Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBlog
Das CIA-Dreieck und seine Anwendung in der realen Welt

Das CIA-Dreieck und seine Anwendung in der realen Welt

Mar 26, 2019

Was ist das CIA-Dreieck?

Die Informationssicherheit dreht sich um die drei Schlüsselprinzipien: Vertraulichkeit, Integrität und Verfügbarkeit (CIA). Je nach Umgebung, Anwendung, Kontext oder Anwendungsfall könnte eines dieser Prinzipien wichtiger sein als die anderen. Zum Beispiel ist für eine Finanzagentur die Vertraulichkeit von Informationen von höchster Bedeutung, daher würde sie wahrscheinlich jedes klassifizierte Dokument, das elektronisch übertragen wird, verschlüsseln, um zu verhindern, dass unbefugte Personen dessen Inhalt lesen können. Andererseits würden Organisationen wie Internet-Marktplätze schwer beschädigt, wenn ihr Netzwerk für einen längeren Zeitraum außer Betrieb wäre, daher könnten sie sich auf Strategien konzentrieren, um eine hohe Verfügbarkeit über Bedenken bezüglich verschlüsselter Daten zu gewährleisten.

Vertraulichkeit

Vertraulichkeit zielt darauf ab, unbefugten Zugriff auf sensible Informationen zu verhindern. Der Zugriff kann absichtlich erfolgen, beispielsweise wenn ein Eindringling in das Netzwerk einbricht und die Informationen liest, oder unbeabsichtigt, aufgrund von Nachlässigkeit oder Inkompetenz der Personen, die mit den Informationen umgehen. Die zwei Hauptmethoden, um Vertraulichkeit zu gewährleisten, sind Kryptographie und Zugriffskontrolle.

Sorgfältig ausgewählte verwandte Inhalte

Kryptographie

Verschlüsselung hilft Organisationen dabei, die Anforderung zu erfüllen, Informationen sowohl vor versehentlicher Offenlegung als auch vor internen und externen Angriffsversuchen zu schützen. Die Wirksamkeit eines kryptografischen Systems, um unbefugte Entschlüsselung zu verhindern, wird als seine Stärke bezeichnet. Ein starkes kryptografisches System ist schwer zu knacken. Stärke kann auch als Arbeitsfaktor ausgedrückt werden, der eine Schätzung der Zeit und des Aufwands darstellt, die notwendig wären, um ein System zu brechen.

Ein System gilt als schwach, wenn es schwache Schlüssel zulässt, Mängel im Design aufweist oder leicht entschlüsselt werden kann. Viele der heute verfügbaren Systeme sind für geschäftliche und private Anwendungen mehr als ausreichend, aber für sensible militärische oder staatliche Anwendungen unzureichend. Kryptographie verfügt über symmetrische und asymmetrische Algorithmen.

Symmetrische Algorithmen

Symmetrische Algorithmen erfordern, dass sowohl der Sender als auch der Empfänger einer verschlüsselten Nachricht denselben Schlüssel und dieselben Verarbeitungsalgorithmen haben. Symmetrische Algorithmen erzeugen einen symmetrischen Schlüssel (manchmal auch Geheimschlüssel oder privater Schlüssel genannt), der geschützt werden muss; geht der Schlüssel verloren oder wird er gestohlen, ist die Sicherheit des Systems gefährdet. Hier sind einige der gängigen Standards für symmetrische Algorithmen:

  • Data Encryption Standard (DES). DES wird seit Mitte der 1970er Jahre verwendet. Jahrelang war es der primäre Standard in Regierung und Industrie, aber heute gilt es aufgrund seiner kleinen Schlüsselgröße als unsicher – es erzeugt einen 64-Bit-Schlüssel, aber acht dieser Bits dienen nur der Fehlerkorrektur und nur 56 Bits sind der eigentliche Schlüssel. Heute ist AES der primäre Standard.
  • Triple-DES (3DES). 3DES ist eine technologische Weiterentwicklung von DES. 3DES wird immer noch verwendet, obwohl AES für Regierungsanwendungen die bevorzugte Wahl ist. 3DES ist erheblich schwerer zu brechen als viele andere Systeme und sicherer als DES. Es erhöht die Schlüssellänge auf 168 Bits (unter Verwendung von drei 56-Bit-DES-Schlüsseln).
  • Advanced Encryption Standard (AES). AES hat DES als den von US-Behörden verwendeten Standard abgelöst. Es verwendet den Rijndael-Algorithmus, benannt nach seinen Entwicklern, Joan Daemen und Vincent Rijmen. AES unterstützt Schlüsselgrößen von 128, 192 und 256 Bits, wobei 128 Bits der Standard sind.
  • Ron’s Cipher oder Ron’s Code (RC). RC ist eine von RSA-Laboren produzierte Verschlüsselungsfamilie, benannt nach ihrem Autor Ron Rivest. Die aktuellen Stufen sind RC4, RC5 und RC6. RC5 verwendet eine Schlüsselgröße von bis zu 2.048 Bits; es gilt als ein starkes System. RC4 ist beliebt bei drahtloser und WEP/WPA-Verschlüsselung. Es ist eine Stream-Chiffre, die mit Schlüsselgrößen zwischen 40 und 2.048 Bits arbeitet und in SSL und TLS verwendet wird. Es ist auch beliebt bei Dienstprogrammen; sie verwenden es für das Herunterladen von Torrent-Dateien. Viele Anbieter beschränken den Download dieser Dateien, aber die Verwendung von RC4, um den Header und den Stream zu verschleiern, macht es für den Dienstanbieter schwieriger zu erkennen, dass es sich um Torrent-Dateien handelt, die bewegt werden.
  • Blowfish und Twofish. Blowfish ist ein von einem Team unter der Leitung von Bruce Schneier erfundenes Verschlüsselungssystem, das eine 64-Bit-Blockchiffre mit sehr hoher Geschwindigkeit durchführt. Es handelt sich um eine symmetrische Blockchiffre, die variable Schlüssellängen (von 32 Bits bis 448 Bits) verwenden kann. Twofish ist recht ähnlich, arbeitet jedoch mit 128-Bit-Blöcken. Sein besonderes Merkmal ist, dass es einen komplexen Schlüsselzeitplan hat.
  • International Data Encryption Algorithm (IDEA). IDEA wurde von einem Schweizer Konsortium entwickelt und verwendet einen 128-Bit-Schlüssel. Dieses Produkt ist in Geschwindigkeit und Fähigkeit dem DES ähnlich, aber es ist sicherer. IDEA wird in Pretty Good Privacy (PGP), einem öffentlichen Verschlüsselungssystem, das viele Menschen für E-Mails verwenden, eingesetzt.
  • Einmalschlüssel. Einmalschlüssel sind die einzigen wahrhaft vollkommen sicheren kryptografischen Implementierungen. Sie sind aus zwei Gründen so sicher. Erstens verwenden sie einen Schlüssel, der genauso lang ist wie eine Klartextnachricht. Das bedeutet, dass es kein Muster in der Schlüsselanwendung gibt, das ein Angreifer nutzen könnte. Zweitens werden Einmalschlüssel nur einmal verwendet und dann verworfen. Selbst wenn man also einen Einmalschlüssel-Code brechen könnte, würde derselbe Schlüssel nie wieder verwendet werden, sodass das Wissen um den Schlüssel nutzlos wäre.

Asymmetrische Algorithmen

Asymmetrische Algorithmen verwenden zwei Schlüssel: einen öffentlichen Schlüssel und einen privaten Schlüssel. Der Sender verwendet den öffentlichen Schlüssel, um eine Nachricht zu verschlüsseln, und der Empfänger verwendet den privaten Schlüssel, um sie zu entschlüsseln. Der öffentliche Schlüssel kann wirklich öffentlich sein oder er kann ein Geheimnis zwischen den beiden Parteien sein. Der private Schlüssel jedoch wird privat gehalten; nur der Besitzer (Empfänger) kennt ihn. Wenn jemand Ihnen eine verschlüsselte Nachricht senden möchte, kann er Ihren öffentlichen Schlüssel verwenden, um die Nachricht zu verschlüsseln und Ihnen dann die Nachricht zu senden. Sie können Ihren privaten Schlüssel verwenden, um die Nachricht zu entschlüsseln. Wenn beide Schlüssel einer dritten Partei zur Verfügung stehen, wird das Verschlüsselungssystem die Privatsphäre der Nachricht nicht schützen. Die eigentliche „Magie“ dieser Systeme ist, dass der öffentliche Schlüssel nicht verwendet werden kann, um eine Nachricht zu entschlüsseln. Wenn Bob Alice eine Nachricht sendet, die mit Alices öffentlichem Schlüssel verschlüsselt ist, spielt es keine Rolle, ob jeder andere auf der Erde Alices öffentlichen Schlüssel hat, da dieser Schlüssel die Nachricht nicht entschlüsseln kann. Hier sind einige der gängigen Standards für asymmetrische Algorithmen:

  • RSA. RSA ist nach seinen Erfindern Ron Rivest, Adi Shamir und Leonard Adleman benannt. Der RSA-Algorithmus ist ein frühes öffentliches Schlüsselverschlüsselungssystem, das große Ganzzahlen als Grundlage für den Prozess verwendet. Es ist weit verbreitet und hat sich als de facto Standard etabliert. RSA funktioniert sowohl mit Verschlüsselung als auch mit digitalen Signaturen. RSA wird in vielen Umgebungen eingesetzt, einschließlich Secure Sockets Layer (SSL), und kann für key exchange verwendet werden.
  • Diffie-Hellman. Whitfield Diffie und Martin Hellman gelten als die Begründer des Konzepts von öffentlichen/privaten Schlüsseln. Ihr Diffie-Hellman-Algorithmus wird hauptsächlich dazu verwendet, einen gemeinsamen geheimen Schlüssel über öffentliche Netzwerke zu generieren. Der Prozess wird nicht zum Verschlüsseln oder Entschlüsseln von Nachrichten verwendet; er dient lediglich der Erstellung eines symmetrischen Schlüssels zwischen zwei Parteien.
  • Elliptic Curve Cryptography (ECC). ECC bietet eine Funktionalität ähnlich wie RSA, verwendet jedoch kleinere Schlüsselgrößen, um das gleiche Sicherheitsniveau zu erreichen. ECC-Verschlüsselungssysteme basieren auf der Idee, Punkte auf einer Kurve zusammen mit einem Punkt im Unendlichen zu verwenden und der Schwierigkeit, diskrete Logarithmusprobleme zu lösen.

Zugriffskontrolle

Verschlüsselung ist eine Methode, um Vertraulichkeit zu gewährleisten; eine zweite Methode ist die Zugriffskontrolle. Es gibt verschiedene Ansätze zur Zugriffskontrolle, die zur Wahrung der Vertraulichkeit beitragen, jeder mit seinen eigenen Stärken und Schwächen:

  • Zwingende Zugriffskontrolle (MAC). In einer MAC-Umgebung sind alle Zugriffsberechtigungen vordefiniert. Benutzer können Informationen nicht teilen, es sei denn, ihre Rechte dazu werden von Administratoren festgelegt. Folglich müssen Administratoren alle notwendigen Änderungen an diesen Rechten vornehmen. Dieser Prozess erzwingt ein starres Sicherheitsmodell. Es gilt jedoch auch als das sicherste Modell der Cybersicherheit.
  • Discretionary Access Control (DAC). In einem DAC-Modell können Benutzer Informationen dynamisch mit anderen Benutzern teilen. Die Methode ermöglicht eine flexiblere Umgebung, erhöht jedoch das Risiko einer unbefugten Offenlegung von Informationen. Administratoren haben es schwerer sicherzustellen, dass nur angemessene Benutzer auf Daten zugreifen können.
  • Rollenbasierte Zugriffskontrolle (RBAC). Die rollenbasierte Zugriffskontrolle implementiert den Zugang basierend auf der Arbeitsfunktion oder Verantwortlichkeit. Jeder Mitarbeiter hat eine oder mehrere Rollen, die den Zugang zu bestimmten Informationen erlauben. Wechselt eine Person von einer Rolle in eine andere, wird der Zugang der vorherigen Rolle nicht mehr verfügbar sein. RBAC-Modelle bieten mehr Flexibilität als das MAC-Modell und weniger Flexibilität als das DAC-Modell. Sie haben jedoch den Vorteil, dass sie streng auf der Arbeitsfunktion basieren, im Gegensatz zu individuellen Bedürfnissen.
  • Regelbasierte Zugriffskontrolle (RBAC). Regelbasierte Zugriffskontrolle verwendet die Einstellungen in vorkonfigurierten Sicherheitsrichtlinien, um Entscheidungen über den Zugriff zu treffen. Diese Regeln können eingerichtet werden, um:
    • Verweigern Sie allen den Zugriff, außer denen, die ausdrücklich auf einer Liste stehen (einer Zugriffs-Erlaubnisliste)
    • Verweigern Sie nur denjenigen, die ausdrücklich auf der Liste erscheinen (eine echte Zugriffsverweigerungsliste)

Einträge in der Liste können Benutzernamen, IP-Adressen, Hostnamen oder sogar Domänen sein. Regelbasierte Modelle werden oft in Verbindung mit rollenbasierten Modellen verwendet, um die beste Kombination aus Sicherheit und Flexibilität zu erreichen.

  • Attributbasierte Zugriffskontrolle (ABAC). ABAC ist eine relativ neue Methode der Zugriffskontrolle, die in NIST 800-162, Attribute Based Control Definition and Considerations, definiert ist. Es handelt sich um eine logische Zugriffskontrollmethodik, bei der die Autorisierung zur Durchführung eines Satzes von Operationen durch die Auswertung von Attributen bestimmt wird, die mit dem Subjekt, Objekt, den angeforderten Operationen und in einigen Fällen den Umgebungsbedingungen verbunden sind, gegenüber security policy, Regeln oder Beziehungen, die die zulässigen Operationen für eine gegebene Attributmenge beschreiben.
  • Smartcards werden üblicherweise für Zugangskontrolle und Sicherheitszwecke verwendet. Die Karte selbst enthält normalerweise eine kleine Menge an Speicher, der dazu genutzt werden kann, Berechtigungen und Zugangsinformationen zu speichern.
  • Ein Sicherheitstoken war ursprünglich ein Hardwaregerät, das für den Zugang erforderlich war, wie eine drahtlose Schlüsselkarte oder ein Schlüsselanhänger. Heutzutage gibt es auch Softwareimplementierungen von Token. Token enthalten oft ein digitales Zertifikat, das zur Authentifizierung des Benutzers verwendet wird.

Integrität

Integrität verfolgt drei Ziele, die dabei helfen, Data Security zu erreichen:

  • Verhinderung der Modifikation von Informationen durch unbefugte Benutzer
  • Verhinderung der unbefugten oder unbeabsichtigten Modifikation von Informationen durch autorisierte Benutzer
  • Wahrung der internen und externen Konsistenz:
    • Interne Konsistenz — Stellt sicher, dass die Daten intern konsistent sind. Zum Beispiel muss in einer Organisationsdatenbank die Gesamtanzahl der von einer Organisation besessenen Gegenstände der Summe der gleichen Gegenstände entsprechen, die in der Datenbank als von jedem Element der Organisation gehalten angezeigt werden.
    • Externe Konsistenz — Stellt sicher, dass die in der Datenbank gespeicherten Daten mit der realen Welt übereinstimmen. Zum Beispiel muss die Gesamtanzahl der physisch im Regal befindlichen Artikel mit der Gesamtanzahl der Artikel übereinstimmen, die von der Datenbank angegeben wird.

Verschiedene Verschlüsselungsmethoden können dabei helfen, die Integrität zu gewährleisten, indem sie sicherstellen, dass eine Nachricht während der Übertragung nicht verändert wurde. Eine Modifikation könnte eine Nachricht unverständlich machen oder, noch schlimmer, ungenau. Stellen Sie sich die schwerwiegenden Konsequenzen vor, wenn Änderungen an medizinischen Unterlagen oder Medikamentenverschreibungen nicht entdeckt würden. Wenn eine Nachricht manipuliert wird, sollte das Verschlüsselungssystem einen Mechanismus haben, um anzuzeigen, dass die Nachricht beschädigt oder verändert wurde.

Hashing

Die Integrität kann auch mit einem Hash-Algorithmus überprüft werden. Im Wesentlichen wird ein Hash des Nachrichteninhalts erstellt und an das Ende der Nachricht angehängt. Die empfangende Partei berechnet den Hash der erhaltenen Nachricht und vergleicht ihn mit dem erhaltenen Hash. Wenn sich auf dem Übertragungsweg etwas verändert hat, werden die Hashes nicht übereinstimmen.

Hashing ist eine akzeptable Integritätsprüfung für viele Situationen. Wenn jedoch eine abfangende Partei eine Nachricht absichtlich verändern möchte und die Nachricht nicht verschlüsselt ist, dann ist ein Hash unwirksam. Die abfangende Partei kann zum Beispiel sehen, dass eine 160-Bit-Hash an die Nachricht angehängt ist, was darauf hindeutet, dass sie mit SHA-1 erzeugt wurde (welches unten diskutiert wird). Dann kann der Abfänger einfach die Nachricht nach Belieben ändern, den ursprünglichen SHA-1-Hash löschen und einen Hash aus der veränderten Nachricht neu berechnen.

Hashing-Algorithmen

Die Hashes, die zur Datenspeicherung verwendet werden, unterscheiden sich stark von kryptografischen Hashes. In der Kryptografie muss eine Hash-Funktion drei Eigenschaften haben:

  1. Es muss einseitig sein. Wenn Sie etwas hashen, können Sie es nicht rückgängig machen.
  2. Eingaben variabler Länge erzeugen Ausgaben fester Länge. Ob Sie zwei Zeichen oder zwei Millionen hashen, die Hashgröße bleibt gleich.
  3. Der Algorithmus muss wenige oder keine Kollisionen aufweisen. Das Hashen zweier unterschiedlicher Eingaben ergibt nicht denselben Ausgang.

Hier sind Hash-Algorithmen und verwandte Konzepte, mit denen Sie vertraut sein sollten:

  • Secure Hash Algorithm (SHA). Ursprünglich unter dem Namen Keccak bekannt, wurde SHA von Guido Bertoni, Joan Daemen, Michaël Peeters und Gilles Van Assche entworfen. SHA-1 ist eine Einweg-Hashfunktion, die einen 160-Bit-Hashwert liefert, der mit einem Verschlüsselungsprotokoll verwendet werden kann. Im Jahr 2016 wurden Probleme mit SHA-1 entdeckt; es wird nun empfohlen, stattdessen SHA-2 zu verwenden. SHA-2 kann Hashwerte mit 224, 256, 334 und 512 Bit erzeugen. Mit SHA-2 sind keine Probleme bekannt, daher ist es immer noch der am weitesten verbreitete und empfohlene Hash-Algorithmus. SHA-3 wurde 2012 veröffentlicht und ist weit anwendbar, aber nicht weit verbreitet. Dies liegt nicht an Problemen mit SHA-3, sondern daran, dass SHA-2 völlig ausreichend ist.
  • Message Digest Algorithm (MD). MD ist ein weiterer Einweg-Hash, der einen Hashwert erzeugt, der dazu dient, die Integrität zu wahren. Es gibt mehrere Versionen von MD; die gängigsten sind MD5, MD4 und MD2. MD5 ist die neueste Version des Algorithmus; er produziert einen 128-Bit-Hash. Obwohl er komplexer als seine MD-Vorgänger ist und eine höhere Sicherheit bietet, hat er keine starke Kollisionsresistenz und wird daher nicht mehr zur Verwendung empfohlen. SHA (2 oder 3) sind die empfohlenen Alternativen.
  • RACE Integrity Primitives Evaluation Message Digest (RIPEMD). RIPEMD basierte auf MD4. Es gab Fragen bezüglich seiner Sicherheit, und es wurde durch RIPEMD-160 ersetzt, das 160 Bits verwendet. Es gibt auch Versionen, die 256 und 320 Bits verwenden (RIPEMD-256 und RIPEMD-320).
  • GOST ist eine symmetrische Chiffre, die in der alten Sowjetunion entwickelt wurde und modifiziert wurde, um als Hash-Funktion zu arbeiten. GOST verarbeitet eine Nachricht variabler Länge in einen Ausgang fester Länge von 256 Bits.
  • Vor der Veröffentlichung von Windows NT verwendete Microsofts Betriebssysteme das LANMAN-Protokoll zur Authentifizierung. Obwohl es nur als Authentifizierungsprotokoll fungierte, verwendete LANMAN den LM-Hash und zwei DES-Schlüssel. Es wurde mit der Veröffentlichung von Windows NT durch den NT LAN Manager (NTLM) ersetzt.
  • Microsoft ersetzte das LANMAN-Protokoll durch NTLM (NT LAN Manager) mit der Veröffentlichung von Windows NT. NTLM verwendet MD4/MD5-Hash-Algorithmen. Es existieren mehrere Versionen dieses Protokolls (NTLMv1 und NTLMv2), und es wird trotz der Tatsache, dass Microsoft Kerberos als bevorzugtes Authentifizierungsprotokoll benannt hat, immer noch weit verbreitet eingesetzt. Obwohl LANMAN und NTLM beide Hashing verwenden, werden sie hauptsächlich zu Authentifizierungszwecken eingesetzt.
  • Eine gängige Methode zur Überprüfung der Integrität besteht darin, dem Nachricht eine Nachrichtenauthentifizierungscode (MAC) hinzuzufügen. Ein MAC wird berechnet, indem ein symmetrisches Verschlüsselungsverfahren im Cipher Block Chaining-Modus (CBC) verwendet wird, wobei nur der letzte Block erzeugt wird. Im Wesentlichen wird das Ergebnis des CBC wie das Ergebnis eines Hash-Algorithmus verwendet. Im Gegensatz zu einem Hash-Algorithmus benötigt der Verschlüsselungsalgorithmus jedoch einen symmetrischen Schlüssel, der im Voraus zwischen den beiden Parteien ausgetauscht wird.
  • HMAC (Hash-basierte Nachrichtenauthentifizierungscodes) verwendet einen Hash-Algorithmus zusammen mit einem symmetrischen Schlüssel. So vereinbaren zum Beispiel zwei Parteien die Verwendung eines MD5-Hashs. Nachdem der Hash berechnet wurde, wird er exklusiv ODER-verknüpft (XOR) mit dem Digest, und dieser resultierende Wert ist der HMAC.

Baseline

Das Festlegen einer Basislinie (Konfiguration, Basislinie, Systembasislinie, Aktivitätsbasislinie) ist eine wichtige Strategie für secure networking. Im Wesentlichen finden Sie eine Basislinie, die Sie für ein gegebenes System, einen Computer, eine Anwendung oder einen Dienst als sicher erachten. Sicherlich ist absolute Sicherheit nicht möglich – das Ziel ist sicher genug, basierend auf den Sicherheitsbedürfnissen und dem Risikoappetit Ihrer Organisation. Jede Änderung kann mit der Basislinie verglichen werden, um zu sehen, ob die Änderung sicher genug ist. Sobald eine Basislinie definiert ist, besteht der nächste Schritt darin, das System zu überwachen, um sicherzustellen, dass es nicht von dieser Basislinie abgewichen ist. Dieser Prozess wird als Integritätsmessung definiert.

