Informationssicherheit Definition

Definition der Informationssicherheit

Informationssicherheit (Infosec) ist die Bezeichnung für die Geschäftsprozesse, die informative Ressourcen schützen. Eine modernere Bezeichnung dafür ist "Informationssicherheit". Das ist Informationssicherheit (Infosec)? - Begriffserklärung von WhatIs.com

Informationssicherheit (Infosec) ist der Begriff, der die Geschäftsprozesse beschreibt, die Informationsressourcen schonen. Es spielt keine Rolle, in welchem Datenformat die Informationen vorliegen. Melden Sie sich an. Tragen Sie eine E-Mail-Adresse ein. Um fortzufahren, klicken Sie hier. Um fortzufahren, klicken Sie hier.

Die Informationssicherheit ist keine einzige Technik. Sie ist eine Gesamtstrategie, die aus Verfahren, Werkzeugen und Leitlinien zusammengesetzt ist. Es handelt sich dabei um digitales und nicht-digitales Informationsmaterial. Prozesse und Policies beinhalten in der Regel sowohl physikalische als auch elektronische Massnahmen zum Schutz der Kundendaten vor unberechtigtem Zugriff. Viele große Firmen haben eine eigene Sicherheitsabteilung.

Meistens ist der Chef dieser Arbeitsgruppe ein CISO (Chief Information Security Officer).

Das BSI - Fachglossar - IT-Grundschutz-Kataloge

Dieses Lexikon erklärt einige der wichtigsten Fachbegriffe zum Thema Informationssicherheit und IT-Grundschutz. Bei dieser Form der Kommunikation kann ein Stellvertreter z.B. gewisse Protokoll-Befehle ausfiltern. Die Beglaubigung ist der Beweis für einen Kommunikationspartner, dass er wirklich der ist, der er ist. Die Beglaubigung ist dann die Präsentation eines Identifikationsnachweises, bei der Beglaubigung die Verifizierung dieses Nachweise.

IT-Grundschutz macht diese Differenzierung nicht, um den Wortlaut des Textes überschaubar zu machen. Unter Authentität versteht man die Immobilie, die garantiert, dass ein Gesprächspartner derjenige ist, der er ist. Authentische Information stellt sicher, dass sie aus der spezifizierten Datenquelle erzeugt wurde. Nicht nur bei der Überprüfung der Personenidentität wird der Ausdruck benutzt, sondern auch für IT-Komponenten oder Applikationen.

IT-Grundschutz meint damit die Prüfung, ob die von IT-Grundschutz vorgeschlagenen Massnahmen bereits in einer Unternehmung implementiert sind und welche grundsätzlichen Sicherheitsmassnahmen noch ausstehen. In den Katalogen von IT-Grundschutz wird der Ausdruck für die Gliederung der Handlungsempfehlungen verwendet. In die Informationstechnologie übertragen, ist eine Gefahr ein Sachverhalt oder ein Vorkommnis, der die Erreichbarkeit, Unversehrtheit oder Geheimhaltung von Daten beeinflussen kann und dem Eigentümer oder Nutzer der Daten abträglich ist.

Black-Box-Tests simulieren das Benehmen von Außenstehenden, sofern der Täter keine oder nur oberflächlichen Angaben über sein Ziel hat. Unter dem Begriff Webbrowser (von "to browse") versteht man Programme für den Zugang zum World Wide Web. Die eingehenden Messdaten werden vom System ausgewertet und als Texte und Bilder auf dem Display angezeigt.

Unter Business Continuity Management (BCM) versteht man alle Organisations-, Technik- und Personalmaßnahmen, die dazu beitragen, das Kerngeschäft einer Instanz oder eines Betriebes nach einem Notfall oder Sicherheitsvorfall fortzuführen. Ein Klient ist eine Software oder Hard-ware, die gewisse Dienstleistungen eines Servers nutzen kann. Oftmals steht der Ausdruck Klient für einen Arbeitsplatzcomputer, der auf Dateien und Anwendungen von Rechnern in einem Netzwerk aufruft.

Die Datenschutzbestimmungen sollen den Menschen davor bewahren, durch den Gebrauch seiner persönlichen Informationen in seinem persönlichen Recht verletzt zu werden. Datenschutzhinweis bezieht sich daher auf den wirksamen und sicheren Datenschutz. Es gibt zwei englischsprachige Versionen des Begriffs "Datenschutz": Unter" Datenschutz" versteht man den gesetzlichen Ausdruck des Datenschutzes.

"Die" hingegen richtet sich an den sozialen Lebensstil (Schutz der Privatsphäre) und wird zunehmend im amerikanischsprachigen Umfeld und nun auch im EU-Raum eingesetzt. Datenschutz bezieht sich auf den Datenschutz im Hinblick auf gegebene Ansprüche an Geheimhaltung, Zugänglichkeit und Ganzheit. Eine modernere Bezeichnung dafür ist "Informationssicherheit". Ein Datenbackup erzeugt Backups vorhandener Dateien zum Schutze vor Datenverlust.

Zu den Datensicherungen gehören alle technische und organisatorische Massnahmen zur Sicherung der Systemverfügbarkeit, Unversehrtheit und Einheitlichkeit der Anlagen, einschliesslich der auf diesen Anlagen abgelegten und zu Verarbeitungszwecken verwendeten Informationen, Programm und Verfahren. Angemessener Datenschutz heißt, dass die ergriffenen Massnahmen je nach Datenempfindlichkeit eine unmittelbare oder mittelfristige Wiederaufnahme des Zustands von Anlagen, Dateien, Programmen oder Verfahren nach einer erkannten Verschlechterung der Erreichbarkeit, Unversehrtheit oder Beständigkeit aufgrund eines Schadensereignisses erlauben.

Zu den Massnahmen gehört zumindest die Erstellung und Prüfung der Fähigkeit, in festgelegten Abständen und Erzeugungen nachzubilden. Ein Firewallsystem (besser bekannt als Security Gateway) ist ein Soft- und Hardwarekomponenten-System zur sicheren Kopplung von IP-Netzwerken (siehe Security Gateway). "Unter " Gefährlichkeit " wird oft ein Oberbegriff betrachtet, während unter "Gefahr" eine näher bezeichnete Gefährlichkeit zu verstehen ist (räumlich und zeitliche Festlegung nach Typ, Grösse und Richtung).

Gemäß der oben genannten Definition sind alle Nutzer durch Computerviren im Netz gefährdet. Gefahrenkataloge sind Bestandteil der IT-Grundschutzkataloge und beinhalten die Beschreibung von möglichen Gefahren in der Informationstechnologie. IT-Grundschutz berücksichtigt die drei grundlegenden Werte der Informationssicherheit: Diskretion, Disponibilität und Intaktheit. Andere allgemeine Begriffe der Informationssicherheit sind z.B:

Die Informationssicherheit zielt darauf ab, Daten zu schützen. Die Information kann auf einem Blatt oder in einem Computer oder in einem Kopf sein. Die IT-Sicherheit befasst sich in erster Linie mit dem Datenschutz und der Datenverarbeitung. Aus diesem Grund ist der Ausdruck "Informationssicherheit" anstelle von IT-Sicherheit umfangreicher und wird immer häufiger gebraucht. Doch da der Ausdruck "IT-Sicherheit" noch immer vorwiegend in der Fachliteratur zu finden ist, wird er in dieser und anderen Veröffentlichungen von IT-Grundschutz weiterverfolgt.

Der Planungs-, Steuerungs- und Überwachungsaufwand, der notwendig ist, um einen gut überlegten und effektiven Prozess zur Schaffung von Informationssicherheit zu etablieren und fortlaufend zu implementieren, wird als Informationssicherheits-Management bezeichnet. Auch aus den oben genannten Begriffen "Informationssicherheit" und "IT-Sicherheit" wird der Ausdruck "IT-Sicherheitsmanagement" in der IT-Grundschutztechnik immer noch oft gebraucht. Die Informationstechnologie (IT) beinhaltet alle Mittel, die zur Informationsverarbeitung oder -übertragung eingesetzt werden.

Die Datenverarbeitung umfasst die Sammlung, Sammlung, Verwendung, Aufbewahrung, Übermittlung, Programmsteuerung, Präsentation und Weitergabe von Daten. Im Bereich des IT-Grundschutzes bedeutet das: für die Datenverarbeitung und EDV genutzte Objekte, Räumlichkeiten, Energieversorgung, Klimaanlagen und EDV. Der in diesem Papier verwendete Ausdruck Einrichtungen bezieht sich auf Firmen, staatliche Stellen und andere staatliche oder privatwirtschaftliche Einrichtungen.

