Durch geeignete IT-Sicherheitsmaßnahmen muss sichergestellt werden können, dass eine textliche Äußerung auch dem Urheber der Äußerung rechtsverbindlich zugeordnet werden kann. Dabei ist es egal, ob es sich um einen Vertrag per E-Mail handelt oder um eine Hassrede in einem sozialen Medium. Gesetzlich ist die elektronische Form in § 126a BGB geregelt. Soll die elektronische Form die Schriftform ersetzen, muss das Dokument mit einer qualifizierten elektronischen Signatur im Sinne der eIDAS-Verordnung versehen werden.
Benutzbarkeit
Ist ein System so komplex in der Benutzung (oder auch nur in der Konfiguration), dass ein normaler Nutzer nicht mehr damit klarkommt, kann das System nicht sicher sein. Autos haben eine weitgehend herstellerunabhängige Nutzeroberfläche, das heißt, die Anordnung der Bedienelemente wie Lenkrad, Pedale oder Schalthebel sind so weit vereinheitlicht, dass man auch mit einem unbekannten Auto ganz gut zurechtkommt. Davon sind die Nutzeroberflächen in der IT noch weit entfernt.
Viele IT-Systeme werden in einem Zustand ausgeliefert, der keinen sicheren Betrieb zulässt. Die Sicherheitsfunktionen müssen erst eingeschaltet oder angepasst werden. Vielen Nutzerinnen fehlt jedoch das Wissen, diese Konfigurationen vorzunehmen. Der Anbieter hat auch eher ein Interesse an dem reibungslosen Funktionieren seiner Hard- oder Software als an der Sicherheit.
Microsoft Office 365 (Desktop-Komponenten) beziehungsweise Microsoft Office 2019/2021 kann über Gruppenrichtlinien konfiguriert und angepasst werden. Insgesamt gibt es in den entsprechenden Vorlagen von Microsoft (Version 5035.1000) 2898 Einstellungen, die Sie vornehmen können. Zum Glück sind nicht alle davon sicherheitsrelevant. Das BSI hat im September 2019 Empfehlungen für die sichere Konfiguration von Office 2013/2016/2019 herausgegeben. Insgesamt sind in diesen Empfehlungen immer noch 457 Einstellungen enthalten. Selbst die Umsetzung dieser doch schon deutlich weniger Einstellmöglichkeiten überfordert viele Nutzerinnen.
Typische wichtige Einstellmöglichkeiten, die im Unternehmen (und auch im Privatbereich) vorgenommen werden sollten:
Einschränkung der Übertragung von sogenannten Telemetriedaten (das sind Daten über Ihre Nutzung der Software) in Betriebssystemen und Anwendungen,
Festlegen der Firewall-Einstellungen in Routern und bei Betriebssystemen (insbesondere bei mobilen Geräten),
Sicherheitseinstellungen in Mail-Programmen und Browsern,
Deaktivieren nicht benötigter Dienste,
Deinstallation aller nicht benötigten Programme,
Änderung aller voreingestellten Passwörter.
Weitere Schutzziele
Häufig werden auch noch weitere Schutzziele betrachtet. Gebräuchliche weitere Schutzziele sind Compliance, Datenschutz, Qualität, Resilienz, Verbindlichkeit oder Zuverlässigkeit.
Eine Besonderheit stellen hier die Begriffe Compliance und Datenschutz dar. Beides sind eher rechtliche Konzepte. Compliance bedeutet die Einhaltung aller rechtlichen Vorgaben durch ein Unternehmen oder ein Individuum. Soweit Gesetze rechtliche Vorgaben zur IT-Sicherheit machen, ist das Thema Compliance, also die Einhaltung dieser Vorgaben, unmittelbar für die Informationssicherheit relevant. In Teil II dieses Buches werden wir uns die entsprechenden Gesetze näher anschauen. Darüber hinaus gibt es Gesetze, die indirekte Vorgaben machen. So bestehen zum Beispiel gesetzliche Aufbewahrungsfristen für Steuerunterlagen. Für die Dauer der Aufbewahrungspflicht muss die Informationssicherheit die Integrität und Verfügbarkeit der Unterlagen sicherstellen.
Datenschutz schützt die Betroffenen – das sind natürliche Personen – davor, dass ihre Rechte und Freiheiten durch die Verarbeitung ihrer Daten verletzt werden. Dabei macht die Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung, DS-GVO) auch Vorgaben zur Informationssicherheit, um dieses Schutzziel zu erreichen. Damit ist die Einhaltung des Datenschutzes für Unternehmen ein Aspekt der Compliance. Die konkreten technisch-organisatorischen Vorgaben, die sich aus der DS-GVO ergeben, betrachten wir im Kapitel 10 ausführlich.
Die übrigen Schutzziele lassen sich aus den drei grundlegenden Schutzzielen ableiten, sie bündeln zum Teil auch Aspekte unterschiedlicher Schutzziele.
Qualität und Zuverlässigkeit beschreiben sehr ähnliche Schutzziele. Dabei spielen sowohl Aspekte der Verfügbarkeit als auch der Integrität eine Rolle. Ein informationsverarbeitendes System ist zuverlässig und qualitativ hochwertig, wenn es nicht ausfällt (Verfügbarkeit) und die Informationen richtig sind (Integrität).
Resilienz beschreibt die Fähigkeit eines technischen Systems, bei einem Teilausfall nicht vollständig zu versagen. Robustheit, Belastbarkeit oder Widerstandsfähigkeit sind Begriffe, die »Resilienz« recht gut umschreiben. Resilienz ist auch ein spezieller Aspekt der Verfügbarkeit. Vorausschauend werden die Komponenten bei der Planung so gestaltet und dimensioniert, dass ein Teilversagen – gegebenenfalls auch nur mit verminderter Leistung – kompensiert werden kann.
Ein Automotor ist resilient, wenn er beim Ausfall einer Zündkerze mit verminderter Leistung weiter läuft. Nach dem Austausch der Zündkerze ist die volle Leistung wieder da.
Eine Fabrikhalle ist resilient, wenn Sie nach der Beschädigung eines Stützpfeilers durch einen Gabelstapler nicht einstürzt, da das Dach durch die anderen Pfeiler noch hinreichend getragen wird. Nach der Reparatur des beschädigten Pfeilers hat das Dach wieder die volle Belastbarkeit.
Kapitel 3
Bausteine der Informationssicherheit
IN DIESEM KAPITEL
Was ist ein Risiko?
Was muss wann gemeldet werden?
Was sind Sicherheitsstandards?
Wie funktioniert ein Audit?
In den rechtlichen Vorgaben sowohl zur Informationssicherheit als auch zum Datenschutz finden Sie sehr ähnliche Strukturen. Sie können vier Bausteine herausarbeiten, die in den rechtlichen Vorgaben immer wieder auftauchen:
Risikomanagement, zum Beispiel in § 8a Abs. 1 BSI-Gesetz, §§ 75b und 75c SGB V sowie Art. 25 und Art. 32 DS-GVO,
Meldepflichten bei Vorfällen, zum Beispiel in § 8b Abs. 4 BSI-Gesetz, §§ 168 und 169 TKG, Art. 14 NIS-Richtlinie und Art. 33f DS-GVO,
Einhaltung von Sicherheitsstandards, zum Beispiel in § 8, § 8a Abs. 2 und Abs. 5 BSI-Gesetz, §§ 75b und 75c SGB V, Art 16 NIS-Richtlinie sowie Art. 40 DS-GVO,
Nachweis der Einhaltung durch Audits, zum Beispiel in § 8a Abs. 3