Informationssikkerhed

Som informationssikkerhed refererer til egenskaberne af tekniske eller ikke-tekniske systemer til informationsbehandling , - opbevaring og lagring, at beskyttelsesmål fortrolighed , tilgængelighed og integritet sikker. Informationssikkerhed tjener til at beskytte mod farer eller trusler , undgå økonomiske skader og minimere risici .

I praksis er informationssikkerhed i forbindelse med IT -sikkerhedsstyring blandt andet baseret på den internationale ISO / IEC 27000 -serie . I tysktalende lande er en IT-Grundschutz- tilgang udbredt. ISO / IEC 15408 ( Common Criteria ) standarden bruges ofte til evaluering og certificering af it -produkter og -systemer .

En anden vigtig række standarder inden for informationssikkerhed er IEC 62443 , der omhandler cybersikkerheden i "Industrial Automation and Control Systems" (IACS), der forfølger en holistisk tilgang for operatører, integratorer og producenter - og altid bliver en i fremtiden i Industri 4.0 til mere og mere vigtigt.

Beskrivelser af vilkår

Mange af de følgende udtryk tolkes forskelligt afhængigt af forfatteren og det sproglige miljø.

For forkortelsen IT bruges udtrykket informationsteknologi synonymt med informationsteknologi . Den tekniske behandling og transmission af oplysninger er i forgrunden inden for IT.

På engelsk har det tyske udtryk IT -sikkerhed to forskellige udtryk. Egenskaben ved funktionel sikkerhed (engelsk: safety ) sikrer et system, der overholder den forventede funktionalitet, opfører sig. Det fungerer, som det skal. Informationssikkerhed (engelsk: Security ) refererer til beskyttelsen af ​​teknologisk behandling af oplysninger og er en egenskab ved et funktionelt pålideligt system. Det er beregnet til at forhindre uautoriseret manipulation af data eller videregivelse af oplysninger.

Begrebet informationssikkerhed refererer ofte til global informationssikkerhed , hvor antallet af mulige skadelige scenarier reduceres i opsummering eller indsatsen for at gå på kompromis for operatøren er i et ugunstigt forhold til den forventede informationsgevinst. Fra dette synspunkt er informationssikkerhed en økonomisk variabel, der f.eks. Må forventes i virksomheder og organisationer. Udtrykket vedrører også sikkerhed under et specifikt scenario . I denne forstand er informationssikkerhed til stede, når et angreb på systemet ikke længere er muligt via en allerede kendt rute. Man taler om en binær størrelse, fordi informationen enten kan være sikker eller ej, når man bruger denne særlige metode.

Følgende aspekter er inkluderet i det omfattende udtryk informationssikkerhed (beskyttelse af de behandlede oplysninger):

IT -sikkerhed

IT-sikkerhed spiller en central rolle i sikkerheden i socio-tekniske systemer . IT- eller IKT-systemer er en del af de socio-tekniske systemer. IT -sikkerhedens opgaver omfatter beskyttelse af organisationers (f.eks. Virksomheders) IKT -systemer mod trusler. Dette skal blandt andet forhindre økonomisk skade.

IT -sikkerhed er en del af informationssikkerhed . I modsætning til it -sikkerhed omfatter informationssikkerhed ikke kun sikkerheden i it -systemerne og de data, der er gemt i dem, men også sikkerheden ved oplysninger, der ikke behandles elektronisk; Et eksempel: "Principperne for informationssikkerhed" kan også anvendes på opskrifter på en restaurant, der er håndskrevet på papir (da opskriftenes fortrolighed, integritet og tilgængelighed kan være ekstremt vigtig for restauranten, selvom denne restaurant er helt uden brug af et it -system).

Computersikkerhed

Computersikkerhed : et computersystems sikkerhed før fejl (dette kaldes uplanlagt eller planlagt nedetid, Eng. Nedetid ) og manipulation (datasikkerhed) samt mod uautoriseret adgang.

Datasikkerhed

Datasikkerhed er et begreb, der ofte er forbundet med databeskyttelse og skal skelnes fra det: datasikkerhed har det tekniske mål at beskytte data af enhver art mod tab, manipulation og andre trusler i tilstrækkelig grad. Tilstrækkelig datasikkerhed er en forudsætning for effektiv databeskyttelse. Den BDSG kun nævner begrebet datasikkerhed i afsnit 9a i forbindelse med ” databeskyttelse revision ”, som også er ikke defineret nærmere .

Der er en tilgang kaldet data -centrisk sikkerhed, hvor sikkerheden for selve data er i forgrunden og ikke sikkerheden i netværk , servere eller applikationer.

backup af data

Datasikkerhedskopiering er (dt. Synonym med den engelsksprogede "backup" backup ), det var det oprindelige juridiske udtryk for datasikkerhed.

data beskyttelse

Databeskyttelse handler ikke om at beskytte generelle data mod skader, men om at beskytte personoplysninger mod misbrug ("databeskyttelse er personlig beskyttelse"). Beskyttelsen af personoplysninger er baseret på princippet om informativ selvbestemmelse . Dette blev fastlagt i BVerfG -dommen om folketællingen . Fortroligheden skal beskyttes, dvs. H. Personlighedsdata og anonymitet skal bevares. Ud over datasikkerhed kræver databeskyttelse udelukkelse af adgang til data med uautoriseret læsning af uautoriseret tredjepart. Den tyske føderale databeskyttelseslov ( BDSG ) beskriver i § 1 kun krav til håndtering af personoplysninger. GDPR og BDSG definerer ikke forskellen mellem udtrykkene databeskyttelse og datasikkerhed. Kun hvis der træffes passende beskyttelsesforanstaltninger, kan det antages, at fortrolige eller personlige data ikke falder i hænderne på uautoriserede personer. Som regel taler man her om tekniske og organisatoriske foranstaltninger til databeskyttelse, som især er beskrevet i artikel 32 GDPR, BDSG og i statens databeskyttelseslove .

Informationssikkerhedsmotivation og mål

Information (eller data) er varer, der er værd at beskytte. Adgangen til disse bør begrænses og kontrolleres. Kun autoriserede brugere eller programmer har adgang til oplysningerne. Beskyttelse mål defineres for at opnå eller opretholde informationssikkerhed og dermed at beskytte data fra beregnet angreb af it-systemer:

  • Generelle beskyttelsesmål:
    • Fortrolighed (engelsk: fortrolighed ): Data må kun læses eller ændres af autoriserede brugere, dette gælder både for adgang til lagrede data såvel som under dataoverførsel .
    • Integritet (engelsk: integritet ): Data må ikke ændres ubemærket. Alle ændringer skal kunne spores.
    • Tilgængelighed (engelsk: tilgængelighed ): forebyggelse af systemfejl; Adgang til data skal garanteres inden for en aftalt tidsramme.
  • Yderligere beskyttelsesmål for informationssikkerhed:
    • Autenticitet (engelsk: ægthed ) betegner egenskaberne ved et objekts hurtighed, testbarhed og pålidelighed.
    • Ansvar / ikke-afvisning (engelsk: non repudiation ): Det kræver, at "ingen ulovlig fornægtelse udført handlinger" er mulig. Det er blandt andet vigtigt, når der indgås kontrakter elektronisk. Det kan f.eks. Nås via elektroniske signaturer .
    • Ansvarlighed (engelsk: ansvarlighed ): "En undersøgelse, der er udført, kan klart tildeles en kommunikationspartner."
    • i en bestemt kontekst (f.eks. på Internettet) også anonymitet
  • Særligt beskyttelsesmål i forbindelse med GDPR :
    • Resilience (engelsk: resilience ): modstand / modstandsdygtighed over for Ausspähungen, fejlagtig eller bevidst interferens eller bevidst skade (sabotage)

