Veröffentlichen auch Sie Ihre Arbeiten - es ist ganz einfach!
Mehr InfosStudienarbeit, 2008, 37 Seiten
Studienarbeit
1,0
2 Abbildungsverzeichnis
3 Tabellenverzeichnis
4 Abkürzungsverzeichnis
5 Einleitung
6 Wer ist der Gegner
6.1 Natürliche Bedrohungen
6.2 Interne
6.3 Externe
6.3.1 Hacker
6.3.2 Cracker
6.3.3 Script Kiddies
6.3.4 (Wirtschafts-) Spione und Saboteure
6.4 Schadsoftware
7 Ziele und Schäden
7.1 Vertraulichkeit | Sammeln von Daten
7.1.1 Offene Quellen
7.1.2 Geschützte Quellen
7.2 Integrität | Manipulieren und Löschen von Daten
7.2.1 Versehentliches Löschen und Verändern von Daten
7.2.2 Vorsätzliches Löschen und Verändern von Daten
7.3 Verfügbarkeit
8 Schutz und Gegenmaßnahmen
8.1 Technisch
8.1.1 Authentifizierung
8.1.2 Schutz vor Eindringlingen und Lauschern
8.1.3 Schutz vor Schadsoftware
8.2 Organisatorisch
8.2.1 Risikomanagement
8.2.2 Unternehmenskultur
8.2.3 Nutzerrollenkonzepte
8.2.4 Service Level Agreements
8.2.5 Notfallpläne
8.3 Personell
8.3.1 Identität und Vertrauenswürdigkeit
8.3.2 Training und Schulung
8.3.3 Ausscheiden von Mitarbeitern
9 Fazit
10 Literaturverzeichnis
Abbildung 1: Entwicklung Computerkriminalität in der Bundesrepublik
Abbildung 2: Dilbert - Übertriebene Passwort-Anforderungen
Abbildung 3: Vereinzelungsanlage
Abbildung 4: Backup-Matrix
Tabelle 1: Entwicklung ausgewählter Bereiche der Computerkriminalität
Tabelle 2: Informationsstruktur im öffentlich-rechlichen Raum
Abbildung in dieser Leseprobe nicht enthalten
Elektronische Datenverarbeitung gewinnt von Tag zu Tag mehr Bedeutung für unsere Gesellschaft. Ob im Privaten bei der elektronischen Steuererklärung, im Geschäftsverkehr bei der Verarbeitung von Auftragsdaten, bei Bankgeschäften und zunehmend bei digitalen signierten Rechnungen als auch bei der Steuerung kritischer Infrastrukturen wie Energieversorgung und Luftverkehr.
Die Folgen durch fehlerhafte Speicherung, vorsätzliche Manipulation oder Ausspähung sind individuell sehr unterschiedlich, die Schutzziele – wenn auch in unterschiedlichen Ausprägungen – jeweils gleich:
- Integrität
- Verfügbarkeit
- Vertraulichkeit
Jeder dieser Faktoren kann dabei auf unterschiedliche Weise gefährdet werden, denn sie alle hängen ab von ihrer Umgebung, bestehend aus
- Technik
- Personen
- Regeln
Abweichend von anderen Publikationen, die statt Personal die physikalische Ebene aufzählen, wird hier die physikalische Ebene (z.B. Zutrittskontrolle durch Vereinzelungsanlage) als Schnittmenge zwischen Technik und Regeln betrachtet.
Als Beispiele für die Bedrohung der Informationssicherheit seien hier neue Exploids gegen Firewalls (Technik), telefonische Auskunft an unidentifizierte und nicht autorisierte Anrufer (Personen) sowie fehlende Konzepte für den Umgang mit PDAs (Regeln)[1] genannt. Über diese, leicht durch Menschen zu beeinflussenden oder gar vorsätzlich ausgelösten Szenarien, sind Unglücke und Naturkatastrophen wie beispielsweise beim münsterländischen „Schneechaos“ im November 2005 zu betrachten.
Eine Umorientierung findet in den letzten Jahren besonders bei den kleinen und mittleren Unternehmen (KMU) statt. Die in der Vergangenheit häufig lückenhaften und ereignisbezogenen Sicherheitsvorkehrungen werden nach einer Betrachtung der Geschäftsprozesse und neuen Anforderungen in ein integriertes Sicherheitskonzept überführt.
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 1: Entwicklung Computerkriminalität in der Bundesrepublik[2]
Während Delikte der Computerkriminalität allgemein seit 2004 wieder deutlich zurückgehen (vgl. Abbildung 1 aus der aktuellen Polizeilichen Kriminalitätsstatistik des Bundeskriminalamtes), so steigt die Zahl der spezialisierten Delikte in der Informationsverarbeitung deutlich an.
Tabelle 1: Entwicklung ausgewählter Bereiche der Computerkriminalität
Abbildung in dieser Leseprobe nicht enthalten
Insbesondere die steigenden Fallzahlen bei Computerbetrug (+42%), Ausspähen von Daten (-283%) und besonders Fälschung beweiserheblicher Daten, Täuschung im Rechtsverkehr bei Datenverarbeitung, also „digitaler Urkundenfälschung“ (+938%) machen deutlich, wie sehr sich der Fokus des Informationsschutzes von einer abstrakten Gefährdung durch Viren und Würmer hin zur konkreten Bedrohung durch gezielte Angriffe auf Informationen wandeln muss. Hierbei sind Privatpersonen gleichermaßen wie Unternehmen und Organisationen zu sensibilisieren.
Diese Projektarbeit will einen Überblick über die möglichen Gefahrenquellen, die dazu genutzten Mittel und Methoden sowie Schutzmaßnahmen geben und greift dabei sowohl auf einschlägige Literatur als auch auf Erfahrungen und Leitlinien aus dem Geheimschutz von mittelständischen Unternehmen und Bundesbehörden zurück.
Arten und Ursachen sind vielfältig und lassen sich oftmals nicht überschneidungsfrei einordnen. Im Folgenden werden die häufigsten Arten beleuchtet und deren Hintergründe aufgezeigt.
Bei natürlichen Bedrohungen der Informationssicherheit handelt es sich in erster Linie um Naturkatastrophen: Feuer, Sturm, Regen und Schneefall. Erst auf den zweiten Blick wird offensichtlich, dass auch Hitze dazugezählt werden muss. All diese Faktoren haben in ihren primären Folgen in der Regel Einfluss auf das Schutzziel Verfügbarkeit – solange das Gebäude selber nicht betroffen ist, sind es Energie-, Telekommunikations- und Wasserleitungen, die beschädigt werden. Darüber hinaus ist ein Ausfall ebendieser Versorgungsinfrastrukturen durch höhere Gewalt möglich.
Neben dem Staat, der ein Schutzinteresse gegenüber „kritischen Infrastrukturen“ hat, haben auch Wirtschaftsbetriebe ein Schutzinteresse gegenüber „unternehmenskritischen Infrastrukturen“
Bei Bedrohung der Informationssicherheit durch Firmenangehörige oder Personen, die direkt (z.B. Sachbearbeiter, Mitarbeiter aus Joint Ventures) oder indirekt (z.B. Reinigungskräfte, Handwerker) erlaubten Umgang mit Daten haben, ist zwischen vorsätzlichem und leichtfertigem Handeln zu unterscheiden.
Interne, die leichtfertig handeln, sind Mittel zum Zweck für Externe Angreifer und durch geeignete Schulungs- und Sensibilisierungsmaßnahmen im Umgang mit Daten vertraut und sicherer zu machen. Eine weit größere Gefahr geht von vorsätzlich handelnden Internen aus. Deren Motivationslage kann vielschichtig sein:
- persönlicher Unmut z.B. Veränderung von Auftragsdaten um einem verhassten Kollegen zu schaden[5]
- finanzielle Interessen z.B. Auskundschaften und Verkauf von Daten an Wettbewerber oder Nachrichtendienste, Veruntreuung von Geld- oder Sachwerten [6]
- eigenes Karrierestreben bei Arbeitgeberwechsel z.B. Veruntreuung von Kundenkontakten um diese zum neuen Arbeitgeber abzuwerben
- angeworbene oder eingeschleuste Spione z.B. durch marktbegleitende, meist ausländische, Unternehmen und Nachrichtendienste fremder Staaten, insbesondere Russlands und Chinas[7]
Externe Angreifer sind Personen, die einen Angriff durchführen, daran maßgeblich mitwirken oder aktiv unterstützen (in Abgrenzung zu Personen, deren Rechner beispielsweise durch einen Trojaner zur Drohne eines Botnetzes geworden ist und dadurch einen Angriff unwissentlich unterstützt). Externe Angreifer lassen sich in der Regel in folgende Kategorien einordnen[8] [9]:
- Hacker
- Cracker
- Script Kiddies
- (Wirtschafts-) Spione und Saboteure
- Schadsoftware
Die Kategorisierung von externen Angreifern erfolgt zumeist aufgrund ihrer Motive und Hintergründe:
Hacker sind im allgemeinen Verständnis technisch versierte Angreifer mit der Motivation Schwachstellen in Systemen aufzudecken, ggf. zu erforschen und publik zu machen[10]. Ziel der Veröffentlich ist in der Regel die Warnung der Systemanwender und -hersteller, um so eine schnelle Behebung eventueller Sicherheitslücken zu forcieren ohne dabei finanzielle Interessen zu verfolgen[11] [12].
Cracker haben einen mit Hackern vergleichbaren technischen Hintergrund und entsprechende Systemkenntnisse, nutzen diese – in der Regel gegen Bezahlung – zur Informationsgewinnung oder Sabotage zugunsten Dritter[13]. Die Auftraggeber sind Marktbegleiter des Angegriffenen und/oder Wissensträger mit besonderer Bedeutung; Aufgrund zunehmender Intensität, Dauer und Zielgenauigkeit der Angriffe wird durch das Bundesamt für Verfassungsschutz zunehmend ein nachrichtendienstlicher Hintergrund bzw. eine nachrichtendienstliche Unterstützung bei Ausspähung und Sabotage vermutet[14].
Die Gruppe der sogenannten Script Kiddies birgt ein nicht zu unterschätzendes Gefahrenpotential in sich. Im Gegensatz zu den beiden erstgenannten Gruppen fehlen hier zwar zumeist Kenntnis und Verständnis für Systeme und Hintergründe.[15] Dieses wird aber ungleich stärker durch die Sorglosigkeit und die fehlende Einschätzung der Schadwirkung des eigenen Handelns bei der Benutzung von frei verfügbarer Schadsoftware (à Skripts), wie zum Beispiel Virenbaukästen oder Exploits kompensiert.[16]
[...]
[1] Vgl. Brown (National Security Agency), The Human Factor in Information Security, Folie 3 (Lathe Gambit Conference 2004)
[2] Vgl. Bundeskriminalamt, Polizeiliche Kriminalstatistik 2006, http://www.bka.de/pks/pks2006/p_3_21.pdf, 2008-05-08
[3] Bundeskriminalamt, Polizeiliche Kriminalstatistik 2004, http://www.bka.de/pks/pks2004/p_3_21.pdf, 2008-05-08
[4] Bundeskriminalamt, Polizeiliche Kriminalstatistik 2006, http://www.bka.de/pks/pks2006/p_3_21.pdf, 2008-05-08
[5] Vgl. Cole, Insider Thread, S. 244, 306f
[6] Vgl. Cole, Insider Thread, S. 215f, 245
[7] Vgl. Bundesministerium des Inneren, Verfassungsschutzbericht 2007, S. 270ff
[8] Vgl. Karsch, IT-Sicherheit (Security- und Risk-Management), S. 30f
[9] Vgl. Nagy/Wachmann, Informationssicherheit und das Eisbergprinzip, S. 19ff
[10] Witt, IT-Sicherheit kompakt und verständlich, S. 24
[11] Mitnick, Die Kunst des Einbruchs, S. ###FEHLT###
[12] Karsch, IT-Sicherheit (Security- und Risk-Management), S. 30
[13] Karsch, IT-Sicherheit (Security- und Risk-Management), S. 30
[14] Vgl. Bundesministerium des Inneren, Verfassungsschutzbericht 2007, S. 255, 270, 275f
[15] Vgl. Nagy, Informationssicherheit und das Eisbergprinzip, S. 19ff
[16] Karsch, IT-Sicherheit (Security- und Risk-Management), S. 30
Kommentare