Die drei klassischen Schutzziele der IT-Sicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit. Schutzziele gelten jeweils für konkrete Objekte oder Werte und zwischen den einzelnen Zielen kann es Abhängigkeiten geben. (Quelle: BSI)
Das Problem von Sicherheit ist, dass sie für den berechtigten Benutzer keinen Mehrwert bringt. Oft sogar das Gegenteil: Sie hält den Benutzer von seiner Arbeit ab. Ein Beispiel: Eine verschlossene Haustür (oder eine Passworteingabe) bringt dem Hauseigentümer an sich keinen Mehrwert. Er muss seinen Schlüssel dabei haben und beim Verlust evtl. Schlösser austauschen, es hilft ihm nicht dabei schneller ins Haus bzw. schneller an seine Daten zu kommen. Dagegen merkt ein Angreifer den Mehrwert für den Benutzer deutlich, er hat es nämlich schwerer einen Angriff erfolgreich durchführen zu können.
Computer wurden gebaut damit Leute effizienter arbeiten können. Wenn also der Benutzer Software installieren will, hilft ihm das effizienter zu sein, allerdings oft nicht der Sicherheit. Daher ist Sicherheit immer ein Kompromiss.
Spezielle Aspekte sind Linux-Security und Windows Sicherheit.
Siehe auch Wlan-Security und Verschlüsselung.
Notfallplan erstellt? (Datendiebstahl, einen Systemabsturz, Einbruch oder Feuer) Mitarbeiter informiert? Beseitigungsfristen für einen Störfall? siehe BSI: 100-4 Notfallmanagement (ab Sommer 07).
Größte Gefahren sind
Denn Sicherheit ist kein Produkt (und auch nicht eine Kombination) sondern ein Prozess (das hat man garantiert schon mal gehört, stammt von Bruce Schneier).
Die Vermeidung von
von gespeicherten Daten.
Gegen den Verlust hilft ein Backupkonzept, alles andere muss systematisch geschützt werden. Ziel soll immer die Schadens- und Häufigkeitsbegrenzung sein.
Sicherheit wird wie eine Kette betrachtet, das schwächste Glied bestimmt das Maß der Gesammtsicherheit.
Teile der Kette:
Da Zugänge meist nicht mit Zertifikaten sondern über Passwörter geregelt werden, kommt diesen auch eine große Bedeutung zu. Hauptprobleme sind Passwörter
Laut einer Studie von McAfee (Quelle: Lascher Umgang mit Passwörtern) sieht die Top10 so aus:
Passwortchecker (eigene Passwörter auf Sicherheit überprüfen):
bmwa-sicherheitsforum IT-Grundschutzhandbuch Common Criteria IT-Sec Deutsche IT-Sicherheitskriterien
OISSG - ISSAF Guideline on Network Security Testing NIST IEEE Standard for Software Test CVE-Compatible Products and Services
Penetration Tester's Open Source Toolkit InfoSec Career Hacking: Sell Your Skillz, Not Your Soul Penetration Testing and Network Defense Google Hacking for Penetration Testers Hack I.T. -- Security Through Penetration Testing
siehe Events
z.B. Cisco, Checkpoint, Symantec, Microsoft: