1.1.1 Begriffsdefinitionen

Als Voraussetzung für das weitere Modul sollen an dieser Stelle wesentliche Begriffe definiert werden, um Unklarheiten zu vermeiden.

Man unterscheidet fünf Sicherheitsaspekte und die Privatsphäre.

  • Die Vertraulichkeit (engl. Confidentiality) der Daten stellt sicher, dass die Daten nicht ausgespäht werden können. Wenn die Daten über unsichere Kanäle (wie dem Internet) übertragen werden, kann man jedoch nicht grundsätzlich verhindern, dass die Daten abgehört werden. In diesem Fall müssen die Daten geeignet verschlüsselt sein, so dass Abhörer die Daten nicht entschlüsseln und damit nicht lesbar machen können.
  • Durch die Daten-Integrität (engl. Integrity) wird sichergestellt, dass die übertragenen Daten nicht geändert wurden, keine Daten eingefügt, gelöscht oder wiederholt übertragen wurden. Ähnlich wie bei der Vertraulichkeit muss man bei unsicheren Kanälen davon ausgehen, dass Manipulationen der Daten vorkommen können. Daher muss sichergestellt werden, dass solche Manipulationsversuche erkannt und die Daten dann erneut übertragen werden. Datenintegrität kann man nicht nur dann betrachten, wenn Daten über Netze übertragen werden. Auch bei lokal gespeicherten Daten möchte man sicherstellen, dass diese nicht unbefugt verändert werden.
  • Unter der Authentizität (engl. Authenticity) versteht man, dass übertragenene Daten tatsächlich vom angegebenen Absender stammen.
  • Verfügbarkeit bedeutet, dass Dienste (Netze, Anwendungen) so verwendet werden können, wie man das erwartet. Sie sollen nicht nur grundsätzlich funktionieren, sondern auch in einer guten Qualität. Kriterien für eine hohe Qualität sind in diesem Zusammenhang hohe Bitraten, geringe Latenzzeiten, niedrige Schwankungen der Latenzzeiten sowie geringe Paketverlustraten.
  • Bei der Nicht-Abstreitbarkeit (engl. Non-repudiation) oder Verbindlichkeit (engl. Accountability) wird sichergestellt, dass Handlungen tatsächlich einer Person zugeordnet werden können. Diese Person kann nachher nicht leugnen, die Aktion nicht durchgeführt zu haben.
  • Unter der Privatsphäre (engl. Privacy) versteht man, dass eine Person die Kontrolle darüber behält, welche Daten über sie gesammelt werden. Diese Daten umfassen persönliche Daten wie Name, Adresse, Telefonnummer, E-Mail-Adresse, aber auch Informationen über das Verhalten wie beispielsweise besuchte Webseiten, Kontakte in sozialen Netzwerken oder Bewegungsprofile bei der Nutzung von Mobiltelefonen.

Außerdem ist es wichtig, zwischen Authentifizierung und Autorisierung zu unterscheiden.

  • Bei der Authentifizierung (engl. Authentication) wird überprüft, ob der Kommunikationspartner, zu dem eine Verbindung aufgebaut werden soll, der wahre Kommunikationspartner ist (engl. Peer Entity Authentication) und ob die empfangenen Daten tatsächlich vom wahren Sender gesendet wurden (engl. Data Origin Authentication), wobei allerdings nicht die Integrität der Daten überprüft wird. Von besonderer Bedeutung ist im Internet die Authentifizierung eines Servers. Dieser Anwendungsfall wird sehr häufig eingesetzt, z.B. bei Transaktionen mit Banken oder bei der Kommunikation mit File-Servern.
  • Der Begriff Autorisierung (engl. Authorization) hingegen beschreibt, welche Rechte ein Kommunikationspartner hat. Die Zuweisung dieser Rechte erfolgt nach erfolgreicher Authentifizierung.

Abgekürzt kann man sagen, dass die Authentifizierung besagt, wer jemand ist und die Autorisierung festlegt, was dieser darf.

Schließlich können noch die Begriffe Schwachstelle, Bedrohung und Risiko bzgl. eines Systems voneinander abgegrenzt werden.

  • Unter einer Schwachstelle versteht man eine Eigenschaft eines Systems, die eine mißbräuchliche Verwendung des Systems ermöglicht.
  • Als Bedrohung wird jegliches mögliche Vorkommen von unerwünschten Effekten auf die Ressourcen des Systems angesehen, wobei dieses Vorkommen absichtlich oder unabsichtlich herbeigeführt sein kann.
  • Ein Risiko kann aus der Kombination einer Schwachstelle mit einer Bedrohung entstehen. Dieses kann man auch mit der Formel "Risiko gleich Bedrohung * Schwachstelle" ausdrücken.

Schließlich sollte man bei Sicherheit noch zwei Aspekte unterscheiden, die im englischen Security und Safety heißen. Bei Safety geht es um Bedrohungen, die unvermeidlich sind, auch wenn sich alle Personen bemühen, diese zu verhindern. Ein Beispiel sind beispielsweise Hardwaredefekte, die den Netzbetrieb beeinflussen können. Bei Security geht es dagegen um Bedrohungen, die von Menschen absichtlich herbeigeführt werden, beispielsweise um eine absichtlich erzeugte hohe Netzlast, die zu Ausfällen von Diensten führt. Auch wenn dieser Security-Aspekt in diesem Modul im Vordergrund steht, muss man jedoch auch den Safety-Aspekt berücksichtigen. Beispielsweise kann es bei einer Nichtverfügbarkeit von Diensten nicht klar sein, ob diese Situation unabsichtlich oder absichtlich entstanden ist.