IT-Sicherheit für Dummies E-Book

IT-Sicherheit für Dummies

Schummelseite

IT-Sicherheit für Dummies

Bibliografische Information der Deutschen Nationalbibliothek

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

© 2022 Wiley-VCH GmbH, Boschstraße 12, 69469 Weinheim, Germany

All rights reserved including the right of reproduction in whole or in part in any form. This book published by arrangement with John Wiley and Sons, Inc.

Alle Rechte vorbehalten inklusive des Rechtes auf Reproduktion im Ganzen oder in Teilen und in jeglicher Form. Dieses Buch wird mit Genehmigung von John Wiley and Sons, Inc. publiziert.

Wiley, the Wiley logo, Für Dummies, the Dummies Man logo, and related trademarks and trade dress are trademarks or registered trademarks of John Wiley & Sons, Inc. and/or its affiliates, in the United States and other countries. Used by permission.

Wiley, die Bezeichnung »Für Dummies«, das Dummies-Mann-Logo und darauf bezogene Gestaltungen sind Marken oder eingetragene Marken von John Wiley & Sons, Inc., USA, Deutschland und in anderen Ländern.

Das vorliegende Werk wurde sorgfältig erarbeitet. Dennoch übernehmen Autoren und Verlag für die Richtigkeit von Angaben, Hinweisen und Ratschlägen sowie eventuelle Druckfehler keine Haftung.

Coverfoto: © Jonathan Schöps – stock.adobe.comKorrektur: Matthias Delbrück, Dossenheim/Bergstraße

Print ISBN: 978-3-527-71852-8ePub ISBN: 978-3-527-83357-3

Über die Autoren

Rainer W. Gerling beschäftigt sich seit über 40 Jahren beruflich mit Informationstechnologie und hat bereits 1986 einen der ersten Artikel in Deutschland über Computerviren veröffentlicht. Nach dem Studium der Physik an der Universität Dortmund von 1974 bis 1979 schloss er 1981 seine Promotion und 1986 seine Habilitation an der Universität Erlangen-Nürnberg ab. Von 1981 bis 1993 war er wissenschaftlicher Assistent und Privatdozent an der Universität Erlangen-Nürnberg.

Nach seiner Tätigkeit als Wissenschaftler war Rainer W. Gerling von 1993 bis 2013 Datenschutzbeauftragter und von 2006 bis 2020 IT-Sicherheitsbeauftragter der Max-Planck-Gesellschaft. Seit 1994 ist er Lehrbeauftragter an der Hochschule München und wurde 2006 zum Honorarprofessor für IT-Sicherheit an der Hochschule München ernannt. Er ist seit 2012 stellvertretender Vorsitzender des Vorstands der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Mitbegründer und von 2008 bis 2020 als Vorsitzender des Arbeitskreises Informationssicherheit der deutschen Forschungseinrichtungen (AKIF) hat er maßgeblich die Behandlung des Themas Informationssicherheit an deutschen Hochschulen und Forschungseinrichtungen mitgeprägt.

Darüber hinaus ist er seit 1996 freiberuflicher Trainer und Berater für Datenschutz und IT-Sicherheit.

Sebastian R. Gerling beschäftigt sich seit über 20 Jahren beruflich mit Informationstechnologie und ganzheitlicher Strategieentwicklung im Umfeld von Hochschulen und Forschungseinrichtungen. Erfahrungen sammelte er dabei seit 2000 insbesondere in der Abteilung Informations- und Kommunikationstechnologie in der Generalverwaltung der Max-Planck-Gesellschaft, den Max-Planck-Instituten für Informatik und Softwaretechnik, der Universität des Saarlandes, dem »CISPA – Center for IT-Security, Privacy and Accountability« und dann am »CISPA – Helmholtz-Zentrum für Informationssicherheit« sowie der Universität Hamburg.

Nach dem Bachelor-und Masterstudium der Informatik an der Universität des Saarlandes zwischen 2004 und 2009, schloss er im Rahmen eines Promotionsstipendiums der International Max Planck Research School for Computer Science 2014 die Promotion an der Universität des Saarlandes ab. Nach seiner Tätigkeit als wissenschaftlicher Mitarbeiter an der Universität des Saarlandes 2012 bis 2014 war er von 2012 bis 2017 administrativer Leiter des »CISPA – Center for IT-Security, Privacy and Accountability«. Von 2018 bis 2019 war er Leiter der Stabsstelle Wissenschaftsstrategie und Technologietransfer erst am »CISPA – Center for IT-Security, Privacy and Accountability« und dann am »CISPA – Helmholtz-Zentrum für Informationssicherheit«, im Anschluss war er von 2019 bis 2020 Leiter Wissenschaftsstrategie am »CISPA – Helmholtz-Zentrum für Informationssicherheit«. Seit 2021 ist Sebastian Gerling der Chief Digital Officer (CDO) der Universität Hamburg. Darüber hinaus ist er seit 2011 freiberuflicher Berater für IT-Sicherheit und Digitalisierung sowie freiberuflicher Referent für IT-Sicherheitsschulungen und Vorträge. Darüber hinaus ist er Autor von zahlreichen Fachartikeln im Bereich der IT-Sicherheit.

Inhaltsverzeichnis

Cover

Titelblatt

Impressum

Über die Autoren

Einleitung

Über dieses Buch

Törichte Annahmen über den Leser

Was Sie nicht lesen müssen

Wie dieses Buch aufgebaut ist

Symbole, die in diesem Buch verwendet werden

Konventionen in diesem Buch

Wie es weitergeht

Teil I: Informationssicherheit, IT-Sicherheit und Datenschutz

Kapitel 1: Irrtümer und häufige Fehler

Internet-Sicherheit

Mobile und Cloud-Sicherheit

Endgerätesicherheit

E-Mail-Sicherheit

Kapitel 2: Grundlagen der Informationssicherheit

Was ist Informationssicherheit?

Was ist IT-Sicherheit?

Was ist Cybersicherheit?

Klassische Schutzziele der Informationssicherheit

Authentizität

Verantwortlichkeit

Benutzbarkeit

Weitere Schutzziele

Kapitel 3: Bausteine der Informationssicherheit

Risikomanagement

Meldepflichten bei Vorfällen

Einhaltung von Sicherheitsstandards

Nachweis der Einhaltung durch Audits

Kapitel 4: Datenschutz und technisch-organisatorische Maßnahmen

Teil II: Rechtliche Anforderungen

Kapitel 5: Die DS-GVO und das BDSG

Die acht Gebote des Datenschutzes (BDSG a. F.)

Stand der Technik

Implementierungskosten

Gewährleistungsziele des Datenschutzes

Kapitel 6: Gesetze zur IT-Sicherheit

NIS-Richtlinie (EU)

Rechtsakt zur Cybersicherheit (EU)

eIDAS-Verordnung (EU)

Single-Digital-Gateway-(SDG-)Verordnung (EU)

BSI-Gesetz (D)

BSI-Kritisverordnung (D)

Geschäftsgeheimnisgesetz (D)

Onlinezugangsgesetz (D)

Sozialgesetzbuch V (D)

TKG, TMG und TTDSG (D)

Kapitel 7: ISO-Normen

ISO/IEC 270xx Informationssicherheit

ISO/IEC 27701 Datenschutz

Kapitel 8: BSI und Grundschutz

IT-Grundschutz

Standard-Datenschutzmodell und IT-Grundschutz

Technische Richtlinien des BSI

Kapitel 9: Weitere Standards

Prozessorientierte Standards

Vorgaben für die öffentliche Verwaltung

Technikorientierte Standards

ITIL

Kapitel 10: Technisch-organisatorische Maßnahmen (TOM)

Vertraulichkeit

Integrität

Verfügbarkeit und Belastbarkeit

Auftragskontrolle, Lieferantenbeziehungen

Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM

Teil III: Organisation der Informationssicherheit

Kapitel 11: Organisation im Unternehmen

Verantwortung für die Informationssicherheit

Organisatorische Strukturen

Richtlinien und Regeln

Kapitel 12: Der Deming-Kreis (PDCA) und die ständige Verbesserung

Kapitel 13: Risikoanalyse und Kronjuwelen

Klassifizierung der Daten

Klassifizierung der Systeme

Bedrohungsanalyse

Metriken und Bewertung

Kapitel 14: Grundlegende Dokumentation

Asset- und Konfigurationsmanagement

Nutzermanagement und Zugriffskontrolle

Kapitel 15: Meldepflichten und Vorfallsmanagement

Datenschutzvorfälle

IT-Sicherheitsvorfälle

Angriffserkennung

Security Information and Event Management (SIEM)

Kapitel 16: Awareness und Beschäftigte

Teil IV: Bausteine der technischen IT-Sicherheit

Kapitel 17: Grundlagen der Verschlüsselung

Symmetrische Verschlüsselung

Betriebsarten der Blockverschlüsselung

Asymmetrische Verschlüsselung

Hybride Verschlüsselung

Hashfunktionen

Digitale und elektronische Signaturen

Elliptische-Kurven-Kryptografie

DLIES und ECIES

Vertrauensmodelle

Kryptograpische Forschung

Kapitel 18: Biometrie

Hautleisten

Venenmuster

Iris-Scan

Gesichtserkennung

Kapitel 19: Chipkarten und Secure Hardware Token

Einmalpasswort-Token

Teil V: Lösungen und Umsetzungen

Kapitel 20: Backup & Co.

Datensicherung

Aufbewahrungspflichten

Archivierung

Redundanz

Kapitel 21: Netzwerksicherheit

Grundlagen

Sicherheitserweiterungen von Netzwerkprotokollen

Netzwerkzugang

Netzwerksegmentierung

Denial-of-Service-Angriffe

Anonymisierung in Netzwerken

Funknetze

Das sichere Internet der Zukunft

Kapitel 22: Firewalls

Grundlagen von Firewalls

Packet Filter

Stateful Inspection Firewall

Network Address Translation (NAT)

Proxy-Server und Application Layer Firewall

NG Firewall und Deep Packet Inspection

Firewall in der Cloud

Kapitel 23: Verschlüsselung im Einsatz

Daten in Ruhe

Daten in Bewegung

Kapitel 24: Monitoring

Metriken der IT-Sicherheit

Angriffserkennungssysteme

Managed Security

Schadsoftware

Kapitel 25: Patch Management

Kapitel 26: Zugangssicherung und Authentisierung

Passwörter im Unternehmen

Zwei-Faktor-Authentisierung

Biometrie

Single Sign-on

Kapitel 27: Anwendungssicherheit

Chat

E-Mail

Videokonferenzen

Webanwendungen

Datenbanken

Cloud

Blockchain

Künstliche Intelligenz

Teil VI: Der Top-Ten-Teil

Kapitel 28: Zehn Maßnahmen für den technischen Basisschutz

Backup

Schutz vor Schadsoftware

Netzwerkschutz

Firewall

Patch-Management

Verschlüsselt speichern

Verschlüsselt kommunizieren

Passwort-Management

Biometrie und Zwei-Faktor-Authentifikation

Spam-Abwehr

Kapitel 29: Zehn Maßnahmen für den organisatorischen Überbau

Übernahme der Verantwortung

Leitlinie zur Informationssicherheit

Richtlinien zur Informationssicherheit

Definition und Besetzung der Rollen

Definition der fundamentalen Prozesse

Risikobetrachtung

Klassifizierung der Daten und Systeme

Awareness

Krisenmanagement

Regelmäßige Überprüfung

Literaturverzeichnis

Abbildungsverzeichnis

Stichwortverzeichnis

End User License Agreement

Tabellenverzeichnis

Kapitel 3

Tabelle 3.1: Die expliziten gesetzlichen Vorgaben für Unternehmen bezüglich der M...

Kapitel 6

Tabelle 6.1: Die Regelungen der §§ 165–169 TKG haben vier unterschiedliche Gruppe...

Kapitel 7

Tabelle 7.1: Änderungen und Ergänzungen der Abschnitte der ISO/IEC 27001/27002 du...

Kapitel 8

Tabelle 8.1: Die 47 elementaren Gefährdungen der IT-Sicherheit (IT-Grundschutzkom...

Tabelle 8.2: Kreuztabelle für den Baustein »SYS.2.3: Clients unter Linux und Unix...

Tabelle 8.3: Zusammenfassung der wesentlichen empfohlenen Verfahren und Mindestsc...

Kapitel 14

Tabelle 14.1: Die Unterschiede zwischen einem Inventarverzeichnis und einer CMDB...

Kapitel 16

Tabelle 16.1: Die drei Phasen einer Awareness-Kampagne. (nach SP 800-16)

Kapitel 17

Tabelle 17.1: Die sechs Prinzipien (Anforderungen) des Auguste Kerckhoffs von Nie...

Tabelle 17.2: Bekannte Hashfunktionen mit Blocklänge, der Länge des Hashwerts und...

Tabelle 17.3: Vergleich der Schlüssellängen für verschiedene Verschlüsselungsverf...

Tabelle 17.4: Die wesentlichen Datenfelder der Datenstruktur zur Speicherung des ...

Kapitel 21

Tabelle 21.1: Übersicht über das OSI-Referenzmodell im Vergleich zum TCP/IP-Model...

Illustrationsverzeichnis

Kapitel 2

Abbildung 2.1: Anzahl der aktuellen (2012, 2016 und 2019) und veralteten (2003, 2...

Kapitel 3

Abbildung 3.1: Das Risiko wird häufig als das Produkt aus Schadenshöhe und Eintri...

Abbildung 3.2: Durch die Risikostrategien Vermeiden, Reduzieren und Delegieren ka...

Kapitel 5

Abbildung 5.1: Die beispielhafte Auswertung der Fragebögen zur Bewertung des Stan...

Kapitel 6

Abbildung 6.1: Die gesetzlichen Vorgaben zur IT-Sicherheit in den unterschiedlich...

Abbildung 6.2: Das fünfstufige Reifegradmodell zur OZG-Umsetzung der Verwaltungsv...

Abbildung 6.3: Die Priorisierung P1 bis P4 sowie die Zahl der Maßnahmen für klein...

Abbildung 6.4: Je nach Größe einer ärztlichen beziehungsweise zahnärztlichen Prax...

Kapitel 7

Abbildung 7.1: Übersicht über die ISO-Normen der ISO/IEC 27000er Standard-Familie...

Kapitel 9

Abbildung 9.1: Grobe qualitative Darstellung des Aufwands und des typisch zu erre...

Abbildung 9.2: Tabellarische Übersicht über das Ergebnis einer Selbsteinschätzung...

Kapitel 10

Abbildung 10.1: Beispiele für Identifikatoren, Teil-Identifikatore...

Abbildung 10.2: Office-Dokumente können in den Desktopversionen von Microsoft Off...

Abbildung 10.3: Die Konfiguration der Verschlüsselung eines Webser...

Abbildung 10.4: Der Greenbone-Schwachstellenscanner bewertet die g...

Kapitel 11

Abbildung 11.1: Die Regelungspyramide, die die zeitlichen Änderungsskalen und die...

Kapitel 12

Abbildung 12.1: Der Deming- oder PDCA-Zyklus als vierstufiger Prozess der ständig...

Kapitel 13

Abbildung 13.1: Auszug aus der Log-Datei

auth.log

eines Servers. Hier sind die un...

Kapitel 15

Abbildung 15.1: Der Anfang eines TLP:WHITE-Dokuments des BSI mit einer Warnung vo...

Kapitel 17

Abbildung 17.1: Kommunikationsmodell eines symmetrischen Verschlüsselungssystem.

Abbildung 17.2: Symmetrische Verschlüsselung

Abbildung 17.3: Die Verschlüsselung zweier Blöcke im ECB- (links) und CBC-Modus (...

Abbildung 17.4: Das Logo der Buchreihe (oberes Bild) wurde mit AES...

Abbildung 17.5: Das Verschlüsselungsschema ist beim CFB-, OFB- und CTR-Modus glei...

Abbildung 17.6: Bei einem Man-in-the-Middle-(MITM-)Angriff klinkt sich Mallory ak...

Abbildung 17.7: Die Verschlüsselung erfolgt mit dem öffentlichen Schlüssel des Em...

Abbildung 17.8: Zur Erzeugung von Schlüsselpaaren werden im Wesentliche...

Abbildung 17.9: Ein Briefkasten ist eine Analogie zur asymmetrischen Verschlüssel...

Abbildung 17.10: Bei der Hybridverschlüsselung wird der Schlüssel mittels asymmet...

Abbildung 17.11: Bei der Merkle-Damgård-Konstruktion besteht die Hashfunktion aus...

Abbildung 17.12: Wir können uns die Bildung eines Hashwerts wie die Faltung einer...

Abbildung 17.13: Beispiele für die verschiedenen Padding-Verfahren. Der...

Abbildung 17.14: Ein Schaukasten im Unternehmen hat eine Funktion, die der digita...

Abbildung 17.15: Schematische Darstellung einer digitalen Signatur und ihrer Über...

Abbildung 17.16: Darstellung der Addition zweier Punkt auf einer elliptischen Kur...

Abbildung 17.17: Beim ersten Verbindungsaufbau zu einem SSH-Server muss der Schlü...

Abbildung 17.18: Anforderungen an die Größe von Quantencomputern. Der graue Berei...

Kapitel 18

Abbildung 18.1: Die Abhängigkeit der False Acceptance Rate (FAR) und der False Re...

Kapitel 19

Abbildung 19.1: Die Chipkartenformate mit Kontaktfeld (von links): ID-1, ID-000, ...

Abbildung 19.2: Schematischer Aufbau einer Speicherchipkarte (a) und einer Prozes...

Abbildung 19.3: Aus einer Token-abhängigen individuellen Zufallszahl, die bei der...

Abbildung 19.4: Aus der Domain des Login-Servers, einer Zufallszahl (Nonce) und d...

Kapitel 20

Abbildung 20.1: Die Darstellung der Datensicherungsarten. a) Vollsicherung; b) Di...

Abbildung 20.2: Schematische Darstellung eines RAID-1- und eines RAID-5-System mi...

Kapitel 21

Abbildung 21.1: Der Ablauf der DNS-Auflösung mit normalen DNS (a) und DoT/DoH (b)...

Abbildung 21.2: Darstellung des Zusammenspiels von Supplicant, Authenticator und ...

Abbildung 21.3: Segmentierung eines Netzwerks.

Abbildung 21.4: VLAN-Beispiele.

Kapitel 22

Abbildung 22.1: Beispiel für eine Firewall mit vier Sicherheitszonen: Extern, Int...

Abbildung 22.2: Beispielhafte Übersetzung der IP-Adressen mit NAT ...

Kapitel 23

Abbildung 23.1: Es gibt vier Konzepte, wie Dateien auf einem Datenträger verschlü...

Abbildung 23.2: Dialog zum Einrichten der Datenträgerverschlüsselung Bitlocker un...

Abbildung 23.3: Schmatische Darstellung der Hardware-Verschlüsselung oder Device ...

Abbildung 23.4: Die unterschiedlichen verschlüsselten Datenströme bei einer Ende-...

Abbildung 23.5: Die Verbindung von einem Client zu einem Server (Ziel) über eine ...

Abbildung 23.6: Der gleichzeitige Aufruf einer Webseite zum Anzeigen der eigenen ...

Abbildung 23.7: OpenVPN läuft im User Space und transportiert Daten zwischen eine...

Kapitel 24

Abbildung 24.1: Ein Spinnennetzdiagramm erlaubt den quantitativen Vergleich mehre...

Abbildung 24.2: Die fehlgeschlagenen SSH-Anmeldeversuche mit der Nutzerin

pi

auf ...

Kapitel 25

Abbildung 25.1: Die monatliche Zahl der Schwachstellenwarnungen und Updates der W...

Kapitel 27

Abbildung 27.1: Ein Verschlüsselungs-Proxy übernimmt die Ver- und Entschlüsselung...

Abbildung 27.2: Die Kommunikationsflüsse bei einer Videokonferenz ...

Abbildung 27.3: Die Kommunikationsflüsse bei einer Videokonferenz ...

Abbildung 27.4: Die Kommunikationsflüsse bei einer Videokonferenz ...

Abbildung 27.5: Die verkette Listenstruktur einer Blockchain.

Abbildung 27.6: Die Verwendung von Algorithmen und Daten beim Maschinellen Lernen...

Orientierungspunkte

Cover

Titelblatt

Impressum

Über die Autoren

Inhaltsverzeichnis

Einleitung

Fangen Sie an zu lesen

Abbildungsverzeichnis

Stichwortverzeichnis

End User License Agreement

Seitenliste

1

2

5

6

7

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

35

36

37

38

39

40

41

42

43

44

45

47

48

49

50

51

52

53

54

55

56

57

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

74

75

76

77

78

79

80

81

82

83

84

85

86

87

88

89

90

91

92

93

94

95

96

97

98

99

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

153

154

155

156

157

158

159

160

161

163

164

165

166

167

168

169

170

171

172

173

174

175

176

177

178

179

180

181

182

183

184

185

186

187

188

189

190

191

192

193

194

195

196

197

198

199

200

201

202

203

204

205

206

207

208

209

210

211

212

213

214

215

216

217

218

219

220

221

222

223

224

225

226

227

228

229

230

231

232

233

234

235

236

237

238

239

240

241

242

243

244

245

246

247

248

249

250

251

252

253

254

255

256

257

258

259

260

261

262

263

264

265

266

267

268

269

270

271

272

273

274

275

276

277

278

279

280

281

282

283

284

285

286

287

288

289

290

291

292

293

294

295

296

297

298

299

301

302

303

304

305

306

307

308

309

310

311

312

313

314

315

316

317

318

319

320

321

322

323

324

325

326

327

328

329

330

331

332

333

334

335

336

337

338

339

340

341

343

344

345

346

347

348

349

350

351

352

353

354

355

356

357

358

359

360

361

362

363

365

366

367

369

370

371

372

373

374

375

379

380

381

382

383

Einleitung

Informationssicherheit stellt eine der elementaren Grundlagen für eine gesetzeskonforme und verlässliche Nutzung von Informationstechnologien und der digitalen Transformation dar.

Wer sich heute für Informationssicherheit interessiert, muss sich sowohl mit den organisatorischen als auch mit den technischen Grundlagen der Informationssicherheit befassen. Moderne Vorlesungen zur Informationssicherheit decken nicht nur den technischen Teil ab, sondern widmen sich genauso umfangreich den organisatorischen Strukturen. Leider fehlt es in der Informatikerausbildung aber häufig noch an der fachbereichsübergreifenden Darstellung und die IT-Sicherheit wird rein technisch gelehrt.

Das ist sicherlich mit ein Grund dafür, dass die Informationssicherheit noch lange nicht flächendeckend auf dem Niveau ist, auf dem sie sein sollte. Auch die regulatorischen Vorgaben durch den Gesetzgeber werden mehr. Die DS-GVO und die IT-Sicherheitsgesetzgebung fordern heute deutlich mehr IT-Sicherheit und technisch-organisatorische Maßnahmen als noch vor ein paar Jahren. Auch der IT-Planungsrat kümmert sich um einheitliche Informationssicherheitsvorgaben für Behörden. Tangiert wird das außerdem auch von den Rechnungshöfen des Bundes und der Länder, die im Rahmen ihrer Wirtschaftlichkeitsprüfungen auch die Informationssicherheit prüfen.

Das weltumspannende Internet sollten wir sicher nutzen können, deshalb benötigen wir eine einheitliche Regulierung der Informationssicherheit. Die Gültigkeit nationalen Rechts endet an der Landesgrenze. Internationale Regelungen, wie sie die EU schafft, vereinheitlichen die Vorgaben. Hier bedarf es noch weiterer internationaler Anstrengungen.

Über dieses Buch

Wir stellen im Buch die organisatorischen und die technischen Grundlagen der Informationssicherheit gemeinsam dar. Das Buch gibt eine umfassende Orientierung zur Einordnung der Informationssicherheit in das regulatorische Umfeld (Deutschland, EU), die erforderlichen organisatorischen Strukturen im Unternehmen beziehungsweise in der Behörde und die technischen Grundlagen der Informationssicherheit.

Törichte Annahmen über den Leser

Sie wollen Informationssicherheit lernen. Das ist gut und Sie sind hier richtig.

Sie haben kein Vorwissen. Kein Problem! Die Inhalte werden so präsentiert, dass sie im Wesentlichen ohne Vorwissen verständlich sind.

Sie studieren Informatik, Mathematik oder Jura. Sie denken darüber nach, eine Berufslaufbahn in der Informationssicherheit einzuschlagen. Dann sollten Sie neben den technischen Grundlagen der Informationssicherheit (eher Informatik-Themen) auch die rechtlichen und organisatorischen Grundlagen (eher juristische, Wirtschafts- und Wirtschaftsinformatik-Themen) beherrschen. Das Buch führt das erforderliche Wissen aus den Schnittstellen zu den relevanten Fachgebieten (Informatik, Rechtswissenschaften, Wirtschaftswissenschaften und Wirtschaftsinformatik) zusammen und stellt es einheitlich dar.

Was Sie nicht lesen müssen

Wenn Sie beginnen, ein Kapitel zu lesen, und Sie den Inhalt schon kennen, überspringen Sie das Kapitel. Bei einem Querschnittthema mit juristischen, technischen und betrieblichen Inhalten ist es unvermeidbar, dass Sie, je nach Ausbildung, in dem einen oder anderen dieser Themen schon Vorkenntnisse haben. Die Juristen unter Ihnen kennen sich mit den Gesetzen aus und die Mathematiker oder Informatiker unter Ihnen wissen vermutlich schon einiges über Verschlüsselung.

Beispiele und Anekdoten können Sie überspringen, wenn Sie den Sachverhalt auch so verstehen oder der Hintergrund für Sie nicht so wichtig ist.

Wie dieses Buch aufgebaut ist

Wie jedes Buch der »… für Dummies«-Reihe ist auch dieses Buch in mehrere große Teile gegliedert. Die Einführung der grundlegenden Begriffe und Anforderungen geschieht in Teil I. In Teil II lernen Sie die rechtlichen und regulatorischen Anforderungen kennen. Die Organisation im Unternehmen ist der Schwerpunkt von Teil III. Teil IV soll Ihnen die technischen Grundlagen und Bausteine vermitteln. Aus den Bausteinen bauen wir dann im Teil V das IT-Sicherheitshaus auf.

Teil I: Informationssicherheit, IT-Sicherheit und Datenschutz

IT-Sicherheit und Informationssicherheit ist das nicht dasselbe? Und was hat Datenschutz damit zu tun? Sie lernen die Definitionen und Unterschiede der Begriffe der Informationssicherheit, nämlich die klassischen Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit kennen. Wenn Sie sich mit der Umsetzung von Informationssicherheit beschäftigen wollen, müssen Sie zuerst lernen, was Informationssicherheit ist.

Erstaunlicherweise finden Sie diese Grundbegriffe nicht nur in Lehrbüchern und Standarddokumenten zur Informationssicherheit, sondern zunehmend auch in Gesetzen. Die immer weiter gehende Digitalisierung führt auch zu vermehrten Anforderungen an die Informationssicherheit. Von der Praxis Ihres Hausarztes bis zur Steuerung der Energieversorgung Ihrer Wohnung: überall werden Computer eingesetzt. Und wenn die Computer gestört sind, fällt die Dienstleistung oder Versorgungsleistung aus. Im Juli 2021 wurde in Deutschland erstmalig der Cyberkatastrophenfall ausgelöst, und zwar im Landkreis Anhalt-Bitterfeld. Störungen der Informationssicherheit können tatsächlich katastrophale Auswirkungen haben. Deshalb muss Informationssicherheit nicht nur Schutz vor Angriffen, sondern auch Vorsorge vor Katastrophen und Unfällen sein.

Die vier Begriffe Risikomanagement, Meldepflichten, Sicherheitsstandards und Audits ziehen sich wie ein roter Faden durch alle Regelungen zur IT-Sicherheit. Sie werden lernen, was es damit auf sich hat.

Und mit den technisch-organisatorischen Maßnahmen, kurz TOM, kommt dann auch der Datenschutz ins Spiel. Um den technischen Schutz der personenbezogenen Daten zu gewährleisten, sind TOMs erforderlich. Datenschutz braucht unterstützend die IT-Sicherheit, auch wenn die Datenschutzziele nicht allein durch IT-Sicherheitsmaßnahmen erreicht werden können.

