Inhaltsverzeichnis Seite I

Inhaltsverzeichnis   

INHALTSVERZEICHNIS   I

ABBILDUNGSVERZEICHNIS   III

ABK  ÜRZUNGSVERZEICHNIS  IV

1  EINLEITUNG  1

1.1  Motivation  1

1.2  Zielsetzung  1

2  EINORDNUNG VON IT- SICHERHEITSMANAGEMENT  2

2.1  Allgemeines über Sicherheitsmanagement  2

2.1.1  Grundlagen und begriffliche Abgrenzungen  2

2.1.2  Sicherheitsbewusstsein von Corporate Networks  3

2.2  Gesetzliche Rahmenbedingungen und Verordnungen  4

2.3  Wirtschaftlichkeit des IT- Sicherheitsmanagement  7

2.4  Risikoanalysen und Risikomanagement  8

3  TECHNISCHE GRUNDLAGEN DER IT- SICHERHEIT  10

3.1  Netzwerke und VPNs  10

3.2  Das Internet und die Internetprotokolle  15

3.2.1  Die Internetstruktur  15

3.2.2  Protokolle der Datensicherungsschicht  19

3.2.3  Protokolle der Netzwerkschicht  19

3.2.4  Protokolle der Transportschicht  20

3.2.5  Protokolle der Anwendungsschicht  21

3.3  Kryptographie  24

3.4  Authentifikation  28

3.5  Firewall-Systeme  32

4  GEFAHREN UND SPEZIELLE ANGRIFFE AUF NETZWERKE  37

4.1  Infrastrukturgefahren  37

4.2  Gefahren auf vernetzte und nicht vernetzte Systeme  38

4.3  Datenübertragungs- und Telekommunikationsgefahren  39

4.4  Spezielle Bedrohungen und Angriffe auf Netzwerke  40

Inhaltsverzeichnis Seite II

4.4.1  Grundsätzliche Bedrohungen  40

4.4.2  Netzwerkinterne Angriffe  45

4.4.3  Netzwerkexterne Angriffe  48

4.5  Gegenmaßnahmen und Gefahrenabwendung  54

5  ENTWICKLUNG UND UMSETZUNG DER  

SICHERHEITSKONZEPTE   58

5.1  Die Entwicklung des Sicherheitsprozesses  58

5.1.1  Der BSI-Grundschutz-Ansatz des Sicherheitsprozesses  58

5.1.2  Schutzbedarfsermittlung nach BSI  61

5.1.3  Die Sicherheitspyramide als Ansatz des Sicherheitsprozesses  66

5.2  Die Sicherheitsleitlinien und Sicherheitsstandards  68

5.3  Die Sicherheitskonzepte  70

5.4  Zertifizierung der IT-Sicherheit  73

6  ZUSAMMENFASSUNG UND AUSBLICK  77

LITERATURVERZEICHNIS   V

Monographien   V

Zeitschriften   VIII

Skripte   IX

Internet_______________________________________________________   IX

Abbildungsverzeichnis  Seite  

Abbildungsverzeichnis   

Abbildung  1: Risiko und Sicherheit  

Abbildung  2: Sechs verschiedene Typen von Netzwerkdiensten  

Abbildung  3: Funktionale Schichten und Protokolle im Internet  

Abbildung  4: Format eines IP-Pakets  

Abbildung  5: Aufbau eines aktiven Firewallelementes  

Abbildung  6: Angriffsart: Offenlegung  

Abbildung  7: Angriffsart: Täuschung  

Abbildung  8: Angriffsart: Unterbrechung  

Abbildung  9: Angriffsart: Widerrechtliche Aneignung  

Abbildung  10: Tabellarische Kombination der Gefahrenkataloge- und  

Ma  ßnahmenkataloge  

Abbildung  11: Beispiel zur Organisation des IT-Sicherheitsmanagements in  

einer  mittelgroßen Institution  

Abbildung  12: Aktionsplan für den IT-Sicherheitsprozess  

Abbildung  13: Vorgehensweise bei der IT-Schutzbedarfsfeststellung  

Abbildung  14: Sicherheitspyramide III (Dr. Müller)  

Abbildung  15: Methodik zur Entwicklung organisatorischer IT-  

Sicherheitsleitlinien   

Abbildung  16: Schichten und Bausteine des IT-Verbundes  

Abbildung  17: Stufen des Zertifizierungsprozesses  

Abkürzungsverzeichnis Seite IV

Abkürzungsverzeichnis

Abkürzungsverzeichnis Seite V

Abkürzungsverzeichnis Seite VI

1 Einleitung

1.1 Motivation

Die rasante Entwicklung in der Informationstechnologie erhöht den Anpassungsbedarf auf technologischer Ebene. Wie in vielen Bereichen des Lebens gibt es Vorteile und Nachteile, die sich durch Wandel und Änderung ergeben. Diese wirken sich positiv oder negativ auf die Unternehmensnetzwerke und IT-Systeme aus. Das IT-Sicherheitsmanagement versucht in einer strukturierten Vorgehensweise, Netzwerke und IT-Systeme gegen Gefahren und Bedrohungen zu schützen. Die Sicherung und der Schutz von technologischen Unternehmensressourcen entwickeln sich zunehmend zu einer unabdingbaren Managementkomponente. Man möchte damit die sensiblen Unternehmensdaten schützen und die gesetzlichen Anforderungen erfüllen.

1.2 Zielsetzung

Das Ziel dieser Arbeit liegt darin, die Grundlagen technischer und administrativer Art zu erklären, um die Wichtigkeit der Sicherheitskonzepte und ihre Zertifizierung besser nachzuvollziehen. Die Behandlung der technischen Aspekte soll die Sensibilität für das Thema IT-Sicherheit für Unternehmensnetzwerke erhöhen, um die notwendigen Details bei der Konzepterstellung besser zu verstehen. Durch diese Vorgehensweise sollen die Unternehmen in die Lage versetzt werden selbst Sicherheitsmaßnahmen mit Hilfe des Grundschutzbuchs des BSI umzusetzen. Die Bedeutung der Zertifizierung in der IT-Sicherheit wird von vielen Unternehmen als besonders wichtig betrachtet. ¹ Diese Arbeit ist in vier Hauptkapitel aufgeteilt, und behandelt zunächst das Thema des IT-Sicherheitsmanagement, dann werden die technologischen Gegebenheiten erklärt. Die möglichen Gefahren und Bedrohungen für IT-Verbunde sind im Kapitel vier erklärt. Im Kapitel 5 werden die Sicherheitskonzepte vorgestellt.

1 Vgl.: O. V.: http://www.cio.de/strategien/methoden/816451/, o. S., Stand 23.12.2005

2 Einordnung von IT- Sicherheitsmanagement

2.1 Allgemeines über Sicherheitsmanagement

2.1.1 Grundlagen und begriffliche Abgrenzungen

Sicherheit ist ein Zustand der nicht sichtbar oder messbar ist. Es handelt sich hierbei um eine subjektive Wahrnehmung. ² Der Sicherheitsbegriff beschreibt den als schutzlosen oder geschützten empfundenen Zustand. Im Englischen kann der deutsche Begriff der Sicherheit mit den Begriffen safety oder security übersetzt werden. Safety bezieht sich auf die Zuverlässigkeit oder die Funktionalität eines Systems und security ist die Sicherheit eines Systems vor Angriffen. ³ Der Fokus dieser Arbeit wird auf den letzteren Begriff gesetzt. Ein IT- System ist offen oder geschlossen und dient der Speicherung oder Verarbeitung von Informationen. Die geschlossenen Systeme sind nur für berechtigte Teilnehmergruppen gedacht und räumlich begrenzt. Die offenen Systeme sind nicht eingeschränkt und bestehen aus vernetzten bzw. kompatiblen Systemen. Es werden hierfür Kommunikationsstandards vereinbart. 4

Der Begriff der Netzwerksicherheit wird meist falsch interpretiert. Es geht vielmehr um den Schutz eines IT-Verbunds. Dieser Verbund besteht selbst aus mehreren Netzwerken. Daher bezieht sich die Netzwerksicherheit auf alle zum Verbund gehörenden Systeme. ⁵ Die Informationen, die im IT-System verarbeitet oder gespeichert werden, können in Form von Daten oder Objekten auftreten. Man unterscheidet die passiven und die aktiven Objekte. Die passiven Objekte sind z. B. Dateien oder Datensätze und können Informationen nur speichern. Die aktiven Objekte sind bspw. Prozesse, die in der Lage sind, Informationen zu verarbeiten und zu speichern. ⁶ Das Sicherheitsmanagement beinhaltet alle Aufgaben, die notwendig sind, die eigenen Systeme gegen Spionage, Sabotage, Fahrlässigkeit und Unkenntnis in Zusammenarbeit mit anderen Unternehmensein-

² Vgl.:Oppliger 1997, S. 3

3 Vgl.: Oppliger 1997, S. 3

4 Vgl.: Eckert 2003, S. 2

5 Vgl.: Stallings 2001, S. 15

heiten zu schützen. 7

2.1.2 Sicherheitsbewusstsein von Corporate Networks

Die Sicherheit im Unternehmen hängt von Faktoren ab, die Zugriff auf unternehmensinterne Systeme haben. Das sind z. B. die Mitarbeiter, die Administratoren oder die Programmierer. Diese Gruppe von Menschen sollte für das Thema der Sicherheit im Unternehmen sensibilisiert werden. Man setzt in der Theorie das Sicherheitsmanagement mit dem Risikomanagement auf gleicher Ebene. Demnach ist ein Risiko das Produkt der Bedrohung und der Verwundbarkeit. Das Sicherheitsbewusstsein wird durch interne Programme verstärkt. Es werden Inhalte zu den Sicherheitsrichtlinien, den Sicherheitsprozessen und die Erfahrungen der IT- Sicherheit vermittelt. ⁸ Die IT- Sicherheit soll u. a. sensible Unternehmensdaten schützen. Die Informationen können den Charakter des geistigen Eigentums, der Konstruktionszeichnungen, der Patente oder der Kundendaten haben. Sicherheitsmängel entstehen durch die Anbindung der lokalen Netze an den öffentlichen Netzen, auf Ebene der eigenen Unternehmensnetze oder auf der Anwendungsstufe. ⁹ In vielen Fällen hat man erkannt, dass die Sicherheitslücken einer Unternehmung durch die Unkenntnis oder durch die Unachtsamkeit der Mitarbeiter entstehen. Es sollte immer geklärt werden durch wen die Lücken ent-standen sind, und welche Auswirkungen die verursachten Schäden auf das Unternehmen haben. 10

In der Regel sollte ein Sicherheitsmanager beauftragt werden, die Schnittstelle zwischen den Unternehmenszielen und den Sicherheitsprogrammen herzustellen. Der Sicherheitsmanager sollte auch auf die Einhaltung und die kontinuierliche Überprüfung der Sicherheitsrichtlinien achten. Das ist deshalb notwendig, da man heute viele unternehmensinternen Systeme wie bspw. die Produktionssysteme oder Warenwirtschaftssysteme mit anderen Systemen von Kunden oder Lieferer verknüpft, um eine effiziente

6 Vg l .: Eckert 2003, S. 2

7 Vgl.: Brands 2005, S. 1

8 Vgl.: Mühlenbrock 2003, S. 148-149

9 Vgl.: Schumann 2003, S. 97

10 Vgl.: Schumann 2003, S. 103

Marktbearbeitung zu gewährleisten. ¹¹ Das Sicherheitsbewusstsein lässt sich nach der Bedeutung der Beteiligten in vier Gruppen unterteilen. Es gibt die Endbenutzer, die sich an Sicherheitsrichtlinien und Standards zu halten haben. Die Manager sind für die Schaffung der Sicherheit zuständig. Die externen Mitarbeiter müssen ebenfalls die Sicherheitsrichtlinie einhalten. Die Kunden und Lieferanten müssen Sicherheitsvereinbarungen einhalten. ¹² Damit alle Anforderungen erfüllt werden, sollte ein ganzheitliches Sicherheitskonstrukt aufgebaut werden. Das Ziel ist die Vertraulichkeit, die Integrität, die Verfügbarkeit und die Authentizität des Sicherheitssystems zu gewährleisten. 13

2.2 Gesetzliche Rahmenbedingungen und Verordnungen

Die gesetzlichen Regelungen sind bereichsübergreifend und erstrecken sich über viele Gesetze hinaus. Die Regelungen beginnen mit der Absicherung von personenbezogenen Daten, die im BDSG geregelt sind, und erstrecken sich über andere Gesetze wie z.B. das Sozialgesetz, das Telekommunikationsgesetz, das Urhebergesetz, das Signaturgesetz, das Strafgesetz, das Teledienstegesetz, das Bundesverfassungsgesetz, das Grundgesetz, das Strafgesetz, das Informationsgesetz, das Urhebergesetz, das Handelsgesetz, das Aktiengesetz und viele andere Gesetze. ¹⁴ Die Verordnungen sind z. B. die Fernmelde-überwachungsverordnung und die Telekommunikations-Kundenschutzverordnung. ¹⁵ Die Zuständigkeit der Gesetzte variiert je nach Datenqualität und nach der Organisation, die die Daten verarbeitet. Man unterscheidet im Bereich des Datenschutzes die informationsverarbeitenden Organisation in: öffentliche Stellen des Bundes, öffentliche Stellen der Länder und nicht öffentliche Stellen. Die nicht öffentlichen Stellen sind: die natürlichen Personen, die juristischen Personen des Privatrechts und die Personenvereinigungen des Privatrechts. ¹⁶ Darüber hinaus werden im BDSG alle relevanten Inhalte zum Schutz der personenbezogenen Daten erläutert. Das sind z. B.: der Zweckbindungs-grundsatz, die Datenerhebung, die Übermittlung von Daten, die Kontrolle der risikorei-

11Vgl.: Mühlenbrock 2003, S. 150-151

12 Vg.: ebd., S. 152-154

13 Vgl.: Schumann 2003, S. 105

14 Vgl.: Schaar 2004, S. 13

15 Vgl.: O. V. 2006: http://www.netlaw.de/gesetze, o. S., Stand 07.01.06

16 Vgl.: Schaar 2004, S. 16-17

chen Datenverarbeitung, die Auskunftspflicht etc. Auf EU-Ebene gibt es die EG-Datenschutzrichtlinie, die es erlaubt, personenbezogene Daten an Drittländer zwecks einer Verarbeitung zu übermitteln. Diese Drittländer müssen ein angemessenes Sicherheitsniveau gewährleisten. ¹⁷ Die EU-Kommission bietet auf ihrer Internetseite umfassende Informationen zum Datenschutz. ¹⁸ Grundsätzlich ist alles verboten, was nicht ausdrücklich erlaubt ist. ¹⁹ Für datenschutzrechtliche Aufgaben aller Organisationen wird ein Datenschutzbeauftragter berufen. Die Heranziehung der Bundesdatenschutzbeauftragten beruht auf die gesetzliche Verpflichtung des BDSG. ²⁰ Im §9 BDSG sind die zehn Gebote zur Kontrolle des Datenschutzbeauftragten verankert, und sind:

-Die Zugangskontrolle

-Die Speicherkontrolle

-Die Zugriffskontrolle

-Die Eingabekontrolle

-Die Transportkontrolle

-Die Datenträgerkontrolle

-Die Benutzerkontrolle

-Die Übermittlungskontrolle

-Die Auftragskontrolle

-Die Organisationskontrolle

Die zuletzt genannten Kontrollen gelten für alle EDV-Anlagen, bieten aber leider keinen 100%igen Schutz. ²¹ Die Unternehmensnetzwerke unterliegen Lauschangriffen internationaler Art, die die Existenzgrundlage von Unternehmen gefährden können. ²² Für eine intensive Auseinandersetzung mit den Grundsätzen des BDSG wird an dieser Stelle auf die Internetseite des BDSG unter „www.datenschutz-berlin.de“ hingewiesen. Die Regelungen des BDSG sind deshalb von wichtiger Bedeutung, weil die Konzeption von Netzwerken und Sicherheitsstandards die Regelungen des BDSG beachten müssen. 23

17 Vgl.: Kuner, Hladjk 2005, S. 193

18 Vgl.: O. V., http://www.eu.int/comm/justice_home/fsj/privacy/index_de.htm, o. S., Stand 05.01.2006

19 Vgl.: Schaar 2004, S. 18-26

20 Vgl.: Schaar 2004, S. 16-17

21 Vgl.: Bergmann, Stolp 1997, S. 7

22 Vgl.: Bernstein 2001, S. 12

23 Vgl.: Kühn, Schläger 1997, S. 11

Da viele gesetzliche Bereiche die IT-Sicherheit von Unternehmen direkt oder indirekt berühren können, wird die intensive Behandlung aller Gesetze an dieser Stelle eingeschränkt. Es werden nur einige wichtige Gesetze behandelt, um den Rahmen dieser Arbeit nicht zu sprengen. Für interessierte Leser gibt es die Möglichkeit sich mit weiteren Details zu den gesetzlichen Rahmenbedingungen unter

www.netlaw.de/gesetze/index.htm auseinander zusetzen.

Das Aktiengesetz „§91 Abs. 2“ schreibt den Aufbau einer IT-Sicherheitsstruktur vor, die Gefahren verhindert oder diese frühzeitig erkennen lässt. Der Vorstand muss Maßnahmen ergreifen und Überwachungssysteme aufbauen, die den Fortbestand der Gesellschaft gewährleisten. ²⁴ Bei Aktiengesellschaften verpflichtet der „§ 317 Abs. 4“ des Aktiengesetzes die Beurteilung auf die Erfüllung des o. g. „§ 91 Abs. 2“ durch die Wirtschaftsprüfung. Im Rahmen des Baseler Vertrags „Basel II“ wird dem Sicherheitsmanagement eine große Bedeutung zugewiesen. Die Hinterlegung von Eigenkapital der Banken muss die Gefahren der Informations- und Kommunikationssysteme als operative Risiken bei der Kreditvergabe berücksichtigen. Die Sicherheitsvorkehrungen von Kreditinstituten sind im „§ 25“ des Kreditwirtschaftsgesetzes geregelt. ²⁵ Eine weitere wichtige Rechtsquelle im IT-Sicherheitsmanagement ist das Telekommunikationsgesetz. Dieses Gesetz regelt das Verhältnis zwischen dem Unternehmen und seinen Mitarbeitern. Es handelt sich hierbei um die Nutzung betrieblicher Telekommunikationsdienste durch die Mitarbeiter für betriebliche oder private Zwecke. ²⁶ Das Teledienstegesetz und die Vorgaben des Mediendienste-Staatsvertrages greifen ins Telekommunikationsgesetz ein und enthalten weitere spezielle Regelungen bei der privaten Nutzung von Telediensten durch die Arbeitnehmer. ²⁷ Bei Unternehmen die selbst Teledienste anbieten, muss das Fernmeldegeheimnis bei der Inanspruchnahme der Leistung durch eigene Mitarbeiter berücksichtigt werden. Bei der Konzeption eines Sicherheitsmodells hat man besonders auf das Strafgesetz zu achten, denn eine Straftat des Einzelnen kann u. U. eine wettbewerbsrechtliche Klage nach sich ziehen. Man spricht in einem solchen Fall vom Vorsprung durch Rechtsbruch. ²⁸ Wenn es sich um ISPs handelt, dann müssen weitere spezielle Regeln des TDG und des MDStV beachtet werden,

24 Vgl.: Knupfer 2005, S. 38

25 Vgl.: Knupfer 2005, S. 38

26 Vgl.: Knupfer 2005, S. 40-41

27 Vgl.: Knupfer 2005, S. 42

28 Vgl.: Knupfer 2005, S. 44

weil die Haftung für angebotene Inhalte differenziert geregelt ist. Weiterhin kann den Mitarbeitern eine Teilhaftung für angebotene Inhalte bei nachgewiesener Kenntnis zugewiesen werden. Die Rechtsvorschriften für den letzten Sachverhalt ergeben sich aus dem „OWiG“ und aus dem „BGB“. 29

2.3 Wirtschaftlichkeit des IT- Sicherheitsmanagement

Die Implementierung von Sicherheitssystemen oder Sicherheitsschutzmaßnahmen ist als Investition zu betrachten. Diese Betrachtung ermöglicht die Wirtschaftlichkeit von Systemen besser zu überprüfen. Man trifft Implementierungsentscheidungen nach dem ökonomischen Grundsetzen. Die Prinzipien sind das Minimalprinzip, das Maximalprinzip, das Otimaxprinzip, die Kostenaspekte und die Nutzenaspekte. Das Minimalprinzip versucht ein vorgegebenes Ziel mit möglichst wenig Mitteln zu erreichen. Das Maximalprinzip hat vorgegebene Mittel, die zu einem möglichst hohen Ziel führen sollen. Beim Optimaxprinzip werden die beiden zuvor erklärten Prinzipien kombiniert. ³⁰ Die Kostenaspekte beinhalten die „Total Cost of Ownership“, und sind z. B. die Anschaffungskosten oder Installations- und Schulungskosten. Beim Nutzenaspekt wird der Nutzen einer Implementierung eines Sicherheitssystems mit den dafür aufgewendeten Mitteln verglichen. Man weiß, dass die Risikominimierung nicht unbedingt mit den Schutzinvestitionen linear steigt. Man spricht in diesem Zusammenhang vom „Pareto-Prinzip“. Dieses Prinzip besagt, dass wenn 20 % der Mittel richtig eingesetzt werden 80 % der Risiken minimiert werden. ³¹ Aus der gesamtwirtschaftlichen Perspektive über Sicherheitssysteme ergibt sich der statische und dynamische Aspekt. Der statische Aspekt besagt, dass die mangelnde IT-Sicherheit zu Effektivitäts- und Effizienzverlusten beim privaten und öffentlichen Sektor führt. Der dynamische Aspekt macht die mangelnde IT-Sicherheit für Verluste der Vorteile der schnell wachsenden Technologien verantwortlich. 32

29 Vgl.: Knupfer 2005, S. 48-49

30 Vgl.: Pohlmann, Blumberg 2004, S. 405-406

31 Vgl.: Pohlmann, Blumberg 2004, S. 406-408

32 Vgl.: Pohlmann, Blumberg 2004, S. 428

2.4 Risikoanalysen und Risikomanagement

Der Begriff „Risiko“ stammt aus der italienischen Sprache, und bedeutet wagen. Das bedeutet, dass Risiken Wahlentscheidungen sind. Risiken ergeben sich als Ursache einer ungünstigen Entscheidung. Das liegt darin, dass man zum Zeitpunkt der Entscheidung u. U. nicht alle relevanten Informationen zur Verfügung hat. ³³ Im IT-Bereich haben die Risiken den Charakter einer Verwundbarkeit oder einer Bedrohung. Das Sicherheitsmanagement ist in fünf Stufen eingeteilt. Das sind die Sicherheitsstrategie, die Risikoanalyse, das Sicherheitskonzept, der Sicherheitsplan und die Sicherheitsdokumentation. 34

Damit wird eine Schnittstelle zwischen dem Sicherheitsmanagement und dem Risikomanagement geschaffen. An dieser Stelle wird zunächst nur die Stufe der Risikoanalyse erörtert. Die Risikoanalyse wird rechnergestützt durchgeführt. Man hat früh in den USA damit begonnen rechnergestützte Risikomanagementsysteme zu entwerfen. In Europa geschah dies in den 80er Jahren. Einige Bespiele hierzu sind CRITI-CALC, IST/ RAMP oder RiscCALC. ³⁵ Die Risikoanalyse an sich ist in vier Bereichen unterteilt. Das sind die Verwundbarkeits- und Bedrohungsanalyse, die Risikoanalyse, die Risikobewältigung und die Systemüberwachung. Im ersten Bereich der Verwundbarkeits- und Bedrohungsanalyse geht es darum das System nach Schwachstellen zu untersuchen und zu analysieren. Die Risikoanalyse erhält von der Vorstufe der Verwundbarkeits- und Bedrohungsanalyse die identifizierten Risiken. Dann erfolgt eine Strukturierung und Quantifizierung dieser Risiken. Der dritte Bereich der Risikobewältigung wird je nach Verlust diejenigen Risiken mit der höchsten Priorität zu bewältigen versuchen. Man kann die Risiken z. B. vermeiden, vermindern, übertragen oder übernehmen. ³⁶ Die Systemüberwachung hat die Aufgabe Ereignisse zu protokollieren und das System permanent zu überwachen. Damit sollen die Verwundungen und Bedrohungen früh erkannt werden, und die nötigen Handlungsmöglichkeiten ergriffen werden. ³⁷ Das Risikomanagementsystem besteht aus acht Elementen. Das sind die Politik, die Strategie, die Organisation, der Prozess, die Auditierung, die Kommunikation, die Dokumentation und die

33 Vgl.: Bitz 2000, S. 13

34 Vgl.: Oppliger 1997, S. 21

35 Vgl.: ebd. S. 23

36 Vgl.: Oppliger 1997, S. 25-26

37 Vgl.: ebd., S. 27

Schulung. ³⁸ Die Politik bestimmt die Kompetenzen und die Handlungsbevollmächtigten auf Managementebene. Die Risikostrategie definiert die Ziele, die mit der Unternehmensgesamtstrategie in Einklang stehen muss. Die Organisation wird von der Unternehmensführung aufgestellt, und bezweckt den Risikoprozess dem Geschäft anzupassen. Der Prozess ist ein dynamischer Kreislauf mit den Elementen Risikoanalyse, Risikobewältigung und Risikokontrolle. Es werden die Verfahren und die Risiken dokumentiert. Die Verfahrensdokumentation beschreibt die Leitlinien, die Richtlinien und die Anweisungen des Risikomanagementsystems. Die Risikodokumentation legt den Risikokatalog, den Risikoreport und einen Risikoübersichtsplan fest. Die Kommunikation ist das Fundament eines funktionierenden Systems. Anschließend muss das System ständig den Überprüfungen der Auditierungsphase unterzogen werden. ³⁹ Das Risikomanagement bildet die Schnittstelle zum IT-Sicherheitsmanagement, weil die ungenügende Berücksichtigung von IT-Risiken zum Wegfall der unternehmerischen Geschäftsgrundlage führen kann. Vor allen sollen die Unternehmenswerte, die in Form von Informationen oder Daten vorhanden sind gut geschützt werden. ⁴⁰ Die IT-Risiken können minimiert werden, wenn Daten vertraulich behandelt werden. Da die Unternehmensdaten die Realität abbilden, müssen sie immer verfügbar, authentisch und nachvollziehbar sein. 41

Die nachfolgende Graphik zeigt die Überschneidung des Risikomanagements und des IT-Sicherheitsmanagements auf.

Abbildung 1: Risiko und Sicherheit 42

38 Vgl.: Konhäuser 2003, S. 211

39 Vgl.: Konhäuser 2003, S. 211-227

40 Vgl.: Rieger 2005, S. 19

41 Vgl.: Rieger 2005, S. 24-25

42 Vgl.: Gora, Krampert 2003, S. 205

3 Technische Grundlagen der IT- Sicherheit

3.1 Netzwerke und VPNs

Netzwerke sind für die Übertragung von wichtigen Daten oder Informationen zuständig. Die Umsetzung der Netzwerkkonzeption begann 1969 mit der Schaffung des „ARPANET“. Das „ARPANET“ ist das heutige Internet, das selbst aus vielen Netzwerken besteht. Der Zweck von Netzwerken liegt darin, Daten zu transferieren, die Kommunikation zu ermöglichen oder andere Services wie das verbreiten von Informationen zu ermöglichen. ⁴³ Einigen Netzwerke sind „LANs“, „WANs“, drahtlose Netzwerke und Verbundene Netzwerke. Die „LANs“ umspannen z. B. einzelne Gebäude, während die „WANs“ ganze Städte verbinden. ⁴⁴ Die drahtlosen Netze sind bspw. das Mobilfunknetz und das WLAN. Die Mobilfunknetze basieren auf dem „GSM-„ oder „UMTS-Standard“ und ermöglichen die distanzierte Kommunikation. Im Nahverkehrsbereich nutzt man die „WLANs“ oder den „BlueTooth-Standard“. ⁴⁵ Die Kommunikation in Netzwerken erfolgt auf der Basis des OSI-Schichtenmodells, das von der ISO als Standardarchitektur anerkannt wurde. Das OSI-Schichtenmodell besteht aus sieben Schichten. Das sind:

die physikalische Schicht - dieDatenschicht - dieNetzwerkschicht - dieTransportschicht - dieSitzungsschicht - diePräsentationsschicht - dieAnwendungsschicht. ⁴⁶ - 43Vgl.: Finke 2003, S. 70

44 Vgl.: Tanenbaum 2002, S. 589

45 Vgl.: Brands 2005, S. 367 u. 377

46 Vg.: Eckert 2003, S. 60

Die Anforderungen an Netzwerken sind die Unversehrtheit, die Vertraulichkeit und die Verfügbarkeit von Diensten oder Daten. Die Dienste oder die Daten müssen in der richtigen Quantität, Qualität und zum richtigen Zeitpunkt vorhanden sein. Die Sicherheit eines Netzwerkes soll durch die Einhaltung bestimmter Regeln wie bspw. die Kontrolle der Zugriffe gewährleistet sein. Die Verfügbarkeit soll die Daten als Betriebsmittel immer zur Verfügung stellen können. 47

Jede Schicht des OSI-Referenzmodells bietet einer anderen Schicht des Modells Dienste an. Die Dienste können verbindungsorientiert, verbindungslos, zuverlässig oder unzuverlässig sein. Die Kommunikation zwischen den Schichten wird durch Protokolle vereinbart. Ein sehr bekanntes Protokoll ist das TCP/IP-Protokoll. ⁴⁸ Man unterscheidet die Netzwerke der Client/Server-Architektur und die Netzwerke der Peer-to-Peer-Ebene. Die Server verwalten die Netzwerkressourcen und stellen ihre Dienste den Clients zur Verfügung. Im Peer-to-Peer-Netzwerke sind alle Rechner auf der gleichen Hierarchiestufe angesiedelt und können die Serverdienste vereinbaren. ⁴⁹ Je nach Art der Kommunikation unter den Netzwerteilnehmern unterscheidet man die Vermittlungsnetze und die Rundsendesysteme. Die Vermittlungsnetze stellen eine eigene Verbindung für zwei Teilnehmer her. Man spricht von Point-to-Point-Verbindungen. Die „ISDN“ oder „DATEX-Netze“ sind an dieser Stelle als Beispiele zu nennen. Beim Rundsendesystem sind mindestens zwei Teilnehmer an einer Leitung angebracht, so dass eine Mehrpunktkommunikation zu Stande kommt. Man spricht von „Multi-Point-Communication“ oder „Multi-Point-Access“. Das Ethernet ist ein solches System, das über eine Bustopologie verfügt und anhand einer Kabelverbindung kommuniziert. ⁵⁰ Des Weiteren unterscheidet man die öffentlichen Netze und die privaten Netze. Die öffentlichen Netze sind z. B. das Telefonnetz und das private Netz. Ein privates Netz ist z. B. das Bankennetz. Wenn man die Netzwerke nach der Übertragungstechnik differenziert, dann gibt es elektrische Netze, Netze die über Lichtwellen übertragen, Satellitennetze und Funknetze. Der Aufbau von Netzwerken wird in verschiedenen Formen praktiziert. Einige davon sind:

47 Vgl.: Muftic 1992, S. 2

48 Vgl.: Finke 2003, S. 72-74

49 Vgl.: Rommeiß 2004, S 3-7

50 Vgl.: ebd. 2004, S. 8-9