/

BlogSicherheit
#Schutzziele

Die Informationssicherheit will Informationen und die beteiligten Systeme vor Missbrauch und Angriffen schützen. Hierzu wurden Schutzziele definiert, die die Basis vieler Maßnahmen und Technologien bilden. Fangen wir mit den Basisschutzzielen an. Hierzu zählen:

Vertraulichkeit

Wenn ich ein vertrauliches Gespräch führe oder eine vertrauliche Nachricht versende, soll kein Außenstehender den Inhalt erfahren. Das Schutzziel Vertraulichkeit sorgt dafür, dass keine unbefugten Person, Prozesse oder Anwendungen Zugang zu diesen Informationen haben.

Verfügbarkeit

Wenn ein Kunde oder Anwender etwas benötigt, eine Information oder Dienstleistung, dann sollte diese sofort oder kurzfristig mir bereitgestellt werden. Das Schutzziel Verfügbarkeit behandelt die Bereitstellung von Diensten und Ressourcen. Wenn durch zu viele Anfragen und zu wenig Persona Anfragen nicht bearbeitet werden können, haben wir ein Problem in der Verfügbarkeit.

Integrität

Aus dem Spiel "stille Post" kennen wir das Problem: Ich erzähle meinen Nachbarn etwas, der erzählt es seinem Nachbarn weiter usw. Das Ergebnis ist oft amüsant. Das Schutzziel will die Vermeidung der Informationsfälschung. Jede Nachricht und jede Information, die ich mit anderen austausche, soll vollständig und unverfälscht übermittelt werden.

Für viele Berater ist mit diesen drei Schutzzielen das Thema Sicherheit in Gänze abgedeckt. Vielleicht fallen noch die englischen Begriffe Confidentiality, Integrity und Availability, sowie das Akronym CIA aus den Anfangsbuchstaben. Das reicht aber nicht, dass hat die Praxis gezeigt. Deshalb folgen weitere Schutzziele:

Authentizität

Wenn ich einen Anruf bekomme oder ein Dienst um Zugriff bittet, dann will ich sicher sein, dass dahinter auch der/das richtige steckt. Das Schutzziel Authentizität will vor bösen Überraschungen schützen.

Authentisierung

Wenn ich im Urlaub zum Blumengiessen meinem Nachbarn die Schlüssel überlasse, dann geben ich nur ihm das Recht meine Wohnung zu betreten. Das Schutzziel Authentisierung behandelt diese Zugangsberechtigung.

Autorisierung

Im Beispiel Blumengiessen bekommt der Nachbar Zugang zur Wohnung, um Blumen zu giessen. Nicht in den Schränken wühlen oder den Kühlschrank zu leeren. Mit dem Schutzziel Autorisierung wird sichergestellt, dass Systeme oder Anwender nur Zugang auf Ressourcen oder Daten haben, für die autorisiert sind.

Verbindlichkeit

Der Kühlschrank ist leer, höchste Zeit für eine Bestellung. Mit der Bestellung erwarte ich eine Bestätigung, dass die Bestellung beim Händler angekommen ist. Das Schutzziel sorgt dafür, dass nachträgliche Diskussionen, ob eine Aktion ausgeführt worden ist (oder nicht).

Verlässlichkeit

Wenn ich nach "Adam Riese" die Kosten für die Bestellung kalkuliere, will ich nach jeder Berechnung zum gleichen Ergebnis kommen. Diese als Schutzziel bezeichnete Verlässlichkeit wird von vielen Anwendungen als konsistentes Verhalten erwartet.

Zurechenbarkeit

Mit der eingehenden Bestellung beim Händler, will dieser sicher sein, dass die Bestellung von mir war und nicht von jemand anderes. Das Schutzziel Zurechenbarkeit betrachtet den Nachweis, dass Vorgänge wirklich von Personen ausgeführt wurden, die behaupten diese ausgeführt zu haben.