Teil II: Rechtliche Anforderungen

Da Computer und Digitalisierung immer weiter in unser Leben vordringen und deshalb die Informationssicherheit immer wichtiger wird, regelt der Gesetzgeber in immer mehr Gesetzen und Verordnungen die Anforderungen an die Informationssicherheit.

Viele Unternehmen müssen sich intensiv um Informationssicherheit kümmern. Dabei spielt es keine Rolle, ob ihnen das wichtig ist oder nicht: Es ist ihnen gesetzlich vorgeschrieben.

Sie erfahren, welche europäischen Vorschriften (Netzwerk- und Informationssicherheits-Richtlinie, Rechtsakt zur Cybersicherheit, Datenschutz-Grundverordnung) und welche deutschen Vorschriften (BSI-Gesetz, Geschäftsgeheimnisgesetz, Telekommunikationsgesetz und etliche andere) den Unternehmen Vorgaben zur IT-Sicherheit machen.

Neben den rechtlichen Vorgaben lernen Sie auch die Standards und Normen zur Informationssicherheit (ISO-Normen, BSI-Grundschutz und andere) kennen. Diese Standards sind wichtig, da sich die rechtlichen Vorgaben teilweise für die Umsetzung auf diese Standards beziehen. Gesetze haben eine deutliche längere Lebensdauer als IT-Systeme. Deshalb ist es für den Gesetzgeber schwer, IT in Gesetzen detailliert zu regeln. Der Bezug auf Standards, die sich schneller aktualisieren lassen, ist der Ausweg aus diesem Dilemma.

Und nochmal Datenschutz: Wie strukturieren Sie im Unternehmen die TOMs? Wir schauen uns gemeinsam an, was bei den TOMs wichtig ist.

Teil III: Organisation der Informationssicherheit

Ein Unternehmen muss seine Prozesse durch interne Vorgaben und Regeln gestalten. Teilweise sind das relativ banale Dinge, wie eine Nutzerordnung oder eine Passwortrichtlinie. Welche Regeln und vor allem welche Inhalte der Regeln wollen Sie als zukünftige Expertin oder zukünftiger Experte für Informationssicherheit Ihrem Unternehmen empfehlen? Sie lernen in diesem Teil, was Sie regeln sollen und wie Sie es regeln sollen.

Wer hat im Unternehmen welche Aufgaben in der Informationssicherheit? Vom Chef über den Informationssicherheitsbeauftragten und den IT-Leiter bis zur Nutzerin, jede und jeder trägt seinen Teil zur Bewältigung der Aufgabe »Informationssicherheit« bei.

Wie machen Sie eine Risikoanalyse? Was sind die Kronjuwelen im Unternehmen? Was dürfen die Nutzerinnen? Wie gehen Sie mit Sicherheitsvorfällen um? Mit all diese Fragen beschäftigen wir uns in diesem dritten Teil.

Eine der wichtigsten organisatorischen Fragen beschäftigt sich mit der alten Frage: »Wie sag ich es meinen Mitarbeitern?« Awareness und Schulung sind wichtige Maßnahmen, die Sie kennenlernen werden.

Teil IV: Bausteine der technischen IT-Sicherheit

Im vierten Teil, zugegeben ein ziemlich anspruchsvoller Abschnitt, spielen die technischen Grundlagen der IT-Sicherheit die Hauptrolle. Einen breiten Raum nehmen die Grundlagen der Verschlüsselung ein. Ganz ohne Mathematik geht es nicht, aber die Anschaulichkeit steht im Vordergrund.

Ein weiteres wichtiges Thema ist die Biometrie. Eine Anmeldung am Smartphone mit Fingerabdruck oder Gesichtserkennung haben Sie bestimmt schon gemacht. Türöffnung im Sicherheitsbereich mit Iris-Scan ist in manchen Rechenzentren Pflicht. Sie lernen die Grundlagen der Biometrie kennen und wir schauen uns auch die damit verbundenen Risiken an.

Außerdem beschäftigen wir uns noch mit Chipkarten und Sicherheitstoken. Vom neuen Personalausweis über die Girocard bis zur SIM-Karte im Smartphone haben Sie sicher schon persönliche Erfahrungen gemacht im Umgang mit den kleinen Geräten. Wir schauen uns an, wie sie funktionieren und was sie können.

Teil V: Lösungen und Umsetzungen

Aufbauend auf den Bausteinen, die Sie im vierten Teil kennengelernt haben, schauen wir uns dann die Lösungen zur IT-Sicherheit an. Backup, Verschlüsselung von Daten auf Datenträgern und bei der Übertragung, Netzwerksicherheit, Firewalls und Zugangssicherung sind Lösungen, die Sie kennenlernen werden.

Wie überwachen und messen Sie die IT-Sicherheit im Unternehmen? Was sind geeignete Metriken, um die Qualität Ihrer IT-Sicherheit zu messen? Was ist ein Patch-Management? Sie wollten sicher immer schon mal wissen, wie eine Blockchain funktioniert und was es mit Künstlicher Intelligenz auf sich hat. Auch das werden Sie in diesem Teil lernen.

Alle diese Lösungen dienen zur technischen Unterstützung der organisatorischen Prozesse im Unternehmen.

Teil VI: Der Top-Ten-Teil

Im Top-Ten-Teil geht es nochmal um die wichtigsten Begriffe und die wichtigsten organisatorischen und technischen Maßnahmen. Quasi das Take-away in aller Kürze.

Symbole, die in diesem Buch verwendet werden

Neben dem Fernglas finden Sie Beispiele, die Ihnen helfen, das Gelernte an einer konkreten Situation besser zu verstehen.

Neben der Lupe finden Sie Definitionen von Begriffen. Häufig stammen diese aus offiziellen Normen, Standards oder Gesetzen.

Wenn Sie erst in das Thema einsteigen und noch nicht so viele Erfahrungen haben, hilft der eine oder andere Tipp.

Bevor Sie einen typischen Fehler machen oder einem gängigen Irrtum unterliegen, lesen Sie die mit diesem Symbol gekennzeichneten Warnungen.

Manchmal erzählen wir Ihnen eine Anekdote. Im Gegensatz zu einem Beispiel ist es nicht das Hauptziel einer Anekdote, Sie beim Verstehen eines Sachverhalts zu unterstützen, sondern sie gibt eine Erklärung zum Hintergrund oder zur Entstehung eines Aspekts oder auch spannende Einblicke in das reale Leben der IT-Sicherheit.

Konventionen in diesem Buch

In diesem Buch verwenden wir aus Gründen der Lesbarkeit für Rollen sowohl die männliche als auch die weibliche Form. Dazu haben wir für alle Rollen jeweils ein Geschlecht definiert und verwenden dies dann durchgehend: der Informationssicherheitsbeauftragte, die Datenschutzbeauftragte, der Angreifer, die Nutzerin. Des Weiteren verwenden wir den Begriff »Unternehmen« und meinen damit jeweils sowohl Organisationen beliebiger Rechtsform wie Unternehmen jeder Art, aber auch Behörden, Universitäten, Forschungseinrichtungen, Vereine und so weiter.

Wir verwenden in diesem Buch die folgenden Begriffe und orientieren uns dabei an den Formulierungen des BSI-Grundschutz-Kompendiums:

»MUSS« oder »DARF NUR«: Diese beiden Formulierungen werden verwendet, wenn etwas unbedingt getan werden muss, da es vorgeschrieben ist. In diesem Fall gibt es eine rechtliche Vorschrift (zum Beispiel die DS-GVO oder das BSI-Gesetz), die die Maßnahme verlangt.

»DARF NICHT« oder »DARF KEIN«: Diese beiden Formulierungen beschreiben das Gegenteil, dass etwas auf keinen Fall getan werden darf, da es zum Beispiel gesetzlich oder regulatorisch (zum Beispiel im Strafgesetzbuch) untersagt ist.

»SOLLTE«: Diese Formulierung besagt, dass es geboten ist, etwas zu tun. Es kann jedoch gute Gründe geben, es trotzdem nicht zu machen. Diese Abweichung muss gut überlegt und nachvollziehbar begründet werden. Außerdem ist die Ausnahme ausführlich zu dokumentieren.

»SOLLTE NICHT« oder »SOLLTE KEIN«: Diese Formulierung besagt, dass nicht geboten ist, etwas zu tun. Es kann jedoch gute Gründe geben, es trotzdem zu machen. Diese Abweichung muss gut überlegt und nachvollziehbar begründet werden. Außerdem ist die Ausnahme ausführlich zu dokumentieren.

»KANN«: Diese Formulierung besagt, dass etwas getan werden kann oder auch nicht. Weder für die eine noch die andere Option ist eine explizite Begründung erforderlich.

Wie es weitergeht

Wir hoffen, Sie sind jetzt richtig neugierig geworden und fangen gleich an zu lesen!

Wenn Sie Informationssicherheit dauerhaft betreiben wollen, dann dürfen Sie nach dem Durcharbeiten dieses Buches nicht aufhören. Die technischen Herausforderungen ändern sich ständig. Ständig werden neue Angriffstechniken bekannt, auf die reagiert werden muss. Die Regularien ändern sich und erfordern eine Anpassung der Organisation im Unternehmen. Standards und Normen werden an die sich weiter entwickelnde Technik angepasst. Es gibt kaum ein anderes Gebiet, wo es so wichtig ist, immer am Ball zu bleiben und sich ständig weiterzubilden.

Wer sich mit Informationssicherheit beschäftigt, muss sich auf die ständigen Änderungen einlassen. »Das haben wir schon immer so gemacht!« ist ein Argument, das Sie vergessen müssen. Aber Informationssicherheit macht auch Spaß: Es ist spannend, an vorderster Front dabei zu sein und die Entwicklung im Unternehmen mitzugestalten.

Die Sorge, dass das Thema in ein paar Jahren vom Tisch ist, müssen Sie nicht haben. Informationssicherheit ist eines der großen Themen unserer Zeit, das immer wichtiger wird. Damit wird Ihnen nie langweilig!

Dieses Buch berücksichtigt bei Darstellungen der Rechtslage in Deutschland und in der Europäischen Union den Stand der Gesetzgebung bis Herbst 2021. Gesetze (wie zum Beispiel TKG, TTDSG), die bis Mitte 2021 beschlossen wurden, aber erst am 1. Dezember 2021 in Kraft getreten sind, sind in der Fassung vom 1. Dezember 2021 berücksichtigt.

Aktualisierte Links, weitere Informationen und Errata finden Sie auf der Website https://www.it-sfd.de.

Teil I

Informationssicherheit, IT-Sicherheit und Datenschutz

Kapitel 1

Irrtümer und häufige Fehler

IN DIESEM KAPITEL

Typische Fehleinschätzungen der Nutzerinnen

Fehler der Administratoren

Fake News der IT-Sicherheit

Um die IT-Sicherheit ranken sich viele Mythen. Die Nutzerinnen der IT haben teilweise seltsame Vorstellungen, wie Informationstechnik (IT) und IT-Sicherheit funktioniert.

Es gibt Nutzerinnen, die unterschätzen das Risiko. Äußerungen im Bekannten- und Kollegenkreis, die Sie alle schon gehört haben, sind »Ich kann mit meinem Windows 7 ins Internet gehen, wenn ich immer nur kurz im Internet bin. Bei weniger als zehn Minuten kann nichts passieren.« »Solange ich nicht auf zwielichtigen Seiten surfe, kann ich mir keinen Virus einfangen.« »Eine E-Mail, in der sich ein Virus verbirgt, erkenne ich sofort.« »Ein Passwort zum Anmelden am Rechner benötige ich nur im Büro.« »Ich habe nichts zu verbergen.« »Wer interessiert sich schon für meine Daten?«

Andere Nutzerinnen überschätzen das Risiko. »Ich mache kein Online-Banking. Das ist viel zu gefährlich.« »Ich will kein Smartphone, da werde ich nur ausspioniert.« »Die Geheimdienste können mich dann komplett verfolgen.«

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt auf der Webseite für Verbraucherinnen und Verbraucher (https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Sicherheitsirrtuemer/sicherheitsirrtuemer_node.html) gängige IT-Sicherheitsirrtümer zusammen, die wir zu vier mal fünf häufigen Irrtümern ergänzt haben und im Folgenden in vier Kategorien vorstellen.

Internet-Sicherheit

Sie surfen wahrscheinlich auch regelmäßig im Internet und wollen sich dabei schützen. Einige Nutzerinnen haben seltsame Vorstellungen, wie man sich schützt und was die Schutzmechanismen leisten können.

Eine Firewall schützt vor allen Angriffen aus dem Internet.

Eine Firewall schützt unsere Rechner erst einmal überhaupt nicht. Erst das Regelwerk der Firewall erzeugt den Schutz. Je nach Firewall gibt es im Lieferumfang unter Umständen ein Default-Regelwerk. Gerade im Privatbereich ist dieses jedoch nicht auf maximalen Schutz ausgelegt, sondern eher auf Vermeidung von Support-Anrufen. Eine Firewall als virtueller Pförtner lässt immer einigen Datenverkehr passieren, zum Beispiel E-Mail-Empfang und Web-Surfen, und damit kann auch Schadsoftware durch die Firewall gelangen. Für einen IT-Laien ist eine sichere Konfiguration einer Firewall nicht leistbar, da sie ein gutes technisches Verständnis der Internet-Protokolle voraussetzt.

Wenn das Virenschutzprogramm aktuell ist, muss ich Updates für andere Software nicht sofort installieren. Ein kostenloses Virenschutzprogramm ist völlig ausreichend.

Virenschutzprogramme erkennen nicht alle Schadsoftware. Gerade aktuelle, neue Viren werden nicht sofort erkannt. Deswegen müssen wir trotz Virenscanner Softwareupdates immer unverzüglich einspielen. Windows 7 ist mittlerweile auch mit einem aktuellen Virenscanner unsicher. Kostenlose Virenschutzprogramme haben häufig eine geringere Funktionalität als die kostenpflichtigen Versionen und eine geringere Updatefrequenz, denn der Hersteller lebt vom Verkauf der Software. Die in der freien Version fehlende Funktionalität ist aber der innovative Teil des Virenscanners, den Sie gerne zum Schutz Ihres Rechners nutzen würden. In Unternehmen ist der Einsatz kostenloser Virenschutzprogramme aus lizenzrechtlichen Gründen nicht möglich, da die kostenlosen Varianten überwiegend nur für einen nicht-kommerziellen Einsatz lizenziert werden.

Ein einziges langes und komplexes Passwort reicht für alle meine Internet-Dienste vollkommen aus.

Es ist keine gute Idee, wenn wir für alle Dienste, die wir nutzen, immer dasselbe Passwort verwenden. Bei vielen Diensten wird als Nutzername eine E-Mail-Adresse verwendet. Werden der Nutzername und das zugehörige Passwort bei einem Dienst von Kriminellen gestohlen, ist es dann auch bei allen anderen Diensten kompromittiert, denn da funktioniert in diesem Fall dieselbe Kombination aus E-Mail-Adresse und Passwort! Und wenn Sie dann auch noch dasselbe Passwort bei Ihrem E-Mail-Anbieter nutzen, hat der Angreifer auch Zugriff auf all Ihre E-Mails. Anbieter wie »';– have i been pwnded« (https://haveibeenpwned.com/) zeigen, wie oft und in welchem Umfang dies geschieht. Nur wenn Sie für jeden (!) Dienst ein eigenes Passwort verwenden, können Sie im Falle des Falles den Schaden auf den Anbieter des kompromittierten Dienstes begrenzen.

Ich surfe nur auf seriösen Webseiten, darum kann mir nichts passieren.

Auch das Webangebot eines vertrauenswürdigen Anbieters kann gehackt sein – dann wird über diese scheinbar ganz seriöse Webseite Schadsoftware verbreitet. Viele Anbieter finanzieren ihre Webangebote über Werbung. Die Werbeanzeigen werden dabei direkt von den Werbeanbietern geladen. Und auch diese können gehackt werden und mit der Werbung Schadsoftware verteilen. Auch Browser können Sicherheitslücken haben, über welche sich Ihr Rechner hacken lässt. Letztendlich gibt es keine Garantie, dass eine Webseite dauerhaft frei von Schadsoftware bleibt, egal wie gut ihr Ruf ist.

Die Nutzung eines Virtual Private Networks (VPN) erlaubt eine anonyme und sichere Internetnutzung.

Wenn Sie das VPN eines kommerziellen Anbieters verwenden, nutzen Sie das Internet mit einer IP-Adresse des Anbieters. Ihr Internet-Provider kann nicht mehr analysieren, welche Seiten Sie im Internet aufrufen. Dafür sieht jedoch der VPN-Anbieter alles, was Sie im Internet über das VPN so anstellen. Da dieser Dienst bezahlt wird, ist dem Anbieter in der Regel auch Ihre echte Identität bekannt. Damit erfolgt keine anonyme, sondern nur eine pseudonyme Nutzung des Internets. Es hängt vom Anbieter ab, ob er Ihre Identität auf Nachfrage von Dritten (zum Beispiel von Sicherheitsbehörden) offenlegt. Ein VPN stellt die Vertraulichkeit der Kommunikation in unsicheren Netzen, beispielsweise in einem öffentlichen WLAN, sicher. Es ist kein Anonymisierungsdienst.

Ein VPN verschlüsselt ausschließlich den Datenverkehr zwischen Ihrem PC und dem VPN-Server und schützt damit vor dem Abhören Ihrer Kommunikation in nicht-vertrauenswürdigen Netzen. Ein VPN schützt Sie nicht vor dem Download von Schadsoftware und nur eingeschränkt vor unberechtigten Zugriffen auf Ihren PC. In einem öffentlichen WLAN kann je nach Konfiguration Schutz vor Zugriffen durch andere gleichzeitige Nutzerinnen des WLANs möglich sein.

Mobile und Cloud-Sicherheit

Einige Nutzerinnen haben recht naive Vorstellungen, was ein Cloud-Dienstleister leisten kann, insbesondere, wenn der Kunde die Dienstleistung kostenlos in Anspruch nimmt. Auch beim sicheren Umgang mit Smartphones gibt es bei manchen Nutzerinnen einige Unklarheiten.

Meine in der Cloud gespeicherten Daten sind vor einem Fremdzugriff sicher geschützt.

Schützen Sie auch den Zugriff auf Ihre Daten in der Cloud nur durch ein Passwort? Wird Ihr Passwort einem Dritten bekannt, so ist für den Dritten der Zugriff auf Ihre Daten möglich. Außerdem haben die Administratoren und möglicherweise andere Beschäftigte des Cloud-Anbieters Zugriff auf Ihre Daten. Dieser Zugriff ist den Beschäftigten zwar untersagt, aber er ist in der Regel nicht technisch unterbunden.

Wenn ich meine Daten in der Cloud speichere, benötige ich kein Backup.

Gerade kostenloser Speicherplatz in der Cloud ist nicht immer mit umfangreichen automatischen Backups versehen. Schließlich kostet ein Backup Geld, was mit dem kostenlosen Angebot nicht verdient wird.

Auch Cloud-Anbieter haben schon Daten verloren oder mussten sogar danach ihr Geschäft aufgegeben. Und dann sind Ihre Daten, die Sie bei dem Cloud-Anbieter gespeichert haben, unter Umständen nicht mehr zugreifbar. Zwei Kopien der Daten, auf Ihrem Rechner und in der Cloud sind zu wenig für ein verlässliches Backup. Ein Großbrand in einem Straßburger Rechenzentrum eines großen französischen Cloud-Anbieters im Frühjahr 2021 führte vielen Kunden vor Augen, dass die Daten, die in der Cloud gespeichert sind, verloren gehen können. Diese Erfahrung wollen Sie bestimmt nicht machen.

Ein Backup basiert auf der Idee, das Sie mehrere Kopien einer Datei so speichern, dass eine Beschädigung oder Zerstörung einer Datei die Kopie dieser Datei in der Cloud nicht betrifft. Da die gängigen Cloud-Speicher die lokale Kopie der Datei auf Ihrem PC mit der Cloud-Kopie automatisch synchronisieren, führt die Beschädigung Ihrer lokalen Kopie automatisch auch zur Beschädigung der Cloud-Kopie, wenn der Cloud-Dienst keine Versionierung der Dateien unterstützt.

Das Surfen in öffentlichen WLANs kostet mich kein Geld und ist zusätzlich auch noch sicher.

Öffentliche WLANs sind in der Regel unverschlüsselt. Auch wenn nach § 202b StGB das »Abfangen von Daten (…) aus einer nichtöffentlichen Datenübermittlung« verboten ist und bestraft wird, ist dies wegen der fehlenden Verschlüsselung technisch problemlos möglich. Der Rechner, mit dem Sie in dem öffentlichen WLAN eingebucht sind, kann auch recht leicht angegriffen werden, da Ihr Rechner im WLAN von den Rechnern der anderen Nutzerinnen in dem WLAN einfach zu erreichen ist. Die meisten WLAN-Anbieter verhindern dies nicht. Der Schutz einer dedizierten Firewall, wie Sie ihn an Ihrem Arbeitsplatz im Unternehmens-LAN oder in Ihrem Heimnetz haben, fehlt. Sie sind allein auf die Schutzwirkung Ihrer Desktop-Firewall angewiesen. Haben Sie die dafür richtig konfiguriert? Wenn nicht, ist Ihr Rechner im WLAN allen anderen Rechnern im gleichen WLAN weitgehend schutzlos ausgeliefert.

Wenn ich mir ein neues Smartphone zulege, habe ich immer auch ein sicheres Gerät.

Nicht jedes aktuell verkaufte Smartphone wird mit der aktuellsten Version des Betriebssystems ausgeliefert. Die Sicherheit Ihres neuen Smartphones hängt aber wesentlich von der Aktualität der Software (Betriebssystem und Anwendungen) ab. Gerade bei günstigen Geräten ist es häufig nicht möglich, die Software zu aktualisieren, da der Hersteller nie ein Update ausliefert. Der Hersteller hat hier zulasten des Kunden am falschen Ende gespart.

Ich habe alle automatischen Updates und Aktualisierungen des Betriebssystems und meiner Apps aktiviert, daher brauche ich mich um keine Schwachstellen und Sicherheitslücken zu kümmern.

Zum einen müssen Sie regelmäßig kontrollieren, ob das Einspielen der Updates auch funktioniert hat, zum anderen sind alle Geräte irgendwann End-of-Life (das heißt, sie werden vom Hersteller nicht mehr mit Aktualisierungen unterstützt) und werden dann eben nicht mehr aktualisiert. Vom Bekanntwerden einer Sicherheitslücke bis zur Verfügbarkeit des Updates, das die Sicherheitslücke behebt, für Ihr Gerät kann es im Extremfall ein paar Wochen dauern. So lange müssen Sie sich mit einem provisorischen Workaround schützen, der in der Regel manuell einzurichten ist.

Endgerätesicherheit

Die Rechner der Nutzerinnen werden mittlerweile flächendeckend von Kriminellen angegriffen. Dadurch wird ein Grundrauschen erzeugt, in dem zielgerichtete Angriffe kaum noch auffallen. Manche Einschätzung der damit verbundenen Gefahren ist deutlich durch Unkenntnis geprägt.

Wenn ich mir doch mal einen Virus oder eine andere Schadsoftware auf dem Computer einfange, bemerke ich dies sofort.

Die Erfahrung in Unternehmen zeigt, dass ein Befall mit einer Schadsoftware nicht sofort bemerkt wird. Destruktive Schadsoftware, wie zum Beispiel ein Verschlüsselungstrojaner, wird dabei noch am schnellsten festgestellt. Bei ausgefeilter Spionagesoftware dauert es dagegen im Mittel etliche Monate, bis die Infektion im Unternehmen bemerkt wird – manchmal nur durch Zufall. Und auch dann wird der Befall häufig erst nach Hinweisen Dritter gefunden. Wenn aber die IT-Profis die Infektion durch eine Schadsoftware nicht sofort bemerken, wie sollen IT-Laien oder normale Verbraucher das dann schaffen?

Ich habe nichts zu verbergen und meine Daten sind völlig uninteressant, also bin ich doch kein lohnendes Ziel für Angreifer. Deshalb benötige ich auch keinen Schutz.

Sie haben bestimmt, wie jeder andere auch, auf Ihrem Rechner wichtige vertrauliche Daten. Die Zugangsdaten zu Ihrem Bankkonto, Ihre Verträge, Ihre Steuererklärungen, Kommunikation mit Ihren Ärzten und so weiter. Das sind Daten, die Sie sicher ungern in der Öffentlichkeit sehen würden. Und damit bieten diese Daten zumindest die Basis für eine Erpressung, sei es durch eine Verschlüsselung Ihrer Daten (Ransomware) oder durch die Drohung, Ihre Daten zu veröffentlichen.

Ich habe alle Zugriffsmöglichkeiten auf meinen Computer umkonfiguriert, die findet niemand mehr.

Das Prinzip heißt »Security by Obscurity« und ist leider überhaupt nicht sicher. Warum legen Sie Ihren Haustürschlüssel nicht unter die Fußmatte? Weil jemand den Schlüssel dort finden könnte, ist die typische Antwort. Niemand kommt auch auf die Idee, dass Sie Ihre Girocard-PIN als Telefonnummer im Adressbuch stehen haben, oder? Egal wie Sie Dienste umkonfigurieren, also Ihren Webserver, den Remotedesktop-Zugriff und andere Dienste, wenn Sie die Dienste aus dem Internet erreichbar machen, findet ein Angreifer die Dienste auch. Insbesondere, wenn Sie für die Umkonfiguration eine gängige Anleitung aus dem Internet benutzt haben, können Sie davon ausgehen, dass Angreifer diese mindestens so gut kennen wie Sie. Wenn Sie den Dienst aber wirklich gut abgesichert haben, dann müssen Sie ihn nicht verstecken.

Wenn ich alle Daten von meinem Gerät lösche und dann auich noch den Papierkorb leere, dann kann niemand mehr auf meine Daten zugreifen.

Aus Geschwindigkeitsgründen wird, wenn Sie eine Datei löschen, oft nur der Verzeichniseintrag der Datei entfernt, woraufhin die Datei Ihnen nicht mehr angezeigt wird. Der Inhalt der Datei wird beim Löschen dagegen nicht verändert. Diese Dateireste auf dem Datenträger werden erst im Laufe der Zeit, wenn der Speicherplatz für andere Dateien benötigt wird, überschrieben. Mit einfachen Softwarewerkzeugen (sogenannte Unerase-Programme) lässt sich die Datei, solange sie nicht überschrieben wurde, wiederherstellen. Daten auf einer klassischen Festplatte müssen Sie komplett mit anderen Daten überschreiben, Daten auf einem Solid State Drive (SSD) müssen Sie mit speziellen Befehlen löschen oder Sie müssen den Datenträger physisch zerstören, damit die Daten wirklich gelöscht sind.

Never touch a running system.

Wenn Ihr sorgfältig konfiguriertes IT-System einmal stabil läuft, möchten Sie es möglichst nicht mehr ändern. Das Risiko, dass es nach der Änderung nicht mehr läuft, erscheint Ihnen zu hoch. Dabei ist es zwingend erforderlich, dass Sie sicherheitsrelevante Updates installieren. Gegebenenfalls überlegen Sie auf Basis der Updatebeschreibung und der Beschreibung der Sicherheitslücken sorgfältig, ob die zugrundeliegende Bedrohung bei Ihrem System gegeben ist. Wenn die Sicherheitslücke zum Beispiel den Bluetooth-Funk betrifft, Sie aber Bluetooth deaktiviert haben, können Sie das Update überspringen. Sie dürfen dann aber, wenn Sie Bluetooth doch aktivieren, nicht vergessen, das Update eben doch zu installieren!

E-Mail-Sicherheit

Auf Grund des fehlenden technischen Verständnisses schätzen viele Nutzerinnen die Risiken bei der E-Mail-Nutzung völlig falsch ein.

Wenn ich den Anhang einer E-Mail nicht öffne, sondern nur den Mailtext lese, kann mir nichts passieren.

Da E-Mail-Programme Ihnen ein Vorschaufenster zum Betrachten der E-Mail bieten und viele E-Mails, damit sie schöner aussehen, als HTML-Mails verschickt werden, können Sie auch durch das Anschauen einer E-Mail bereits eine Schadsoftware starten. Insbesondere Glückwunsch- und Weihnachtskarten und dergleichen sind da ein besonderes Risiko, da sie mit viel Aufwand (und entsprechend viel ausführbarem Code in der E-Mail) daherkommen.

Auf eine Spam-Mail kann ich gefahrlos antworten, ich auch den Link zum Löschen aus dem Verteiler nutzen.

Durch die Antwort auf solch eine E-Mail oder einen Klick auf den Link darin unterstützen Sie den Spammer. Er erhält die Bestätigung, dass Ihre E-Mail-Adresse aktiv genutzt wird, und damit steigt der Wert Ihrer E-Mail-Adresse für ihn. Nur seriöse Verteilerlisten erlauben es Ihnen als Abonnenten der Mailing-Liste, sich auszutragen. Gerade das Anklicken eines Links in einer nicht-vertrauenswürdigen E-Mail stellt immer ein hohes Risiko für Sie dar, da Sie nie wissen, ob dadurch nicht ein schädliches Programm auf ihrem Endgerät gestartet wird.

Eine E-Mail wurde immer von der Adresse versandt, die mir im Absender-Feld angezeigt wird.

Die Ihnen von Ihrem Mail-Programm angezeigte E-Mail-Adresse des Absenders hat technisch nichts mit dem tatsächlichen Absender zu tun. Sie kann mehr oder weniger frei gewählt werden. Der tatsächliche Absender steht zwar häufig auch in der E-Mail (genauer im E-Mail-Header), dieser E-Mail-Header wird Ihnen aber von Ihrem Mail-Programm standardmäßig nicht angezeigt. Und auch wenn es etwas aufwendiger ist, lassen sich auch Einträge im E-Mail-Header manipulieren.

Das gilt übrigens auch für das An-Feld in der E-Mail. Der tatsächliche Empfänger und der angezeigte Empfänger sind zwei verschiedene Adressen. Das kennen Sie von E-Mails, bei denen Sie die Mail per Blind Carbon Copy (BCC, so viel wie »unsichtbare Kopie«) erhalten. Sie bekommen die E-Mail, aber weder im An-Feld noch im cc-Feld steht ihre E-Mail-Adresse.

Phishing-Mails erkenne ich auf den erstten Blick.

Schlecht gemachte Phishing-E-Mails erkennen Sie leicht, wenn Sie wissen, woran Sie diese erkennen können. Wirklich gute Phishing-E-Mails sind jedoch auch für erfahrene IT-Sicherheitsexperten allein durch normales Öffnen und Betrachten sehr schwer zu erkennen. Zum Glück sind diese selten, da sie aufwendig zu erstellen sind. Für nicht so erfahrene Nutzerinnen sind allerdings auch durchschnittliche Phishing-E-Mails im beruflichen Alltagsstress nicht immer direkt zu erkennen.

Eine E-Mail ist beim Transport vor unbefugten Zugriffen geschützt.

Der Vergleich der Vertraulichkeit einer E-Mail mit einer Postkarte ist Ihnen sicher bekannt. Aktuell können Sie nur dann sicher sein, dass eine E-Mail »unterwegs« geschützt ist, wenn Sie sie mit einem geeigneten Verfahren (S/MIME oder OpenPGP) verschlüsseln. Häufig, aber leider nicht immer, wird der Transport einer E-Mail von Mail-Server zu Mail-Server durch eine solche Verschlüsselung geschützt. Ob eine solche Transportverschlüsselung genutzt wird, entscheiden aber die Betreiber der Mail-Server und nicht Sie als Absender oder Empfänger der E-Mail.

Die Transportverschlüsselung schützt nur vor dem Abhören der Übertragung zwischen den Mail-Servern durch Dritte. Eine unverschlüsselte E-Mail ist für den Betreiber eines Mail-Servers grundsätzlich zugänglich. Der Zugriff ist rechtlich nur eng beschränkt zulässig, aber rein technisch eben durchaus möglich.

Sie haben jetzt schon einige Begriffe und Konzepte der IT-Sicherheit kennengelernt. Begriffe wie Backup, Cloud, LAN, Schadsoftware oder Verschlüsselung haben Sie im normalen IT-Leben wohl auch schon einmal gehört. Speziellere Begriffe wie S/MIME, OpenPGP oder Transportverschlüsselung sind dagegen vielleicht völlig neu für Sie. Beim weiteren Studium des Buches werden Sie diese Begriffe im Detail kennenlernen und die Konzepte dahinter verstehen.

Kapitel 2

Grundlagen der Informationssicherheit

IN DIESEM KAPITEL

Grundkonzepte der Informationssicherheit

Vertraulichkeit, Integrität und Verfügbarkeit

Authentizität und weitere Schutzziele

Technik allein genügt nicht!

Bevor wir uns mit den Details der IT-Sicherheit beschäftigen, müssen wir definieren, was IT-Sicherheit, Informationssicherheit oder Cybersicherheit jeweils ist. Es stellt sich die Frage, ob diese Begriffe Synonyme sind oder ob es Unterschiede zwischen ihnen gibt. In vielen Fachbüchern finden Sie natürlich entsprechende Definitionen im jeweiligen Kapitel über IT-Sicherheit. In der Regel sind diese aber stark durch eine technische Sichtweise geprägt.

Was ist Informationssicherheit?

Informationssicherheit ist weit mehr als IT-Sicherheit und schließt ganz wesentlich auch organisatorische Aspekte mit ein. Sie beschäftigen sich in der Informationssicherheit grundsätzlich mit dem Schutz von Informationen, unabhängig davon, wo die Informationen gespeichert sind. Es kann Ihnen dabei egal sein, ob die Informationen digital auf elektronischen Datenträgern, analog auf Papier oder nur in den Köpfen der Beschäftigten vorhanden sind. In der IT-Sicherheit geht es im Gegensatz dazu nur um die Sicherheit der IT und der dort hinterlegten digitalen Informationen.

Was ist IT-Sicherheit?

Erstaunlicherweise finden Sie eine in diesem Sinne nahezu vollständige Definition der IT-Sicherheit in einem deutschen Gesetz, dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik, oder kurz BSI-Gesetz. Das BSI ist die Behörde in Deutschland, die sich um die Informationssicherheit im Regierungsnetz und im Bereich der kritischen Infrastruktur (kurz KRITIS, siehe Kapitel 6, Abschnitt BSI-Gesetz) sowie generell um die Förderung der Informationssicherheit kümmert.

Im BSI-Gesetz finden wir die nachfolgende Definition der IT-Sicherheit (in der folgenden Definition sind die Satznummern angegeben, damit Sie sich leichter tun, wenn wir uns auf die Sätze beziehen):

»Informationen sowie informationsverarbeitende Systeme, Komponenten und Prozesse sind besonders schützenswert. Der Zugriff auf diese darf ausschließlich durch autorisierte Personen oder Programme erfolgen. Die Sicherheit in der Informationstechnik und der damit verbundene Schutz von Informationen und informationsverarbeitenden Systemen vor Angriffen und unautorisierten Zugriffen im Sinne dieses Gesetzes erfordert die Einhaltung bestimmter Sicherheitsstandards zur Gewährleistung der informationstechnischen Grundwerte und Schutzziele.

Sicherheit in der Informationstechnik … bedeutet die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Integrität oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen

1. in informationstechnischen Systemen, Komponenten oder Prozessen oder

2. bei der Anwendung von informationstechnischen Systemen, Komponenten oder Prozessen.«

§ 2 Abs. 2 BSI-Gesetz (BGBl. I S. 2821, zuletzt geändert durch Art. 1 des Gesetzes vom 18. Mai 2021 (BGBl. I S. 1122)

Die Gültigkeit dieser Definition in Satz 4 ist auf den Geltungsbereich des BSI-Gesetzes eingeschränkt. Diese Einschränkung haben wir weggelassen und durch »…« ersetzt. Ohne diese Einschränkung wäre das eine allgemeine rechtliche Definition der IT-Sicherheit. Lassen Sie uns diese Definition nun interpretieren, um sie im Detail zu verstehen.

Die Sätze 1 bis 3 wurden erst 2021 durch das sogenannte IT-Sicherheitsgesetz 2.0 zur Erläuterung in das BSI-Gesetz eingefügt, »um den Inhalt der Schutzziele der Informationssicherheit näher zu bestimmen«. So finden Sie die Begründung der Ergänzung in der Bundestagsdrucksache. Sie müssen nicht nur die Informationen schützen, sondern auch die informationsverarbeitenden Systeme.

Informationstechnische Systeme sind technische Anlagen, »die der Informationsverarbeitung dienen und eine abgeschlossene Funktionseinheit bilden. Typische IT-Systeme sind Server, Clients, Einzelplatzcomputer, Mobiltelefone, Router, Switches und Sicherheitsgateways.« [BMI16]

Satz 2 fordert, dass nur berechtige Personen und Programme auf die Informationen zugreifen dürfen. Dass unberechtigte Personen nicht zugreifen dürfen, ist Ihnen sofort klar. Aber eine Schadsoftware ist keine unberechtigte Person, sondern ein unberechtigtes Programm und darf auch nicht auf die Informationen zugreifen. Diese Klarstellung in Satz 2 ist nachvollziehbar und sinnvoll.

Satz 3 geht vom Schutz vor Angriffen und unberechtigten Zugriffen aus. Die Definition greift dabei zu kurz, da sie nur auf den Schutz vor Angriffen (beabsichtigte Störungen, englisch security) abzielt und die unbeabsichtigten Störungen (englisch safety) außen vor lässt. Dabei müssen Sie in einem umfassenden Informationssicherheitskonzept auch den Schutz vor Störungen durch Naturgewalten und Unfälle (zum Beispiel Brand im Rechenzentrum, Stromausfall, Hochwasser) berücksichtigen. Ihnen kann es als Nutzerin egal sein, ob Ihr Internetzugang im Home Office wegen eines Hackerangriffs auf den Provider oder wegen eines Stromausfalls beim Provider ausgefallen ist. In beiden Fällen können Sie nicht arbeiten.

