Die Vernetzung von Büroarbeitsplätzen zu einem Computernetzwerk („Office-Netzwerk“) ist in nahezu allen Firmen realisiert und bewirkt einen Produktivitätsgewinn gegenüber Szenarien ohne Vernetzung. Erst durch die technische Vernetzung können IT-Technologien wie E-Mail, Intranet oder zentralisierte Datenbanken genutzt werden. Ähnliche Vorteile werden von einer Vernetzung einzelner Maschinen zu einem Maschinen-Netzwerk oder gar dem Zusammenschluss von Maschine(n) und Office-Netzwerk zu ganzheitlichen, unternehmensweiten Netzwerken („Corporate-Netzwerk“) erwartet.
In dieser Arbeit werden mit Hilfe von Interviews die typischen Sicherheitsprobleme von ausgewählten und anonymisierten Unternehmen des Maschinenbaus analysiert und Lösungen zur sicheren Anbindung des Produktionsnetzwerkes an die Netzwerkstruktur angeboten. Zunächst werden technische und rechtliche Grundlagen zur IT-Sicherheit dargestellt.
Danach erfolgt eine Abgrenzung der Interviews und Interviewpartner, Schilderung der Durchführung der Interviews und Präsentation der in Erfahrung gebrachten Ergebnisse. Anschließend werden anhand des IT-Sicherheitsprozesses die ermittelten IT-Sicherheitsrisiken analysiert, nachfolgend technische und betriebswirtschaftliche Lösungen aufgezeigt und die erreichten Ergebnisse erläutert.
Alle Interviews wurden in 2007 durchgeführt.
Inhaltsverzeichnis
Abkürzungsverzeichnis
Abbildungsverzeichnis
Tabellenverzeichnis
1 Einleitung
1.1 Motivation
1.2 Problemstellung und Abgrenzung
1.3 Ziel der Arbeit
1.4 Vorgehensweise
2 Grundlagen
2.1 Begriffsdefinition IT-Sicherheit
2.2 Sicherheitsziele und Bedrohungen
2.3 Rechtliche Vorgaben
2.4 Anerkannte Zertifizierungen
2.4.1 DIN EN 61508
2.4.2 ITSEC
2.4.3 Common Criteria (CCITSE)
2.4.4 ISO 27001:2005 und IT-Grundschutz
2.5 Technische Grundlagen
2.5.1 Firewalls
2.5.2 Proxy
2.5.3 IDS / IPS
2.5.4 Malware-Schutz
2.5.5 Web-Filter
2.5.6 E-Mail-Filter
2.5.7 Zugriffskontrolllisten
2.5.8 USV
2.5.9 Kryptographie
2.5.10 Biometrie
2.5.11 Backup & Recovery
2.5.12 Disaster Recovery
3 Interviews
3.1 Abgrenzung der Partner und Inhalte
3.2 Durchführung
3.3 Ergebnisse
3.3.1 Organisation
3.3.2 Technologie
3.3.3 Bedrohungen und Reaktionen
3.3.4 Weiche Sicherheitsfaktoren
4 IT-Sicherheitsprozess
4.1 Grundlagen des IT-Sicherheitsprozesses
4.2 Analyse anhand der Interviewergebnisse
5 Lösungskonzept
5.1 Technische Lösungen
5.2 Betriebswirtschaftliche Lösungen
6 Umsetzung
7 Kosten und Nutzen von IT-Sicherheit
7.1 Kosten und Nutzen der SPAM-Abwehr
7.2 Kosten und Nutzen von Security Outsourcing
8 Zusammenfassung und Ausblick
8.1 Erreichte Ergebnisse
8.2 Ausblick
8.3 Übertragbarkeit
Anlage I: Interviewfragen
Literaturverzeichnis
Ehrenwörtliche Erklärung
Abkürzungsverzeichnis
Abbildung in dieser Leseprobe nicht enthalten
Abbildungsverzeichnis
Abbildung 1: Netzwerkdiagramm Maschinenbau
Abbildung 2: schematische Zeichnung einer Skytale
Abbildung 3: Vertrauen in IT-Sicherheitsmittel
Abbildung 4: Vertrauen in IT-Services
Abbildung 5: Vertrauen in Institutionen und Personen
Abbildung 6: Vier Phasen des Sicherheitsprozesses
Abbildung 7: Assessment-Phase
Abbildung 8: Protection-Phase
Abbildung 9: Detection-Phase
Abbildung 10: Response-Phase
Abbildung 11: Kontinuierliches Sicherheitsmanagement
Abbildung 12: GSTOOL des BSI
Abbildung 13: Beispiel Modellierung im GSTOOL
Abbildung 14: HTML-Hilfe des GSTOOL
Abbildung 15: Strukturplan Beispielunternehmen
Abbildung 16: Schichtenmodell GSTOOL
Abbildung 17: Sicherheitsmaßnahmen im Grundschutz-Baustein 1.000
Abbildung 18: Objektmodellierung im GSTOOL
Abbildung 19: überarbeitetes Netzwerkdiagramm (logische Topologie)
Abbildung 20: Outsourcing-Ebenen
Tabellenverzeichnis
Tabelle 1: Definition informationstechnischer Sicherheitsziele
Tabelle 2: Basisziele und Bedrohungen
Tabelle 3: finanzrechtliche Vorgaben für Informationssysteme
Tabelle 4: Zertifizierungsmöglichkeiten
Tabelle 5: Sicherheitsintegritätslevel (SIL) nach DIN EN IEC 61508
Tabelle 6: EAL-Stufen der Common Criteria
Tabelle 7: Interviewinhalte
Tabelle 8: IT-Sicherheitsmittel
Tabelle 9: IT-Dienste
Tabelle 10: Vertrauenswerte
Tabelle 11: Security Outsourcing
Tabelle 12: ROSI
Tabelle 13: VDMA-Werte für SPAM
Tabelle 14: SPAM-Kosten im VDMA
Tabelle 15: VDMA-Werte für Anti-SPAM
Tabelle 16: SPAM-Abwehr-Kosten im VDMA
Tabelle 17: Kosten für Inhouse-Realisierung
Tabelle 18: Kosten externer Dienstleistung
1 Einleitung
Das Unternehmermagazin Impulse und die IBM Deutschland GmbH führen jährlich die „E-Business-Studie“ durch[1]. In 2006 wurden 1002 Interviews mit deutschen Unternehmen durchgeführt, deren Mitarbeiterzahl zwischen zehn und 999 liegt.
Die Ergebnisse der Studie zeigen den E-Business-Einsatz im deutschen Mittelstand auf. Es zeigte sich, dass nur 1 % der befragten Unternehmen auf E-Business komplett verzichtet, eine eigene Homepage haben 43%, einen Online-Shop 19% der Firmen im Einsatz. E-Mail als digitales Kommunikationsmittel nutzen 98% der Interviewpartner.
Durch Einsatz von E-Business erreichen die interviewten Unternehmen eine höhere Produktivität (56%), reduzierte Organisationskosten (55%) und kürzere Lieferzeiten (54%). Umsatzsteigerungen durch E-Business können fast die Hälfte aller Unternehmen vorweisen.
Umfassende E-Business-Nutzung hat jedoch nicht nur Vorteile. Je mehr Technologie für Geschäftsprozesse genutzt wird, desto abhängiger werden Unternehmen von jederzeit verfügbaren Informationssystemen. Nur 18% der Unternehmen wurden noch nie Opfer eines Angriffes auf Ihre E-Business-Systeme. Aktive Schutzsysteme wie Virenscanner und Firewall sind die Antworten der Interviewpartner auf externe Bedrohungen, immerhin 93% schützen sich mit Hilfe von Firewall-Systemen.
1.1 Motivation
Die Vernetzung von Büroarbeitsplätzen zu einem Computernetzwerk („Office-Netzwerk“) ist in nahezu allen Firmen realisiert und bewirkt einen Produktivitätsgewinn gegenüber Szenarien ohne Vernetzung. Erst durch die technische Vernetzung können IT-Technologien wie E-Mail, Intranet oder zentralisierte Datenbanken genutzt werden. Ähnliche Vorteile werden von einer Vernetzung einzelner Maschinen zu einem Maschinen-Netzwerk oder gar dem Zusammenschluss von Maschine(n) und Office-Netzwerk zu ganzheitlichen, unternehmensweiten Netzwerken („Corporate-Netzwerk“) erwartet.
In kleinen und mittelständischen Unternehmen (KMU) wird die dafür notwendige IT-Sicherheits-Infrastruktur häufig als Insellösung im Office-Netzwerk sowie den nach Außen wirkenden Serverdiensten umgesetzt. Es existieren Antivirus-Programme auf Office-PCs, Server werden vor unbefugten Zugriffen geschützt und Sicherheitsupdates für Server und Office-PCs werden zeitnah eingespielt.
1.2 Problemstellung und Abgrenzung
Grundlage der unternehmensweiten Vernetzung von Arbeitsstationen, Servern und Maschinenarbeitsplätzen bilden gemeinsam genutzte Protokolle und Infrastrukturen, z.B. TCP/IP in Verbindung mit Netzwerk-Switchen oder Hubs. Die Verwendung von Standard-PC-Komponenten in der Maschinensteuerung, beispielsweise eine Intel-basierte Workstation mit Microsoft Windows XP als Betriebssystem, ermöglicht Unternehmen die einfache Anbindung an das vorhandene Firmennetzwerk, birgt jedoch die Sicherheitsprobleme eines jeden Windows-basierten Personal Computers.
Abbildung in dieser Leseprobe nicht enthalten
Quelle: eigene Grafik
Abbildung 1: Netzwerkdiagramm Maschinenbau
Das in Abbildung 1 gezeigte Netzwerkdiagramm stellt einen üblichen technischen Aufbau innerhalb eines Maschinenbau-Unternehmens dar. Produktionsanlagen sind durch die jeweiligen Terminals mit dem Produktionsnetzwerk verbunden.
Die farbliche Einteilung der Unternehmens-IT in drei getrennte Bereiche soll das Problem des „Abteilungsdenkens“ veranschaulichen. Zur Gefahr wird Abteilungsdenken, wenn die jeweiligen Verantwortlichen nicht miteinander reden, Virenscanner nicht übergreifend auf allen Workstations und Terminals aktualisiert werden oder Sicherheitsupdates nicht zeitnah eingespielt werden. Verantwortungen werden im K-Fall „Ausfall der Maschine“ gerne zwischen betroffenen Abteilungen, hier Produktion oder IT-Abteilung, und Hersteller hin und hergeschoben. Für das betroffene System, das Maschinen-Terminal, fühlt sich niemand verantwortlich.
In der Wirtschaft haben fehlende IT-Sicherheitsmaßnahmen in der Produktion in 2006 für Schlagzeilen gesorgt und der Unternehmensmarke Schaden zugefügt, der bei Einhaltung grundlegender IT-Sicherheitsvorschriften nicht eingetreten wäre. So verteilte McDonalds Japan bei einem Gewinnspiel im Oktober ca. 10.000 MP3-Player, die neben 10 kostenlosen Musikstücken auch einen Spyware-Trojaner enthielten[2]. Auf infizierten Rechnern stiehlt der Trojaner private Daten und lädt Code aus dem Internet nach[3]. Im September lieferte Apple Inc. ebenfalls einige seiner MP3-Player („Video iPods“) mit einem Windows-Virus aus und entschuldigte sich in einer Stellungnahme[4]. Bei beiden Unternehmen wurde als Grund ein infizierter Windows-Rechner in der Produktion genannt.
Weitere Fälle aus der Praxis publizierte das Sicherheitsforum Baden-Württemberg in einer Broschüre[5], in der neben dem Windows-Virus-Problem weitere wichtige IT-Sicherheitsrisiken, beispielsweise „neugierige Praktikanten aus China“, „Ideenklau durch eigene Mitarbeiter“ oder auch „Ausfall des Administrators“ aufgezeigt werden.
1.3 Ziel der Arbeit
In dieser Arbeit werden mit Hilfe von Interviews die typischen Sicherheitsprobleme von sechs ausgewählten Unternehmen des Maschinenbaus analysiert und Lösungen zur sicheren Anbindung des Produktionsnetzwerkes an die Netzwerkstruktur angeboten. Die im Rahmen dieser Diplomarbeit durchgeführten Interviews können, streng wissenschaftlich, nicht als repräsentativ für den gesamten Maschinen- und Anlagenbau betrachtet werden, da die Anzahl der Interviews zu gering ist. Sie geben jedoch einen guten Eindruck über die bestehenden Probleme der Maschinen-Office-Vernetzung wieder.
1.4 Vorgehensweise
Zunächst werden technische und rechtliche Grundlagen zur IT-Sicherheit dargestellt. Danach erfolgt eine Abgrenzung der Interviews und Interviewpartner, Schilderung der Durchführung der Interviews und Präsentation der in Erfahrung gebrachten Ergebnisse. Anschließend werden anhand des IT-Sicherheitsprozesses die ermittelten IT-Sicherheitsrisiken analysiert, nachfolgend technische und betriebswirtschaftliche Lösungen aufgezeigt und die erreichten Ergebnisse erläutert.
2 Grundlagen
Um eine einheitliche Interviewgrundlage zu schaffen, müssen sicherheitsbezogene IT-Begriffe definiert und im Kontext der Arbeit relativiert werden. Weiterhin werden für die Produktion relevante IT-Sicherheits-Standards vorgestellt, die in den geführten Interviews angesprochen oder erwähnt wurden.
2.1 Begriffsdefinition IT-Sicherheit
Sicherheit ist ein „Zustand, in dem man vor Gefahr geschützt ist“[6]. Daraus lässt sich ableiten, dass IT-Sicherheit der Zustand ist, in dem IT-Systeme zu hundert Prozent vor Gefahren geschützt sind. Ein hundertprozentiger Schutz ist bei vernetzten IT-Systemen faktisch jedoch nicht zu erreichen, da „Daten häufig permanent in Gebrauch und somit einer Vielzahl von potentiellen Bedrohungen ausgesetzt sind.“[7]. Um ein Mindestniveau an IT-Sicherheit zu erreichen, werden organisatorische, physikalische und technische Maßnahmen zur Umsetzung empfohlen, z.B. nach
BSI IT-Grundschutz[8]. Die Wirksamkeit dieses umgesetzten „Grundschutzes“ kann auf Wunsch anschließend durch akkreditierte Auditoren attestiert werden[9].
Nachteil der BSI-Grundschutzmethode ist die kostenintensive Umsetzung, bis der gewünschte Zertifizierungsgrad erreicht wird. Jedes IT-System wird mit gleicher Aufmerksamkeit betrachtet und muss gemäß den IT-Grundschutz-Katalogen gesichert werden. Die Systeme werden dabei getrennt betrachtet, was einen erheblichen Administrationsaufwand mit sich bringt. Liegen keine Kundenanforderungen nach Sicherheits-Zertifikaten vor, liegt es aus wirtschaftlichen Überlegungen nah, zuerst ohne Zertifizierungsabsicht eine Analyse der Unternehmens-IT durchzuführen und die Infrastruktur oder Dienste entsprechend zu sichern.
IT-Sicherheit, als Zustand definiert, unterliegt ständigen Änderungen und muss stets gewartet, korrigiert und ergänzt werden. So müssen beispielsweise Policies (Richtlinien) in regelmäßigen Abständen auf ihre Wirksamkeit überprüft und Zertifikate nach 2 bis 3 Jahren erneuert werden. IT-Sicherheit sollte daher keinesfalls als ein Projekt mit dem Zielphoto „Audit erfolgreich“ oder „Policy fixiert“ angesehen werden. Vielmehr ist IT-Sicherheit als ein Prozess zu betrachten. Die Definition des IT-Sicherheitsbegriffs ändert sich dadurch in:
IT-Sicherheit ist ein Prozess, mit dem IT-Systeme ökonomisch und technologisch optimiert vor Gefahren geschützt werden.
2.2 Sicherheitsziele und Bedrohungen
Nachdem der IT-Sicherheitsbegriff im Rahmen dieser Arbeit definiert ist, erfolgt eine schematische Differenzierung in einzelne Sicherheitsziele:[10]
Abbildung in dieser Leseprobe nicht enthalten
In Anlehnung an: Hansen, Neumann10
Tabelle 1: Definition informationstechnischer Sicherheitsziele
Für jedes der genannten Sicherheitsziele existieren Bedrohungen, vor denen die Systeme geschützt werden müssen. Basiszielerreichungen sind Voraussetzung für höhere Ziele.
Abbildung in dieser Leseprobe nicht enthalten
In Anlehnung an: Tanenbaum[11]
Tabelle 2: Basisziele und Bedrohungen
Das erste Basisziel, Vertraulichkeit, beruht darauf, dass „geheime Daten geheim bleiben“[12]. Nur wenn als geheim eingestufte und für einen definierten Personenkreis bestimmte Daten dies auch bleiben, ist das Ziel erreicht. Das Ziel umfasst neben der Datenvertraulichkeit ebenfalls die Vertraulichkeit des Kommunikationsakts sowie der Kommunikationspartner und kann durch geeignete Methoden der Kryptographie erreicht werden.
Das zweite Basisziel, Datenintegrität, dient der Sicherung vor unerwünschten Modifikationen von Daten, sowohl gewollten als auch ungewollten Änderungen. Damit der Empfänger einer Nachricht Veränderungen an übertragenen Daten feststellen kann, können Prüfziffernsysteme verwendet werden.
Das dritte Basisziel, Authentifikation, dient der Beglaubigung von Benutzern oder Kommunikationspartnern. Somit wird sichergestellt, dass die Gegenseite auch die Person ist, als die sie sich ausgibt[13]. Die entsprechende Identifizierung wird am einfachsten mit Hilfe von Passwörtern erreicht. Werden deutlich höhere Anforderungen an die Identifizierung des Gegenübers gestellt, bieten sich biometrische Identifizierungsmerkmale an[14].
Das letzte Basisziel, Verfügbarkeit, dient der ständigen Erreichbarkeit eines Systems. Wird ein System, das für die Abarbeitung eine Anfrage durchschnittlich 100ms benötigt und 100 Anfragen parallel verarbeiten kann, mit mehr als 10000 Anfragen pro Sekunde ausgelastet, so ist für weitere Benutzer das System nicht benutzbar und aus Nutzersicht auch nicht verfügbar[15]. Die Menge an Anfragen kann sowohl natürlichen Ursprungs (gewachsenes Interesse) als auch künstlich erzeugt (Denial-of-Service-Angriff) sein. Eine Eindämmung aktiver Denial-of-Service-Angriffe ist mit heutigen Technologien für Unternehmen nur kostenintensiv zu realisieren, zum Beispiel durch Intrusion Prevention Systeme. DoS-Angriffe zu verhindern, besonders Distributed DoS-Angriffe, ist mit aktueller Technologie für Unternehmen des Mittelstandes nahezu unmöglich.
Die höheren Sicherheitsziele besitzen nur ein abstraktes Bedrohungsmodell und dienen grundsätzlich der rechtlichen oder organisatorischen Sicherheit. Das Ziel Datenauthentizität wird prinzipiell durch das Erfüllen von zwei Zielvorgaben erreicht – der Vertraulichkeit (durch Verschlüsselung) und der Datenintegrität (durch Prüfsummen)[16]. Das Ziel Nicht-Abstreitbarkeit entspricht einer Nachweisbarkeit getätigter Kommunikation und muss für rechtlich verbindliche Transaktionen realisiert werden[17]. Das Ziel Zugriffskontrolle dient der Einschränkung der Ausführung von Operationen auf ein definiertes Objekt und der Klassifizierung von Objekten und Personen. Nur wenige Personen benötigen beispielsweise den Zugriff auf alle Objekte eines Datenbanksystems[18]. Die Umsetzung des Ziels Zurechenbarkeit wird durch Aufzeichnung von Zeit und Umfang der Ressourcennutzung eines Informationssystems erreicht und ist damit Voraussetzung für Fakturierung oder Provisionierung von Application Services[19].
Neben diesen Sicherheitszielbedrohungen existieren Schadensszenarien, die den im IT-Grundschutzhandbuch des BSI fixierten Schutzbedarfskategorien (niedrig bis mittel, hoch, sehr hoch) zugeordnet werden können. Eine schadenorientierte Risikoanalyse der IT-Systeme deckt im Anschluss an die am Grundschutzhandbuch orientierte Schutzbedarfsfeststellung schnell auf, in welchen Bereichen des Unternehmens sofortiger Handlungsbedarf besteht. Die nachfolgende Auflistung von Beispielen soll einen Überblick geben, welche Schadensszenarien ein Unternehmen bedrohen können:[20]
Szenario „Verstoß gegen Gesetze, Vorschriften oder Verträge“
Am 01.01.2007 wurden durch Inkrafttreten des EUHG[21] die Informationspflichten bei Geschäftsbriefen von Kapitalgesellschaften erweitert. Nun werden eindeutig auch (formlose) E-Mails als Geschäftsbriefe angesehen und müssen somit den Formvorschriften genügen. Eine Aktiengesellschaft muss beispielsweise folgende Angaben in ausgehenden geschäftlichen E-Mails machen, um nicht gegen geltendes Recht zu verstoßen:
„Vollständiger Firmenname, Rechtsform und Sitz der Gesellschaft, das Registergericht des Sitzes der Gesellschaft und die Nummer, unter der die Gesellschaft in das Handelsregister eingetragen ist sowie alle Vorstandsmitglieder und der Vorsitzende des Aufsichtsrates mit dem Familiennamen und mindestens einem ausgeschriebenen Vornamen. Der Vorsitzende des Vorstandes ist als solcher zu bezeichnen.“[22]
Grundsätzlich wird von rechtlicher Seite davon ausgegangen, dass interne Kommunikation und private E-Mails nicht als Geschäftsbriefe angesehen werden und auf diesen die Angaben nicht erfolgen müssen. Jedoch kann eine technische Umsetzung teilweise diese Fälle nicht unterscheiden und in der Praxis wird eine einheitliche Signatur durch eine zentrale Softwareinstanz automatisiert erzeugt und der E-Mail vor dem Verlassen des Unternehmens hinzugefügt (Sonderfälle vernachlässigt).
Szenario „Ansehensverlust“
Wie bereits in Kapitel 1.2 geschildert, können Sicherheitsprobleme in der Produktion von Zulieferern zu Ansehensverlust des eigenen Unternehmens oder Produkts führen. Um solchen Vorkommnissen vorzubeugen empfiehlt es sich, ein vorhandenes Lieferantenauswahlverfahren um eine IT-Sicherheitskomponente zu erweitern und Lieferanten somit einer IT-Sicherheitsklassifizierung zu unterziehen. In einer aktuellen Studie der Firma Cybertrust erklärten 39 Prozent der Studienteilnehmer, „die Informationssicherheit ihrer Partner "nie" zu beurteilen – und zwölf Prozent konnten diese Frage nicht beantworten, weil sie es nicht wissen“[23]. Mehr als die Hälfte also beschäftigt sich überhaupt nicht mit dem Thema „IT-Sicherheit meines Lieferanten“ und setzt sich somit fahrlässig der Gefahr aus, sowohl materielle als auch immaterielle Schäden durch externe Sicherheitsprobleme zu erleiden. Für Aktiengesellschaften kann solch ein Ansehensverlust auch zu materiellem Schaden führen (sinkender Aktienkurs).
Szenario „Finanzielle Verluste“
Wenn im Produktionsunternehmen der Fileserver, auf dem alle notwendigen Produktionspläne zentral gespeichert werden, durch einen Hardwaredefekt ausfällt, steht die Produktion unter Umständen mehrere Stunden oder Tage still. Auf das vorhandene Backup kann nur vom Fileserver selbst zugegriffen werden, das ist in diesem Moment wegen des Hardwaredefektes jedoch unmöglich.
Dieses ziemlich einfache Szenario kann einer Maschinenbaufirma schnell eine Konventionalstrafe auf Grund von Lieferverzögerungen einbringen und damit hohen finanziellen Schaden verursachen. Zusätzlich treten weitere Streueffekte auf, die sich nur schwer erfassen lassen, beispielsweise verlagerte Produktionsaufträge des Kunden oder Imagebeeinträchtigungen.
Weitere mögliche Schadensszenarien sind:
- Beeinträchtigung des informationellen Selbstbestimmungsrechts,
unbefugte Weitergabe personenbezogener Daten, Vorratsdatenspeicherung
- Beeinträchtigung der persönlichen Unversehrtheit,
Personen-Scan auf Flughäfen[24], medizinische Überwachungssysteme
- Beeinträchtigung der Aufgabenerfüllung.
Lieferverzögerungen durch verzögerte Bestellbearbeitung (Krankheit, etc.)
2.3 Rechtliche Vorgaben
Die sowohl für Hersteller als auch Anwenderunternehmen verbindlichen rechtlichen Vorgaben betreffen finanzrechtliche Regelungen zur steuerrechtlichen Prüfbarkeit sowie zum Betrieb von Buchungssystemen. Die nachfolgende Tabelle 3 listet für diese Arbeiten relevante Vorgaben auf. Es existieren entsprechende Literatur und genügend IT-Beratungsunternehmen, welche die Vorgaben ausführlich betrachten.[25]
Abbildung in dieser Leseprobe nicht enthalten
Quelle: eigene Recherchen
Tabelle 3: finanzrechtliche Vorgaben für Informationssysteme
Im dritten Quartal 2006 wurde das Allgemeine Gleichbehandlungsgesetz verabschiedet[29]. Es verpflichtet Arbeitgeber unter anderem dazu, Mitarbeiter aktiv vor Diskriminierung zu schützen, „dies umfasst auch vorbeugende Maßnahmen“[30]. Zu vorbeugenden Maßnahmen zählen neben organisatorischen und personellen auch informationstechnische Maßnahmen wie E-Mail-Archivierung, Internetzugriffsprüfungen und die entsprechende Protokollierung, damit sich Unternehmen vor ungerechtfertigten Ansprüchen schützen können.
Auf Internetseiten der interviewten Unternehmen fanden sich beispielsweise diskriminierende Bewerbungsfragen, die nun beseitigt wurden.
Weiterhin wird auf Gerichtsurteile im Bereich der Datensicherung verwiesen. So hat das Kammergericht Berlin[31] entschieden, dass „eine fristlose Kündigung eines Vorstands gerechtfertigt ist, wenn dieser für eine veraltete Datensicherung und Datenverarbeitung verantwortlich ist“[32].
2.4 Anerkannte Zertifizierungen
Hersteller von IT-Systemen sind gegenüber Anwendern und damit ihren Kunden in der Pflicht, sichere Systeme herzustellen. Um einen unabhängigen Nachweis über den Grad der Sicherheit des angebotenen Informationssystems zu bieten, werden von neutraler Stelle Grundsätze und Standards definiert. Neben den für Konstrukteure oder Herstellern wichtigen Evaluierungen für IT-Produkte können Unternehmen die Sicherheit ihrer Informationssysteme auf organisatorischer Ebene prüfen und zertifizieren lassen. Tabelle 4 gibt einen kurzen Überblick über Zertifikatsmöglichkeiten, die im Rahmen dieser Arbeit relevant sind.
Abbildung in dieser Leseprobe nicht enthalten
Quelle: eigene Recherchen
Tabelle 4: Zertifizierungsmöglichkeiten
Damit das Produkt eines Herstellers für Benutzer und Anwender als sicher angesehen werden kann, muss es nach mindestens einem der in Tabelle 4 genannten Zertifikate evaluiert werden. Die Zertifikate unterscheiden sich hinsichtlich ihres Wirkungsbereiches und Umfangs, wobei nachfolgend eine Kurzbeschreibung der einzelnen Zertifikate erfolgt.
2.4.1 DIN EN 61508
Gefährdungen für ein Informationssystem lassen sich in verschiedene Ursachenkategorien einteilen. Die daraus abgeleiteten Maßnahmen werden den Ursachen entsprechend zusammengefasst. So dienen zum Beispiel Maßnahmen gegen elektrische Gefährdungen der „elektrischen Sicherheit“. Die vorliegende DIN-EN-Norm 61508 standardisiert den Bereich der funktionalen Sicherheit, somit die Sicherheit der korrekten Funktion. Betrachtet werden komplette Sicherheitsfunktionen, beispielsweise von Sensor (Erfassung) über Logik (Verarbeitung) bis zum Aktor (Schaltung) einer Maschinensteuerung. Es sind Anforderungen an Hardware-Sicherheitsintegrität und systematischer Sicherheitsintegrität zu beachten, wie sich ein System bei Erkennung von Fehlern verhält und welche Anforderungen an die Datenkommunikation gestellt werden[33]. Zusätzlich zu dieser Fehlerbeherrschung wird das Management der funktionalen Sicherheit betrachtet. Es müssen für jede Phase der Entwicklung Verantwortlichkeiten festgelegt werden, die jeweiligen Kompetenzen sichergestellt sein und Zulieferer von Produkten oder Diensten müssen über angemessenes Qualitätsmanagement verfügen. Die evaluierten Systeme werden in vier Sicherheits-Integritätslevel (SIL) und 2 Betriebsarten eingeteilt.
Abbildung in dieser Leseprobe nicht enthalten
Quelle: Hauke, M.[34]
Tabelle 5: Sicherheitsintegritätslevel (SIL) nach DIN EN IEC 61508
2.4.2 ITSEC
ITSEC (Information Technology Security Evaluation Criteria) ist ein gemeinsam von Deutschland, Frankreich, Großbritannien und Holland veröffentlichter Sicherheitsstandard zur Evaluierung von Informationssystemen und IT-Produkten. Er wurde 1991 in Version 1.2 veröffentlicht und trat im März 1998 in Kraft[35]. Ziel der ITSEC ist die nationale Zertifizierung und gegenseitige Anerkennung von Evaluierungsergebnissen und damit die Harmonisierung der IT-Sicherheitskriterien in Europa. ITSEC definiert sechs hierarchische Evaluierungsstufen, E1 (niedrigste Stufe) bis E6 (höchste Stufe)[36].
Das wichtigste nichteuropäische Gegenstück der ITSEC sind die gemeinsam von Kanada und den Vereinigten Staaten entwickelten Trusted Computer System Evaluation Criteria (TCSEC)[37]. Die TCSEC sind ebenfalls hierarchische Sicherheitskriterien und werden in Nordamerika von neutraler Stelle evaluiert. Es werden vier Klassen, D („Minimal Protection“) bis A („Verified Protection“), unterschieden.
[...]
[1] Vgl. http://www.impulse.de/downloads/ibm_studie_2006.pdf , Stand 10.03.2007.
[2] Vgl. http://www.heise.de/security/news/meldung/79544 , Stand 10.03.2007.
[3] Vgl. http://www.sophos.de/security/analyses/trojqqpassafn.html , Stand 10.03.2007.
[4] Vgl. http://www.apple.com/support/windowsvirus/ , Stand 10.03.2007.
[5] Vgl. http://www.sicherheitsforum-bw.de/downloads/Sicherheitsforum2.pdf , Stand 10.03.2007.
[6] http://de.wiktionary.org/w/index.php?title=Sicherheit&oldid=505888 - Bedeutung: [1], Stand 10.03.2007.
[7] Hansen, H. R., Neumann, G. (2001), S. 173.
[8] Vgl. http://www.bsi.de/gshb/index.htm , Stand 10.03.2007.
[9] Vgl. http://www.bsi.bund.de/gshb/zert/auditoren/index.htm.
[10] Vgl. Hansen, H. R., Neumann, G. (2001), S. 174-177.
[11] Vgl. Tanenbaum, A. S. (2003), S. 624.
[12] ebd. (gleiche Seite wie bei 11).
[13] Vgl. ebd. (gleiche Seite wie bei 11).
[14] Vgl. in dieser Arbeit, Kapitel 2.5.10 Biometrie.
[15] Vgl. Tanenbaum, A. S. (2003), S. 624.
[16] Vgl. Hansen, H. R., Neumann, G. (2001), S. 176.
[17] Vgl. ebd. (gleiche Seite wie bei 16).
[18] Vgl. ebd., S. 177.
[19] Vgl. ebd. (gleiche Seite wie bei 18).
[20] Vgl. Eckert, C. (2006), S. 160f.
[21] EUHG: Gesetz über das elektronische Handelsregister, Genossenschaftsregister sowie das Unternehmensregister.
[22] Wiesner, M. (2007), S. 2.
[23] http://www.cio.de/knowledgecenter/security/830638/index.html , Stand 10.03.2007.
[24] Vgl. http://www.heise.de/tp/r4/artikel/13/13080/1.html , Stand 10.03.2007.
[25] Vgl. http://de.wikipedia.org/w/index.php?title=Revisionssicherheit&printable=yes, Stand 10.03.2007.
[26] Vgl. http://www.gdpdu-portal.com/Finanzamt/Dokumente/GDPdU_Grundsaetze.pdf , Stand 10.03.2007.
[27] Vgl. http://thomas.loc.gov/cgi-bin/query/z?c107:H.R.3763.ENR: , Stand 10.03.2007.
[28] Vgl. http://www.bis.org/publ/bcbsca.htm , Stand 10.03.2007.
[29] Vgl. http://www.gesetze-im-internet.de/bundesrecht/agg/gesamt.pdf , Stand 10.03.2007.
[30] Vgl. § 12 Abs. 1 S. 2 AGG.
[31] Urteil vom 27.09.2004, Az: 2 U 191/02 des 2. Zivilsenats.
[32] Vgl. Schultze-Melling, J. (2006).
[33] Vgl. Hauke, M. (2006) S. 1-23.
[34] Hauke, M. (2006), S. 14.
[35] Vgl. http://www.bsi.bund.de/zertifiz/itkrit/itsec.htm , Stand 10.03.2007.
[36] vgl. o.V. (1991), S. 44f.
[37] http://www.dynamoo.com/orange/fulltext.htm , Stand 10.03.2007.
-
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen.