IT-Sicherheit und das Betriebssystem. Unterstützung durch das Betriebssystem und alternative Lösungsansätze

Inhaltsverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

1 Einleitun
1.1 Problemstellung
1.2 Zielsetzung
1.3 Vorgehensweise

2 Betriebssysteme
2.1 Definition
2.2 Aufbau
2.3 Relevanz
2.4 Sicherheitslücken

3 IT-Sicherhe
3.1 Definition
3.2 Grundwerte
3.3 ISMS
3.4 Bedrohungen im Betriebssystem
3.4.1 Technische Ebene
3.4.2 Anwender Ebene
3.4.3 Sonstige Bedrohungen

4 Sicherheitskonzept.
4.1 Analyse
4.2 Umsetzung
4.3 Optimierung des Betriebssystems
4.3.1 Benutzerverwaltung
4.3.2 E-Mail (Outlook)
4.3.3 Windows Firewall
4.3.4 Windows Update
4.3.5 Sonstige
4.4 Alternative Lösungen
4.4.1 Cloud Lösung
4.4.2 Awareness
4.4.3 Digitalisierung und Industrie 4.0
4.4.4 Quanten Computing

5 Fazit

Literaturverzeichnis

Internetquellen

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Abbildung 1: Interaktion PC

Abbildung 2: Sicherheit Windows10

Abbildung 3: Web Browser

Abbildung 4: Kommunikationssysteme

1 Einleitung

Die digitale Revolution begann in den 1940ern mit der Entwicklung des Computers und bildet sich seitdem ständig weiter aus. Den Höhepunkt bilden aktuell die techni­sche Vielfalt des Internets sowie die zunehmende Digitalisierung von Geschäftspro­zessen. Das Internet verbindet Milliarden von Menschen und rund 40 Milliarden von mobilen Endgeräten miteinander. Die ausgeprägte digitale Vernetzung ermöglicht autonomes Fahren, wie auch lückenlose Überwachung und Cyberkriminalität. Der Fortschritt der Kommunikationstechnik kreiert die Vision einer weitumfassenden Ver­netzung von Computern und mobilen Endgeräten. Teure Kabelverbindungen werden durch Mikroprozessoren und Funksensoren ersetzt. Der technologische Wandel wurde von Menschen in Überschall erschaffen und die IT-Sicherheit trottet noch hin­terher. Es können weltweit im Sekundentakt Millionen von Hacker- und Lauschan­griffen registriert werden. Dadurch entstehen nicht nur gewaltige wirtschaftliche Schäden, sondern auch datenschutzbedürftige Missbrauchsfälle im Bereich der Pri­vatsphäre. Die Annahme, die aktuelle Sicherheitstechnik sei ausreichend, ist unbe­friedigend. Sie beruht auf der einzigen Tatsache, dass es dem Angreifer aufgrund physikalischer Rechenleistung nicht möglich ist, Verschlüsselungen zu hacken.¹ Zu den heut bekannten Cyber-Attacken zählen, Ausfälle von Systemen, manipulierte und missbräuchlich verwendete Daten und auch zerstörte Daten. Dies wird durch Massen E-Mails mit Viren und viele weiteren einfachen und komplexen Hack-Metho­den verursacht. Die kontinuierliche Internetanbindung der Computer, bieten optimale Voraussetzungen für Cyber-Angriffe.² Ein nicht zu unterschätzender Punkt erfolgrei­cher Angriffe, bildet die Unwissenheit und das Fehlverhalten der Nutzer.³

1.1 Problemstellung

Die mangelnde IT-Sicherheit und die mutmaßlichen Cyber-Attacken stellen die Ge­sellschaft an die Wand. Täglich werden weitere Sicherheitslücken in Betriebssyste­men und anderen Software-Systemen aufgedeckt und von Hackern eiskalt ausge­nutzt. Es stellt sich auch die Frage, welche Informationstechnologischen Trends wir momentan ausgesetzt sind und was die Fachliteratur und Internetrecherche für die IT-Sicherheit prognostiziert.

1.2 Zielsetzung

Diese Arbeit soll die aktuelle Situation der IT-Sicherheit in Bezug auf Betriebssyste­men darstellen. Welche Schwachstellen können entstehen und wie kann ein Be­triebssystem optimiert werden. Die wissenschaftliche Recherche fokussiert sich auf einige Themen der IT-Sicherheit sowie der wichtigsten Steuerungselementen des Betriebssystems. Da es sich hierbei nicht um ein umfassendes Buch handelt, können nicht alle bekannten Hackerangriffsmöglichkeiten sowie alle möglichen Sicherheits­vorkehrungen aufgeführt werden. Diese würde den Rahmen dieser Arbeit noch mehr sprengen.

1.3 Vorgehensweise

Nach der Einleitung befasst sich die Arbeit im Kapitel 2 mit der Definition und dem Einsatz von Betriebssystemen. Im 3. Kapitel gibt es eine Überleitung zur IT-Sicher­heit. Hierbei werden die wichtigsten Aspekte erwähnt und die Sicherheitslücken des Betriebssystems erarbeitet. Dabei werden auch Bedrohungen formuliert, die nur se­kundär das Betriebssystem betreffen. Kapitel 4 zeigt Optimierungsmöglichkeiten des Betriebssystems in Bezug zur IT-Sicherheit auf. Ab dem Kapitel 4.4 werden alterna­tive Möglichkeiten notiert. Diese wurden in der Fachliteratur nur unterschwellig mit der IT-Sicherheit in Verbindung gebracht. Die Arbeit soll wissenschaftliche Fakten darlegen, die aktiv umgesetzt werden können aber auch einen Anreiz zum Umden­ken geben. Die alternativen Lösungen können zukünftig einen höheren Stellenwert erlangen als Sie momentan erreicht haben.

2 Betriebssysteme

Das am häufigsten genutzte Server-Betriebssystem ist Windows. Gefolgt von Mac OS, Unix und Linux. Die darunterfallende Kategorie der Client-Betriebssysteme weist die gleiche Reihenfolge der Hersteller auf. In einem Unternehmen kommen verschie­dene Serverarten zum Einsatz, um auf Clientebene, den Nutzer ein Arbeitsumfeld zu schaffen. Das Client-Betriebssystem sorgt dann lokal auf dem jeweiligen Rechner (PC) dafür, dem User Arbeitsvorgänge im geschäftlichen als auch im privaten Be­reich, zu ermöglichen. In Unternehmen werden die Vernetzung und Verwaltung der Mitarbeiter-Rechner über das Internet bzw. über ein Intranet vorgenommen.⁴

2.1 Definition

Ein Betriebssystem ist eine Systemsoftware. Eine Systemsoftware (Software), schafft die Infrastruktur für das Zusammenspiel von Anwendungen und Entwicklun­gen auf den Computern. Gleichzeitig bildet sie Schnittstellen zur Hardware und an­deren Systemen.⁵

2.2 Aufbau

Ein Computer besteht aus der Hardware und einem Betriebssystem (Software). Der Betriebssystemkern (Kernel) ermöglicht das Ausführen von Systemprozessen. Diese Prozesse erbringen Dienstleistungen für das Betriebssystem. Diese Kernfunk­tionalitäten sind z.B. die Verwaltung der Hardwarekomponenten, Daten in unter­schiedliche Datenspeichern verarbeiten, Interprozesskommunikation und Verwal­tung von Benutzer sowie Benutzergruppen. Auf der Hierarchieebene befinden sich über dem Betriebssystem verschiedene Benutzerprozesse. Diese werden vom Be­nutzer dem Betriebssystem zur Ausführung, in Auftrag gegeben.⁶

Abbildung 1: Interaktion PC

Abbildung in dieser Leseprobe nicht enthalten

Quelle: In Anlehnung an Baun, C., Operating Systems/ Betriebssysteme, 2020, S. 16f

Das Schichtenmodell beschreibt die verschiedenen Schichten eines Betriebssys­tems. Diese Komponenten sind logisch aufgebaut. Zur einfacheren Beschreibung werden wie folgt 3 Schichten beschrieben. Die innerste Schicht ist direkt mit der Hardware in Kontakt. Die Mittlere Schicht bietet grundlegend Ein- und Ausgabe Dienste für Daten und Geräte. Die äußerste Schicht umfasst Anwendungspro­gramme sowie die Benutzerschnittstelle. Die verschiedenen Schichten kommunizie­ren mit ihren benachbarten Schichten.⁷

2.3 Relevanz

Ein Betriebssystem ist eine Software, die primäre Inhalte aus der praktischen Infor­matik einbezieht. Gleichzeitig ist einer der Hauptaufgaben des Betriebssystems, den jeweiligen Computer zu steuern. Dies fällt in den Bereich der technischen Informa- tik.⁸

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Sicherheit Windows10

Quelle: In Anlehnung an Brandt, M., Sicherheitsrisiko Betriebssystem, 2018

3 IT-Sicherheit

Die ISO 27001 und 27002 weisen noch Formulierungen der Standard Richtlinien des älteren BS (British Standard) 7799 auf. Die British Standard Institution ist eine inter­national anerkannte Zertifizierungsstelle für ISO 27001 und ist sowohl mit deutsch­sprachigen Seiten im Internet vertreten. Mittlerweile ist dieses Netzwerk weit ausge­baut und in verschiedenen Ländern mit ausgewählten Zertifizierungsstellen, vertre- ten.⁹ In Deutschland wird die Zertifizierung dem BSI (Bundesamt für Sicherheit in der Informationstechnik) zugeschrieben. Die Zertifizierung nach ISO 27001 erfolgt auf Basis des IT-Grundschutzes.¹⁰

3.1 Definition

Die IT-Sicherheit ist Bestandteil der Informationssicherheit und dient unter anderem zum Schutz elektronisch gespeicherter Informationen sowie deren Verarbeitung. Da­mit ist, die Funktionssicherheit und Zuverlässigkeit der IT-Systeme, gemeint. Die IT- Sicherheit gilt ebenfalls in der Cyber-Sicherheit und wird auf den gesamten Cyber­Raum ausgeweitet. Die IT-Sicherheit umfasst ebenso den Datenschutz. Dieser schützt personenbezogene Daten vor missbräuchlicher Verwendung und Datenver­arbeitung. Es gilt das Recht des Einzelnen auf informationelle Selbstbestimmung. Durch Gesetze, Normen, Regulatoren und Richtlinien soll der Schutz leichter einge­halten werden können.¹¹

3.2 Grundwerte

Der IT-Grundschutz liefert Richtlinien und einen Standard zur Ausprägung und Ein­haltung der IT-Sicherheit. Der BSI entwickelt diese Standards in regelmäßigen Ab­ständen weiter und gleicht sie gegen den internationalen Normen ISO/IEC 27001 ab. Die wesentlichen Bestandteile und Richtlinien des IT-Grundschutzes sind:

- BSI-Standards zur Gewährleistung der Informationssicherheit
- ISMS - Managementsysteme für Informationssicherheit
- Vorgehensweise, Risikoanalyse und Notfallmanagement

Ziel ist es, konkrete Sicherheitsanforderungen, Umsetzungshinweise, Mindestanfor­derungen und Sicherheitsmaßnahmen zu beschreiben und zu definieren. Bei einem erhöhten Schutzbedarf kann nach einer Analyse ein Sicherheitskonzept weitere or­ganisatorische, personelle und technische Sicherheitsmaßnahmen erfassen und vorgeben. Der IT-Grundschutz findet in der IT-Umgebung und in Unternehmen An­wendung.¹²

Die Sicherheitsziele und Grundwerte des IT-Grundschutzes können in 3 Grundbe­reiche formuliert werden:

- Vertraulichkeit (Informationen nur für Autorisierte sowie Verschlüsselung)
- Integrität (nur autorisierte Veränderungen sowie digitale Signaturen)
- Verfügbarkeit (ausfallsichere Stromversorgung sowie Datenmanagement)

Bei den Punkten Integrität und Verfügbarkeit, zählen genauso IT-Systeme, IT-An­wendungen und allgemeine Prozesse dazu.¹³

In Bezug auf den Datenschutz können noch drei weitere Punkte genannt werden:

- Intervenierbarkeit (Löschen, Sperren, Auskunftserteilung seiner Daten)
- Unverknüpfbarkeit (Abschottung und Datensparsamkeit seiner Daten)
- Revisionsfähigkeit (Protokollierung bei Erhebung/Bearbeitung seiner Da- ten)¹⁴

3.3 ISMS

Der ISO Standard 27001 beschäftigt sich umfassend mit dem ISMS. Dieses Infor­mations-Sicherheits-Management-System definiert die Leitlinien für folgende Auffüh­rungen:

- Risiken und Chancen analysieren
- Rollen und Verantwortlichkeiten bestimmen
- Verfahren und Methoden vermitteln
- Maßnahmenregelung umsetzen
- Überprüfungen auswerten

Das ISMS kommt in Organisationen, darunter zählen natürlich auch Unternehmen, zum Einsatz. Dieses Management befasst sich mit der gesamten Organisation. Sie kann aber in Einzelfällen auch nur für bestimmte Standorte oder Prozesse, einer

Organisation, zum Einsatz kommen.¹⁵ Eine Zertifizierung nach ISO 27001 durch au­torisierte Stellen ist nicht nur ein immer wichtig werdender Punkt, sondern häufig wird diese Konformität auch von externen und gesetzlichen Voraussetzungen angefor­dert.¹⁶

3.4 Bedrohungen im Betriebssystem

Im BSI-Katalog gilt als „Bibel“ für die IT-Sicherheit. Im Jahre 2016 erfasste diese Ausgabe satte 5082 Seiten. Darin werden technische Sicherheitsmaßnahmen, infra­strukturelle, organisatorische wie auch personelle Schutzmaßnahmen, beschrieben. Sicherheitsmaßnahmen in Bezug zum Betriebssystem, sind dort ebenfalls ersicht­lich. Sofern eine Erstellung von Sicherheitsvorschriften im Unternehmen geplant ist, lohnt es sich stark einen Blick in diesen frei verfügbaren Standard zu werfen.

In den sechs Gefährdungs- und Maßnahmenkatalogen geht es auch um:

- Hackerangriffe
- vorsätzliche Handlungen
- technisches Versagen
- menschliche Fehlhandlungen
- organisatorische Mängel
- Diebstahl und Schadprogramme im IT-Umfeld

Gefährdungen durch Schwachstellen und Bugs in Betriebssystemen werden sogar unter „elementare Gefährdungen“ hoch eingestuft.¹⁷

[...]

¹ Vgl. Fürnkranz, G., Vision Quanten-Internet, 2019, S. 1ff.

² Vgl. Hanschke, I., Informationssicherheit und Datenschutz systematisch und nachhaltig gestal­ten, 2020, S. 1f.

³ Vgl. Darms, M. et al., IT-Sicherheit und Datenschutz im Gesundheitswesen, 2019, S. 71f.

⁴ Vgl. Kees, A. et al., Open Source Enterprise Software, 2019, S. 50f.

⁵ Vgl. Kees, A. et al., Open Source Enterprise Software, 2019, S. 9.

⁶ Vgl. Baun, C., Operating Systems/ Betriebssysteme, 2020, S. 16f.

⁷ Vgl. Baun, C., Operating Systems/ Betriebssysteme, 2020, S. 37f.

⁸ Vgl. Baun, C., Operating Systems/ Betriebssysteme, 2020, S. 15f.

⁹ Vgl. Kersten, H. et al., IT-Sicherheitsmanagement nach der neuen ISO 27001,2020, S. 1ff.

¹⁰ Vgl. o. V., BSI und ISO, 2020

¹¹ Vgl. Hanschke, I., Informationssicherheit und Datenschutz systematisch und nachhaltig ge­stalten, 2020, S. 2.

¹² Vgl. Hanschke, I., Informationssicherheit und Datenschutz systematisch und nachhaltig ge­stalten, 2020, S. 18ff.

¹³ Vgl. Kersten, H. et al., IT-Sicherheitsmanagement nach der neuen ISO 27001,2020, S. 6f.

¹⁴ Vgl. Darms, M. et al., IT-Sicherheit und Datenschutz im Gesundheitswesen, 2019, S. 48.

¹⁵ Vgl. Kersten, H. et al., IT-Sicherheitsmanagement nach der neuen ISO 27001,2020, S. 5f.

¹⁶ Vgl. Kersten, H. et al., IT-Sicherheitsmanagement nach der neuen ISO 27001,2020, S. 77.

¹⁷ Vgl. Darms, M. et al., IT-Sicherheit und Datenschutz im Gesundheitswesen, 2019, S. 82ff.