Erklärungen und Begriffe zur IT-Sicherheit
Hier findest Du Erklärungen und Begriffe, die für Dich interessant sein könnten.
Hier findest Du Erklärungen und Begriffe, die für Dich interessant sein könnten.
Vertraulichkeit wird fälschlicherweise mit Sicherheit gleichgesetzt. Das stimmt nicht ganz, da nur die Gesamtheit wirklich mehr Sicherheit schafft. Vertraulichkeit gehört zu den Hauptsicherheitszielen eines Unternehmens. Sie soll sicherstellen, dass Daten nur von legitimierten und autorisierten Nutzern gelesen oder bearbeitet werden können.
Grundsätzlich unterscheidet man hier zwischen Daten, die gespeichert sind und Daten, die gerade übertragen werden. Egal, welche beiden Arten betrachtet werden, beide verfolgen ein Ziel: Daten sollen von unberechtigten Dritten weder im Klartext gelesen noch kopiert werden können.
Meist möchte man nur eine Vertraulichkeit für Daten gewährleisten. Unter Umständen kann es jedoch auch notwendig sein, Programme oder Systemkonfigurationen geheim zu halten.
Bitte beachte aber, dass Sicherheit nicht durch Geheimhaltung eines Verschlüsselungsverfahrens entsteht. Die Sicherheit eines Verschlüsselungssystems basiert nur auf dem Geheimhalten des entsprechenden Schlüssels.
Eine Beispieltechnologie für die Übertragung von Webseiten ist HTTPS. Dieses nutzt TLS (Transport Layer Security), um Webseiten verschlüsselt zu übertragen. Für gespeicherte Daten wie Passwörter nutzt man häufig Hashfunktionen. Hashfunktionen haben die Eigenschaft, ein Passwort nicht wieder in Klartext darstellen lassen zu können.
Vertraulichkeit geht häufig einher mit der Integrität der Daten. Integrität der Daten beantwortet die Frage, ob Daten von einem Dritten – nicht dem Ersteller – manipuliert wurden. Am Beispiel von E-Mails kann die Integrität z. B. mit einer digitalen Signatur sichergestellt werden. Durch die digitale Signatur kann der Empfänger prüfen, ob eine E-Mail – egal, ob auf dem Transportweg oder auf dem E-Mail-Server – manipuliert wurde. Im Umkehrschluss kann die Vertraulichkeit zwar gewährleistet sein, aber die Integrität nicht. Bildlich gesprochen ist es ohne Integrität möglich den verschlüsselten Text zu ändern, ohne, dass der Empfänger es überprüfen kann.
Integrität kann mit Prüfsummen, Hashfunktionen oder Redundanzen (wie Versionsverwaltungen) gewährleistet werden.
Bei der Gewährleistung einer Verfügbarkeit geht es darum, die gewünschten Funktionen oder Dienste eines IT-Systems immer dann verfügbar zu haben, wenn sie durch Betriebsabläufe benötigt werden. Es gilt also das Risiko zu minimieren, dass Daten verschwinden oder diese nicht mehr vorhanden sind, wenn sie gebraucht werden.
Die Gewährleistung der Verfügbarkeit kann über verschiedene Maßnahmen je nach Anforderungen an die IT-Systeme umgesetzt werden. Beispiele hierfür sind:
Authentizität beschreibt die Garantie, dass der Urheber der richtige ist. Durch die zunehmende Digitalisierung werden auch vermehrt sensible Daten digital aufbewahrt und/oder über das Internet verschickt. Es dürfen dann keine Zweifel am Urheber der Dateien entstehen.
Ein bekanntes Beispiel sind Phishing-E-Mails. Phishing-E-Mails versuchen Empfänger zu täuschen bestimmte Aktionen durchzuführen. Es wird umso gefährlicher, je besser die E-Mails gefälscht sind. So kann z. B. der Absender aussehen als wäre er der eigene Chef.
Es gibt verschiedene Technologien, die Authentizität in verschiedenen Stufen garantieren können. Die sogenannte S/MIME-Verschlüsselung hilft z. B., indem E-Mails Ende-zu-Ende verschlüsselt und authentisiert (signiert) sind.