CIA und die Informationssicherheit

Während andere die Woche zwischen Weihnachten und Neujahr gerne in der Heimat verbringen, zieht es andere in die Ferne. So auch mich und einen Kollegen von it-economics: wir waren vom 27.-30. Dezember beim 35. Chaos Communication Congress (35C3) in Leipzig. Das Thema IT-Sicherheit war in diesem Jahr wieder sehr prominent, auch aufgrund aktueller Ereignisse. Wir nehmen das zum Anlass eine kleine Blogserie zu starten, rund um die Grundlagen der IT-Sicherheit. Im ersten Teil geht es um die Schutzziele von IT-Sicherheit, die CIA.

Vertraulichkeit, Integrität und Verfügbarkeit

In der IT hört man immer wieder von CIA, oder auch den ausgeschriebenen Schutzzielen Vertraulichkeit (Confidentiality), Integrität (Integrity) oder Verfügbarkeit (Availability). Generell wird von einem als sicher geltenden System erwartet, dass alle drei Schutzziele erfüllt werden und hierdurch die Gefahren und Risiken des Betriebs einer Applikation minimiert werden. Mit diesem Artikel möchte ich die Grundlage für weitere Themen Rund um Betrieb und DevOps schaffen.

information_security.png

Vertraulichkeit

Hinter dem ersten Grundziel der Informationssicherheit, der Vertraulichkeit, verbirgt sich die Bedingung, dass nur befugte Personen Daten einsehen oder verändern dürfen. Hierbei ist zu beachten, dass die Vertraulichkeit nicht nur innerhalb der Applikation, sondern auch auf dem vollständigem Transportweg gewährleistet sein muss. Zur Sicherstellung einer angemessenen Vertraulichkeit ist es notwendig klar festzulegen, wer und in welcher Art und Weise Zugriff auf Daten erhält.

An dieser Stelle stellt man sich in der Regel die Frage, wie sich diese Anforderung umsetzen lässt. Für Applikationen selbst ist dies oft einfach durch ein geeignetes Rechte-Rollen-Konzept, sowie die verschlüsselte Speicherung von Daten umsetzbar. Für den Transportweg jedoch ist die Einführung und Nutzung einer geeigneten Transportwegverschlüsselung (z.B. https statt http) notwendig. Zusätzlich empfiehlt es sich unsichere Verbindungen an dieser Stelle generell zu verhindern. 

Übertragen wir diese Informationen nun in ein Praxisbeispiel: Ein Mitarbeiter möchte vertrauliche Vertragsdokumente an seinen Kunden via E-Mail senden. Den Zugriff durch ausschließlich autorisierte Personen stellen wir durch Authentifizierung des Users mittels Login und ein geeignetes Monitoring über administrative Zugriffe sicher. Da eine E-Mail standardmäßig aber die Sicherheit einer Postkarte besitzt, also von jedem, den sie passiert, gelesen werden kann, sind weitere Maßnahmen zur Sicherstellung der Vertraulichkeit notwendig. Hierfür gibt es zwei Lösungsansätze, die am besten kombiniert werden:

  1. Der erste Ansatz ist die Nutzung von verschlüsselten Übertragungswegen (hierfür müssen die beteiligten Server entsprechende Techniken unterstützen).

  2. Der zweite Ansatz beinhaltet die Nutzung von E-Mail-Zertifikaten für eine sichere Verschlüsselung der E-Mail, welche bei Empfänger und Sender konfiguriert werden muss. Wichtig ist hier, dass nur die zweite Variante sicherstellt, dass auch kein Administrator Zugriff auf die Inhalte erlangen kann.

Leider wird oftmals vergessen: Zur Vertraulichkeit zählt ebenfalls die Sicherstellung des physischen Zugriffsschutzes. Zum Beispiel müssen Personalakten oder Archivräume verschlossen sein, so dass der unberechtigte Zugriff verhindert wird.

Integrität 

Mit dem Ziel der Integrität geht einher, dass es nicht möglich sein darf, unerkannte Änderungen an Daten durchzuführen. Hierbei geht es also nicht um die Vertraulichkeit, sondern um die Nachvollziehbarkeit sämtlicher Datenänderungen.

Ein kleines Beispiel aus der Welt der Admins und Sicherheit: Die Verwaltung von Nutzeraccounts erfolgt in der Regel zentral durch ein Active Directory. Um (heimliche) Änderungen an Useraccounts bemerken zu können, ist es unabdingbar Zugriffe auf die Userverwaltung zu protokollieren sowie alle Anpassungen zu protokollieren. Hierzu muss sich jeder Administrator mit seiner persönlichen Nutzer-ID am Verwaltungsserver authentifizieren. Wird jedoch ein geteilter zentraler Adminaccount eingesetzt, also diese digitale Identität von mehreren Personen genutzt, so wird die Integrität des Datenbestands zerstört. Sofern die Abschaffung geteilter Accounts nicht möglich ist, muss zumindest durch geeignete Dokumentationsverfahren sichergestellt werden, dass die Datenintegrität gewährleistet wird.

Schon alleine eine unerkannt vorgenomme Änderung zerstört die Integrität des gesamten Datensatzes.

Verfügbarkeit

Die Zeit, in der ein System ordnungsgemäß funktioniert, ist durch die Verfügbarkeit definiert. Unter Beachtung der Schutzziele bedeutet Vefügbarkeit eine möglichst hohe Erreichbarkeit und Nutzbarkeit von Systemen. Somit soll also das Risiko von Systemausfällen minimiert werden.

Im Unternehmenskontext bedeutet dies, dass Verantwortliche einen Überblick über sämtliche Datenbestände und Systeme besitzen. Diese Systeme und Datenbestände müssen analysiert und bewertet werden, so dass deren Bedeutung für das Unternehmen festgelegt werden kann. Je größer die Bedeutung, desto mehr Aufwand sollte betrieben werden diese vor Ausfällen zu schützen. Zur Bewertung und Kommunikation an Verantwortliche ist die Durchführung einer Risikoanalyse inklusive Bewertung der Ausfallwahrscheinlichkeit, -dauer sowie des Schadenspotentials sehr zu empfehlen. Eine allgemeingültige Bewertung existiert hierbei nicht, da die Auswirkungen einer Reduktion der Verfügbarkeit von Unternehmen zu Unternehmen variieren kann.

Fazit

So einfach und übersichtlich die drei grundlegenden Ziele der Informationssicherheit erscheinen, so schwierig sind sie in der Realität konsequent anzuwenden und durchzusetzen. Die Sicherheitsstrategie im Unternehmen sollte deswegen in regelmäßigen Abständen sowohl in der Erstellungs-, Implementierungs-, als auch in der Durchführungsphase auf Einhaltung dieser Ziele überprüft werden. Fällt eine Prüfung negativ aus, müssen Anpassungen an der Strategie oder den Maßnahmen vorgenommen werden müssen.