Aus der Enterprise Security-Architektur gehen einige zentrale Design-Prinzipien hervor, die im Bereich der Informationssicherheit allgemein anerkannt sind und als grundlegend angesehen werden. Hier sind sie:
Alle signifikanten System- und Prozessänderungen sollten bis zum Verursacher rückverfolgbar sein. So kann die Rechtmäßigkeit einer Änderung nachvollzogen und im Fehlerfall zielgerichtet die Ursache ermittelt werden.
Ausnahmen von einer Richtlinie sollten immer die Zustimmung des Managements haben und dokumentiert werden. So wird sowohl aufseiten des Managements als auch beim Durchführenden für die Ausnahme sensibilisiert und bei Bedarf ein Verbesserungsprozess angestoßen. Des Weiteren kann nachvollzogen werden, weshalb von einer Richtlinie abgewichen wurde.
Eine sachkundige dritte Partei muss in der Lage sein, die Konformität eines Systems mit der Sicherheitspolitik zu überprüfen. Sicherheitsrelevante Ereignisse müssen in einem manipulationssicheren Audit-Protokoll aufgezeichnet werden. Das dient einerseits der Konformitätsprüfung von Maßnahmen und Vorgaben sowie der Beweissicherung und Forensik bei einem Sicherheitsvorfall.
Wo immer möglich, sollten automatische Kontrollen eingesetzt werden und nicht Kontrollen, die von menschlicher Wachsamkeit und menschlichem Verhalten abhängen.
Die Standardeinstellung für Berechtigungen sollte sein, den Zugriff auf eine Ressource zu verweigern. Weiterhin soll eine Konfiguration erforderlich sein, um den Zugriff gezielt zu gewähren. Somit ist gewährleistet, dass kein unbeabsichtigter Zugriff für Unberechtigte entsteht.
Das Ganze ist mehr als die Summe seiner Teile
- Aristoteles
Die Verwendung von Sicherheitsebenen erhöht den Aufwand den ein Angreifer benötigt, um sich unbefugten Zugang zu einem System oder einer Anwendung zu verschaffen. Die Schutzmaßnahmen sollten so aufgebaut sein, dass bei Ausfall einer Maßnahme eine andere Art von Maßnahme auf einer anderen Schicht erfolgt und somit eine Sicherheitsverletzung verhindert wird.
Wenn eine Sicherheitskontrolle ausfällt, sollte sie einen Zustand der Zugriffsverweigerung aufrechterhalten. Diese Absicherung schützt dann vor unkontrolliertem Informationsabfluss, Informationslöschung, Informationseinsicht und Informationsänderung. Hierbei sollte beachtet werden, dass die Ausfallsicherheit nicht mit der Ausfallsicherung verwechselt wird.
Durch die Reduzierung von Komplexität und Vielfalt der Sicherheitsmaßnahmen sollten weniger Fehler und Irrtümer auftreten. Die Einfachheit der Sicherheitsmaßnahmen sollte zu einem besseren Verständnis, besserer Verwaltung sowie zur raschen Lösung sicherheitsrelevanter Probleme führen.
Benutzer und Systemprozesse sollten die geringste Autorität und den geringsten Zugang zu Ressourcen erhalten, die zur Erfüllung einer bestimmten Aufgabe oder für den Zugriff auf eine Ressource erforderlich sind.
Die Schutzanforderungen für ein System hängen von den Geschäftsprozessen und den darin verarbeiteten Informationen ab. Beachten Sie, dass sich auf einem System mehrere unterschiedlich sensible Prozesse und Informationen befinden können. Je sensibler die Informationen umso höher sollten die Schutzanforderungen sein, selbst wenn sich weniger sensible Informationen auf dem gleichen System befinden.
Die Maßnahmen sollten auch dann noch wirksam sein, wenn ein Gegner von ihrer Existenz weiß und ihre Funktionsweise kennt. Ein Beispiel dafür ist Verschlüsselung: auch wenn man den Algorithmus kennt, so ist die verschlüsselte Information nur mit dem entsprechenden Schlüssel zu lesen.
Selbst wenn eine Person auf dieser Sicherheitsstufe grundsätzlich Zugang zu Daten oder Informationen hat, verbietet das Need-to-know-Prinzip den Zugang, wenn die Informationen nicht direkt von dieser Person zur Erfüllung einer bestimmten Aufgabe benötigt werden.
Systeme sollten so konzipiert und verwaltet werden, dass bei Ausfall oder einer Beeinträchtigung möglichst wenig Schaden und Unannehmlichkeiten entstehen. Durch eine Business Impact-Analyse oder ein Notfallmanagement können Gefährdungen und Bedrohungsszenarien festgestellt werden.
Die Konfiguration der Systeme sollte so restriktiv eingestellt werden, dass Informationen standardmäßig keinem unangemessenen Publikum zugänglich gemacht werden oder die Systemfunktionalitäten auf das Notwendigste beschränkt werden.
Die Sicherheitsanforderungen eines Systems oder einer Anwendung sollten als Teil der Gesamtanforderungen betrachtet werden und müssen in jeden Schritt des Entwicklungs- und Einführungsprozesses eingebettet werden.
Für den Zugriff auf Unternehmensressourcen ist es nicht mehr relevant, ob der Zugriff intern oder von außen erfolgt. Personen, Geräte und Netzwerke müssen individuell authentifiziert und autorisiert werden.
(Die Quellen für die Zusammenstellung der Prinzipien und Konzepte sind neben eigenen Erfahrungen u.a. isaca.org, duo.com, sabsa.org, europa.eu)
