IT-Sicherheit ist in aller Munde: Was verbirgt sich hinter IT-Sicherheit? Warum ist IT-Sicherheit so wichtig und Wie wird IT-Sicherheit implementiert?
Eine Einordnung der wichtigsten Begriffe, Fakten und aktuellen Trends.
Was: IT-Sicherheit?
Unter IT-Sicherheit werden organisatorische und technische Maßnahmen zusammengefasst, die IT-Systeme vor feindlichen Angriffen und Übernahmen schützen.
Derartige Angriffe sind möglich, da praktisch alle IT-Systeme (bekannte und noch nicht bekannte) Schwachstellen und Sicherheitslücken (Vulnerabilities, Backdoors) aufweisen, die durch Angreifer ausgespäht und ausgenutzt werden. Angriffe können dabei sowohl unspezifisch mit der „Ransomware-Schrotflinte“ als auch gezielt auf einzelne Mitarbeiter oder Branchen erfolgen. Die Motive der Angreifer sind finanzieller Art (Schutzgeld, Lösegeld), aber auch das aus dem Weg räumen von Konkurenten, die Verschaffung von Wettbewerbsvorteilen sowie politischer und sozialer Protest.
Konzepte und Maßnahmen zum Schutz von IT-Systemen vor Angriffen und Übernahmen müssen sowohl bei der Implementierung als auch beim Betrieb von IT-Systemen berücksichtigt werden. Im ersten Fall spricht man von der Produkt- resp. Solution-Security, die in der Verantwortung des Herstellers des Systems liegt. Für die Durchführung notwendiger technischer und organisatorischer Maßnahmen im Betrieb ist dagegen der Betreiber des jeweiligen IT-Systems zuständig. Aus Sicht des Betreibers ist Security ein kontinuierlicher Prozess, dessen Qualität zyklisch zu überwachen ist, und in dem alle Mitarbeiter einzubeziehen sind.
Sowohl für die Hersteller- als auch die Betreiberseite sind inzwischen Normen verfügbar, die als Orientierung für die Umsetzung dienen. So definiert die Normenreihe ISA/IEC 62443 „Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme“ den „Stand der Technik“ und legt die Anforderungen und die Vorgangsweise zu Absicherung der Produktions- und Industrieanlagen für die Hersteller fest. Auf der Betreiberseite sieht die Standardreihe ISO/IEC 2700x (ISO 27001) die Einführung eines Information Security Management Systems für den Betrieb von IT-Systemen vor.
Für Betreiber von IT-System besteht allerdings keine allgemeine Zertifizierungspflicht und damit auch keine Pflicht zur Umsetzung der ISO 2700x. Der Gesetzgeber hat deshalb – in Umsetzung der europäischen NIS-Richtlinie (August 2016) – mit nationalen Netz- und Informationssicherheitsgesetzen (Deutschland: IT-SiG, Österreich: NISG) die Implementierung entsprechender Maßnahmen für bestimmte Branchen explizit gefordert (inkl. Nachweiserbringung der operativen Wirksamkeit innerhalb eines Zeitraumes von 3 Jahre durch regelmäßige Audits, inkl. Meldepflichten für etwaige Vorkommnisse). Betroffen sind davon insbesondere die Branchen Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserversorgung, Digitale Infrastrukturen; darüber hinaus auch Anbieter zentraler digitaler Dienste wie zum Beispiel Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste sowie die Einrichtungen der öffentlichen Verwaltung.
Grenzen von IT-Sicherheit
Ein vollständiger Schutz von IT-Systemen vor etwaigen Angriffen und Übernahmen gilt als faktisch ausgeschlossen. Diese Tatsache ist sowohl technisch (Vorhandensein unbekannter Schwachstellen und Backdoors), kommerziell (unbezahlbar) als auch funktional (Benutzerfreundlichkeit) begründet. In diesem Sinne ist IT-Sicherheit immer auch eine Risikoabschätzung bezüglich der Verhältnismäßigkeit von Maßnahmen und potenziellem Schaden. Solche Abschätzungen erfolgen z.B. im Rahmen von Threat and Risk Analysen (TRA), die im Vorfeld eines Projektes durchgeführt werden.
