Homepage Cyberwar Cybersecurity Cyberspace C-Spionage C-Sabotage Gefährdung Kriminalität Computer Kommunikation mod. Systeme Der Mensch Beratung Bildung Fachberichte Information Kryptologie Emission Verschlüsselung Forschung Begriffe Recht Technik Verschiedenes
Verschiedenes Informationen aus aller Welt Aus der Welt der Pocketsysteme
 
Die Macht der Information , ist die Ohnmacht des Menschen !

Grundlagen:

Warum wollen Sie Sicherheit in der Informationstechnik, wenn Sie nicht wissen, was Ihre Informationen wert sind.

Sie arbeiten alle jeden Tag mit vielen Informationen.
Haben Sie sich vielleicht mal die Frage gesellt, was sind denn diese Informationen wert ?
Ich meine den Wert in Euro.
Haben Sie sich mal die Frage gestellt, welchen Wert diese Informationen auf Ihren Laptops, Computern oder Netzwerke repräsentieren ?
Nennen Sie mir keine Zahl, es geht hier nicht um "glauben", dass Ihre Daten so wertvoll sein sollen. Sie haben dies noch nie ermittelt, aber Sie kennen Ihre Produktionskosten, die Absatzdaten, die Forschungsdaten usw.
All diese Daten haben Sie auch Informationen auf den informationsverarbeitenden Systemen, denn sonst könnten Sie Ihr Unternehmen gar nicht effektiv führen.
Für die folgende Betrachtung interessieren keine Ausgaben für Ihre informationsverarbeitenden Systeme, wie Computer, Laptops, Server, Drucker. Internetkommunikationstechnik, Netzwerktechnik, Sicherheitstechnik sowie Sicherheitssoftware.
Damit bearbeiten Sie ihre Informationen, für den Wert dieser, sind sie nicht relevant
Jetzt ergibt sich die Frage, was sind denn diese Daten in dem informationsverarbeitenden Systemen wert ?
Denn, wenn diese Daten nichts wert sind, dann brauchen Sie diese auch nicht zu schützen, oder ... .
Gleich die nächste Frage, welchen Wert könnten diese Daten für einen Dritten haben ?
Der "Dritte" das könnte die Konkurrenz oder eine andere Organisation, diese Daten erfolgreich an "Dritte" weiterveräußert. Sie wissen ja, es ist eine alte Praxis Firmendaten zu verkaufen und dies nicht erst seit es informationsverarbeitenden Systemen gibt.
Auch Ihre Daten könnten sehr interessant sein für Dritte. Sie wissen es, denn Sie tun ja einiges um diese Informationen zu sichern.
Um alle weiteren Fragen zu klären, sollten Sie sich über den Wert der Informationen in Ihrem informationsverarbeitenden Systemen im Klaren sein.
Die Beantwortung dieser Frage, die müssen Sie allein durchführen.
Aber ich möchte Ihnen dabei helfen.
Als ersten Schritt schlage Ihnen vor, teilen Sie die Informationen mal in drei Gruppen
- (1) Informationen mit strategischer Bedeutung für das Unternehmen, den Zeithorizont legen Sie entsprechend dem Erfordernis Ihres Unternehmens fest.
- (2) Informationen mit taktischer Bedeutung, alle Daten oberhalb der Daten die für die Produktion Ihrer Erzeugnisse notwendig sind und unterhalb der strategischen Daten eingestuft sind.
- (3) Informationen operativer Bedeutung, für den tagtäglichen Arbeitsprozess.
Mit dieser Untergliederung habe wir nur die Informationen geordnet.
Der nächste Schritt ist die Feingliederung der Information den einzelnen Informationskategorien (1 ... 3).
Versuchen Sie diese Information zu bewerten, dazu als Bemerkung.
- Welchen Mehrwert kann erzielt werden, d.h. welcher zusätzlichen Einnahmen können eruiert werden wenn diese Information geheimgehalten werden können. Was nichts anderes heißt, diese Information müssen vor dem Zugriff durch Unbefugte geschützt werden.
- Wie lange haben Ihre Information diesen Wert, manche sind kurzlebig, andere wieder leben sehr sehr lange, so z. B. wenn es sich um Forschungsergebnisse oder Patente oder andere innovativen Prozesse handelt, die einen Wettbewerbsvorteil darstellen.
- Warum diese Arbeit, weil sich der Schutz der Information sich nur auf Schwerpunkte konzentrieren kann, da diese Information nur Schwerpunkten konzentriert sind. Denn eine breite Streuung der Information kann keine Sicherheit gewährleisten. Alles andere können Sie nicht bezahlen und es bringt Ihnen auch keine Sicherheit.
Wenn Sie diese Schritte durchgeführt haben, kennen Sie den Wert der, Sie wissen wie lange diese Information so werthaltig sind, das ein Schutz erforderlich ist und Sie kennen die Mehreinnahmen aus den Information wenn Sie einen entsprechende Sicherheit realisieren.
Grundsätzlich gilt, es gibt keine absolute Sicherheit, alles andere ist Glauben an die Fehlerfreiheit der informationsverarbeitenden Systemen, das ist Utopie. Informationssicherheit hat nichts mit Utopie zu tun.

Sie werden für diese Angaben mit Sicherheit eine Tabelle angefertigt haben. Wenn dies nicht der Fall war, dann holen Sie es bitte nach. Denn am Ende werden Sie feststellen, es haben sich Informationen verändert und es sind neue hinzu gekommen. Das heißt, die Sicherheitsgrundlagen und damit die Anforderungen an das Schutzsystem Ihrer Informationen verändern sich mit dem Profil des Unternehmens.
Wie Sie bei Ihrer Arbeit erkannt haben, haben die verschiedensten Informationen ein zeitlich unterschiedliches Sicherheitsbedürfnis, einige Informationen sind nur wenige Tage werthaltig andere dagegen über Jahre. Wobei die zeitliche Variabilität keine Aussage zum Schutzbedürfnis beinhaltet.
Sie haben jetzt eine Unsicherheit beseitigt, Sie wissen, wo Ihre Werte von Informationen auftreten, gleichzeitig wissen Sie jetzt auch wo sich diese Informationen in Ihrem informationsverarbeitenden System gespeichert sind.
Wenn Sie die Tabelle erstellt haben, so bilden Sie die Summe.
Neben dieser Summe des Informationswert setzen Sie die Einnahmen aus dem letzten Zeitraum ( z.B. ein Jahr ).
Vergleichen Sie diese beiden Werte.
Versuchen Sie diese zu interpretieren.
Achten Sie dabei auf Abweichungen:

Informationswert >> Einnahmen
Informationswert = Einnahmen
Informationswert << Einnahmen

Es lassen sich keine allgemeingültigen Aussagen treffen, da jedes Unternehmen sich von dem Anderen unterscheidet.
Zu analysieren sind die obigen Fälle starker Abweichungen
Die Analyse des Vergleiches dieser Werte ergibt sehr interessante Ergebnisse, auf die aus bestimmten Gründen hier nicht eingegangen werden soll.

Informationswert << Einnahmen << Informationswert.
Hierbei können sich objektive Verzerrungen ergeben, so aus der Tatsache, das Forschungsprojekte sehr informationshaltig sind, die Erträge jedoch erst in der Zukunft realisiert werden sollen.


Zusammenfassung:
Diese Analyse ergibt den Wert von vielen Informationen, die bewertet wurden, und für die ein Schutzbedürfnis besteht.
Sie wissen wo diese Informationen erzeugt und gespeichert werden.
Sie haben eine erste Grobanalyse des Informationswertes mit den erzielten Einnahmen durchgeführt. Im Ergebnis haben Sie die Informationen erstellt, die im Weiteren einer besonderen Beachtung unterliegen.


Informationsgewinnung
Die im vorigen Abschnitt analysierten Informationen könnten den Eindruck erwecken, es handelte sich hierbei um irgendwelche theoretische Betrachtungen.
Leider ist dem nicht so. Denn die Informationen mit einem hohen Wert sind auch gleichermaßen für Unbefugte oder "Dritte" sehr interessant. Deshalb möchte ich im Folgenden auf einige der Aspekte eingehen, die es Dritten ermöglichen Kenntnisse dieser Informationen zu erlangen.
Auf die klassischen Methoden, wie Diebstahl, Veruntreuung, Sabotage zur Maskierung von Diebstahl, Wirtschaftsspionage im klassischen Sinne, möchte ich im Folgenden nur am Rande eingehen.
Die Verbindung von Informationen und informationsverarbeitenden Systemen schaffen eine Vielzahl von neuen Möglichen. Diese Möglichkeiten werden einzeln aber auch komplex eingesetzt.
Diese Möglichkeiten basieren nur auf den physikalischen Prozessen der Verarbeitungssysteme. Ohne diese Prozesse wäre eine Informationsverarbeitung nicht möglich.
Akustische Sensoren
Zu den "Klassikern" gehören die akustischen Sonden. Besser bekannt unter dem Namen "Wanzen", wobei dieser Begriff die Leistungsfähigkeit dieser Tiere weit überschreitet.
Denn sie können keine elektromagnetischen Signale mit dem durch die Sonden aufgenommenen Sonden aussenden. Der Einsatz von akustischen Sonden ist zumeist gekennzeichnet durch die Abstrahlung von elektromagnetischen Signalen. Diese können durch geeignete Geräte geortet werden.
Diese akustischen Sonden können aber auch ihre Signale über das vorhandene Stromnetz oder über die Leitungen der Kommunikation übermitteln und so wie die elektromagnetische Abstrahlung jenseits der betrieblichen Grenzen aufgenommen werden.
Eine Einkopplung der durch die akustischen Sonden aufgenommenen Signale oder Informationen in Lichtwellenleitersysteme ist gleichermaßen möglich.
Mit Ausnahme der elektromagnetischen Abstrahlung lassen die anderen Verfahren der parasitären Nutzung der technischen Infrastruktur derartige Sonden nur mit hohen Aufwand lokalisieren. Da sie keine Punktquelle - wie der Sender - sondern irgendwo in die Leitungsinfrastruktur eingekoppelt werden.
Optische Sensoren
Zu den "Klassikern" gehören auch die optischen Sonden. Diese Sonden haben mit der Einführung mikroelektronischer Strukturen um ein vielfaches verbessert. Durch die hohe Auflösung lassen sich viele Details in hoher Qualität erfassen. Das Lesen von Firmendokumente oder anderen Informationen sind dabei nur tägliche Routine. Durch ihre hohe Auflösung und schnellen Bildübertragung ist es möglich, sofern der Referent im Bereich der optischen Sonde ist und sein Gesicht diesen zugewandt, das von ihm gesprochene Wort "mitlesen". Diesem Klassiker wird mit der Bildinformation gleichzeitig die akustische Information übermittelt. Die Umwandlung von der bildlichen in die Lautinformation erfolgt durch dafür befähigte Personen.
Die Übertragung dieser Signale kann durch die Abstrahlung von elektromagnetischen Wellen erfolgen. Mit der bewussten Gefahr der Entdeckung oder durch die Nutzung der technischen Infrastruktur des Unternehmens. Der Einsatz derartiger Systeme kann natürlich kaschiert werden, durch die Nutzung als offizieller "Überwachungskamera" die in der Sicherheitszentrale des Unternehmens endet. Leider hat sie noch einen zweiten Kanal für den Dritten.
Der Einbau derartiger Sonden kann durch vielerlei Begründungen legalisiert werden. Es kann ein sehr sehr breites Spektrum angeführt werden. Von Telefondosen, Feuchtigkeitsüberwachung, bis hin zu Brandmeldern usw. usf. .
Diese Systeme kann man zu den "Klassiker" zählen.
Aber es gibt noch weitere Möglichkeiten, diese resultieren aus der ständigen Weiterentwicklung moderner technischer Systeme.
Jeder der sich mit der Gewinnung von Informationen beschäftigt, wird immer nach neuen Lösungen suchen. Diese Lösungen haben das Ziel, die Information zu gewinnen ohne irgendwelche Spuren zu hinterlassen.
So können Sie nur mutmaßen, wie diese Informationen zum Empfänger gelangt sein können.
Mobilfunktelephone
Kommen wir nur zu einigen der modernen "Lösungen".
So sind die modernen Mobilfunktelephone ideale Mittel zur unkontrollierten Übermittlung von Informationen. Sie telephonieren damit, Sie schicken SMS und Sie schicken Bilder, eine komplexe Lösung. Sie nutzen doch nur die Möglichkeiten, die Sie kennen.
Diese Geräte können noch viel mehr !
Es sind programmierbare Geräte mit eine gesteuerten Intelligenz.
Diese technische Intelligenz kann man sich natürlich auch für die Zwecke moderner Informationsgewinnung nutzen und man nutzt sie.
Ob Ihnen das gefällt oder nicht, Sie haben sich doch diese Ding zugelegt. Wenn Sie es sich zugelegt haben dann sollten Sie auch die Risiken beachten.
Sagte ich Risiko, Sie kennen doch den Satz, "Bei Risiken oder Nebenwirkungen fragen Sie Ihren Arzt oder Apotheker". Da Sie diese Geräte nicht durch den Arzt verschrieben bekommen haben und nicht beim Apotheker gekauft haben, können Sie Ihn nicht fragen.
Der Verkäufer, der Ihnen dieses Gerät verkauft hat, der preist sein Gerät an. In der Gebrauchsanweisung finden Sie auch keinen Hinweis.
Aber das Gerät kann mehr.
Denn es ist ja ein "programmierbares technisches System".
Aus verständlichen Gründen möchte ich an dieser Stelle nicht konkreter werden. Da es auch Aspekte beinhaltet, die durch gesetzlichen Bestimmungen tangiert werden.
Die gleiche Technologie ermöglicht es aber auch Ihre Informationen auszuforschen.
Laptops
Gratulation, den erfinderischen Menschen, die diese Systeme erfunden haben. Gratulation, denen die diese Systeme anwenden, Danke denen diese Systeme anwenden, denn damit haben wir es leichter an Ihre Informationen zu gelangen.
Diese Geräte sind Fluch und Segen in einer Einheit.
Sie ermöglichen es uns, ein gewaltiges Informationspotential auf einer kleinen flachen runden Scheibe zu speichern und jederzeit dies Informationen abzufragen.
Kommen wir zu den nützlichen Faktoren:
Aufnahme und Speicherung gewaltiger Datenmengen und dem unabhängigen Zugriff dazu.
Es speichert Daten von Informationen, wie Wörter, Tabellen, graphische Darstellungen, Bilder und Videos und Sprache. Es gestattet diese über die Peripherie an die verschiedensten Empfänger zu senden. Und noch vieles Mehr, denn die Entwicklung geht schnell weiter.
Wenn diese Gerät das Alles kann, dann kann man es doch bestimmt auch für die Zwecke der Informationsgewinnung für Dritte einsetzen.
Betrachten wir die Komponenten im Einzelnen:
Die Datenspeicherung
Diese preiswerte Gerät von ca. 1000 x speichert Informationen in einem Wert der das Vielfache seine Hardware übersteigt. Die internationale Agentur Gardner spricht zu recht von Werten oberhalb 50.000 x der je Anwendungszweck um ein Vielfaches überschritten werden kann. Wenn Sie den Schaden für das Unternehmen quantifizieren, bitte objektiv, dann kann dieser Wert auch in Ihrem Unternehmen schnell überschritten werden.
Welche Informationen Sie gespeichert haben hängt vom jeweiligen Anwendungsfall ab.
Sie haben dort Informationen in Form Schrift, Sprache, stehende Bilder, Videos abgespeichert.
Sie können diese Dual - Technik so ausrüsten, da sie selber die Bilder in der nächsten Nähe oder auch etwas weiter aufnimmt und abspeichert. Gleichermaßen kann sie das gesprochene Wort aufzeichnen. Genau so ist es möglich auch komplexe Vorträge in Bild und Ton aufzuzeichnen.
Sie können diese Informationen natürlich auch per Kopplung zu den Kommunikationsnetzen in diese übertragen. Dies hat natürlich den Vorteil, man findet keine Spur Ihrer Tätigkeit auf diesem Laptop.
Mit Kommunikationsnetzen meine ich:
Internet - draht oder drahtlose Übertragung
Übermittlung per Schnittstelle in die Mobilfunknetze
Übermittlung per Schnittstelle zu einen Empfänger eines "Dritten"
Das Laptop ist aus der Sicht des Informationswertes eine Dual-Technik. Sie vereint das Positive und realisiert auch das Negative.
Es ist durch diese Eigenschaft eines der kritischen Bereiche in der modernen Informationssicherheit und nicht nur dort. Deshalb ist der Einsatz von diesen Geräten besonders zu überlegen und welche Daten werden gespeichert, mit wem kann dieses Gerät kommunizieren über welche Komponenten - Hardware und Software - muss es verfügen.
Moderne Informationstechnik schafft keine Sicherheit !
Was nutzt Ihnen all diese Hard- und Software, wenn dieses Gerät geklaut wird, wie bei unserer Justizministerin Frau Zypries.
Den Schaden haben Sie.
Weitere Abschnitte werden sich mit Fragen der
- elektromagnetischen Abstrahlung
- dem Internet mit seinen Möglichkeiten
- die Nachrichtenverkehranalyse ( Speicherung von Daten aus der Benutzung von aller Arten öffentlicher Kommunikation - vom Telephon bis Internet )
- Dem Einsatz kryptologischer Mittel ( Chiffrierung , Verschleierung usw. )
- Allgemeine Ansatzpunkte zu Fragen der Informationssicherheit
- Weitere Ergänzungen zu dem ersten Abschnitt