Securitatea informațiilor

Deoarece securitatea informațiilor se referă la proprietățile sistemelor tehnice sau non-tehnice pentru prelucrarea informațiilor , - stocarea și stocarea că protecția vizează confidențialitatea , disponibilitatea și integritatea . Securitatea informațiilor servește pentru a proteja împotriva pericolelor sau amenințărilor , pentru a evita daunele economice și pentru a minimiza riscurile .

În practică, securitatea informațiilor în contextul managementului securității IT se bazează, printre altele, pe seria internațională ISO / IEC 27000 . În țările vorbitoare de limbă germană, o abordare IT-Grundschutz este larg răspândită. Standardul ISO / IEC 15408 ( Criterii comune ) este adesea utilizat în evaluarea și certificarea produselor și sistemelor IT .

O altă serie importantă de standarde în securitatea informațiilor este IEC 62443 , care se ocupă de securitatea cibernetică a "sistemelor de automatizare și control industrial" (IACS), urmărind o abordare holistică pentru operatori, integratori și producători - și întotdeauna una în viitor în Industria 4.0 devine din ce în ce mai important.

Descrieri ale termenilor

Mulți dintre următorii termeni sunt interpretați diferit în funcție de autor și de mediul lingvistic.

Pentru abrevierea IT, termenul tehnologie informațională este utilizat sinonim cu tehnologia informației . Prelucrarea tehnică și transmiterea informațiilor se află în prim plan în IT.

În engleză, termenul german securitate IT are două expresii diferite. Proprietatea siguranței funcționale (engleză: safety ) asigură un sistem care se conformează funcționalității așteptate. Funcționează așa cum ar trebui. Securitatea informațiilor (în engleză: Securitate ) se referă la protecția procesării tehnologice a informațiilor și este proprietatea unui sistem funcțional de încredere. Este menit să prevină manipularea neautorizată a datelor sau divulgarea informațiilor.

Termenul securitate informațională se referă adesea la securitatea informațiilor globale , în care numărul de scenarii nocive posibile este redus în rezumat sau efortul de compromis pentru operator este într-o relație nefavorabilă cu câștigul de informații așteptat. Din acest punct de vedere, securitatea informațiilor este o variabilă economică care trebuie așteptată în companii și organizații, de exemplu. Termenul se referă, de asemenea, la securitate într-un scenariu specific . În acest sens, securitatea informațiilor este prezentă atunci când un atac asupra sistemului nu mai este posibil printr-o rută deja cunoscută. Se vorbește despre o cantitate binară, deoarece atunci când se utilizează această metodă specială, informațiile pot fi fie certe, fie nu.

Următoarele aspecte sunt incluse în termenul cuprinzător de securitate a informațiilor (protecția informațiilor procesate):

Securitate IT

Securitatea IT joacă un rol cheie în securitatea sistemelor socio-tehnice . Sistemele IT sau TIC fac parte din sistemele socio-tehnice. Sarcinile securității IT includ protejarea sistemelor TIC ale organizațiilor (de exemplu, companii) împotriva amenințărilor. Printre altele, acest lucru este destinat să prevină daunele economice.

Securitatea IT face parte din securitatea informațiilor . Spre deosebire de securitatea IT , securitatea informațiilor include nu numai securitatea sistemelor IT și a datelor stocate în acestea, ci și securitatea informațiilor care nu sunt prelucrate electronic; Un exemplu: „Principiile securității informațiilor” pot fi aplicate și rețetelor dintr- un restaurant care sunt scrise manual pe hârtie (deoarece confidențialitatea, integritatea și disponibilitatea rețetelor pot fi extrem de importante pentru restaurant, chiar dacă acest restaurant este complet fără utilizarea niciunui sistem IT este operat).

Securitatea calculatorului

Securitatea computerului : securitatea unui sistem informatic înainte de eșec (aceasta se numește timp de nefuncționare neplanificat sau planificat, Eng. Inactivitate ) și manipulare (securitatea datelor), precum și împotriva accesului neautorizat.

Securitatea datelor

Securitatea datelor este un termen care este adesea asociat cu protecția datelor și trebuie diferențiat de acesta: securitatea datelor are ca scop tehnic protejarea datelor de orice fel împotriva pierderii, manipulării și altor amenințări într-un grad suficient. Securitatea adecvată a datelor este o condiție prealabilă pentru o protecție eficientă a datelor. BDSG menționează doar conceptul de securitate a datelor în secțiunea 9a , în legătură cu „ audit de protecție a datelor “, care nu este , de asemenea , definit mai detaliat .

Există o abordare numită securitate centrată pe date , în care securitatea datelor în sine este în prim plan și nu securitatea rețelelor , serverelor sau aplicațiilor.

copia de rezerva a datelor

Copierea de rezervă a datelor este (dt. Sinonim cu copierea de rezervă „Backup” în limba engleză ), a fost termenul legal inițial pentru securitatea datelor.

protejarea datelor

Protecția datelor nu se referă la protejarea datelor generale împotriva daunelor, ci la protejarea datelor cu caracter personal împotriva abuzului („protecția datelor este protecție personală”). Protecția datelor cu caracter personal se bazează pe principiul autodeterminării informaționale . Acest lucru a fost stabilit în hotărârea BVerfG privind recensământul . Confidențialitatea trebuie protejată, i. H. Datele de personalitate și anonimatul trebuie păstrate. În plus față de securitatea datelor, protecția datelor necesită excluderea accesului la date cu citire neautorizată de către terți neautorizați. Legea federală germană privind protecția datelor ( BDSG ) descrie în § 1 numai cerințele pentru prelucrarea datelor cu caracter personal. GDPR și BDSG nu definesc diferența dintre termenii de protecție a datelor și securitate a datelor. Doar dacă se iau măsuri de protecție adecvate, se poate presupune că datele confidențiale sau personale nu vor cădea în mâinile persoanelor neautorizate. De regulă, se vorbește aici despre măsurile tehnice și organizatorice pentru protecția datelor, care sunt descrise în special în articolul 32 GDPR, BDSG și în legile statului privind protecția datelor.

Motivația și obiectivele securității informațiilor

Informațiile (sau datele) sunt bunuri care merită protejate. Accesul la acestea ar trebui să fie limitat și controlat. Numai utilizatorii sau programele autorizate au permisiunea de a accesa informațiile. Obiectivele de protecție sunt definite pentru a atinge sau a menține securitatea informațiilor și, astfel, pentru a proteja datele de atacurile intenționate ale sistemelor IT:

  • Obiective generale de protecție:
    • Confidențialitate (engleză: confidențialitate ): datele pot fi citite sau modificate numai de către utilizatorii autorizați, acest lucru se aplică atât accesului la datele stocate, cât și în timpul transferului de date .
    • Integritate (în engleză: integritate ): datele nu pot fi modificate neobservate. Toate modificările trebuie să poată fi urmărite.
    • Disponibilitate (engleză: disponibilitate ): prevenirea defecțiunilor sistemului; Accesul la date trebuie garantat într-un interval de timp convenit.
  • Alte obiective de protecție ale securității informațiilor:
    • Autenticitatea (în engleză: authenticity ) desemnează proprietățile de rapiditate, testabilitate și fiabilitate ale unui obiect.
    • Răspundere / non-repudiere (în engleză: non repudiation ): necesită „nu este posibilă nicio negare ilegală efectuată”. Printre altele, este important la încheierea contractelor pe cale electronică. Se poate ajunge, de exemplu, prin semnături electronice .
    • Responsabilitate (în engleză: accountability ): „Un studiu efectuat poate fi atribuit în mod clar unui partener de comunicații”.
    • într-un anumit context (de exemplu pe internet) și anonimatul
  • Obiectiv de protecție specială în cursul GDPR :
    • Reziliență (în engleză: reziliență ): rezistență / rezistență la Ausspähungen, interferență eronată sau deliberată sau daune deliberate (sabotaj)

Fiecare sistem IT, oricât de bine planificat și implementat, poate avea puncte slabe . Dacă sunt posibile anumite atacuri pentru a ocoli măsurile de securitate existente, sistemul este vulnerabil . Folosește un atacator o slăbiciune sau vulnerabilitate la intruziune într-un sistem IT, confidențialitatea, integritatea datelor și disponibilitatea sunt amenințate (engleză: amenințare ). Pentru companii, atacurile împotriva obiectivelor de protecție înseamnă atacuri asupra valorilor reale ale companiei , de obicei atingerea sau schimbarea informațiilor interne ale companiei. Orice amenințare este un risc (în limba engleză: risc ) pentru companie. Întreprinderile încearcă prin utilizarea gestionării riscurilor (în engleză: managementul riscurilor ) probabilitatea apariției daunelor și cantitatea de daune rezultată care urmează să fie determinată.

După o analiză a riscurilor și evaluarea sistemelor IT specifice companiei, pot fi definite obiective de protecție adecvate . Aceasta este urmată de selectarea măsurilor de securitate IT pentru procesele de afaceri respective ale unei companii. Acest proces este una dintre activitățile de gestionare a securității IT. O procedură standardizată este posibilă prin utilizarea standardelor IT.

Ca parte a managementului securității IT, sunt selectate și implementate standardele de securitate IT adecvate . În acest scop, există diverse standarde în domeniul managementului securității IT. Cu ajutorul ISO / IEC 27001 sau a standardului IT-Grundschutz , se încearcă utilizarea regulilor recunoscute pentru a reduce complexitatea sistemelor socio-tehnice pentru domeniul managementului securității IT și pentru a găsi un nivel adecvat de securitate a informațiilor .

Importanța securității informațiilor

În copilăria timpurie a computerului ( personal ) , securitatea computerului a fost înțeleasă ca însemnând asigurarea funcționalității corecte a hardware-ului (defecțiunea, de exemplu, a unităților de bandă sau a altor componente mecanice) și a software-ului (instalarea și întreținerea corectă a programelor). De-a lungul timpului, cerințele computerelor ( Internet , medii de stocare ) s-au schimbat; sarcinile de securitate a computerului trebuiau concepute diferit. Astfel, conceptul de securitate a computerului rămâne modificabil.

Astăzi, companiile private și publice depind de sistemele IT în toate domeniile activității lor comerciale și de persoanele private în majoritatea problemelor vieții de zi cu zi. Deoarece, pe lângă dependență, riscurile pentru sistemele IT din companii sunt de obicei mai mari decât pentru computerele și rețelele din gospodăriile private, securitatea informațiilor este în principal responsabilitatea companiilor.

Obligațiile corespunzătoare pot fi derivate din diferitele legi privind dreptul societăților comerciale, dreptul răspunderii, protecția datelor, dreptul bancar etc. în întreaga regiune de limbă germană. Securitatea informațiilor este o componentă a gestionării riscurilor acolo . La nivel internațional, reglementări precum Basel II și Sarbanes-Oxley Act joacă un rol important.

Amenințări

laptop ars

În securitatea IT pot fi imaginate diferite scenarii ale unui atac. O manipulare a datelor unui site web prin așa-numita injecție SQL este un exemplu. Unele atacuri, ținte și cauze sunt descrise mai jos:

Atacuri și protecție

Un atac împotriva protecției datelor sau securității datelor (reprezentat de, de exemplu, un sistem informatic) se înțelege ca orice proces al cărui rezultat sau obiectiv este pierderea protecției datelor sau a securității datelor. Eșecul tehnic este, de asemenea, evaluat ca un atac în acest sens.

Securitate statistică : un sistem este considerat a fi sigur dacă atacatorul are mai mult efort să intre în sistem decât beneficiul rezultat. Prin urmare, este important să stabilim barierele în calea unei pătrunderi cu succes cât mai mari posibil și astfel să reducem riscul .

Securitate absolută : un sistem este absolut sigur dacă poate rezista la orice atac posibil. Securitatea absolută poate fi realizată numai în condiții speciale care deseori restricționează considerabil capacitatea sistemului de a funcționa (sisteme izolate, puțini și persoane autorizate cu acces înalt calificat).

Lipsa securității computerelor este o amenințare complexă la care se poate răspunde doar prin apărări sofisticate. Achiziționarea și instalarea de software nu înlocuiesc o analiză atentă a riscurilor, posibilelor pierderi, reglementărilor de apărare și securitate.

Odată ce securitatea unui sistem a fost încălcată, acesta trebuie privit ca fiind compromis , ceea ce necesită măsuri pentru a preveni daune suplimentare și, dacă este necesar, pentru a recupera datele.

Efecte sau obiective

  • Eroare tehnică a sistemului
  • Abuz de sistem, prin utilizarea ilegitimă a resurselor, modificări ale conținutului publicat etc.
  • sabotaj
  • spionaj
  • Frauda și furtul

Cauze sau mijloace

Oficiul Federal pentru Securitatea Informației (BSI) clasifică diferitele metode de atac și mijloacele în:

  • Software-ul malware sau malware , inclusiv viruși de computer , troieni și viermi ,
  • Ransomware , o formă specială de malware care restricționează accesul la date și sisteme și își eliberează resursele numai contra plății unei răscumpărări,
  • Inginerie socială ,
  • Amenințări persistente avansate (APT), în care atacatorul își selectează cu atenție ținta.
  • E-mailurile nesolicitate ( spam ), care la rândul lor sunt împărțite în spam clasic, spam malware și phishing ,
  • Botnets ,
  • Distributed Denial of Service (DDoS) atacuri
  • Exploatări și exploatează kit-uri care exploatează vulnerabilitățile din browsere, pluginuri de browser sau sisteme de operare,
  • Furt de identitate, cum ar fi spoofing , phishing , pharming sau vishing ,
  • Atacuri pe canale laterale - acele atacuri care observă efecte secundare (comportament în timpul rulării, consum de energie) și astfel trag concluzii despre date; acest lucru este utilizat în special pentru materialul cheie.

În plus, efectele de mai sus pot fi realizate

Viruși, viermi, cai troieni

În timp ce întreaga gamă de probleme de securitate a computerului este luată în considerare în mediul corporativ, mulți utilizatori privați asociază termenul în primul rând cu protecția împotriva virușilor și a viermilor sau a programelor spion precum caii troieni.

Primii viruși computerizați au fost încă destul de inofensivi și au servit doar la evidențierea diferitelor puncte slabe din sistemele informatice. Dar s-a descoperit curând că virușii sunt capabili de mult mai mult. A început o dezvoltare rapidă a programelor malware și extinderea capacităților acestora - de la simpla ștergere a fișierelor până la spionarea datelor (de exemplu parole) până la deschiderea computerului pentru utilizatori la distanță ( backdoor ).

Acum există pe Internet diferite seturi de construcții care oferă nu numai instrucțiuni, ci și toate componentele necesare pentru programarea simplă a virușilor. Nu în ultimul rând, organizațiile criminale introduc pe contrabandă viruși pe PC-uri pentru a le folosi în scopuri proprii ( UBE / UCE , atacuri DoS etc.). Acest lucru a dus la imense rețele bot, care sunt închiriate în mod ilegal.

măsuri

Măsurile trebuie adaptate la valoarea valorilor companiei care trebuie protejate ca parte a creării unui concept de securitate . Prea multe măsuri înseamnă cheltuieli financiare, organizaționale sau de personal prea mari. Problemele de acceptare apar atunci când angajații nu sunt suficient implicați în procesul de securitate IT. Dacă sunt puse în aplicare prea puține măsuri, lacunele de securitate utile rămân deschise atacatorilor.

management

Securitatea informațiilor este în esență o sarcină pentru managementul unei organizații sau al unei companii și ar trebui organizată în conformitate cu o abordare de sus în jos. În special, adoptarea ghidurilor de protecție și securitate a informațiilor (în limba engleză: politica de securitate ) este responsabilitatea conducerii superioare. O altă sarcină de gestionare poate fi introducerea și operarea unui sistem de management al securității informațiilor (ISMS) . Acesta este responsabil pentru implementarea operațională și controlul politicii de securitate. Aceste măsuri sunt menite să creeze structuri organizaționale și de management adecvate pentru a proteja valorile corporative. Informații suplimentare pot fi găsite în articolul Managementul securității IT .

Măsuri operaționale

Măsurile includ securitatea fizică sau spațială a datelor, controalele de acces , configurarea sistemelor tolerante la erori și măsurile de securitate și criptare a datelor . Securitatea sistemelor de procesare este o condiție prealabilă importantă. Cu toate acestea, un concept de securitate eficient ia în considerare și măsurile organizatorice și de personal, pe lângă măsurile tehnice.

Măsurile de securitate care pot fi luate pentru securitatea informațiilor de către oricine este responsabil de securitatea informațiilor în companii , dar mai ales de către utilizatorii privați de computere și rețele, includ următoarele puncte.

Controlul accesului

Accesul autorizat la sistemele de calcul și software-ul aplicației trebuie garantat printr-un control de acces sigur și sigur . Acest lucru poate fi implementat cu nume de utilizator individuale și parole suficient de complexe și în special cu alți factori (a se vedea și autentificarea cu doi factori ), cum ar fi numerele tranzacțiilor sau jetoanele de securitate .

Utilizați conturi de utilizator restricționate

Administratorului de sistem i se permite să facă modificări profunde la un computer. Acest lucru necesită cunoașterea adecvată a pericolelor și este recomandabil pentru utilizatorii normali să navigheze pe Internet , să descarce fișiere sau e-mailuri cu drepturi de administrator . Prin urmare, sistemele de operare moderne au opțiunea de a restricționa drepturile utilizatorilor, astfel încât, de exemplu, fișierele de sistem să nu poată fi modificate.

Configurare restrictivă

Utilizatorul utilizare limitată reprezintă împiedică activitatea cotidiană a compromis a sistemului de operare în sine, configurația sistemului și a aplicației instalate și sisteme de programe (protejate), dar nu va proteja împotriva compromiterii de date de utilizator și de configurare utilizator: sub conturile de utilizator restricționate sunt orice programe (pentru scripturi Shell sau fișiere batch sunt, de asemenea , executabile, deși foarte puțini utilizatori folosesc chiar această opțiune.

Deoarece utilizatorii utilizează (numai) programele furnizate împreună cu sistemul de operare și cele instalate de administratorul lor, este posibil să le acordați utilizatorilor dreptul de a executa fișiere numai acolo unde sistemul de operare și programele instalate sunt stocate (și nu pot fi scrise în) ) și să fii retras oriunde poți scrie singur. De exemplu, programele rău intenționate care sunt descărcate de pe un site web infectat și stocate în memoria cache a browserului ca așa-numita „ descărcare drive-by ” neobservată de utilizator , sunt astfel inofensive.

Versiunile actuale ale Microsoft Windows permit implementarea acestei restricții cu așa-numitele „ghiduri de restricționare software” alias „SAFER”.

Sistemele de operare actuale DEP aplică aceeași restricție în memoria virtuală activată.

Păstrați software-ul la zi

Actualizările sunt oferite (în mod regulat) pentru multe programe . Acestea nu numai că oferă funcționalități modificate sau îmbunătățite, dar deseori rezolvă și lacunele de securitate și erorile de program . Programele care comunică cu Internetul prin rețele , cum ar fi sistemele de operare , browserele , programele de protecție sau programele de e-mail , sunt afectate în mod special .

Actualizările software relevante pentru securitate ar trebui instalate pe sistemele informatice relevante cât mai repede posibil din surse verificabile și fiabile . Multe dispozitive și programe Internet of Things oferă o funcție automată care actualizează software-ul în fundal fără intervenția utilizatorului, descărcând software-ul actualizat direct de pe Internet.

Dezinstalați software învechit, nesigur și neutilizat

Software-ul al cărui producător a întrerupt întreținerea, așa-numitul End of Life (EOL), care este nesigur sau care nu mai este utilizat, trebuie dezinstalat pentru a asigura protecția.

Faceți copii de rezervă

Cel puțin o copie de rezervă a fiecărui fișier important trebuie făcută pe un mediu de stocare separat . Există, de exemplu, un software de backup care efectuează aceste sarcini în mod regulat și automat. Ca parte a lucrărilor de întreținere recurente, copiile de rezervă făcute trebuie verificate pentru integritate, confidențialitate și disponibilitate.

În sectorul corporativ, sunt posibile soluții de rezervă cu o distanță locală, cum ar fi un al doilea centru de date cu oglindire redundantă, precum și soluții cloud. Aceste soluții sunt adesea costisitoare. Îmbunătățirea securității datelor prin copii de rezervă este mai puțin costisitoare în sectorul privat. În funcție de cantitatea de date, pentru backup pot fi utilizate suporturi amovibile mai mici, cum ar fi DVD sau Blu-ray , precum și hard disk-uri externe (USB) sau sisteme NAS .

În principiu, relevanța datelor pentru scopuri comerciale sau private ar trebui să determine tipul și frecvența copiei de rezervă, precum și numărul de copii de rezervă.

Folosiți software anti-virus

Ori de câte ori datele sunt descărcate de pe Internet sau de pe servere de e-mail sau copiate de pe suportul de stocare a datelor , există întotdeauna posibilitatea ca fișiere rău intenționate să fie găsite și printre acestea. Pentru a evita compromisurile, trebuie deschise numai fișierele sau atașamentele în care aveți încredere sau care sunt recunoscute ca inofensive de către un program antivirus ; cu toate acestea, nici programele de încredere și nici antivirus nu pot proteja împotriva tuturor fișierelor rău intenționate: o sursă de încredere poate fi ea însăși infectată, iar programele antivirus nu pot detecta programe malware noi sau necunoscute. Și cu acest software trebuie să se asigure că este actualizat în mod regulat (posibil chiar de mai multe ori pe zi). Programele antivirus au adesea efecte secundare dăunătoare: recunosc (în mod regulat) fișierele de sistem inofensive ca fiind „infectate” și le elimină, după care sistemul de operare nu mai funcționează (corect) sau nu pornește deloc. La fel ca toate programele de computer, ele înseși au și erori și lacune de securitate, astfel încât sistemul de computer să poată fi mai nesigur decât înainte sau să nu devină mai sigur după instalare. În plus, atrag utilizatorul tipic într-o securitate înșelătoare prin declarațiile sale publicitare, cum ar fi „oferă o protecție cuprinzătoare împotriva tuturor amenințărilor” și îi pot determina să se comporte mai riscant. Programele rău intenționate vizează de obicei sisteme de operare speciale și deseori răspândite sau browsere utilizate frecvent .

