Was bedeutet Sicherheit?
Es wird immer wieder davon gesprochen, dass etwas sicher ist oder sein muss. Doch was bedeutet Sicherheit eigentlich? Ab wann kann etwas als sicher bezeichnet werden und welche anderen Begriffe sind mit Sicherheit verbunden? Dieser Artikel gibt Antworten auf diese Fragen.
Safety und Security
Sicherheit ist ein Begriff, der in verschiedenen Zusammenhängen verwendet wird. Im Englischen gibt es zwei Begriffe, “safety” und “security”. Beide lassen sich nur mit dem deutschen Wort “Sicherheit” übersetzen, haben aber unterschiedliche Bedeutungen.
”Safety” bezieht sich auf die physische Sicherheit. Es geht um den Schutz von Personen und Gegenständen vor Verletzungen und Schäden. Ein Beispiel für “safety” ist die Sicherheit im Straßenverkehr. Menschen sollen nicht verletzt und Autos nicht beschädigt werden.
”Security” bezieht sich auf die Sicherheit von Informationen und Systemen. Es geht darum, Daten und Systeme vor unbefugtem Zugriff und Missbrauch zu schützen. Ein Beispiel für “Security” ist die Sicherheit von Computern und Netzwerken. Daten sollen nicht gestohlen oder manipuliert werden können.
Wir beschäftigen uns hauptsächlich mit “Security”, also der Sicherheit von Informationen und Systemen.
Schutzziele
Für jedes System und jede Information stellt sich die Frage, welche Schutzziele erreicht werden sollen. Schutzziele sind die Anforderungen an die Sicherheit eines Systems oder einer Information. Die drei wichtigsten Schutzziele sind:
- Vertraulichkeit: Nur berechtigte Personen dürfen auf Informationen zugreifen.
- Verfügbarkeit: Informationen müssen immer dann verfügbar sein, wenn sie benötigt werden.
- Integrität: Informationen dürfen nicht unbemerkt verändert werden.
Im Einzelfall können weitere Schutzziele hinzukommen, wie z.B:
- Authentizität: Die Identität von Personen und Systemen muss nachgewiesen werden können.
- Verbindlichkeit: Personen und Systeme müssen für ihre Handlungen verantwortlich gemacht werden können.
- Zurechenbarkeit: Es muss nachvollziehbar sein, wer wann was getan hat und dies darf nicht abgestritten werden können.
- Anonymität: Personen und Systeme dürfen nicht identifizierbar sein.
Ein Beispiel zur Passwortsicherheit: Sie erhalten eine neue PIN für Ihre Bankkarte. Dieser PIN muss vertraulich sein, da nur Sie Zugriff auf das Konto haben sollen. Außerdem darf die Integrität der PIN nicht verletzt werden. Das heißt, es muss sich um die gleiche PIN handeln, die auch bei der Bank hinterlegt ist. Die Verfügbarkeit der PIN muss gewährleistet sein, wenn Sie Geld abheben oder bezahlen möchten.
Was bedeutet Sicherheit?
Absolute Sicherheit gibt es nicht. Fehler, die zu Problemen und Schwachstellen führen, sind unvermeidlich. Mit genügend Zeit, Ressourcen und Motivation kann jedes System kompromittiert werden.
Deshalb ist Sicherheit ein relativer Begriff. Ein System oder eine Information kann als sicher bezeichnet werden, wenn es/sie ausreichend gegen unbefugten Zugriff und Missbrauch geschützt ist. Ausreichender Schutz bedeutet, dass der Aufwand, den ein Angreifer betreiben muss, um das System zu kompromittieren, in einem angemessenen Verhältnis zum Wert der Information steht.
Ein Beispiel: Wenn ein Einbrecher in ein Einfamilienhaus eindringt, verursacht er einen durchschnittlichen Schaden von ca. 5000 €. Vom Einbruch bis zur Flucht hat er ca. 10 Minuten Zeit, bis die Polizei eintrifft und ihn festnimmt. Dieser Einbruch kann auf zwei Arten verhindert werden: Entweder werden die Kosten für das benötigte Spezialwerkzeug so hoch, dass es sich für den Einbrecher nicht mehr lohnt, oder die Zeit, die er für den Einbruch benötigt, überschreitet die 10 Minuten bis zum Eintreffen der Polizei. In beiden Fällen ist das Haus im Verhältnis zum Risiko sicher.
Dieses Beispiel lässt sich direkt auf die digitale Sicherheit übertragen. Nehmen wir an, wir haben eine Datei, die für die nächsten hundert Jahre geschützt werden muss. Wenn diese Datei so verschlüsselt ist, dass es mehrere tausend Jahre dauern würde, sie zu entschlüsseln, dann ist die Datei relativ sicher. Denn der Aufwand, den ein Angreifer betreiben muss, um die Datei zu entschlüsseln, ist um ein Vielfaches höher als die benötigte Sicherheitszeit.