Schlagwort: Sicherheit

IT-Systeme

Leave a comment

Eigenschaften

  • geschlossen
    • Herstellertechnologie
    • nicht kompatibel
    • Räumlich und Teilnehmermässig beschränkt
    • homogen/zentral verwaltet
  • offen
    • verteilt/vernetzt
    • physisch verteilt
    • Informationsaustausch mit anderen Systemen
    • heterogene Hardwarekomponenten
    • stärkere und erweiterte Sicherheitsmassnahmen
  • dynamisch technisch

IT-Systeme sind in unterschiedliche Strukturen (gesellschaftlich, unternehmerisch, politische) und zu verschiedenen Zwecken bei unterschiedlich hohem Know-How genutzt. Es ist ein Zusammenspiel zwischen der Nutzbarkeit, Sicherheit und Konformität mit Regeln, Vorschriften, Gesetzen (z.B. DSG).

  • passives Objekt
    • Datei
    • Datenbankeintrag
  • aktives Objekt
    • Prozesse…
    • Informationen speichern und verarbeiten
  • Informationen werden von Objekten repräsentiert
    • dies sind schützenswerte Güter
    • “assets”

Um die Möglichkeit zu haben, als Subjekt auf das Objekt zuzugreifen, sind Zugriffsrechte nötig. Bestehen diese, ist der Zugriff autorisiert.

IT-Sicherheit

Leave a comment

Die IT-Sicherheit gilt für die Kommunikation und Vernetzung von Diensten, M2M (Machine-Machine) Kommunikation und eigenen Systemen. Das Ziel der Sicherheit ist, die Unternehmen und deren Informationen vor Schäden zu Schützen.

Durch Konzepte und Massnahmen wird das Sicherheitsrisiko und die womöglich eintretenden Schäden analysiert und die Schwachstellen durch technische Massnahmen geschützt.

Geschäftsbereiche für vertrauenswürdige Anwendungen:

  • Gesundheit
  • Automotive
  • Smart…
    • Cities
    • Grid
    • Factory
    • Health

Besonders bei Steuerungen für Transport, Produktion oder Kraftwerken ist die elektronische Überwachung des Betriebs aber auch die Sicherheit enorm wichtig.

Grundlagen Netzwerksicherheit

Leave a comment

Zuerst ist es wichtig die beiden Begriffe Authentisierung und Authorisierung auseinanderzuhalten. Kerberos behandelt hierbei bloss die Authentisierung, wozu Dienste und Clients gehören (im Kerberos-Bereich auch Principals genannt). Die Authorisierung dagegen wird vom Verzeichnisdienst (z.B. LDAP) vorgenommen.

Authentisierung

Die kryptografische Authentisierung entsteht durch eine starke Verschlüsselung durch einen privaten Schlüssel. Diese ist symmetrisch. Die Standards, welche dazu verwendet werden sind (tripple) DES (Data Encryption Standard) bzw. AES (Advanced Encryption Standard). Statt Username/Password werden diese durch den Schlüssel ersetzt, was die Authentisierung für Dienste ermöglicht. Kerberos kann deshalb als SSO-Basis verwendet werden.

 

 

Bedrohungen der Informationssicherheit

Leave a comment

Es gibt diverse Varianten, die zu einer Gefährdung der Informationssicherheit führen können:

  • Systemausfall (technisch)
  • Systemmissbrauch durch Manipulationen oder Datenveränderung
  • Sabotage
  • Spionage
  • Betrug/Diebstahl
  • Falsche Bedienung vom Personal
  • Viren
  • Spoofing
  • Phishing
  • Pharming (Vortäuschen falscher Identität)
  • Man-in-the-Middle Angriff
  • Serverüberlastungsangriffe (Denial-of-Service)
  • Physikalischer Einbruch

Es gibt folgende Massnahmen, welche die Informationssicherheit verbessern können:

  • Passwörter setzen
  • Berechtigungskonzept
  • Backup
  • Virenschutz (auch auf mobilen Geräten)
  • Interneteinschränkungen
  • keine unkontrollierten privaten Geräte
  • Nur kontrollierte Software
  • Gebäudezutritte einschränken
  • Datenverschlüsselung
  • Monitoring
  • Notfallorganisation
  • Sicherheitssensibilisierung
  • Firewalls einsetzen

Datensicherheitskonzept

Leave a comment

Zu sichernde Daten

  • Wo sind die Daten?
  • Welche Daten werden gesichert?
  • Welche Art Daten sind es?
  • Wie steht es um die Vertraulichkeit?
  • Wie steht es um die Wichtigkeit?
  • Wie stark werden die Daten wachsen?
  • Wie oft werden die Daten geändert?

Sicherungsmodalitäten

  • Wann soll gesichert werden?
  • Wie oft soll gesichert werden?
  • Wie lange müssen Sicherungen aufbewahrt werden?

Speichermedien

  • Worauf sollen die Daten abgespeichert werden?
  • Wie sind…
    • Geschwindigkeit?
    • Sicherheit?
    • Kapazität?
    • Kosten?

Sicherungssoftware

  • Wie soll die Sicherung durchgeführt werden?
  • Was muss die Sicherungsmöglichkeit bieten?
  • Was darf es kosten?

Aufbewahrung

  • Wo werden die Daten abgelegt?
  • Was sollte beim Lagern alles kontrolliert werden?
  • Wie sieht es mit Datenschutz aus?

Verantwortung

  • Verantwortungen definieren
  • eine sinnvolle Rollenverteilung
  • Wer wäre bei einem Restore erreichbar?
  • Wer führt Backups durch?
  • Wer überprüft Backups?