Home | deutsch  | Legals | Data Protection | Sitemap | KIT

Publications

Seven Theses on IT Security

 

Seven Theses

Open Positions

You haven't found a suitable position? Even if it is not always advertised, we are happy to hear from new doctoral students / postdocs who are interested in reinforcing our team. Simply send us your unsolicited application. We look forward to hearing from you!

BMBF Logo

Sieben Thesen zur IT-Sicherheit

Sieben Thesen zur IT-Sicherheit
Author: KASTEL links:
Date: 13.09.2013

1. Sichere E-Mail ist von Ende zu Ende verschlüsselt

Sichere E-Mail-Kommunikation bedeutet, dass die Nachricht nur vom Empfänger gelesen werden kann und vom Absender signiert ist. Sie muss signiert und verschlüsselt werden, bevor sie versendet wird und darf erst vom berechtigten Empfänger wieder entschlüsselt werden können. Nur so wird sichergestellt, dass vertrauliche Kommunikation nicht unterwegs abgehört werden kann. Wird E-Mail unverschlüsselt gespeichert, ist sie dort einem Diebstahlrisiko ausgesetzt.

2. Gute Sicherheitsmaßnahmen sind einfach handhabbar

Die einfache Benutzbarkeit von IT-Sicherheitslösungen darf nie vergessen werden. Ist eine Sicherheitslösung zu umständlich, wird sie nicht benutzt. Beispielsweise sind die meisten Werkzeuge für die sichere E-Mail-Kommunkation für Laien zu kompliziert zu bedienen. Wir sehen die Behörden in der Pflicht, Bürger und Firmen bei ihrer „digitalen Selbstverteidigung” zu unterstützen.

3. CE-Kennzeichnungspflicht. Auch für Software!

Hersteller von Elektronikgeräten verpflichten sich mit dem CE-Siegel, nur Produkte zu verkaufen, die gewissen Standards genügen. Ebenso muss es solche Verpflichtungen auch für Software geben. Die Ansprüche, insbesondere auch an die Sicherheit der verarbeiteten Daten, müssen verbindlich formuliert und von den Softwareherstellern eingehalten werden. Die Anforderungen müssen Datensparsamkeit, verschlüsselte Speicherung vertraulicher Informationen und die Verwendung verschlüsselter Kommunikationskanäle enthalten.

4. Sicherheitsvorfälle müssen meldepflichtig sein

Jedes Unternehmen erwartet von seinen Angestellten, dass sie verlorene Gebäudeschlüssel melden. Umgekehrt müssen Dienstanbieter verpflichtet sein, Kunden über unbefugten Zugriff auf ihre Daten zu informieren; schließlich nehmen diese an, dass ihr Passwort oder ihre Kreditkartendaten geheim sind. Gegebenenfalls muss sogar die Öffentlichkeit darüber informiert werden, wenn nach einem Einbruch allgemein anerkannte Sicherheitsannahmen nicht mehr gelten – dies gilt auch dann, wenn keine Kundendaten betroffen sind.

5. Sicherheit muss nachvollziehbar sein

Fachleute müssen die Sicherheit eines Systems anhand eines veröffentlichten Sicherheitskonzepts nachvollziehen können. Dafür müssen die gewünschten Sicherheitseigenschaften und die Maßnahmen, mit denen sie erreicht werden, klar erkennbar sein. Optimalerweise werden für die Umsetzung des Konzepts Standardlösungen verwendet.

6. Daten, die man vorhält, muss man auch schützen

Ob Rechenzentrum oder Smartphone – wer Daten speichert, übernimmt Verantwortung; insbesondere, wenn es sich um die Daten von Dritten handelt. Stets sollte für jeden gespeicherten Datensatz klar sein, wie er vor unerwünschtem Zugriff geschützt ist. Der Verlust von mobilen Geräten muss dabei auch beachtet werden.

7. Privatsphäre fördert Sicherheit

Für niemanden ist es überraschend, dass die USA ihre Militärstützpunkte auf Google-Maps ausblenden lassen oder dass man in Sicherheitsbereichen an Flughäfen nicht filmen oder fotografieren darf. Ebenso ist für Privatpersonen der Schutz gewisser Informationen wichtig. Diebe interessieren sich dafür, ob ich gerade im Urlaub bin; andere dafür, wie ich erpressbar bin. Daher muss es unsere IT-Infrastruktur jedem ermöglichen, die Grenzen seiner Privatsphäre selbst und sinnvoll zu setzen