Gleichzeitig folgt aus der Feststellung, dass ein vollumfänglicher Schutz faktisch unmöglich ist, die Notwendigkeit, IT-Sicherheit immer auch um Maßnahmen für eine sofortige Systemwiederherstellung (Backup/Restore) zu ergänzen. Die (angestrebte minimale) Zeitspanne vom Ausfall eines Systems bis zur dessen Wiederherstellung wird dabei als Recovery Time Objective (RTO) bezeichnet, die Zeitspanne zwischen zwei Datensicherungen als Recovery Point Objective (RPO). RTO und RPO werden aus Businesssicht festgelegt: Wie lange dürfen Geschäftsprozesse ausfallen, wie viel Datenverlust ist erträglich? Auch hier ist zwischen hohen Kosten für eine aufwendige technische Absicherung kurzer RTOs/RPOs und dem tatsächlichen Businessimpakt im Ausfallsfall abzuwägen.
Warum: IT-Sicherheit?
IT-Systeme stellen zusammen mit denen von ihnen gespeicherten Daten signifikante wirtschaftliche Ressourcen (Assets) für Unternehmen und Organisationen da.
Bei etwaigen Angriffen auf ein IT-System besteht die Gefahr, dass vertrauliche Informationen ausgespäht werden, Daten manipuliert und/oder gelöscht werden, oder dass das IT-System als Ganzes nicht mehr in seiner Funktionalität zur Verfügung steht. Die Folge wären direkte oder indirekte wirtschaftliche Schäden für die betroffenen Unternehmen und Organisationen.
Direkte wirtschaftliche Schäden entstehen, wenn Angreifer sich exklusiven Zugang zu vorhandenen Daten oder Systemen verschaffen und deren Herausgabe an ein „Lösegeld“ koppeln (Ransomware, Erpressung), wenn Maschinen- oder Fahrzeugsteuerungen so manipuliert werden, dass sie fehlerhaft arbeiten (Stuxnet, Sabotage), wenn die Verfügbarkeit von digitalen Dienste eingeschränkt wird (Distributed-Denial-of-Service Attacken – DDos, Schutzgelderpressung) oder wenn digitale Geldströme umgeleitet werden (Diebstahl). Indirekte Schäden sind beispielsweise Reputationsschäden durch Vertrauensverluste, in deren Folge z.B. die Akquise von Neukunden teurer und schwieriger wird, oder Wettbewerbsnachteile durch die ungewollte Übermittlung von vertraulichen strategischen oder technischen Informationen an Mitbewerber (Spionage).
In schlimmsten Fall führen die Nicht-Verfügbarkeit von IT-Systemen oder Fehlfunktionen auch zu Gefahr für Leib und Leben, etwa bei Systemausfällen im Gesundheitsbereich oder bei Störungen von Maschinen und Fahrzeugen.
Angriffe auf IT-Systeme sind folglich zu verhindern resp. in ihren Auswirkungen so weit als möglich zu neutralisieren. Dabei lassen sich aus den o.g. Risiken die allgemeinen Schutzziele für die IT-Sicherheit ableiten:
- Vertraulichkeit (Confidentiality): Sicherstellung des Zugriffs auf Daten und Informationen ausschließlich für hierfür autorisierte Benutzer und Benutzerinnen zur Wahrung von vertraulichen Informationen.
- Integrität (Integrity): Verhinderung der unbemerkten Änderungen von gespeicherten oder übertragenen Daten – alle Änderungen sollen nachvollziehbar sein.
- Verfügbarkeit (Availability): Verhinderung von (Teil-)Ausfällen von IT-Systemen als Folge von Angriffen Dritter.
DSGVO
Abgesehen vom ureigensten Interesse, wirtschaftliche Schäden für das eigene Unternehmen oder die eigene Organisation zu verhindern, gibt es mit der EU-Datenschutz-Grundverordnung (DSGVO) eine weitere wichtige Motivation, die eigenen IT-Systemen abzusichern. Die DSGVO fordert (u.a.), dass die Speicherung und Verarbeitung personenbezogener Daten von EU-Bürgern unter strikter Gewährleistung der Privatsphäre nach aktuellem Stand der Technik erfolgen muss. IT-Sicherheit (Confidentiality) und Datenschutz gehen hier Hand in Hand.
Relevanz
Angriffe auf datenverarbeitende Systeme gibt es, seitdem diese Systeme existieren. Die heutige starke Relevanz der Thematik IT-Sicherheit ergibt sich aus der zunehmenden Anzahl von IT-Geräten/IT-Systemen und deren Vernetzung, insbesondere im Rahmen von IoT/IIoT und Industrie 4.0, sowie der über die Jahre hinweg wachsenden Heterogenität von IT-Infrastrukturen.
Die relative Relevanz der einzelnen Schutzziele variiert ja nach betrachtetem IT-System:
- Für ein (öffentliches) Infotainment-System ist die Integrität der angezeigten Informationen von übergeordneter Wichtigkeit, während das Ziel Vertraulichkeit kaum eine besondere Rolle spielt. Dies gilt in gleicher Weise über IoT-Devices, die allgemein verfügbare Informationen (wie meteorologische Daten oder Verkehrsdaten) erfassen.
- Für ein CRM-System und jedes andere System, welches personenbezogene Daten von Kunden, Mitarbeitern und/oder Bewerbern speichert, ist allein schon auf Grund des geforderten Datenschutzes Vertraulichkeit dagegen von besonderer Wichtigkeit.
- Eine hohe Verfügbarkeit wird in jedem Fall angestrebt. Bei kritischen Infrastruktur-Systemen ist die Verfügbarkeit dabei jedoch von ganz herausragender Relevanz im Vergleich beispielsweise zu CRM- oder Infotainment-Systemen, bei denen auch höhere Ausfallraten akzeptiert werden.
Wie: IT-Sicherheit?
Im ersten Schritt müssen gefährdete IT-Systeme mithilfe einer Risiko-Analyse (Threat-Risk-Analysis) systematisch identifiziert und hinsichtlich ihres Schutzbedarfs klassifiziert werden.
Der Schutz der identifizierten Systeme erfolgt durch die Festlegung und Umsetzung geeigneter Maßnahmen zur Abschirmung (Isolierung, Separierung) sowie Zugangs- und Datenflusskontrollen. Ausprägung und Umfang der Maßnahmen hängen von der Art des betrachteten Systems sowie vom ermittelten Schutzbedarf ab.
Über ein intelligentes Monitoring werden tatsächliche Angriffe möglichst frühzeitig detektiert – aus den dabei beobachteten Ereignissen werden Sofort-Maßnahmen für die Abwehr resp. prädiktive Maßnahmen für den vorsorglichen Schutz abgleitet.
Mögliche Schwachstellen werden proaktiv über Penetration Tests (Schwachstellenscans) aufgedeckt – ggf. unter Hinzuziehung von sogenannten Ethical Hackern, die über Portale wie HackerOne ihre kostenpflichtigen Dienste anbieten.
Daten werden wo immer möglich verschlüsselt, um den tatsächlichen Zugriff auf die enthaltenen Informationen auch im Falle eines erfolgreichen Angriffs zu erschweren.
IT-Sicherheit für Server / Rechner
Die Abschirmung von Rechnern beginnt mit dem physischen Schutz der Rechner durch das Wegsperren von Servern in abgeschlossene Serverräume mit Zutritts- und Zugangskontrollsystemen (analog: sicherer Einbau von Steuergeräten in Maschinen und in Fahrzeuge). Bei Desktoprechnern im Büro kann durch einen geeigneten physischen Sichtschutz verhindert werden, dass Unbefugte Einsicht auf dem Bildschirm erlangen.
Betriebssysteme gefährdeter Rechner werden gehärtet. Dabei werden Zugriffe auf Netzwerkdienste des Computers (Fernzugriffe) so weit als möglich reduziert resp. vollständig abgeschaltet – insbesondere jene, die als besonders unsicher gelten (telnet, ftp, rsh und rlogin). Die Härtung erfolgt durch eine entsprechende Konfiguration des Betriebssystems als auch durch die zusätzliche Installation einer Personal Firewall auf dem Rechner. Eine vollständige Abschaltung aller Fernzugriffe und Netzwerkdienste ist aber in der Regel nicht möglich, da der Rechner in der Regel dann die gewünschte Funktionalität nicht mehr zur Verfügung stellen könnte bzw. eine Wartung kaum noch möglich wäre.
Der Rechnerschutz kann durch die Installation eines Virenscanners zusätzlich verstärkt werden. Klassische Virenscanner erkennen Malware anhand von Signaturen. Die Signaturdateien werden von den Herstellern bereitgestellt und laufend aktualisiert. Antivirus-Software der neuen Generation nutzen dagegen mathematische Modelle, um Schadsoftware zu erkennen (Data Science/KI). Da Virenscanner mit erheblichen Rechten ausgestattet werden müssen, besteht hier allerdings das Risiko, dass ein Virenscanner u.U. selbst zu einer Gefährdung wird.
Für den dauerhaften Schutz eines Rechners ist es notwendig, die Betriebssystem-Software (inkl. Firewall, Virenscanner etc.) regelmäßig hinsichtlich etwaiger neu erkannter Schwachstellen zu prüfen. Im Bedarfsfall ist das System zeitnah durch das Einspielen der vom Betriebssystemhersteller bereitgestellten Security-Patches zu aktualisieren.
Bei einer umfangreichen IT-Landschaft sind die notwendigen Security-Patches effizient nur mit Hilfe einer zentralen Inventardatenbank (Configuration Management Database, wie GLPI oder OCS Inventory NG) zu managen. Die Inventarisierung erfolgt idealerweise automatisch durch auf Servern und Arbeitsplatz-PCs installierte Agenten (wie Fusioninventory), die alle relevanten Informationen erfassen und in die Inventardatenbank melden. Über CPE-IDs (Common Platform Enumeration), die eine einheitliche Namenskonvention informationstechnischer Systeme, Plattformen und Softwarepakete implementieren, ist ein regelmäßiger Abgleich mit einer CVE Datenbank möglich. Werden für die in der Inventardatenbank enthaltenen Systeme neue CVEs (Common Vulnerabilities and Exposures) gefunden, werden entsprechende Alarme generiert. Die vollautomatische Zuordnung von CVEs und installierten Systemen wird allerdings durch Unzulänglichkeiten im CPE-Dictionary erschwert.
Die Verwendung von sicheren Hardwarebausteinen, die nicht unbemerkt hinzugefügt, entfernt oder manipuliert werden können, rundet den Rechnerschutz ab.
Für besondere Situationen, wie die Verwendung von mobilen Geräten bei Aufenthalten in China, werden radikale Sicherheitsmaßnahmen empfohlen: Beschaffung und ausschließliche Nutzung eines „Reiselaptops“ und eines „Wegwerfhandy“, nach Abschluss der Reise dann Entsorgung resp. vollständige Neuinstallation der Geräte.
Wer temporär auch fremde Rechner benutzten muss, kann die eigene Privatsphäre und Anonymität durch die Verwendung eines geeigneten Live-Betriebssystems wie tails schützen.
IT-Sicherheit für Anwendungen
Anwendungen (inkl. Datenbanken) werden geschützt, in dem der Zugang / die Nutzung der angebotenen Schnittstellen (GUI und APIs) prinzipiell auf authentifizierte und autorisierte Anwender eingeschränkt wird.
Die Authentifizierung, also die Prüfung der Identität der anfragenden Einheit, erfolgt durch die Abfrage eines Passworts, mittels biometrischer Merkmale (Iris-Scan, Fingerabdruck), mit Fido2-Sicherheitstoken (Fast IDentity Online/ WebAuthn – für Onlinedienste) oder mit Hilfe auf Geräten hinterlegter Zertifikate. In kritischen Bereichen wird eine Zwei-Faktor-Authentifizierung (Multi-Factor Authentication, MFA) verwendet. Hierbei kommen z.B. zusätzlich einzugebende PINs, SMS-Tokens (Einmal-Pin, OTP), Smartphone-Authenticator-Apps, Fingerabdruck-Scanner (USB-Tokens), FidoU2F, Smartcards oder Integrated Circuit Chip (ICC)-Karten zum Einsatz. Um Brute Force-Attacken zu verhindern, wird die Anzahl der Loginversuche bei der Benutzeranmeldung eingeschränkt.
Bei der Autorisierung, also bei der Gewährung von Rechten für eine Identität, ist die zentrale Herausforderung die Nachvollziehbarkeit, wer wem wann welche Rechte erteilt oder entzogen hat. Ein zentrales Rechtemanagementsystem, welches ausgehend von den klassischen IT-Systemberechtigungen und darüber hinausgehend ggf. auch weitere Rechte (wie Berechtigungen für das Öffnen von Türen oder die Benutzung von Maschinen) gemeinsam verwaltet, hilft hier den Überblick in der Organisation zu bewahren. Ein differenzierte Rollendefinition stellt sicher, dass einer Identität ausschliesslich tatsächlich benötigte Rechte gewährt werden.
Kritische Anwendungen werden darüber hinaus in abgeschotteten Umgebungen installiert und ausgeführt (Virtualisierung), so dass etwaige Schäden auf diese Bereiche beschränkt bleiben resp. sich mehrere Anwendungen auf einem Rechner nicht gegenseitig gefährden.
Kontinuierliche Überwachung und Tracking der Schnittstellen der Anwendung tragen dazu bei, eine etwaige missbräuchliche Nutzung resp. etwaige Angriffe frühzeitig zu erkennen.
Automatisiertes Fuzzing-Testing mit großen Mengen an Zufallsdaten hilft, potenzielle Schwachstellen in Anwendungen noch im Teststadium zu finden und zu eliminieren, z.B. mit den Werkzeugen beStorm (Beyond Security), CI-Fuzz-Engine (Code Intelligence), Fuzzing Test Suite (Synopsys), Mayhem for Code (ForAllSecure) oder OSS-Fuzz (Google).
IT-Sicherheit für Netzwerke
Die Zugangskontrolle in Netzwerken wird für die beteiligten Geräte über den Standard IEEE 802.1x implementiert. Dabei authentifizieren / autorisieren sogenannte Authenticatoren (Switche, Router, Access Points) die Teilnehmer (Supplicants, Bittsteller) am physikalischen oder logischen Port eines Netzwerks (LAN, VLAN, WLAN), bevor diese auf Dienste oder Daten des Netzwerks zugreifen können. Zentrale Komponente im Standard ist ein Authentication Server (AS) – oft ein Radius-Server (Remote Authentication Dial-in User Service) – der die Zugriffskontrolle von Netzwerknutzern zentral steuert.
Der in der Regel vorhandene Übergangspunkt zwischen dem zu schützenden (privaten) Netz und dem öffentlichen Netz (Internet, Providernetz), genannt Perimeter, ist ein kritischer Einfallspunkt für externe Angriffe. Am Perimeter wird deshalb eine Firewall installiert, die als externe Firewall bezeichnet wird und die das Privatnetz als Ganzes von Internet abschirmt.
Umfangreichere Netzwerke werden zusätzlich in Zonen mit unterschiedlicher Sicherheitseinstufung aufgeteilt, die [nur] über definierte Übergangspunkte miteinander verbunden sind (Segmentierung). Die Segmentierung kann entweder physikalisch oder virtuell erfolgen (VLANs). An den internen Übergangspunkten werden ebenfalls (interne) Firewalls installiert.
Firewalls kontrollieren den Datenverkehr zwischen den Netzen resp. Zonen und schirmen die kritischen Bereiche von weniger kritischen Bereichen ab. Im einfachsten Fall erfolgt die Regulierung des Datenverkehrs basierend auf Absender/Ziel der Datenpakete und den genutzten Diensten (Layer 3). Aufgesetzte Intrusion Detection Systeme resp. Intrusion Prevention Systeme (IDS/IPS) analysieren den Inhalt der transportierten Daten (Layer 7), um etwaige Angriffe zu erkennen resp. zu verhindern.
Firewall werden auf Rechnern mit minimierten Betriebssystemen bereitgestellt, idealerweise unterstützt von Beschleunigungschips und Spezialhardware (Firewall-Appliances). Damit wird eine schnelle Verfügbarkeit nach einem Reboot erreicht sowie sichergestellt, dass die Firewall nicht selber zum Risiko wird.
