Information Security Managment

Das ISMS konzentriert sich auf 5 Bereiche:

  • Bedrohungen (Threat) sowie Gefährdungen (Applied Threat)
  • Angriffsvektoren (Attack Vector)
  • Massnahmen (Controls)
  • Werte
  • Verletzlichkeiten (Vulnerabilities)

Die Massnahmen können in verschiedene Kategorien unterteilt werden. Die verwendeten Kategorien sind meistens die organisatorischen Massnahmen wie Passwortregeln oder andere Richtlinien sowie die technischen Massnahmen wie die Bildung von getrennten Netzen.

Ein Informationssicherheitsvorfall ist ein unerwünschtes Ereignis, das zum Verlust von einem oder mehreren Werten führt. Die Häufigkeit hängt einerseits von der Gefährdungslage, von den (Schutz-)Massnahmen sowie den Verletzlichkeiten ab.

Es gibt eine Unterscheidung zwischen Bedrohung und Gefährdung. Eine Bedrohung ist der Umstand, der zu einem Schaden führen kann. Eine Gefährdung wiederum wirkt über eine Verletzlichkeit auf einen Wert. Eine Bedrohung wird also aufgrund einer Verletzlichkeit zu einer Gefährdung. Beispielsweise sind Verschlüsselungstrojaner eine mögliche Bedrohung für Computersysteme. Jedoch sind diese nicht immer eine Gefährdung, denn möglicherweise ist der Trojaner auf einem Linux oder macOS nicht lauffähig.

Verletzlichkeiten können auch so definiert werden, dass sie eine Unzulänglichkeit in den (Sicherheits-)Massnahmen sind.

Reaktive Hilfsmittel

Der am weitest verbreitete Ansatz im Bereich der Informationssicherheit ist es, aus Fehlern und aufgetretenen Problemen zu lernen. Deshalb hier eine kurze Liste mit Datenbanken:

  • NVD - National Vulnerability Database - https://cve.mitre.org - bietet eine einheitliche Liste von geschlossenen Verletzlichkeiten an. Dabei wurde auch ein standardisiertes Vulnerability Scoring System entwickelt.
  • ExploitDb https://www.exploit-db.com - bietet eine Datenbank von geschlossenen Sicherheitslücken an. Damit können sehr gut die Probleme nachvollzogen werden.
  • OWASP - Open Web Application Security Project - https://www.owasp.org - Das Projekt versorgt die Nutzer mit Sicherheitsrichtlinien, Tools und Materialien rund um den Software development lifecycle (SDLC).

Andere Begriffe

  • Datensicherheit und Datenschutz - Die Datensicherheit bezieht sich ganz allgemein auf die organisatorischen und technischen Massnahmen, die Verluste, Veränderungen oder das Kopieren durch Unberechtigte verhindert. Der Datenschutz bezieht sich nur auf die Personendaten, das heisst, dass die Persönlichkeitsrechte von der Person nicht beispielsweise durch unbefugte Veränderungen oder Kopieren beeinträchtigt werden.

  • CIA - Confidentiality, Integrity, Availability - Wenn es um die Vertraulichkeit bzw. der Geheimhaltung der Information, also sodass nur der definierte Personenkreis Zugriff auf die Daten hat, wird von Confidentiality gesprochen. Bei der Integrität geht es um Echtheit bzw. die Unverfälschtheit der Information. Dabei kann mittels Authentisierung sichergestellt werden, dass der Sender bzw. der Empfänger mit der richtigen Gegenstelle spricht und ein Spoofer die Daten dazwischen nicht verändert hat. Bei der Availability wird von der Verfügbarkeit eines Systems gesprochen. Oftmals wird CIA noch durch Verbindlichkeit ergänzt, was die Nichtabstreitbarkeit (non-repudiation) beinhaltet.

  • Risiko - Das Risiko ist das Produkt der Wahrscheinlichkeit eines Zwischenfalls mit dem Schadensumfang. Die Wahrscheinlichkeit eines Zwischenfalls kann aufgeteilt werden in das Produkt Bedrohung mit Verletzlichkeit (je mehr, desto höher die Wahrscheinlichkeit).

Um Risiken zu reduzieren können folgende Aktivitätskategorien herangezogen werden:

  1. Organisieren,
  2. Zugriffe kontrollieren,
  3. Massnahmen kombinieren,
  4. Umsetzung kontrollieren,
  5. Fehler korrigieren.

Des Weiteren bietet das BSI weitere Informationen in den Massnahmenkatalogen an.