{"id":182,"date":"2019-10-01T05:45:36","date_gmt":"2019-10-01T05:45:36","guid":{"rendered":"http:\/\/flexitcs.net\/?p=182"},"modified":"2022-04-19T05:21:48","modified_gmt":"2022-04-19T05:21:48","slug":"it-sicherheit-eine-ubersicht","status":"publish","type":"post","link":"https:\/\/flexitcs.net\/index.php\/it-sicherheit-eine-ubersicht\/","title":{"rendered":"Digitalisierung kompakt: IT-Sicherheit"},"content":{"rendered":"\n

IT-Sicherheit ist in aller Munde: Was<\/strong> verbirgt sich hinter IT-Sicherheit? Warum <\/strong>ist IT-Sicherheit so wichtig und Wie <\/strong>wird IT-Sicherheit implementiert?<\/p>\n\n\n\n

Eine Einordnung der wichtigsten Begriffe, Fakten und aktuellen Trends.<\/p>\n\n\n\n

\"Was:<\/figure>\n\n\n\n

Was: IT-Sicherheit?<\/h3>\n\n\n\n

Unter IT-Sicherheit werden organisatorische und technische Ma\u00dfnahmen zusammengefasst, die IT-Systeme vor feindlichen Angriffen und \u00dcbernahmen sch\u00fctzen. <\/p>\n\n\n\n

Derartige Angriffe sind m\u00f6glich, da praktisch alle IT-Systeme (bekannte und noch nicht bekannte) Schwachstellen<\/strong> und Sicherheitsl\u00fccken (Vulnerabilities, Backdoors) aufweisen, die durch Angreifer ausgesp\u00e4ht und ausgenutzt werden. Angriffe k\u00f6nnen dabei sowohl unspezifisch mit der \u201eRansomware-Schrotflinte\u201c als auch gezielt auf einzelne Mitarbeiter oder Branchen erfolgen. Die Motive der Angreifer sind finanzieller Art (Schutzgeld, L\u00f6segeld), aber auch das aus dem Weg r\u00e4umen von Konkurenten, die Verschaffung von Wettbewerbsvorteilen sowie politischer und sozialer Protest.<\/p>\n\n\n\n

Konzepte und Ma\u00dfnahmen zum Schutz von IT-Systemen vor Angriffen und \u00dcbernahmen m\u00fcssen sowohl bei der Implementierung<\/strong> als auch beim Betrieb <\/strong>von IT-Systemen ber\u00fccksichtigt werden. Im ersten Fall spricht man von der Produkt- resp. Solution-Security<\/strong>, die in der Verantwortung des Herstellers des Systems liegt. F\u00fcr die Durchf\u00fchrung notwendiger technischer und organisatorischer Ma\u00dfnahmen im Betrieb ist dagegen der Betreiber des jeweiligen IT-Systems zust\u00e4ndig. Aus Sicht des Betreibers ist Security ein kontinuierlicher Prozess, dessen Qualit\u00e4t zyklisch zu \u00fcberwachen ist, und in dem alle Mitarbeiter einzubeziehen sind.<\/p>\n\n\n\n

Sowohl f\u00fcr die Hersteller- als auch die Betreiberseite sind inzwischen Normen verf\u00fcgbar, die als Orientierung f\u00fcr die Umsetzung dienen. So definiert die Normenreihe <\/a>ISA\/IEC 62443<\/a><\/strong> \u201eIndustrielle Kommunikationsnetze – IT-Sicherheit f\u00fcr Netze und Systeme\u201c den \u201eStand der Technik\u201c und legt die Anforderungen und die Vorgangsweise zu Absicherung der Produktions- und Industrieanlagen f\u00fcr die Hersteller fest. Auf der Betreiberseite sieht die Standardreihe ISO\/IEC 2700x<\/strong><\/a> (ISO 27001) die Einf\u00fchrung eines Information Security Management <\/a>Systems<\/strong> f\u00fcr den Betrieb von IT-Systemen vor. <\/p>\n\n\n\n

F\u00fcr Betreiber von IT-System besteht allerdings keine allgemeine Zertifizierungspflicht und damit auch keine Pflicht zur Umsetzung der ISO 2700x. Der Gesetzgeber hat deshalb – in Umsetzung der europ\u00e4ischen NIS-Richtlinie (August 2016) – mit nationalen Netz- und Informationssicherheitsgesetzen<\/strong> (Deutschland: IT-SiG<\/a>, \u00d6sterreich: NISG<\/a>) die Implementierung entsprechender Ma\u00dfnahmen f\u00fcr bestimmte Branchen explizit gefordert (inkl. Nachweiserbringung der operativen Wirksamkeit innerhalb eines Zeitraumes von 3 Jahre durch regelm\u00e4\u00dfige Audits, inkl. Meldepflichten f\u00fcr etwaige Vorkommnisse). Betroffen sind davon insbesondere die Branchen Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserversorgung, Digitale Infrastrukturen; dar\u00fcber hinaus auch Anbieter zentraler digitaler Dienste wie zum Beispiel Online-Marktpl\u00e4tze, Online-Suchmaschinen und Cloud-Computing-Dienste sowie die Einrichtungen der \u00f6ffentlichen Verwaltung.<\/p>\n\n\n\n

Grenzen von IT-Sicherheit<\/h4>\n\n\n\n

Ein vollst\u00e4ndiger Schutz von IT-Systemen<\/strong> vor etwaigen Angriffen und \u00dcbernahmen gilt als faktisch ausgeschlossen. Diese Tatsache ist sowohl technisch (Vorhandensein unbekannter Schwachstellen und Backdoors), kommerziell (unbezahlbar) als auch funktional (Benutzerfreundlichkeit) begr\u00fcndet. In diesem Sinne ist IT-Sicherheit immer auch eine Risikoabsch\u00e4tzung bez\u00fcglich der Verh\u00e4ltnism\u00e4\u00dfigkeit von Ma\u00dfnahmen und potenziellem Schaden. Solche Absch\u00e4tzungen erfolgen z.B. im Rahmen von Threat and Risk Analysen<\/strong> (TRA), die im Vorfeld eines Projektes durchgef\u00fchrt werden.<\/p>\n\n\n\n

Gleichzeitig folgt aus der Feststellung, dass ein vollumf\u00e4nglicher Schutz faktisch unm\u00f6glich ist, die Notwendigkeit, IT-Sicherheit immer auch um Ma\u00dfnahmen f\u00fcr eine sofortige Systemwiederherstellung<\/strong> (Backup\/Restore) zu erg\u00e4nzen. Die (angestrebte minimale) Zeitspanne vom Ausfall eines Systems bis zur dessen Wiederherstellung wird dabei als Recovery Time Objective<\/strong> (RTO) bezeichnet, die Zeitspanne zwischen zwei Datensicherungen als Recovery Point Objective<\/strong> (RPO). RTO und RPO werden aus Businesssicht festgelegt: Wie lange d\u00fcrfen Gesch\u00e4ftsprozesse ausfallen, wie viel Datenverlust ist ertr\u00e4glich? Auch hier ist zwischen hohen Kosten f\u00fcr eine aufwendige technische Absicherung kurzer RTOs\/RPOs und dem tats\u00e4chlichen Businessimpakt im Ausfallsfall abzuw\u00e4gen.<\/p>\n\n\n\n

\"Warum:<\/figure>\n\n\n\n

Warum: IT-Sicherheit?<\/h3>\n\n\n\n

IT-Systeme stellen zusammen mit denen von ihnen gespeicherten Daten signifikante wirtschaftliche Ressourcen <\/strong>(Assets) f\u00fcr Unternehmen und Organisationen da.<\/p>\n\n\n\n

Bei etwaigen Angriffen auf ein IT-System besteht die Gefahr, dass vertrauliche Informationen ausgesp\u00e4ht werden, Daten manipuliert und\/oder gel\u00f6scht werden, oder dass das IT-System als Ganzes nicht mehr in seiner Funktionalit\u00e4t zur Verf\u00fcgung steht. Die Folge w\u00e4ren direkte oder indirekte wirtschaftliche Sch\u00e4den<\/strong> f\u00fcr die betroffenen Unternehmen und Organisationen. <\/p>\n\n\n\n

Direkte wirtschaftliche Sch\u00e4den entstehen, wenn Angreifer sich exklusiven Zugang zu vorhandenen Daten oder Systemen verschaffen und deren Herausgabe an ein „L\u00f6segeld“ koppeln (Ransomware<\/strong>, Erpressung<\/strong>), wenn Maschinen- oder Fahrzeugsteuerungen so manipuliert werden, dass sie fehlerhaft arbeiten (Stuxnet<\/strong>, Sabotage<\/strong>), wenn die Verf\u00fcgbarkeit von digitalen Dienste eingeschr\u00e4nkt wird (Distributed-Denial-of-Service Attacken – DDos, Schutzgelderpressung<\/strong>) oder wenn digitale Geldstr\u00f6me umgeleitet werden (Diebstahl<\/strong>). Indirekte Sch\u00e4den sind beispielsweise Reputationssch\u00e4den durch Vertrauensverluste<\/strong>, in deren Folge z.B. die Akquise von Neukunden teurer und schwieriger wird, oder Wettbewerbsnachteile durch die ungewollte \u00dcbermittlung von vertraulichen strategischen oder technischen Informationen an Mitbewerber (Spionage<\/strong>).<\/p>\n\n\n\n

In schlimmsten Fall f\u00fchren die Nicht-Verf\u00fcgbarkeit von IT-Systemen oder Fehlfunktionen auch zu Gefahr f\u00fcr Leib und Leben<\/strong>, etwa bei Systemausf\u00e4llen im Gesundheitsbereich oder bei St\u00f6rungen von Maschinen und Fahrzeugen.<\/p>\n\n\n\n

Angriffe auf IT-Systeme sind folglich zu verhindern resp. in ihren Auswirkungen so weit als m\u00f6glich zu neutralisieren. Dabei lassen sich aus den o.g. Risiken die allgemeinen Schutzziele<\/strong> f\u00fcr die IT-Sicherheit ableiten:<\/p>\n\n\n\n