Diversificare

O altă măsură de reducere a riscurilor este diversificarea software-ului, adică utilizarea software-ului de la furnizori diferiți, chiar și non-lideri de piață. Atacurile de către biscuiți sunt adesea îndreptate către produse de la furnizori mari, deoarece acestea obțin cel mai mare profit cu atacuri criminale și, altfel, pot obține cea mai mare „faimă”. În acest sens, poate fi recomandabil să utilizați produse de la companii mai mici și mai puțin cunoscute sau, de exemplu, software open source .

Folosiți firewall-uri

Pentru atacurile care amenință fără intervenția activă a utilizatorului, este esențial să instalați un firewall de rețea sau un firewall personal . O mulțime de acces nedorit la computer și acces neintenționat de la propriul computer, care de obicei nici măcar nu sunt observate de utilizator, pot fi prevenite în acest fel. Configurarea unui firewall nu este banală și necesită o anumită cunoaștere a proceselor și a pericolelor.

Cutii de nisip

„Sandbox-uri” blochează un program potențial dăunător. În cel mai rău caz, programul poate distruge doar sandbox-ul. De exemplu, nu există niciun motiv pentru care un cititor PDF trebuie să acceseze documentele OpenOffice. În acest caz, sandbox-ul ar fi „toate documentele PDF și nimic altceva”. Tehnici precum AppArmor și SELinux permit construirea unui loc cu nisip.

Dezactivați conținutul activ

Când conținutul activ este o funcționalitate care va simplifica funcționarea unui computer. Cu toate acestea, deschiderea sau executarea automată a fișierelor descărcate prezintă riscul ca acestea să execute coduri rău intenționate și să infecteze computerul . Pentru a evita acest lucru, conținutul activ, cum ar fi ActiveX , Java sau JavaScript, ar trebui fie dezactivat pe cât posibil.

Criptați datele sensibile

Datele care nu ar trebui să cadă în mâinile unor terțe părți pot fi protejate prin măsuri adecvate, cum ar fi software-ul GPG sau criptarea hard disk-ului (vezi și criptografie ). Acest lucru nu afectează doar datele aflate în tranzit între două computere, ci și datele staționare pe dispozitivele de stocare în masă . Un exemplu tipic este transmiterea numerelor de card de credit în timpul cumpărăturilor online, care sunt adesea protejate prin HTTPS . Conținutul poate fi accesat numai dacă o parte are cheia corectă . Rețelele fără fir necriptate, cum ar fi WLAN-urile deschise, sunt deosebit de expuse riscului . Dacă nu au fost luate alte măsuri de protecție, cum ar fi B. utilizarea unui VPN , persoanele neautorizate au acces potențial neobservat la datele transmise.

Securitatea datelor este, de asemenea, o problemă extrem de sensibilă pentru autorități și companii, în special în ceea ce privește transportul de date. Procesele de afaceri necesită în mod repetat disponibilitatea mobilă a datelor de cercetare, financiare, ale clienților sau ale contului. Când vine vorba de stocarea și transportul datelor, autoritățile și companiile trebuie să se poată baza pe cel mai înalt nivel de securitate. Dacă datele sensibile ajung în mâini neautorizate, acest lucru duce de obicei la daune ireparabile, mai ales dacă datele sunt diseminate sau utilizate în mod greșit. Pentru a preveni acest lucru și pentru a asigura cel mai înalt nivel de securitate a datelor pentru transportul de date mobil, trebuie respectate criterii precum integritatea datelor (a se vedea autentificarea ) și ciclul de viață cheie, pe lângă criteriul de criptare a datelor .

Nivelul dorit de securitate a datelor determină metodele de criptare recomandate și punctele forte de criptare. Pentru aplicații cu criptare simetrică, BSI (Germania) recomandă metoda de criptare AES cu o lungime a cheii de 128 biți sau mai mult. CCM , GCM , CBC și CTR sunt recomandate ca moduri de operare .

Parolele , numerele de identificare personală (PIN) și numerele de tranzacție ( TAN) nu trebuie salvate sau transmise necriptate.

Logare

Protocoalele sau fișierele jurnal generate automat pot ajuta la determinarea ulterioară a modului în care s-au produs daune unui sistem computerizat.

Utilizați sisteme de dezvoltare sigure și medii de rulare

Pentru generarea și întreținerea de software securizat, este foarte util să programați într-o manieră structurată în timpul dezvoltării software-ului și să utilizați instrumente ușor de gestionat și de învățat, care să permită reguli de vizibilitate cât mai restrânse și module de program încapsulate cu interfețe clar definite . Libertatea restricționată în programare, cum ar fi restricționarea la moștenirea simplă sau interzicerea referințelor circulare sau a conversiilor de tip critic , restricționează , de obicei, și potențialul de erori ale programului . De asemenea, este util și util să refolosiți software-ul care a fost deja testat prin măsuri adecvate, cum ar fi utilizarea procedurilor sau structurilor de date orientate obiect .

Dezvoltatorii de software care sunt folosiți pentru schimbul sigur de date între computere trebuie să utilizeze sisteme moderne de dezvoltare și limbaje de programare , deoarece sistemele mai vechi au adesea lacune de securitate și nu au funcționalitatea de securitate adecvată. Software-ul securizat poate rula numai în medii de rulare adecvate, moderne și sigure și trebuie creat cu instrumente de dezvoltare (cum ar fi compilatoare ) care oferă cel mai înalt nivel posibil de securitate inerentă , cum ar fi securitatea modulului, tipul de securitate sau evitarea depășirilor de tampon .

Chiar și cu dispozitive care nu sunt operate într-o rețea de calculatoare sau în Internetul obiectelor , securitatea informațiilor poate fi sporită prin sisteme de dezvoltare adecvate și medii de rulare adecvate. Pierderea de date din cauza codului de program nesigure ( accident de calculator ) pot fi prevenite, de exemplu, prin compiler- generat verificarea indicilor de câmpuri de date , nevalide indicii sau, după apariția unor erori de program, prin excepție de manipulare în mediul runtime. În plus, este esențial în mediile de execuție orientate pe obiecte și, de asemenea, mai sigur în alte sisteme să efectuați o colectare automată a gunoiului, astfel încât spațiul de stocare să nu fie eliberat accidental.

Unii dezvoltatori se bazează pe verificarea codului programului pentru a îmbunătăți corectitudinea software-ului . În plus, este posibil să verificați software-ul deja implementat prin anumite metode, cum ar fi utilizarea codului de evidență , numai în timpul rulării și să împiedicați executarea acestuia dacă nu sunt respectate liniile directoare de securitate .

Creșterea gradului de conștientizare și responsabilizarea angajaților

Un aspect important în implementarea liniilor directoare de securitate este abordarea propriilor angajați, formarea așa-numitei conștientizări de securitate IT . Aici, primii judecători muncitori cer dovezi că angajații au fost sensibilizați în cazul unei posibile încălcări a orientărilor companiei. Această latură umană a securității informației capătă, de asemenea, o importanță suplimentară, deoarece spionajul industrial sau sabotajul țintit, motivat economic împotriva companiilor nu se realizează numai cu mijloace tehnice. Pentru a-și face rău victimelor sau a fura informații, atacatorii folosesc ingineria socială , de exemplu , care poate fi îndepărtată numai dacă angajații sunt conștienți de posibilele trucuri ale atacatorilor și au învățat cum să facă față atacurilor potențiale. Conștientizarea angajaților variază de obicei de la o companie la alta, de la evenimente față în față la seminarii bazate pe web la campanii de sensibilizare.

Accentul se mută acum aici de la conștientizarea pură („conștientizare”) către calificarea („ împuternicirea ”) utilizatorului de a-și asuma responsabilitatea pentru o mai mare siguranță în manipularea informațiilor bazate pe IT pe care să le furnizeze. În companii, „împuternicirea securității informațiilor” a directorilor este de o importanță deosebită, deoarece aceștia au o funcție de model pentru angajații din departamentul lor și sunt responsabili de asigurarea faptului că liniile directoare de securitate din zona lor de responsabilitate corespund proceselor de lucru de acolo - o premisă importantă pentru acceptare.

O prezentare generală a standardelor, celor mai bune practici și a instruirii

Internaționale standarde există pentru evaluarea și care certifică securitatea sistemelor informatice . Standarde importante în acest context au fost standardele TCSEC americane și standardele europene ITSEC . Ambele au fost înlocuite de noul standard Common Criteria în 1996 . Evaluarea și certificarea produselor și sistemelor IT din Germania se efectuează de obicei de către Oficiul Federal pentru Securitatea Informației (BSI).

Sarcina managementului securității IT este de a securiza sistematic o rețea IT de procesare a informațiilor. Riscurile pentru securitatea informațiilor sau amenințările la adresa protecției datelor într-o companie sau organizație trebuie prevenite sau protejate. Selectarea și implementarea standardelor de securitate IT este una dintre sarcinile managementului securității IT. Standardele de management al securității IT sunt, de exemplu:

  • Protecția de bază IT a BSI
    • De IT-Grundschutz cataloagelor definesc măsuri specifice pentru diferitele aspecte ale unui peisaj IT care trebuie îndeplinite pentru a menține securitatea cu cerințele de joasă și medie de protecție ( barbotine de spălare ). Pentru sistemele cu cerințe ridicate de protecție, cataloagele de protecție de bază oferă o procedură structurată pentru identificarea măsurilor necesare. Catalogele de protecție de bază sunt cunoscute în principal în Germania, dar sunt disponibile și în limba engleză.
  • ISO / IEC 27001 : Standard pentru sistemele de management al securității informațiilor (ISMS)
  • ISO / IEC 27002 : Ghid pentru managementul securității informațiilor (fost ISO / IEC17799: 2005)

Cel mai răspândit la nivel mondial este standardul ISO / IEC 27001.

Alte standarde pot fi găsite în

Pe lângă standardele de securitate a informațiilor, există și standarde pentru instruirea specialiștilor în securitate. Cele mai importante sunt certificările pentru Certified Information Security Manager (CISM) și Certified Information Systems Auditor (CISA) ale ISACA , certificarea pentru Certified Information Systems Security Professional (CISSP) a International Information Systems Security Certification Consortium (ISC) ², certificarea Security + de la CompTIA , certificarea TeleTrusT Information Security Professional (TISP) de la TeleTrusT - Bundesverband IT-Sicherheit e. V. precum și certificările GIAC ale Institutului SANS. Lista certificatelor IT oferă o imagine de ansamblu extinsă .

Audituri și certificări

Pentru a garanta un anumit nivel standard de securitate a informațiilor, revizuirea periodică a măsurilor de minimizare și decimare a riscurilor este obligatorie. Și aici apar în prim plan aspectele organizaționale și tehnice.

Securitatea tehnică poate fi obținută, de exemplu, prin măsuri precum teste regulate de penetrare sau audituri complete de securitate pentru a identifica și elimina orice riscuri de securitate care ar putea exista în domeniul sistemelor, aplicațiilor și / sau tehnologiei informației din domeniul tehnologiei informației. infrastructură .

Securitatea organizațională poate fi realizată și verificată prin audituri de către departamentele de specialitate relevante dintr-o organizație. De exemplu, etapele de testare predefinite sau punctele de control ale unui proces pot fi testate în timpul unui audit.

Măsurile pentru minimizarea sau decimarea riscurilor suplimentare pot fi derivate din constatările metodelor de verificare de anvergură. O metodologie descrisă în acest paragraf este direct conformă cu standarde precum ISO / IEC 27001 , BS 7799 sau reglementările legale . Aici, în majoritatea cazurilor, trasabilitatea proceselor de securitate a informațiilor este imediat necesară, cerând companiilor să implementeze managementul riscurilor .

Domenii de implementare

Există o serie de inițiative în Germania pentru a crește gradul de conștientizare a pericolelor din domeniul securității IT și pentru a identifica posibile contramăsuri. Acestea includ Consiliul de securitate cibernetică Germania eV, Asociația Germania sigură în rețea , Alianța pentru securitatea cibernetică și Cooperarea în domeniul securității cibernetice .

Gospodăriile private

Erorile de programare din aproape fiecare software fac practic imposibilă obținerea securității împotriva oricărui tip de atac. Prin conectarea computerelor cu date sensibile (de exemplu , servicii bancare la domiciliu , procesarea disertației ) la Internet , aceste puncte slabe pot fi folosite și extern. Standardul de securitate IT în gospodăriile private este mai scăzut, deoarece nu se iau nici o măsură pentru securizarea infrastructurii (de exemplu, sursa de alimentare neîntreruptibilă , protecția împotriva efracției).

Dar gospodăriile private au încă deficite și în alte domenii.

Mulți utilizatori privați nu au înțeles încă că este important să se adapteze configurația software-ului utilizat la nevoile respective. Cu multe computere conectate la Internet, nu este necesar ca programele server să ruleze pe ele . Serviciile server sunt încărcate de multe sisteme de operare în instalația standard; dezactivarea acestora închide o serie de puncte importante de atac.

Aspecte de securitate, cum ar fi stabilirea restricțiilor de acces, sunt, de asemenea, străine pentru mulți utilizatori. De asemenea, este important să aflați punctele slabe ale software-ului utilizat și să instalați actualizări în mod regulat.

Securitatea computerului include nu numai utilizarea preventivă a instrumentelor tehnice precum firewall-uri , sisteme de detectare a intruziunilor etc., ci și un cadru organizațional sub forma unor principii bine gândite (politică, strategie) care include oamenii ca utilizatori ai instrumentelor din sistemul. Prea des hackerii reușesc să obțină acces la date sensibile prin exploatarea unei parole prea slabe sau prin așa-numita inginerie socială .

Securitate IT la bănci și bănci de economii

Rezultatele Basel II , reglementările BaFin și KWG , precum și auditurile individuale ale asociațiilor băncilor de economii și ale băncilor au contribuit la accelerarea procesului și sublinierea importanței acestuia . Atât auditul extern, cât și cel intern sunt orientate din ce în ce mai mult către acest subiect. În același timp, a fost creată o gamă largă de servicii pentru implementarea diferitelor proiecte menite să stabilească un proces de securitate IT în companii. Furnizorii pot fi găsiți atât în ​​cadrul grupului corporativ respectiv, cât și pe piața externă. Pentru alte instituții de servicii financiare, companii de asigurări și societăți comerciale cu valori mobiliare, conceptul va fi în general identic, deși alte legi pot juca, de asemenea, un rol aici, de exemplu.

Securitate IT la alte companii

Chiar dacă legislația și auditurile din alte sectoare ale economiei fac mai puține cerințe, securitatea IT își păstrează prioritatea. Asistență acordă gratuit Cataloage de protecție IT de bază ale BSI .

Datorită creșterii în rețea a diferitelor ramuri z. De exemplu, în cazul achizițiilor de companii, securizarea sistemelor IT devine tot mai importantă. Transmiterea datelor dintr-o rețea internă închisă printr-o conexiune publică externă către cealaltă locație creează situații riscante.

Implicațiile pentru companii includ:

  • Pierderea de date,
  • Manipularea datelor,
  • recepția nesigură a datelor,
  • disponibilitatea tardivă a datelor,
  • Decuplarea sistemelor pentru afaceri operaționale,
  • utilizarea neautorizată a datelor,
  • Lipsa capacității de dezvoltare a sistemelor utilizate.

Dar pericolul nu constă doar în schimbul intern de date; aplicațiile sunt din ce în ce mai transferate direct către utilizatori sau angajații externi sau chiar furnizorii de servicii externalizați pot accesa datele stocate în companie și le pot edita și gestiona. Pentru autorizarea lor de acces, trebuie să fie posibilă și autentificarea, precum și documentația acțiunilor întreprinse și modificate.

În urma acestui subiect, apar noi cerințe pentru conceptele de securitate existente. În plus, există cerințele legale care trebuie integrate și în conceptul de securitate IT. Legile relevante sunt verificate de auditori externi și interni. Deoarece nu au fost definite metode pentru a obține aceste rezultate, au fost dezvoltate diferite metode de „cele mai bune practici” pentru domeniile respective, cum ar fi ITIL , COBIT , ISO sau Basel II .

Abordarea aici este de a gestiona și controla o companie în așa fel încât să fie acoperite riscurile relevante și posibile. Ca standard pentru așa-numita guvernare IT , legile obligatorii, adică legile ( HGB , AO , GOB) și rapoartele experților ( Sarbanes-Oxley Act , a 8-a directivă de audit UE) și cele de sprijin („Metoda celor mai bune practici”) trebuie să fie să fie văzut.

Aceasta înseamnă identificarea, analiza și evaluarea acestor riscuri. Pentru a permite crearea unui concept holistic de securitate bazat pe acest lucru. Aceasta include nu numai tehnologiile utilizate, ci și măsuri organizatorice, cum ar fi definirea responsabilităților, autorizații, organisme de control sau aspecte conceptuale, cum ar fi cerințele minime pentru anumite caracteristici de securitate.

Cerințele speciale sunt acum plasate pe EDP:

  1. Prevenirea manipulării
  2. Dovezi ale intervențiilor
  3. Instalarea sistemelor de avertizare timpurie
  4. Sisteme de control intern

Trebuie remarcat faptul că datele de automatizare sunt stocate în așa fel încât să poată fi citite, urmărite și constante în orice moment. Pentru a face acest lucru, aceste date trebuie protejate împotriva manipulării și ștergerii. Orice modificare ar trebui să declanșeze gestionarea versiunilor, iar rapoartele și statisticile privind procesele și modificările acestora trebuie să fie direct accesibile central.

Un remediu aici poate fi soluțiile de automatizare extrem de dezvoltate. Deoarece este necesară mai puțină intervenție manuală, sunt excluse sursele potențiale de pericol. Prin urmare, automatizarea centrelor de date include următoarele domenii:

  • Fluxul de proces ca factor de risc
  • Resursele factorului de risc
  • Tehnologia ca factor de risc
  • Timpul ca factor de risc

Securitatea IT în instituțiile și autoritățile publice

În acest domeniu, Catalogele IT-Grundschutz ale BSI sunt lucrări standard. În mare măsură, aceste agenții primesc GSTOOL-ul asociat , ceea ce simplifică semnificativ implementarea, în mod gratuit.

Cadrul legal

Guvernanța corporativă poate fi văzută ca un cadru pentru securitatea IT. Termenul provine din managementul strategic și descrie un proces de control al unei companii private. Se caută un echilibru între diferitele grupuri de interese ( părțile interesate ) prin reguli și mecanisme de control . Procesul servește la menținerea companiei și este supus unor revizuiri externe periodice.

Legile guvernanței corporative

În scopul unei mai bune monitorizări a guvernanței corporative și de a facilita accesul investitorilor străini la informații despre companii (transparență), Legea privind controlul și transparența în sectorul corporativ (KonTraG) a intrat în vigoare în mai 1998 . Tema principală a modificărilor de anvergură din Codul comercial (HGB) și din Act Corporation Corporation (AktG) a fost introducerea unui sistem de detectare timpurie a riscurilor pentru identificarea riscurilor care ar putea pune în pericol existența continuă a companiei. Fiecare companie orientată spre piață de capital a trebuit să instituie un astfel de sistem a și publică riscurile companiei în raportul de gestiune a situațiilor financiare anuale .

Sarbanes-Oxley Act (SOX), care a intrat în vigoare în iulie 2002 , avea ca scop restabilirea încrederii pierdute a investitorilor în datele publicate de bilanț ale companiilor americane. Filialele companiilor americane din străinătate și ale companiilor non-americane care sunt tranzacționate la bursele americane sunt, de asemenea, supuse acestui regulament. Legea nu prescrie în mod explicit măsuri de precauție în domeniul securității IT, cum ar fi introducerea unui ISMS. Raportarea perfectă a datelor interne ale companiei este posibilă numai prin procese IT fiabile și o protecție adecvată a datelor utilizate. O respectarea , prin urmare , cu SOX este posibilă numai cu ajutorul unor măsuri de securitate IT.

A opta directivă europeană 2006/43 / CE (numită și „EuroSOX”) a fost creată pe baza legii americane SOX și a intrat în vigoare în iunie 2006. Acesta descrie cerințele minime pentru o companie pentru gestionarea riscurilor și definește atribuțiile auditorului .

Implementarea germană a EuroSOX european a avut loc în Legea privind modernizarea dreptului contabil (BilMoG). A intrat în vigoare în mai 2009. În scopul armonizării cu legislația europeană , legea a schimbat unele legi, cum ar fi HGB și Act Corporation Corporation Act . Printre altele, corporațiile precum AG sau GmbH sunt obligate, în conformitate cu secțiunea 289 din Codul comercial german (HGB), paragraful 5, să prezinte proprietățile esențiale ale sistemului lor de control intern (ICS) în raportul de gestionare a raportului financiar anual. declarații.

În Directiva privind reglementările europene privind cerințele de capital (Basel I) din 1988 și Directiva privind cerințele de capital de solvabilitate de bază din 1973 (actualizată în 2002; denumită ulterior Solvabilitate I), multe legi individuale erau grupate într-o singură rubrică. Aceste reglementări, care sunt importante pentru instituțiile de credit și companiile de asigurări , conțineau multe puncte slabe. Noile reglementări Basel II pentru bănci (la nivelul UE în vigoare din ianuarie 2007) și Solvency II pentru asigurători (în vigoare din ianuarie 2016) conțin reglementări mai moderne pentru gestionarea riscurilor. Planul de succesiune Basel III este în vigoare din 2013 și ar trebui să fie implementat integral până în 2019.

Legile privind protecția datelor

Prima versiune a Legii federale privind protecția datelor (BDSG) cu denumirea legii privind protecția împotriva utilizării abuzive a datelor cu caracter personal în prelucrarea datelor a fost adoptată la 27 ianuarie 1977 ( BGBl. I p. 201 ). Sub impresia așa-numitei hotărâri de recensământ din 1983, legea privind dezvoltarea în continuare a prelucrării datelor și protecției datelor din 20 decembrie 1990 a adus în vigoare o nouă versiune a BDSG la 1 iunie 1991 ( BGBl. 1990 I pp. 2954, 2955 ). Una dintre numeroasele modificări aduse legii a intrat în vigoare în august 2002. A servit pentru adaptarea legii la Directiva 95/46 / CE (directiva privind protecția datelor) .

În plus față de BDSG, există și alte reglementări legale în Germania care necesită introducerea și funcționarea unui ISMS. Acestea includ Telemedia Act (TMG) și Telecommunications Act (TKG).

Protecția vieții private în Marea Britanie este reglementată prin Legea privind protecția datelor (DPA) din 1984 . În versiunea sa originală, aceasta oferea o protecție minimă a datelor. Prelucrarea datelor cu caracter personal a fost înlocuită în 1998 cu o nouă versiune a DPA. Aceasta a intrat în vigoare în 2000 și a adus legislația britanică în conformitate cu Directiva CE 95/46 / CE. În Marea Britanie, în 2001, guvernul britanic a obligat toate ministerele să devină conforme cu BS 7799 . Implementarea unui ISMS face mai ușor pentru companiile britanice să demonstreze conformitatea cu DPA.

Regulamentul general privind protecția datelor anulează Directiva 95/46 / CE. A intrat în vigoare pe 24 mai 2016 și se va aplica direct în toate statele Uniunii Europene începând cu 25 mai 2018. Regulamentele naționale anterioare, cum ar fi DPA engleză și BDSG germană, sunt înlocuite sau revizuite pentru a îndeplini mandatele de reglementare ale ordonanței către legislativul național.

Legea securității IT

În fața atacurilor teroriste și din motive militare, protecția infrastructurilor critice împotriva atacurilor cibernetice devine din ce în ce mai importantă în Germania și în alte țări. În acest scop, la 25 iulie 2015 a intrat în vigoare o lege a articolului pentru creșterea securității sistemelor de tehnologie a informației (IT Security Act, ITSiG). Legea atribuie Oficiului Federal pentru Securitatea Informației rolul central în protejarea infrastructurilor critice din Germania.

În acest scop, legea BSI a fost completată de cerințe de securitate pentru așa-numitele „infrastructuri critice”. Acestea sunt instalații, sisteme sau părți ale acestora care

  • aparțin sectoarelor energiei, tehnologiei informației și telecomunicațiilor, transporturilor și traficului, sănătății, apei, nutriției, sectoarelor finanțelor și asigurărilor și
  • sunt de o mare importanță pentru funcționarea comunității, deoarece eșecul sau afectarea acestora ar duce la blocaje considerabile în aprovizionare sau amenințări la adresa siguranței publice.

Într-o reglementare asociată, regulamentul KRITIS (BSI-KritisV) este clarificat care instalații, sisteme sau părți ale acestora intră în mod specific în cerințele Legii privind securitatea IT. Acestea includ rețele electrice, centrale nucleare și spitale.

Infrastructurile critice trebuie să îndeplinească standardele minime specifice industriei, inclusiv în special introducerea unui ISMS. De asemenea, trebuie să raporteze incidentelor relevante care afectează securitatea IT către BSI.

Legea privind securitatea IT a introdus și alte legi precum B. Legea privind industria energetică sa schimbat. Modificarea Legii privind industria energetică obligă toți operatorii de rețele de electricitate și gaze să implementeze catalogul de securitate IT al Agenției Federale de Rețele și să introducă un ISMS.

La 27 martie 2019, Ministerul Federal al Internelor a publicat, de asemenea, proiectul pentru o lege de securitate IT 2.0, care conține o abordare holistică a securității IT. Printre altele, urmează să fie inclusă o etichetă de securitate IT prietenoasă consumatorului pentru produsele comerciale, competențele BSI sunt, de asemenea, consolidate, iar infracțiunile penale privind securitatea cibernetică și activitățile de anchetă asociate sunt extinse. Proiectul de lege extinde, de asemenea, destinatarii obligațiilor de raportare și măsurilor de punere în aplicare. În general, legea va duce probabil la o povară economică suplimentară considerabilă pentru companii și autorități.

În decembrie 2020, guvernul federal a prezentat proiecte suplimentare pentru Legea securității IT 2.0. Asociațiile și alte părți interesate au criticat perioadele scurte de comentarii de câteva zile, uneori doar 24 de ore, care, potrivit criticilor, reprezintă o „excludere faptică a participării”. Oficiul Federal pentru Securitatea Informației (BSI) este actualizat la o „autoritate cibernetică cu puteri de hacking”. Asociația Federală a Organizațiilor Consumatorilor a salutat faptul că BSI ar trebui să primească și protecție pentru consumatori, dar, în același timp, a subliniat posibile conflicte de interese cu alte domenii de responsabilitate ale acestei autorități, cum ar fi sprijinul pentru urmărirea penală. Pe 16 decembrie 2020, Legea securității IT 2.0 a fost adoptată în cabinet și supusă notificării Comisiei Europene. Legea va fi discutată în Bundestag la începutul anului 2021. După ce proiectul de lege a adoptat Bundestag și Bundesrat în primăvara anului 2021, Legea securității IT 2.0 a intrat oficial în vigoare la sfârșitul lunii mai.

Aspecte de drept penal

Acest articol sau paragraf descrie situația din Germania . Ajută-mă să descriu situația din alte țări.

Orice modificare, ștergere, suprimare sau inutilizare ilegală a datelor de la terți îndeplinește infracțiunea în conformitate cu § 303a StGB (modificarea datelor ). În cazuri deosebit de grave, aceasta se pedepsește și în temeiul secțiunii 303b I nr. 1 StGB („ sabotaj pe computer ”) și se pedepsește cu închisoare de până la cinci ani sau cu amendă. Implementarea atacurilor DDOS a reprezentat, de asemenea, sabotarea computerelor din 2007, același lucru se aplică oricărei acțiuni care duce la deteriorarea unui sistem de informații care are o importanță esențială pentru altul.

Spionaj de date (§ 202a din Codul penal), astfel încât să aibă acces la datele externe împotriva acestei protecție specială se pedepsește cu închisoare de până la trei ani sau o amendă. Interceptarea datelor terților în rețele sau din radiațiile electromagnetice a fost, de asemenea, o infracțiune penală din 2007; spre deosebire de secțiunea 202a din Codul penal, securitatea accesului special nu este importantă aici. Obținerea, crearea, distribuirea, punerea la dispoziția publicului etc. a așa-numitelor „instrumente hacker” a fost, de asemenea, o infracțiune din 2007, dacă este utilizată pentru pregătirea unei infracțiuni (secțiunea 202c StGB).

Conform secțiunii 202a, paragraful 2 coroborat cu paragraful 1, cu toate acestea, datele sunt protejate împotriva spionării numai dacă sunt „special securizate” pentru a împiedica evitarea faptelor. Asta înseamnă că numai atunci când utilizatorul își protejează tehnic datele, se bucură și de protecția legii penale. Dezbaterea anterioară cu privire la faptul că „hacking-ul” fără preluarea datelor a fost o infracțiune a expirat de când formularea standardului a fost modificată în 2007, astfel încât răspunderea penală începe imediat ce se obține accesul la date. De asemenea, este controversat dacă criptarea contează pentru o securitate specială. Este foarte eficient, dar se susține că datele nu sunt copiate, ci sunt disponibile doar într-o formă „de neînțeles” sau pur și simplu „diferită”.

Deoarece frauda computerizată va fi pedepsită cu un Cod penal cu amendă sau închisoare de până la cinci ani dacă operațiunile de prelucrare a datelor sunt manipulate pentru a obține un câștig pecuniar până la § 263 Chiar și crearea, procurarea, oferirea, stocarea sau lăsarea programelor de calculator adecvate pot fi pedepsite prin lege.

Citate

„Cred că până în 2017 vom vedea din ce în ce mai multe eșecuri catastrofale ale sistemului. Mai probabil, vom avea o defecțiune oribilă a sistemului, deoarece un sistem critic a fost conectat la unul non-critic care a fost conectat la Internet pentru ca oricine să poată accesa MySpace - și sistemul auxiliar este infectat de malware . "

- Marcus J. Ranum, expert în securitate IT : citat de Niels Boeing

Vezi si

literatură

Acest articol sau secțiune trebuie revizuit. Detalii ar trebui să fie date pe pagina de discuții . Vă rugăm să ajutați la îmbunătățirea acestuia , apoi eliminați acest steag.

Link-uri web

Dovezi individuale

  1. Stefan Loubichi: IEC 62443: Securitate IT pentru sisteme de automatizare industrială - o introducere în sistematica VGB PowerTech Journal, numărul 6/2019, ISSN 1435-3199
  2. a b c d e f Claudia Eckert: securitate IT. Concepte - Proceduri - Protocoale. Ediția a 7-a, revizuită și extinsă. Oldenbourg, 2012, ISBN 978-3-486-70687-1
  3. Reprezentare simplă a securității informațiilor
  4. ^ R. Shirey: RFC 4949, Glosar de securitate pe Internet, versiunea 2 . IETF . P. 29. Adus pe 10 noiembrie 2011: „Proprietatea de a fi autentic și de a putea fi verificat și de încredere”.
  5. a b Carsten Bormann și colab.: Slide de prelegere 0. (PDF; 718 kB) În: Lecture Information Security 1, SS 2005, Universitatea din Bremen. 16 aprilie 2005, accesat la 30 august 2008 . Diapozitivul 25.
  6. ^ Claudia Eckert : Lecture IT security, WS 2002/2003, TU Darmstadt. (PDF; 6,8 MB) Diapozitive de prelegere Cap. 2, diapozitiv 17. TU Darmstadt FG Security in Information Technology, 20 octombrie 2004, p. 26 , arhivat din original la 3 decembrie 2013 ; Adus pe 19 noiembrie 2010 .
  7. Oficiul Federal pentru Securitatea Informației (Ed.): Situația securității IT în Germania 2016 . Octombrie 2016.
  8. Vezi și ENISA Quarterly Vol. 2, No. 3 octombrie 2006 , ENISA , accesat la 29 mai 2012
  9. Descrierea politicii de restricționare a software-ului în Windows XP , accesat pe 9 august 2013.
  10. Cum se utilizează politicile de restricționare a software-ului în Windows Server 2003 , accesat la 9 august 2013.
  11. Utilizarea politicilor de restricționare a software-ului pentru a vă proteja împotriva software-ului neautorizat , accesat la 9 august 2013.
  12. Utilizarea politicilor de restricționare a software-ului pentru a vă proteja împotriva software-ului neautorizat , accesat la 9 august 2013.
  13. ^ Cum funcționează politicile de restricționare a software-ului , accesat la 9 august 2013.
  14. Descriere detaliată a caracteristicii de prevenire a executării datelor în Windows XP Service Pack 2, Windows XP Tablet PC Edition 2005 și Windows Server 2003 , accesat la 9 august 2013.
  15. Utilizarea protocolului implicit W3 Tech https pentru site-uri web . Adus la 30 mai 2019.
  16. BSI TR-02102-1: Proceduri criptografice: recomandări și lungimi cheie , paginile 22-23, Oficiul Federal pentru Securitatea Informațiilor , Bonn, 22 februarie 2019. Accesat la 30 mai 2019.
  17. ENISA Quarterly, Q4 2007, vol. 3, nr.4 , ENISA , accesat la 29 mai 2012
  18. Urs E. Gattiker: De ce inițiativele de conștientizare a securității informațiilor au eșuat și vor continua să facă acest lucru . (PDF; 279 kB) Prezentare la conferința govcert.nl 2007.
  19. Axel Tietz, Johannes Wiele: Conștientizarea este doar un început . În: Informationsdienst IT-Grundschutz , nr. 5/6, mai 2009, pp. 28-30, ( ISSN  1862-4375 )
  20. Frank van der Beek: Care este cel mai bun mod de a preda securitatea IT? Un studiu empiric (PDF; 2,4 MB). P. 17.
  21. Michael Falk: Conformitatea IT în guvernanța corporativă: cerințe și implementare. Wiesbaden, Gabler Verlag, 2012, ISBN 3-8349-3988-9
  22. Thomas A. Martin: Caracteristici de bază ale gestionării riscurilor în conformitate cu KonTraG: Sistemul de gestionare a riscurilor pentru detectarea precoce a crizelor conform secțiunii 91 (2) AktG. München, Oldenbourg, 2002. ISBN 978-3-486-25876-9
  23. a b c d e J. Hofmann, W. Schmidt: Curs de masterat Management IT: Noțiuni de bază, implementare și practică de succes pentru studenți și practicieni. 2., act. și exp. Ediție. Vieweg + Teubner, 2010, ISBN 978-3-8348-0842-4 .
  24. ^ Heinrich Kersten, Jürgen Reuter, Klaus-Werner Schröder, Klaus-Dieter Wolfenstetter: Managementul securității IT conform ISO 27001 și protecția de bază: Calea către certificare. Al 4-lea, act. și exp. Ediție. Springer, Wiesbaden 2013, ISBN 978-3-658-01723-1 .
  25. Prima Directivă 73/239 / CEE a Consiliului din 24 iulie 1973 privind coordonarea dispozițiilor legale și administrative referitoare la inițierea și exercitarea activităților de asigurare directă (cu excepția asigurărilor de viață) , accesată la 9 ianuarie 2014
  26. Legea de modificare a Legii federale privind protecția datelor și a altor legi din 22 mai 2001 ( Monitorul Federal al Legii I p. 904 )
  27. ^ MJ Kenning: Standard de management al securității: ISO 17799 / BS 7799. În: BT Technology Journal , 19, 2001, nr. 3, pp. 132-136.
  28. Legea pentru creșterea securității sistemelor de tehnologie a informației din 17 iulie 2015 ( Monitorul Federal al Legii I p. 1324 )
  29. Ministerul Federal al Justiției și Protecției Consumatorilor: KritisV. 22 aprilie 2016. Adus 22 iulie 2016 .
  30. Lisa Hegemann: Actul de securitate IT 2.0: Când Telekom ar trebui să pătrundă în computer. În: timp online. 15 decembrie 2020, accesat la 18 decembrie 2020 .
  31. Agenția Federală de Rețea: catalog de securitate IT. (PDF) Accesat la 22 iulie 2016 .
  32. IT Security Act (IT-SiG) 2.0 - cele mai importante modificări ale proiectului de lege dintr-o privire | comunitate beck. Adus pe 3 aprilie 2019 .
  33. Patrick Beuth: Asta ar trebui să fie în legea Huawei. În: Spiegel Online. 12 decembrie 2020, accesat pe 29 decembrie 2020 .
  34. Stefan Krempl: Guvernul federal: BSI ar trebui să aibă voie să pirateze cu IT Security Act 2.0. În: heise.de. 16 decembrie 2020, accesat la 18 decembrie 2020 .
  35. Legea securității IT 2.0: „Degetul mijlociu în fața societății civile”. În: heise.de. 10 decembrie 2020, accesat la 18 decembrie 2020 .
  36. Bundestag adoptă o lege mai strictă a securității IT. Süddeutsche Zeitung, accesat la 1 iunie 2021 .
  37. Marcus J. Ranum (site-ul web)
  38. Niels Boeing: Fulger și tunet în matrice (" Technology Review ", ediția germană, 25 ianuarie 2008)
Acest articol sau secțiune trebuie revizuit. Detalii ar trebui să fie date pe pagina de discuții . Vă rugăm să ajutați la îmbunătățirea acestuia , apoi eliminați acest steag.