Zentraler Informatikdienst
IT-Security
„Sicherheit ist kein Produkt, sondern ein Prozeß“ (Bruce Schneier).
Ohne (IT-)Security-Policy gibt es keine (IT-)Security - Ziel einer umfassenden IT-Security-Policy muß es sein
- die Authentisierung (Authentication),
- die Autorisierung (Authorization),
- die Zurechnung (Accounting)
von Personen und - die Verfügbarkeit (Availability),
- die Vertraulichkeit (Confidentiality),
- die Unversehrtheit (Integrity)
von Informationen sowie - die Nachweisbarkeit (Non-Repudiation) von Änderungen
sicher zu stellen, sowie das Sicherheitsbewußtsein (Awareness) der Benutzer zu schärfen und diese Prozesse durch laufendes Auditing zu überwachen.
Dabei gilt: wer die Hardware kontrolliert, kontrolliert letztlich auch die Software, die darauf läuft, was wiederum bedeutet, daß man z. B. im Web eigentlich niemandem vertrauen darf, da man nie wissen kann, ob eine Webadresse (ob verschlüsselt oder nicht, ob unwissentlich oder nicht) mit Schadsoftware infiziert ist:
| "There is no such thing as safe browsing today and it is no longer the case that only the red light district sites are responsible for malware," schreibt X-Force-Leiter Kris Lamb in seinem Blog (The Washington Post). "We've reached a tipping point where every Web site should be viewed as suspicious and every user is at risk." |
Ohne Informationssicherheit (auf vertrauenswürdiger Hardware) kann es somit auch keinen Datenschutz geben, IT-Security kann aber auch nur dann wirklich wirksam sein, wenn es Teil einer übergeordneten Gesamt-Security-Policy ist.
„Sicherheit ist kein Prozeß, Sicherheit ist eine Einstellungssache“
wobei gilt: Der Verteidiger muß alles richtig machen, dem Angreifer kann eine einzige Lücke reichen!
Compliance
Unter „Compliance“ versteht man die Selbstverständlichkeit, daß man sich an Gesetze zu halten hat. Das Problem dabei ist herauszubekommen, an welche Gesetze man sich zu halten hat (welche also im jeweiligen Fall in Anwendung zu bringen sind).
