Konkrete Kritik an CVSS4
Marc Ruef
Wer an Computersicherheit denkt, der denkt in der Regel als erstes an Firewalls und Computerviren. Vielleicht kommen einem als zweites Begriffe wie Security Audit und Source Code Analyse in den Sinn. Sicherheit beginnt jedoch viel früher, lange bevor sich der erste Benutzer mit einem Passwort auf einem System einloggt oder das erste Bit über das Netzwerkkabel geschickt wird.
Eines der absoluten Grundelemente der angewandten Computersicherheit ist die Klassifizierung von Daten. Durch die Datenklassifizierung wird festgehalten, welche unterschiedlichen Einstufungen es gibt und wie die jeweils eingestuften Daten behandelt werden sollen. Daraus definiert sich mitunter, was für die Informationssicherheit besonders wichtig ist, die Geheimhaltungsstufe.
In der Regel wird eine drei- bis fünfstufige Unterscheidung vorgenommen. Ein pragmatischer und von den meisten Unternehmungen verfolgter Ansatz sieht die folgende Klassifizierung vor:
Nachrichtendienste pflegen drei bis vier Einstufungen vorzunehmen, wobei in der Regel der Einfachheit halber das Applizieren keiner Klassifizierung ein Dokument automatisch für die Öffentlichkeit vorsehen lässt.
Ein Unternehmen sollte eine Datenklassifizierung auf der Basis der soeben vorgetragenen Stufen vornehmen und dokumentieren. In einem weiteren Dokument gilt es festzuhalten, welche Massnahmen getroffen werden müssen, um den jeweiligen Anforderungen gerecht werden zu können.
Im Mittelpunkt der Charakterisierung der einzelnen Klassifizierungsstufen sind die Personengruppen, jenen das Dokument dieser Stufe zugänglich gemacht werden darf (z.B. Öffentlichkeit, interne Mitarbeiter, spezifische Abteilung, ausgewählte Personen). Desweiteren ist es Teil der Attributisierung, den erlaubten und erwünschten Kommunikationsweg für den Datenaustausch einzubringen (z.B. jegliche Übertragung, nur im betriebsinternen Netzwerk, immer mit mindestens AES/3DES Verschlüsselung).
Die Mitarbeiter müssen sodann über die Existenz und den Umgang dieser Klassifizierung unterrichtet werden. Dies geschieht in der Regel bei der Anstellung und der Übergabe anderweitiger Weisungen. Sodann wird es damit wichtig die Mitarbeiter vertraglich daran zu binden, diesen Vorgaben Folge zu leisten. Fahrlässige oder mutmassliche Vergehen müssen grösseren Ausmasses müssen personell oder gar juristisch geahndet werden, damit die Vitalität des Unternehmens im Rahmen der Datenverarbeitung und -weitergabe nicht gefährdet wird.
Unsere Spezialisten kontaktieren Sie gern!
Marc Ruef
Marc Ruef
Marc Ruef
Marc Ruef
Unsere Spezialisten kontaktieren Sie gern!