IT-Sicherheit für Privatanwender: Schutzziele

Wie bereits vorgestellt, gibt es drei klassische Schutzziele:

• Vertraulichkeit: Eine Ressource (bspw. eine Nachricht) soll nur von Befugten gelesen oder verändert werden können.
• Integrität: Es soll feststellbar sein, ob eine Ressource manipuliert wurde (bspw. Text in einer Nachricht wurde unbefugt geändert).
• Verfügbarkeit: Eine Ressource (bspw. ein Mailserver) soll grundsätzlich Benutzern zur Verfügung stehen, es sei denn, es wurden bspw. Wartungszeiträume vereinbart.

Daneben findet man häufig:

• Verbindlichkeit/Nicht-Abstreitbarkeit: Jemand kann nicht abstreiten, etwas getan zu haben. Beispiel: Der Verfasser einer Nachricht kann nicht abstreiten, dass genau er diese Nachricht geschrieben hat.
• Authentizitität/Vertrauenswürdigkeit: Die Echtheit und Glaubwürdigkeit einer Identität kann nachgewiesen werden. Beispiel: Der Empfänger einer Nachricht kann eindeutig feststellen, dass eine Nachricht von einem bestimmten und bekannten Absender kam.
• Abstreitbarkeit/Folgenlosigkeit: Dieses Ziel hebt das Ziel der Verbindlichkeit wieder auf. Es ist bedeutet, dass nicht nachgewiesen werden kann, dass jemand etwas Bestimmtes geschrieben hat. Das ist wichtig, da so niemand aufgrund dessen, was eins geschrieben hat, zu einer Strafe verurteilt werden kann.

Ein weiteres bekanntes Referenzmodell ist RMIAS^[1] (A Reference Model of Information Assurance & Security) von 2013, welches acht Schutzziele definiert. Neben den drei Schutzzielen des CIA-Modells beinhaltet dieses Modell noch Authentizität/Vertrauenswürdigkeit, Datenschutz, Nachvollziehbarkeit, Nicht-Abtreitbarkeit sowie Zurechenbarkeit.

Schutzziele sind notwendig, um klarer zu definieren, wie man „IT-Sicherheit“ als Gesamtziel erreicht. Jedes Schutzziel hat eine Definition, wodurch sich Maßnahmen zur Erreichung einzelner Schutzziele festlegen lassen. Je nach Szenario legt man ein oder mehrere Schutzziele fest, die erreicht werden sollen.

Beispiel: Normale E-Mail Bearbeiten

Im ersten Beispiel sendet Person A (Alice) an Person B (Bob) eine unverschlüsselte und unsignierte E-Mail. Dies ist der Normalfall.

Solange es keine durchgängige Transportverschlüsselung (und hier auch keine Ende-zu-Ende-Verschlüsselung) gibt und man davon ausgeht, dass die Nachricht zugestellt wird, ist nur das Schutzziel der Verfügbarkeit erfüllt. Jeder kann die E-Mail mitlesen und jeder kann sie verändern. Sofern Alice keine zusätzlichen Schutzmaßnahmen getroffen hat, kann der Angreifende (Eve) sich als Alice ausgeben.

Beispiel: E-Mail mit digitaler Signatur Bearbeiten

Im zweiten Beispiel signiert Alice ihre E-Mail, sendet diese aber unverschlüsselt an Bob. Zur Signierung benutzt sie ihren privaten Signaturschlüssel. Bob kann anhand des dazugehörigen öffentlichen Signaturschlüssels die Signatur überprüfen. Allerdings muss Bob vorher sicherstellen, dass dieser öffentliche Schlüssel auch wirklich Alice gehört.

Da immer noch jeder den Inhalt der E-Mail lesen kann, ist das Schutzziel Vertraulichkeit weiter nicht erfüllt. Allerdings können unbefugte Modifikationen festgestellt werden (Integrität erfüllt). Auf die Verfügbarkeit hat eine Signatur keinerlei Auswirkungen. Alice kann nicht abstreiten, dass sie die Nachricht gesendet hat, da sie als einzige Person den privaten Signaturschlüssel besitzt. Bob kann auch die Authentizität der Nachricht überprüfen.

Beispiel: Verschlüsselte E-Mail mit digitaler Signatur Bearbeiten

Im dritten Beispiel wird die E-Mail von Alice an Bob nicht nur signiert, sondern auch verschlüsselt. Dazu nutzt Alice den öffentlichen Verschlüsselungsschlüssel von Bob, der als einzige Person den dazugehörigen privaten Schlüssel besitzt.

In diesem Fall bleiben die bei der Signatur erfüllten Schutzziele weiter erfüllt. Zusätzlich ist aber auch das Schutzziel der Vertraulichkeit erfüllt, da nur Bob die Nachricht entschlüsseln und lesen kann.

Aus den Beispielen lassen sich bereits einige Maßnahmen erkennen, wie man Schutzziele erfüllen kann. Daneben gibt es noch weitere Maßnahmen, die wir im Alltag nutzen:

• Vertraulichkeit: Verschlüsselung, Vergabe von Benutzerrechten (Lesezugriff)
• Integrität: Vergabe von Benutzerrechten (Schreibzugriff), Prüfsummen von Daten (Hashwerte)
• Verfügbarkeit: Anlegen von Backups, Bereithalten von redundanter Infrastruktur
• Verbindlichkeit/Nicht-Abstreitbarkeit: Logging im Zusammenhang mit Benutzerkonten, Digitale Signaturen
• Authentizitität/Vertrauenswürdigkeit: Nutzung von digitalen Signaturen und Zertifikaten, Biometrie

Diese Kurzübersicht ist selbstredend nicht vollständig. Wie auch bei den Schutzzielen muss der jeweils „korrekte Mix“ entwickelt werden.

Als Privatanwender ist es sinnvoll, sich mit einzelnen Schutzzielen auseinanderzusetzen. Beispielsweise kann ein seit 20 Jahren digital geführtes Fotoalbum der Familie durch einen Ausfall von Hardware dauerhaft verloren gehen, wenn nicht vorher Backups angelegt worden sind. Oder aber Bob überweist an einen Angreifer Geld, weil dieser Überweisungsdaten manipulieren konnte. Für Privatanwender ist das Schutzziel der Abstreitbarkeit wichtiger als das der Nicht-Abstreitbarkeit, da es nicht um öffentliche Prozesse wie das kollaborative Schreiben an Code geht.

1. ↑ RMIAS, PDF (2.3 MB)