Sicherheit
Was bedeutet Sicherheit ?
Gefahren für Informationsverarbeitende Systeme und geforderte Eigenschaften
- Ausspähen vertraulicher Information (Spionage) → Vertrauenswürdigkeit/Confidentiallity
- Unerlaubte Manipulation muß verhindert werden → Integrität des Systems
- Die Sicherheitsrelevanten Aktionen der Nutzer müssen nachvollziehbar sein
→ Accountability. Hierzu gehört auch das Thema der Nichtabstreitbarkeit (Non-Repudation) bei Verträgen
- Das System sollte nicht auf üble Weise lahmgelegt werden können → Verfügbarkeit/Availability
(vgl Security-ServiceS. 1-2)
Das Thema Sicherheit betrifft fast alle Teile eines Informationsystems und kann nicht isoliert von der ganzheitlichen Organisation eines Unternehmens oder einer sonstigen Institution gesehen werden.
Man unterscheide:
- interne Sicherheit
- das sind die Sicherheitsaspekte im System
- externe Sicherheit
- die Sicherheit des physikalischen Rechners (z.B. Rechenzentrum,
das abgeschlossene stille Kämmerlein des PC-Besitzers )
Wichtige Begriffe
- Authentication, Identifikation
- Hier wird kontrolliert, ob ein Nutzer bzw. Auftraggeber auch tatsächlich
derjenige ist, als welcher er sich ausgibt.
- Authorisation
- ist die Klärung der Frage, ob ein Subjekt auf ein Objekt bestimmte
Operation ausführen darf.
- Accountability
- Abrechnung und Zuordnung der in Anspruch genommenen Resourcen
- Nicht-Abstreitbarkeit
Die Sicherheit bedarf einer guten Administration des Systems. Die Sicherheit ist auch eine Sache der internen Prozesse in einer Organisation.
Verwundbarkeiten (Vulnerabilities) und Bloßstellungen (Exposures)
Quelle
- Verwundbarkeiten (Vulnerabilities)
- eine Möglichkeit ein System anzugreifen
- Bloßstellung (Exposures)
- Das tatsächliche Ausnutzen einer Verwundbarkeit
Andere Terminologie: Bedrohung (Thread) und Angriff (Attack)
Maßnahmen
Nach Quelle:
- Vermeidung (Avoidance)
- Minimierung der Wahrscheinlichkeit, daß eine Bedrohung zum Angriff führt.
- Abwehr (Defense)
- Minimierung der Wahrscheinlichkeit, daß ein Angriff erfolgreich wird.
- Entschärfung (Mitigation)
- Verminderung des Schadens bei erfolgreichem Angriff. (Beispiel: Wegnahme von Rechten bei Nutzerkonten mit erratenen Passwörtren)
- Behebung (Recovery and Restauration)
- Ein System wird nach dem Angriff wiederhergestellt
Weitere Arbeiten
- Computer Security Handbook
- verschiedene Aspekte der Sicherheit von verschiedenen Autoren,
allerdings bezieht es sich auch ein Papierbuch
Rudolf Weber