Hvert it -system, uanset hvor godt planlagt og implementeret det er, kan have svage sider . Hvis visse angreb for at omgå de eksisterende sikkerhedsforanstaltninger er mulige, er systemet sårbart . Bruger en angriber en svaghed eller sårbarhed over for indtrængen i et it -system, fortrolighed, dataintegritet og tilgængelighed er truet (engelsk: trussel ). For virksomheder betyder angreb på beskyttelsesmålene angreb på reelle virksomhedsværdier , normalt tapping eller ændring af interne virksomhedsoplysninger. Enhver trussel er en risiko (engelsk: risiko ) for virksomheden. Virksomheder forsøger ved hjælp af risikostyring (engelsk: risikostyring ) sandsynligheden for, at der opstår skader og den deraf følgende skadebeløb, der skal bestemmes.

Efter en risikoanalyse og evaluering af de virksomhedsspecifikke IT-systemer kan passende beskyttelsesmål defineres. Dette efterfølges af valg af IT -sikkerhedsforanstaltninger til de respektive forretningsprocesser i en virksomhed. Denne proces er en af ​​aktiviteterne i IT -sikkerhedsstyring. En standardiseret procedure er muliggjort ved brug af IT -standarder.

Som en del af it -sikkerhedsstyring vælges og implementeres de relevante it -sikkerhedsstandarder . Til dette formål er der forskellige standarder inden for IT -sikkerhedsstyring. Ved hjælp af ISO / IEC 27001 eller IT-Grundschutz- standarden forsøger man at bruge anerkendte regler til at reducere kompleksiteten af socio-tekniske systemer inden for IT-sikkerhedsstyring og finde et passende informationssikkerhedsniveau .

Betydningen af ​​informationssikkerhed

I den ( personlige ) computers tidlige barndom forstås computersikkerhed som at sikre den korrekte funktionalitet af hardware (fejl på f.eks. Bånddrev eller andre mekaniske komponenter) og software (korrekt installation og vedligeholdelse af programmer). Over tid ændrede kravene til computere ( internet , lagermedier ); computersikkerhedsopgaver skulle designes anderledes. Således er konceptet med computersikkerhed stadig foranderligt.

I dag er private og offentlige virksomheder afhængige af it -systemer på alle områder af deres forretningsaktiviteter og privatpersoner i de fleste spørgsmål i dagligdagen. Da risikoen for it -systemer i virksomheder ud over afhængigheden normalt er større end for computere og netværk i private husholdninger, er informationssikkerhed overvejende virksomhedernes ansvar.

Tilsvarende forpligtelser kan udledes af de forskellige love om selskabsret, ansvarsret, databeskyttelse, banklov osv. I hele den tysktalende region. Informationssikkerhed er en komponent i risikostyring der . Internationalt spiller regler som Basel II og Sarbanes-Oxley Act en vigtig rolle.

Trusler

brændt bærbar computer

Forskellige scenarier for et angreb kan forestilles i IT -sikkerhed. En manipulation af dataene på et websted via en såkaldt SQL-injektion er et eksempel. Nogle angreb, mål og årsager er beskrevet nedenfor:

Angreb og beskyttelse

Et angreb på databeskyttelse eller datasikkerhed (repræsenteret ved f.eks. Et computersystem) forstås at betyde enhver proces, hvis resultat eller mål er tab af databeskyttelse eller datasikkerhed. Teknisk fejl vurderes også som et angreb i denne forstand.

Statistisk sikkerhed : Et system anses for at være sikkert, hvis angriberen har større indsats for at bryde ind i systemet end den resulterende fordel. Det er derfor vigtigt at sætte hindringerne for et vellykket indbrud så højt som muligt og dermed reducere risikoen .

Absolut sikkerhed : Et system er absolut sikkert, hvis det kan modstå alle tænkelige angreb. Absolut sikkerhed kan kun opnås under særlige forhold, der ofte begrænser systemets arbejdsevne betydeligt (isolerede systemer, få og højt kvalificerede adgangsgodkendte personer).

Manglen på computersikkerhed er en kompleks trussel, der kun kan besvares af sofistikerede forsvar. Køb og installation af software er ikke en erstatning for en omhyggelig analyse af risici, mulige tab, forsvars- og sikkerhedsbestemmelser.

Når sikkerheden i et system er blevet overtrådt, skal det ses som kompromitteret , hvilket kræver foranstaltninger for at forhindre yderligere skade og om nødvendigt at gendanne data.

Effekter eller mål

  • Teknisk systemfejl
  • Systemmisbrug, gennem ulovlig brug af ressourcer, ændringer af offentliggjort indhold osv.
  • sabotage
  • spionage
  • Svindel og tyveri

Årsager eller midler

Den føderale kontor for informationssikkerhed (BSI) klassificerer de forskellige angrebsmetoder og midler til:

Desuden kan ovennævnte effekter også opnås

Virus, orme, trojanske heste

Mens hele spektret af computersikkerhedsspørgsmål overvejes i virksomhedsmiljøet, forbinder mange private brugere udtrykket primært med beskyttelse mod virus og orme eller spyware såsom trojanske heste.

De første computervira var stadig ganske ufarlige og tjente kun til at påpege forskellige svage punkter i computersystemer. Men det blev hurtigt indset, at vira er i stand til meget mere. En hurtig udvikling af malware begyndte og udvidelse af deres muligheder - fra simpelthen sletning af filer til spionage på data (f.eks. Adgangskoder) til åbning af computeren for eksterne brugere ( bagdør ).

Der er nu forskellige byggesæt på Internettet, der ikke kun giver instruktioner, men også alle de nødvendige komponenter til enkel programmering af vira. Sidst men ikke mindst smugler kriminelle organisationer virus ind på pc'er for at kunne bruge dem til deres egne formål ( UBE / UCE , DoS -angreb osv.). Dette har resulteret i enorme botnets , der også ulovligt lejes ud.

foranstaltninger

Foranstaltningerne skal tilpasses værdien af ​​virksomhedens værdier, der skal beskyttes som led i skabelsen af ​​et sikkerhedskoncept . For mange foranstaltninger betyder for høje økonomiske, organisatoriske eller personaleudgifter. Acceptproblemer opstår, når medarbejderne ikke er tilstrækkeligt involveret i IT -sikkerhedsprocessen. Hvis der implementeres for få foranstaltninger, forbliver nyttige sikkerhedshuller åbne for angribere.

ledelse

Informationssikkerhed er grundlæggende en opgave for ledelsen af ​​en organisation eller en virksomhed og bør organiseres efter en top-down tilgang. Især er vedtagelsen af ​​informationsbeskyttelse og retningslinjer for sikkerhed (engelsk: Sikkerhedspolitik ) den øverste ledelses ansvar. En anden ledelsesopgave kan være introduktion og drift af et informationssikkerhedsstyringssystem (ISMS) . Denne er ansvarlig for den operationelle implementering og kontrol af sikkerhedspolitikken. Disse foranstaltninger har til formål at skabe passende organisations- og ledelsesstrukturer til beskyttelse af virksomheders værdier. Yderligere oplysninger findes i artiklen IT -sikkerhedsstyring .

