Die 7 Grundprinzipien der IT-Sicherheit

Transparenz
DAS WICHTIGSTE IM ÜBERBLICK

IT-Sicherheitsexperten setzen bewährte Verfahren ein, um die Systeme von Unternehmen, Behörden und anderen Organisationen zu schützen.

Sicherheit ist eine ständige Sorge, wenn es um Informationstechnologie geht. Datendiebstahl, Hackerangriffe, Malware und eine Vielzahl anderer Bedrohungen reichen aus, um jeden IT-Experten nachts wach zu halten. In diesem Artikel befassen wir uns mit den grundlegenden Prinzipien und bewährten Verfahren, die IT-Fachleute anwenden, um ihre Systeme sicher zu halten.

Das Ziel der Informationssicherheit

Die Informationssicherheit folgt drei übergreifenden Grundsätzen, die oft als CIA-Dreiklang (Vertraulichkeit, Integrität und Verfügbarkeit) bezeichnet werden.

  • Vertraulichkeit: Dies bedeutet, dass Informationen nur von Personen eingesehen oder verwendet werden können, die dazu berechtigt sind. Es müssen geeignete Sicherheitsmaßnahmen getroffen werden, um sicherzustellen, dass private Informationen privat bleiben und vor unbefugter Offenlegung und neugierigen Blicken geschützt sind.
  • Integrität: Dieser Grundsatz garantiert die Integrität und Genauigkeit der Daten und schützt sie vor Veränderungen. Das bedeutet, dass Änderungen an den Informationen durch einen unbefugten Benutzer unmöglich sind (oder zumindest entdeckt werden) und dass Änderungen durch befugte Benutzer verfolgt werden können.
  • Verfügbarkeit: Dieser Grundsatz stellt sicher, dass die Informationen jederzeit vollständig zugänglich sind, wenn autorisierte Benutzer sie benötigen. Das bedeutet, dass alle Systeme, die zur Speicherung, Verarbeitung und Sicherung aller Daten verwendet werden, jederzeit einwandfrei funktionieren müssen.

Ausgehend von diesen übergeordneten Grundsätzen haben IT-Sicherheitsspezialisten Best Practices entwickelt, mit denen Unternehmen sicherstellen können, dass ihre Daten sicher bleiben. (Lesen Sie auch: Die 3 wichtigsten Komponenten der BYOD-Sicherheit).

Bewährte IT-Sicherheitspraktiken

Es gibt viele Best Practices für die IT-Sicherheit, die für bestimmte Branchen oder Unternehmen spezifisch sind, aber einige gelten auch allgemein.

Gleichgewicht zwischen Schutz und Nützlichkeit

Die Computer in einem Büro könnten vollständig geschützt werden, wenn alle Modems herausgerissen und alle Mitarbeiter aus dem Raum geworfen würden – aber dann wären sie für niemanden mehr von Nutzen. Deshalb besteht eine der größten Herausforderungen im Bereich der IT-Sicherheit darin, ein Gleichgewicht zwischen der Verfügbarkeit von Ressourcen und der Vertraulichkeit und Integrität der Ressourcen zu finden.

Anstatt zu versuchen, sich gegen alle Arten von Bedrohungen zu schützen, konzentrieren sich die meisten IT-Abteilungen darauf, zunächst die wichtigsten Systeme zu isolieren und dann akzeptable Wege zu finden, den Rest zu schützen, ohne ihn unbrauchbar zu machen. Einige der Systeme mit geringerer Priorität können für eine automatisierte Analyse in Frage kommen, so dass die wichtigsten Systeme im Mittelpunkt bleiben.

Zuweisung von Mindestberechtigungen

Damit ein Informationssicherheitssystem funktionieren kann, muss es wissen, wer bestimmte Dinge sehen und tun darf. Jemand aus der Buchhaltung braucht beispielsweise nicht alle Namen in einer Kundendatenbank zu sehen, wohl aber die Zahlen aus dem Verkauf. Das bedeutet, dass ein Systemadministrator die Zugriffsrechte nach der Art der Tätigkeit einer Person zuweisen muss, und dass er diese Beschränkungen je nach organisatorischer Aufteilung weiter verfeinern muss. Auf diese Weise wird sichergestellt, dass der Chief Financial Officer im Idealfall auf mehr Daten und Ressourcen zugreifen kann als ein Junior-Buchhalter.

Allerdings bedeutet ein hoher Rang nicht, dass er vollen Zugriff hat. Der CEO eines Unternehmens muss vielleicht mehr Daten sehen als andere Personen, aber er braucht nicht automatisch vollen Zugriff auf das System. Einer Person sollten die Mindestberechtigungen zugewiesen werden, die sie zur Erfüllung ihrer Aufgaben benötigt. Ändern sich die Aufgaben einer Person, ändern sich auch die Berechtigungen. Die Zuweisung von Mindestberechtigungen verringert die Wahrscheinlichkeit, dass Joe aus der Konstruktion mit allen Marketingdaten aus der Tür geht.

Erkennen Sie Ihre Schwachstellen und planen Sie vorausschauend

Nicht alle Ihre Ressourcen sind gleich wertvoll. Manche Daten sind wichtiger als andere, z. B. eine Datenbank mit allen Buchhaltungsdaten Ihrer Kunden, einschließlich ihrer Bankleitzahlen, Sozialversicherungsnummern, Adressen oder anderer persönlicher Informationen.

Gleichzeitig ist aber nicht jede Ressource gleichermaßen gefährdet. So sind beispielsweise Informationen, die auf physisch getrennten Speichersystemen gespeichert sind, die nicht mit dem Hauptnetzwerk verbunden sind, weitaus sicherer als Informationen, die auf den BYOD-Geräten (Bring Your Own Devices) aller Ihrer Mitarbeiter verfügbar sind.

Die Vorausplanung für verschiedene Arten von Bedrohungen (z. B. Hacker, DDoS-Angriffe oder einfach nur Phishing-E-Mails, die auf Ihre Mitarbeiter abzielen) hilft Ihnen auch, das Risiko einzuschätzen, dem jedes Objekt in der Praxis ausgesetzt sein könnte.

Wenn Sie herausfinden, welche Daten anfälliger und/oder wichtiger sind, können Sie den Grad der Sicherheit bestimmen, den Sie zu ihrem Schutz einsetzen müssen, und Ihre Sicherheitsstrategien entsprechend gestalten. (Lesen Sie auch: 6 Fortschritte bei der Cybersicherheit in der zweiten Hälfte des Jahres 2020)

Verwenden Sie unabhängige Verteidigungsmaßnahmen

Dies ist sowohl ein militärischer Grundsatz als auch ein Grundsatz der IT-Sicherheit. Eine wirklich gute Verteidigung, wie z. B. Authentifizierungsprotokolle, ist nur so lange gut, bis jemand sie durchbricht. Wenn mehrere unabhängige Verteidigungsschichten eingesetzt werden, muss ein Angreifer verschiedene Strategien anwenden, um sie zu überwinden.

Die Einführung dieser Art von mehrschichtiger Komplexität bietet zwar keinen 100-prozentigen Schutz vor Angriffen, verringert aber die Wahrscheinlichkeit eines erfolgreichen Angriffs.

Auf das Schlimmste vorbereitet sein, für das Beste planen

Wenn alles andere scheitert, müssen Sie trotzdem auf das Schlimmste vorbereitet sein. Die Planung für den Fall des Scheiterns trägt dazu bei, die tatsächlichen Folgen zu minimieren, falls es doch dazu kommt. Wenn die IT-Abteilung bereits im Vorfeld Sicherungsspeicher oder ausfallsichere Systeme eingerichtet hat, kann sie die Sicherheitsmaßnahmen ständig überwachen und schnell auf einen Verstoß reagieren.

Ist die Sicherheitsverletzung nicht schwerwiegend, kann das Unternehmen oder die Organisation mit dem Backup weiterarbeiten, während das Problem behoben wird. Bei der IT-Sicherheit geht es sowohl um Schadensbegrenzung als auch um Prävention und Schadensbegrenzung.

Sicherung, Sicherung, Sicherung

Im Idealfall wird nie in ein Sicherheitssystem eingebrochen, aber wenn es doch zu einem Sicherheitsverstoß kommt, sollte das Ereignis aufgezeichnet werden. Tatsächlich zeichnen IT-Mitarbeiter oft so viel wie möglich auf, auch wenn keine Sicherheitsverletzung vorliegt.

Manchmal sind die Ursachen für Sicherheitsverstöße im Nachhinein nicht erkennbar, daher ist es wichtig, Daten zu haben, die eine Rückverfolgung ermöglichen. Die Daten aus Sicherheitsverletzungen können schließlich dazu beitragen, das System zu verbessern und künftige Angriffe zu verhindern – auch wenn es zunächst keinen Sinn ergibt.

Häufige Tests durchführen

Hacker entwickeln ihr Handwerk ständig weiter, und das bedeutet, dass auch die Informationssicherheit sich weiterentwickeln muss, um Schritt zu halten. IT-Fachleute führen Tests durch, nehmen Risikobewertungen vor, lesen den Notfallwiederherstellungsplan erneut durch, überprüfen den Plan zur Aufrechterhaltung des Geschäftsbetriebs im Falle eines Angriffs und wiederholen dann alles. (Lesen Sie auch: 5 Gründe, warum Sie für Hacker dankbar sein sollten).

Das Fazit

Die IT-Sicherheit ist eine anspruchsvolle Aufgabe, die viel Liebe zum Detail und gleichzeitig ein hohes Maß an Bewusstsein erfordert. Doch wie viele Aufgaben, die auf den ersten Blick komplex erscheinen, lässt sich auch die IT-Sicherheit in grundlegende Schritte unterteilen, die den Prozess vereinfachen können. Das heißt nicht, dass es einfach ist, aber es hält die IT-Experten auf Trab.

Verwandte Begriffe

Claudio Buttice
Technischer Autor
Claudio Buttice
Technischer Autor

Dr. Claudio Butticè, Pharm.D., ist ein ehemaliger Klinik- und Krankenhausapotheker, der für mehrere öffentliche Krankenhäuser in Italien sowie für die humanitäre Nichtregierungsorganisation Emergency arbeitete. Heute ist er ein erfolgreicher Buchautor, der über Themen wie Medizin, Technologie, Armut in der Welt, Menschenrechte und Wissenschaft für Verlage wie SAGE Publishing, Bloomsbury Publishing/ABC-Clio und Mission Bell Media geschrieben hat. Seine neuesten Bücher sind "Universal Health Care" (2019) und "What You Need to Know about Headaches" (2022). Als Datenanalyst und freiberuflicher Journalist wurden viele seiner Artikel in Zeitschriften wie Cracked, The Elephant, Digital Journal, The Ring of Fire und Business Insider veröffentlicht. Dr. Butticè…