Grundlagen

  • Management: Handlungen (funktional), Personen (institutional), Handhabung (Vorgehensweise)

    • ho (Entscheidungsfindung/-durchsetzung): Grundsatz + Zielbildung -→ Planung -→ Organisation -→ Kontrolle + Steuerung

    • po: Aufgaben + Befugnisse + Aufsicht/Kontrolle handelnder Personen

    • hao: Qualitätsmanagement, Zeitmanagement, Stressmanagement, "Management-by"-Konzepte

  • IT-Sicherheitsmanagement

    • Vorgehensmodelle: Bedrohungsanalyse, Sicherheits-Audit, Sicherheitsrichtlinien

    • Sicherheit: Sicherstellung von Identität, Vertraulichkeit, Integrität

    • Forschung: Datenauslagerung, Daten teilen, Anonymisierung

  • Geheimnisse und Lügen (Bruce Schneier)

    • "Sicherheit ist ein Prozess, kein Produkt"

    • Technologie hilft nicht bei Sicherheitsproblemen

  • Informationssicherheit

    • ISO 27000: Hauptidimensionen: C, I, A; Ziel: nachhaltiger Geschäftserfolg, Erreichung durch anwendbare Kontrolle, ausgewählt durch Risikomanagementprozess, gehandhabt durch ISMS (enthält Regeln, Prozesse, Prozeduren, organisatorische Strukturen)

    • GSB: allumfassender Ansatz (jegliche Information), Ziel: angemessenes Sicherheitsniveau, verlangt : Risikoabschätzung, immerwährender Prozess (Planung -→ Umsetzung -→ Aufrechterhaltung -→ Erfolgskontrolle)

IT-Sicherheit

Definitionen

Management: Bezeichnung für Führung von Institutionen und Gesamtheitheit der funktionserfüllenden Personen
handlungsorientiert: Gesamtheit der Handlungen, die auf die bestmögliche Zielerreichung einer Institution / Interessengruppe gerichtet ist
personenorientiert: Personengruppe (= Managementhandlungsträger) + Gesetz / Satzung / Auftrag mit Rechten / Pflichten / Verantwortung zur Erfüllung der Handlungen
handhabungsorientiert: Techniken + Methoden qualitativer und quantitativer Art unter Einbeziehung bzw. auf Basis von Managementinfosystemen
Security Engineering: Entwicklung sicherer Software und Systeme (Bsp: Sichere Komposition)
Security Management): Gewährleistung eines Sicherheitsniveaus des IT-Systems
Informationssicherheitsmanagement: Prozess zur Herstellung von Sicherheit jeglicher Information (= digital, analog, unrepräsentiert), umfassender als IT-Sicherheitsmanagement
Informationssicherheit: Schützen von Informationen / Daten einschließlich zugehöriger Komponenten, die diese Information nutzt, speichert oder überträgt
Informationssicherheits-Managementsystem(ISMS): liefert Modell für Einführung, Umsetzung, Betrieb, Überwachung, Überprüfung, Pflege und Verbesserung des Schutzes von Informationswerten mit der Basis von Risikoeinschätzung + -akzeptanzniveaus + management
Risikoanalyse: analytisches Vorgehen zur Identifikation von Sicherheitsmaßnahmen, die geeignet sind, Risiken, denen ein System ausgesetzt sein kann, auf ein vertretbares Restrisiko zu senken
Penetrationstest: Versuch mit Hilfe simulierter Angriffe Schwachstellen in Schutzmaßnahmen aufzuspüren(nicht nur technische Komponenten)
Differenz-Sicherheitsanalyse: Vergleich der Maßnahmenempfehlungen des GSK mit etablierten Musterlösungen für hochschutzbedürftige Systeme
Risiko: Effekt (= Abweichung vom Erwarteten) der Ungewissheit eines Zieles (finanziell, …​) (ISO 31k)
Informationssicherheitrisiko ist verbunden mit Potential, dass Gefahren Schwächen eines Informationsassets ausnutzen (ISO 27k5)
IT-Compliance: regelgerechtes, vorschriftsgemäßes, ethisch korrektes Verhalten

Sicherheit

Verwundbarkeit: Schwachstelle, über die die Systemsicherheitsdienste umgangen, getäuscht oder unautorisiert modifiziert werden können
Bedrohung: zielt darauf ab, eine / mehrere Schwachstellen || Verwundbarkeiten auszunutzen, um I zu verlieren, C || A zu erreichen oder Authentizität zu gefährden
Risiko: Eintrittswsk eines Schadensereignis + Höhe des potentiellen Schadens
Angriff: nicht autorisierten Zugriff(versuch) auf ein System
Objekt: Repräsentation von Informationen (passiv: speichern (Datei), aktiv: speichern + verarbeitern (Prozess))
Subjekt: Benutzer eines Systems + alle Objekte, die im Auftrag von Benutzern im System aktiv sein können
Zugriff: Interaktion zwischen S und O, durch die ein Informationsfluss auftritt
Autorisierung: Berechtigung um auf ein Objekt zuzugreifen
Authentizität: Echtheit und Glaubwürdigkeit eines Objekts bzw Subjekts, die anhand seiner Identität / char. Eigenschaften überprüfbar ist
Authentifikation: Prozess der Überprüfung der Authentizität eines Subjekts durch Wissen (Passwort) || Sein (Fingerabdruck) || Besitz (EC-Karte)
Vertraulichkeit: System erlaubt keine unautorisierte Informationsgewinnung
Integrität: Subjekten nicht möglich Daten unautorisiert und unbemerkt zu manipulieren
Verfügbarkeit: authentifizierte und autorisierte Subjekte in der Berechtigungswahrnehmung nicht unautorisiert beeinträchtigbar sind
Verbindlichkeit: Subjekt ist es nicht möglich im Nachhinein die Durchführung einer Aktion aus einer bestimmten Aktionsmenge abzustreiten
Datenschutz: Fähigkeit einer natürlichen Person, die Weitergabe von Information, die sie persönlich betreffen, zu kontrollieren
Kryptographie: …​ wissenschaftliche Studie von Techniken um digitale Informationen, Transaktionen und verteilte Berechnungen abzusichern
Zertifikat: digitale Bescheinigung über Zuordnung eines PK zu natürlicher Person
Digitale Identität: digitale Repräsentation einer innerhalb eines Kontextes eindeutig benannten Entität. Diese umfasst Attribute, die als Grundlage für Prozesse dienen
Identifikator: (Menge von) Attribute, die eine digitale Identität eindeutig identifiziert
Nutzerkonto: Digitale Identität in konkreten System, welches Berechtigungsnachweise, Berichtigungen und Benutzererkennung enthält
Identifikation: Prozess, in dem Klarheit über Eindeutigkeit einer Entität in bestimmten Kontext geschaffen wird
Authentifikation: Nachweise der Identität, aus Entitätssicht: Authentisierung
Autorisation: Zuweisung von Zugriffsrechten zu einer Entität
Autorisiationsentscheidung: Genehmigung / Ablehnung des Zugriffs auf Ressourcen basierend auf Identifikation, Authentifikation und Autorisation
Zugagnskontrolle: Alle Maßnahmen zur Durchführung der Identifikation + Authentifikation
Zugriffskontrolle: Alle Maßnahmen zur Durchführung der Autorisation und Autorisationsentscheidung
Rechteverwaltung: gewährleistet, dass alle Subjekte + Objekte eindeutig und fälschungssicher identifiziert werden und dass jedes Objekt mit Zugriffsbeschränkungen auch in Rechteverwaltung erfasst ist

Recht

Datensicherheit: Technischer + organisatorischer Schutz von Daten + IT-Systemen entsprechend der IT-Schutzziele
Datenschutz: Schutz personenbezogener Daten. Kontrolle über Erhebung + Verarbeitung + Nutzung
personenbezogenes Datum: …​ sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)
Zweckbindung: Speichern / Verändern / Nutzen pb Daten zulässig falls vorher angegebener Zweck verfolgt wird
Bedingungen: S / V / N für andere Zwecke nur bei Einwilligung
Verpflichtungen: falls ohne Kenntnis gewonnen, so ist von der Speicherung usw zu unterrichten

Anonymität: Identiät einer oder mehrerer beteiligten Instanzen ist unbestimmbar, da gegenüber anderen nicht in Erscheinung tritt (Nichtgenanntsein), innerhalb des Vorgangs ohne erkennbaren Namen agiert (Namenslosigkeit) oder anderen nicht bekannt ist (Nichtbekanntsein)
Pseudonymität: Erlaubt Subjekt eine digitale Identität zu werden ohne reale Identität preiszugeben
Pseudonym: identifiziert digitale Identität, ben Subjekt zur Zuordnung

Business Continuity Management: Prozesse / Verfahren, die der Sicherstelltung eines kont Geschäftsbetrieb dienen
BCM(BSI): Ganzheitlicher Managementprozess zur Fortführung der kritischen Geschäftsprozesse bei Eintritt eines Notfalls

results matching ""

    No results matching ""