Entwicklung eines Zellen-basierten Frameworks für Industrial Information Security DIPLOMARBEIT

Transkript

1 Entwicklung eines Zellen-basierten Frameworks für Industrial Information Security eingereicht von Ing. Dipl.-Ing. (FH) Herbert Dirnberger DIPLOMARBEIT zur Erlangung des akademischen Grades Master of Arts in Business (MA) an der Ferdinand Porsche FernFH Studienrichtung Wirtschaftsinformatik Begutachter: Univ.-Prof. Dipl.-Ing. DDr. Gerald Quirchmayr Universität Wien Institut für Multimedia Information Systems Wien, Juni 2011

2 Copyright 2011 Ing. Dipl.-Ing. (FH) Herbert Dirnberger Alle Rechte vorbehalten ii

3 Erklärung Hiermit erkläre ich an Eides statt, dass ich die vorliegende Arbeit selbstständig und ohne fremde Hilfe verfasst, andere als die angegebenen Quellen und Hilfsmittel nicht benutzt und die aus anderen Quellen entnommenen Stellen als solche gekennzeichnet habe. Mit der Einstellung dieser Arbeit in die Bibliothek bin ich einverstanden. Der Veröffentlichung dieser Arbeit im Internet stimme ich zu. Wien, am 12. Juni 2011 Ing. Dipl.-Ing. (FH) Herbert Dirnberger iii

4 Widmung und Danksagung Diese Arbeit widme ich in erster Linie meiner Familie. Euer Sohn, Bruder und Onkel hatte in den vergangenen zwei Jahren wenig Zeit für euch. Von ganzem Herzen möchte ich mich bei meiner Frau Elisabeth bedanken. Danke, dass du mich während meines Studiums unterstützt und mich immer wieder motiviert hast. Mein Dank gilt auch Herrn Studiengangsleiter Mag. Dr. Oliver Jorns (Ferdinand Porsche FernFH) für die aktive Unterstützung während des Studiums. Besonderer Dank gebührt dem Betreuer meiner Diplomarbeit, Univ.-Prof. Dipl.-Ing. DDr. Gerald Quirchmayr, welcher einen wesentlichen Beitrag für das Gelingen der Diplomarbeit geleistet hat. Vielen Dank für die gute und wertvolle Zusammenarbeit. Allgemeine Anmerkung: Der Verfasser der Arbeit hat sich bei der Verwendung von eingedeutschten Fachbegriffen dazu entschieden, die neue deutsche Rechtschreibung anzuwenden. Der starke Einfluss der englischen Sprache im Anwendungsbereich der Wirtschaftsinformatik erfordert die Verwendung von englischen Fachbegriffen, da diese nicht eindeutig in die deutsche Sprache übersetzt werden können. Als Beispiel sei das Wort Framework erwähnt, dass in dieser Arbeit als eingedeutschte Version verwendet wird. iv

5 Inhaltsverzeichnis Erklärung Widmung und Danksagung Kurzfassung Abstract iii iv viii ix 1 Einleitung Motivation Konkretisierung des allgemeinen Problems Abgrenzung Zielsetzung Vorgehensweise Information Security Sicherheit, Security und Safety Cyberspace, -war, -crime und -security Definition Information Security Konzept: Enterprise Information Security Risikomanagement Business Continuity Management Incident Management and Response Industrial Automation and Control Systems Definition und Anwendungsfälle Grundaufgaben Komponenten Systemanforderungen Systemaufbau I2S Framework Development Framework Requirements Modelle, Designmuster, Standards und Frameworks v

6 Inhaltsverzeichnis vi 4.3 Framework Konzeption und Architektur Ausgangssituation und Verbesserungspotentiale Ziele Architekturgrundsätze Entwicklung des Grundgerüsts Entwicklung des Frameworks Mapping zu vorhandenen Standards Fallstudie: RECPLAST GmbH Ausgangssituation Aufgabenstellung und Ziele Unternehmensanalyse Anwendung des I2S Frameworks anhand der Fallstudie Governance, Risk and Compliance Governance Risk Management Compliance Strategy Leitlinie zur Informationssicherheit Business Strategy IACS/ITS Service Strategy Information Security Strategy Information Security Baseline Programmentwicklung Planung der Systemlandschaft Gebäude und Infrastruktur ITS: IT-Infrastruktur und Netzwerk ITS: Informations- und Kommunikationssysteme (Office) IACS: Spritzgussanlagen inkl. externe Fernwartung ITS: Gabelstapler, Mobile PC, RFID RECPLAST I2S Programm Ergebnisse 81 8 Diskussion und Ausblick 84 A Ergänzende Informationen zu IS und IACS 87 B Ergänzende Abbildungen zu IS und IACS 91 C I2S Entwicklungsrahmen 97 D Dokumente zur Fallstudie RECPLAST GmbH 100

7 Inhaltsverzeichnis vii E Open Security Architecture / COBIT Process Maturity 111 Abbildungsverzeichnis 116 Tabellenverzeichnis 118 Literaturverzeichnis 119

8 Kurzfassung Die industrielle Steuerungs- und Automatisierungstechnik entwickelt sich immer mehr in Richtung Informationstechnologie, und die Anforderungen an die produzierende Industrie erfordern überbetriebliche, intelligente Prozesse. In der Fertigungs-, Gebäude- und Prozessautomation sind die existierenden IT-Sicherheitsansätze nur bedingt anwendbar. Eine Untersuchung von aktueller Literatur, Standards und Normen in den Themengebieten Information Security und industrielle Automatisierungs- und Steuerungssysteme unter Berücksichtigung von Empirie soll ein unterstützendes Framework für die Planung, Koordination, Inbetriebnahme, Instandsetzung und Optimierung von Informationssystemen entwickeln. Als Zielsetzung werden praxisnahe Vorgangsweisen und ein Framework entwickelt, welche helfen, die Anforderungen an Sicherheit erfüllbar zu machen. Die Geschäftsprozesse werden aktiv unterstützt durch eine strategische Interaktion zwischen Produktion, Service, Information Security und Informationssystem. Anhand einer exemplarischen Fallstudie wurden die Möglichkeiten und Grenzen des Frameworks untersucht. Schlagwörter: Industrie, Steuerungstechnik, Automatisierungstechnik, Information Security, Informationssicherheit, IT-Security, IT-Sicherheit, Framework viii

9 Abstract Industrial Automation and Control Systems develop towards Information Technology and the requirements on manufacturing industries involve collaborative and intelligent business processes. In the field of Industrial Automation existing IT security approaches are only partially applicable in these areas. A study of current literature, standards and norms on the subjects of Information Security and Industrial Automation and Control Systems, taking empiricism into consideration, develops a supporting framework for the planning, coordination, implementation, maintenance and optimization of Information Systems. The objectives are to develop practical architectures, procedures and a framework, which will help to fulfill the security requirements. The business processes are actively supported through a strategic interaction between production, service, Information Security and Systems. Exemplified in a theoretical Case Study Keywords: Industry, Control Systems, Information Technologies, Information Security, Information Assurance, IT Security, Framework ix

10 Kapitel 1 Einleitung Wesentliche Bestandteile von kritischer Infrastruktur, Fertigungs-, Gebäude- und Prozessautomatisierung sind Kommunikationslösungen, die auf Informationstechnologie basieren. Klassische Ansätze der IT-Sicherheit sind in diesen Bereichen nur bedingt anwendbar. Für die herkömmlichen Officeund Back-Office-Programme kommt oft eine zentrale Betrachtungsweise in Anwendung. Die Kernkomponenten bestehen aus IT-Infrastruktur, Rechenzentrum, Applikations- und Datenbankservern und vielen verteilten Clients. Mittels einer IT-Policy werden die notwendigen Sicherheitsaspekte und Services in Richtlinien und Standards an die Endbenutzer bzw. Systeme übertragen, um die Geschäftsprozesse zu unterstützen. Im Bereich der Automatisierung 1 kommen klassische dezentrale Zellenstrukturen zum Einsatz. Jede Zelle führt autonom z.b. ihre Mess-, Steuerund Regelungsaufgabe durch und wird als eigenständige Einheit gesehen. Dem zentralen Ansatz der klassischen Informationstechnologie kommt in diesem Aspekt keine oder wenig Bedeutung hinzu. Aus den verschiedenen Sichtweisen werden auch verschiedene Handlungsempfehlungen je Anwendungsbereich abgeleitet. Somit kommt es, dass Patch Management 2 in den unterschiedlichen Bereichen anders angewendet wird - "never touch a running system" versus "install all critical updates". In vielen Unternehmungen stehen somit zwei unterschiedliche Gedankenwelten für die Anwendungsbereiche gegenüber. Es scheint naheliegend, diese zwei Domänen unterschiedlich zu behandeln. In Folge werden beide Bereiche abgegrenzt, und es wird mit verschiedenen Methoden gearbeitet. Langfristig kommt es dadurch zu keinen einheitlichen Informationsstrukturen, da beide Bereiche versuchen, sich weiter abzugrenzen oder dem anderen Bereich die ihr bekannten Vorgehensweisen und Paradigmen vorzuschreiben. In dieser Diplomarbeit wird versucht, ein ganzheitliches Framework für die Aspekte 1 In diesen Zusammenhang die Gesamtheit von kritischer Infrastruktur-, Fertigungs-, Gebäude- und Prozessautomatisierung. 2 Verwaltung von Korrekturen und Nachbesserungen für Softwareprobleme 1

11 1. Einleitung 2 Industrie, Information Security und Information Services zu bauen. Es soll helfen, die Welten aus Informationstechnologie, IT-Sicherheit, IT-Service, Automatisierungstechnik, Produktion, Instandhaltung und Management näher zusammenzubringen und effektiver zu arbeiten. 1.1 Motivation Betrachtet man allgemein, durch welche Ursachen technische Systeme funktionsuntüchtig werden, wird man oft feststellen, dass nicht fehlerhaftes Design oder die mangelhafte Implementierung die Hauptgründe dafür sind. Einfache Engpässe an Energie, mangelnde Wartung, falscher Systemeinsatz oder auch höhere Gewalt wie Blitzschlag sind mögliche Ursachen. Bei komplexen technischen Systemen wie Smart-Grids oder verteilten Steuerungssystemen ist man als Betreiber, Konstrukteur aber auch als Instandhalter laufend damit konfrontiert, auf eine Vielzahl von Gefährdungen mit den richtigen Mitteln zu reagieren. Die Informationstechnologie ist speziell gefährdet durch eine Unmenge von Bedrohungen aus dem World Wide Web. Spam, Phishingattacken, Trojaner und Viren sind fast jedem Endbenutzer bekannt, und durch den Kauf eines Schutzschildes wie Virenscanner glaubt man, allgemein sicher zu sein. So wie in der Consumerwelt hat sich auch in der Industrie ein großes Unwissen rund um Information Security verbreitet. Es werden sehr oft die falschen Maßnahmen gegen Bedrohungen eingesetzt. So zeigte im Juni 2010 z.b. der Computervirus Stuxnet, dass mit simplen Systemen wie USB 3 -Sticks hochsichere Systeme gefährdet werden können, obwohl diese mit vielfachen Schutzfunktionen ausgestattet wurden. Die große Frage, die sich viele Experten stellen, lautet daher, wie man sich gegen Bedrohungen und Schwachstellen schützen kann, die man nicht kennt. Dadurch resultiert eine laufende Anpassung der Information Security durch diese neuen Gegebenheiten. Bei einer Untersuchung der theoretischen Grundlagen des komplexen Themengebiets stellt man fest, dass eine intensive wissenschaftliche Betrachtung noch nicht stattgefunden hat. Auch die Begutachtung der praktischen Anwendungen zeigt, dass sehr viele unterschiedlich geeignete, aber nicht passende Handlungsweisen und Werkzeuge in Verwendung sind. Die laufende Evolution, wie der Mensch mit Technologie, Daten, Informationen und Wissen umgeht, verändert auch die Leitbilder in der Informationstechnologie, aber auch in der Automation - von der technologisch orientierten Denkweise zum Serviceanbieter und Business-Unterstützer. Aber auch Anpassungen in der Planung, Projektierung und Instandhaltung von Industrieanlagen und kritischer Infrastruktur sind notwendig. Die Nutzung von Designmustern für wiederkehrende Aufgaben würde enorme Kosteneinsparungen nach sich ziehen. Ein Erfolgsgeheimnis für die Entwicklung der 3 Universal Serial Bus

12 1. Einleitung 3 Muster liegt in der Einfachheit und praktischen Anwendbarkeit. Keep it simple ist das Motto, um komplexe Zusammenhänge zu lösen. 1.2 Konkretisierung des allgemeinen Problems Der aktuelle Forschungsstand im Bereich Industrial Information Security gliedert sich in viele unterschiedliche Bereiche. Eine gewisse Divergenz und Heterogenität der Forschungsinhalte ist zu beobachten. Ein übergreifendes Rahmenwerk für Industrial Information Security könnte ein Schritt sein, die Forschungsarbeiten wieder zusammenzuführen. Ein weiterer wichtiger Ansatz ist es, die Themengebiete IT-Service und Security in Verbindung zu setzen. Das Framework soll eine Verallgemeinerung der Theorie abbilden und durch Deduktion in die Empirie übergeführt werden. Die praktische Umsetzung mittels einer Fallstudie gibt Aufschluss über die Anwendbarkeit des Modells. Im Rahmen einer Bewertung werden konkrete Ergebnisse abgegeben. Konkret kann aus der genannten Problemstellung und den beschriebenen Lösungsansatz folgende Forschungsfrage abgeleitet werden: Zentrale Aufgabenstellung dieser Diplomarbeit ist es, die Zusammenarbeit der Domänen Informationstechnologie und Automatisierungstechnik zu fördern, um industrielle Informationssicherheit zu ermöglichen. Dazu ist es nötig zu klären, welche Gemeinsamkeiten die beiden Technikbereiche verbinden, und welche Vorgehensweisen notwendig sind, um die gemeinsame Aufgabe Informationssicherheit zu erfüllen. Die praktische Anwendung der Strategien und operativer Tätigkeiten anhand einer Fallstudie soll allgemeine Erkenntnisse für das Wissensgebiet der Informationssicherheit liefern. 1.3 Abgrenzung Die Forschungsarbeit wird in Hinblick auf folgende Kriterien abgegrenzt: 1. Anwendung auf mittlere Unternehmensgrößen mit Produktionsstandorten von 50 bis Mitarbeitern 2. regionale Verwendbarkeit im europäischen oder nordamerikanischen Umfeld 3. Nichtbetrachtung von militärischen oder ähnlichen Systemen 4. Vorhandensein von Schnitt- und Nahtstellen zwischen Informationstechnologie und Automation

13 1. Einleitung Zielsetzung Als Kernziel der Arbeit wird ein praxisnahes Framework für Industrial Information Security entwickelt, aufbauend auf den aktuellen Anforderungen der Prozessindustrie, Automatisierungstechnik und Informationstechnologie. Industrial Information Security Services sollen mit effektiven Handlungsweisen plan-, mess-, steuer- und regelbar werden und es soll gezeigt werden, wie eine übergreifende Sichtweise aller Belange von Herstellern, Betreibern und Auditoren geschaffen wird. Mittels einer Fallstudie wird die Anwendung des Frameworks dargestellt. Durch die Arbeit soll ein gewisser Grundstein für die Weiterentwicklung von Industrial Information Security geschaffen werden. Das Rahmenwerk und die Erkenntnisse über die praktische Anwendung werden der öffentlichen Entwicklergemeinde aber auch potentiellen Anwendern zur Verfügung gestellt. 1.5 Vorgehensweise Die theoretische Untersuchung von aktueller Literatur, Standards und Normen bildet eine Einführung zu den Themengebieten Automatisierungstechnik, Prozessautomation und Information Security. Aufgrund von praktischen Erfahrungen des Autors und der Einarbeitung von bewährten Vorgehensmodellen wird ein Framework entwickelt, welches das Themengebiet Industrial Information Security behandelt und vor allem als Kommunikationsgrundlage zwischen den Fachbereichen Informationstechnologie und Automatisierungstechnik dienen soll. Die praktische Anwendung des Frameworks wird mit einer Fallstudie untersucht. Die Ergebnisse der Fallstudie bilden eine Diskussionsgrundlage der Wirksamkeit des Frameworks und geben Ausblick über die zukünftigen Entwicklungen des Modells.

14 Kapitel 2 Information Security Mit dem Artikel The Computer for the 21st Century hat Mark Weiser 1988 die Idee Ubiquitous Computing vorgestellt. Durch die Allgegenwart von Computern wird eine neue Ära in der Informationstechnologie eingeläutet. Computer sollen durch intelligente Gegenstände ersetzt werden, die den Menschen bei den Tätigkeiten des Alltags unterstützen. Die vorgestellten Innovationen wie Active Badge, Computer Scratchpads and Live Boards sind schon am Anfang des 21. Jahrhunderts beispielsweise durch RFID 1, Tablet PC 2 und Beamer umgesetzt worden [65]. Auch industrielle Anwendungsfälle der Automatisierungstechnik werden durch Ubiquitous Computing wie RFID, Wireless Networks und Grid Computing unterstützt. Die Automatisierungstechnik ist historisch gesehen eine junge Disziplin. Ab 1970 wurden die ersten Steuerungen eingesetzt, um fest verdrahtete Schaltungen zu ersetzen. Heute ist der Funktionsumfang von Steuerungen von herkömmlichen Personal Computern nicht mehr zu unterscheiden. Personal Computer werden in Form von Industriecomputern mit angepassten Betriebssystemen als Soft-PLC 3 betrieben. Die Komplexität von IT-Systemen in der Automatisierungstechnik übersteigt zum Teil herkömmliche IT-Anforderungen. Ethernet hat zum Beispiel mit Profinet, Ethercat und Device Net begonnen, diverse Feldbusse wie Profibus, Interbus und CAN 4 abzulösen. Jedoch wird aus jetziger Sicht klar, dass sich durch die Vormachtstellung der großen Anbieter kein System als Standardsystem etablieren wird. Eine ähnliche Ausgangssituation war bei Beginn des Feldbuskrieges vorzufinden. Weltweit gibt es nur wenige Hersteller, die die Entwicklungen beeinflussen. Um die eigenen Produktstärken hervorzuheben und nicht durch andere Hersteller ausgetauscht werden zu können, wurden die Bemühungen, globale Standards zu schaffen, in den Hintergrund gestellt. 1 Radio-Frequency Identification 2 Personal Computer 3 Programmable Logic Controller 4 Controller Area Network 5

15 2. Information Security 6 Da die meisten Feldbusprotokolle von Protokollen von Punkt-zu-Punkt- Verbindungen abstammen und die Automatisierungstechnik-Netzwerke meist nur in segmentierten Netzwerken betrieben werden, wurde das Thema IT- Security meist nicht beachtet und in Folge nicht implementiert. Von der Konzeption sind meist die Systeme hierarchisch ausgebildet. Eine Steuerung beeinflusst mithilfe der Informationen von vielen Sensoren die Prozesse mit Aktoren. Der Aufbau gleicht dem menschlichen Nervensystem. Mit der Verwendung von RFID in industriellen Prozessen wurde klar, dass sich Ubiquitous Computing auch in der Automatisierungstechnik etabliert hat. Vergleicht man den Aufbau von industriellen Sensorsystemen mit Ubiquitous Computing Systemen, so wird man feststellen, dass sie sehr ähnlich sind und zum Teil die gleichen Aufgaben erfüllen. Durch den Einzug von Ubiquitous Computing in die Informationstechnologie entstehen aber auch sehr viele neue Herausforderungen. Die Migration wird speziell von der Entwicklung folgender Kernfragen abhängen: Hierarchie Prozessabläufe erfordern in den meisten Fällen streng hierarchische Regeln. Um den Einsatz von Ubiquitous Computing zu ermöglichen, braucht es übergeordnete Instanzen von Automaten, die viele einzelne Systeme leiten. Globale Standards Viele Systeme können sich erst erfolgreich durchsetzen, nachdem globale Standards geschaffen werden. Jedoch besteht die Gefahr, dass mehrere Standards durch die großen Anbieter definiert werden. Technologie Speziell die Themen Latenzzeiten bzw. Echtzeit sind die technologischen Herausforderungen von heutigen Informationssystemen. Informationssicherheit Nicht zu vernachlässigen ist auch der enorme Aufwand, um Menschen, Systeme und Informationen zu schützen. In Weisers Leitartikel wird jedoch nur auszugsweise auf die Gefahren der Allgegenwart der Informationstechnologie hingewiesen. Privacy Protection, Kryptographie für sichere Datenübertragung, Datenschutz, Data-Mining von Kundendaten, Informationsüberflutung aber auch krimineller Missbrauch von Informationen sind zu beachtende Elemente [65]. Speziell die neu gebildeten Abhängigkeiten zwischen Informationen, Technik und dem sozialen Wesen Mensch sind die neuen gesellschaftlichen und interdisziplinären Aufgabengebiete für wissenschaftliche Disziplinen der Informations- und Sicherheitstechnologie aber auch der Wirtschafts- und Sozialwissenschaften.

16 2. Information Security Sicherheit, Security und Safety In der englischen Sprache wird der deutsche Begriff Sicherheit in die Ausdrücke Safety und Security differenziert. Safety 5 wird herkömmlich mit Betriebs- und Ausfallsicherheit assoziiert und Security 6 mit dem Schutz vor kriminellen, böswilligen, internen oder externen Angriffen [43, S153f]. In den folgenden Absätzen werden die wesentlichen Unterschiede zwischen Safety und Security gegenübergestellt. Safety Oberstes Ziel von Safety ist es, den Schutz von Leben, Gesundheit und Umwelt vor dem betrachteten System zu gewährleisten und Unfälle durch umfassende Maßnahmen zu vermeiden. Fehler (=Failures) und Zufälle (=Hazards) dürfen das System nicht in einen unsicheren Zustand bringen. Es gibt einen sicheren Zustand, der erreicht oder garantiert werden kann. Security Ziel von Security ist es, Werte vor Diebstahl, unberechtigter Nutzung und Zerstörung zu schützen oder etwas geheimzuhalten 7 und das Auftreten von einzelnen Gefährdungen (=Threads) gezielt zu vermindern sowie Notfälle (=Incidents) zu vermeiden, deren Auswirkungen zu mildern oder auf Krisen, die durch Nichtbewältigbarkeit von Notfällen entstehen, richtig zu reagieren. Das Schutzniveau hängt vom Wert der zu schützenden Vermögenswerte oder Informationen ab. Der absolut sichere Zustand kann nie erreicht werden. Beide Sicherheitsansätze verfolgen jedoch sehr ähnliche Konzepte und verwenden die gleichen Werkzeuge wie Risikoanalyse, FMEA 8, Fehlerbäume und Ursachen-Wirkungsdiagramme. Zuverlässigkeit und Verfügbarkeit von Systemen sind klassisch der Ausfallsicherheit (=Safety) zuzuordnen, haben aber auch beim Schutz von Vermögenswerten (=Security) enorme Bedeutung. Zutrittskontrollen schützen nicht nur vor unberechtigtem Zugang, sondern können auch Schutzfunktionen vor Unfällen wahrnehmen. Die beiden verschiedenen Sicherheitsdefinitionen verfolgen unterschiedliche Primärziele, bewirken jedoch in den meisten Fällen ähnliche Ergebnisse. Im Sinne der Informationssicherheit steht der Schutz von Vermögenswerten und Informationen im Vordergrund - in speziellen Fällen werden auch Safety-Aspekte behandelt [62]. Beim Schutz kritischer Infrastruktur wird hauptsächlich der Safety-Approach angewendet. Der All-Hazard-Ansatz des Katastrophenschutzes beinhaltet die Verringerung der Verletzlichkeit von Gefährdungen durch kriminel- 5 safety=drop-out prevention 6 security=drop-in prevention 7 Im Sinne von Informationssicherheit wäre dies die Gewährleistung von Vertraulichkeit, Richtigkeit und Verfügbarkeit. 8 Failure Modes and Effects Analysis

