Anmerkung der Redaktion: Der Artikel wurde im Original auf Englisch von Catalin Udrea veröffentlicht, die Übersetzung wurde von Lena Seydaack angefertigt.
Um Informationen zu schützen, ist ein solides, umfassendes Sicherheits-Framework erforderlich. Dieses Framework sollte in der Lage sein, alle Aspekte der Sicherheit auf einer grundlegenden Ebene abzudecken. Es sollte die folgenden sechs Teile enthalten:
- Sicherheitselemente, die bewahrt werden müssen: Verfügbarkeit, Nutzen, Integrität, Authentizität, Vertraulichkeit, Nichtverweigerung
- Verlusts-Quellen dieser Elemente: Missbrauch, Fehlnutzung, zufälliges Auftreten, natürliche Kräfte
- Handlungen, die Verlust verursachen: Verwendung von falschen Daten, Offenlegung, Eingriffe im Gebrauch, Kopien, Fehlnutzung oder Misserfolg
- Schutzfunktionalität, die zum Schutz vor diesen Handlungen verwendet wird: Audit, Vermeidung, Erkennung, Prävention, Erholung, Abschwächung, Untersuchung
- Auswahl an Methoden der Schutzfunktionalität: Sorgfalt, Einhaltung von Vorschriften und Normen, Bedürfniserfüllung
- Ziele, die durch das Anwendungssicherheits-Framework erreicht werden sollen: Vermeidung von Fahrlässigkeit, Schutz der Privatsphäre, Minimierung der Auswirkungen auf die Leistung
DIE Sechs wesentlichen SicherheitsELEMENTe
In dem vorgeschlagenen Rahmen werden sechs Sicherheitselemente für die Sicherheit der Information als wesentlich erachtet. Wenn eines dieser sechs Elemente weggelassen wird, ist die Informationssicherheit mangelhaft und der Schutz der Informationen ist gefährdet.
VERFÜGBARKEIT (AVAILABILITY)
Betrachtet man die Definition, bedeutet Verfügbarkeit (im Zusammenhang von Computersystemen), auf Informationen oder Ressourcen an einem bestimmten Ort und im richtigen Format zuzugreifen. Wenn ein System immer wieder nicht wie gewünscht funktioniert, werden die Informationen und die Datenverfügbarkeit beeinträchtigt und es wird sich auf die Benutzer auswirken. Neben der Funktionalität ist ein weiterer Faktor, der die Verfügbarkeit beeinflusst, die Zeit. Wenn ein Computersystem Daten nicht effizient liefern kann, wird die Verfügbarkeit wieder beeinträchtigt. Die Datenverfügbarkeit kann durch lokale oder offisite-Speicherung gewährleistet werden.
Nutzbarkeit (UTILITY)
Normalerweise wird Nutzbarkeit nicht als Säule der Informationssicherheit betrachtet, aber betrachten Sie das folgende Szenario: Sie verschlüsseln die einzige Kopie von wertvollen Informationen und dann löschen Sie versehentlich den Entschlüsselungs-Key. Die Informationen in diesem Szenario sind verfügbar, aber in einer Form, die nicht sinnvoll ist. Um die Anwendbarkeit der Informationen zu erhalten, sollten Sie obligatorische Sicherungskopien aller kritischen Informationen anfordern und die Verwendung von Schutzmechanismen wie Kryptographie kontrollieren. Testmanager sollten bei der Anwendungsentwicklung Sicherheitsdurchlauf-Tests durchführen, um unbrauchbare Informationsformen zu begrenzen.
INTEGRITÄT (INTEGRITY)
Im Rahmen von Computersystemen bezieht sich die Integrität auf Methoden, die sicherstellen, dass die Daten real, genau und vor unbefugter Nutzung geschützt sind. Datenintegrität ist eine wichtige Informationssicherheitskomponente, damit Benutzer den Informationen vertrauen können. Nicht vertrauenswürdige Daten beeinträchtigen die Integrität. Die gespeicherten Daten müssen innerhalb eines Computersystems sowie während des Transports unverändert bleiben. Es ist wichtig, Datenintegritätsüberprüfungsmechanismen wie Checksummen und Datenabgleich zu implementieren.
AUTHENTIZITÄT (AUTHENTICITY)
In Bezug auf Computersysteme bezieht sich Authentizität oder Authentifizierung auf einen Prozess, der die Identität des Benutzers sicherstellt und bestätigt. Der Prozess beginnt, wenn der Benutzer versucht, auf Daten oder Informationen zuzugreifen. Der Benutzer muss Zugriffsrechte haben und seine Nutzer-Identität verifizieren. Häufig werden Benutzernamen und Passwörter für diesen Prozess verwendet. Diese Art der Authentifizierung kann jedoch von Hackern umgangen werden. Eine bessere Form der Authentifizierung ist Biometrie, denn es hängt von der Anwesenheit des Benutzers und biologischen Merkmalen (Netzhaut oder Fingerabdrücke) ab. Die Authentifizierungsmethode PKI (Public Key Infrastructure) verwendet digitale Zertifikate, um die Identität eines Benutzers zu beweisen. Andere Authentifizierungswerkzeuge können Schlüsselkarten oder USB-Tokens sein. Die größte Authentifizierungsgefahr tritt bei ungesicherten E-Mails auf.
VERTRAULICHKEIT (CONFIDENTIALITY)
Die Festlegung von Vertraulichkeit in Bezug auf Computersysteme bedeutet, dass autorisierte Benutzer auf sensible und geschützte Informationen zugreifen können. Sensible Informationen und Daten sollten nur an autorisierte Benutzer weitergegeben werden. Die Vertraulichkeit kann durch ein Klassifizierungssystem erzwungen werden. Der Benutzer muss ein bestimmtes Zugangsrecht erhalten, um auf bestimmte Daten oder Informationen zuzugreifen. Die Vertraulichkeit kann durch die Verwendung von rollenbasierten Sicherheitsmethoden sichergestellt werden, um die Nutzerberechtigung zu gewährleisten (Datenzugriffsebenen können einer bestimmten Abteilung zugeordnet werden) oder Zugriffskontrollen, die sicherstellen, dass Benutzeraktionen in ihren Rollen bleiben (z. B. darf ein Benutzer lesen, aber nicht Daten bearbeiten).
NONREPUDIATION
Nonrepudiation bezieht sich auf eine Methode zur Gewährleistung der Nachrichtenübertragung zwischen Parteien mit digitaler Signatur und/oder Verschlüsselung. Der Nachweis der authentischen Daten und der Datenerfassung kann durch Verwendung eines Data hashs erfolgen. Während die Methode nicht 100 Prozent effektiv ist (Phishing- und Man-in-the-Middle-Angriffe können die Datenintegrität beeinträchtigen), kann die Nonrepudiation durch die Verwendung von digitalen Signaturen erreicht werden, um die Zustellung und den Empfang von Nachrichten zu beweisen.
Jedes der sechs Elemente kann unabhängig von den anderen beeinträchtigt werden. Die Elemente sind einzigartig und unabhängig und erfordern oft unterschiedliche Sicherheitskontrollen. Die Aufrechterhaltung der Verfügbarkeit von Informationen behält nicht zwangsläufig seinen Nutzen: Informationen können verfügbar sein, aber nutzlos für den beabsichtigten Zweck. Um Bedrohungen zu identifizieren, können wir die sechs Elemente in drei Paare verknüpfen, die zur Identifizierung von Bedrohungen und zur Auswahl geeigneter Kontrollen verwendet werden können:
Verfügbarkeit und Nutzen → Usability und Nützlichkeit
Integrität und Authentizität → Vollständigkeit und Gültigkeit
Vertraulichkeit und Nichtbeachtung → Geheimhaltung und Kontrolle
Verfügbarkeit und Nützlichkeit sind notwendig für Integrität und Echtheit, und diese sind wiederum notwendig für Vertraulichkeit und Nonrepudiation.
Anmerkung der Redaktion: Der Artikel wurde im Original auf Englisch von Catalin Udrea veröffentlicht, die Übersetzung wurde von Lena Seydaack angefertigt.