IT-Security

Sicherheit ist kein Produkt, sondern ein Prozeß“ (Bruce Schneier).

Ohne (IT-)Security-Policy gibt es keine (IT-)Security - Ziel einer umfassenden IT-Security-Policy muß es sein

  • die Authentisierung (Authentication),
  • die Autorisierung (Authorization),
  • die Zurechnung (Accounting)
    von Personen (AAA) und
  • die Vertraulichkeit (Confidentiality),
  • die Unversehrtheit (Integrity),
  • die Verfügbarkeit (Availability)
    von Informationen (CIA) sowie
  • die Nachweisbarkeit bzw. Nichtabstreitbarkeit (Non-Repudiation) von Änderungen

sicher zu stellen, sowie das Sicherheitsbewußtsein (Awareness) der Benutzer zu schärfen und diese Prozesse durch laufendes Auditing zu überwachen.

Dabei gilt: wer die Hardware kontrolliert, kontrolliert letztlich auch die Software, die darauf läuft, was wiederum bedeutet, daß man z. B. im Web eigentlich niemandem vertrauen darf, da man nie wissen kann, ob eine Webadresse (ob verschlüsselt oder nicht, ob unwissentlich oder nicht) mit Schadsoftware infiziert ist:

"There is no such thing as safe browsing today and it is no longer the case that only the red light district sites are responsible for malware," schreibt X-Force-Leiter Kris Lamb schon 2009 in seinem Blog (The Washington Post) und das hat sich keinesfalls verbessert - ganz im Gegenteil!
"We've reached a tipping point where every Web site should be viewed as suspicious and every user is at risk."

Ohne Informationssicherheit (auf vertrauenswürdiger Hardware) kann es somit auch keinen Datenschutz geben, IT-Security kann aber auch nur dann wirklich wirksam sein, wenn es Teil einer übergeordneten Gesamt-Security-Policy ist.

Sicherheit ist kein Prozeß, Sicherheit ist eine Einstellungssache

wobei gilt: Der Verteidiger muß alles richtig machen, dem Angreifer kann eine einzige Lücke reichen!

Compliance

Unter „Compliance“ versteht man die Selbstverständlichkeit, daß man sich an Gesetze zu halten hat. Das Problem dabei ist herauszubekommen, an welche Gesetze man sich zu halten hat (welche also im jeweiligen Fall in Anwendung zu bringen sind).

Informationskanäle des ZID

Der ZID veröffentlicht über seine verschiedenen Informationskanäle laufend auch sicherheitsrelevante Informationen.

Vor Bedrohungen, die aber durch unser IPS mit hoher Sicherheit abgewehrt werden, wird dort i. Allg. nicht explizit gewarnt.
Dafür gibt es die Mailing-Liste security@mlist.tugraz.at.