Idealerweise werden zentrale Netzwerkdienste in einem Privatnetz so konfiguriert, dass sich unbekannte Rechner grundsätzlich nicht in das Netzwerk einhängen können. Tatsächlich ist jedoch so, dass immer häufiger private mobile Endgeräte (Laptops, Tablets oder Smartphones) in Netzwerke von Unternehmen oder Organisationen integriert werden müssen (Bring Your Own Device – BYOD). Diese Entwicklung führt zum datenzentrierten Zero Trust Network Ansatz, bei dem herkömmliche pauschale Berechtigungen im Netzwerk (inkl. Firewallschutz) an Bedeutung verlieren und stattdessen jeder Zugriff auf Daten im Netzwerk individuell (identitätsbasiert) authentifiziert wird. Ob das noch relativ neue datenzentrierte Security-Konzept Zero Trust – wie mancherorts postuliert – die klassische, Firewall- und zonebasierte Netzwerk-Sicherheit vollständig ablösen wird, wird sich allerdings erst noch zeigen müssen.
System-Monitoring
Für den effektiven Schutz großer, integrierter IT-Systeme mit zahlreichen Firewalls, Rechnern und Anwendungen ist ein gesamthaftes Sicherheits-Monitoring unerlässlich. Hierzu werden die Beobachtungen der einzelnen Teilsysteme in einer zentralen Datenbasis zusammengeführt und gemeinsam analysiert (Security Analytics).
Die kontinuierliche Auswertung der fortlaufend anfallenden Rohdaten erfordert ausgefeilte Algorithmen resp. den Einsatz von KI (Data Science). Andernfalls ist es kaum möglich, aus der Fülle der Security-Rohdaten Anomalien und etwaige Angriffe verlässlich zu erkennen und gleichzeitig Fehlalarme zu vermeiden.
Über den Einzelfall hinausgehend hilft das Erkennen spezifischer Angriffsmuster, den Schutz der eigenen IT-Systeme immer besser zu justieren.
Verschlüsselung
Werden Daten über Schnittstellen übertragen, per Mail versendet oder in Datenbanken abgelegt, so sollen diese verschlüsselt werden. Hierbei kommen verschiedene Kryptographieverfahren zum Einsatz.
Bei einer Übertragung über das öffentliche Netz werden herkömmliche VPNs eingesetzt, so weit diese noch nicht durch neue Zero Trust Lösungen obsolet geworden sind.
Der Mensch
Die Digitalisierung beschert IT-Sicherheitsspezialisten beste Verdienstmöglichkeiten. Ihnen stehen vielfältige Jobofferten in der Wirtschaft, in der IT-Industrie und bei der öffentlichen Hand offen.
Menschen – in Form von Mitarbeitern – stellen gleichzeitig ein signifikantes Sicherheitsrisiko für Unternehmen und Organisationen dar. Das beste IT-Sicherheitssystem funktioniert nicht, wenn die Benutzer nicht mit ins Boot geholt werden oder wenn Einzelne das System sogar aktiv boykottieren.
- System-Administratoren haben naturgemäß umfangreiche Berechtigungen in IT-Systemen. Insider-Angriffe stellen so nach wie vor eine große Gefahr dar. Prominentestes Beispiel ist Edward Snowden, der 2013 streng geheime Dokumente der NSA kopiert und an Dritte übermittelt hat und damit die NSA-Affäre auslöste.
- Der Identitätsdiebstahl, also die Übernahme von (Mitarbeiter-)Konten auf Grund unsicherer Passwörter, gilt als ein zentrales Kernproblem der IT-Sicherheit. Das am häufigsten geleakte Passwort lautet noch immer 123456 – gefolgt von 12345 und 123456789 (Hasso-Plattner-Institut, 2018). Eine sinnvolle Password Policy hilft, unsichere Passwörter zu vermeiden. Als sicher gelten Passwörter, wenn sie möglichst lang sind (Schutz gegen Brute-Force-Angriffe) und wenn es sich nicht um triviale Wörter handelt, die in Wörterbüchern zu finden sind.
- Pishing-Mails, oft auf eine Zielgruppe oder eine einzelne Institution perfekt zugeschnitten, dienen zur Verbreitung von Schadsoftware oder zur Erlangung von Zugangsdaten. Ein vollständiger technischer Schutz vor Pishing ist kaum möglich, deshalb ist eine ausreichende „IT-Sicherheits-Awareness“ der Mitarbeiter für die Abwahr dieser Angriffe essentiell.
- Die Verschlüsselung von E-Mails wird von Anwendern noch immer nur sehr eingeschränkt benutzt. Ursachen und Lösungsansätze werden seit der Veröffentlichung der Forschungsarbeit Why Johnny can’t encrypt (Alma Whitten, 1999) diskutiert, ohne dass bisher wesentliche Fortschritte erreicht wurden.
Behörden, Verbände, Communities
In Deutschland wurde 1991 das Bundesamt für Sicherheit in der Informationstechnik (BSI, Bonn) als nationale Cyber-Sicherheitsbehörde gegründet. Das BSI soll die Thematik IT-Sicherheit (Informationssicherheit) für Staat, Wirtschaft und Gesellschaft gestalten und setzt sich insbesondere für die Sicherheit in der nationalen Informations- und Kommunikationstechnik ein. Die Aufgabe der Behörde ist gesetzlich geregelt. Das Veröffentlichungen und Handbücher des BSI finden international Beachtung, auch in Österreich. Der IT-Grundschutz ist eine vom BSI definierte, am internationalen Standard ISO 27001 orientierte Vorgehensweise zum Schutz von IT-Systemen.
Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) ist ein Kompetenznetzwerk für Industrie, Beratung, Verwaltung und Wissenschaft, welches 1989 gegründet wurde. TeleTrusT hat u.a. ein Prüfschema für Produkte nach IEC 62443-4-2 „Industrielle Kommunikationsnetze – IT-Sicherheit für industrielle Automatisierungssysteme“ veröffentlicht, welches Anforderungen für eine Überprüfung der korrekten und effektiven Umsetzung der Norm definiert.
Sicherheitsexperten haben sich zu offenen Communities zusammengeschlossen, wie das Open Web Application Security Project (OWASP). OWASP möchte Organisationen in die Lage versetzen, sichere und vertrauenswürdige Anwendungen zu entwickeln, zu kaufen und zu betreiben.
Abgrenzungen
Cybersecurity und Cybersicherheit sind Synonyme für den hier benutzen Begriff IT-Sicherheit.
Informationssicherheit beschreibt allgemein die Wahrung von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen – sowohl in technischen und wie in nicht-technischen Systemen – und umfasst damit neben der IT-Sicherheit hinausgehend auch Maßnahmen zum Schutz von Daten, die außerhalb von IT-Systemen gespeichert (gelagert) werden.
IT Sicherheit, die im Englischen mit (IT-)Security übersetzt wird, steht der Begriff sicherheitsrelevanter Software (o.ä., übergeordneter Begriff: Safety) gegenüber.
Sicherheitsrelevante Software findet sich z.B. in Maschinen- oder Fahrzeugsteuerungen und hat die Aufgabe, eine Maschine resp. ein Fahrzeug derart zu kontrollieren/zu steuern, dass durch den Betrieb der Maschine resp. des Fahrzeugs weder Mensch noch Material zu Schaden kommt. Durch sicherheitsrelevante Software (Safety) wird vereinfacht gesagt der Mensch vor Maschinen geschützt – während im Bereich IT-Security umgekehrt Maschinen vor Menschen (Hackern) geschützt werden.
Die strikte Trennung von Security (hier: IT-Sicherheit) und Safety (hier: sicherheitsrelevante Software) ist allerdings nicht länger aufrechtzuerhalten, da auch sicherheitsrelevante Software-Systeme immer stärker vernetzt und damit immer stärker etwaigen Angriffen von Unbefugten ausgesetzt sind. Wenn es Hackern aber gelingt, sicherheitsrelevante Software infolge einer mangelnden IT-Sicherheit (Security) unbemerkt zu manipulieren, kann dies unvermittelt Konsequenzen bei der Safety zur Folge haben. Aus diesem Grunde ist bei solchen Systemen eine umfassende Sicherheitsbetrachtung unerlässlich.
siehe auch: