Computersicherheit

Unter Computersicherheit versteht man, dass Maßnahmen getroffen werden, die sicherstellen, dass nur befugte Personen Zugriff auf ein Computersystem haben. Da auf Computersystemen immer wertvollere Daten gespeichert werden, wächst die Wichtigkeit der Computersicherheit. Und da Computersysteme immer komplexer werden, ist absolute Sicherheit in der realen Welt nicht zu erreichen.

Ein Dieb kann erfolgreich die bestbewachte Bank ausrauben. Ein Computerkrimineller kann im bstgesicherten Computer Daten lesen, kopieren und zerstören. Wie in der richtigen Welt ist das Beste, dass man tun kann, es dem Verbrecher möglichst schwer zu machen, die Kosten/Nutzen-Gleichung zu verändern. Die Auswirkungen von Datenverlust kann man reduzieren, indem man Backups anfertigt und sich versichert. Und Sie können das Kosten/Nutzen-Verhältnis verändern, indem Sie nach der Attake den Verbrecher juristisch verfolgen.

Der einzige Unterschied zwischen Computersicherheit und der realen Welt einer "Banksicherheit" ist der, dass Computersystem im Regelfall nur schlecht verstanden werden. Manager haben normalerweise ein klares Bild von Sicherheitsmaßnahmen wie Zäunen, Mauern, Sicherheitspersonal, Alarmanlagen, Polizei usw. Und wenn nicht sie, dann ihre Versicherungen. Computersysteme sind oftmals nicht gegen Datenklau und Zerstörung versichert, damit ist auch "Sicherheitsberatung" (durch Auflagen von Versicherungen) verloren. Dieser Mangel an Versicherung ist angesichts der Wichtigkeit eines möglichen Verlustes schon bemerkenswert. Dies stammt vom selben Mangel an Wissen, obwohl die Gründe komplexer sein mögen.

Ein Jugendlicher, der im Kaufhaus umher spaziert und sich eine Trophäe nimmt, um sie seinen Freunden zu zeigen, wird in der realen Welt nicht wie ein gefährlicher Krimineller behandelt. Sollte so ein Entdecker in das Computersystem einer Firma einbrechen, sollte das Management schwere Geschütze auffahren, der Eindringling riskiert eine Bestrafung, falls er gefasst wird. Der Wissensmangel ist das größte Risiko in einer Firma. Natürlich werden Sie technisch versiertes Personal haben, aber dieses wird sich eher um technische Dinge kümmern. Social engineering z.B. wird wahrscheinlich ignoriert.

Natürlich sind die Parallelen zwischen Computersicherheit und Sicherheit in der Realen Welt aus einer Reihe von Gründen nicht exakt. Z.B. ist Vandalismus sehr viel gefährlicher in einem Computersystem, weil es potentiell viel zerstörerischer ist. Ein Vandale kann in tausenden Computersystemen rund um die Welt Verwüstung anrichten ohne allzu große Gefahr, erwischt zu werden. Natürlich wäre das Ergebnis nicht so sichtbar wie ein Graffiti, aber alles in allem ist es doch erstaunlich, dass die Wahrscheinlichkeit für einen Schaden durch einen Computervirus oder einen Computerwurms heute klein ist.

Heutzutage besteht Computersicherheit in der Hauptsache aus präventiven Maßnahmen wie z.B. Firewalls. Eine Firewall können wir uns vorstellen als einen Zaun um unser Lagerhaus. Dies ist ein erster Schritt. Aber nicht genug, falls man den Zaun nicht bewacht oder falls man jedem einen Schlüssel gibt, der darum telefonisch bittet (Social Engineering). (...) Jedoch werden viele Computersysteme nicht überwacht, und die Zahl der Computerkriminellen, die zur Rechenschaft gezogen werden, ist sehr gering. Somit ist es kein Wunder, dass in dieser Situation kaum jemand versichert ist: die Police wäre sehr teuer.

(...)

Um es kurz zu machen, der Mangel an Computersicherheit ist ein vielschichtige Bedrohung, die nur durch eine vielschichtige Abwehr beantwortet werden kann. Der Kauf einer Software aus dem Regal ist kein Ersatz für eine umsichtige Untersuchung der Risiken, der möglichen Verluste, der Abwehr und der Sicherheitsbestimmungen auf einer hohen Ebene der Firma.

Siehe auch: Verschlüsselung - PGP - Steganografie - Firewall - Kryptographie - Intrusion Detection System - Computervirus