstufe, des Schutzbedarfes mit der höchsten Schutzstufe. Wenn also der Schutzbedarf für Integrität „sehr hoch“ ist, aber die Schutzbedarfe für Verfügbarkeit und Vertralichkeit nur „mittel“ sind, dass gilt für die jeweilige Information also der Schutzbedarf „sehr hoch“
3. Maßnahmen zum Sicherstellung des Schutzbedarfes
Sobald die Schutzziele für die Informationen definiert wurden, ist es wichtig die „angemessenen Maßnahmen“ zur Sicherstellung des Schutzbedarfes einzuleiten. Die folgende Tabelle zeigt einige Beispiele. Wichtig ist dabei das „angemessen“ zu berücksichtigen. Ähnlich wie im Risikomanagement kann eine Maßnahme auch „Akzeptanz“ sein. Dies ist dann sinnvoll, wenn die Auswirkungen einer Möglichen Verletzung der Informationssicherheit niedriger sind, als die Auswirkungen der Maßnahmen zur Sicherstellung selbiger.
Schutzziel Maßnahmen
Confidentiality Access Management / Multi-Factor Authentication / Encryption
Integrity Key-Pair Implementation for digital signature / Encryption
Availabiliy Redundancy / several access methods / exposure
Eine wichtigte Maßnahme zur Erhöhung der Informationssicherheit ist die Minimierung der verarbeiteten oder gespeicherten Daten, wie es in der DSGVO empfohlen wird. Dort wo keine Informationen prozessiert werden, ensteht auch kein Risiko die Informationssicherheit zu verletzen. Es sollte aus diesem Grund immer überlegt werden, welche Informationen notwendigerweise in welchen Systemen prozessiert werden müssen und welche nicht.
DSGVO
Wie passen Blockchain und Informationssicherheit zusammen?
Aktuell wird zwischen zwei Typen von Blockchains unterschieden:
Schutzbedarf
public Blockchain
ohne Zugangsbeschränkung, transparent
Schutzbedarf
permissioned Blockchain
organisationspezifisches Ökosystem zur Erhöhung des Vertrauens in Transaktionen und automatisierte Prozesse.
Im Rahmen der Verarbeitung von Informationen im Zusammenhang von Lieferketten und automatisierten Prozessen gewinnen permissioned Blockchains immer mehr an Bedeutung. Dies liegt daran, dass die Blockchain als Technologie bereits Eigenschaften mitbringt, die die oben beschriebenen Schutzziele quasi „von selbst“ unterstützen. Diese Eigenschaften und die per Design unterstützten Schutziele sind farblich hervorgehoben:

Verteilt
Verfügbarkeit

Dezentral
Vertraulichkeit

Unveränderbar
Integrität

Verschlüsselt
Vertraulichkeit

Je nach Auswahl der Technologie ist es aber wichtig auch die Schwachstellen der ausgewählten Blockchaintechnologie zu berücksichtigen. Somit ergeben Sie große Chancen für vertrauenswürdige Transparenz und Nachvollziehbarkeit in Informationsketten bei der Nutzung von Blockchain als gemeinsame Platform, aber gleichzeitig auch neue Angriffsvektoren.

Die Herausforderung ist also eine gute Kombination von Informationssichereit in Form eines lebenden Informationsischerheitsmanagementsystems in Anlehnung an z.B. ISO 27001, sowie ein ausgereifter IT Servicebetrieb nach Frameworks wie zum Beispiel ITIL oder DevOps.

Im Projekt safe-UR-chain sind zunächst die möglichen Angriffsvektoren identifiziert worden und dann auf ihre Anwendbarkeit, auf das zu entwickelnde System hin überprüft worden. Bei der Recherche der möglichen Angriffsvektoren wurde strukturiert vorgegangen, und die folgende Mindmap entwickelt. Diese wird nach und nach mit weiteren Inhalten befüllt. Es lohnt sich also regelmäßig hier vorbeizuschauen.

Interaktive Baumansicht typischer Cyber-Angriffe