Bedrohung der Informationssicherheit

Studienarbeit von Björn Nagenborg

Einleitung:

Elektronische Datenverarbeitung gewinnt von Tag zu Tag mehr Bedeutung für unsere Gesellschaft. Ob im Privaten bei der elektronischen Steuererklärung, im Geschäftsverkehr bei der Verarbeitung von Auftragsdaten, bei Bankgeschäften und zunehmend bei digitalen signierten Rechnungen als auch bei der Steuerung kritischer Infrastrukturen wie Energieversorgung und Luftverkehr.

Die Folgen durch fehlerhafte Speicherung, vorsätzliche Manipulation oder Ausspähung sind individuell sehr unterschiedlich, die Schutzziele – wenn auch in unterschiedlichen Ausprägungen – jeweils gleich:

- Integrität.

- Verfügbarkeit.

- Vertraulichkeit.

Jeder dieser Faktoren kann dabei auf unterschiedliche Weise gefährdet werden, denn sie alle hängen ab von ihrer Umgebung, bestehend aus:

- Technik.

- Personen.

- Regeln.

Abweichend von anderen Publikationen, die statt Personal die physikalische Ebene aufzählen, wird hier die physikalische Ebene (z.B. Zutrittskontrolle durch Vereinzelungsanlage) als Schnittmenge zwischen Technik und Regeln betrachtet.

Als Beispiele für die Bedrohung der Informationssicherheit seien hier neue Exploids gegen Firewalls (Technik), telefonische Auskunft an unidentifizierte und nicht autorisierte Anrufer (Personen) sowie fehlende Konzepte für den Umgang mit PDAs (Regeln) genannt. Über diese, leicht durch Menschen zu beeinflussenden oder gar vorsätzlich ausgelösten Szenarien, sind Unglücke und Naturkatastrophen wie beispielsweise beim münsterländischen ‘Schneechaos’ im November 2005 zu betrachten.

Eine Umorientierung findet in den letzten Jahren besonders bei den kleinen und mittleren Unternehmen (KMU) statt. Die in der Vergangenheit häufig lückenhaften und ereignisbezogenen Sicherheitsvorkehrungen werden nach einer Betrachtung der Geschäftsprozesse und neuen Anforderungen in ein integriertes Sicherheitskonzept überführt.

Während Delikte der Computerkriminalität allgemein seit 2004 wieder deutlich zurückgehen (vgl. Abbildung 1 aus der aktuellen Polizeilichen Kriminalitätsstatistik des Bundeskriminalamtes), so steigt die Zahl der spezialisierten Delikte in der Informationsverarbeitung deutlich an.

Insbesondere die steigenden Fallzahlen bei Computerbetrug (+42%), Ausspähen von Daten (-283%) und besonders Fälschung beweiserheblicher Daten, Täuschung im Rechtsverkehr bei Datenverarbeitung, also ‘digitaler Urkundenfälschung’ (+938%) machen deutlich, wie sehr sich der Fokus des Informationsschutzes von einer abstrakten Gefährdung durch Viren und Würmer hin zur konkreten Bedrohung durch gezielte Angriffe auf Informationen wandeln muss. Hierbei sind Privatpersonen gleichermaßen wie Unternehmen und Organisationen zu sensibilisieren.

Diese Projektarbeit will einen Überblick über die möglichen Gefahrenquellen, die dazu genutzten Mittel und Methoden sowie Schutzmaßnahmen geben und greift dabei sowohl auf einschlägige Literatur als auch auf Erfahrungen und Leitlinien aus dem Geheimschutz von mittelständischen Unternehmen und Bundesbehörden zurück.

Inhaltsverzeichnis:

Textprobe:

Kapitel 7.1, Vertraulichkeit - Sammeln von Daten:

Das Schutzziel Vertraulichkeit ist in vielen Bereichen gesetzlich vorgeschrieben zum Beispiel durch das Bundesdatenschutzgesetz (BDSG) und das Strafgesetzbuch (StGB) §§ 203 und 353b, oder im ureigensten Interesse des Datenhalters, beispielsweise bei aufwendig erarbeiteten Informationen, technischen Verfahren oder Buchhaltungsinformationen.

Offene Quellen:

Oft stellt das Sammeln personenbezogener Daten heute keine große Herausforderung mehr da; Während vor einigen Jahren noch Suchmaschinen herangezogen werde mussten, um über eine Person Informationen der persönlichen Homepage, Vereinsregistern, themenbezogenen Foreneinträgen und vieler anderer Quellen zusammenzutragen, so ist dieses heute weitaus einfacher: viele Menschen stellen diese Persönlichkeitsprofile selber zusammen und weitgehend ungeschützt in Internet: Social-Network-Portale wie facebook, studiVZ, die sich bei jüngeren Generationen sehr großer Beliebtheit erfreuen, aber auch Xing und LinkedIn für Geschäftskontakte bieten eine unglaubliche Fülle an Informationen über die jeweiligen Nutzer.

Dabei ist oftmals festzustellen, dass insbesondere junge Nutzer besonders viele und detaillierte Informationen veröffentlichen und gleichzeitig nur sehr wenig Gebrauch von Funktionen machen, die z.B. nur direkten Kontakten Zugriff auf diese Informationen gewähren und somit vor missbräuchlicher Nutzung schützen helfen.

Eine paradoxe Situation ist die Informationsgewinnung durch Patentanmeldung. Nach geltendem Recht sind alle Patentanträge 18 Monate land nach Antragstellung öffentlich einsehbar und bieten dadurch statt dem eigentlich angestrebten Schutz der Idee auch eine wertvolle Informationsquelle, insbesondere für Wettbewerber aus Ländern mit schwachem oder kaum durchgesetztem Urheber- und Patentrecht.

Geschützte Quellen:

Die Informationsgewinnung aus für den Datensammler geschützten Quellen stellt in der Regel einen Gesetzesverstoß dar. § 2002a Abs. 1 StGB führt dazu aus:

Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft Daten in diesem Sinne sind solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

Demnach setzt sich also nicht nur derjenige einer strafrechtlichen Verfolgung aus, der sich Daten unbefugt verschafft, sondern auch derjenige, der sie sich befugt verschafft und an unbefugte Dritte weitergibt oder ihnen den Zugriff darauf ermöglicht.

Manipulieren und Löschen von Daten:

‚Was wäre das für eine Welt, in der man nicht einmal einem Schweizer Bankier vertrauen kann’.

Die Integrität von Daten ist ein wichtiges Kriterium bei der Nutzung und Verarbeitung von Daten und erstreckt sich dabei sowohl auf den Schutz vor Verlust als auch dem Schutz vor Verfälschung. Verlust und Verfälschung können dabei sowohl vorsätzlich/versehentlich als auch vollständig/teilweise erfolgen.

Wie das einleitende Zitat deutlich macht, hängt nicht zuletzt von der Quelle und dem Vertrauen, das dieser Quelle entgegengebracht wird, ab, ob und in welcher Weise Daten verwendet werden. Einem Kontoauszug unterstellt man eine hohe Echtheit und Vollständigkeit der Daten, dem Lieferanten, der Bank, bringt man in der Regel auch ein großes Vertrauen entgegen. Anders sieht es regelmäßig bei Flugblättern aus: ob Werbung für ein Produkt, eine politische Position oder eine Glaubensrichtung, der Inhalt wird – eine entsprechende Medienkompetenz des Rezipienten vorausgesetzt – eher kritisch bis wohlwollend betrachtet, im seltensten Fall aber als Faktum, also als verlässliche Daten. Auch ist hier der Herausgeber nicht zweifelsfrei feststellbar.