Diese Arbeit soll die aktuelle Situation der IT-Sicherheit in Bezug auf Betriebssysteme darstellen. Welche Schwachstellen können entstehen und wie kann ein Betriebssystem optimiert werden? Die wissenschaftliche Recherche fokussiert sich auf einige Themen der IT-Sicherheit sowie der wichtigsten Steuerungselementen des Betriebssystems.
Die digitale Revolution begann in den 1940ern mit der Entwicklung des Computers und bildet sich seitdem ständig weiter aus. Den Höhepunkt bilden aktuell die technische Vielfalt des Internets sowie die zunehmende Digitalisierung von Geschäftsprozessen. Das Internet verbindet Milliarden von Menschen und rund 40 Milliarden von mobilen Endgeräten miteinander. Die ausgeprägte digitale Vernetzung ermöglicht autonomes Fahren, wie auch lückenlose Überwachung und Cyberkriminalität. Der Fortschritt der Kommunikationstechnik kreiert die Vision einer weitumfassenden Vernetzung von Computern und mobilen Endgeräten. Teure Kabelverbindungen werden durch Mikroprozessoren und Funksensoren ersetzt. Der technologische Wandel wurde von Menschen in Überschall erschaffen und die IT-Sicherheit trottet noch hinterher. Es können weltweit im Sekundentakt Millionen von Hacker- und Lauschangriffen registriert werden. Dadurch entstehen nicht nur gewaltige wirtschaftliche Schäden, sondern auch datenschutzbedürftige Missbrauchsfälle im Bereich der Privatsphäre. Die Annahme, die aktuelle Sicherheitstechnik sei ausreichend, ist unbefriedigend. Sie beruht auf der einzigen Tatsache, dass es dem Angreifer aufgrund physikalischer Rechenleistung nicht möglich ist, Verschlüsselungen zu hacken. Zu den heut bekannten Cyber-Attacken zählen, Ausfälle von Systemen, manipulierte und missbräuchlich verwendete Daten und auch zerstörte Daten. Dies wird durch Massen E-Mails mit Viren und viele weiteren einfachen und komplexen Hack-Methoden verursacht. Die kontinuierliche Internetanbindung der Computer, bieten optimale Voraussetzungen für Cyber-Angriffe. Ein nicht zu unterschätzender Punkt erfolgreicher Angriffe, bildet die Unwissenheit und das Fehlverhalten der Nutzer.
Inhaltsverzeichnis
Abkürzungsverzeichnis
Abbildungsverzeichnis
1 Einleitun
1.1 Problemstellung
1.2 Zielsetzung
1.3 Vorgehensweise
2 Betriebssysteme
2.1 Definition
2.2 Aufbau
2.3 Relevanz
2.4 Sicherheitslücken
3 IT-Sicherhe
3.1 Definition
3.2 Grundwerte
3.3 ISMS
3.4 Bedrohungen im Betriebssystem
3.4.1 Technische Ebene
3.4.2 Anwender Ebene
3.4.3 Sonstige Bedrohungen
4 Sicherheitskonzept.
4.1 Analyse
4.2 Umsetzung
4.3 Optimierung des Betriebssystems
4.3.1 Benutzerverwaltung
4.3.2 E-Mail (Outlook)
4.3.3 Windows Firewall
4.3.4 Windows Update
4.3.5 Sonstige
4.4 Alternative Lösungen
4.4.1 Cloud Lösung
4.4.2 Awareness
4.4.3 Digitalisierung und Industrie 4.0
4.4.4 Quanten Computing
5 Fazit
Literaturverzeichnis
Internetquellen
Abkürzungsverzeichnis
Abbildung in dieser Leseprobe nicht enthalten
Abbildungsverzeichnis
Abbildung 1: Interaktion PC
Abbildung 2: Sicherheit Windows10
Abbildung 3: Web Browser
Abbildung 4: Kommunikationssysteme
1 Einleitung
Die digitale Revolution begann in den 1940ern mit der Entwicklung des Computers und bildet sich seitdem ständig weiter aus. Den Höhepunkt bilden aktuell die technische Vielfalt des Internets sowie die zunehmende Digitalisierung von Geschäftsprozessen. Das Internet verbindet Milliarden von Menschen und rund 40 Milliarden von mobilen Endgeräten miteinander. Die ausgeprägte digitale Vernetzung ermöglicht autonomes Fahren, wie auch lückenlose Überwachung und Cyberkriminalität. Der Fortschritt der Kommunikationstechnik kreiert die Vision einer weitumfassenden Vernetzung von Computern und mobilen Endgeräten. Teure Kabelverbindungen werden durch Mikroprozessoren und Funksensoren ersetzt. Der technologische Wandel wurde von Menschen in Überschall erschaffen und die IT-Sicherheit trottet noch hinterher. Es können weltweit im Sekundentakt Millionen von Hacker- und Lauschangriffen registriert werden. Dadurch entstehen nicht nur gewaltige wirtschaftliche Schäden, sondern auch datenschutzbedürftige Missbrauchsfälle im Bereich der Privatsphäre. Die Annahme, die aktuelle Sicherheitstechnik sei ausreichend, ist unbefriedigend. Sie beruht auf der einzigen Tatsache, dass es dem Angreifer aufgrund physikalischer Rechenleistung nicht möglich ist, Verschlüsselungen zu hacken.1 Zu den heut bekannten Cyber-Attacken zählen, Ausfälle von Systemen, manipulierte und missbräuchlich verwendete Daten und auch zerstörte Daten. Dies wird durch Massen E-Mails mit Viren und viele weiteren einfachen und komplexen Hack-Methoden verursacht. Die kontinuierliche Internetanbindung der Computer, bieten optimale Voraussetzungen für Cyber-Angriffe.2 Ein nicht zu unterschätzender Punkt erfolgreicher Angriffe, bildet die Unwissenheit und das Fehlverhalten der Nutzer.3
1.1 Problemstellung
Die mangelnde IT-Sicherheit und die mutmaßlichen Cyber-Attacken stellen die Gesellschaft an die Wand. Täglich werden weitere Sicherheitslücken in Betriebssystemen und anderen Software-Systemen aufgedeckt und von Hackern eiskalt ausgenutzt. Es stellt sich auch die Frage, welche Informationstechnologischen Trends wir momentan ausgesetzt sind und was die Fachliteratur und Internetrecherche für die IT-Sicherheit prognostiziert.
1.2 Zielsetzung
Diese Arbeit soll die aktuelle Situation der IT-Sicherheit in Bezug auf Betriebssystemen darstellen. Welche Schwachstellen können entstehen und wie kann ein Betriebssystem optimiert werden. Die wissenschaftliche Recherche fokussiert sich auf einige Themen der IT-Sicherheit sowie der wichtigsten Steuerungselementen des Betriebssystems. Da es sich hierbei nicht um ein umfassendes Buch handelt, können nicht alle bekannten Hackerangriffsmöglichkeiten sowie alle möglichen Sicherheitsvorkehrungen aufgeführt werden. Diese würde den Rahmen dieser Arbeit noch mehr sprengen.
1.3 Vorgehensweise
Nach der Einleitung befasst sich die Arbeit im Kapitel 2 mit der Definition und dem Einsatz von Betriebssystemen. Im 3. Kapitel gibt es eine Überleitung zur IT-Sicherheit. Hierbei werden die wichtigsten Aspekte erwähnt und die Sicherheitslücken des Betriebssystems erarbeitet. Dabei werden auch Bedrohungen formuliert, die nur sekundär das Betriebssystem betreffen. Kapitel 4 zeigt Optimierungsmöglichkeiten des Betriebssystems in Bezug zur IT-Sicherheit auf. Ab dem Kapitel 4.4 werden alternative Möglichkeiten notiert. Diese wurden in der Fachliteratur nur unterschwellig mit der IT-Sicherheit in Verbindung gebracht. Die Arbeit soll wissenschaftliche Fakten darlegen, die aktiv umgesetzt werden können aber auch einen Anreiz zum Umdenken geben. Die alternativen Lösungen können zukünftig einen höheren Stellenwert erlangen als Sie momentan erreicht haben.
2 Betriebssysteme
Das am häufigsten genutzte Server-Betriebssystem ist Windows. Gefolgt von Mac OS, Unix und Linux. Die darunterfallende Kategorie der Client-Betriebssysteme weist die gleiche Reihenfolge der Hersteller auf. In einem Unternehmen kommen verschiedene Serverarten zum Einsatz, um auf Clientebene, den Nutzer ein Arbeitsumfeld zu schaffen. Das Client-Betriebssystem sorgt dann lokal auf dem jeweiligen Rechner (PC) dafür, dem User Arbeitsvorgänge im geschäftlichen als auch im privaten Bereich, zu ermöglichen. In Unternehmen werden die Vernetzung und Verwaltung der Mitarbeiter-Rechner über das Internet bzw. über ein Intranet vorgenommen.4
2.1 Definition
Ein Betriebssystem ist eine Systemsoftware. Eine Systemsoftware (Software), schafft die Infrastruktur für das Zusammenspiel von Anwendungen und Entwicklungen auf den Computern. Gleichzeitig bildet sie Schnittstellen zur Hardware und anderen Systemen.5
2.2 Aufbau
Ein Computer besteht aus der Hardware und einem Betriebssystem (Software). Der Betriebssystemkern (Kernel) ermöglicht das Ausführen von Systemprozessen. Diese Prozesse erbringen Dienstleistungen für das Betriebssystem. Diese Kernfunktionalitäten sind z.B. die Verwaltung der Hardwarekomponenten, Daten in unterschiedliche Datenspeichern verarbeiten, Interprozesskommunikation und Verwaltung von Benutzer sowie Benutzergruppen. Auf der Hierarchieebene befinden sich über dem Betriebssystem verschiedene Benutzerprozesse. Diese werden vom Benutzer dem Betriebssystem zur Ausführung, in Auftrag gegeben.6
Abbildung 1: Interaktion PC
Abbildung in dieser Leseprobe nicht enthalten
Quelle: In Anlehnung an Baun, C., Operating Systems/ Betriebssysteme, 2020, S. 16f
Das Schichtenmodell beschreibt die verschiedenen Schichten eines Betriebssystems. Diese Komponenten sind logisch aufgebaut. Zur einfacheren Beschreibung werden wie folgt 3 Schichten beschrieben. Die innerste Schicht ist direkt mit der Hardware in Kontakt. Die Mittlere Schicht bietet grundlegend Ein- und Ausgabe Dienste für Daten und Geräte. Die äußerste Schicht umfasst Anwendungsprogramme sowie die Benutzerschnittstelle. Die verschiedenen Schichten kommunizieren mit ihren benachbarten Schichten.7
2.3 Relevanz
Ein Betriebssystem ist eine Software, die primäre Inhalte aus der praktischen Informatik einbezieht. Gleichzeitig ist einer der Hauptaufgaben des Betriebssystems, den jeweiligen Computer zu steuern. Dies fällt in den Bereich der technischen Informa- tik.8
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 2: Sicherheit Windows10
Quelle: In Anlehnung an Brandt, M., Sicherheitsrisiko Betriebssystem, 2018
3 IT-Sicherheit
Die ISO 27001 und 27002 weisen noch Formulierungen der Standard Richtlinien des älteren BS (British Standard) 7799 auf. Die British Standard Institution ist eine international anerkannte Zertifizierungsstelle für ISO 27001 und ist sowohl mit deutschsprachigen Seiten im Internet vertreten. Mittlerweile ist dieses Netzwerk weit ausgebaut und in verschiedenen Ländern mit ausgewählten Zertifizierungsstellen, vertre- ten.9 In Deutschland wird die Zertifizierung dem BSI (Bundesamt für Sicherheit in der Informationstechnik) zugeschrieben. Die Zertifizierung nach ISO 27001 erfolgt auf Basis des IT-Grundschutzes.10
3.1 Definition
Die IT-Sicherheit ist Bestandteil der Informationssicherheit und dient unter anderem zum Schutz elektronisch gespeicherter Informationen sowie deren Verarbeitung. Damit ist, die Funktionssicherheit und Zuverlässigkeit der IT-Systeme, gemeint. Die IT- Sicherheit gilt ebenfalls in der Cyber-Sicherheit und wird auf den gesamten CyberRaum ausgeweitet. Die IT-Sicherheit umfasst ebenso den Datenschutz. Dieser schützt personenbezogene Daten vor missbräuchlicher Verwendung und Datenverarbeitung. Es gilt das Recht des Einzelnen auf informationelle Selbstbestimmung. Durch Gesetze, Normen, Regulatoren und Richtlinien soll der Schutz leichter eingehalten werden können.11
3.2 Grundwerte
Der IT-Grundschutz liefert Richtlinien und einen Standard zur Ausprägung und Einhaltung der IT-Sicherheit. Der BSI entwickelt diese Standards in regelmäßigen Abständen weiter und gleicht sie gegen den internationalen Normen ISO/IEC 27001 ab. Die wesentlichen Bestandteile und Richtlinien des IT-Grundschutzes sind:
- BSI-Standards zur Gewährleistung der Informationssicherheit
- ISMS - Managementsysteme für Informationssicherheit
- Vorgehensweise, Risikoanalyse und Notfallmanagement
Ziel ist es, konkrete Sicherheitsanforderungen, Umsetzungshinweise, Mindestanforderungen und Sicherheitsmaßnahmen zu beschreiben und zu definieren. Bei einem erhöhten Schutzbedarf kann nach einer Analyse ein Sicherheitskonzept weitere organisatorische, personelle und technische Sicherheitsmaßnahmen erfassen und vorgeben. Der IT-Grundschutz findet in der IT-Umgebung und in Unternehmen Anwendung.12
Die Sicherheitsziele und Grundwerte des IT-Grundschutzes können in 3 Grundbereiche formuliert werden:
- Vertraulichkeit (Informationen nur für Autorisierte sowie Verschlüsselung)
- Integrität (nur autorisierte Veränderungen sowie digitale Signaturen)
- Verfügbarkeit (ausfallsichere Stromversorgung sowie Datenmanagement)
Bei den Punkten Integrität und Verfügbarkeit, zählen genauso IT-Systeme, IT-Anwendungen und allgemeine Prozesse dazu.13
In Bezug auf den Datenschutz können noch drei weitere Punkte genannt werden:
- Intervenierbarkeit (Löschen, Sperren, Auskunftserteilung seiner Daten)
- Unverknüpfbarkeit (Abschottung und Datensparsamkeit seiner Daten)
- Revisionsfähigkeit (Protokollierung bei Erhebung/Bearbeitung seiner Da- ten)14
3.3 ISMS
Der ISO Standard 27001 beschäftigt sich umfassend mit dem ISMS. Dieses Informations-Sicherheits-Management-System definiert die Leitlinien für folgende Aufführungen:
- Risiken und Chancen analysieren
- Rollen und Verantwortlichkeiten bestimmen
- Verfahren und Methoden vermitteln
- Maßnahmenregelung umsetzen
- Überprüfungen auswerten
Das ISMS kommt in Organisationen, darunter zählen natürlich auch Unternehmen, zum Einsatz. Dieses Management befasst sich mit der gesamten Organisation. Sie kann aber in Einzelfällen auch nur für bestimmte Standorte oder Prozesse, einer
Organisation, zum Einsatz kommen.15 Eine Zertifizierung nach ISO 27001 durch autorisierte Stellen ist nicht nur ein immer wichtig werdender Punkt, sondern häufig wird diese Konformität auch von externen und gesetzlichen Voraussetzungen angefordert.16
3.4 Bedrohungen im Betriebssystem
Im BSI-Katalog gilt als „Bibel“ für die IT-Sicherheit. Im Jahre 2016 erfasste diese Ausgabe satte 5082 Seiten. Darin werden technische Sicherheitsmaßnahmen, infrastrukturelle, organisatorische wie auch personelle Schutzmaßnahmen, beschrieben. Sicherheitsmaßnahmen in Bezug zum Betriebssystem, sind dort ebenfalls ersichtlich. Sofern eine Erstellung von Sicherheitsvorschriften im Unternehmen geplant ist, lohnt es sich stark einen Blick in diesen frei verfügbaren Standard zu werfen.
In den sechs Gefährdungs- und Maßnahmenkatalogen geht es auch um:
- Hackerangriffe
- vorsätzliche Handlungen
- technisches Versagen
- menschliche Fehlhandlungen
- organisatorische Mängel
- Diebstahl und Schadprogramme im IT-Umfeld
Gefährdungen durch Schwachstellen und Bugs in Betriebssystemen werden sogar unter „elementare Gefährdungen“ hoch eingestuft.17
[...]
1 Vgl. Fürnkranz, G., Vision Quanten-Internet, 2019, S. 1ff.
2 Vgl. Hanschke, I., Informationssicherheit und Datenschutz systematisch und nachhaltig gestalten, 2020, S. 1f.
3 Vgl. Darms, M. et al., IT-Sicherheit und Datenschutz im Gesundheitswesen, 2019, S. 71f.
4 Vgl. Kees, A. et al., Open Source Enterprise Software, 2019, S. 50f.
5 Vgl. Kees, A. et al., Open Source Enterprise Software, 2019, S. 9.
6 Vgl. Baun, C., Operating Systems/ Betriebssysteme, 2020, S. 16f.
7 Vgl. Baun, C., Operating Systems/ Betriebssysteme, 2020, S. 37f.
8 Vgl. Baun, C., Operating Systems/ Betriebssysteme, 2020, S. 15f.
9 Vgl. Kersten, H. et al., IT-Sicherheitsmanagement nach der neuen ISO 27001,2020, S. 1ff.
10 Vgl. o. V., BSI und ISO, 2020
11 Vgl. Hanschke, I., Informationssicherheit und Datenschutz systematisch und nachhaltig gestalten, 2020, S. 2.
12 Vgl. Hanschke, I., Informationssicherheit und Datenschutz systematisch und nachhaltig gestalten, 2020, S. 18ff.
13 Vgl. Kersten, H. et al., IT-Sicherheitsmanagement nach der neuen ISO 27001,2020, S. 6f.
14 Vgl. Darms, M. et al., IT-Sicherheit und Datenschutz im Gesundheitswesen, 2019, S. 48.
15 Vgl. Kersten, H. et al., IT-Sicherheitsmanagement nach der neuen ISO 27001,2020, S. 5f.
16 Vgl. Kersten, H. et al., IT-Sicherheitsmanagement nach der neuen ISO 27001,2020, S. 77.
17 Vgl. Darms, M. et al., IT-Sicherheit und Datenschutz im Gesundheitswesen, 2019, S. 82ff.