logo

Schutzziele in der Informationssicherheit und ihre Umsetzung in der Praxis

Was sind die Schutzziele in der Informationssicherheit?

Informationssicherheit basiert auf drei grundlegenden Prinzipien: Vertraulichkeit, Integrität und Verfügbarkeit. Diese Prinzipien werden auch als CIA-Triade (Confidentiality, Integrity und Availability) bezeichnet. Je nach Umgebung, Anwendung, Kontext oder Anwendungsszenario kann eines dieser Prinzipien Vorrang vor den beiden anderen haben. Für einen Finanzdienstleister hat beispielsweise die Vertraulichkeit von Informationen höchste Priorität. Sehr wahrscheinlich verschlüsselt er daher alle klassifizierten Dokumente bei der elektronischen Übertragung, damit ihr Inhalt nicht von unbefugten Personen gelesen werden kann. Für andere Unternehmen wie zum Beispiel Online-Händler hätte es hingegen schwerwiegende Folgen, wenn ihr Netzwerk über einen längeren Zeitraum außer Betrieb wäre. Anstelle einer Verschlüsselung von Daten konzentriert sich ihre Strategie deshalb darauf, eine hohe Verfügbarkeit sicherzustellen.

Vertraulichkeit

Zur Wahrung der Vertraulichkeit muss der unerlaubte Zugriff auf sensible Informationen verhindert werden. Ein solcher Zugriff kann absichtlich erfolgen, beispielsweise wenn ein Hacker sich Zugang zum Netzwerk verschafft und die Informationen liest. Aber auch unabsichtliche Zugriffe sind möglich, etwa durch mangelnde Sorgfalt oder Unwissenheit der Personen, die diese Informationen nutzen. Die zwei wichtigsten Methoden zur Gewährleistung der Vertraulichkeit sind Verschlüsselung und Zugriffssteuerung.

Verschlüsselung

Durch Verschlüsselung lassen sich Informationen sowohl vor versehentlicher Offenlegung als auch vor internen und externen Angriffsversuchen schützen. Die Stärke eines Verschlüsselungssystems beruht darauf, wie wirksam es eine unerlaubte Entschlüsselung verhindern kann. Ein starkes Verschlüsselungssystem ist schwer zu knacken. Die Stärke wird auch als Arbeitsfaktor ausgedrückt, der beziffert, wie viel Zeit und Aufwand zur Überwindung der Sicherheitsvorkehrungen eines Systems erforderlich wären.

Ein System gilt als schwach, wenn es schwache Schlüssel erlaubt, Mängel im Design aufweist oder sich leicht entschlüsseln lässt. Viele der heute erhältlichen Systeme sind für geschäftliche und private Zwecke mehr als ausreichend, nicht jedoch für den Schutz sensibler Informationen im militärischen Bereich oder in Behörden geeignet. Für die Verschlüsselung werden symmetrische und asymmetrische Algorithmen verwendet.

Symmetrische Algorithmen

Bei symmetrischen Algorithmen müssen der Absender und der Empfänger einer verschlüsselten Nachricht denselben Schlüssel und dieselben Verarbeitungsalgorithmen verwenden. Symmetrische Algorithmen erzeugen einen symmetrischen Schlüssel (auch als „geheimer Schlüssel“ oder „privater Schlüssel“ bezeichnet), der geschützt werden muss. Geht dieser Schlüssel verloren oder wird er gestohlen, ist die Sicherheit des Systems gefährdet. Für symmetrische Algorithmen sind folgenden Standards gebräuchlich:

  • Data Encryption Standard (DES): DES wird bereits seit Mitte der 1970er-Jahre eingesetzt. Lange Zeit war DES der primäre Standard in Behörden und der Industrie, gilt jedoch heute nicht mehr als ausreichend sicher. Dies liegt an der Schlüssellänge von 64 Bit, von denen 8 Bit für die Fehlerkorrektur und die übrigen 56 Bit für den eigentlichen Schlüssel verwendet werden. Der primäre Standard ist heute AES.
  • Triple-DES (3DES): 3DES ist eine technologische Weiterentwicklung von DES. Der Standard wird nach wie vor genutzt, auch wenn in Behörden vorwiegend AES zum Einsatz kommt. 3DES lässt sich deutlich schwerer entschlüsseln als viele andere Systeme und bietet damit mehr Sicherheit als DES. Die Schlüssellänge wurde auf 168 Bit erhöht (es werden drei 56-Bit-DES-Schlüssel verwendet).
  • Advanced Encryption Standard (AES): AES hat in US-Behörden DES als Standard abgelöst. Die Verschlüsselung erfolgt mithilfe des Rijndael-Algorithmus, der nach seinen Entwicklern Joan Daemen und Vincent Rijmen benannt ist. AES unterstützt Schlüssellängen von 128, 192 und 256 Bit, die Standardlänge ist 128 Bit.
  • Ron’s Cipher oder Ron’s Code (RC): RC ist eine Chiffre-Familie, die von der Firma RSA entwickelt wurde und nach ihrem Erfinder Ron Rivest benannt ist. Derzeit werden die Chiffren RC4, RC5 und RC6 verwendet. RC5 verwendet eine Schlüssellänge von bis zu 2.048 Bit und gilt damit als starkes System. RC4 wird häufig für die WLAN- und WEP/WPA-Verschlüsselung verwendet. Die Stromchiffre arbeitet mit Schlüssellängen zwischen 40 und 2.048 Bit und kommt in den Protokollen SSL und TLS zum Einsatz. Sie wird auch von Dienstprogrammen gerne für das Herunterladen von Torrent-Dateien genutzt. Viele Anbieter beschränken das Herunterladen dieser Dateien, doch durch Verschleiern des Headers und Streams mithilfe von RC4 ist es für sie schwieriger zu erkennen, dass ihre Torrent-Dateien heruntergeladen werden.
  • Blowfish und Twofish: Blowfish ist ein Verschlüsselungssystem, das ein Team unter Leitung von Bruce Schneier entwickelt hat und 64-Bit-Datenblöcke sehr schnell verschlüsselt. Es handelt sich um eine symmetrische Blockchiffre mit variabler Schlüssellänge (zwischen 32 und 448 Bit). Der Nachfolger Twofish ist ähnlich aufgebaut und arbeitet mit 128-Bit-Blöcken. Zu seinen besonderen Merkmalen zählt ein sehr komplexer Key-Schedule.
  • International Data Encryption Algorithm (IDEA): IDEA wurde von einem Schweizer Konsortium entwickelt und verwendet einen 128-Bit-Schlüssel. Im Hinblick auf Geschwindigkeit und Funktionalität ist dieser Standard vergleichbar mit DES, bietet jedoch mehr Sicherheit. IDEA kommt im Verschlüsselungsprogramm PGP (Pretty Good Privacy) zum Einsatz, das von vielen Nutzern für den E-Mail-Verkehr verwendet wird.
  • One-Time-Pads: One-Time-Pads sind das einzige vollkommen sichere Verschlüsselungsverfahren. Ausschlaggebend für diese Sicherheit sind zwei Faktoren. Zum einen wird ein Schlüssel verwendet, der so lang ist wie die Nachricht selbst. Der Schlüssel enthält demnach kein Muster, das von einem Angreifer für die Entschlüsselung genutzt werden könnte. Zum anderen werden One-Time-Pads nur einmalig verwendet und dann verworfen. Selbst wenn also eine One-Time-Pad-Chiffre gebrochen werden könnte, würde dieser Schlüssel nicht nochmals verwendet werden, sodass die Kenntnis des Schlüssels nutzlos wäre.

Asymmetrische Algorithmen

Asymmetrische Algorithmen verwenden zwei Schlüssel: einen öffentlichen Schlüssel und einen privaten Schlüssel. Der Absender verschlüsselt eine Nachricht mit dem öffentlichen Schlüssel, der Empfänger entschlüsselt sie mit seinem privaten Schlüssel. Der öffentliche Schlüssel kann dabei allgemein oder nur den beiden Parteien bekannt sein. Der private Schlüssel hingegen bleibt privat und ist nur dem Besitzer (Empfänger der Nachricht) bekannt. Wenn Ihnen jemand eine verschlüsselte Nachricht schicken möchte, kann der Absender diese vor dem Versenden mit Ihrem öffentlichen Schlüssel verschlüsseln. Mit Ihrem privaten Schlüssel können Sie die Nachricht dann entschlüsseln. Erhält ein Dritter Kenntnis der beiden Schlüssel, ist die Vertraulichkeit der Nachricht durch das Verschlüsselungssystem nicht mehr gewährleistet. Die eigentliche „Zauberei“ dieser Systeme besteht darin, dass eine Nachricht nicht mit dem öffentlichen Schlüssel entschlüsselt werden kann. Wenn Hans eine Nachricht an Anna sendet, die mit dem öffentlichen Schlüssel von Anna verschlüsselt wurde, spielt es keine Rolle, wer sonst noch im Besitz des öffentlichen Schlüssels von Anna ist. Die Nachricht kann damit nicht entschlüsselt werden. Für asymmetrische Algorithmen sind folgenden Standards gebräuchlich:

  • RSA: RSA ist nach seinen Erfindern Ron Rivest, Adi Shamir und Leonard Adleman benannt. Der RSA-Algorithmus ist ein bereits in den 1970er-Jahren entwickeltes Verschlüsselungsverfahren, bei dem große Zahlen zur Erzeugung eines Schlüsselpaares verwendet werden. Es wird auf breiter Basis genutzt und hat sich zum De-facto-Standard entwickelt. RSA kann sowohl für die Verschlüsselung als auch für digitale Signaturen verwendet werden. Der Algorithmus kommt in einer Vielzahl von Umgebungen zum Einsatz, unter anderem auch im Protokoll Secure Sockets Layer (SSL), und kann auch für den Schlüsselaustausch verwendet werden.
  • Diffie-Hellman: Whitfield Diffie und Martin Hellman gelten als die Erfinder des Konzepts eines Schlüsselpaares aus öffentlichem und privatem Schlüssel. Der Diffie-Hellman-Algorithmus kommt vor allem zur Anwendung, um über ein öffentliches Netzwerk einen gemeinsamen geheimen Schlüssel zu erzeugen. Der Vorgang dient nicht der Ver- oder Entschlüsselung von Nachrichten, sondern lediglich der Erzeugung eines symmetrischen Schlüssels zwischen zwei Parteien.
  • Elliptic Curve Cryptography (EEC): ECC stellt ähnliche Funktionen wie RSA bereit, erzielt jedoch mit kürzeren Schlüssellängen dasselbe Maß an Sicherheit. ECC-Verschlüsselungssysteme basieren auf dem Konzept, dass Punkte auf einer Kurve mit einem Punkt in der Unendlichkeit kombiniert werden und dass Diskreter-Logarithmus-Probleme sehr schwierig zu lösen sind.

Zugriffskontrolle

Die Verschlüsselung ist eine Methode, um die Vertraulichkeit sicherzustellen. Eine weitere Methode ist die Zugriffskontrolle. Es gibt verschiedene Verfahren für die Zugriffskontrolle, die die Gewährleistung der Vertraulichkeit unterstützen. Jedes von ihnen hat Stärken und Schwächen:

  • Mandatory Access Control (MAC): In einer MAC-Umgebung sind alle Zugriffsmöglichkeiten vorgegeben. Benutzer können Informationen nur dann austauschen, wenn ihnen der Administrator die erforderlichen Rechte erteilt hat. Folglich müssen auch Änderungen an diesen Rechten von Administratoren vorgenommen werden. Dieser Prozess setzt ein strenges Sicherheitsmodell durch. Es gilt zugleich auch als das sicherste Cybersicherheitsmodell.
  • Discretionary Access Control (DAC): In einem DAC-Modell können Benutzer Informationen dynamisch untereinander austauschen. Die Methode ermöglicht eine flexiblere Umgebung, erhöht jedoch das Risiko einer unerlaubten Offenlegung von Informationen. Für Administratoren gestaltet es sich außerdem schwieriger, die Umgebung so zu konfigurieren, dass ausschließlich berechtigte Benutzer auf Daten zugreifen können.
  • Role-Based Access Control (RBAC, rollenbasierte Zugriffskontrolle): Bei der rollenbasierten Zugriffskontrolle wird der Zugriff auf Basis der Funktion oder der Zuständigkeiten eines Benutzers gesteuert. Jeder Mitarbeiter hat eine oder mehrere Rollen, die ihm den Zugriff auf bestimmte Informationen ermöglichen. Wenn eine Person von einer Rolle in eine andere wechselt, verliert sie die mit der vorherigen Rolle verbundenen Zugriffsrechte. RBAC-Modelle bieten mehr Flexibilität als das MAC-Modell, jedoch weniger Flexibilität als das DAC-Modell. Ihr Vorteil besteht darin, dass die Rechtevergabe nicht auf den individuellen Bedürfnissen der Benutzer basiert, sondern auf ihrer Funktion im Unternehmen.
  • Rule-Based Access Control (RBAC, regelbasierte Zugriffskontrolle): Bei der regelbasierten Zugriffskontrolle wird der Zugriff gemäß den Einstellungen vorkonfigurierter Sicherheitsrichtlinien gewährt. Die Regeln können wie folgt konfiguriert werden:
    • Der Zugriff wird grundsätzlich allen Benutzern verweigert, mit Ausnahme der in einer Liste aufgeführten Benutzer (Zugriffsbewilligungsliste).
    • Der Zugriff wird nur den Benutzern verweigert, die in einer Liste aufgeführt sind (Zugriffsverweigerungsliste).

Die Einträge in der Liste können aus Benutzernamen, IP-Adressen, Hostnamen oder auch Domänen bestehen. Regelbasierte Modelle werden häufig in Verbindung mit rollenbasierten Modellen verwendet, um eine optimale Kombination aus Sicherheit und Flexibilität zu erreichen.

  • Attribute-Based Access Control (ABAC, attributbasierte Zugriffskontrolle): ABAC ist eine relativ neue Methode der Zugriffssteuerung, die im Leitfaden NIST 800-162 definiert ist. Es handelt sich dabei um eine logische Zugriffskontrolle, die zur Erteilung der Rechte für bestimmte Vorgänge Attribute überprüft, die mit dem Subjekt, Objekt, angeforderten Vorgang und in manchen Fällen den Umgebungsbedingungen verknüpft sind. Diese werden mit den Sicherheitsrichtlinien, Regeln oder Beziehungen abgeglichen, die die zulässigen Vorgänge für bestimmte Attribute definieren.
  • Für die Zugriffskontrolle und Sicherheitszwecke werden in der Regel Smartcards verwendet. Auf der Karte befindet sich meist ein kleiner Arbeitsspeicher, in dem Berechtigungen und Zugriffsinformationen gespeichert werden können.
  • Ursprünglich bestand ein Sicherheits-Token aus einer Hardwarevorrichtung (z. B. Chipkarten oder Schlüsselanhänger), die für den Zugriff erforderlich ist. Inzwischen gibt es auch softwarebasierte Token. Token enthalten oft ein digitales Zertifikat zur Authentifizierung des Benutzers.

Integrität

Integrität ist mit drei Zielen verknüpft, die zur Datensicherheit beitragen:

  • die Vermeidung der Änderung von Informationen durch unbefugte Benutzer
  • die Vermeidung der unerlaubten oder unbeabsichtigten Änderung von Informationen durch autorisierte Benutzer
  • die Wahrung interner und externer Konsistenz:
    • Interne Konsistenz: sorgt dafür, dass Daten intern konsistent sind. In einer Unternehmensdatenbank muss beispielsweise die Gesamtzahl der Gegenstände im Besitz des Unternehmens der Summe dieser Gegenstände entsprechen, die in den Datenbanken der einzelnen Unternehmensbereiche aufgeführt sind.
    • Externe Konsistenz: sorgt dafür, dass die in der Datenbank gespeicherten Daten der Realität entsprechen. Die Gesamtzahl der Artikel in einem Regal muss beispielsweise der Gesamtzahl der in der Datenbank erfassten Artikel entsprechen.

Mithilfe verschiedener Verschlüsselungsmethoden kann diese Integrität erreicht werden, indem sichergestellt wird, dass eine Nachricht nicht während der Übertragung geändert wurde. Eine solche Änderung könnte dazu führen, dass die Nachricht unlesbar oder gar fehlerhaft ist. Wenn Änderungen an medizinischen Aufzeichnungen oder Rezepten nicht erkannt werden, könnte dies schwerwiegende Folgen haben. Wird eine Nachricht manipuliert, sollte das Verschlüsselungssystem darauf hinweisen, dass die Nachricht kompromittiert oder geändert wurde.

Hashing

Die Integrität kann auch mithilfe eines Hash-Algorithmus überprüft werden. Im Wesentlichen wird dabei ein Hash für die Nachricht generiert und an das Ende der Nachricht angehängt. Der Empfänger berechnet den Hash-Wert der erhaltenen Nachricht und vergleicht diesen mit dem erhaltenen Hash. Die Hash-Werte stimmen nur überein, wenn während der Übertragung keine Änderungen an der Nachricht vorgenommen wurden.

In vielen Fällen ist das Hashing zur Überprüfung der Integrität ausreichend. Wird die Nachricht jedoch von einem Dritten abgefangen und vorsätzlich geändert, ist das Hashing wirkungslos, wenn die Nachricht nicht verschlüsselt ist. Die Person, die die Nachricht abfängt, kann beispielsweise sehen, dass ein 160-Bit-Hash an die Nachricht angehängt wurde, und daraus schließen, dass der Hash mit SHA-1 erzeugt wurde (Details hierzu weiter unten). Die Nachricht kann dann beliebig manipuliert werden. Anschließend muss nur noch der ursprüngliche SHA-1-Hash gelöscht und ein neuer Hash aus der geänderten Nachricht berechnet werden.

Hash-Algorithmen

Die zur Speicherung von Daten verwendeten Hash-Werte unterscheiden sich stark von kryptographischen Hashes. In der Kryptographie muss eine Hash-Funktion drei Kriterien erfüllen:

  1. Sie muss unumkehrbar sein. Der Hash-Wert darf nicht in die ursprüngliche Zeichenfolge zurückberechnet werden können.
  2. Aus Eingaben unterschiedlicher Länge wird eine Ausgabe mit fester Länge erzeugt. Unabhängig davon, ob der Hash-Wert für zwei oder zwei Millionen Zeichen berechnet wird, ergibt sich immer dieselbe Hash-Länge.
  3. Der Algorithmus sollte zu keinen oder nur wenigen Kollisionen führen. Für unterschiedliche Eingaben darf nicht derselbe Hash-Wert erzeugt werden.

