Mit Verbreitung der nomadischen Arbeitsweise, die darin besteht es den Mitarbeitern zu ermöglichen, sich ab einem beliebigen Ort mit dem Informationssystem zu verbinden, « transportieren raquo; die Mitarbeiter vermehrt einen Teil des Informationssystems aus der gesicherten Infrastruktur des Unternehmens heraus.
Das Risiko in Sachen Sicherheit wird meist durch die folgende Gleichung charakterisiert :
Die Gefährdung (auf Englisch « threat ») stellt die Aktionsart dar, die prinzipiell schaden kann, während die Verwundbarkeit (auf Englisch « vulnerability », manchmal auch Schwachstelle oder Bresche genannt) den Aussetzungslevel gegenüber einer Bedrohung in einem bestimmten Zusammenhang darstellt. Die Gegenmaßnahme schließlich, sind alle Aktionen, die vorbeugend gegen diese Gefährdung umgesetzt werden.
Die umzusetzende Gegenmaßnahmen sind nicht nur technische Lösungen sondern auch Bildungs-und Aufklärungs-Maßnahmen die sich an die Benutzer wenden, sowie eine Reihe von klar definierten Regeln.
Um ein System absichern zu können, ist es notwendig die potentiellen Bedrohungen zu identifizieren, das heißt die Vorgehensweise des Feindes zu kennen und vorauszusagen. Ziel dieses Kapitels ist es somit einen Überblick über die möglichen Motivationen der Piraten zu geben, diese in Kategorien einzuteilen, und schließlich eine Idee über deren Vorgehensweise zu vermitteln, umso besser zu verstehen, wie es möglich ist die Eindringungsrisiken zu begrenzen.
Das Informationssystem wird meist durch alle Daten definiert, sowie alle materiellen und Software-Ressourcen des Unternehmens die es ermöglichen diese zu speichern oder verkehren zu lassen. Das Informationssystem stellt ein wesentliches Guthaben des Unternehmens dar, welches es zu schützen gilt.
Die Informatiksicherheit besteht allgemein darin, sicherzustellen, dass die materiellen und Software-Ressourcen einer Organisation nur in dem vorgesehenen Rahmen verwendet werden.
Die Informatiksicherheit zielt meist auf fünf Hauptzielsetzungen ab :
Die Vertraulichkeit besteht darin die Informationen für alle anderen Personen, als die alleinigen Akteuren der Transaktion, unverständlich zu machen.
Die Überprüfung der Unversehrtheit der Daten besteht darin, festzustellen ob die Daten nicht während der Kommunikation geändert worden sind (zufällig oder bewusst).
Zielsetzung der Verfügbarkeit ist es den Zugang einem Dienst oder zu Ressourcen zu garantieren.
Die Nichtrückweisbarkeit der Information liefert die Garantie das keiner der Korrespondenten die Transaktionen leugnen kann.
DieAuthentifizierung besteht darin die Identität eines Benutzers sicherzustellen, das heißt jedem Korrespondenten zu garantieren, dass sein Partner auch der ist, für den er sich ausgibt. Eine Zugriffskontrolle (zum Beispiel über ein verschlüsseltes Passwort) kann den Zugang zu den Ressourcen, ausschließlich auf die befugten Personen begrenzen.
Die Sicherheit eines Informationssystems wird häufig mit Metaphern umschrieben. So vergleicht man sie häufig mit einer Kette, um zu erklären, dass das Sicherheitsniveau eines Systems von dem Sicherheitsniveau des schwächsten Kettengliedes bestimmt wird. Eine gepanzerte Tür ist somit in einem Gebäude unnötig, wenn die Fenster zur Straße offen stehen.
Dies bedeutete das die Sicherheit in einem ganzheitlichen Kontext gesehen werden muss, und insbesondere folgende Aspekte mit einbeziehen sollte :
Die Sicherheit der Informationssysteme begrenzt sich meist darauf, Zugriffsrechte auf Daten und Ressourcen eines Systems zu garantieren, indem Authentifizierungs- und Kontrollmechanismen eingeführt werden, mit denen sichergestellt werden kann, dass die Benutzer der genannten Ressourcen nur die ihnen zugeteilten Rechte besitzen.
Die eingeführten Sicherheitsmechanismen können allerdings von den Benutzern als störend empfunden werden, und die Anleitungen und Regeln werden zunehmend kompliziert, je mehr sich das Netzwerk ausdehnt. Die Informatiksicherheit muss demnach so gedacht sein, dass die Benutzer nicht gehindert werden, die für sie notwendigen Verwendungen zu entwickeln, und gleichzeitig dafür zu sorgen, dass sie das Informationssystem voller Vertrauen benutzen können.
Aus diesem Grund ist es notwendig in einer ersten Etappe eine Sicherheitspolitik, zu definieren deren Umsetzung in den folgenden vier Etappen erfolgt :
Die Sicherheitspolitik besteht also aus allen Orientierungen, die von einer Organisation (im weiten Sinne) in Sachen Sicherheit verfolgt werden. Aus diesem Grund muss sie auf der Ebene der Geschäftsleitung der betroffenen Organisation erarbeitet werden, da sie alle Benutzer des Systems betrifft.
In dieser Hinsicht ist es nicht allein die Rolle der Informatikadministratoren die Zugriffsrechte der Benutzer zu definieren, sondern die von deren Vorgesetzten. Die Rolle des Informatikadministrators besteht also darin sicherzustellen, dass die Datenverarbeitungs-Ressourcen und die Zugriffsrechte auf diese, in Einklang mit der Sicherheitspolitik stehen, die von der Organisation definiert worden ist.
Da er außerdem der einzige ist der das System perfekt kennt, ist es seine Aufgabe die Informationen bezüglich der Sicherheit an die Geschäftsleitung weiterzuleiten, die Entscheidungsträger eventuell zu umzusetzende Strategien zu beraten, so wie den Anlaufpunkt darzustellen, bezüglich der Kommunikation mit den Benutzern über die Probleme und Empfehlungen in Sachen Sicherheit.
Die Informatiksicherheit des Unternehmens beruht auf einer guten Kenntnis der Regeln durch die Mitarbeiter, dank Ausbildungs- und Aufklärungs-Aktionen die sich an die Benutzer wenden, aber sie muss auch darüber hinausgehen und insbesondere folgende Gebiete abdecken :
Man unterscheidet meist zwei Arten von Unsicherheit :
