Angriff und Verteidigung
T-Security und Informationssicherheit
IT- und Informationssicherheit haben das Ziel, die Verarbeitung, Speicherung
und Kommunikation von Informationen so zu gestalten, dass die Vertraulichkeit,
Integrität, Verfügbarkeit und Verbindlichkeit der Informationen in
ausreichendem Masse sichergestellt ist.
Verantwortungen und Verpflichtungen
Informationssicherheit ist grundsätzlich eine Aufgabe der Leitung einer
Organisation oder eines Unternehmens und sollte nach einem Top-Down Ansatz
organisiert sein.
Vielfach wird das Thema Informationssicherheit in vielen Organisationen
immer noch durch die IT-Abteilungen betrieben. Zwar gibt es im Bereich der
IT-Sicherheit sehr viele Technologien und Methoden, die die Umsetzung eines
Informationssicherheitskonzeptes unterstützen. Diese Massnahmen müssen jedoch
in ein ganzheitliches Informationsschutzkonzept eingebettet sein und von vom
obersten Management aktiv unterstützt und verantwortet werden.
Insbesondere die Verabschiedung von Informationsschutz- und
Sicherheitsrichtlinien (Security Policy) ist Aufgabe des obersten Managements.
Da das Management in der Regel nicht selbst diese Policies ausarbeitet, sollte
ein Information Security Officer (Corporate Security Officer, CSO) oder eine
Information-Security-Management-Gruppe eingesetzt werden, die für die
Formulierung der Security Policies sowie der Überwachung ihrer Einhaltung
innerhalb der Organisation verantwortlich ist.
Standards und Richtlinien
Weisungen und Richtlinien zur Informationssicherheit
Organisatorische Sicherheitsmassnahmen und Managementprozess
Verantwortung und Klassifizierung von Informationswerten
Personelle Sicherheit
Physische Sicherheit und öffentliche Versorgungsdienste
Netzwerk- und Betriebssicherheit (Daten und Telefonie)
Zugriffskontrolle
Systementwicklung und Wartung
Umgang mit Sicherheitsvorfällen
Business Continuity Management - Notfallvorsorgeplanung
Compliance - Einhaltung rechtlicher Vorgaben, Sicherheitsrichtlinien
und Überprüfungen durch Audits
Im Bereich der technischen Sicherheitsmassnahmen lässt sich ISO / IEC 17799
sinnvoll durch das IT-Grundschutzhandbuch des Bundesamts für Sicherheit in der
Informationstechnik ergänzen.
Um ein IT-System vor einem Angreifer schützen zu können, reicht die
Kenntnis der theoretischen Grundlagen der einzelnen IT-Sicherheitskomponenten
(Firewalls, Kryptographie, Passwort, etc.) allein nicht aus. Es ist vielmehr
notwendig, dass das Zusammenspiel der einzelnen Sicherheitskomponenten
untereinander erkannt und verstanden wird. Die Sicherheit einer Komponente hängt
meist direkt von der Verwendung bzw. Sicherheit einer oder mehrer anderer
Komponenten und nicht zuletzt auch von der Erfahrung und dem Verständnis des
Benutzers ab. So nützt beispielsweise eine verschlüsselte
Kommunikationsverbindung zwischen zwei Rechnern nur dann etwas, wenn die
Endsysteme selbst gegen Missbrauch oder Manipulation geschützt sind und eine
Authentifizierung untereinander möglich ist. Diese Abhängigkeiten sind
komplex, vielschichtig und abstrakt kaum erfassbar.
Weblinks: