M185 - Sicherheitsmassnahmen für KMU IT
  • Intro
  • Administration
    • 🗓️Organisatorisches / Bewertung
    • Bewertung / Kompetenznachweis
  • TAG 1
    • 🏁Tagesziele
    • Einstieg IT-Security
      • 📝Aufgabe 1
      • 📝Aufgabe 2 - Vorfälle untersuchen
    • Sicherheitsstandards
      • ISO 27001 / 27002
      • Center for Internet Security (CIS)
      • NIST
      • OSSTMM
    • BSI Grundschutzkompendium
      • IT-Grundschutz
      • 📝Aufgabe 1 - Strukturanalyse
      • 📝Aufgabe 2 - Analyse / Modellierung durchführen
  • TAG 2
    • 🏁Tagesziele
    • Bedrohungen und Angriffsformen
      • Ransomware-Angriffe
      • Phishing
      • Supply Chain-Angriffe
      • Zero-Day-Exploits
      • DDos-Angriffe
      • Credential Stuffing
      • Social Engineering
    • 📝Aufgabe - HackTheBox einrichten
    • 📝Aufgabe - HackTheBox Tier 0 lösen
    • 📝Aufgabe - HackTheBox Tier 1
    • 📝Aufgabe - BSI - Gefährdungskatalog
  • TAG 3
    • 🏁Tagesziele
    • Angriffsarten auf Web-Applikationen
      • OWASP TOP 10
      • 📝Aufgabe - OWASP TOP 10
      • 📝Aufgabe - Angriffsarten
    • Mittel und Methoden
    • 📝Nachbearbeitung - HackTheBox Tier 1
    • 📝Aufgabe - HackTheBox Tier 2
  • TAG 4
    • 🏁Tagesziele
    • Sicherheitsmechanismen
      • 📝Atomkraftwerk absichern
    • Audit-Reports
    • 📝Erstellen Audit-Report
  • TAG 5
    • 🏁Tagesziele
    • Cyberattacke - was tun?
    • Meldestelle Schweiz
    • 📝Aufgabe - Checkliste
  • Laborumgebung
    • Hardware
    • HackTheBox Setup
    • Software
Powered by GitBook
On this page
  • CIA-Schutzziele
  • Vertraulichkeit (Confidentiality)
  • Integrität (Integrity)
  • Verfügbarkeit (Availability)
  • Erweiterte Schutzziele der CIA-Triade
  • Authentizität (Authenticity)
  • Nicht-Abstreitbarkeit (Non-Repudiation)
  • Verantwortlichkeit (Accountability)
  • Privatsphäre (Privacy)
  1. TAG 1

Einstieg IT-Security

Dieser Einstieg soll aufzeigen, warum IT-Security überhaupt betrieben wird und in welche Bereiche sie unterteilt ist. Wir orientieren uns dabei an der CIA-Triad.

CIA-Schutzziele

Die CIA-Schutzziele bilden das grundlegende Konzept in der Informationssicherheit. Sie stehen für die drei Hauptziele, die bei der Sicherung von Informationen und Computersystemen verfolgt werden.

Vertraulichkeit (Confidentiality)

Das Ziel der Vertraulichkeit ist es sicherzustellen, dass Informationen nur von autorisierten Personen oder Entitäten eingesehen oder genutzt werden können. Dies bedeutet, dass sensible Daten vor unbefugtem Zugriff, Diebstahl oder Offenlegung geschützt werden müssen. Verschlüsselung, Zugriffskontrollen und Datenschutzrichtlinien sind einige der Massnahmen, die eingesetzt werden, um die Vertraulichkeit zu gewährleisten. Beispiele:

  • Ein Unternehmen verschlüsselt alle sensiblen Kundendaten, die es in seiner Datenbank speichert, um sicherzustellen, dass nur autorisierte Mitarbeiter auf diese Daten zugreifen können.

  • Eine Regierungsbehörde klassifiziert bestimmte Dokumente als "streng vertraulich" und stellt sicher, dass nur Mitarbeiter mit entsprechender Sicherheitsfreigabe darauf zugreifen können.

Integrität (Integrity)

Die Integrität bezieht sich darauf, dass Informationen korrekt und unverändert bleiben. Das bedeutet, dass Informationen vor unbefugten Änderungen, Manipulationen oder Beschädigungen geschützt werden müssen. Zur Wahrung der Integrität werden Massnahmen wie Hash-Funktionen, digitale Signaturen und Versionierung verwendet, um sicherzustellen, dass Daten nicht unbemerkt verändert werden. Beispiele:

  • Eine Bank verwendet Hash-Funktionen, um sicherzustellen, dass Transaktionsdaten nicht unbefugt geändert werden. Wenn Daten manipuliert werden, wird die Hash-Prüfsumme ungültig, und die Manipulation wird erkannt.

  • Ein Softwareentwicklungsunternehmen verwendet digitale Signaturen, um sicherzustellen, dass Softwareupdates und -patches authentisch und nicht verändert sind, bevor sie auf Kundencomputern installiert werden.

Verfügbarkeit (Availability)

Das Ziel der Verfügbarkeit ist es sicherzustellen, dass Informationen und Ressourcen dann verfügbar sind, wenn sie benötigt werden. Dies bedeutet, dass Systeme vor Ausfällen, Störungen, Angriffen und anderen Bedrohungen geschützt werden müssen, um sicherzustellen, dass Benutzer kontinuierlich auf ihre Daten und Dienste zugreifen können. Redundanz, Backups, Notfallwiederherstellungspläne und DDoS-Schutz sind einige der Massnahmen, die zur Erreichung der Verfügbarkeit eingesetzt werden. Beispiele:

  • Ein Online-Einzelhändler verwendet Load-Balancing-Techniken, um sicherzustellen, dass seine Website auch bei hohem Traffic immer erreichbar ist.

  • Ein Krankenhaus hat Notfallstromgeneratoren installiert, um sicherzustellen, dass lebenswichtige medizinische Geräte und Systeme während eines Stromausfalls weiterhin funktionieren.

Zusammen bilden diese drei Schutzziele die Grundlage für die Entwicklung von Sicherheitsmassnahmen und -strategien, um Informationen und IT-Systeme angemessen zu schützen. Dieses Konzept wird oft als "CIA-Triade" oder "CIA-Dreieck" bezeichnet und ist ein wichtiger Leitfaden für die Planung und Umsetzung von Sicherheitsmassnahmen in Organisationen und bei der Gestaltung von Informationssicherheitsrichtlinien.

Erweiterte Schutzziele der CIA-Triade

Die erweiterten Schutzziele der CIA (Confidentiality, Integrity, Availability) sind eine Weiterentwicklung der grundlegenden Schutzziele und berücksichtigen zusätzliche Aspekte in der Informationssicherheit. Diese erweiterten Ziele ergänzen die CIA-Triade und sind in verschiedenen Sicherheitsstandards und -frameworks weit verbreitet.

Authentizität (Authenticity)

Die Authentizität bezieht sich auf die Gewissheit, dass eine Person, ein System oder eine Entität tatsächlich das ist, was sie vorgibt zu sein. Es soll sicherstellen, dass die Identität eines Benutzers oder eines Systems verifiziert wird, bevor Zugriff gewährt oder Informationen ausgetauscht werden. Dies wird oft durch Authentifizierungsmethoden wie Benutzername/Passwort, biometrische Merkmale oder Zwei-Faktor-Authentifizierung erreicht. Beispiele:

  • Ein Online-Banking-System verwendet Zwei-Faktor-Authentifizierung (2FA), um sicherzustellen, dass Kunden sich mit ihrem Benutzernamen und Passwort sowie einem einmaligen Authentifizierungscode anmelden müssen, der auf ihr Mobiltelefon gesendet wird. Dadurch wird sichergestellt, dass nur autorisierte Benutzer auf ihre Konten zugreifen können.