Mit diesen Hash-Algorithmen und damit verbundenen Konzepten sollten Sie vertraut sein:

  • Secure Hash Algorithm (SHA): SHA wurde ursprünglich unter dem Namen Keccak von Guido Bertoni, Joan Daemen, Michaël Peeters und Gilles Van Assche entwickelt. SHA-1 ist eine nicht umkehrbare Hash-Funktion, die einen 160-Bit-Hash-Wert erzeugt, der mit einem Verschlüsselungsprotokoll verwendet werden kann. 2016 wurden Probleme im Zusammenhang mit SHA-1 festgestellt, weshalb inzwischen die Verwendung von SHA-2 empfohlen wird. SHA-2 kann Hash-Werte mit 224, 256, 334 und 512 Bit erzeugen. Es sind keine Probleme mit SHA-2 bekannt, weshalb dieser Hash-Algorithmus nach wie vor am meisten genutzt und am häufigsten empfohlen wird. SHA-3 wurde 2012 veröffentlicht und wird trotz seiner zahlreichen Anwendungsmöglichkeiten nicht auf breiter Basis eingesetzt. Dies liegt nicht etwa an Problemen mit SHA-3, sondern vielmehr daran, dass SHA-2 hervorragend funktioniert.
  • Message Digest Algorithm (MD): MD ist ebenfalls eine nicht umkehrbare Hash-Funktion, die einen Hash-Wert zur Sicherstellung der Integrität von Daten erzeugt. Es gibt verschiedene Versionen von MD; die am häufigsten verwendeten Versionen sind MD5, MD4 und MD2. MD5 ist die neueste Version des Algorithmus und erzeugt einen 128-Bit-Hash. Sie ist komplexer und sicherer als die Vorgängerversionen, bietet jedoch keinen ausreichenden Schutz vor Kollisionen und wird deshalb heute nicht mehr empfohlen. Als Alternative wird SHA (2 oder 3) empfohlen.
  • RACE Integrity Primitives Evaluation Message Digest (RIPEMD): RIPEMD basierte ursprünglich auf MD4. Da der Algorithmus als nicht ausreichend sicher galt, verwendet der Nachfolger RIPEMD-160 nun 160 Bit. Es gibt außerdem auch Versionen mit 256 und 320 Bit (RIPEMD-256 bzw. RIPEMD-320).
  • GOST ist eine symmetrische Chiffre, die in der ehemaligen Sowjetunion entwickelt wurde und nach einer Reihe von Änderungen nun als Hash-Funktion verwendet werden kann. GOST verarbeitet eine Nachricht mit variabler Länge zu einer Ausgabe mit einer festen Länge von 256 Bit.
  • Vor der Veröffentlichung von Windows NT wurde im Betriebssystem von Microsoft das Protokoll LANMAN für die Authentifizierung verwendet. Als reines Authentifizierungsprotokoll verwendete LANMAN LM-Hash und zwei DES-Schlüssel. In Windows NT wurde es durch den NT-LAN-Manager (NTLM) ersetzt.
  • Mit der Veröffentlichung von Windows NT löste Microsoft das Protokoll LANMAN durch NTLM (NT-LAN-Manager) ab, das die Hash-Algorithmen MD4 und MD5 verwendet. Es gibt verschiedene Versionen dieses Protokolls (NTLMv1 und NTLMv2), das noch immer weit verbreitet ist, obwohl Microsoft das Authentifizierungsprotokoll Kerberos bevorzugt. Zwar arbeiten LANMAN und NTLM mit Hashing, doch werden sie vorwiegend für die Authentifizierung genutzt.
  • Eine gängige Methode zur Überprüfung der Integrität ist das Anhängen eines Nachrichtenauthentifizierungscodes (Message Authentication Code, MAC) an die Nachricht. Ein MAC wird mithilfe einer symmetrischen Chiffre im Blockchiffreverkettungsmodus (Cipher Block Chaining, CBC) berechnet, wobei lediglich der letzte Block erzeugt wird. Die CBC-Ausgabe wird im Wesentlichen wie die Ausgabe eines Hash-Algorithmus verwendet. Im Gegensatz zu einem Hash-Algorithmus setzt die Chiffre jedoch einen symmetrischen Schlüssel voraus, der vor der Übertragung zwischen den beiden Parteien ausgetauscht wird.
  • HMAC (Hash-Based Message Authentication Code) verwendet einen Hash-Algorithmus in Kombination mit einem symmetrischen Schlüssel. So können zwei Parteien beispielsweise vereinbaren, einen MD5-Hash zu verwenden. Nach der Berechnung des Hash wird ein exklusives Oder (XOR) auf den Nachrichten-Hash angewendet. Der damit erzeugte Wert ist der HMAC.

Baseline

Die Definition einer Baseline (Konfiguration, System-Baseline) ist eine wichtige Strategie für die Verbesserung der Netzwerksicherheit. Sie legen dabei eine Basiskonfiguration fest, die Sie für ein bestimmtes System, einen bestimmten Computer, eine bestimmte Anwendung oder einen bestimmten Dienst als sicher erachten. Natürlich kann es absolute Sicherheit nicht geben – das Ziel besteht darin, ausgehend von den Sicherheitsanforderungen und der Risikobereitschaft Ihres Unternehmens ein ausreichendes Maß an Sicherheit zu gewährleisten. Jegliche Änderungen können mit der Baseline verglichen werden, um zu überprüfen, ob die Sicherheit durch eine Änderung beeinträchtigt wird. Nach der Definition einer Baseline besteht der nächste Schritt in der Überwachung des Systems, um sicherzustellen, dass es keine Abweichungen von dieser Baseline gibt. Dieser Prozess wird als Integritätsprüfung bezeichnet.

Verfügbarkeit

Verfügbarkeit bedeutet, dass die autorisierten Benutzer eines Systems zeitnah und ohne Unterbrechung auf die Informationen auf dem System und im Netzwerk zugreifen können. Mit diesen Methoden lässt sich die Verfügbarkeit sicherstellen:

  • Verteilte Zuweisung: Die verteilte Zuweisung ist auch unter dem Begriff „Lastausgleich“ bekannt und ermöglicht es, die Last (Dateianforderungen, Datenweiterleitung usw.) so zu verteilen, dass kein Gerät überlastet wird.
  • Hochverfügbarkeit: Zur Sicherstellung der Hochverfügbarkeit werden Maßnahmen ergriffen, die während eines Ausfalls dafür sorgen, dass Dienste und Informationssysteme weiter genutzt werden können. Das Ziel der Hochverfügbarkeit besteht meist darin, bei wichtigen Services eine Verfügbarkeit von 99,999 Prozent („Five Nines“) zu erreichen. Zu den Hochverfügbarkeitsstrategien gehören Redundanz und Failover, die weiter unten erläutert werden.
  • Redundanz: Redundanz wird durch Systeme erreicht, die entweder doppelt vorhanden sind oder bei einem Ausfall ein Failover auf andere Systeme durchführen. Ein Failover ist die Wiederherstellung eines Systems oder der Wechsel auf ein anderes System, wenn das primäre System ausfällt. Im Falle eines Servers übernimmt bei Auftreten eines Fehlers ein redundanter Server den Betrieb. Mit dieser Strategie kann der Betrieb ohne Unterbrechung aufrechterhalten werden, bis der primäre Server wiederhergestellt ist. Im Falle eines Netzwerks wird bei einem Netzwerkausfall auf dem primären Pfad der Datenverkehr auf einen anderen Netzwerkpfad umgeleitet.
    Die Implementierung von Failover-Systemen kann mit hohem Kostenaufwand verbunden sein. In einem großen Unternehmensnetzwerk oder einer E-Commerce-Umgebung muss bei einem Failover unter Umständen der gesamte Netzwerkverkehr auf einen anderen Standort umgeleitet werden, bis der primäre Standort wieder betriebsbereit ist. Durch Synchronisierung der Daten zwischen dem primären und sekundären Standort wird dabei sichergestellt, dass alle Informationen auf dem neusten Stand sind.
    Viele Betriebssysteme wie Linux, Windows Server und Novell Open Enterprise Server unterstützen Failover-Funktionen durch Clustering. Beim Clustering werden mehrere Systeme so zusammengeschaltet (zur Unterstützung des Lastausgleichs) und miteinander vernetzt, dass beim Ausfall eines Systems die anderen den Betrieb übernehmen. Möglicherweise nimmt dadurch die Performance des gesamten Server-Clusters ab, doch das Netzwerk oder der Dienst bleibt weiter betriebsbereit. Das beste Beispiel für die Vorteile des Clustering ist Google, das sich genau diese Technologie zunutze macht. Clustering ermöglicht nicht nur Redundanz, sondern bietet bei steigenden Anforderungen auch die Möglichkeit der Skalierung.
    Die meisten Internet- und Netzwerkanbieter halten umfangreiche interne Failover-Kapazitäten vor, um ihren Kunden Hochverfügbarkeit bieten zu können. Können Unternehmen und Mitarbeiter nicht auf die benötigten Informationen oder Services zugreifen, schwindet ihr Vertrauen in den Anbieter.
    Ein hohes Maß an Zuverlässigkeit und Vertrauenswürdigkeit ist jedoch auch mit höheren Kosten verbunden: Failover-Systemen können unerschwinglich werden. Sie sollten daher Ihre Anforderungen sorgfältig abwägen, um zu bestimmen, ob Ihre Systeme Failover unterstützen müssen. Wenn Sie in Ihrer Umgebung beispielsweise auf eine hohe Verfügbarkeit angewiesen sind, sollten Sie Ihre Server zu einem Cluster zusammenschließen. Fällt einer der Server im Cluster aus, können dann die anderen Server im Netzwerk seine Last übernehmen.
  • Fehlertoleranz: Unter Fehlertoleranz versteht man die Fähigkeit eines Systems, den Betrieb beim Ausfall einer Komponente aufrechtzuerhalten. Fehlertolerante Systeme können den Betrieb selbst dann fortsetzen, wenn eine kritische Komponente wie eine Festplatte ausfällt. Hierzu werden Systeme mit überschüssigen Ressourcen (redundanten Komponenten und Subsystemen) ausgestattet, um das Risiko von Ausfallzeiten zu verringern. Ein Server kann beispielsweise durch eine zweite Stromversorgung, eine zweite CPU und andere wichtige Komponenten fehlertolerant sein. Die meisten Hersteller (z. B. HP, Sun und IBM) bieten fehlertolerante Server an, die in der Regel mit mehreren Prozessoren ausgestattet sind und so bei einem Fehler oder Ausfall ein automatisches Failover durchführen.
    Zwei wichtige Aspekte, die im Zusammenhang mit der Fehlertoleranz berücksichtigt werden müssen, sind Ersatzteile und die Stromversorgung. Ersatzteile sollten nach Möglichkeit schnell zur Verfügung stehen, damit systemkritische Komponenten bei einem Ausfall repariert werden können. Die Redundanzstrategie „N+1“ bedeutet, dass die erforderliche Anzahl von Komponenten vorhanden ist plus eine Ersatzkomponente, die bei Bedarf in ein System eingebaut werden kann. Da Computersysteme ohne Strom nicht funktionieren können, sollte auch die Stromversorgung fehlertolerant sein. Mindestvoraussetzung sind deshalb eine unterbrechungsfreie Stromversorgung (USV) mit Überspannungsschutz für jeden Server und jede Workstation. Diese USV sollte auf die Last ausgelegt sein, die sie bei einem Stromausfall bereitstellen muss (dabei müssen der Computer, der Bildschirm und andere angeschlossene Geräte berücksichtigt werden). Zudem sollte sie im Rahmen der vorbeugenden Wartung regelmäßig überprüft werden, um sicherzustellen, dass der Akku funktioniert. Alle paar Jahre muss der Akku ausgetauscht werden, um eine zuverlässige Stromversorgung im Notfall zu gewährleisten.
    Mit einer USV können Sie lediglich kurze Stromausfälle überbrücken. Bei längeren Stromausfällen benötigen Sie für Fehlertoleranz ein Notstromaggregat. Ein Notstromaggregat wird mit Benzin, Propangas, Erdgas oder Diesel betrieben und erzeugt so die nötige Elektrizität für eine stabile Stromversorgung. Manche Notstromaggregate können bei einem Stromausfall umgehend den Betrieb aufnehmen, die meisten benötigen jedoch eine kurze Anlaufzeit, bevor eine zuverlässige Stromversorgung gewährleistet ist. Sie benötigen daher sehr wahrscheinlich dennoch unterbrechungsfreie Stromversorgungen.
  • Redundant Array of Independent Disks (RAID): RAID ist eine Technologie, die Fehlertoleranz durch den Einsatz mehrerer Festplatten erreicht. Es gibt verschiedene RAID-Ebenen: RAID 0 (Striping), RAID 1 (Mirroring), RAID 3 oder 4 (Striping mit dedizierter Parität), RAID 5 (Striping mit verteilter Parität), RAID 6 (Striping mit doppelter Parität), RAID 1+0 (oder 10) und RAID 0+1. Weitere Informationen dazu finden Sie in unserer Liste der Best Practices für die Datensicherheit.
  • Disaster-Recovery-Plan (DR-Plan): Mit einem Disaster-Recovery-Plan kann ein Unternehmen bei einem schwerwiegenden Problem oder Ausfall schnell geeignete Maßnahmen ergreifen. Hierzu gehören beispielsweise Systemausfälle, Netzwerkausfälle, Ausfälle der Infrastruktur und Naturkatastrophen wie Wirbelstürme oder Erdbeben. Ein DR-Plan definiert die Methoden für eine schnellstmögliche Wiederherstellung von Services und den Schutz des Unternehmens vor unzumutbaren Verlusten im Falle einer Katastrophe.
    In kleineren Unternehmen kann ein Disaster-Recovery-Plan relativ einfach und unkompliziert sein. In größeren Unternehmen erstreckt sich ein solcher Plan unter Umständen auf mehrere Standorte und Abteilungen und beinhaltet auch strategische Unternehmenspläne.
    Ein Disaster-Recovery-Plan sollte den Zugriff auf und die Speicherung von Informationen regeln. Ein wichtiger Teil dieser Prozesses ist Ihr Backup-Plan für sensible Daten.

Häufig gestellte Fragen

Welche Aspekte beinhalten die Schutzziele in der Informationssicherheit (CIA-Triade)?

  • Vertraulichkeit: Systeme und Daten sind nur für autorisierte Benutzer zugänglich.
  • Integrität: Systeme und Daten sind fehlerfrei und vollständig.
  • Verfügbarkeit: Systeme und Daten sind nur dann zugänglich, wenn sie benötigt werden.

Warum sind die Schutzziele so wichtig für die Datensicherheit?

Das übergeordnete Ziel der Datensicherheit besteht darin, die Vertraulichkeit, Integrität und Verfügbarkeit kritischer und sensibler Daten zu gewährleisten. Durch die Anwendung der Prinzipien der CIA-Triade können Unternehmen ein wirksames Sicherheitsprogramm zum Schutz ihrer wertvollen Ressourcen entwickeln.

Wie lassen sich die Schutzziele im Risikomanagement umsetzen?

Bei einer Risikobewertung analysieren Unternehmen die Risiken, Bedrohungen und Schwachstellen, die die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Systeme und Daten gefährden könnten. Durch die Implementierung von Sicherheitskontrollen zur Minderung dieser Risiken erfüllen sie eines oder mehrere Prinzipien der Schutzziele.

Wodurch kann die Vertraulichkeit von Daten gefährdet werden?

Zur Wahrung der Vertraulichkeit muss der unerlaubte Zugriff auf sensible Informationen verhindert werden. Ein solcher Zugriff kann absichtlich erfolgen, beispielsweise wenn ein Hacker sich Zugang zum Netzwerk verschafft und die Informationen liest. Aber auch unabsichtliche Zugriffe sind möglich, etwa durch mangelnde Sorgfalt oder Unwissenheit der Personen, die diese Informationen nutzen.

Durch welche Maßnahmen lässt sich die Vertraulichkeit von Daten wahren?

Eine bewährte Methode zur Wahrung der Vertraulichkeit von Daten ist die Verschlüsselung aller sensiblen und regulierten Daten. Der Inhalt eines verschlüsselten Dokuments kann nur von Personen gelesen werden, die im Besitz des Entschlüsselungsschlüssels sind. Verschlüsselung schützt somit sowohl vor einer böswilligen als auch vor einer versehentlichen Kompromittierung der Vertraulichkeit.

Wodurch kann die Integrität von Daten gefährdet werden?

Die Integrität von Daten kann sowohl durch menschliches Versagen als auch durch Cyberangriffe wie zerstörerische Schadsoftware und Ransomware gefährdet werden.

Durch welche Maßnahmen lässt sich die Integrität von Daten wahren?

Zur Wahrung der Integrität von Daten müssen folgende Voraussetzungen erfüllt sein:

  • Änderungen an den Daten durch unbefugte Benutzer müssen verhindert werden.
  • Die unerlaubte oder unbeabsichtigte Änderung von Informationen durch autorisierte Benutzer muss vermieden werden.
  • Die Genauigkeit und Konsistenz der Daten muss durch Prozesse wie Fehlerüberprüfung und Datenvalidierung sichergestellt werden.

Eine wertvolle Best Practice zur Sicherstellung der Datengenauigkeit ist die Überwachung der Datenintegrität (File Integrity Monitoring, FIM). Mit einer FIM-Lösung können Unternehmen unzulässige Änderungen an kritischen Dateien auf ihren Systemen erkennen, indem sie sämtliche Versuche, auf Dateien und Ordner mit sensiblen Informationen zuzugreifen oder diese zu ändern, überwachen und überprüfen, ob diese Aktivitäten zulässig sind.

Wodurch kann die Verfügbarkeit von Daten gefährdet werden?

Eine Gefährdung der Verfügbarkeit von Daten entsteht beispielsweise durch Infrastrukturausfälle infolge von Netzwerk- oder Hardwareproblemen, ungeplante Softwareausfälle, eine Überlastung der Infrastruktur, Stromausfälle und Cyberangriffe wie DDoS- oder Ransomware-Angriffe.

Durch welche Maßnahmen lässt sich die Verfügbarkeit von Daten wahren?

Wichtig sind Sicherheitsvorkehrungen, die alle für einen kontinuierlichen Betrieb erforderlichen Systeme vor Unterbrechungen schützen. Hierzu gehören redundante Hardware, Failover, Clustering und routinemäßige Backups, die an einem anderen Ort aufbewahrt werden. Entscheidend ist außerdem, einen umfassenden Disaster-Recovery-Plan zu entwickeln und zu testen.

7 kostenlose Tools für IT-Profis