Analyse und Konzeption von Sicherheit in der Informationstechnik

Studienarbeit von Daniel Heid

Einleitung:

Am 22. November 2007 berichtete die Frankfurter Allgemeine Zeitung gleich zweimal von besorgniseregenden Sicherheitsvorfällen in informationstechnischen Systemen:

Im ersten Fall musste der britische Finanzminister Darling um sein Amt fürchten, weil zwei Datenträger mit Informationen über alle britischen Kindergeldempfänger verloren gingen. Ein ‘jüngerer Mitarbeiter’ habe die Datenträger anweisungswidrig kopiert und mit einem privaten Kurierdienst an den nationalen Rechnungshof verschickt, gestand Darling. Als Folge davon waren sieben Millionen Familien in Großbritannien dazu aufgerufen, ihre Konten auf betrügerische Auszahlungen zu überprüfen.

Beim zweiten Fall handelte es sich um Angriffe auf estnische Computersysteme, welche die Websites der Regierung, des Parlaments und von Tageszeitungen lahmlegten und das Online-System einer estnischen Bank unter einem Millionenverlust für eine volle Stunde zum Stillstand brachten. ‘[…] der Vorfall machte westlichen Regierungen bewusst, dass zur Landesverteidigung heute auch der Schutz der IT-Infrastruktur zählt’.

Durch die beiden Berichte wird deutlich, wie präsent das Thema Sicherheit in der Informationstechnik (IT) heute ist und zukünftig sein wird. Diese Arbeit befasst sich mit dem vielseitigen Problem der Analyse und Konzeption von IT-Sicherheit und fasst Lösungsansätze zusammen, um einen Überblick über das breite, von allerlei Paradigmen geprägte Spektrum der IT-Sicherheit zu verschaffen. Dabei wird der Blick über den Tellerrand gewagt, indem neben den umfassenden Schriftstücken zur Sicherheit, welche vom BSI als Standardwerke verfasst wurden, auch andere Werke herangezogen und die in ihnen enthaltenen Ergänzungen berücksichtigt werden. Es werden hier keine konkreten Vorgehensweisen oder informationstechnischen Mittel zur Realisierung bzw. Implementierung von IT-Sicherheit erläutert, sondern die im Vorfeld ablaufenden analytischen und planerischen Prozeduren fokussiert.

Um die betroffene Zielgruppe, die sich Gedanken um die IT-Sicherheit machen muss (oder zumindest sollte), nicht durch die Verwendung der direkten Bezeichnung ‘Unternehmen’ zu schmälern, wird im Folgenden der Begriff ‘Organisation’ für private und öffentliche Unternehmungen, also bspw. Schulen, Hochschulen, Behörden, Banken, Dienstleistungs- und Industrieunternehmen etc., eingesetzt. Außerdem wird, lediglich der Lesbarkeit halber, bei Funktionsbezeichnungen die männliche Sprachform genutzt.

Der erste Teil dieser Arbeit beinhaltet einige Begriffe, die an mehreren Stellen gebraucht und für ein grundsätzliches Verständnis benötigt werden. Der zweite Teil befasst sich mit den Grundschutz- und den Risikomethoden zur Analyse der IT-Sicherheit. Im dritten Teil werden abschließend einige theoretische Hintergründe zur Konzeption von IT-Sicherheit in Organisationen aufgezeigt.

Inhaltsverzeichnis:

Textprobe:

Kapitel 3.3, Risikoanalyse:

Hinter dem Begriff Risiko verstecken sich verschiedene Paradigmen. Bezogen auf die IT-Sicherheit besteht dann ein Risiko, wenn ein potenzielles Schadensereignis ‘in Bezug auf das Handeln oder Nicht-Handeln von Akteuren’ existiert. Ein Schaden wiederum ereignet sich bei einer ‘Abweichung von einer festgelegten oder erwarteten Zielgröße’. Die Risiken der IT-Sicherheit sind in der Regel asymmetrisch wirkungsbezogen, d. h. es spiegelt sich in ihnen die Gefahr eines unerwünschten Ereignisses mit negativen Konsequenzen wider. Symmetrisch wirkungsbezogene Risiken hingegen haben sowohl positive, als auch negative Konsequenzen.

Bei der Analyse von Risiken werden diese detailliert untersucht und bewertet, um mit ihren Ergebnissen angemessene Sicherungsmaßnahmen auswählen zu können. Zu ihrer Durchführung gibt es sehr unterschiedliche Konzepte bzw. Methoden, die im Folgenden nicht präzise beschrieben werden können. Stattdessen wird in den folgenden Unterabschnitten der Versuch unternommen, einen Konsens der verschiedenen Methoden zur Risikoanalyse zu finden. Dieser Abschnitt unterteilt sich in die Identifikation und die Bewertung von Risiken, welche die ersten beiden Schritte im generischen Risikomanagementprozess darstellen.

3.3.1, Parameter der Risikoanalyse:

Die Analyse von Risiken in der IT-Sicherheit beinhaltet die Untersuchung von Parametern. Es werden Werte identifiziert und ihre Relevanz für die Organisation festgestellt und anhand ihrer genaueren Betrachtung Schwachstellen und Gefährdungen herausgefunden. Wie oben erwähnt, verbindet man mit einem Risiko auch mögliche Schäden. Schließlich liefert die Risikoanalyse auch Maßnahmen zur Vermeidung, Reduktion, Eliminierung und Übertragung (z. B. Outsourcing, Schadenersatz, Versicherung) von Risiken als mögliche Handlungsoptionen. Sollten keine Maßnahmen ergriffen werden, bleibt nur die Akzeptanz eines Risikos als Handlungsoption.

3.3.2, Abgrenzung des Umfangs der Analyse:

Zunächst erfordert die Risikoanalyse eine Festlegung auf den gewünschten Umfang der Analyse. Es empfiehlt sich, diesen in Absprache mit der Leitung der Organisation zu bestimmen. Dabei wird bspw. entschieden, ob sich die Analyse nur auf die informationstechnischen oder auch auf die organisatorischen Aspekte beziehen soll oder, ob personelle Faktoren miteinbezogen werden sollen. Außerdem stellt sich womöglich auch die Frage, ob sie sich nur auf einen Teil der Organisation oder auf die gesamte Organisation beziehen soll. Es reicht einerseits nicht aus, sich auf einzelne Rechner und Dateien zu beziehen, andererseits gestaltet es sich aber als äußerst schwierig, sämtliche Risiken der gesamten IT einer Organisation zu ermitteln.

3.3.3, Identifikation von Risiken:

In diesem Zusammenhang herrschen in der Literatur zum Thema IT-Sicherheit die Begriffe ‘Schwachstellen’, ‘Bedrohungen’ und ‘Gefährdungen’. Alle drei Begriffe bergen Risiken, welche sich durch sie identifizieren lassen. Nach Schmidt sind Schwachstellen ‘Ausprägungen der Realität […], von denen ein Risiko ausgehen kann.’ Aus ihnen ergeben sich Bedrohungen bzw. Gefährdungen, denn ohne eine konkrete Gefahr, die von einer Schwachstelle ausgeht, lässt sich die Risikosituation nicht feststellen. Nach Meinung des Autors dieser Arbeit, kann man im Kontext der IT-Sicherheit ruhigen Gewissens die Begriffe Bedrohung und Gefährdung, trotz ihrer uneinheitlichen Verwendung in der Fachliteratur, synonym betrachten.

Im Folgenden werden einige Ansätze zur Risikoidentifikation ohne die Erörterung ihrer Vor- und Nachteile beschrieben, da dies den Umfang dieser Arbeit sprengen würde.

Schwachstellenanalyse:

Schwachstellen lassen sich in potenzielle und real vorhandene Schwachstellen unterscheiden. Beispielweise stellen Computer, die ohne eine Firewall am Internet angeschlossen sind, potenzielle Schwachstellen dar. Der Computer von Herrn Müller-Lüdenscheidt in Büro 12, der über eine ISDN-Karte direkt mit dem Internet verbunden ist, stellt eine real vorhandene Schwachstelle dar. Daneben unterteilt man weiter in technische, organisatorische und personelle Schwachstellen. Ihre Ermittlung basiert auf dem Ist-Zustand und kann somit auf einer Strukturanalyse aufbauen.