17 2. Information Security 8 le Akte, terroristische Anschläge, Naturkatastrophen, durch Menschen verursachte Krisen, technisches Versagen und deren direkte Auswirkungen auf Mensch und Umwelt [32]. Die Verflechtungen von Safety und Security sind beim Bedrohungsszenario Cyberwar gemeinsam zu betrachten. Beim Schutz vor Cybercrime wird allgemein der Security-Ansatz betrachtet. 2.2 Cyberspace, -war, -crime und -security Die Verwendung des Wortes CYBER geht auf Nobert Wiener zurück. Mit dem richtungsweisenden Werk 1948 Cybernetics hat er die Grundlage für die moderne Informationstechnologie und Automation gelegt. Die folgenden Erklärungen rund um die CYBER-Begriffe dienen zur Begriffsabgrenzung zum Thema Information Security. Cyperspace Kritische Infrastruktur besteht aus öffentlichen und privaten Organisationen im Sektor Landwirtschaft, Lebensmittel, Wasser, Gesundheit, Regierung, Verteidigung, Telekommunikation, Transport, Finanz und Post. Die Gesamtheit ist als ein sehr komplexes und globales Steuerungssystem zu sehen, welches aus Tausenden von Workstations, Servern, Routern und Switches aufgebaut ist, die miteinander verbunden sind. Die nicht sichtbare Vernetzung und die vorhandene Gesamtintelligenz des Systems (=der Cyberspace) ist von enormer Bedeutung für die nationale und globale Sicherheit[23, S7]. Diese künstliche Struktur, meist Netzwerkinfrastruktur, kann in vielen Fällen nicht mehr eindeutig vom globalen Kommunikationssystem Internet getrennt werden. Cybercrime ist der Überbegriff für kriminelle Handlungen im Cyberspace bzw. Internet. Dazu zählen Hacking, Internetbetrug, Informationsdiebstahl, Kinderpornographie, organisiertes Verbrechen und Terrorismus. Die größten Bedrohungen durch Cybercrime sind laut einer Studie von CSI 9 Virusattacken, unerlaubter Zugriff auf Netzwerke, verlorene und gestohlene Laptops und Mobilgeräte, allgemeiner Informationsverlust und Informationsdiebstahl [10, S15f]. Cyberwar Man geht davon aus, dass Terroristen oder kriminelle Organisationen mit ausgeprägten Fähigkeiten für Attacken modernste Informationstechnologie verwenden. Das primäre Angriffsziel ist die Gefährdung von Mensch, Informationssystemen, Umwelt oder die Zerstörung von Vermögenswerten. In 2007 wurden weit gestreute Cyberattacken mittels weltweiten 9 Computer Security Institute

18 2. Information Security 9 Bot-Netzen auf die Infrastruktur des Staates Estland durchgeführt [10, S17]. Manche Sicherheitsexperten sind der Meinung, dass die Angriffe durch den Computerwurm Stuxnet auf das Iranische Atomprogramm durch zielgerichtete und speziell für den Angriffsfall entwickelte Cyberwaffen durchgeführt wurden [36]. Cybersecurity ist der Ansatz, den Cyberspace zu schützen. Durch koordinierte Aktionen werden Schutzschilde für kritische Infrastrukturen bewerkstelligt. Die Ziele sind, robuste und unverwüstliche Systeme zu schaffen, um Angriffe durch Cyberwar und -crime zu verhindern und deren Auswirkungen zu minimieren [47]. 2.3 Definition Information Security Die Evolution des modernen Information Security-Approach wurde maßgeblich durch die Entwicklung der Informationstechnologie beeinflusst. Die angewendete Informationstechnologie hat sich wesentlich von der reinen technologischen Ausrichtung zur Bereitstellung von Services gewandelt, die für den Betreiber einen wesentlichen Nutzen darstellen. Die Information Security hat sich aus den Entwicklungsschritten Computer Security, Sicherheit als Zustand, Schutz von Informationssystemen, C.I.A. 10 und Derivate entwickelt. Computer Security Nach dem Zitat von Dr. Eugene Spafford 11 ist ein Computer sicher, wenn man sich verlassen kann, dass sich seine Software so verhält wie man erwartet. Diese Aussage trifft die anfänglichen Ansätze des Sicherheitsgedanken sehr gut und beschreibt auch, dass man sich mit geeigneten Maßnahmen schützen kann. Im Sinne von Software- oder Hardwareentwicklung ist diese Denkweise auch heute noch gültig. Bruce Schneier argumentiert jedoch gegen diesen Ansatz mit dem Kerngedanken Security is a process not a product [30, S10][11]. Sicherheit ist ein Zustand Sicherheit kann auch als Qualität oder Zustand sicher zu sein, definiert werden. Das bedeutet frei von Gefahren oder Schutz vor Schaden durch Angreifer. Der Schutz wird durch verschiedene Aspekte wie physische Sicherheit, Personensicherheit, operative Sicherheit, Kommunikationssicherheit, Netzwerksicherheit und Informationssicherheit erreicht [67, S8]. Sicherheit kann auch als Qualität gesehen werden. Sicher zu sein bedeutet einen vorausgesagter Fortbestand. Diese Konzeption entstammt aus dem Safety-Gedanken und wird auch für den Schutz von 10 Confidentiality, Integrity, Availability 11 Professor an Purdue University Center for Education and Research in Information Assurance and Security (CERIAS), USA

19 2. Information Security 10 Notfällen und Katastrophen im Safety, Security and Continuity Engineering angewendet [43, S47]. Aus praktischer Sicht ist der Zustand der vollkommener Sicherheit nicht erreichbar. Weiters stellt sich die Frage, gegen welche Bedrohungen der Sicherheitszustand gerichtet ist [11]. Dieser Ansatz deckt nicht die heutigen umfassenden Anforderungen der Information Security ab, jedoch ist er für viele Teilaspekte gültig. Schutz von Informationssystemen Ein wesentlicher Paradigmenwechsel wurde durch die Änderung der Betrachtung der Sicherheitselemente vollzogen. Im CNSS 12 -Modell wird unter Information Systems Security beschrieben, dass nicht der Schutz der Technologie die Basis der Bemühungen ist, sondern die Gesamtheit des Systems und dessen Komponenten für Speicherung, Benützung und Transport [46] [67, S8]. C.I.A. und Derivate Eine markante Festlegung wurde beschrieben mit Information Systems Security ist der Schutz von Geheimhaltung, Integrität (im Sinne von richtig und vollständig) und Verfügbarkeit von Informationssystemen [33, S1] oder analog mit Information Security ist der Schutz von Informationen und deren kritischen Aspekten (Geheimhaltung, Integrität und Verfügbarkeit) durch die Anwendung von Leitlinien, Training, Bewusstseinsprogrammen und Technologien [67, S4]. Die Verwendung der einprägsamen Schutzziele Vertraulichkeit (confidentiality), Integrität (integrity), Verfügbarkeit (availability) geht auf Voydock/Kent aus dem Jahre 1983 [64] zurück [16]. Dieser Ansatz baut auf die drei Elemente confidentiality, integrity, availability (C.I.A.) auf. Die Geheimhaltung sichert, dass Informationen nicht an unautorisierte Prozesse oder Personen weitergegeben werden. Integrität ist Sicherheit vor Modifikation der Information durch unbefugte Benutzer oder die unbefugte Änderung durch autorisierte Benutzer und die Erhaltung von Konsistenz. Verfügbarkeit ist Sicherheit, dass ein befugter Benutzer zeitlich und ununterbrochen Zugang zur Information hat und das System aktiv ist, wenn es gebraucht wird [33, S2]. Der C.I.A. Ansatz gilt heute als eine Definition der Information Security. Information Security/Assurance als Prozess Information Security kann auch als Gesamtheit von Leitlinien und Maßnahmen in Informationssystemen zur Sicherstellung von Vertraulichkeit und Integrität von Informationen und Informationssystemen gesehen werden [38, S1017]. In Kombination mit 12 Committee on National Security Systems