• Datenschutz
  • Vertraulichkeit: Dateien dürfen nur von autorisierten Benutzern gelesen werden.
  • Übertragungssicherheit: Die Übertragung vom Rechner zu anderen Rechnern, Geräten oder zum Benutzer kann nicht ausgespäht werden.
  • Privatsphäre: Persönlichkeitsdaten bzw. Anonymität müssen gewahrt bleiben.

• Datensicherheit
  • Funktionalität: Hardware und Software sollen erwartungsgemäß funktionieren.
  • Integrität: Software und Daten dürfen nicht unbemerkt verändert werden.
  • Authentizität: Echtheit und Glaubwürdigkeit einer Person oder eines Dienstes müssen überprüfbar sein.
  • Verbindlichkeit: Urheber von Veränderungen müssen erkennbar sein und dürfen Veränderung nicht abstreiten können.
• Randthemen
  • Verbindlichkeit
  • Nicht-Anfechtbarkeit: der Nachweis, dass eine Nachricht versendet und empfangen worden ist
  • Zugriffssteuerung: Reglementierung des Zugriffes von außen
  • Verfügbarkeit: Nutzbarkeit
  • Nachweisbarkeit
  • Datenschutz
  • in bestimmtem Kontext (z.B. im Internet) auch Anonymität zu nennen.

Folgende Aspekte sind in einer umfassenden Informatiosnssicherheit zumindest teilweise enthalten:

• IT-Sicherheit ist als Oberbegriff für die Sicherheit von technischen Systemen auf Basis von Informations- und Kommunikationstechnologie, zu verstehen. Der Begriff zählt zu den sogenannten Buzzwords, die in Theorie und Praxis uneinheitlich und teilweise widersprüchlich verwendet werden.
• Computersicherheit: die Sicherheit eines Computersystems vor Ausfall und Manipulation (Datensicherheit) sowie vor unerlaubtem Zugriff (Datenschutz)
• Netzwerksicherheit
• Datensicherheit ist ein aus dem Datenschutz stammender Begriff mit dem Ziel, Daten jeglicher Art in ausreichendem Maße vor Verlust, Manipulationen, unberechtigter Kenntnisnahme durch Dritte und anderen Bedrohungen zu schützen. Dabei sind auch nicht dem Datenschutz unterliegende Daten eingeschlossen. Hinreichende Datensicherheit ist eine Voraussetzung von effektiven Datenschutz. Nur wenn geeignete Schutzmaßnahmen getroffen werden, kann man davon ausgehen, dass vertrauliche bzw. personenbezogene Daten nicht in die Hände von Unbefugten gelangen. Hierbei spricht man in der Regel von technischen und organisatorischen Maßnahmen zum Datenschutz, welche auch in der Anlage zum § 9 BDSG beschrieben sind.
• Betriebssystemsicherheit
• Datensicherung ist ein Synonym für Backup. Er war jedoch der ursprüngliche Datenschutzrechtliche Begriff für Datensicherheit!

In den Kindertagen des (Personal-)Computers verstand man unter Computersicherheit die Sicherstellung der korrekten Funktionalität von Hardware (Ausfall von z.B. Bandlaufwerken oder anderen mechanischen Bauteilen) und Software (richtige Installation und Wartung von Programmen). Mit der Zeit änderten sich die Anforderungen an die Computer (Internet, Speichermedien); die Aufgaben zur Computersicherheit mussten anders gestaltet werden. Somit bleibt der Begriff der Computersicherheit wandelbar und Spiegel der momentanen technologischen Welt.

Private und öffentliche Unternehmen sind heute in allen Bereichen ihrer Geschäftstätigkeit, Privatpersonen in den meisten Belangen des täglichen Lebens auf IT-Systeme angewiesen. Da neben der Abhängigkeit auch die Risiken für IT-Systeme in Unternehmungen i.d.R. größer sind als für Computer und Netzwerke in privaten Haushalten, wird Informationssicherheit überwiegend in Unternehmen betrieben. Entsprechende Verpflichtungen lassen sich im gesamten deutschsprachigen Raum aus den verschiedenen Gesetzen zum Gesellschaftsrecht, Haftungsrecht, Datenschutz, Bankenrecht usw. herleiten. Dort stellt Informationssicherheit ein Baustein des Risikomanagementes dar. International spielen Vorschriften wie Basel II und der Sarbanes-Oxley Act eine wichtige Rolle.

Zu den Bedrohungen für die IT-Sicherheit gehören u.a.

• Computerviren, Trojaner und Würmer, die zusammengefasst als Malware bezeichnet werden,
• Spoofing, d.h. das Vortäuschen einer falschen Identität,
• Hacking, Cracking sowie andere Formen von Sabotage,
• Spionage, z.B. in Form von Man in the Middle Angriffen,
• höhere Gewalt, z.B. in Form von Blitzschlag, Feuer oder Überschwemmung,
• Social Engineering.

Die Maßnahmen müssen im Rahmen der Erstellung eines Sicherheitskonzeptes an den Wert der zu schützenden Daten angepasst werden. Zuviele Maßnahmen führen zu Kosten- und Akzeptanzproblemen, bei zuwenig Maßnahmen bleiben "lohnende" Sicherheitslücken offen.

Informationssicherheit ist grundsätzlich eine Aufgabe der Leitung einer Organisation oder eines Unternehmens und sollte nach einem Top-Down Ansatz organisiert sein. Insbesondere die Verabschiedung von Informationsschutz- und Sicherheitsrichtlinien (Security Policy) ist Aufgabe des obersten Managements. Weitere Aufgabe des Managements ist die installation eines Sicherheitsmanagementsystems. Dieses ist für die operative Umsetzung und Kontrolle der Security Policy zuständig. Durch diese Maßnahmen sollen geeignete Organisations- und Managementstrukturen geschaffen werden. Hauptartikel: ISMS

Maßnahmen sind unter anderem physische bzw. räumliche Sicherung von Daten, Zugriffskontrollen, das Aufstellen fehlertoleranter Systeme und Maßnahmen der Datensicherung und die Verschlüsselung. Wichtige Voraussetzung ist die Sicherheit der verarbeitenden Systeme. Ein effektives Sicherheitskonzept berücksichtigt jedoch neben technischen Maßnahmen auch organisatorische und personelle Maßnahmen.

Zu den Sicherheitsmaßnahmen, die in Unternehmen und Privathaushalten im Hinblick auf die IT-Sicherheit getroffen werden können, gehören u.a.

• Verschlüsselung/Kryptographie,
• Firewalls,
• Virenscanner,
• Backup,
• Protokollierung,

Ein wichtiger Aspekt in der Umsetzung von Sicherheitsrichtlinien ist die Ansprache der eigenen Mitarbeiter, die Bildung von sogenannter IT-Security Awareness. Hier fordern die ersten Arbeitsrichter den Nachweis der erfolgten Mitarbeitersensibilisierung für den Fall eines etwaigen Verstoßes gegen die Firmenrichtlinien. Mitarbeitersensibilisierung variiert typischerweise von Unternehmen zu Unternehmen. Ausgehend von Präsenzveranstaltungen über web basierte Seminare bis hin zu Sensibilisierungskampagnen.

Zur Bewertung und Zertifizierung (Qualitätsmanagement) der Sicherheit von Computersystemen existieren internationale Normen. Wichtige Normen in diesem Zusammenhang sind vor allem die amerikanischen TCSEC- und die europäischen ITSEC-Standards sowie der neuere Common-Criteria-Standard. Die Zertifizierung erfolgt in Deutschland in der Regel durch das Bundesamt für Sicherheit in der Informationstechnik.

• IT-Grundschutzhandbuch des BSI

Das Grundschutzhandbuch definiert konkret für die verschiedenen Aspekte einer IT-Landschaft Maßnahmen, die zur Erhaltung der Sicherheit erfüllt werden müssen (Waschzettel). ISO 17799 dagegen ist eher abstrakt, und führt nur die Aufgabenfelder auf, ohne auf konkrete Maßnahmen einzugehen. Ferner geht ISO 17799 noch auf die Management-Aufgaben (ISMSS) ein, die derzeit so noch nicht im Grundschutzhandbuch zu finden sind. Schließlich ist ISO 17799 ein internationaler Standard, während das Grundschutzhandbuch primär in Deutschland bekannt ist.

• ISO 27001
• BS 7799-1
• BS 7799-2
• ITIL
• BS 15000
• CobiT
• ISO TR 13335
• ISO 27799: Health informatics - Security management in health using ISO 17799 speziell für den Gesundheitsbereich
• Common Criteria for Information Technology Security Evaluation
• Trusted Computer System Evaluation Criteria

Vorlage:MehrfacheintragIm internationalen Umfeld hat sich mittlerweile der British Standard BS7799 "Leitfaden zum Management von Informationssicherheit" durchgesetzt, der 1995 zum ersten Mal veröffentlicht wurde.

Aus Teil 1 des British Standard BS7799 ist mittlerweile der ISO/IEC-Standard 17799:2000 hervorgegangen, der nun in revidierter Fassung als ISO/IEC 17799:2005 vorliegt.

Der ISO/IEC 17799:2005-Standard beinhaltet 134 Maßnahmen zur Informationssicherheit, die in 11 Gebiete gruppiert sind:

• 1. Information Security Policy – Weisungen und Richtlinien zur Informationssicherheit
• 2. Organization of information security – Organisatorische Sicherheitsmassnahmen und Managementprozess
• 3. Asset management – Verantwortung und Klassifizierung von Informationswerten
• 4. Human resources security – Personelle Sicherheit
• 5. Physical and Environmental Security – Physische Sicherheit und öffentliche Versorgungsdienste
• 6. Communications and Operations Management – Netzwerk- und Betriebssicherheit (Daten und Telefonie)
• 7. Access Control – Zugriffskontrolle
• 8. Information systems acquisition, development and maintenance – Systementwicklung und Wartung
• 9. Information security incident management - Umgang mit Sicherheitsvorfällen
• 10. Business Continuity Management – Notfallvorsorgeplanung
• 11. Compliance – Einhaltung rechtlicher Vorgaben, der Sicherheitsrichtlinen und Überprüfungen durch Audits

Im Bereich der technischen Sicherheitsmassnahmen lässt sich ISO/IEC 17799 sinnvoll durch das IT-Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik ergänzen.

Aus Teil 2 von BS7799 hat sich der ISO/IEC Standard 27001:2005 entwickelt. Er spezifiziert die Anforderungen an ein ISMS (Information Security Management System) und ist, vergleichbar zu ISO 9001, ein Management-Standard, nach dem auch zertifiziert werden kann. Die ISO/IEC-Standards zur Informationssicherheit sollen sukzessive erweitert werden: vier weitere Standards der der 27000-er Reihe sind bereits in Entwicklung, weitere in Planung.

Neben den Standards zur Informationssicherheit gibt es auch Standards für die Ausbildung von Sicherheitsfachkräften. Als wichtigste sind zu nennen die Zertifizierungen der ISACA (Information Systems Audit and Control Association), z.B. CISM (Certified Information Security Manager), CISA (Certified Information Security Auditor), des ISC² z.B. CISSP (Certified Information System Security Professional),sowie die GIAC-Zertifizierungen des SANS Institute.

Zur Beschleunigung des Prozesses und Hervorhebung der Wichtigkeit haben unter anderem die Ergebnisse von Basel II, die Vorschriften von BaFin und des KWG sowie der einzelnen Verbandsrevisionen der Sparkassen und Banken beigetragen. Verstärkt werden sowohl externe als auch interne Prüfungen auf dieses Thema ausgelegt. Gleichzeitig entstand ein umfangreiches Dienstleistungsangebot zur Durchführung verschiedener Projekte, die einen IT-Sicherheitsprozesses in Unternehmen etablieren sollen. Anbieter sind sowohl innerhalb der jeweiligen Unternehmensgruppe als auch auf dem externen Markt zu finden.

Bei anderen Finanzdienstleistungsinstituten, Versicherungsunternehmen und den Unternehmen des Wertpapierhandels wird das Konzept im Allgemeinen identisch sein, wobei hier zum Beispiel auch andere Gesetze eine Rolle spielen können.

In den weiteren Sektoren der Wirtschaft sind weniger relevante Aufsichtsbehörden, Gesetzgebungen u.ä. aber auch weniger prüfende Stellen wie zum Beispiel Revisionen zu finden. Die Bedeutung von IT-Sicherheit behält trotzdem auch hier ihren Stellenwert. Hilfestellung gewährt hier das IT-Grundschutzhandbuch des BSI, dessen Nutzung kostenfrei ist.

In diesem Bereich ist das IT-Grundschutzhandbuch des BSI das Standardwerk. In großem Maße erhalten diese Stellen das zugehörige GSTOOL, welches die Durchführung deutlich vereinfacht, kostenlos.

Die Sabotage von Computersystemen, also die "Daten-sachbeschädigung" bei der Daten verändert werden ("Computersabotage") ist nach § 303b StGB strafbar und wird mit Haftstrafe von bis zu fünf Jahren oder Geldstrafe bestraft. Das Ausspähen von Daten, also das bloße Verschaffen, § 202a StGB, wird mit Haftstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

Daten sind nach § 202a Abs. 2 i.V.m. Abs. 1 aber nur vor dem Ausspähen geschützt, wenn sie "besonders gesichert" sind, um ein Ausufern des Tatbestandes zu vermeiden. Das heisst, erst wenn der Nutzer seine Daten technisch schützt geniesst er auch den strafrechtlichen Schutz. Besonders umstrittene Bereiche des § 202a StGB: Ob das bloße Hacken eines Rechners einen Straftatbestand darstellt ist rechtlich umstritten (schließlich erlangt man dadurch noch keine Daten, auch wollte die gesetzliche Konzeption dies (wohl) nicht erfassen. Weiter ist umstritten, ob die Verschlüsselung zur besonderen Sicherung zählt. (Sie ist zwar sehr effektiv, aber es wird argumentiert, die Daten seien ja nicht gesichert sondern lägen nur in "unverständlicher" bzw. schlicht "anderer" Form vor.

• Bundesamt für Sicherheit in der Informationstechnik: IT-Sicherheitsmanagement und IT-Grundschutz BSI-Standards zur IT-Sicherheit. Bundesanzeiger 2005, ISBN 3-89817-547-2
• Claudia Eckert: IT Sicherheit. 4. Auflage 2006, Oldenbourg, ISBN 3-486-57851-0
• Gabriela Hoppe, Andreas Prieß: Sicherheit von Informationssystemen. Gefahren, Maßnahmen und Management im IT-Bereich. Verlag Neue Wirtschafts-Briefe 2003, ISBN 3-482-52571-4
• Frederik Humpert: IT-Grundschutz umsetzen mit GSTOOL. Hanser, ISBN 3-446-22984-1
• Heinrich Kersten, Klaus-Dieter Wolfenstetter: Handbuch der Informations- und Kommunikationssicherheit Fachverlag Deutscher Wirtschaftsdienst GmbH & Co. KG, Köln, 2000, ISBN 3871564036
• Hans-Peter Königs: IT-Risiko-Management mit System Vieweg 2005, ISBN 3528058757
• Klaus-Rainer Müller: IT-Sicherheit mit System. 2. Auflage 2005. Vieweg, ISBN 3-528-15838-7
• Klaus-Rainer Müller: Handbuch Unternehmenssicherheit. Vieweg, 2005, ISBN 3-528-05889-7
• Hartmut Pohl, Gerhard Weck: Einführung in die Informationssicherheit Oldenbourg 1993, ISBN 3486220365
• Christoph Ruland: Informationssicherheit in Datennetzen VMI Buch AG, Bonn 1993, ISBN 3892380813
• Bruce Schneier: Secrets & Lies: IT-Sicherheit in einer vernetzten Welt. Broschiert 2004. dpunkt Verlag, ISBN 3-89864-302-6
• Görtz, Stolp: Informationssicherheit im Unternehmen. Sicherheitskonzepte und -lösungen in der Praxis Addison-Wesley 1999, ISBN 3827314267
• Gerd Wolfram: Bürokommunikation und Informationssicherheit. Vieweg, Wiesbaden 1986, ISBN 3528036044
• Ulrich Moser: Information Security. Sicherheitskonzepte für Unternehmen. BPX.ch ICT-Fachverlag, Rheinfelden 2005, ISBN 3905413388
• Allgemeine IT-Sicherheits Broschüre für Konsumenten
• Eckert, Claudia: IT Sicherheit. 4. Auflage 2006, Oldenbourg, ISBN 3-486-57851-0
• Hacker's Guide. Markt und Technik, ISBN 3-8272-6522-3
• Hacking Intern. Data Becker, ISBN 3-8158-2284-X
• Müller, Klaus-Rainer: IT-Sicherheit mit System. 2. Auflage 2005, VIEWEG, ISBN 3-528-15838-7
• Müller, Klaus-Rainer: Handbuch Unternehmenssicherheit. 2005, VIEWEG, ISBN 3-528-05889-7
• Schneier, Bruce: Angewandte Kryptographie. Addison-Wesley, ISBN 3-89319-854-7
• Schneier, Bruce: Secrets & Lies: IT-Sicherheit in einer vernetzten Welt. Broschiert, 2004, dpunkt Verlag, ISBN 3-89864-302-6
• Schneier, Bruce: Beyond Fear. Springer, ISBN 0-387-02620-7
• Schumacher, Markus: Hacker Contest. Xpert.press, ISBN 3-540-41164-X
• Stoll, Clifford: Kuckucksei: Die Jagd auf die deutschen Hacker, die das Pentagon knackten. Fischer Taschenbücher, ISBN 3-596-13984-8

• IT-Grundschutzkatalog vom Bundesamt für Sicherheit in der Informationstechnik.
• Umfangreicherer Text über "Sicherheit in Netzen"
• Linuxbezogener Text zu Sicherheit am Rechner - auch als pdf-Version.
• Informationsseite über die Gefahren des Internets und den Schutz vor diesen Gefahren
• Bundesamt für Sicherheit in der Informationstechnik
• Fachhochschule beider Basel Weiterbildung im Bereich Informationssicherheit (Vorbereitung CISSP) in der Schweiz
• The SANS Institute
• Computer Emergency Response Team des Deutschen Forschungsnetzes
• CASEScontact.org Internationales Informationsicherheitsportal fuer Private und KMUs mit Warnungen, Tipps & Ratgebern zur besseren Sicherheit
• CERT Coordination Center Internationales Computer Emergency Response Team des Software Engineering Institute der Carnegie Mellon University
• ISMS International User Group www.xisec.com Official web site of the ISMS International User Group
• Ins Internet – Mit Sicherheit (Informations-Website des BSI für Internetnutzer)
• Informationsportal zum Thema IT Risikomanagement mit umfangreicher virtueller Bibliothek (eLibrary) mit vielen Fachartikeln zum Thema
• Studiengang "Sicherheit in der Informationstechnik" an der Ruhr-Universität Bochum
• computec.ch – deutschsprachiges Portal zum Thema IT-Sicherheit
• CASEScontact.org Internationales Portal ueber Informationsicherheit mit Warnungen, Tipps & Ratgebern zur besseren Sicherheit
• Online Universität mit dem Schwerpunkt IT-Sicherheit - Awareness und Datenschutz
• Ken Thompson, Reflections on Trusting Trust. Exzellenter englischer Artikel über Softwaresicherheit und deren Untergrabung, etwa durch Trojaner.
• [http://www.linkblock.de/ website mit vielen sehr guten links zum Thema Sicherheit
• Datensicherheit (TU-Dresden.de) L3
• Zeitschrift <kes> (Zeitschrift für Kommunikations- und EDV-Sicherheit, Organ des Bundesamtes für Sicherheit in der Informationstechnik)
• Onlinemagazin zum Thema Datensicherheit

Vorlage:Mehrfacheintrag

Während im Firmenumfeld die ganze Themenbreite der Computersicherheit Beachtung findet, verbinden viele Privatanwender mit dem Begriff primär den Schutz vor Viren oder Spyware.

