Datensicherheit und Datensicherung

Question 1

Allgemein:

Answer 1

Die Informationssicherheit umfasst neben der Sicherheit der IT-Systeme und der darin gespeicherten Daten auch die Sicherheit von nicht elektronisch verarbeiteten Informationen. Die Schutzziele der IT-Sicherheit beziehen sich auf unterschiedliche Arten von Daten und Zustände, die abgesichert werden müssen.

Question 2

Schutzziele:

Answer 2

Datenschutz: Es geht hierbei nicht um den Schutz von allgemeinen Daten vor Schäden, sondern um den Schutz persönlicher Daten vor Missbrauch. Der Schutz personenbezogener Daten stützt sich auf das Prinzip der informationellen Selbstbestimmung. Diese wurde im BVerfG-Urteil zur Volkszählung festgeschrieben.

Geschützt werden muss dabei die Privatsphäre, d. h. Persönlichkeitsdaten bzw. Anonymität müssen gewahrt bleiben (geregelt in Datenschutzgesetzen, etwa dem Bundesdatenschutzgesetz.

Question 3

Informationssicherheit (auch Datensicherheit)

Answer 3

• bezieht sich auf alle relevanten Informationen einer Organisation oder eines Unternehmens einschließlich personenbezogener Daten
• Vertraulichkeit: Daten dürfen lediglich von autorisierten Benutzern gelesen bzw. modifiziert werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der Datenübertragung.
• Integrität: Daten dürfen nicht unbemerkt verändert werden,
• Es müssen alle Änderungen nachvollziehbar sein.
• Verfügbarkeit: Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet werden.

Question 4

Randthemen und verwandte Begriffe zu Information-und Datensicherheit:

Answer 4

• Authentizität: Echtheit und Glaubwürdigkeit einer Person oder eines Dienstes müssen überprüfbar sein.
• Zurechenbarkeit (engl. accountability): “Eine durchgeführte Handlung kann einem Kommunikationspartner eindeutig zugeordnet werden.”
• Verbindlichkeit/Nichtabstreitbarkeit (engl. non-repudiation): Sie erfordert, dass “kein unzulässiges Abstreiten durchgeführter Handlungen” möglich ist. Sie ist unter anderem wichtig beim
• elektronischen Abschluss von Verträgen. Erreichbar ist sie beispielsweise durch elektronische
• Signaturen
• Nicht-Anfechtbarkeit: der Nachweis, dass eine Nachricht versendet und empfangen worden ist (Authentizität/Nachweisbarkeit)
• Zugriffssteuerung: Reglementierung des Zugriffes von außen in bestimmtem Kontext (zum Beispiel im Internet) auch Anonymität

Question 5

IT-Sicherheit:

Answer 5

Einrichtung und Aufrechterhaltung geeigneter betrieblicher und technischer Maßnahmen, um die Einhaltung der Schutzziele der Informationssicherheit bei IT-gestützter Verarbeitung von Informationen zu gewährleisten.

• Funktionalität: Hardware und Software sollen erwartungsgemäß funktionieren.
• Einhaltung der betrieblichen Prozesse
• Einrichtung geeigneter Sicherheitstechniken (Firewall, Zugriffschutz, Intrusion Detektion etc.)
• Vorsorgemaßnahmen zur möglichst reibungslosen Weiterführung bzw. Wiederaufnahme der Produktion nach Störungen

Question 6

Bedrohungen:

Answer 6

• Technischer Systemausfall
• Systemmissbrauch, durch illegitime Ressourcennutzung
• Veränderung von publizierten Inhalten
• Sabotage
• Spionage
• Betrug und Diebstahl

Question 7

Ursachen und Mittel der Bedrohungen:

Answer 7

• Höhere Gewalt
• Blitzschlag
• Feuer
• Vulkanausbruch
• Überschwemmung
• Fehlbedienung durch Personal oder zugangsberechtigte Personen
• Computerviren, Trojaner und Würmer, die zusammengefasst als Malware bezeichnet werden
• Spoofing, Phishing, Pharming oder Vishing, bei dem eine falsche Identität vorgetäuscht wird
• Denial of Service-Angriff
• Man-in-the-middle-Angriffe beziehungsweise Snarfing
• Social Engineering

Question 8

Die wichtigsten Maßnahmen:

Answer 8

• Management
• Operative Maßnahmen
• Software aktualisieren
• Antiviren-Software verwenden
• Diversifikation (Vielfalt von Software)
• Firewalls verwenden
• Eingeschränkte Benutzerrechte verwenden
• Sandkisten (Programm Berechtigungen)
• Aktive Inhalte deaktivieren (autoplay)
• Sensible Daten verschlüsseln
• Sicherungskopien erstellen
• Protokollierung (log Dateien)
• Sichere Entwicklungssysteme und Laufzeitumgebungen verwenden
• Sensibilisierung und Befähigung der Mitarbeiter
• Audits/Überprüfung

Question 9

Anforderungen:

Answer 9

• Regelmäßigkeit
• Aktualität
• Verwahrung
• Anfertigung von zwei Datensicherungen
• Ständige Prüfung auf Vollständigkeit und Integrität
• Regelmäßige Überprüfung auf Wiederherstellbarkeit
• Datensicherungen sollten automatisch erfolgen
• Datenkompression
• Zeitfenster
• Löschung veralteter Datensicherungen

Question 10

Hot Backup (auch Online-Backup genannt)

Answer 10

Ein Hot Backup ist eine Sicherung eines Systems (beispielsweise einer Datenbank), die möglichst aktuell gehalten wird – im Idealfall ist sie auf dem gleichen Stand wie das Live-System.

Vorteil dieser Methode ist das Vorhalten eines aktuellen “Ersatz-Datenbestandes”, der im Fall eines Systemabsturzes sofort einsatzbereit ist.

Question 11

Cold Backup (auch Offline-Backup genannt

Answer 11

Ein Cold Backup ist eine Sicherung eines Echtzeit-Systems, die erstellt wird, während das System nicht aktiv ist. Dadurch wird erreicht, dass die Daten in einem konsistenten Zustand gesichert sind. Der Nachteil dieser Methode liegt darin, dass das System während eines gewissen Zeitraumes nicht verfügbar ist. Für hochverfügbare Dienste ist sie also ungeeignet; um Backups von Umgebungen zu machen, die

beispielsweise nur tagsüber verfügbar sein müssen bietet es sich hingegen an.