Operationelle foranstaltninger

Foranstaltningerne omfatter fysisk eller rumlig sikkerhed for data, adgangskontrol , opsætning af fejltolerante systemer og foranstaltninger til datasikkerhed og kryptering . En vigtig forudsætning er sikkerheden i processystemerne. Et effektivt sikkerhedskoncept tager imidlertid også hensyn til organisatoriske og personalemæssige foranstaltninger ud over tekniske foranstaltninger.

De sikkerhedsforanstaltninger, der kan træffes af alle, der er ansvarlige for informationssikkerhed i virksomheder , men frem for alt af private brugere af computere og netværk til informationssikkerhed, omfatter følgende punkter.

Adgangskontrol

Godkendt adgang til computersystemer og applikationssoftware skal garanteres gennem pålidelig og sikker adgangskontrol . Dette kan implementeres med individuelle brugernavne og tilstrækkeligt komplekse adgangskoder og især med andre faktorer (se også tofaktorautentificering ), såsom transaktionsnumre eller sikkerhedstokener .

Brug begrænsede brugerkonti

Det Systemadministratoren er tilladt at foretage dybtgående ændringer i en computer. Dette kræver tilstrækkeligt kendskab til farerne, og det er alt andet end tilrådeligt for normale brugere at surfe på Internettet , downloade filer eller e-mails med administratorrettigheder . Moderne operativsystemer har derfor mulighed for at begrænse brugerrettigheder , så f.eks. Systemfiler ikke kan ændres.

Begrænsende konfiguration

Brugerbegrænsede brugerkonti til dagligt arbejde forhindrer kompromittering af selve operativsystemet , systemkonfigurationen og den (beskyttede) applikation installeret og systemprogrammer, men beskytter ikke mod kompromittering af brugerdata og brugerkonfiguration: under begrænsede brugerkonti er alle programmer (til Shell -scripts eller batchfiler er også eksekverbare, selvom meget få brugere endda bruger denne mulighed.

Da brugere typisk (kun) bruger de programmer, der følger med operativsystemet, og dem, der er installeret af deres administrator, er det muligt at give brugerne kun rettigheder til at eksekvere filer, hvor operativsystemet og de installerede programmer er gemt (og ikke kan skrives til) ), og at blive trukket tilbage, uanset hvor du selv kan skrive. Ondsindede programmer, der f.eks. Downloades fra et inficeret websted og gemmes i browserens cache som såkaldt " drive-by-download " uden at blive opdaget af brugeren , gøres således uskadelige.

Nuværende versioner af Microsoft Windows tillader implementering af denne begrænsning med de såkaldte "software restriction guidelines" alias "SAFER".

De nuværende DEP -operativsystemer anvender den samme begrænsning i virtuel hukommelse .

Hold software opdateret

Opdateringer tilbydes (regelmæssigt) til mange programmer . Disse tilbyder ikke kun ændret eller forbedret funktionalitet, men løser ofte også sikkerhedshuller og programfejl . Programmer, der kommunikerer med internettet via netværk , f.eks. Operativsystemer , browsere , beskyttelsesprogrammer eller e-mail- programmer, påvirkes især .

Sikkerhedsrelevante softwareopdateringer bør installeres så hurtigt som muligt fra verificerbare og pålidelige kilder på de relevante computersystemer. Mange Internet of Things -enheder og -programmer tilbyder en automatisk funktion, der opdaterer softwaren i baggrunden uden brugerindgreb ved at downloade den opdaterede software direkte fra Internettet.

Afinstaller forældet, usikker og ubrugt software

Software, hvis producent har afbrudt vedligeholdelse, såkaldt End of Life (EOL), som er usikker, eller som ikke længere bruges, skal afinstalleres for at sikre beskyttelse.

Lav sikkerhedskopier

Mindst én sikkerhedskopi af hver vigtig fil skal laves på et separat lagermedium . Der er for eksempel backup -software, der udfører disse opgaver regelmæssigt og automatisk. Som led i tilbagevendende vedligeholdelsesarbejde skal sikkerhedskopier, der foretages, kontrolleres for integritet, fortrolighed og tilgængelighed.

I erhvervssektoren er backup -løsninger med lokal afstand, såsom et andet datacenter med redundant spejling samt cloud -løsninger mulige. Disse løsninger er ofte dyre. Forbedring af datasikkerhed gennem sikkerhedskopier er billigere i den private sektor. Afhængigt af datamængden kan mindre flytbare medier, såsom DVD eller Blu-ray samt eksterne (USB) harddiske eller NAS- systemer bruges til sikkerhedskopiering.

I princippet bør dataenes relevans til erhvervsmæssige eller private formål bestemme typen og hyppigheden af ​​sikkerhedskopien samt antallet af sikkerhedskopier.

Brug antivirussoftware

Når data hentes fra Internettet eller fra mailservere eller kopieres fra datalagringsmedier , er der altid mulighed for, at der også findes ondsindede filer blandt dem. For at undgå kompromis bør der kun åbnes filer eller vedhæftede filer, som du har tillid til, eller som anerkendes som ufarlige af et antivirusprogram . hverken tillid eller antivirusprogrammer kan imidlertid beskytte mod alle ondsindede filer: en troværdig kilde kan i sig selv blive inficeret, og antivirusprogrammer kan ikke opdage ny eller ukendt malware. Også med denne software skal det sikres, at den opdateres regelmæssigt (muligvis endda flere gange om dagen). Antivirusprogrammer har ofte selv skadelige bivirkninger: de (regelmæssigt) genkender ufarlige systemfiler ved en fejl ved at være "inficeret" og fjerner dem, hvorefter operativsystemet ikke længere fungerer (korrekt) eller slet ikke starter. Ligesom alle computerprogrammer har de også selv fejl og sikkerhedshuller, så computersystemet kan være mere usikkert end før eller ikke blive mere sikkert efter installationen. Derudover luller de den typiske bruger til vildledende sikkerhed med deres reklameudtalelser som f.eks. "Tilbyder omfattende beskyttelse mod alle trusler" og kan få dem til at opføre sig mere risikabelt. Ondsindede programmer er normalt rettet mod specielle og ofte udbredte operativsystemer eller ofte anvendte browsere .

Diversificering

En anden foranstaltning til at reducere risiciene er diversificering af software, dvs. brug af software fra forskellige, endda ikke-markedsledende udbydere. Angrebene fra crackere er ofte rettet mod produkter fra store leverandører, fordi de opnår den største gevinst med kriminelle angreb og ellers opnå den størst ”berømmelse”. I denne henseende kan det være tilrådeligt at bruge produkter fra mindre og mindre kendte virksomheder eller for eksempel open source- software.

Brug firewalls

For angreb, der truer uden brugerens aktive indgriben, er det vigtigt at installere en netværks firewall eller personlig firewall . En masse uønsket adgang til computeren og utilsigtet adgang fra egen computer, som brugeren normalt går ubemærket hen, kan forhindres på denne måde. Konfigurationen af ​​en firewall er ikke triviel og kræver en vis viden om processer og farer.

Sandkasser

"Sandkasser" låser et potentielt skadeligt program. I værste fald kan programmet kun ødelægge sandkassen. For eksempel er der ingen grund til, at en PDF -læser skal have adgang til OpenOffice -dokumenter. I dette tilfælde ville sandkassen være "alle PDF -dokumenter og intet andet". Teknikker som AppArmor og SELinux muliggør konstruktion af en sandkasse.

Deaktiver aktivt indhold

Når aktivt indhold er funktionalitet, der forenkler betjeningen af ​​en computer. Den automatiske åbning eller udførelse af downloadede filer medfører imidlertid risiko for, at de udfører ondsindet kode og inficerer computeren . For at undgå dette bør aktivt indhold som ActiveX , Java eller JavaScript deaktiveres så langt som muligt.

Krypter følsomme data

Data, der ikke bør falde i hænderne på tredjemand, kan beskyttes med passende foranstaltninger, f.eks. GPG -softwaren eller harddiskkryptering (se også kryptografi ). Dette påvirker ikke kun data, der er i transit mellem to computere, men også data, der er stationære på masselagringsenheder . Et typisk eksempel er transmission af kreditkortnumre under online shopping, som ofte er beskyttet via HTTPS . Indholdet kan kun tilgås, hvis den ene part har den korrekte nøgle . Ukrypterede, trådløse netværk såsom åbne WLAN'er er særligt udsatte . Hvis der ikke er truffet yderligere beskyttelsesforanstaltninger, som f.eks B. brugen af ​​en VPN har uautoriserede personer potentielt ubemærket adgang til de overførte data.

Datasikkerhed er også et ekstremt følsomt spørgsmål for myndigheder og virksomheder, især med hensyn til datatransport. Forretningsprocesser kræver gentagne gange mobil tilgængelighed af forsknings-, finans-, kunde- eller kontodata. Når det kommer til datalagring og datatransport, skal myndigheder og virksomheder kunne stole på det højeste sikkerhedsniveau. Hvis følsomme data kommer i uautoriserede hænder, resulterer dette normalt i uoprettelig skade, især hvis dataene formidles eller misbruges. For at forhindre dette og sikre det højeste datasikkerhedsniveau for mobildatatransport skal kriterier som f.eks. Dataintegritet (se godkendelse ) og nøglelivscyklussen overholdes ud over datakrypteringskriteriet .

Det ønskede datasikkerhedsniveau bestemmer de anbefalede krypteringsmetoder og krypteringsstyrker. For applikationer med symmetrisk kryptering anbefaler BSI (Tyskland) AES -krypteringsmetoden med en nøglelængde på 128 bit eller mere. CCM , GCM , CBC og CTR anbefales som driftstilstande .

Adgangskoder , personlige identifikationsnumre (PIN) og transaktionsnumre ( TAN) bør ikke gemmes eller overføres ukrypteret.

Logning

Automatisk genererede protokoller eller logfiler kan hjælpe med at bestemme på et senere tidspunkt, hvordan skader på et computersystem opstod.

Brug sikre udviklingssystemer og runtime -miljøer

Til generering og vedligeholdelse af sikker software er det meget nyttigt at programmere på en struktureret måde under softwareudvikling og at bruge let håndterbare og lærbare værktøjer, der tillader de smallest mulige synlighedsregler og indkapslede programmoduler med klart definerede grænseflader . Begrænset frihed i programmering, f.eks. Begrænsning til simpel arv eller forbud mod cirkulære referencer eller kritiske konverteringer , begrænser normalt også potentialet for programfejl . Det er også fornuftigt og nyttigt at genbruge software, der allerede er blevet testet ved hjælp af passende foranstaltninger, såsom brug af procedurer eller objektorienterede datastrukturer .

Udviklere af software, der bruges til sikker udveksling af data mellem computere, skal bruge moderne udviklingssystemer og programmeringssprog , da ældre systemer ofte har sikkerhedshuller og ikke har den passende sikkerhedsfunktion. Sikker software kan kun køre i passende, moderne og sikre runtime -miljøer og bør oprettes med udviklingsværktøjer (f.eks. Kompilatorer ), der tilbyder det højest mulige niveau af iboende sikkerhed, såsom modulsikkerhed, typesikkerhed eller undgåelse af bufferoverløb .

Selv med enheder, der ikke drives i et computernetværk eller i tingenes internet , kan informationssikkerheden øges gennem egnede udviklingssystemer og runtime -miljøer. Tab af data på grund af upålidelig programkode ( computernedbrud ) kan f.eks. Forhindres ved kompilatorgenereret kontrol af indeks for datafelter , ugyldige pointers eller, efter forekomst af programfejl, ved håndtering af undtagelser i runtime-miljøet. Desuden er det vigtigt i objektorienterede runtime-miljøer og også sikrere i andre systemer at udføre en automatisk skraldespand, så lagerplads ikke frigøres ved et uheld.

Nogle udviklere er afhængige af verifikation af programkode for at forbedre softwareens korrekthed . Desuden er det muligt at kontrollere allerede implementeret software ved hjælp af visse metoder, f.eks. Brugen af bevisbærende kode , kun under løbetiden og forhindre dens udførelse, hvis sikkerhedsretningslinjer ikke overholdes .

Bevidstgørelse og styrke medarbejderne

Et vigtigt aspekt i forbindelse med gennemførelsen af sikkerhed retningslinjer henvender ens egne medarbejdere, dannelsen af såkaldte it-sikkerhed bevidsthed . Her kræver de første arbejdsdommere bevis for, at medarbejderne er blevet følsomme i tilfælde af en mulig overtrædelse af virksomhedens retningslinjer. Denne menneskelige side af informationssikkerhed får også yderligere betydning, da industriel spionage eller målrettet, økonomisk motiveret sabotage mod virksomheder ikke udelukkende udføres med tekniske midler. For at skade deres ofre eller stjæle oplysninger bruger angriberne f.eks. Social engineering , som kun kan afværges, hvis medarbejderne er informeret om angribernes mulige tricks og har lært, hvordan de skal håndtere potentielle angreb. Medarbejdernes bevidstgørelse varierer typisk fra virksomhed til virksomhed, fra ansigt til ansigt begivenheder til webbaserede seminarer til bevidstgørelseskampagner.

Fokus flytter sig nu her fra den rene bevidsthed ("bevidsthed") mod kvalifikationen (" empowerment ") brugeren til at tage ansvar for større sikkerhed i håndteringen af ​​it-baseret information at levere. I virksomheder er direktørernes "informationssikkerhedsbeføjelse" af særlig betydning, da de har en rollemodelfunktion for deres afdelingsmedarbejdere og er ansvarlige for at sikre, at sikkerhedsretningslinjerne for deres ansvarsområde matcher arbejdsprocesserne der - en vigtig forudsætning for accept.

En oversigt over standarder, bedste praksis og uddannelse

Internationale standarder findes for at evaluere og certificere den sikkerhed af edb-systemer . Vigtige standarder i denne sammenhæng var de amerikanske TCSEC og de europæiske ITSEC -standarder. Begge blev erstattet af den nyere Common Criteria -standard i 1996 . Evalueringen og certificeringen af ​​it -produkter og -systemer i Tyskland foretages normalt af forbundskontoret for informationssikkerhed (BSI).

IT-sikkerhedsstyringens opgave er systematisk at sikre et informationsbehandlende IT-netværk. Risici for informationssikkerhed eller trusler mod databeskyttelse i en virksomhed eller organisation skal forhindres eller afværges. Valg og implementering af it -sikkerhedsstandarder er en af ​​opgaverne i IT -sikkerhedsstyring. IT -sikkerhedsstyringsstandarder er f.eks.

  • IT -grundlæggende beskyttelse af BSI
    • De IT-Grundschutz Kataloger definere specifikke foranstaltninger for de forskellige aspekter af en it-landskab, der skal være opfyldt for at opretholde sikkerhed med kravene lav og medium beskyttelse ( vask underkjoler ). For systemer med høje krav til beskyttelse indeholder de grundlæggende beskyttelseskataloger en struktureret procedure til identifikation af de nødvendige foranstaltninger. De grundlæggende beskyttelseskataloger kendes primært i Tyskland, men er også tilgængelige på engelsk.
  • ISO / IEC 27001 : Standard for informationssikkerhedsstyringssystemer (ISMS)
  • ISO / IEC 27002 : Vejledning til styring af informationssikkerhed (tidligere ISO / IEC17799: 2005)

Den mest udbredte på verdensplan er ISO / IEC 27001 standarden.

Yderligere standarder kan findes i

Udover standarderne for informationssikkerhed er der også standarder for uddannelse af sikkerhedsspecialister. De vigtigste er certificeringerne for Certified Information Security Manager (CISM) og Certified Information Systems Auditor (CISA) fra ISACA , certificeringen for Certified Information Systems Security Professional (CISSP) fra International Information Systems Security Certification Consortium (ISC) ², Security + certificering fra CompTIA , TeleTrusT Information Security Professional (TISP) certificering fra TeleTrusT - Bundesverband IT -Sicherheit e. V. samt GIAC -certificeringerne fra SANS Institute. Listen over it -certifikater giver et udvidet overblik .

Revisioner og certificeringer

For at garantere et vist standard informationssikkerhedsniveau er den regelmæssige gennemgang af foranstaltninger til risikominimering og decimering obligatorisk. Også her kommer organisatoriske og tekniske aspekter frem.

Teknisk sikkerhed kan f.eks. Opnås ved hjælp af foranstaltninger såsom regelmæssige penetrationstests eller komplette sikkerhedsrevisioner for at identificere og eliminere eventuelle sikkerhedsrisici inden for informationsteknologiske systemer, applikationer og / eller i informationsteknologisk infrastruktur .

Organisatorisk sikkerhed kan opnås og kontrolleres gennem revisioner fra de relevante specialistafdelinger i en organisation. For eksempel kan foruddefinerede testtrin eller kontrolpunkter i en proces testes under en revision.

Foranstaltninger til yderligere risikominimering eller decimering kan udledes af resultaterne af de vidtrækkende verifikationsmetoder. En metode som beskrevet i dette afsnit er direkte i overensstemmelse med standarder som ISO / IEC 27001 , BS 7799 eller lovpligtige regler. Her kræves i de fleste tilfælde en direkte sporbarhed af informationssikkerhedsprocesser ved at kræve, at virksomheder implementerer risikostyring .

Implementeringsområder

Der findes en række initiativer i Tyskland for at øge bevidstheden om farerne inden for it -sikkerhed og identificere mulige modforanstaltninger. Disse omfatter Cyber ​​Security Council Germany eV, Association Germany Safe in the Net , Alliance for Cyber ​​Security og Cybercrime Security Cooperation .

Private husstande

Programmeringsfejl i næsten enhver software gør det praktisk talt umuligt at opnå sikkerhed mod enhver form for angreb. Ved at forbinde computere med følsomme data ( f.eks. Hjemmebank , behandling af afhandlingen ) til Internettet kan disse svage punkter også bruges eksternt. Standarden for it -sikkerhed i private husstande er lavere, fordi der næsten ikke træffes foranstaltninger til sikring af infrastrukturen ( f.eks. Uafbrydelig strømforsyning , indbrudssikring).

Men private husstande har stadig også underskud på andre områder.

Mange private brugere har endnu ikke forstået, at det er vigtigt at tilpasse konfigurationen af ​​den anvendte software til de respektive behov. Med mange computere tilsluttet internettet er det ikke nødvendigt, at serverprogrammer kører på dem . Server -tjenester indlæses af mange operativsystemer i standardinstallationen; deaktivering af dem lukker en række vigtige angrebspunkter.

Sikkerhedsaspekter såsom etablering af adgangsrestriktioner er også fremmed for mange brugere. Det er også vigtigt at finde ud af om svagheder i den anvendte software og regelmæssigt installere opdateringer.

Computersikkerhed omfatter ikke kun forebyggende brug af tekniske værktøjer såsom firewalls , indtrængningsdetekteringssystemer osv., Men også en organisatorisk ramme i form af gennemtænkte principper (politik, strategi), der inkluderer mennesker som brugere af værktøjerne i systemet. Alt for ofte lykkes hackere for at få adgang til følsomme data ved at udnytte en for svag adgangskode eller gennem såkaldt social engineering .

IT -sikkerhed hos sparekasser og banker

Resultaterne af Basel II , reglerne for BaFin og KWG samt de individuelle revisioner af sammenslutninger af sparekasser og banker bidrog til at fremskynde processen og understrege dens betydning . Både ekstern og intern revision er i stigende grad rettet mod dette emne. Samtidig blev der skabt en omfattende række services til implementering af forskellige projekter, der har til formål at etablere en it -sikkerhedsproces i virksomheder. Udbydere kan findes både inden for den respektive virksomhedsgruppe og på det eksterne marked. For andre finansielle serviceinstitutter, forsikringsselskaber og værdipapirhandelsvirksomheder vil konceptet generelt være identisk, selvom andre love f.eks. Også kan spille en rolle her.

IT -sikkerhed hos andre virksomheder

Selvom lovgivningen og revisionerne i andre sektorer af økonomien stiller færre krav, bevarer IT -sikkerhed sin høje prioritet. Hjælp giver gratis IT Baseline Protection Catalogs af BSI .

På grund af det stigende netværk af forskellige grene z. For eksempel i tilfælde af virksomhedsopkøb bliver sikring af it -systemer vigtigere. Dataoverførsel fra et internt, lukket netværk via en ekstern, offentlig forbindelse til det andet sted skaber risikable situationer.

Implikationerne for virksomhederne omfatter:

  • Tab af data,
  • Manipulation af data,
  • upålidelig modtagelse af data,
  • forsinket tilgængelighed af data,
  • Afkobling af systemer til operationel virksomhed,
  • uautoriseret brug af data,
  • Manglende udviklingsevne for de anvendte systemer.

Men faren er ikke kun ved intern virksomhedsdataudveksling, applikationer overføres i stigende grad direkte til brugere, eller eksterne medarbejdere eller endda outsourcede tjenesteudbydere kan få adgang til data, der er gemt i virksomheden og redigere og administrere dem. For at få adgangstilladelse skal godkendelse også være mulig samt dokumentation af de handlinger, der er foretaget og ændret.

Efter dette emne opstår nye krav til de eksisterende sikkerhedskoncepter. Derudover er der de lovkrav, der også skal integreres i it -sikkerhedskonceptet. De relevante love kontrolleres af eksterne og interne revisorer. Da der ikke er blevet defineret metoder til at opnå disse resultater, er der blevet udviklet forskellige "best practice" -metoder for de respektive områder, såsom ITIL , COBIT , ISO eller Basel II .

Metoden her er at styre og kontrollere en virksomhed på en sådan måde, at de relevante og mulige risici dækkes. Som standard for den såkaldte IT-styring er de obligatoriske, dvs. love ( HGB , AO , GOB) og ekspertrapporter ( Sarbanes-Oxley Act , 8. EU-revisionsdirektiv) og de understøttende ("Best Practice Method") blive set.

Det betyder at identificere, analysere og evaluere disse risici. At muliggøre oprettelsen af ​​et holistisk sikkerhedskoncept baseret på dette. Dette omfatter ikke kun de anvendte teknologier, men også organisatoriske foranstaltninger såsom definition af ansvar, autorisationer, kontrolorganer eller konceptuelle aspekter såsom minimumskrav til visse sikkerhedsfunktioner.

Så særlige krav stilles nu til EDP:

  1. Forebyggelse af manipulation
  2. Bevis for indgreb
  3. Installation af tidlige varslingssystemer
  4. Interne kontrolsystemer

Det skal bemærkes, at automatiseringsdata gemmes på en sådan måde, at de til enhver tid kan læses, forstås og er konsekvente. For at gøre dette skal disse data beskyttes mod manipulation og sletning. Enhver ændring skal udløse versionsstyring, og rapporter og statistikker om processerne og deres ændringer skal være direkte tilgængelige centralt.

Et middel her kan være højt udviklede automatiseringsløsninger. Fordi mindre manuel indgriben er nødvendig, er potentielle farekilder udelukket. Datacenterautomatiseringen dækker således følgende områder:

  • Procesforløb som en risikofaktor
  • Risikofaktorressourcer
  • Teknologi som en risikofaktor
  • Tid som en risikofaktor

IT -sikkerhed i offentlige institutioner og myndigheder

På dette område er BSI's IT-Grundschutz-kataloger standardværker. I høj grad modtager disse bureauer den tilhørende GSTOOL , som forenkler implementeringen betydeligt, gratis.

Juridiske rammer

Corporate governance kan ses som en ramme for it -sikkerhed. Udtrykket kommer fra strategisk ledelse og beskriver en proces til kontrol af en privat virksomhed. En balance mellem de forskellige interessegrupper ( interessenter ) søges gennem regler og kontrolmekanismer . Processen tjener til at vedligeholde virksomheden og er genstand for regelmæssige eksterne anmeldelser.

Lov om god selskabsledelse

Med det formål bedre overvågning af virksomhedsledelse og at gøre det lettere for udenlandske investorer at få adgang til oplysninger om virksomheder (gennemsigtighed ) trådte loven om kontrol og gennemsigtighed i virksomhedssektoren (KonTraG) i kraft i maj 1998 . Hovedemnet for de vidtrækkende ændringer i Commercial Code (HGB) og Stock Corporation Act (AktG) var indførelsen af ​​et tidligt risikodetekteringssystem for at identificere risici, der kunne bringe virksomhedens fortsatte eksistens i fare. Hver kapital markedsorienteret virksomhed måtte etablere et sådant system og offentliggøre selskabets risici i ledelsesberetningen af de årlige regnskaber .

Sarbanes-Oxley Act (SOX), der trådte i kraft i juli 2002 , havde til formål at genoprette investorers tabte tillid til de offentliggjorte balancedata fra amerikanske virksomheder. Datterselskaber til amerikanske selskaber i udlandet og ikke-amerikanske virksomheder, der handles på amerikanske børser, er også omfattet af denne regulering. Loven foreskriver ikke eksplicit forholdsregler inden for it -sikkerhed, såsom indførelse af et ISMS. Fejlfri rapportering om interne virksomhedsdata er kun mulig gennem pålidelige IT -processer og tilstrækkelig beskyttelse af de anvendte data. En overholdelse af SOX er derfor kun mulig ved hjælp af foranstaltninger til it -sikkerhed.

Det ottende europæiske direktiv 2006/43 / EF (også kaldet "EuroSOX") blev oprettet baseret på den amerikanske SOX -lov og trådte i kraft i juni 2006. Den beskriver minimumskravene til en virksomhed for risikostyring og definerer revisors pligter .

Den tyske implementering af den europæiske EuroSOX fandt sted i lov om modernisering af regnskabsloven (BilMoG). Det trådte i kraft i maj 2009. Med henblik på harmonisering med europæisk lov ændrede loven nogle love, såsom HGB og Stock Corporation Act . Blandt andet skal virksomheder som f.eks. En AG eller et GmbH i henhold til § 289 i den tyske handelslov (HGB), afsnit 5, præsentere væsentlige egenskaber ved deres interne kontrolsystem (ICS) i ledelsesberetningen for den årlige finansielle udsagn.

I de europæiske forordningsdirektiv om kapitalkrav (Basel I) fra 1988 og direktivet om grundlæggende solvenskapitalkrav fra 1973 (opdateret i 2002; senere omtalt som solvens I) blev mange individuelle love samlet under et paraplybegreb. Disse regler, der er vigtige for kreditinstitutter og forsikringsselskaber , indeholdt mange svagheder. De nye regler Basel II for banker (EU-dækkende siden januar 2007) og Solvens II for forsikringsselskaber (gældende siden januar 2016) indeholder mere moderne regler for risikostyring. Basel III -successionsplanen har været på plads siden 2013 og bør være fuldt implementeret inden 2019.

Databeskyttelseslove

Den første version af Federal Data Protection Act (BDSG) med navnet på loven om beskyttelse mod misbrug af personoplysninger i databehandlingen blev vedtaget den 27. januar 1977 ( BGBl. I s. 201 ). Under indtryk af den såkaldte folketællingsafgørelse fra 1983 satte loven om videreudvikling af databehandling og databeskyttelse af 20. december 1990 en ny version af BDSG i kraft den 1. juni 1991 ( BGBl. 1990 I s. 2954, 2955 ). En af de mange lovændringer trådte i kraft i august 2002. Det tjente til at tilpasse loven til direktiv 95/46 / EF (databeskyttelsesdirektiv) .

Ud over BDSG er der andre lovbestemmelser i Tyskland, der kræver indførelse og drift af et ISMS. Disse omfatter Telemedia Act (TMG) og Telecommunications Act (TKG).

Beskyttelsen af ​​privatlivets fred i Storbritannien er siden 1984 blevet reguleret af databeskyttelsesloven (DPA). I den originale version tilbød dette minimal databeskyttelse. Behandlingen af ​​personoplysninger blev i 1998 erstattet af en ny version af DPA. Dette trådte i kraft i 2000 og bragte britisk lov i overensstemmelse med EF -direktiv 95/46 / EF. I Storbritannien i 2001 forpligtede den britiske regering alle ministerier til at overholde BS 7799 . Implementeringen af ​​et ISMS gør det lettere for britiske virksomheder at påvise overholdelse af DPA.

Den generelle databeskyttelsesforordning tilsidesætter direktiv 95/46 / EF. Det trådte i kraft den 24. maj 2016 og gælder umiddelbart i alle stater i Den Europæiske Union fra den 25. maj 2018. De tidligere nationale regler som f.eks. Den engelske databeskyttelsesmyndighed og det tyske BDSG bliver udskiftet eller revideret for at opfylde lovgivningsmandaterne i forordningen til den nationale lovgiver.

IT -sikkerhedslovgivning

I lyset af terrorangreb og af militære årsager bliver beskyttelsen af ​​kritiske infrastrukturer mod cyberangreb stadig vigtigere i Tyskland og andre lande. Til dette formål trådte en artikellov om øget sikkerhed i informationsteknologiske systemer (IT Security Act, ITSiG) i kraft den 25. juli 2015 . Loven tildeler forbundskontoret for informationssikkerhed den centrale rolle i beskyttelsen af ​​kritiske infrastrukturer i Tyskland.

Til dette formål blev BSI-loven suppleret med sikkerhedskrav til såkaldte "kritiske infrastrukturer". Disse er faciliteter, systemer eller dele deraf

  • tilhører sektorerne energi, informationsteknologi og telekommunikation, transport og trafik, sundhed, vand, ernæring og finansiering og forsikring, og
  • er af stor betydning for samfundets funktion, fordi deres fiasko eller forringelse ville resultere i betydelige flaskehalse i udbuddet eller trusler mod den offentlige sikkerhed.

I en tilhørende regulering KRITIS-regulering (BSI-KritisV) er det præciseret, hvilke faciliteter, systemer eller dele deraf, der specifikt falder ind under kravene i IT-sikkerhedsloven. Disse omfatter elnet, atomkraftværker og hospitaler.

Kritisk infrastruktur skal opfylde branchespecifikke minimumsstandarder, herunder især indførelsen af ​​et ISMS. De skal også rapportere relevante hændelser, der påvirker it -sikkerhed, til BSI.

IT -sikkerhedsloven indførte også andre love som f.eks B. lov om energiindustrien ændret. Ændringen til lov om energiindustrien forpligter alle el- og gasnetoperatører til at implementere Federal Network Agency's IT -sikkerhedskatalog og indføre et ISMS.

Den 27. marts 2019 offentliggjorde Forbundsministeriet for Indenrigsministeriet også udkastet til en it -sikkerhedslov 2.0, som indeholder en helhedsorienteret tilgang til it -sikkerhed. Blandt andet skal der medtages et forbrugervenligt it-sikkerhedsmærke for kommercielle produkter, BSI's kompetencer styrkes også, og kriminalitet i cybersikkerhed og de tilhørende efterforskningsaktiviteter udvides. Lovforslaget udvider også adressaterne for rapporteringsforpligtelser og gennemførelsesforanstaltninger. Samlet set vil loven sandsynligvis resultere i en betydelig yderligere økonomisk byrde for virksomheder og myndigheder.

I december 2020 fremlagde den føderale regering yderligere udkast til IT -sikkerhedsloven 2.0. Foreninger og andre interessenter kritiserede de korte kommentarperioder på et par dage, nogle gange kun 24 timer, hvilket ifølge kritikere udgør en "faktuel udelukkelse af deltagelse". Federal Office for Information Security (BSI) opgraderes til en "cybermyndighed med hackingbeføjelser". Forbundsforeningen for forbrugerorganisationer udtrykte tilfredshed med, at BSI også skulle modtage beskyttelse for forbrugerne, men påpegede samtidig mulige interessekonflikter med andre ansvarsområder for denne myndighed, såsom støtte til strafferetlig forfølgning. Den 16. december 2020 blev IT -sikkerhedsloven 2.0 vedtaget i kabinettet og sendt til anmeldelse til Europa -Kommissionen. Efter at udkastet til lovforslag vedtog Forbundsdagen og Forbundsrådet i foråret 2021, trådte IT Security Act 2.0 officielt i kraft i slutningen af ​​maj.

Strafferetlige aspekter

Enhver ulovlig ændring, sletning, tilbageholde eller hindre ubrugelig af tredjeparts-data opfylder lovovertrædelsen efter § 303a StGB ( data forandring ). I særligt alvorlige tilfælde er dette også strafbart i henhold til § 303b I nr. 1 StGB (" computersabotage ") og straffes med fængsel i op til fem år eller en bøde. Implementeringen af ​​DDOS -angreb har også repræsenteret computersabotage siden 2007, det samme gælder enhver handling, der fører til beskadigelse af et informationssystem, der er af afgørende betydning for et andet.

Den spionage af data (§ 202a i straffeloven), så får adgang til eksterne data mod denne særlige beskyttelse, skal straffes med fængsel i op til tre år eller en bøde. Aflytning af tredjepartsdata i netværk eller fra elektromagnetisk stråling har også været en strafbar handling siden 2007; i modsætning til i straffelovens § 202a er særlig adgangssikkerhed ikke vigtig her. Anskaffelse, oprettelse, formidling, tilgængelighed for offentligheden osv. Af såkaldte "hacker-værktøjer" har også været en strafbar handling siden 2007, hvis den bruges til at forberede en strafbar handling (§ 202c StGB).

I henhold til afsnit 202a, stk. 2, sammenholdt med afsnit 1, er data imidlertid kun beskyttet mod at blive spioneret, hvis de er "specielt sikret" for at forhindre fakta i at eskalere. Det betyder, at kun når brugeren teknisk beskytter sine data, nyder han også beskyttelse af straffeloven. Den tidligere debat om, hvorvidt "hacking" uden at hente data var en strafbar handling, er bortfaldet, siden standardens ordlyd blev ændret i 2007 på en sådan måde, at strafansvar begynder, så snart der er adgang til data. Det er også kontroversielt, om kryptering tæller for særlig sikkerhed. Det er meget effektivt, men det hævdes, at dataene ikke er sikkerhedskopieret, men kun er tilgængelige i en "uforståelig" eller simpelthen "anden" form.

Da edb -svindel vil blive straffet med en straffelov med en bøde eller fængsel i op til fem år, hvis databehandlingsoperationer manipuleres for at opnå en økonomisk gevinst ved § 263rd Selv at oprette, anskaffe, tilbyde, opbevare eller efterlade passende computerprogrammer er en strafbar handling.

Citater

”Jeg tror, ​​at vi i 2017 mere og mere sandsynligt vil se nogle katastrofale systemfejl. Mere sandsynligt vil vi have en forfærdelig systemfejl, fordi et eller andet kritisk system var forbundet til et ikke -kritisk system, der var forbundet til Internettet, så alle kunne få adgang til MySpace - og at hjælpesystemet er inficeret af malware . "

- Marcus J. Ranum, it -sikkerhedsekspert : citeret fra Niels Boeing

Se også

litteratur

Weblinks

Individuelle beviser

  1. Stefan Loubichi: IEC 62.443: IT-sikkerhed til industrielle automatiseringssystemer - en introduktion til de systematik VGB PowerTech Journal, nummer 6/2019, ISSN 1435-3199
  2. a b c d e f Claudia Eckert: IT -sikkerhed. Begreber - Procedurer - Protokoller. 7., reviderede og udvidede udgave. Oldenbourg, 2012, ISBN 978-3-486-70687-1
  3. Enkel repræsentation af informationssikkerhed
  4. ^ R. Shirey: RFC 4949, Internet Security Glossary, version 2 . IETF . S. 29. Hentet den 10. november 2011: "Ejendommen ved at være ægte og kunne verificeres og have tillid til."
  5. a b Carsten Bormann et al.: Foredrag dias 0. (PDF; 718 kB) I: Foredrag Information Security 1, SS 2005, University of Bremen. 16. april 2005, adgang til 30. august 2008 . Slide 25.
  6. ^ Claudia Eckert : Foredrag IT -sikkerhed, WS 2002/2003, TU Darmstadt. (PDF; 6,8 MB) Foredragsslides Kap. 2, slide 17. TU Darmstadt FG Security in Information Technology, 20. oktober 2004, s. 26 , arkiveret fra originalen den 3. december 2013 ; Hentet 19. november 2010 .
  7. Federal Office for Information Security (red.): Situationen for it -sikkerhed i Tyskland 2016 . Oktober 2016.
  8. Se også ENISA Quarterly Vol. 2, No. 3, okt 2006 , ENISA , adgang 29. maj 2012
  9. Beskrivelse af softwarebegrænsningspolitikken i Windows XP , adgang til den 9. august 2013.
  10. Sådan gør du: Brug af softwarebegrænsningspolitikker i Windows Server 2003 , adgang 9. august 2013.
  11. Brug af softwarebegrænsningspolitikker til beskyttelse mod uautoriseret software , adgang 9. august 2013.
  12. Brug af softwarebegrænsningspolitikker til beskyttelse mod uautoriseret software , adgang 9. august 2013.
  13. ^ Sådan fungerer softwarebegrænsningspolitikker , adgang 9. august 2013.
  14. Detaljeret beskrivelse af funktionen Data Execution Prevention i Windows XP Service Pack 2, Windows XP Tablet PC Edition 2005 og Windows Server 2003 , der blev åbnet den 9. august 2013.
  15. W3 Techs brug af standardprotokol https for websteder . Hentet 30. maj 2019.
  16. BSI TR-02102-1: Kryptografiske procedurer: Anbefalinger og nøglelængder , side 22-23, Federal Office for Information Security , Bonn, 22. februar 2019. Adgang til 30. maj 2019.
  17. ENISA Quarterly, Q4 2007, bind. 3, nr. 4 , ENISA , tilgået den 29. maj 2012
  18. Urs E. Gattiker: Hvorfor initiativer til informationssikkerhed er mislykkedes og vil fortsætte med at gøre det . (PDF; 279 kB) Præsentation på konferencen govcert.nl 2007.
  19. ^ Axel Tietz, Johannes Wiele: Bevidsthed er bare en begyndelse . I: Informationsdienst IT-Grundschutz , nr. 5/6, maj 2009, s. 28–30, ( ISSN  1862-4375 )
  20. ^ Frank van der Beek: Hvad er den bedste måde at lære it -sikkerhed på? En empirisk undersøgelse (PDF; 2,4 MB). S. 17.
  21. ^ Michael Falk: IT -overensstemmelse i virksomhedsledelse: krav og implementering. Wiesbaden, Gabler Verlag, 2012, ISBN 3-8349-3988-9
  22. Thomas A. Martin: Grundlæggende træk ved risikostyring i henhold til KonTraG: Risikostyringssystemet til tidlig krisedetektion i henhold til § 91, stk. 2, AktG. München, Oldenbourg, 2002. ISBN 978-3-486-25876-9
  23. a b c d e J. Hofmann, W. Schmidt: Master kursus IT -ledelse: Grundlæggende, implementering og vellykket praksis for studerende og praktikere. 2., handle. og eksp. Udgave. Vieweg + Teubner, 2010, ISBN 978-3-8348-0842-4 .
  24. ^ Heinrich Kersten, Jürgen Reuter, Klaus-Werner Schröder, Klaus-Dieter Wolfenstetter: IT-sikkerhedsstyring i henhold til ISO 27001 og grundlæggende beskyttelse: Vejen til certificering. 4., akt. og eksp. Udgave. Springer, Wiesbaden 2013, ISBN 978-3-658-01723-1 .
  25. Første rådsdirektiv 73/239 / EØF af 24. juli 1973 om koordinering af lovgivningsmæssige og administrative bestemmelser om igangsættelse og udøvelse af direkte forsikringsaktiviteter (med undtagelse af livsforsikring) , adgang til den 9. januar 2014
  26. Lov om ændring af Federal Data Protection Act og andre love af 22. maj 2001 ( Federal Law Gazette I s. 904 )
  27. ^ MJ Kenning: Sikkerhedsstyringsstandard: ISO 17799 / BS 7799. I: BT Technology Journal , 19, 2001, nr. 3, s. 132-136.
  28. Lov om at øge sikkerheden ved informationsteknologiske systemer af 17. juli 2015 ( Federal Law Gazette I s. 1324 )
  29. Forbundsministeriet for justits- og forbrugerbeskyttelse: KritisV. 22. april 2016. Hentet 22. juli 2016 .
  30. Lisa Hegemann: IT Security Act 2.0: Når Telekom skulle hacke ind på din computer. I: tid online. 15. december 2020, adgang til 18. december 2020 .
  31. Federal Network Agency: IT -sikkerhedskatalog. (PDF) Hentet 22. juli 2016 .
  32. IT Security Act (IT -SiG) 2.0 - et overblik over de vigtigste ændringer af lovforslaget | beck fællesskab. Hentet 3. april 2019 .
  33. ^ Patrick Beuth: Det burde være i Huawei -loven. I: Spiegel Online. 12. december 2020, adgang til 29. december 2020 .
  34. Stefan Krempl: Forbundsregering: BSI bør have lov til at hacke med IT Security Act 2.0. I: heise.de. 16. december 2020, adgang til 18. december 2020 .
  35. IT Security Act 2.0: "Langefinger i ansigtet på civilsamfundet". I: heise.de. 10. december 2020, adgang til 18. december 2020 .
  36. ^ Forbundsdagen vedtager strengere it -sikkerhedslovgivning. Süddeutsche Zeitung, adgang 1. juni 2021 .
  37. Marcus J. Ranum (websted)
  38. ^ Niels Boeing: Lightning and Thunder in the Matrix (" Technology Review ", tysk udgave, 25. januar 2008)