TR 03126-4 - Bundesamt für Sicherheit in der Informationstechnik ...
TR 03126-4 - Bundesamt für Sicherheit in der Informationstechnik ...
TR 03126-4 - Bundesamt für Sicherheit in der Informationstechnik ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>TR</strong> <strong>03126</strong>-4: E<strong>in</strong>satzgebiet „Handelslogistik“<br />
diese Anfragen (im Kommunikationsmodell: Nachrichten) über den Benutzer <strong>in</strong><br />
Verb<strong>in</strong>dung stehen.<br />
e Unbeobachtbarkeit: Unbeobachtbarkeit e<strong>in</strong>es Ereignisses ist <strong>der</strong>jenige Zustand, <strong>in</strong><br />
dem nicht zu entscheiden ist, ob dieses Ereignis stattf<strong>in</strong>det o<strong>der</strong> nicht. Somit kann<br />
bei Sen<strong>der</strong>-Unbeobachtbarkeit nicht erkannt werden, ob überhaupt gesendet wird.<br />
Empfänger-Unbeobachtbarkeit ist analog def<strong>in</strong>iert, es kann nicht festgestellt werden<br />
ob empfangen wird o<strong>der</strong> nicht. Beziehungs-Unbeobachtbarkeit bedeutet, dass<br />
nicht erkennbar ist, ob aus <strong>der</strong> Menge <strong>der</strong> möglichen Sen<strong>der</strong> zur Menge <strong>der</strong> möglichen<br />
Empfänger gesendet wird.<br />
f Anonymität: Anonymität ist <strong>der</strong> Zustand, <strong>in</strong> dem man <strong>in</strong>nerhalb se<strong>in</strong>er Anonymitätsgruppe<br />
nicht identifizierbar ist. Mit Hilfe des Begriffs Unverknüpfbarkeit lässt<br />
sich Anonymität nun präzisieren zu Unverknüpfbarkeit zwischen <strong>der</strong> Identität des<br />
Benutzers und des von ihm ausgelösten Ereignisses. Somit gibt es Sen<strong>der</strong>-<br />
Anonymität als Unverknüpfbarkeit zwischen Sen<strong>der</strong> und Nachricht und Empfänger-Anonymität<br />
entsprechend als Unverknüpfbarkeit zwischen Nachricht und Empfänger.<br />
g Authentizität: Mit dem Begriff Authentizität wird die Eigenschaft bezeichnet, die<br />
gewährleistet, dass e<strong>in</strong> Kommunikationspartner tatsächlich <strong>der</strong>jenige ist, <strong>der</strong> er<br />
vorgibt zu se<strong>in</strong>. Bei authentischen Informationen ist sichergestellt, dass sie von <strong>der</strong><br />
angegebenen Quelle erstellt wurden. Der Begriff wird nicht nur verwendet, wenn<br />
die Identität von Personen geprüft wird, son<strong>der</strong>n auch bei IT-Komponenten o<strong>der</strong><br />
Anwendungen.<br />
h Nichtabstreitbarkeit: Das Versenden bzw. Empfangen von Nachrichten durch authentisch<br />
festgestellte Personen ist gegen Abstreiten zu schützen.<br />
i Verb<strong>in</strong>dlichkeit: Unter Verb<strong>in</strong>dlichkeit werden die IT-<strong>Sicherheit</strong>sziele Authentizität<br />
und Nichtabstreitbarkeit zusammengefasst. Bei <strong>der</strong> Übertragung von Informationen<br />
bedeutet dies, dass die Informationsquelle ihre Identität bewiesen hat und <strong>der</strong><br />
Empfang <strong>der</strong> Nachricht nicht <strong>in</strong> Abrede gestellt werden kann.<br />
3 Datenschutz<br />
Zweck des Datenschutzes ist es, den E<strong>in</strong>zelnen davor zu schützen, dass er durch den<br />
Umgang mit se<strong>in</strong>en personenbezogenen Daten <strong>in</strong> se<strong>in</strong>en Persönlichkeitsrechten bee<strong>in</strong>trächtigt<br />
wird.<br />
Mit Datenschutz wird <strong>der</strong> Schutz personenbezogener Daten vor etwaigem Missbrauch<br />
durch Dritte bezeichnet (nicht zu verwechseln mit Datensicherheit).<br />
Weiterh<strong>in</strong> sollen die folgenden Begrifflichkeiten e<strong>in</strong>heitlich verwendet werden:<br />
1 <strong>Sicherheit</strong>sziele<br />
<strong>Sicherheit</strong>sziele s<strong>in</strong>d sicherheitsrelevante Ziele bei <strong>der</strong> Realisierung e<strong>in</strong>es IT-Systems.<br />
Im Rahmen dieses Dokuments werden spezifische <strong>Sicherheit</strong>sziele <strong>in</strong>nerhalb von<br />
E<strong>in</strong>satzgebieten und E<strong>in</strong>satzszenarien festgelegt. E<strong>in</strong>e Verletzung <strong>der</strong> <strong>Sicherheit</strong>sziele<br />
erzeugt unmittelbaren Schaden <strong>für</strong> die Entität, <strong>der</strong>en <strong>Sicherheit</strong>sziel verletzt wird.<br />
2 Gefährdungen<br />
Gefährdungen s<strong>in</strong>d unmittelbare Gefahren <strong>für</strong> die <strong>Sicherheit</strong>sziele <strong>der</strong> Anwendung.<br />
Diese können als Folge e<strong>in</strong>es aktiven Angriffs auf e<strong>in</strong>es o<strong>der</strong> mehrere <strong>Sicherheit</strong>sziele<br />
o<strong>der</strong> <strong>in</strong> Form von möglichen Schwächen des Systems, wie z. B. dem Fehlen e<strong>in</strong>er<br />
Rückfalllösung, auftreten.<br />
3 Maßnahmen<br />
Maßnahmen s<strong>in</strong>d konkrete Handlungsempfehlungen, die gegen e<strong>in</strong>e o<strong>der</strong> mehrere Gefährdungen<br />
wirken. Die <strong>in</strong> diesem Dokument genannten Maßnahmen sollen s<strong>in</strong>nvoll und<br />
bedarfsgerecht se<strong>in</strong>, d.h. sie werden unter den Gesichtspunkten Wirtschaftlichkeit und<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> <strong>in</strong> <strong>der</strong> <strong>Informationstechnik</strong> 75