IT-Security

Sicherheit ist kein Produkt, sondern ein Prozess“ (Bruce Schneier).

Ohne (IT-)Security-Policy gibt es keine (IT-)Security - Ziel einer umfassenden IT-Security-Policy muss es sein

  • die Authentisierung (Authentication),
  • die Autorisierung (Authorization),
  • die Zurechnung (Accounting)
    von Personen (Triple-A-System) und
  • die Vertraulichkeit (Confidentiality),
  • die Unversehrtheit (Integrity),
  • die Verfügbarkeit (Availability)
    von Informationen (CIA-Triade) sowie
  • die Nachweisbarkeit bzw. Nichtabstreitbarkeit (Non-Repudiation) von Änderungen

sicher zu stellen, sowie das Sicherheitsbewusstsein (Awareness) der Benutzer zu schärfen und diese Prozesse durch laufendes Auditing zu überwachen.

Dabei gilt: wer die Hardware kontrolliert, kontrolliert letztlich auch die Software, die darauf läuft, was wiederum bedeutet, dass man z. B. im Internet eigentlich niemandem vertrauen darf (zero trust), da man nie wissen kann, ob z. B. eine Webadresse (ob verschlüsselt oder nicht, ob unwissentlich oder nicht) mit Schadsoftware infiziert ist:

There is no such thing as safe browsing today and it is no longer the case that only the red light district sites are responsible for malware,“ wird X-Force-Leiter Kris Lamb schon 2009 im Security-Blog von Brian Krebs (The Washington Post) zitiert und das hat sich keinesfalls verbessert - ganz im Gegenteil!
We've reached a tipping point where every Web site should be viewed as suspicious and every user is at risk.

Ohne Informationssicherheit (auf vertrauenswürdiger Hardware) kann es somit auch keinen Datenschutz geben, IT-Security kann aber auch nur dann wirklich wirksam sein, wenn es Teil einer übergeordneten Gesamt-Security-Policy ist.

Sicherheit ist kein Prozess - Sicherheit ist eine Einstellungssache

wobei gilt: Der Verteidiger muss alles richtig machen, dem Angreifer kann eine einzige Lücke reichen!

Compliance

Unter „Compliance“ versteht man die Selbstverständlichkeit, dass man sich an Gesetze zu halten hat. Das Problem dabei ist herauszubekommen, an welche Gesetze man sich zu halten hat (welche also im jeweiligen Fall in Anwendung zu bringen sind).

Die Anzahl der eventuell anwendbaren bzw. anzuwendenden Gesetze steigen und international ist Cybersecurity daher nicht nur ein technisch-organisatorisches, sondern auch ein juristisches Thema.

Informationskanäle des ZID

Der ZID veröffentlicht über seine verschiedenen Informationskanäle laufend auch sicherheitsrelevante Informationen.

Vor Bedrohungen, die durch unsere Firewall mit hoher Sicherheit abgewehrt werden, wird dort i. Allg. aber nicht explizit gewarnt.