Begriffe Datensicherheit


Authentizität (Verlässlichkeit der Quelle)

Übereinstimmung der angegebenen Identität mit der realen Identität des Nutzers, des Autors oder des Systems
Keiner soll sich als Autor einer Nachricht ausgeben können, deren Urheber jemand anderer ist.
Die Herkunft von Dokumenten und Informationen muss erkennbar und überprüfbar sein.

Beispiele:
  • Durch den Personalausweis können wir unsere Identität nachweisen. Die ausstellende Behörde ist der Garant für die Identität einer Person.
  • Die digitale Identität weist man durch digitale Zertifikate (digitale Ausweise), die durch vertrauenswürdige Dritte (Trust Center) ausgegeben werden, nach.
    Trust Center führen Verzeichnisse und Sperrlisten, die online abgefragt werden können. Dort kann das Zertifikat eines Absenders auf Gültigkeit und Herkunft geprüft werden.

Authentisierung

Überprüfung bzw. Bezeugung der Echtheit einer Identität eines Nutzers oder eines Systems

Authentisierungsverfahren
  1. Wissen (Nutzerkennung, Passwort, PIN)
  2. Besitz (Magnetstreifenkarte, Chipkarte, SecureID-Token)
  3. biometrische Merkmale (Stimme, Fingerabdruck, Augenhintergrund, Gesichtsmerkmale)
  4. Kombination von 1. - 3.

Integrität

Schutz vor unerlaubter Manipulation
Integrität = Unverfälschtheit / Echtheit:
Es soll ausgeschlossen werden, dass die Nachricht verändert wurde. In der Nachricht dürfen also keine Einfügungen, Änderungen, Umordnungen oder Löschungen vorgenommen worden sein. Veränderungen und Manipulationen an Dokumenten müssen erkannt werden. Gerade bei Dokumenten, die per E-Mail übertragen werden, ist die Gefahr der Manipulation groß. Der Empfänger kann die Integrität des Dokuments durch Entschlüsseln der Signatur mit Hilfe des öffentlichen Schlüssels des Absenders überprüfen. Anhand des mitgelieferten Algorithmus wird danach über das Dokument ein neuer Hashwert gebildet und mit dem mitgelieferten Hashwert verglichen. Stimmen beide Werte überein, kann man davon ausgehen, daß das Dokument unterwegs nicht manipuliert wurde. Mit diesem Verfahren können auch Daten auf der Festplatte oder in Archiven geschützt werden.

Vertraulichkeit

in der Kommunikation: Schutz vor unerlaubtem Informationsfluss
Vertraulichkeit = Ausschluss von Dritten
Nur berechtigte Personen dürfen in den Besitz der übertragenen Information gelangen.
Die Nutzung von Verschlüsselungsalgorithmen bei der Kommunikation via E-Mail sichert z.B. Vertraulichkeit.

Verbindlichkeit in der Kommunikation

Schutz vor Verfälschung und Leugnung der Sender- und Empfängerinformationen
Das Senden und Empfangen einer Nachricht kann nicht bestritten werden.
Beispiele:
  • Einschreiben bei der Post
  • Verfahren zur automatischen Erkennung des E-Mail-Empfanges

Verfügbarkeit

Schutz vor ungeplanten Stillständen
Die Daten müssen in festgelegter Form und Qualität zu vereinbarten Zeiten nutzbar sein.

Anonymität

Die Identität eines an der Kommunikation Beteiligten wird nicht preis gegeben, sie wird also geheim gehalten bzw. verschleiert.
-> Anonymizer

Angemessenheit

Bei allen Maßnahmen zur Datensicherheit muss beachtet werden, dass der Aufwand den Zweck rechtfertigt.
Bei einer E-Mail mit Urlaubsgrüßen ist wahrscheinlich gar keine Maßname der Datensicherheit erforderlich. Bei der Kommunikation zwischen Entwicklungsbüros hingegen muss zum Beispiel neu entwickelte Technologie sorgfältig vor der Ausspähung durch Mitbewerber geschützt werden. Gleiches gilt für geheime Botschaften jeglichen Inhalts, die versandt werden.
Historisches Beispiel: Maria Stuart

datenschutzfreundliche Technologien

Technologien sind datenschutzfreundlich, wenn die Anforderungen an die Datensicherheit (Angemessenheit, Vertraulichkeit, Authentizität, Integrität, Anonymität,...) mit hoher Qualität bei gleichzeitig geringem Aufwand realisiert werden können. Die Voreinstellungen einer neu installierten Software sollten so sein, dass ein hohes Sicherheitsniveau vorliegt. So sollte zum Beispiel die Firewall bei einem neu aufgespielten Betriebssystem automatisch aktiviert sein.