021.1 Lektion 1

Die Sicherheit der Informationstechnologie (IT) ist entscheidend für den Schutz von Daten vor unbefugtem Zugriff, unbefugter Nutzung und unbefugter Verbreitung. Sie stellt sicher, dass vertrauliche Informationen — seien es persönliche, finanzielle oder in anderer Weise geschützte — bei Speicherung, Nutzung und Weitergabe an rechtmäßige Benutzer vertraulich und sicher bleiben. Der Hauptzweck der IT-Sicherheit besteht darin, Personen und Einrichtungen, für die diese Informationen stehen, zu schützen und Schaden zu verhindern, der durch unbefugte Offenlegung oder Missbrauch entstehen könnte.

IT-Sicherheit schützt eine Vielzahl von Daten, von öffentlichen Informationen wie Landkarten und Handbüchern bis hin zu hochsensiblen Einträgen wie privaten Gesundheitsdaten und vertraulichen Finanzdokumenten. Während der unbefugte Zugriff auf öffentliche Daten möglicherweise keine direkte Bedrohung darstellt, kann die Kompromittierung sensibler Informationen schwerwiegende Folgen haben, darunter Identitätsdiebstahl, finanzielle Verluste und Rufschädigung. Daher haben IT-Sicherheitsmaßnahmen zum Schutz solch kritischer Daten Vorrang.

Mit der Ausweitung der Internettechnologien haben sich auch die Möglichkeiten für Cyber-Angriffe erweitert, so dass IT-Sicherheit immer wichtiger wird. Das Internet verbindet Millionen von Geräten weltweit, was das Ausmaß möglicher Schäden durch Sicherheitsverletzungen vergrößert. Daher sind robuste IT-Sicherheitspraktiken erforderlich, um sich gegen diese Bedrohungen zu schützen und die Sicherheit und Integrität von Daten in großem Umfang zu gewährleisten. Auf diese Weise schützt IT-Sicherheit nicht nur die eingesetzte Technologie und die Systeme, sondern auch die Menschen und die mit ihnen verbundenen Daten vor potenziellen Schäden und Missbrauch.

Die Ziele der Informationssicherheit sind so vielfältig wie die Personen und Einrichtungen, die für die zu schützenden Daten verantwortlich sind. Viele spezifische Ziele und Methoden werden in den folgenden Abschnitten beschrieben. Zum Einstieg empfiehlt es sich, die allgemein anerkannten Grundlagen der Informationssicherheit zu verstehen. Dafür befassen wir uns mit drei Kernzielen von Sicherheit in der Informationstechnologie.

Anders als allgemein angenommen, sind nicht alle Rollen und Verantwortlichkeiten im Bereich der Informationssicherheit rein technischer Natur. In diesem Abschnitt geht es um vier der bekanntesten dieser Rollen: Chief Information Officer, Chief Information Security Officer, Enterprise Architect und Netzwerk- oder Systemadministrator.

Der Chief Information Officer (CIO) sitzt in der sogenannten “C-Suite”, also den Vorstandsbüros eines Unternehmens, und ist für alle Technologiebereiche verantwortlich. In kleineren Unternehmen kann diese Rolle auch administrative und physische Sicherheitsaufgaben umfassen. Der CIO verantwortet Budgetierung, Beschaffung und Implementierung aller Anlagen, die technologische Ausrichtung und Abläufe des Unternehmens betreffen.

Der Chief Information Security Officer (CISO) ist ein leitender Angestellter, der die gesamte Strategie zur Informationssicherheit des Unternehmens verantwortet. Zu seinen Aufgaben gehört es, Richtlinien und Verfahren zu entwickeln, die Einhaltung von Vorschriften zu gewährleisten und die Maßnahmen des Unternehmens zum Schutz vor Cyber-Bedrohungen zu bestimmen. Der CISO spielt eine entscheidende Rolle bei der Abstimmung von Sicherheitsinitiativen mit den Unternehmenszielen und bei der Vermittlung der Sicherheitsstrategie gegenüber Vorstand und Stakeholdern. Die Rolle des CISO wird mit Personen besetzt, die über solides Fachwissen sowohl im operativen als auch im technologischen Bereich des Unternehmens verfügen. Sie bilden die “Brücke” zwischen der Führungsebene des Unternehmens und den Leitern von Technologieabteilungen. Die Position ist relativ neu und hat bisher noch nicht allgemein durchgesetzt — es wird sich erst mit der Zeit zeigen, ob sie sich im Organigramm etabliert.

Der Enterprise Architect ist in der Regel direkt dem CIO unterstellt und trägt die Verantwortung für das physische und logische IT-System des Unternehmens. Er verfügt in der Regel über ein hohes Maß an technischem Fachwissen (insbesondere im Bereich der Netzwerkadministration) und entwirft das Netzwerk der Einrichtung, so dass es die Sicherheitsanforderungen erfüllt.

Die Netzwerk- oder Systemadministratoren entwerfen, implementieren und warten die technischen Sicherheitskontrollen, die die IT-Infrastruktur eines Unternehmens schützen. Sie sind für den Einsatz von Firewalls, Intrusion Detection Systems (IDS) und Verschlüsselungsprotokollen verantwortlich. Außerdem entwickeln sie Automatisierungsskripte, um Sicherheitsprozesse zu rationalisieren und sicherzustellen, dass die Systeme gegen Angriffe gewappnet sind.

Neben den vielen notwendigen und legitimen Aufgaben, die Technologieexperten weltweit übernehmen, gibt es Personen, die dieses Wissen ohne Berechtigung oder gar mit kriminellen Absichten einsetzen — sogenannte Hacker. Dieser Oberbegriff fasst jedoch zahlreiche Untergruppen mit einer Vielzahl von Fähigkeiten und Motiven zusammen.

Hacker sind Personen mit fortgeschrittenen Kenntnissen über Computersysteme und -netze. Obwohl die öffentliche Wahrnehmung von Hackern oft negativ ist, verfolgen nicht alle Hacker böse Absichten. Es gibt verschiedene Arten von Hackern, die grob in White Hat und Black Hat unterteilt werden, also “gut” und “böse” (in Anlehnung an die Charaktere in Western-Filmen und deren Hüte).

Black Hat Hacker nutzen ihre technischen Fähigkeiten, um Schwachstellen böswillig auszunutzen, beispielsweise um Daten zu stehlen, Dienste zu stören oder Systeme zu beschädigen. Sie handeln illegal, motiviert durch finanziellen Gewinn, politische Ziele oder persönliche Befriedigung. Zu den Techniken, die von Black Hat Hackern eingesetzt werden, gehören die Verbreitung von Malware, Phishing und Social Engineering, um Menschen zu manipulieren, damit sie vertrauliche Informationen preisgeben.

Im Gegensatz dazu setzen White Hat Hacker, auch als “ethische Hacker” bezeichnet, ihre Fähigkeiten ein, um Unternehmen bei der Identifizierung und Behebung von Sicherheitsschwachstellen zu helfen. White Hat Hacker sind häufig bei Unternehmen angestellt oder arbeiten als unabhängige Berater, um Penetrationstests und Schwachstellenbewertungen durchzuführen. Im Gegensatz zu Black Hats halten sich White Hats an einen strengen ethischen Kodex und arbeiten innerhalb des gesetzlichen Rahmens, um die Sicherheitslage eines Unternehmens zu verbessern und potenzielle Bedrohungen abzuwehren.

Im Gegensatz dazu sind Cracker Personen, die illegale Aktivitäten wie das Eindringen in Systeme, das Umgehen von Passwörtern und die Umgehung von Softwarelizenzen mit der Absicht durchführen, Schaden anzurichten, Informationen zu stehlen oder Dienste zu stören. Cracker gelten als bösartig, da sie ausschließlich von der Absicht geleitet sind, Systeme zu missbrauchen und Schaden anzurichten, ohne Rücksicht auf Legalität oder Ethik.

Script Kiddies bilden eine weitere Kategorie innerhalb der Hacker Community, die sich dadurch auszeichnet, dass sie meist über nur geringe Fachkenntnisse verfügt und auf vorgefertigte Skripte und Tools zurückgreift, um Cyber-Angriffe auszuführen. Im Gegensatz zu erfahrenen Hackern verstehen Script Kiddies die von ihnen verwendeten Tools nicht vollständig und verfügen in der Regel auch nicht über die technischen Fähigkeiten, eigene Tools zu entwickeln. Stattdessen verwenden sie leicht verfügbare, oft veraltete Skripte, die sie im Internet finden, um weniger sichere Systeme anzugreifen. Ihre Motivation entspringt häufig dem Wunsch, zu stören oder “berühmt” zu werden — selten Profit oder politische Ziele. Trotz ihrer mangelnden Fachkenntnisse können Script Kiddies eine erhebliche Bedrohung für die Informationssicherheit darstellen, da ihr Einsatz automatisierter Tools beträchtlichen Schaden anrichten kann, insbesondere wenn sie auf schlecht gesicherte Systeme abzielen.

Mit der zunehmenden Integration von Computern in allen Lebensbereichen entwickeln sich auch Taktiken und Motive von Cyber-Angreifern weiter. Jedes neue Gerät und jede neue Technologie, die sich auf breiter Front durchsetzt, ist ein potenzielles Angriffsziel, und böswillige Akteure versuchen, diese Tools gegen legitime Benutzer einzusetzen. Die Raffinesse dieser Angriffe kann sehr unterschiedlich sein, von technisch hochentwickelten Operationen, die spezielle Fähigkeiten erfordern, bis hin zu einfacheren Mustern, die mit grundlegenden Computerkenntnissen möglich, aber auf die Zusammenarbeit mit anderen böswilligen Akteuren angewiesen sind.

Häufiges Ziel von Cyber-Angreifern sind Zugriff, Manipulation oder Löschung von Daten. Durch unbefugten Zugriff können Angreifer sensible Informationen wie geistiges Eigentum, Finanzunterlagen oder personenbezogene Daten stehlen. Diese Daten dienen dann der Erpressung oder lassen sich verkaufen. Bei einer Datenmanipulation werden Informationen verändert, um Abläufe zu stören, Vertrauen zu untergraben oder Ergebnisse in kritischen Bereichen wie Finanzmärkten oder Wahlen zu manipulieren. Das Löschen wichtiger Daten kann den Betrieb eines Unternehmens erheblich beeinträchtigen und zu finanziellen Verlusten und Betriebsausfällen führen. Ein bekanntes Beispiel ist der Cyber-Angriff auf Sony Pictures im Jahr 2014, bei dem Angreifer auf vertrauliche Daten zugreifen und öffentlich machen konnten, Mitarbeiterdaten manipulierten und wertvolle Informationen löschten, um Chaos zu stiften und ein Lösegeld zu fordern.

Ein weiteres primäres Ziel von Cyber-Angreifern ist die Unterbrechung von Diensten und die Erpressung von Lösegeld. Dies geschieht durch Angriffe wie Distributed Denial of Service (DDoS), bei denen das Netzwerk eines Ziels mit Datenverkehr überflutet wird, so dass Dienste für reguläre Benutzer nicht mehr verfügbar sind. Diese Angriffe werden häufig eingesetzt, um Lösegeld zu erpressen oder den Ruf des Opfers zu schädigen. Bei Ransomware-Angriffen werden kritische Daten oder Systeme verschlüsselt und eine Zahlung für die Wiederherstellung des Zugriffs gefordert, wodurch Opfer, die sich längere Ausfallzeiten nicht leisten können, direkt erpresst werden. Der WannaCry-Ransomware-Angriff aus dem Jahr 2017 ist ein bemerkenswertes Beispiel, bei dem Dienste in zahlreichen Organisationen weltweit unterbrochen wurden, indem Daten verschlüsselt und Lösegeldzahlungen gefordert wurden.

Wirtschaftsspionage ist ein weiteres wichtiges Ziel von Cyber-Angreifern, insbesondere wenn es darum geht, Geschäftsgeheimnisse oder geschützte Informationen von Unternehmen zu stehlen. Diese Angriffe gehen häufig von Konkurrenten oder Staaten aus. Zu den Zielen von Wirtschaftsspionage gehören der Diebstahl von Geschäftsgeheimnissen, um den Erfolg eines Konkurrenten zu kopieren, die Untergrabung der Marktposition eines Unternehmens durch den Zugriff auf sensible Informationen und die Sabotage von Abläufen, Lieferketten oder Produktionsprozessen, um finanzielle Verluste zu verursachen und den Ruf zu schädigen. Ein bekanntes Beispiel für Wirtschaftsspionage ist die Operation Aurora aus dem Jahr 2010, bei der Angreifer große Unternehmen wie Google und Adobe angriffen, um geistiges Eigentum und sensible Informationen zu stehlen.

Das Konzept der Zuschreibung (Attribution) gehört in digitalen Umgebungen zu den wichtigsten Verantwortlichkeiten für Experten der Informationssicherheit. Einfach ausgedrückt, beschreibt Attribution die Identifizierung und Zuweisung von Verantwortung an Individuen für ihre Handlungen im virtuellen Raum. Dieser Abschnitt führt kurz in das Konzept ein, da es im Folgenden in verschiedenen Kontexten auftaucht. Zuschreibung kann in verschiedenen Bereichen unterschiedlich bewertet und umgesetzt werden, beispielsweise Datenschutz, Verschlüsselung, Netzwerkhardware oder Datenbankmanagement — wir werden darauf später noch eingehen.

Zu wissen, wer für eine Aktion in einem Netzwerk verantwortlich ist — sei es für die Änderung von Dokumenten oder das Löschen gespeicherter Datensätze — ist entscheidend für die Aufrechterhaltung einer soliden Sicherheitslage. Die Zuschreibung stärkt nicht nur die Sicherheitsmaßnahmen, sondern setzt auch die Rechenschaftspflicht durch. Für einen Benutzer wird es schwierig, Handlungen in einer technischen Umgebung zu leugnen, wenn es Protokollierungssysteme, spezielle Software und Internetprotokolle gibt, die diese Aktivitäten eindeutig verfolgen und aufzeichnen.

Attribution schafft einen Rahmen für die Rechenschaftspflicht, ist aber nicht nur auf die Identifizierung von Fehlverhalten ausgerichtet, sondern dient auch dazu, positive Handlungen im digitalen Raum anzuerkennen und zu überprüfen.

In der realen Welt ist das Prinzip der Zuschreibung ebenfalls allgegenwärtig, sowohl im technischen als auch im nicht-technischen Kontext. Wenn zum Beispiel ein Autor für das Schreiben eines Buches oder eines Artikels gewürdigt wird, ist dies eine Zuschreibung. Auch wenn ein Autor zitiert, handelt es sich um Attribution. Betrachten Sie die Zuschreibung als “Fingerabdruck der Verantwortung”, der in der Informationssicherheit immer wieder auftauchen wird.

In der digitalen Welt ist genaue Zuschreibung jedoch eine komplexe Aufgabe, die Sicherheitsexperten vor zahlreiche Herausforderungen stellt. Technologie ermöglicht es böswilligen Akteuren, ihre Identitäten zu verändern, physische Standorte zu verbergen und ihre wahren Absichten zu verschleiern. Trotz dieser Herausforderungen gibt es Software- und Hardwarelösungen, die Sicherheitsteams bei der Zuordnung in digitalen Umgebungen helfen, ähnlich wie die Tools, die Strafverfolgungsbehörden zur Identifizierung und Untersuchung von Falschgeld einsetzen. Trotz des Wissens, der Erfahrung und der Tools, die zur Verfügung stehen, um Verbrechen ihren Tätern zuzuordnen, finden geschickte Kriminelle oft Wege, dies zu verhindern. Die gleichen komplexen Herausforderungen der Zuordnung in der physischen Welt gelten auch in der digitalen.