IT Sicherheit und Rechtr

IT-Sicherheit gehört laut einer PwC-Studie von 2021 zu den drei größten Sorgen deutscher CEOs. 83 % befürchten Cyberbedrohungen. Angesichts zunehmender Angriffe planen 80 % Investitionen in die Cybersicherheit innerhalb von drei Jahren.

Laut der Bitkom-Studie sind die häufigsten Angriffsarten:

- Schadsoftware (31%)

- Denial of Service (27%)

- Spoofing (20%)

- Phishing (18%)

- Passwortangriffe (18%)

- Ransomware (18%)

- SQL-Injection (17%)

- Cross-Site-Scripting (9%)

- Man-in-the-middle (5%)

1. Abwesenheit von Gefahren, Schwachstellen und Risiken

2. Existenz von Sicherungsmaßnahmen

3. Individuell und situationsspezifisch definierbarer Zustand (nach Heinrich & Stelzer)

Sie betonen, dass Sicherheit nicht nur durch Maßnahmen oder Risikoausschluss erreicht wird, sondern abhängig ist von Anforderungen, Risikobereitschaft und Kontext. Sie sehen Sicherheit als dynamisches, nicht vollständig erreichbares Ziel

IT-Sicherheit wird analog zur WHO-Definition von Gesundheit als ein Zustand vollständigen Wohlbefindens verstanden – also nicht nur als Abwesenheit von Schwachstellen, sondern als Erfüllung vielschichtiger Anforderungen (z.B. organisatorisch, wirtschaftlich, sozial).

IT-Sicherheitsmanagement ist die Gesamtheit aller Führungsaufgaben, Techniken, Mittel und Organisationen zur Sicherstellung der IT-Sicherheit. Es plant, steuert und kontrolliert den Sicherheitsprozess kontinuierlich – nicht als einmaliges Projekt, sondern als dauerhaften Prozess.

1. Vertraulichkeit – nur befugte Personen dürfen auf Informationen zugreifen.

2. Integrität – Informationen und Systeme müssen unverfälscht und vollständig sein.

3. Verfügbarkeit – Informationen und Systeme müssen nutzbar und funktionstüchtig sein, wenn sie gebraucht werden.

- Authentizität: Echtheit von Kommunikationspartnern oder Daten

- Nichtabstreitbarkeit: Handlungen können nicht abgestritten werden

- Verbindlichkeit: Rechtssicherheit im IT-Kontext

- Anonymität: Schutz der Identität von Akteuren, z.B. bei Online-Wahlen

- Schwachstelle: Eine technische oder organisatorische Schwäche

- Bedrohung: Potenzielles Ereignis, das Schaden verursachen kann

- Gefährdung: Kombination aus Schwachstelle und Bedrohung

- Angriff: Vorsätzliche Handlung, die eine Schwachstelle ausnutzt

Sicherungsmaßnahmen sind organisatorische oder technische Maßnahmen zum Schutz der IT. Sie werden unterteilt in:

- Präventiv (vermeiden),

- Überwachend (erkennen),

- Reaktiv (Folgen begrenzen).

Vertraulichkeit wird verletzt, da unbefugter Zugriff auf sensible Daten erfolgt.

Verfügbarkeit ist primär betroffen, möglicherweise auch Integrität und Vertraulichkeit, je nach Schaden.

Vertraulichkeit (Abfluss von Informationen), Integrität (Manipulation) und evtl. Verfügbarkeit.

Vertraulichkeit durch unbefugten Zugriff und evtl. Integrität durch falsche Datenverarbeitung.

Integrität des Programms und evtl. Verfügbarkeit, wenn das Spiel Ressourcen blockiert.

Viren selbst sind Bedrohungen – sie können Schaden verursachen. Wenn sie auf eine vorhandene Schwachstelle treffen und ausgenutzt werden, entsteht eine Gefährdung.

Das Ebenenmodell nach Stelzer dient dazu, sicherheitsrelevante Elemente, Gefährdungen und Sicherungsmaßnahmen systematisch zu strukturieren. Es erleichtert die Entwicklung von Sicherheitskonzepten, z. B. nach dem Grundschutzkonzept des BSI.

- Element: Serverraum

- Gefährdung: Feuer

- Maßnahme: Feuerschutztüren, Brandschutzsysteme, USV-Anlagen

Gefahren: Computerviren, unautorisierte Datenzugriffe

Maßnahmen: Virenscanner, Firewalls, Zugriffssteuerungssysteme

Das Modell unterscheidet Prozess- und System-Bausteine. Prozess-Bausteine umfassen Schichten wie ISMS, ORP, CON, OPS und DER. System-Bausteine sind APP, SYS, IND, NET und INF

Die ISMS-Schicht ist das Fundament des Sicherheitsprozesses. Sie enthält das Sicherheitsmanagement und legt die strategischen Grundlagen für alle weiteren Sicherheitsmaßnahmen.

**Physisch**: Serverraum – Feuer – Feuerschutztür

**Logisch**: Kundendaten – Virus – Virenscanner

**Organisatorisch**: IT-Mitarbeiter – Regelverstoß – Vier-Augen-Prinzip

**Rechtlich/ökonomisch**: Vertragsrecht – Gesetzesänderung – Versicherungspolice

Es beschreibt Ursache-Wirkung-Beziehungen sicherheitsgefährdender Ereignisse – von der Gefahrenquelle über die Gefahr zum Ereignis und den unmittelbaren sowie mittelbaren Konsequenzen.

Eine Gefahrenquelle ist ein Ursprung einer Bedrohung. Beispiele: Menschliches Fehlverhalten, technische Defekte, Naturgewalten.

**Primär**: Direkte Folgen wie Zerstörung, Veränderung, Ausfall, unbefugte Nutzung oder Kenntnisnahme.

**Sekundär**: Indirekte Folgen wie Betriebsunterbrechung, Umsatzverluste oder Reputationsschäden.

Ein Ebenenmodell strukturiert sicherheitsrelevante Elemente nach Kategorien (physisch, logisch etc.), während ein Kausalmodell die Ursache-Wirkung-Kette eines Vorfalls beschreibt – von der Gefahrenquelle bis zum Schaden.

Man könnte ein Buchungssystem untersuchen, indem man z. B. die Serverräume (physisch), die Buchungssoftware (logisch), die Mitarbeiterrollen (organisatorisch) und gesetzliche Vorgaben (rechtlich) betrachtet und jeweils potenzielle Gefahren sowie passende Maßnahmen zuordnet.

Ein Mitarbeiter löscht versehentlich eine Datenbank (Gefährdung durch Fehlbedienung). Primäre Konsequenz: Datenverlust. Sekundäre Konsequenz: Stillstand im Kundenservice, Umsatzverlust, Image-Schaden.

Ein angemessenes IT-Sicherheitsniveau systematisch zu erreichen, zu erhalten und weiterzuentwickeln. Es umfasst Planung, Umsetzung, Kontrolle und kontinuierliche Verbesserung aller sicherheitsrelevanten Maßnahmen.

IT-Sicherheitsstrategie

- IT-Sicherheitsleitlinie

- IT-Sicherheitskonzept

- IT-Sicherheitsorganisation

- Managementprinzipien

- IT-Sicherheitsprozess

- Bereitstellung von Ressourcen

- Sensibilisierung und

Grundlegende Festlegungen des Managements zur Bedeutung der IT-Sicherheit, z. B. welche Sicherheitsziele verfolgt werden sollen und wie IT-Sicherheit in die Gesamtstrategie eingebettet wird.

IT-Sicherheit beeinflusst Geschäftsprozesse und Ressourcenverteilung. Eine Entkopplung kann zu Widersprüchen zwischen operativen Zielen und Sicherheitsanforderungen führen.

- Zertifizierung von IT-Produkten

- Zertifizierung von IT-Sicherheitsdienstleistern und Prüfstellen

- Personenzertifizierungen

- Zertifizierung von IT-Sicherheitsmanagementsystemen

Ein Plan zur Erreichung und Erhaltung eines gewünschten Sicherheitsniveaus. Es basiert auf Risikoanalysen oder dem Grundschutzmodell.

Ein internationaler Standard zur Evaluierung der Sicherheit von IT-Produkten (ISO/IEC 15408). Sie bieten ein gemeinsames Rahmenwerk für Prüf- und Zertifizierungsverfahren.

Antragsteller (Hersteller/Vertreiber)

- Prüfstelle (technische Evaluierung)

- Zertifizierungsstelle (BSI, Prüfung & Ausstellung)

- Höhere Marktchancen

- Nachweis der Qualität

- Erleichterung internationaler Marktzugänge

- Innovationsförderung

Das Sicherheitszertifikat, eine sicherheitstechnische Produktbeschreibung, Bewertungsergebnisse und Anwendungshinweise. Die Gültigkeit ist abhängig von Algorithmen und Anwendungsbereich.

Sie konkretisieren Sicherheits- und Funktionsanforderungen an bestimmte Systeme und dienen als Prüfgrundlage für Zertifizierungen, z. B. für De-Mail oder ePass-Systeme.