Verfügbarkeit

Verfügbarkeit stellt sicher, dass autorisierte Benutzer eines Systems zeitnah und ununterbrochen Zugang zu den Informationen im System und zum Netzwerk haben. Hier sind die Methoden, um Verfügbarkeit zu erreichen:

  • Distributive Zuweisung. Auch bekannt als Lastverteilung, ermöglicht die distributive Zuweisung die Verteilung der Last (Dateianfragen, Datenrouting usw.), sodass kein Gerät übermäßig belastet wird.
  • Hohe Verfügbarkeit (HA). Hohe Verfügbarkeit bezieht sich auf Maßnahmen, die dazu dienen, Dienste und Informationssysteme während eines Ausfalls betriebsbereit zu halten. Das Ziel von HA ist es oft, wichtige Dienste 99,999 Prozent der Zeit verfügbar zu haben (bekannt als „Five Nines“ Verfügbarkeit). HA-Strategien umfassen Redundanz und Failover, die nachfolgend besprochen werden.
  • Redundanz. Redundanz bezieht sich auf Systeme, die entweder dupliziert sind oder im Falle einer Fehlfunktion auf andere Systeme umschalten. Failover bezeichnet den Prozess des Wiederaufbaus eines Systems oder des Umschaltens auf andere Systeme, wenn ein Fehler erkannt wird. Im Falle eines Servers schaltet der Server bei einer erkannten Störung auf einen redundanten Server um. Diese Strategie ermöglicht es, den Dienst ununterbrochen fortzusetzen, bis der primäre Server wiederhergestellt werden kann. Im Falle eines Netzwerks bedeutet dies, dass die Verarbeitung im Falle eines Netzwerkausfalls im primären Pfad auf einen anderen Netzwerkpfad umschaltet.
    Failover-Systeme können teuer in der Implementierung sein. In einem großen Unternehmensnetzwerk oder E-Commerce-Umfeld kann ein Failover den gesamten Verarbeitungsprozess auf einen entfernten Standort umschalten, bis Ihre primäre Einrichtung wieder betriebsbereit ist. Die primäre und die entfernte Stelle würden Daten synchronisieren, um sicherzustellen, dass die Informationen so aktuell wie möglich sind.
    Viele Betriebssysteme, wie Linux, Windows Server und Novell Open Enterprise Server, sind in der Lage, Cluster zu bilden, um Failover-Fähigkeiten zu bieten. Clustering beinhaltet mehrere Systeme, die zusammen verbunden sind (was Lastverteilung bietet) und so vernetzt sind, dass, wenn eines der Systeme ausfällt, die anderen Systeme die Arbeit übernehmen und weiterhin funktionieren. Die Gesamtleistung des Serverclusters kann abnehmen, aber das Netzwerk oder der Dienst bleibt betriebsbereit. Um die Schönheit des Clusterings zu würdigen, bedenken Sie, dass dies die Technologie ist, auf der Google aufgebaut ist. Clustering ermöglicht Ihnen nicht nur Redundanz, sondern bietet Ihnen auch die Möglichkeit, mit steigender Nachfrage zu skalieren.
    Die meisten ISPs und Netzwerkanbieter verfügen über umfangreiche interne Failover-Fähigkeiten, um eine hohe Verfügbarkeit für Kunden zu gewährleisten. Geschäftskunden und Mitarbeiter, die keinen Zugang zu Informationen oder Diensten haben, verlieren oft das Vertrauen.
    Der Kompromiss für Zuverlässigkeit und Vertrauenswürdigkeit ist natürlich der Preis: Failover-Systeme können prohibitiv teuer werden. Sie müssen Ihre Bedürfnisse sorgfältig prüfen, um festzustellen, ob Ihr System diese Fähigkeit benötigt. Wenn beispielsweise Ihre Umgebung ein hohes Maß an Verfügbarkeit erfordert, sollten Ihre Server geclustert sein. Dies ermöglicht es den anderen Servern im Netzwerk, die Last zu übernehmen, wenn einer der Server im Cluster ausfällt.
