Inhaltsverzeichnis

Informationssicherheit

Schutzziele

  • Vertraulichkeit
    Nur berechtigte Personen dürfen Zugriff auf Daten/Dienste haben.
  • Integrität
    Die ungewollte Veränderung von Daten muss verhindert werden oder sollte zumindest bemerkt und rückgängig gemacht werden.
  • Verfügbarkeit
    Das für jede Anwendung erforderliche Maß an Verfügbarkeit muss gewährleistet sein. Beispielsweise kann bei den meisten Anwendungen im Büroalltag ein seltener kurzer Ausfall hingenommen werden, nicht jedoch bei sicherheitsrelevanten Systemen in einem Flugzeug oder im Krankenhaus.
  • Authentizität
    Niemand sollte in der Lage sein, uns beim Browsen gefälschte Webseiten unterzuschieben (z.B. durch DNS-Spoofing oder Fishing) oder sich als jemand anderes im Netz auszugeben. Authentizität ist die Zusage, dass Daten/Dienste von der Quelle kommen, von der sie vorgeben zu stammen bzw. dass ein Kommunikationspartner tatsächlich derjenige ist, der er vorgibt zu sein.

Siehe auch Buch S. 149

Aufgabe 1:
Analysieren Sie die untenstehenden Nachrichtenquellen hinsichtlich folgender Fragestellungen:

  • a) Welche Schutzziele der Informationssicherheit wurden gefährdet/verletzt?
  • b) Was war Ursache der Gefährdung?
  • c) Mit welchen Maßnahmen hätte die Gefährdung verhindert werden können?

Gefährdungskategorien

Mögliche Gefährdungskategorien (Arten der Gefährdung) sind:

  • höhere Gewalt (z. B. Blitzeinschlag)
  • organisatorische Mängel (z. B. unzureichende Regelungen)
  • menschliche Fehlhandlungen (z. B. Preisgabe eines Passworts)
  • technisches Versagen (z. B. Hardwareausfall)
  • vorsätzliche Handlungen (z. B. Schadprogramme, DDoS)

(Quelle: LehrplanPlus Bayern Jgst. 12)

Aufgabe 2:
Nennen Sie zu jeder der oben angegebenen Kategorien zwei weitere Beispiele.

Sicherheitsmaßnahmen

Aufgabe 3:
Diskutieren Sie, welche Maßnahmen helfen können, um die Informationssicherheit vor den folgenden Gefahren zu schützen:

  • Brand, Wasserschaden
  • Hacken übers Netzwerk von außen
  • Ausspionieren/Verfälschen von Daten durch Mitarbeiter/-innen eines Unternehmens (insider threat)
  • Ransomware-Angriff
  • Spionage-Software auf Routern/Accesspoints
  • Identitätsdiebstahl

Man unterscheidet folgende Kategorien von Maßnahmen der Informationssicherheit:

  • organisatorisch (z.B. Richtlinien, Passwortregel)
  • technisch (z.B. Antivirensoftware, Firewall, Verschlüsselung, Sandbox, Backups, 2-Faktor-Authentifizierung)
  • physisch (z.B. Zugangskontrolle, Notstromversorgung, $CO_2$-Löschanlage)

(Quelle: LehrplanPlus Bayern Jgst. 12)

Siehe auch Buch S. 152 und S. 158

Aufgabe 4:
Nennen Sie zu den drei obigen Kategorien von Maßnahmen jeweils drei weitere Beispiele.

Technische und wirtschaftliche Grenzen

Ein vollständiger Schutz der IT-Systeme ist i.d.R. nicht erreichbar, da alle Sicherheitsmaßnahmen mit organisatorischem und/oder finanziellem Aufwand verbunden sind und oft auch dem technisch Machbaren Grenzen gesetzt sind. Es gilt daher immer, den Aufwand (organisatorisch/finanziell) gegen das mögliche Risiko abzuwägen.

Aufgabe:
Beschreiben Sie bei den folgenden Sicherheitsmaßnahmen, welche Risiken minimiert werden sollen und von welchen Größen der organisatorische/finanzielle Aufwand abhängig ist.

  • Regelmäßige Softwareupdates
  • Zugriffsbeschränkung durch Passwortschutz oder andere Authentifizierungsverfahren
  • Penetration tests
  • Backups

Offenlegung von Schwachstellen

Immer wieder kommt es vor, dass Bürger/-innen Schwachstellen in IT-Systemen von Unternehmen oder staatlichen Stellen finden. In diesen Fällen ist es unerlässlich, die Stelle zu verständigen und ihr Gelegenheit zu geben, die Schwachstelle zu beseitigen, bevor der Vorfall an die Öffentlichkeit gelangt und die Schwachstelle zu kriminellen Zwecken verwendet wird.

In dem Fall, dass die Bürgerin/der Bürger bei der Entdeckung der Schwachstelle diese schon verifiziert hat, wird dieses verantwortliche Offenlegen erschwert durch die Regelung des §202a StGB ("Hackerparagraph"), der 2007 verschärft wurde. Er sieht vor, dass bereits der "bloße unbefugte Zugang zu Computer- und Informationssystemen („Hacking“) strafbar" ist.

Hier der Wortlaut des Gesetzes.

Zusammenfassende Aufgabe

Die Firma MedIT erstellt ein Verfahren, mit dem Arztpraxen ihren Patient/-innen ermöglichen können, Termine übers Internet zu buchen und ggf. auch wieder abzusagen.

  • a) Skizzieren Sie eine mögliche technische Realisierung, insbesondere:
    • Wo stehen die Rechner, auf denen das Verfahren betrieben wird?
    • Welche Daten müssen gespeichert werden?
    • Wer soll Zugriff auf welche Daten haben?
    • Von wo aus soll auf das Verfahren zugegriffen werden können?
    • Wie sollen sich die Nutzer/-innen authentifizieren können?
  • b) Wie könnte die Informationssicherheit gefährdet werden (mindestens 8 Punkte)?
    Ordnen Sie jeweils die Gefährdungskategorien (s.o.) zu.
  • c) Welche Maßnahmen sollten ergriffen werden, um die unter b) genannten Gefährdungen auszuschließen?