Die ersten Computerviren waren noch recht harmlos und dienten lediglich dem Aufzeigen diverser Schwachstellen von Computersystemen. Doch recht bald erkannte man, dass Viren zu weitaus mehr in der Lage sind. Es begann eine rasante Weiterentwicklung der Schädlinge und der Ausbau ihrer Fähigkeiten – vom simplen Löschen von Dateien über das Ausspionieren von Daten (z. B. von Passwörtern) bis hin zum Öffnen des Rechners für entfernte Benutzer (Backdoor).

Mittlerweile existieren diverse Baukästen im Internet, die neben einer Anleitung auch alle notwendigen Bestandteile für das einfache Programmieren von Viren liefern. Nicht zuletzt schleusen kriminelle Organisationen Viren auf PCs ein, um diese für ihre Zwecke (UBE/UCE, DoS-Attacken, etc.) zu nutzen. So entstanden bereits riesige Bot-Netze, die auch illegal vermietet werden.

Besonders der Anschluss vieler Computer mit sensiblen Daten an das Internet und Programmierfehler in fast jeder Software machen es quasi unmöglich, Sicherheit vor jeder Art von Angriffen zu erreichen. Ein System wird dann als sicher bezeichnet, wenn der Aufwand für das Eindringen in das System höher ist als der daraus resultierende Nutzen für den Angreifer. Deshalb ist es wichtig, die Hürden für einen erfolgreichen Einbruch möglichst hoch zu setzen und damit das Risiko zu reduzieren.

Insbesondere sollte man keine bekanntermaßen gefährdete Software einsetzen. Im Bereich der Personal-Computer fallen z.B. die Programme Internet Explorer und Outlook Express von Microsoft immer wieder durch sicherheitskritische Lücken auf. Bei Servern sind dies hingegen Sendmail (ein Mailserver) oder auch BIND (ein DNS-Server).

Wichtig ist, dass die Konfiguration der genutzten Software an die jeweiligen Bedürfnisse angepasst wird. So ist es bei vielen an das Internet angeschlossenen Rechnern nicht nötig, dass auf ihnen Server-Programme laufen. Da Server-Dienste von vielen Betriebssystemen in der Standardinstallation geladen werden, schließt man mit deren Deaktivierung eine Reihe wichtiger Angriffspunkte. Viele Programme erlauben eine individuelle Konfiguration unter Sicherheitsaspekten und die Einrichtung von Zugriffsbeschränkungen. Außerdem ist es von Bedeutung, sich über Schwachstellen in der eingesetzten Software zu informieren und regelmäßig Aktualisierungen einzuspielen.

Ein weiteres Problem ist das sichere Löschen von Daten. Eine anerkannte Methode dafür ist die Gutmann-Methode.

Zur Computersicherheit gehört nicht nur der präventive Einsatz technischer Werkzeuge wie beispielsweise Firewalls, Intrusion-Detection-Systeme etc., sondern auch ein organisatorischer Rahmen in Form durchdachter Grundsätze (Policy, Strategie), die den Menschen als Anwender der Werkzeuge in das System einbezieht. Allzu oft gelingt es Hackern, durch Ausnutzung eines zu schwachen Kennworts oder durch so genanntes Social Engineering Zugang zu sensiblen Daten zu erlangen.

Der Mangel an Computersicherheit ist eine vielschichtige Bedrohung, die nur durch eine anspruchsvolle Abwehr beantwortet werden kann. Der Kauf einer Software ist kein Ersatz für eine umsichtige Untersuchung der Risiken, möglicher Verluste, der Abwehr und von Sicherheitsbestimmungen.

Ist einmal die Sicherheit eines Systems verletzt worden, muss es als kompromittiert betrachtet werden, was Maßnahmen zur Verhinderung weiterer Schäden und zur Datenrettung erfordert.