IT-Sicherheit

Prof. (FH) Univ.-Doz. DI Dr. Ingrid Schaumüller-Bichl

Prof. (FH) Univ.-Doz. DI Dr. Ingrid Schaumüller-Bichl

Prof. (FH) Univ.-Doz. DI Dr. Ingrid Schaumüller-Bichl


Das Thema Privacy ist heute allgegenwärtig. Nie zuvor wurde so viel über den Schutz und die mögliche Gefährdung der Privatsphäre diskutiert wie heute.

Das ist nicht verwunderlich: Nie zuvor in der Geschichte der Menschheit war es möglich, so viele Informationen in so kurzer Zeit über ein Individuum zu sammeln. Ob Google, Facebook oder GPS – wir alle hinterlassen Spuren im Netz, und wir alle haben auf Knopfdruck mehr Informationen über andere zur Verfügung, als wir es uns noch vor wenigen Jahren hätten träumen lassen. Von gezielter Datensammlung durch Überwachungstechnologien, Vorratsdatenspeicherung oder Data Mining ganz zu schweigen.

Mit Sicherheit ist es notwendig, einen umfassenden wissenschaftlichen und gesellschaftlichen Diskurs darüber zu führen, wie wir mit dem Thema in Zukunft umgehen wollen. Im Spannungsfeld zwischen der persönlichen Freiheit des Einzelnen, dem Schutz der Privatsphäre und dem Schutz des Staates und des Gemeinwesens müssen die Interessen aller Beteiligten abgewogen werden. Es ist ein Konsens zu schaffen, der immer wieder neu zu diskutieren und den sich ändernden gesellschaftlichen Anforderungen anzupassen ist.

Wichtige Voraussetzungen für die Gewährleistung von Privacy sind die Schaffung von rechtlichen Rahmenbedingungen sowie auch die Förderung eines gesellschaftlichen Bewusstseins über diese Problematik. Doch Gesetze und Bewusstseinsbildung alleine reichen nicht aus, es braucht auch Techniken und Verfahren, die gesetzlichen und gesellschaftlichen Rahmenbedingungen in der Praxis umzusetzen. Dieser Artikel möchte aufzeigen, dass es heute bereits eine ganze Reihe technischer und organisatorischer Lösungen aus dem Bereich der Informations- und IT-Sicherheit gibt, die zur Sicherung der Privacy beitragen können. Zu erwähnen sind insbesondere:

Kryptographische Verfahren

Werden personenbezogene Daten gespeichert oder übertragen, so ist dafür zu sorgen, dass ihre Vertraulichkeit und Integrität gewährleistet werden. Hier bieten sich in erster Linie kryptographische Techniken an. Moderne Krypto-Algorithmen ermöglichen den Einsatz schneller, sicherer und kostengünstiger Verschlüsselungs- und Signaturverfahren und stellen damit eine wichtige technische Basis für den Schutz von persönlichen Daten dar. Weniger breit eingesetzt aber konzeptionell sehr interessant sind Verfahren wie Secret-Sharing-Techniques, bei denen Schlüsselkomponenten sicher auf eine definierte Anzahl von Instanzen aufgeteilt werden können, und Zero-Knowledge-Techniken. Die Verwendung von Chipkarten und neuen Technologien wie NFC ermöglicht, richtig eingesetzt, eine sichere und benutzerfreundliche Schlüsselspeicherung und -verwaltung.

Privacy Enhancing Technologies (PETs)

In den letzten Jahren wurden eine ganze Reihe spezieller Techniken zum Schutz der Privatsphäre entwickelt. Sie werden auch unter dem Namen “Privacy Enhancing Technologies” (PETs) zusammengefasst. PETs schützen Benutzeridentität und/oder personenbezogene Daten etwa durch Verfahren zur Anonymisierung, Pseudonymisierung, Unbeobachtbarkeit und „Unlinkability“ (keine Zuordnungsmöglichkeit für Angreifer zwischen Subjekten, Nachrichten und Ereignissen). Sie finden sich auf Kommunikations-, System- und Anwendungsebene. Zu den PETs zählen spezielle kryptographische Protokolle, wie etwa Blinde Signaturen und neue Verfahren wie MIX-Netze, DC-Netze, Onion Routing oder Dummy Traffic.

Sicherheitspolitiken und Zugriffskontrollmechanismen:

Personenbezogene Daten dürfen nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt sind. Daher ist es notwendig, zu definieren, welche Daten zu schützen sind, und wie. Empfehlenswert ist hierzu die Erstellung entsprechender Sicherheitspolitiken, eine Klassifikation von Daten und eine Richtlinie, wie mit diesen Daten umzu gehen ist (etwa verschlüsselte Übertragung, geschützte Speicherung, Löschung nach einer vorgegebenen Zeitspanne) sowie die Verwendung von geeigneten Zugriffskontroll- und Berechtigungssystemen.

Zertifizierte Informationssicherheit

Privacy kann nur gelingen, wenn in den Unternehmen, Behörden und auch auf privaten Rechnern bereits ein Grundniveau an Informationssicherheit gegeben ist. Informationssicherheit bedeutet den Schutz von allen Arten von Information, elektronisch gespeichert oder übertragen, gedruckt, gesprochen oder als Bild dargestellt. Als international akzeptierte gemeinsame Vorgabe hat sich hier in den letzten Jahren ISO/IEC 27001 “Information security management systems – Requirements” etabliert. Die Implementierung eines umfassenden Sicherheitsmanagementsystems (ISMS) trägt wesentlich zur Steigerung der Gesamtsicherheit einer Organisation bei und ist damit nicht zuletzt auch wichtige Basis für den Schutz von personenbezogenen Daten. Eine Zertifizierung des ISMS nach ISO/IEC 27001 dokumentiert auch nach außen, welche Bedeutung eine Organisation diesem Thema beimisst.

…auch für die Enduser

Ein wichtiger Aspekt ist auch die Schulung der Anwender, die sich mit dem Thema IT-Sicherheit beruflich oder privat befassen. Personenzertifizierungen wie etwa das OCG IT-Security Certificate for Users sind wichtige Grundlage für einen sicheren Umgang mit vernetzten IT-Systemen.

Resümee:

Der gesellschaftliche und wissenschaftliche Diskurs über den Schutz der Privatsphäre in unserer modernen Informationsgesellschaft, die Schaffung von gesetzlichen Rahmenbedingungen und der Einsatz von entsprechenden Sicherheitsmechanismen müssen Hand in Hand gehen. Umfassende Informationssicherheit ist dabei wesentliche Voraussetzung, die Vertraulichkeit und Integrität persönlicher Daten sicherzustellen. Auf diesen Maßnahmen aufbauend können spezielle Mechanismen – Privacy Enhancing Techniques – eingesetzt werden.

Über Prof. (FH) Univ.-Doz. DI Dr. Ingrid Schaumüller-Bichl
Dr. Ingrid Schaumüller-Bichl studierte Technische Mathematik an der Johannes Kepler Universität Linz.
Habilitation im Fach „Angewandte Informatik“ an der Universität Klagenfurt.
Schwerpunkte der beruflichen Tätigkeit:
Frau Dr. Schaumüller-Bichl ist seit mehr als 20 Jahren im Bereich Informationssicherheit in Forschung, Entwicklung und Consulting tätig. Nach mehreren Jahren als Leiterin der Entwicklung von Sicherheitssystemen in der Industrie und anschließend als selbständige Unternehmensberaterin für das Fachgebiet IT-Sicherheit mit umfangreicher  internationaler Forschungs-, Entwicklungs- und Vortragstätigkeit übernahm Dr. Schaumüller-Bichl 2006 eine  Professur für Sicherheits- und Risikomanagement an der FH OÖ Campus Hagenberg. Seit 2008 ist sie auch Vizedekanin für Forschung und Internationalisierung der Fakultät für Informatik, Kommunikation und Medien in Hagenberg. Dr. Schaumüller-Bichl ist Vizepräsidentin der OCG und Leiterin des OCG-Arbeitskreises IT-Sicherheit, Lehrbeauftragte an den Universitäten Linz und Krems sowie österreichische Repräsentantin in IFIP TC11. In den Jahren 2005 bis 2008 war sie Mitglied der Ad-hoc Working Group on Risk Assessment and Risk Management der Europäischen Netzwerk- und Informationssicherheitsagentur (ENISA). Als Mitglied des Rates für Forschung und Technologie Oberösterreich (RFT OÖ) sowie der ÖNORM-Arbeitsgruppe IT-Sicherheit arbeitet sie an der Gestaltung der künftigen Entwicklungen auf dem IT-Sektor.

Page 4 of 6« First...«23456»