„Vielen Dank, dass Sie ACME AntiVirus gekauft haben. Ihr PC ist jetzt für ein Jahr geschützt.“ Eine Security Software auswählen, bezahlen und installieren - schon ist für die gekaufte Laufzeit erst einmal Ruhe. Diese Rückmeldung wird so hoffentlich nur in Privathaushalten sichtbar sein. Dennoch zeigt sie beispielhaft, wie Informationssicherheit häufig auch nach Spectre, Meltdown und Co. in Unternehmen verstanden wird. Dabei ist das Thema weitaus komplexer.

Schutzziele als Basis für Informationssicherheit

Im geschäftlichen Umfeld bilden sogenannte Schutzziele die Basis, um Informationssicherheit zu erreichen. Dazu zählen insbesondere

• Vertraulichkeit: Informationen dürfen nur von denjenigen Personen einsehbar sein, die dazu berechtigt sind. Hier müssen sowohl der Speicherort als auch die Transportwege sämtlicher Informationen betrachtet werden.
• Integrität: Alle Änderungen von Informationen müssen nachvollziehbar sein. Keine Änderung bleibt unbemerkt.
• Verfügbarkeit: Systemausfälle müssen vermieden werden. Informationen müssen innerhalb eines definierten Zeitraums verfügbar sein.

Die Komplexität liegt hier wie häufig im Detail. Denn um die Schutzziele erfüllen zu können, müssen diverse Maßnahmen ergriffen werden, die sowohl technischer als auch organisatorischer Natur sein können.

Mit welchen technischen Maßnahmen können die Schutzziele erreicht werden?

Eine Anti-Virus-Lösung kann beispielsweise je nach Möglichkeit und Konfiguration dazu beitragen, alle drei Schutzziele zu erreichen.

• Vertraulichkeit: Sie kann die Ausführung von Schadsoftware verhindern, durch die Zugriff auf vertrauliche Informationen erlangt werden soll.
• Integrität: Sie kann die Modifizierung von Informationen durch verschiedene Malware verhindern.
• Verfügbarkeit: Sie kann Malware blocken, die das System unbrauchbar machen kann.

Außer der Installation einer Anti-Virus-Lösung bieten sich im geschäftlichen Umfeld eine Reihe weiterer technischer Maßnahmen an, um die Sicherheit von Informationen zu gewährleisten. So kann die Vertraulichkeit von E-Mails z.B. durch Verschlüsselung sichergestellt werden. Bei Dateien können Berechtigungen auf Datei- oder Verzeichnisebene erteilt werden. Solche Berechtigungen müssen kontinuierlich überwacht und angepasst werden. Integrität kann z.B. durch die Signierung von Informationen gewährleistet werden. Und die Verfügbarkeit von Informationen kann schließlich durch den Einsatz von Hochverfügbarkeits- oder Backup-Lösungen verbessert werden. Dies sind nur wenige der vielfältigen Möglichkeiten.

Wenn aber z.B. das Backup in der Cloud erfolgt und der Cloudspeicher durch eine Fehlkonfiguration öffentlich erreichbar ist, ist die Vertraulichkeit und Integrität der Informationen in Gefahr. Das heißt, wenn alle drei Schutzziele erreicht werden sollen, müssen stets die Folgen und Auswirkungen aller technischer Einzelmaßnahmen im Blick behalten werden.

Welche organisatorischen Maßnahmen neben den technischen Vorkehrungen notwendig sind, um Informationen im geschäftlichen Umfeld zu sichern, erfahren Sie im 2. Teil meines Blog-Beitrags.