Vollständigkeit bedeutet, die Richtigkeit (Integrität) der Angaben und das korrekte Funktionieren der Systeme zu gewährleisten. Bei der Verwendung des Begriffs Datenintegrität bedeutet dies, dass die Angaben komplett und unveränderlich sind. Die Informationstechnologie hingegen wird in der allgemeinen Interpretation im weiteren Sinne auf "Information" angewandt. Als " Info " werden " Angaben " verstanden, denen je nach Kontext gewisse Eigenschaften wie z. B. Verfasser oder Erstellungszeitpunkt zuweisen.

Ein Integritätsverlust von Daten kann daher dazu führen, dass sie ohne Erlaubnis geändert wurden, dass Daten über den Urheber gefälscht wurden oder dass Zeitdaten für ihre Herstellung missbraucht wurden. Bei grösseren Instituten ist es zweckmässig, ein IS-Management-Team (oft auch IT-Security-Management-Team) einzurichten, das den IT-Sicherheitsbeauftragten z. B. bei der Koordination umfassender Massnahmen innerhalb der gesamten Organisation, der Informationsbeschaffung und der Durchführung von Steuerungsaufgaben unterstützen soll.

EDV-Grundschutz beschreibt eine Methode zum Auf- und Ausbau eines Sicherheitsmanagements und zur Sicherung von Informationsnetzwerken über Standardsicherheitsmaßnahmen. IT-Grundschutz bezieht sich darüber hinaus auf den Stand, in dem die vom BSI vorgeschlagenen Standardsicherheitsmaßnahmen implementiert werden, die Einrichtungen mit normalen Schutzbedürfnissen als Ganzes von Infrastruktur-, Organisations-, Personal- und Techniksicherheitsmaßnahmen angemessen schützen. Die IT-Sicherheit ist ein Staat, in dem die mit dem Gebrauch von Informationstechnologie verbundenen Gefahren aufgrund von Gefahren und Verwundbarkeiten durch geeignete Massnahmen auf ein akzeptables Niveau gesenkt werden.

Die IT-Sicherheit ist daher der Staat, in dem Geheimhaltung, Unversehrtheit und Zugänglichkeit von Information und Informationstechnologie durch geeignete Massnahmen gewährleistet sind. Sachkundige Personen mit eigener Expertise in der Informationssicherheit in einer Stabstelle eines Betriebes oder einer Stelle, die für alle Belange der Informationssicherheit, die Einbindung in den Sicherheitsprozeß und das IS-Management verantwortlich sind, koordinieren die Richtlinie zur Informationssicherheit, das Schutzkonzept und andere Begriffe, z.B. zur Notfallvermeidung, und planen und überprüfen deren Durchsetzung.

Je nach Typ und Orientierung der Einrichtung wird die Funktion des Informationssicherheitsverantwortlichen unterschiedlich erwähnt. Zu den häufigen Titeln gehören IT Security Officer (IT-SiBe), Chief Security Officer (CSO), Chief Information Security Officer (CISO) oder Informationssicherheitsmanager. Sicherheitsbeauftragte " hingegen sind oft die für Arbeitssicherheit, Betriebs- oder Anlagensicherheit zuständigen Mitarbeiter.

EDV-Systeme sind Systeme, die der Verarbeitung von Information und der Bildung einer in sich geschlossenen funktionalen Einheit dienten. Eine Tastenaufzeichnungssoftware ist eine Hardware oder ein Programm zur Aufzeichnung von Tastenanschlägen. Diese können dann anhand dieser Information wesentliche Angaben wie z. B. Anmeldedaten oder Kreditkartennummer ausfiltern. In der Basis-IT-Sicherheit sind Components die technischen Soll-Objekte (siehe dort) oder Teilobjekte.

Trigger kann auch sein, dass mehrere IT-Anwendungen oder eine Reihe von sensiblen Daten auf einem IT-System bearbeitet werden, so dass der Gesamtverlust bei kumulierten Verlusten größer sein kann. Der Leitfaden ist ein zentraler Leitfaden für die Informationssicherheit einer Einrichtung. Sie beschreibt, zu welchen Zwecken, mit welchen Instrumenten und mit welchen Einrichtungen die Informationssicherheit innerhalb der Einrichtung etabliert werden soll.

Es enthält die von der Einrichtung verfolgten Ziele der Informationssicherheit sowie die angestrebte Strategie der Sicherheit. Multi-Client-fähig sind Applikationen, IT-Systeme oder Services, bei denen die Abläufe, Daten und Applikationen eines Clients streng von denen anderer Clients abgegrenzt sind, d.h. kein Zugriff oder Störung von einem Gebiet zum anderen möglich ist und damit deren Diskretion, Unversehrtheit oder Zugänglichkeit nicht eingeschränkt werden kann.

Packetfilter sind IT-Systeme mit einer speziellen Spezialsoftware, die mit speziellen Vorschriften den ein- und ausgehenden Verkehr in einem Netzwerk ausfiltern. Ein Paket-Filter hat die Funktion, auf Basis der Angaben in den Kopfdaten der UDP/IP- oder TCP/IP-Schicht (z.B. IP-Adresse und Portnummer) Pakete weiterzugeben oder zu löschen. Die Vergabe privilegierter Rechte erfolgt in der Regel nur für die Rolle, Gruppe oder Person, die vorwiegend für die Verwaltung der Informationstechnologie zuständig ist.

Es akzeptiert von der einen und gibt die Informationen an eine andere Position im Netzwerk weiter. IT-Grundschutz bietet drei Qualifikationsstufen: "A" für die Einstiegsstufe IT-Grundschutz, "B" für die Aufbaustufe IT-Grundschutz, "C" für das ISO 27001 Zertifikat auf der Grundlage von IT-Grundschutz. "Unter "Z" versteht man Massnahmen, die insbesondere bei erhöhten Sicherheitsansprüchen hilfreiche Zusätze sind.

Oftmals wird das Schadensrisiko auch als Summe aus Eintrittswahrscheinlichkeit und Schadensausmaß verstanden. Anders als "Gefahr" beinhaltet der Ausdruck "Risiko" bereits eine Einschätzung, in welchem Umfang ein gewisses Schadenszenario für den jeweiligen Schadensfall von Bedeutung ist. Eine schädliche Fehlfunktion ist eine vom Benutzer unerwünschte Fehlfunktion, die die Informationssicherheit ungewollt oder gewollt gefährdet.

Schadprogramme sind ein künstliches Wort, das von "bösartiger Software" stammt und sich auf die Entwicklung von Programmen bezieht, deren Zweck es ist, ungewollte und hauptsächlich gefährliche Aufgaben zu erfüllen. Schadprogramme sind in der Regel für eine spezielle Betriebssystem-Variante ausgelegt und werden daher in der Regel für gängige Betriebssysteme und Applikationen erstellt. Die Schutzanforderung gibt an, welcher der beiden Schutzmaßnahmen für die Geschäftsabläufe, die verarbeitete Information und die verwendete Informationstechnologie ausreicht.

Im Rahmen der Ermittlung der Schutzbedürfnisse werden die Schutzbedürfnisse der Unternehmensprozesse, der zu verarbeitenden Daten und der IT-Komponenten ermittelt. Zu diesem Zweck werden für jede Applikation und die verarbeitete Information die zu erwarteten Schädigungen, die auftreten können, wenn die grundlegenden Werte der Informationssicherheit - Diskretion, Unversehrtheit oder Erreichbarkeit - beeinträchtigt werden. Unter Servern versteht man eine Software oder Hard- und Software, die bestimmten Diensten für andere (nämlich Clients) zur Verfügung steht.

In der Regel handelt es sich dabei um einen Computer, der seine Hard- und Software-Ressourcen in einem Netzwerk von anderen Computern zur Verfügung stellt. Anwendungsbeispiele sind Applikations-, Datenbank-, Web- oder e-Mail-Server. Sie sorgt für eine gesicherte Koppelung von IP-Netzwerken, indem sie das technische Mögliche auf die in einer Sicherheitspolitik als richtig festgelegte Übertragung beschränkt. Bei der Netzwerkkopplung heißt das im Grunde, dass nur gewünschte Zugänge oder Datenflüsse zwischen unterschiedlichen Netzwerken erlaubt sind und die übermittelten Informationen gesteuert werden.

Das Erstellen eines Sicherheitskonzeptes ist eine der Kernaufgaben des Informationssicherheits-Managements. Sicherheitsmaßnahmen sind alle Maßnahmen, die dazu beitragen, das Sicherheitsrisiko zu kontrollieren und ihm vorzubeugen. In der englischsprachigen Welt wird neben "safeguard" oft auch der Ausdruck "control" benutzt. Spionageprogramme, die im Geheimen, d.h. ohne Vorwarnung, Daten über einen Nutzer oder die Benutzung eines Computers erfassen und an den Verursacher der Spionageprogramme weitergeben.

Spionageprogramme werden oft als störend empfunden, aber es sollte nicht vergessen werden, dass sie auch sicherheitsbezogene Daten wie Kennwörter aufdecken können. Standardprogramme sind solche für eine große Anzahl von Abnehmern auf dem freien Softwaremarkt entwickelte Produkte (Programme, Programmmodule, Tools, etc.), die nicht vom Anbieter für den Abnehmer spezifisch für diesen erstellt wurden, einschließlich der dazugehörigen Anleitungen.

Unter starker Authentifizierung versteht man die Verbindung zweier Authentifizierungstechniken, wie z.B. Kennwort plus Transaktionsnummer (Einmal-Kennwort) oder plus Chips. Deshalb wird dies oft als Zwei-Faktor-Authentifizierung bezeichne. Wird eine Information übermittelt, heißt das, dass die Quelle der Information ihre Richtigkeit nachgewiesen hat und der Erhalt der Information nicht verweigert werden kann. Es stehen Dienste, Funktionalitäten eines IT-Systems, IT-Anwendungen oder IT-Netzwerke oder auch Information zur Verfügung, wenn diese von den Nutzern immer bestimmungsgemäß verwendet werden können.

Geheimhaltung ist der Garant für den Datenschutz. Vertrauenswürdige Angaben und Auskünfte dürfen nur autorisierten Personen in der erlaubten Form zur Verfügung gestellt werden. Häufig wird der Ausdruck VPN als Ausdruck für die Verschlüsselung von Datenverbindungen benutzt, es können aber auch andere Verfahren zur Sicherung des Übertragungskanals genutzt werden, wie z.B. Sonderfunktionen des verwendeten Versandlogik.

WLAN bezieht sich auf kabellose Netzwerke, die auf der vom Institut für Elektrotechnik und Elektronik (IEEE) festgelegten Normengruppe IEEE 802.11 aufbaut. In der Informationssicherheit wird der Ausdruck Certificate in den verschiedensten Gebieten mit unterschiedlicher Bedeutung benutzt. An die Stelle dieses Zertifizierungsverfahrens tritt die ISO 27001-Zertifizierung nach IT-Grundschutz (siehe unten).

Zertifikate ISO 27001: Die ISO-Norm 27001 "Informationstechnologie - Sicherheitstechniken - Anforderungsspezifikation für Informationssicherheitsmanagementsysteme" erlaubt die Bescheinigung des Managements der Informationssicherheit. Zertifizierungen nach ISO 27001 auf IT-Grundschutz: Seit Beginn des Jahres 2006 können ISO 27001-Zertifikate auf IT-Grundschutz-Basis beim BSI angefordert werden.

Grundvoraussetzung ist jedoch, dass die am Ende des Prozesses im Zeugnis zu bescheinigenden Sicherheitsmerkmale mit der Erhaltung der Geheimhaltung, der Erreichbarkeit und der Unversehrtheit verbunden sind. Access ist der Einsatz von IT-Systemen, Systemkomponenten und Netzwerken. Zugriffsberechtigungen ermöglichen es einer bestimmten Ressource wie z.B. IT-Systemen oder Systemkomponenten und Netzwerken.

Der Zugang bezieht sich auf die Verwendung von Information oder Information. Zugangsberechtigungen regeln, welche Person berechtigt ist, in ihrem Aufgabenbereich Information, Datum oder IT-Anwendungen zu verwenden bzw. welche nicht. Zugang ist der Zugang zu begrenzten Flächen, z.B. Räume oder geschützte Bereiche in einem Gebiet.

Zugangsberechtigungen ermöglichen es also, dass Menschen gewisse Bereiche wie z. B. ein Grundstück, ein Haus oder festgelegte Räumlichkeiten eines Hauses erreichen können.

Mehr zum Thema