  • Fehlertoleranz. Fehlertoleranz ist die Fähigkeit eines Systems, den Betrieb im Falle eines Komponentenausfalls aufrechtzuerhalten. Fehlertolerante Systeme können weiterhin funktionieren, auch wenn eine kritische Komponente, wie eine Festplatte, ausgefallen ist. Diese Fähigkeit beinhaltet das Überdimensionieren von Systemen durch Hinzufügen redundanter Komponenten und Subsysteme, um das Risiko von Ausfallzeiten zu verringern. Beispielsweise kann Fehlertoleranz in einen Server eingebaut werden, indem eine zweite Stromversorgung, ein zweiter CPU und andere Schlüsselkomponenten hinzugefügt werden. Die meisten Hersteller (wie HP, Sun und IBM) bieten fehlertolerante Server an; sie verfügen in der Regel über mehrere Prozessoren, die automatisch übernehmen, wenn eine Fehlfunktion auftritt.
    Es gibt zwei Schlüsselkomponenten der Fehlertoleranz, die Sie niemals außer Acht lassen sollten: Ersatzteile und elektrische Energie. Ersatzteile sollten immer sofort verfügbar sein, um jede systemkritische Komponente zu reparieren, falls sie ausfällt. Die Redundanzstrategie „N+1“ bedeutet, dass Sie die Anzahl der Komponenten haben, die Sie benötigen, plus eine, um sie in jedes System einzufügen, sollte es benötigt werden. Da Computersysteme ohne elektrische Energie nicht betrieben werden können, ist es unerlässlich, dass Fehlertoleranz auch in Ihre elektrische Infrastruktur eingebaut wird. Mindestens sollte jede Server- und Arbeitsstation von einer unterbrechungsfreien Stromversorgung (USV) mit Überspannungsschutz begleitet werden. Diese USV sollte für die Last, die sie im Falle eines Stromausfalls tragen soll (unter Berücksichtigung des Computers, des Monitors und aller anderen angeschlossenen Geräte), ausgelegt sein und regelmäßig als Teil Ihrer vorbeugenden Wartungsroutine überprüft werden, um sicherzustellen, dass die Batterie funktionsfähig ist. Sie müssen die Batterie alle paar Jahre austauschen, um die USV betriebsbereit zu halten.
    Eine USV ermöglicht es Ihnen, für nur kurze Zeit im Falle eines Stromausfalls weiter zu funktionieren. Für Fehlertoleranz bei länger andauernden Situationen benötigen Sie einen Notstromgenerator. Notstromgeneratoren laufen mit Benzin, Propan, Erdgas oder Diesel und erzeugen den benötigten Strom, um eine konstante Versorgung zu gewährleisten. Obwohl einige Notstromgeneratoren sofort bei einem Stromausfall anspringen können, benötigen die meisten eine kurze Aufwärmzeit, bevor sie eine konstante Leistung liefern können. Daher werden Sie feststellen, dass Sie in Ihrer Organisation dennoch USVs implementieren müssen.
  • Redundant Array of Independent Disks (RAID). RAID ist eine Technologie, die mehrere Festplatten verwendet, um Fehlertoleranz zu bieten. Es gibt mehrere RAID-Level: RAID 0 (gestreifte Disks), RAID 1 (gespiegelte Disks), RAID 3 oder 4 (gestreifte Disks mit dedizierter Parität), RAID 5 (gestreifte Disks mit verteilter Parität), RAID 6 (gestreifte Disks mit doppelter Parität), RAID 1+0 (oder 10) und RAID 0+1. Mehr darüber können Sie in dieser Liste der Data Security best practices lesen.
  • Notfallwiederherstellungsplan (DR). Ein Notfallwiederherstellungsplan hilft einer Organisation, effektiv zu reagieren, wenn ein Desaster eintritt. Zu den Katastrophen gehören Systemausfälle, Netzwerkausfälle, Infrastrukturausfälle und Naturkatastrophen wie Hurrikane und Erdbeben. Ein DR-Plan definiert Methoden, um Dienste so schnell wie möglich wiederherzustellen und die Organisation im Falle einer Katastrophe vor inakzeptablen Verlusten zu schützen.
    In einer kleineren Organisation kann ein Notfallwiederherstellungsplan relativ einfach und unkompliziert sein. In einer größeren Organisation könnte er mehrere Einrichtungen, unternehmensstrategische Pläne und ganze Abteilungen umfassen.
    Ein Notfallwiederherstellungsplan sollte den Zugang zu Informationen und deren Speicherung ansprechen. Ihr Backup-Plan für sensible Daten ist ein integraler Bestandteil dieses Prozesses.

F.A.Q.

Was sind die Komponenten des CIA-Dreiecks?

  • Vertraulichkeit: Systeme und Daten sind nur für autorisierte Benutzer zugänglich.
  • Integrität: Systeme und Daten sind korrekt und vollständig.
  • Verfügbarkeit: Systeme und Daten sind zugänglich, wenn sie benötigt werden.

Warum ist das CIA-Triad für die Datensicherheit wichtig?

Das oberste Ziel der Datensicherheit besteht darin, Vertraulichkeit, Integrität und Verfügbarkeit kritischer und sensibler Daten zu gewährleisten. Die Anwendung der Prinzipien des CIA-Triade hilft Organisationen dabei, ein wirksames Sicherheitsprogramm zum Schutz ihrer wertvollen Vermögenswerte zu erstellen.

Wie kann das CIA-Triad im Risikomanagement angewendet werden?

Während Risikobewertungen messen Organisationen die Risiken, Bedrohungen und Schwachstellen, die die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Systeme und Daten gefährden könnten. Durch die Implementierung von Sicherheitskontrollen zur Minderung dieser Risiken erfüllen sie eines oder mehrere der grundlegenden Prinzipien des CIA-Triaden.

Wie kann die Vertraulichkeit von Daten kompromittiert werden?

Vertraulichkeit erfordert die Verhinderung von unbefugtem Zugriff auf sensible Informationen. Der Zugriff könnte absichtlich erfolgen, beispielsweise wenn ein Eindringling in das Netzwerk einbricht und die Informationen liest, oder unbeabsichtigt, aufgrund von Nachlässigkeit oder Inkompetenz der Personen, die mit den Informationen umgehen.

Welche Maßnahmen können dazu beitragen, die Vertraulichkeit von Daten zu bewahren?

Eine bewährte Methode zum Schutz von Datenvertraulichkeit besteht darin, alle sensiblen und regulierten Daten zu verschlüsseln. Niemand kann den Inhalt eines verschlüsselten Dokuments lesen, es sei denn, er verfügt über den Entschlüsselungsschlüssel, sodass Verschlüsselung sowohl vor böswilligen als auch vor unbeabsichtigten Kompromissen der Vertraulichkeit schützt.

Wie kann die Datenintegrität beeinträchtigt werden?

Die Datenintegrität kann sowohl durch menschliche Fehler als auch durch Cyberangriffe wie destruktive Malware und Ransomware beeinträchtigt werden.

Welche Maßnahmen können dazu beitragen, die Datenintegrität zu bewahren?

Um die Datenintegrität zu bewahren, müssen Sie folgendes tun:

  • Verhindern Sie Änderungen an Daten durch unbefugte Benutzer
  • Verhindern Sie unbefugte oder unbeabsichtigte Änderungen an Daten durch autorisierte Benutzer
  • Stellen Sie die Genauigkeit und Konsistenz der Daten durch Prozesse wie Fehlerprüfung und Datenvalidierung sicher

Eine wertvolle bewährte Methode zur Sicherstellung der Datenrichtigkeit ist file integrity monitoring (FIM). FIM hilft Organisationen, unangemessene Änderungen an kritischen Dateien auf ihren Systemen zu erkennen, indem alle Versuche, auf Dateien und Ordner mit sensiblen Informationen zuzugreifen oder diese zu ändern, überwacht und überprüft werden, ob diese Aktionen autorisiert sind.

Wie kann die Verfügbarkeit von Daten beeinträchtigt werden?

Bedrohungen für die Verfügbarkeit umfassen Infrastrukturausfälle wie Netzwerk- oder Hardwareprobleme; ungeplante Software-Ausfallzeiten; Überlastung der Infrastruktur; Stromausfälle; und Cyberangriffe wie DDoS- oder Ransomware-Angriffe.

Welche Maßnahmen können dazu beitragen, die Verfügbarkeit von Daten zu erhalten?

Es ist wichtig, Schutzmaßnahmen gegen Unterbrechungen für alle Systeme zu implementieren, die eine kontinuierliche Betriebszeit erfordern. Zu den Optionen gehören Hardware-Redundanz, Failover, Clustering und regelmäßige Backups, die an einem geografisch getrennten Ort gespeichert werden. Zusätzlich ist es entscheidend, einen umfassenden Katastrophenwiederherstellungsplan zu entwickeln und zu testen.

Teilen auf

Erfahren Sie mehr

Über den Autor

Asset Not Found

Ryan Brooks

Erfahren Sie mehr zu diesem Thema

Die nächsten fünf Minuten der Compliance: Aufbau einer identitätsorientierten Datensicherheit in der APAC-Region

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Was ist elektronisches Records Management?

Quantitative Risikoanalyse: Jährliche Verlust Erwartung

Neueste blogbeiträge

Die nächsten fünf Minuten der Compliance: Aufbau einer identitätsorientierten Datensicherheit in der APAC-Region

Konfigurationsmanagement für sichere Endpoint-Kontrolle

Data Classification und DLP: Verhindern Sie Datenverlust, weisen Sie Compliance nach

CMMC-Compliance und die entscheidende Rolle der MDM-Stil USB-Kontrolle beim Schutz von CUI

DSPM, ASM und ITDR: Entwicklung einer datengesteuerten, risikobewussten Sicherheitsstrategie

Vom Lärm zur Aktion: Datenrisiken in messbare Ergebnisse umwandeln

KI im Einsatz: Geschwindigkeit, Risiko und warum Einfachheit siegt

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Unsere top-artikel

Gängige Arten von Netzwerkgeräten und ihre Funktionen

Wie man ein PowerShell-Skript über den Aufgabenplaner ausführt

Wie installiert & verwendet man Active Directory Users and Computers (ADUC)?

Download and Install PowerShell 7

Die größten und berüchtigtsten Cyberangriffe der Geschichte

Essentielle PowerShell-Befehle: Ein Spickzettel für Anfänger

Ein Überblick über den MGM Cyberangriff

Extrahieren von Passwort-Hashes aus der Ntds.dit-Datei

Anleitung zum Einbinden von Unix-Freigaben mit einem Windows NFS-Client

Wie unsichere und anfällige offene Ports ernsthafte Sicherheitsrisiken darstellen