Samstag, 23. Juni 2012


Topthema

Donnerstag, 14. April 2005 | Topthema

About Security #1: IT-Sicherheit — Was ist das eigentlich?

(Link zum Artikel: http://www.entwickler.de/entwicklerde/kolumnen/021135)
  • Teilen
  • kommentieren
  • empfehlen
  • Bookmark and Share

An dieser Stelle sollen in Zukunft Woche f�r Woche Themen aus dem Bereich IT-Sicherheit behandelt werden. In dieser Folge erfahren Sie, was IT-Sicherheit eigentlich ist und lernen die drei Schutzziele Vertraulichkeit, Verf�gbarkeit und Integrit�t kennen.

Eine einfache Definition der IT-Sicherheit wie z.B. "Ein IT-System ist sicher, wenn nichts Unerw�nschtes passieren kann" ist nicht sehr hilfreich. Statt einer einzelnen Definition nennt man daher meist drei Ziele, die zusammen die IT-Sicherheit ausmachen: Vertraulichkeit, Verf�gbarkeit und Integrit�t.

N E U ! Security aktuell
T�glich aktuelle Security-Infos!

Vertraulichkeit
Gespeicherte Daten m�ssen vor unbefugter Weitergabe gesch�tzt werden.
Einen Verlust der Vertraulichkeit, d.h. die Weitergabe vertraulicher Daten an Dritte, kann man nicht direkt erkennen und auch nicht r�ckg�ngig machen. Mit geeigneten Ma�nahmen kann ein Verlust der Vertraulichkeit jedoch verhindert werden. Vertrauliche Daten k�nnen auf vielen Wegen an Unbefugte gelangen. Ein Angreifer kann eine Schwachstelle nutzen, um von au�en in das lokale Netz bzw. in den lokalen Computer einzudringen und die Daten zu kopieren. Oder er kann z.B. einen Trojaner per E-Mail einschleusen, der eine Hintert�r �ffnet oder die vertraulichen Daten direkt an den Angreifer schickt. Auch von innen ist die Vertraulichkeit gef�hrdet, wenn z.B. Mitarbeiter Daten absichtlich oder unabsichtlich weitergeben.

Verf�gbarkeit
Das IT-System steht zum gew�nschten Zeitpunkt mit den erforderlichen Funktionen und Daten zur Verf�gung.
Ob ein System verf�gbar ist, kann man leicht erkennen, und ein nicht verf�gbares System ist bei geeigneter Vorbereitung relativ schnell wiederherzustellen. Allerdings kann man eine Beeintr�chtigung nie mit vollst�ndiger Sicherheit verhindern. M�gliche Angriffe gegen die Verf�gbarkeit sind z.B. Viren, W�rmer oder Trojaner, die die Funktion der Software beeintr�chtigen, oder (Distributed) Denial-of-Service-Angriffe auf die Netzwerkverbindung. Auch Angriffe auf die Hardware wie z.B. Brandstiftung oder die St�rung der Stromversorgung sind m�glich.

Integrit�t
Die Daten sind vollst�ndig und unver�ndert.
Die Integrit�t l�sst sich mit geeigneten Ma�nahmen beweisen. Bei einer Ver�nderung der Daten lassen sich diese bei einer ausreichenden Vorbereitung wiederherstellen. Das Verhindern einer Manipulation ist jedoch nie mit vollst�ndiger Sicherheit m�glich. Daten k�nnen an mehreren Stellen ver�ndert werden. Auf dem lokalen IT-System k�nnen die gespeicherten Daten direkt ver�ndert oder die zur Verarbeitung verwendeten Anwendungen entsprechend manipuliert werden. Genauso ist eine Ver�nderung der Daten w�hrend der �bertragung zwischen verschiedenen IT-Systemen m�glich.

About Security: Die komplette Serie
Wie erreicht man die Schutzziele?

Auf Anwenderseite kommen als Schutz u.a. Virenscanner, Firewall und Intrusion-Detection-Systeme zum Einsatz. Damit kann die Gefahr, dass ein Angreifer von au�en in das IT-System eindringt, verringert werden. Zur Sicherstellung der Vertraulichkeit sch�tzt man die Daten zus�tzlich durch eine geeignete Verschl�sselung. Die Integrit�t kann man durch digitale Signaturen pr�fen. Auch der physikalische Schutz des IT-Systems muss ber�cksichtigt werden. Hierunter fallen so unterschiedliche Dinge wie Zugangskontrolle, Diebstahlschutz, Brandschutzma�nahmen und die Sicherstellung der Stromversorgung. Organisatorische Ma�nahmen wie Regeln zum Umgang mit dem IT-System erg�nzen die technischen Schutzfunktionen. Alle Ma�nahmen zusammen werden in einer Sicherheitsrichtlinie (Security Policy) festgelegt.

F�r Entwickler kann man das Thema Sicherheit sehr vereinfacht zusammenfassen als "Bei Eingabe von korrekten Daten werden korrekte Ergebnisse geliefert, bei Eingabe von falschen Daten passiert nichts B�ses". Das klingt sehr allgemein, und vieles scheint nicht ber�cksichtigt zu sein, aber es trifft den Kern des Problems recht gut: Dass bei einem Anwendungsprogramm die Eingabe von richtigen Daten zu richtigen Ergebnissen f�hrt, ist selbstverst�ndlich. Genauso wichtig ist aber auch, dass bei der Eingabe von falschen Daten nichts B�ses passiert. Weder d�rfen bei der Eingabe falscher Daten korrekte Daten zerst�rt oder ver�ndert werden noch darf es z.B. zu einem Puffer�berlauf mit anschlie�ender Ausf�hrung eingeschleusten Codes kommen. Auf das Betriebssystem bezogen gilt das Gleiche: Korrekte Programme liefern mit richtigen Eingaben richtige Ergebnisse, und wenn ein Programm eine Fehlfunktion aufweist, darf der Rest des Systems nicht davon betroffen werden. Und bezogen auf Netzwerke bedeutet es, dass falsche Eingaben keine negativen Auswirkungen haben d�rfen und ein gest�rtes System den Rest des Netzwerkes nicht beeintr�chtigen darf. Nat�rlich ist dies der Idealfall, den man nicht immer und unter allen Umst�nden erreichen kann – aber es schadet nie, den Idealfall anzustreben.

In dieser Folge haben Sie die drei Schutzziele der IT-Sicherheit allgemein kennen gelernt. Ab der n�chsten Folge wird ihre Bedeutung an einem ausf�hrlicheren Beispiel n�her erl�utert.

Wenn Sie Fragen oder Themenvorschl�ge haben, k�nnen Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!

Carsten Eilers

About Security – �bersicht zum aktuellen Thema "Einf�hrung":

Kommentare

Folgende Links könnten Sie auch interessieren