In der IT-Sicherheit müssen Sicherheitsstandards eingehalten werden, das heißt, ohne Sicherheitsstandards, also ohne Vorgaben, gibt es keine Informationssicherheit. Durch die Sicherheitsstandards wird der Soll-Zustand vorgegeben. Abweichungen des Ist-Zustands vom Soll-Zustand werden als Sicherheitsvorfälle bezeichnet. Der Begriff Standard ist hier nicht nur im Sinne von ISO-Standards, DIN-Normen oder BSI-Grundschutz zu verstehen. Jede Passwortrichtlinie und jede Nutzerordnung in Ihrem Unternehmen oder Ihrer Behörde ist ein interner Sicherheitsstandard im Sinne einer solchen Vorgabe.

Laut Satz 4 sollen Sicherheitsmaßnahmen in den Systemen (Nummer 1) und bei der Nutzung der Systeme (Nummer 2) getroffen werden. Lassen Sie uns das an einem einfachen, analogen Beispiel verdeutlichen. Stellen Sie sich ein Bürogebäude vor, in dem die Türen keine Schlösser haben. Die Türen stehen ständig offen und die auf den Schreibtischen liegenden Dokumente sind dem Zugriff Unbefugter ausgesetzt, wenn ein Beschäftigter das Büro verlassen hat. Die Unternehmensleitung möchte die Sicherheit erhöhen und lässt deswegen Schlösser in die Türen einbauen. Das Ergebnis ist aber, dass trotz eingebauter Schlösser die Türen ständig offenstehen. Daraufhin erlässt die Unternehmensleitung eine Dienstanweisung, dass beim Verlassen des Büros die Bürotür abgeschlossen werden muss. Die technische Maßnahme »Schloss« allein löste das Problem nicht. Erst die ergänzende organisatorische Maßnahme »Dienstanweisung« über den Umgang mit dem Schloss schafft den gewünschten Erfolg. Da sich nicht alle Beschäftigten zu 100 Prozent an die Dienstanweisung halten, müssen zusätzlich regelmäßige Kontrollen die Regeleinhaltung sicherstellen.

Entsprechendes gilt auch in der digitalen Welt. Es ist zum Beispiel nicht hinreichend, wenn Sie ein Betriebssystem einsetzen, das eine Anmeldung mit Benutzername und Passwort ermöglicht. Es sind auch verbindliche Regeln (typisch Passwort-Policy oder Passwortrichtlinie) im Unternehmen erforderlich, die einen vernünftigen Umgang mit Passwörtern vorgeben, etwas in puncto Mindestlänge, Komplexität und Wechselhäufigkeit. Hand aufs Herz: Nutzen Sie bei allen Ihren Rechnern ein sicheres Passwort?

In der Definition lesen Sie auch erstmals die Begriffe »Verfügbarkeit, Integrität oder Vertraulichkeit« als etwas, das Sie sicherstellen müssen. Diese Begriffe, die auch Schutzziele genannt werden, müssen wir uns im weiteren Verlauf dieses Kapitels noch genauer anschauen.

Nicht nur der deutsche Gesetzgeber definiert Informationssicherheit, sondern auch der europäische. 2016 trat die Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, kurz NIS-Richtlinie, in Kraft (siehe Kapitel 6). Auch hier finden Sie in Artikel 4 eine Definition der »Sicherheit von Netz- und Informationssystemen«.

»›Sicherheit von Netz- und Informationssystemen‹ [ist] die Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Angriffe abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder entsprechender Dienste, die über diese Netz- und Informationssysteme angeboten werden beziehungsweise zugänglich sind, beeinträchtigen; «

Art. 4 Nr. 2 NIS-Richtlinie, ABl. L 194 vom 19.7.2016, S. 1–30

Sie finden hier den zusätzlichen Begriff der »Authentizität« bei den Schutzzielen. Wenn Sie das BSI-Gesetz von Anfang bis Ende lesen, stoßen Sie auf diesen Begriff auch dort in zahlreichen Paragraphen (genauer in den Paragraphen 2, 8a, 8b und 8f). Diese Absätze wurden allerdings alle erst nachträglich in das BSI-Gesetz eingefügt. Hier sehen Sie, wie ein Begriff aus der europäischen Gesetzgebung dann bei der Anpassung der deutschen Gesetze an die europäischen Vorgaben in den deutschen Gesetzen auftaucht.

In der NIS-Richtlinie finden Sie eine Definition der Sicherheit als Fähigkeit von Systemen, Angriffe auf Daten, Dienste und Systeme abzuwehren. In dieser Definition fehlt Schutz vor Störungen durch Naturgewalten und Unfälle vollständig. Die NIS-Richtlinie regelt den Bereich der sogenannten »kritischen Infrastruktur«, also den Bereich, der bei einem Ausfall unser gesellschaftliches Leben erheblich beeinträchtigen kann. Darüber hinaus sind dort auch die digitalen Dienste, das sind Online-Suchmaschinen, Online-Marktplätze und Cloud-Computing-Dienste, geregelt. Gerade bei der kritischen Infrastruktur ist der Schutz vor den Auswirkungen von Katastrophen extrem relevant.

Was ist Cybersicherheit?

2019 trat die EU-Verordnung über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik (Rechtsakt zur Cybersicherheit) in Kraft. In dieser Verordnung finden Sie den für uns jetzt neuen Begriff »Cybersicherheit«. In der Definition taucht dann der Begriff »Cyberbedrohung« auf, der dort ebenfalls definiert ist.

»›Cybersicherheit‹ bezeichnet alle Tätigkeiten, die notwendig sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu schützen;

›Cyberbedrohung‹ bezeichnet einen möglichen Umstand, ein mögliches Ereignis oder eine mögliche Handlung, der/das/die Netz- und Informationssysteme, die Nutzer dieser Systeme und andere Personen schädigen, stören oder anderweitig beeinträchtigen könnte;«

Art. 2 Nr. 1 und Nr. 8 Rechtsakt zur Cybersicherheit, ABl. L 151 vom 7.6.2019, S. 15–69

In diesem Rechtsakt zur Cybersicherheit finden Sie keine vorgegebenen Schutzziele, vielmehr ist alles, was zum Schutz der Systeme und Nutzerinnen erforderlich ist, durch die Definition erfasst. Diese Definition ist sehr viel abstrakter, aber auch umfassender.

Nachdem in den deutschen Gesetzen, Normen und in der Fachliteratur über einen längeren Zeitraum der Wechsel von IT-Sicherheit zur Informationssicherheit weitgehend vollzogen wurde, kündigt sich jetzt der Begriff Cybersicherheit an und weitet den Anwendungsbereich nochmals aus.

Auch wenn es modern ist, von »Cyber« zu reden, ist Ihnen vielleicht auf den ersten Blick nicht klar, was damit gemeint ist. Cyberabwehr, Cyberkrieg, Cyberspionage, Cybercrime, Abwehr von Cyberangriffen, diese Schlagworte finden Sie zum Beispiel auch zuhauf auf den Seiten des Verteidigungsministeriums [BMVG]. Der »Cyberraum« oder auch der »Cyber- und Informationsraum« beschreibt als Sammelbegriff die gesamte digital vernetzte Welt: also das weltumspannende Internet mit all seinen Facetten – inklusive des Darknets, eines verborgenen Teils des Internets, der nur mit spezieller Software zugänglich ist. Alle Bedrohungen, die aus dem Cyberraum kommen, sind Cyberangriffe und der Schutz vor diesen Bedrohungen und die Abwehr solcher Angriffe machen die Cybersicherheit aus.

Während IT-Sicherheit sich technisch auf den Schutz der informationstechnischen Systeme fokussiert, bezieht Informationssicherheit zusätzlich den Schutz von Informationen losgelöst von der Technik mit ein. »Cyber-Sicherheit ist die IT-Sicherheit der im Cyber-Raum auf Datenebene vernetzten bzw. vernetzbaren informationstechnischen Systeme.« [BMI16]

International, insbesondere im englischsprachigen Raum und im politischen Sprachgebrauch, ist Cybersicherheit bzw. Cybersecurity der relevante Begriff. Er wird allerdings häufig synonym mit IT-Sicherheit verwendet. [CBL14]

Klassische Schutzziele der Informationssicherheit

Auf Grund der englischen Begriffe Confidentiality, Integrity und Availability wird auch gerne die Abkürzung »CIA« für diese drei grundlegenden Schutzziele gewählt.

Verfügbarkeit

Der Einstieg in die Diskussion über die Verfügbarkeit erfolgt am einfachsten durch die Frage: »Leidet Ihre Arbeit, wenn Sie vorübergehend nicht an Ihre Daten kommen?«. Wenn Sie diese Frage mit »ja« beantworten, wird es Zeit, dass Sie sich Gedanken über die Verfügbarkeit Ihrer Daten und Systeme machen. Beispiele im persönlichen Bereich gibt es viele. Einem Doktoranden wird drei Tage vor der Abgabe der Dissertation das Notebook aus dem Auto gestohlen. Die einzige Kopie des Werkes war auf der Festplatte des Notebooks. Der Rechner eines Handwerkers wird von einer Ransomware befallen, die alle Daten auf der Festplatte verschlüsselt, um ein Lösegeld zu erpressen. Der Betrieb hat auf keinerlei Kundendaten mehr Zugriff.