  • In einem Unternehmen müssen Mitarbeiter ihre Identität durch biometrische Scans bestätigen, um Zugriff auf hochsensible Räume mit vertraulichen Daten zu erhalten.

Nicht-Abstreitbarkeit (Non-Repudiation)

Die Nicht-Abstreitbarkeit stellt sicher, dass eine Handlung oder Transaktion nicht geleugnet oder bestritten werden kann. Dies bedeutet, dass der Absender einer Nachricht oder einer Aktion nicht die Möglichkeit hat, ihre Beteiligung an dieser Handlung zu leugnen. Digitale Signaturen und Transaktionsprotokollierung sind typische Massnahmen, um Nicht-Abstreitbarkeit zu gewährleisten. Beispiele:

  • Ein elektronisches Handelssystem zeichnet alle Transaktionen mit digitalen Signaturen auf. Ein Kunde kann nicht leugnen, eine Kauftransaktion getätigt zu haben, da seine digitale Signatur aufgezeichnet wurde.

  • Bei der Übermittlung von rechtlich bindenden Dokumenten per E-Mail wird eine digitale Unterschrift verwendet, um sicherzustellen, dass der Absender die Authentizität des Dokuments nicht leugnen kann.

Verantwortlichkeit (Accountability)

Die Verantwortlichkeit bezieht sich auf die Zuweisung von Verantwortung und Rechenschaftspflicht für Aktionen und Ereignisse. Es bedeutet, dass Benutzer und Systeme für ihre Handlungen und Aktivitäten verantwortlich gemacht werden können. Protokollierung, Überwachung und Audit-Trail-Mechanismen helfen dabei, die Verantwortlichkeit sicherzustellen. Beispiele:

  • In einem Krankenhaus wird die Verantwortlichkeit für den Zugriff auf Patientendaten durch Überwachung und Protokollierung sichergestellt. Jeder Zugriff auf Patientenakten wird protokolliert und kann später überprüft werden, um sicherzustellen, dass die Zugriffe gerechtfertigt waren.

  • In einer Organisation wird die Verantwortlichkeit für IT-Sicherheitsvorfälle durch die Zuweisung von Verantwortlichkeiten und die Implementierung eines Incident-Response-Teams sichergestellt.

Privatsphäre (Privacy)

  • Ein soziales Netzwerk ermöglicht Benutzern die Kontrolle über ihre Privatsphäre, indem sie festlegen können, wer ihre Beiträge sehen darf. Dies stellt sicher, dass Benutzer die Kontrolle über die Verbreitung ihrer persönlichen Informationen behalten.

  • Ein Gesundheitsdienstleister verpflichtet sich, die Datenschutzrichtlinien einzuhalten und die medizinischen Aufzeichnungen seiner Patienten sicher zu speichern, um die Privatsphäre der Patienten zu schützen.

Diese erweiterten Schutzziele sind in komplexen und reglementierten Umgebungen besonders wichtig, wie beispielsweise im Gesundheitswesen, der Finanzindustrie und bei staatlichen Institutionen. Sie ergänzen die grundlegenden CIA-Schutzziele und tragen dazu bei, ein umfassenderes Sicherheitskonzept zu schaffen, das den Anforderungen der modernen Informationssicherheit gerecht wird.

PreviousTageszieleNextAufgabe 1

Last updated 10 months ago

Die Privatsphäre zielt darauf ab, die persönlichen Informationen und Daten von Einzelpersonen zu schützen und sicherzustellen, dass sie nicht ohne ihre Zustimmung gesammelt, gespeichert oder verwendet werden. Datenschutzbestimmungen und Datenschutzrichtlinien sind wichtige Instrumente zur Gewährleistung der Privatsphäre. In der Schweiz ist dies das , welches am 1. September 2023 revidiert in Kraft getreten ist. Beispiele:

Datenschutzgesetz (DSG)
CIA-Triade