Grundlagen der EDV. Leseprobe

Transkript

1 Grundlagen der EDV

2

3 Kapitel 6 Datensicherung und Datenschutz 6.1 Die drei Komponenten der IT-Sicherheit im Unternehmen 6.2 Allgemeine Regeln des Datenschutzes Der betriebliche Datenschutzbeauftragte Betriebsinterne Sicherheitskultur Gesetzliche Vorschriften für Datensicherheit Praktische Handhabung von Datensicherung und Datensicherheit Seite 208 von 258

4 Lernorientierung Nach Bearbeitung dieses Kapitels werden Sie: Wichtige Komponenten der IT-Sicherheit kennen und einordnen können. Verinnerlichen, dass eine firmeninterne Sicherheitskultur eine besondere Bedeutung hat. Seite 209 von 258

5 6.1 Die drei Komponenten der IT-Sicherheit im Unternehmen Komplexe IT-Systeme, ohne deren Existenz heute kaum mehr eine Firma wirtschaftlich rentabel auf einem globalen Mark agieren kann, müssen gegen vielfältige Fehlerquellen sowie unvorhergesehen Ereignisse geschützt werden. Mögliche Störquellen, die die Funktionstüchtigkeit eines IT- Systems (IT: Informationstechnologie) beeinträchtigen bzw. sogar komplett verhindern, sind z. B.: Höhere Gewalt (z. B. Feuer) Verschleiß der Hardware (z. B. defekte Festplatten) Technische Fehler (z. B. Kurzschluss) Menschliches Versagen (z. B. unsachgemäßer Umgang) Programmierfehler (z. B. fehlende Programmtests) Datenmanipulation (z. B. durch externe Angriffe) Zerstörung von Daten (z. B. durch kriminelle Machenschaften) Hackerangriffe Computerviren Pishing (z. B. Ausspionieren von Passwörtern) Kriminelle Administratoren Grundsätzlich werden folgende Komponenten der IT-Sicherheit unterschieden: Personelle Maßnahmen Organisatorische Maßnahmen Technische Maßnahmen Aufgrund der besonderen Bedeutung der IT-Sicherheit, sind Maßnahmen, die sich mit deren Gewährleistung beschäftigen, zu einer wichtigen, ökonomischen Kenngröße geworden. Eine mangelhaft betriebene IT-Sicherheit führt mitunter schnell dazu, dass ein Unternehmen empfindliche Probleme bekommen kann. Die Bedeutung eines gut funktionierenden IT-Systems ist inzwischen für die meisten Firmen unverzichtbar geworden, so dass umfangreiche und konsequent anzuwendende IT- Sicherheitsmaßnahmen zu einem Muss geworden sind. Seite 210 von 258

6 Im Rahmen einer konstruktiv zu organisierenden IT-Sicherheit gilt es folgende Schutzziele zu bedienen: Authentizität Datenschutz Funktionalität Integrität Verbindlichkeit Verfügbarkeit Vertraulichkeit Zurechenbarkeit Authentizität bedeutet, dass die Echtheit von Daten verifiziert werden kann. Zudem muss klar sein, dass zu verarbeitende Daten vertrauenswürdig sind, in dem deren Herkunft überprüft werden kann. Den Datenschutz zu garantieren bedeutet, dass persönliche Daten vor Missbrauch geschützt werden. Das Schutzziel der Funktionalität besagt, dass eine korrekte Funktionstüchtigkeit von Hard- und Software garantiert werden. Die Forderung nach Integrität besagt, dass keine ungewollten bzw. heimlichen Modifikationen an Daten vorgenommen werden dürfen. Es muss jeweils transparent sein, in welcher Art und Weise Daten verändert werden. Das Schutzziel der Verbindlichkeit besagt, dass es keine Möglichkeit zum Bestreiten durchgeführter Aktionen geben darf. Typisches Mittel in diesem Zusammenhang sind z. B. elektronische Signaturen. Die Forderung nach Verfügbarkeit legt fest, dass z. B. bei Systemausfällen ein Zugriff auf gespeicherte Daten binnen eines vordefinierten Zeitrahmens möglich sein muss. Eine besondere Bedeutung im Rahmen zu definierender Schutzziele hat die Vertraulichkeit. D. h. es muss sichergestellt werden, dass nur autorisierte Personen auf Daten zugreifen bzw. Änderungen an eben diesen vornehmen können. Zurechenbarkeit besagt, dass durchgeführte Handlungen zweifelsfrei den jeweiligen Kommunikationspartnern zugeordnet werden können. Insbesondere im Fall von Streitigkeiten kommt diesem Schutzziel mitunter eine besondere Bedeutung zu. Die Begriffe Datenschutz, Datensicherheit und Datensicherung werden zuweilen fälschlicherweise vor allem von Laien nicht klar voneinander abgegrenzt. Seite 211 von 258

7 Datenschutz befasst sich vor allem mit dem Schutz persönlicher Daten vor Missbrauch. Datensicherheit befasst sich primär mit Maßnahmen, die es ermöglichen, Daten vor Manipulation, physischer Zerstörung sowie unberechtigten Zugriffen zu schützen. Der Begriff Datensicherung wurde ursprünglich mit dem Begriff Datensicherheit gleichgesetzt. Inzwischen versteht man darunter das Anlegen von sog. Backups (Sicherungskopien). Aktionen, die zum Ziel haben, den Datenschutz oder die Datensicherung zu unterminieren, werden als Angriffe verstanden. Motive, die in krimineller Absicht fremde Daten fälschen oder zerstören, gibt es sehr viele. Prinzipiell geht es aber meistens darum fremden Menschen oder Unternehmen Schaden zuzufügen. In diesem Zusammenhang gibt es eine weite Palette boshafter und schadhafter Maßnahmen. Beginnend bei kleineren Manipulationen in einem Datenbestand, bis hin zur totalen Zerstörung vollständiger Datenbestände ist der kriminellen Energie kaum eine Grenze gesetzt. Jede Unternehmensleitung steht somit vor der Frage, welche Sicherheitsmaßnahmen unabdingbar, welche wünschenswert und welche ggf. verzichtbar sein könnten? Dabei gilt es grundsätzlich abzuwägen, ob ein zu betreibender Aufwand (z. B. die Installation kostspieliger Sicherungsmaßnahmen) in einem wirtschaftlich vertretbaren Verhältnis zu einem zu erwartenden Nutzen steht? Ein EDV-System wird als statistisch sicher bezeichnet, wenn der zu erwartende Aufwand eines potenziellen Angreifers größer ist als der sich für ihn ergebende Nutzen. Von daher sollten EDV- Systeme so strukturiert werden, dass sie möglichst hohe Angriffshürden für mögliche Angreifer bieten. Vom Prinzip her ist das vergleichbar mit einem Haus, das entweder durch gewöhnliche Fenster und Türen gesichert wird, und einem Haus, das mit einem qualitativ hochwertigen Alarmsystem ausgestattet wird. Die Wahrscheinlichkeit dafür, dass ein eher nur unzureichend gesichertes Haus Opfer eines Einbruchs wird, ist ungleich höher als bei einem Haus, das potenzielle Angreifer schon durch allerlei technische Schutzmaßnahmen von einem möglichen Einbruchsversuch abhalten könnte. Eine absolute Sicherheit dürfte entweder gar nicht, oder nur unter sehr aufwendigen Rahmenbedingungen zu erreichen sein. Im Idealfall sollte ein solches System jedem nur denkbaren Angriff widerstehen können. In der Praxis scheitert diese Forderung zumeist sowohl an kaum zu realisierenden organisatorischen Voraussetzungen sowie vor allem am Faktor Mensch. Seite 212 von 258

8 Einer der häufigsten und prinzipiell vermeidbaren Fehler im Rahmen einer zu organisierenden IT-Sicherheit besteht darin, dass manche Leute vor allem im Privatbereich davon ausgehen, dass eine einmalige Installation einer Schutzsoftware (z. B. eines Antivirenprogrammes) schon ausreiche, um ein IT- System gegen feindliche Angriffe zu schützen. Dem ist mitnichten so. Aufgrund der rasanten Verbreitung unterschiedlichster Computerviren, die zudem vielfach immer intelligenter geworden sind, ist es unabdingbar, dass vor allem die sog. Signaturdateien (das sind Dateien, die die jeweiligen Erkennungsmuster von Computerviren enthalten) regelmäßig upgedatet werden; im Idealfall mindestens einmal pro Tag. Das beste Antivirenprogramm wird keinen ausreichenden Schutz gegen Computerviren bieten können, wenn es nicht regelmäßig auf den neuesten Stand gebracht wird. Folgende Maßnahmen sollten im Rahmen eines zu implementierenden IT-Sicherheitskonzeptes berücksichtigt werden: Aktive Inhalte deaktivieren Antivirenprogramme installieren Backups erstellen Benutzerrechte definieren Firewall installieren Logdateien führen Regelmäßige Überprüfung der Sicherheitsstandards Sensibilisierung der Mitarbeiter Sensible Daten verschlüsseln Zugangsberechtigungen definieren So bequem und hilfreich vielfach aktive Inhalte auch sein mögen, so sehr bergen sie die potenzielle Gefahr in sich, dass unerwünschte bzw. sogar schädliche Aktionen auf einem Computer ausgeführt werden könnten, von denen die Mitarbeiter zunächst womöglich gar nichts mitbekommen. Aktive Inhalte bestehen aus kleinen Teilprogrammen, die als Active-X- Komponenten sowie auf der Grundlage von Java oder JavaScript (Programmiersprachen) über einen Browser auf einen Computer heruntergeladen bzw. automatisch ausgeführt werden. Besonders tückisch dabei ist, dass im Regelfall nicht sofort zu erkennen ist, ob bzw. welchen womöglich schädlichen Programmcode solche Komponenten auf einem Computer ausführen? In der Praxis muss stets sorgsam abgewogen werden, inwieweit das Deaktivieren aktiver Inhalte den Benutzungskomfort ggf. empfindlich einschränkt, oder ob eine potenziell unverhältnismäßig große Infektionsgefahr besteht? Die Installation eines qualitativ hochwertigen Antivirenprogrammes (inkl. der jeweils aktuellen Signaturdateien) ist ein absolutes und Seite 213 von 258

9 unverzichtbares Muss für jeden Computer, der mit dem Internet verbunden ist. Bevor das Internet im großen Stil genutzt wurde, war einer der Hauptinfektionswege über den Austausch von Disketten gegeben. Sobald ein Computer online mit dem Internet verbunden wird, steigt das Infektionsrisiko enorm an. Sowohl die absolute Zahl, als auch die stetig wachsende Cleverness intelligent programmierter Computerviren ist längst unüberschaubar geworden, so dass Antivirenprogramme zu den wichtigsten Schutzmaßnahmen eines jeden IT-Systems gehören. Wie enorm wichtig das Anlegen sog. Backups (Sicherungskopien) ist, merken viele Anwender erst dann, wenn ein Datengau (GAU: Größter anzunehmender Unfall) tatsächlich eingetreten ist. So kann z. B. eine plötzlich funktionsuntüchtige Festplatte von einem Moment auf den nächsten dafür sorgen, dass mitunter riesige Datenbestände unwiederbringlich verloren sein könnten, da urplötzlich kein geregelter Zugriff mehr möglich ist. Ebenso können schon vergleichsweise kleine Bedienungsfehler dazu führen, dass z. B. die Arbeit vieler Stunden, Tage, Wochen oder gar Monate mit einem Schlag zunichte gemacht wird. Um derartige Datenverluste zu vermeiden, müssen von allen relevanten Daten sog. Backups angefertigt werden, auf die im Notfall zurückgegriffen werden kann. Je nach einzuschätzender Wichtigkeit sollten sogar mehrere Backups erstellt werden. Dabei ist besonders darauf zu achten, dass die zu erstellenden Backups auf unterschiedlichen Datenträgern angelegt werden sollten, die zudem an unterschiedlichen Orten gelagert werden. So wäre es z. B. wenig sinnvoll, möchte man einen umfangreichen Datenbestand dreifach in unterschiedlichen Verzeichnissen ein und derselben Festplatte sichern. Falls diese Festplatte aufgrund eines technischen Defektes ausfällt, wäre sogleich der Zugriff auf alle drei Backups nicht mehr möglich. Besser wäre es, dass die Backups z. B. jeweils auf einer Festplatte, einem USB-Stick und einer DVD abgelegt werden. Vielfach können Backups auch in dafür reservierten Bereichen gemieteter Server angefertigt werden. In diesem Zusammenhang ist aber zu bedenken, dass durch solche externen Datenlagerungen das Thema Datenschutz eine besondere Bedeutung bekommt, da nicht klar ersichtlich ist, ob nicht womöglich ungewollte Fremdzugriffe stattfinden. Beispiel Ein ebenso bekanntes wie leistungsfähiges Programm, mit dem umfassende Backups durchgeführt werden können, ist das Produkt ACRONIS TRUE IMAGE. Jeder, der schon einmal das zweifelhafte Vergnügen hatte, einen z. B. durch Computerviren oder andere digitale Schädlinge funktionsuntüchtig gewordenen Computer von Grund auf neu zu konfigurieren, wird nachvollziehen können, wie enorm wichtig eine Seite 214 von 258

10