Softwaremaßnahmen zum Schutz vor Daten- und Informationsdiebstahl

Bachelor Studiengang IT Security

Wilhelm Ehn, BSc

Betreuer: FH-Prof. Dipl.-Ing. Dr. Sebastian Schrittwieser, Bakk.

Ausgangslage

„Informationen sind das Öl des 21. Jahrhunderts!“ so lautet ein häufig verwendetes Zitat über die zunehmende Bedeutung von Daten im Informationszeitalter. Damit einher geht auch die Sensibilität von Organisationen in Bezug auf die Handhabung ihrer Informationen. Ein negativer Vorfall kann zu gravierenden Reputationsschäden und in weiterer Folge zu massivem Auftrags- und KundInnenverlust führen. Auch die rechtlichen Rahmenbedingungen werden strenger, da die neue EU-Datenschutzgrundverordnung immenses Verantwortungsbewusstsein von Unternehmen verlangt und mit harten Konsequenzen bei zu sorglosem Umgang mit verarbeiteten Informationen droht. Um gegen Bedrohungsszenarien gewappnet zu sein, bedarf es eines ganzheitlichen Vorgehens. In diesem Bereich sind bereits eine Vielzahl an Best Practices und Standards etabliert. Viele Sicherheitsmaßnahmen sind aber mit Aufwand verbunden, sodass nicht alle Arten von Informationen mit den gleichen Konzepten geschützt werden sollten. So ist es für Unternehmen eine Herausforderung, die richtigen Softwaremaßnahmen, je nach Schutzbedarf der Informationen, auszuwählen.

Ziel

Das Ziel dieser Arbeit ist es, zu eruieren, wie konkrete Softwaremaßnahmen zum Schutz vor Informationsdiebstahl, unter Berücksichtigung des Schutzbedarfs, ausgewählt werden können. Es werden einerseits theoretische Grundlagen erarbeitet. Andererseits wird anhand einer konkret ausgewählten Sicherheitsmaßnahme gezeigt, wie Vorkehrungen getroffen werden können. Im Zuge dessen kommt es zur Erarbeitung eines Prototyps für ein softwaregestütztes „Vier-Augen-Modul“. Die Ergebnisse werden abschließend mittels Gegenüberstellung von Angriffsvektoren und der Schutzmaßnahme „Vier-Augen-Modul“ evaluiert.

Ergebnis

Mit dieser Arbeit konnte ein umfassender Überblick zum Thema Informationsdiebstahl erarbeitet werden. Es wurden die Bedingungen geklärt, welche Informationen zu schützen sind und welche möglichen Angriffsszenarien es abzuwehren gilt. Des Weiteren liefert die Arbeit eine Übersicht aktueller Anforderungen und Standards. Mit diesem theoretischen Wissen wurden Resultatstabellen entwickelt. Dabei werden einerseits die Bedrohungsszenarien den Sicherheitsmaßnahmen und anderseits die Sicherheitsmaßnahmen den Informationsklassifizierungen gegenübergestellt.

Zur Veranschaulichung dieses Konzepts wurde eine konkrete Sicherheitsmaßnahme ausgewählt und dazu auch ein Modul entwickelt, mit welchem das Vier-Augen-Prinzip sehr einfach in bestehende Applikationen des Web-Frameworks Django eingebunden werden kann.