Begri�sde�nitionen in KASTEL

27. September 2013

De�nitionen

1. AngreiferEin Angreifer ist ein System, eine Person oder eine Personengrup-pe, die einen oder mehrere Angri�e durchführen.

2. AngreifermodellEin Angreifermodell beschreibt die Fähigkeiten eines Angreifers,Angri�e auf ein System durchzuführen.

3. Angri�Ein Angri� ist die gezielte Realisierung einer Bedrohung.

4. ArchitekturDie Architektur eines Systems beschreibt die Struktur der einzel-nen Komponenten des Systems und deren Zusammenwirken überihre Schnittstellen.

5. AuthentizitätEin System bewahrt Authentizität (Nachrichtenauthentizität/Da-tenursprungsauthentizität), wenn es schwache Integrität bewahrt

1

und es möglich ist, den Ursprung jedes Datums zu identi�zieren(vgl. [20]).

6. AutorisierungAutorisierung ist die Erlangung einer Berechtigung.

7. AutorisierungsverletzungEine Autorisierungsverletzung ist der Zugri� auf eine Ressourceohne im Besitz einer entsprechenden Berechtigung zu sein.

8. BedrohungenEine Bedrohung eines Systems ist eine Möglichkeit, ein oder meh-rere Sicherheitsziele gezielt zu beeinträchtigen.

9. Datenschutz-SchutzzielEin Datenschutz-Schutzziel ist ein Sicherheitsziel, das das abstrak-te Gut der Privatsphäre schützt.

10. GüterGüter sind Ressourcen, die für mindestens einen Akteur einen(subjektiven) realen oder ideellen Wert besitzen.

11. IntegritätEin System bewahrt starke Integrität, wenn es nicht möglich ist,Daten unautorisiert zu manipulieren (vgl. [20]). Ein System be-wahrt schwache Integrität, wenn es nicht möglich ist, Daten un-autorisiert und unbemerkt zu manipulieren (vgl. [10]).

12. IntervenierbarkeitIntervenierbarkeit ist gegeben, wenn ein System jedem Betro�e-nen die Ausübung der ihm zustehenden Rechte wirksam durchoperationalen Zugri� auf Verfahren und Daten ermöglicht.

13. KomponenteEine Komponente ist ein Bestandteil eines technischen Systems,

2

der eine abgeschlossene (Teil-)Funktion des Systems realisiert unddurch explizite Schnittstellen sowohl diese Funktion anbietet alsauch Funktionen anderer Komponenten erfordern kann.

14. NichtabstreitbarkeitEin System bewahrt Nichtabstreitbarkeit in Bezug auf einen Vor-gang gegenüber einem Akteur, wenn das Statt�nden des Vorgangsnicht nachträglich durch eine der beteiligten Instanzen gegenüberdem Akteur wirksam abgestritten werden kann.

15. NichtverkettbarkeitNichtverkettbarkeit ist dann gewährleistet, wenn personenbezoge-ne Daten nicht oder nur mit unverhältnismäÿig hohem Aufwandfür einen anderen als den ausgewiesenen Zweck erhoben, verarbei-tet und genutzt werden können.

16. RisikoDas Risiko einer Bedrohung bildet die Höhe des potentiell entste-henden Schadens und die Eintrittswahrscheinlichkeit (oder relati-ve Häu�gkeit) auf einen Zahlenwert ab.

17. SafetyZustand des Geschütztseins von bestimmten Gütern vor bestimm-ten Gefahren.

18. SecurityZustand des Geschütztseins von bestimmten Gütern vor bestimm-ten Bedrohungen.

19. SicherheitZustand des Geschütztseins von bestimmten Gütern vor bestimm-ten Bedrohungen und Gefahren (also Security und Safety).

20. SicherheitsanforderungenNicht-funktionale Anforderungen, um de�nierte Sicherheitsziele zuerreichen (vgl. [6]).

3

21. SicherheitsmechanismusEin Sicherheitsmechanismus ist ein Verfahren zur Durchsetzungeines oder mehrerer Sicherheitsziele.

22. SicherheitsrichtlinienSicherheitsrichtlinien geben vor, welche Sicherheitsanforderungenerfüllt werden müssen und welche Maÿnahmen dafür durchgesetztwerden sollen.

23. SicherheitsvorfallEin Sicherheitsvorfall ist ein eingetretenes Ereignis, durch das einSicherheitsziel verletzt wurde.

24. SicherheitszielEin Sicherheitsziel beschreibt eine Eigenschaft einer Komponenteoder eines Systems, die erfüllt werden muss, um bestimmte Gütervor bestimmten Bedrohungen zu schützen.

25. SystemEin System ist die Gesamtheit von Komponenten, die zusammen-wirken, um eine bestimmte Funktionalität zu erfüllen.

26. TransparenzTransparenz ist die Möglichkeit, die Erhebung, Verarbeitung undNutzung von Daten mit zumutbarem Aufwand planen, nachvoll-ziehen, überprüfen und bewerten zu können.

27. VerfügbarkeitDie Verfügbarkeit eines Systems beschreibt, in welchem Maÿe dieFunktionalität des Systems von berechtigten Subjekten unabhän-gig von Ein�üssen in Anspruch genommen werden kann.Die Verfügbarkeit eines Systems in Gegenwart von Angreifern be-schreibt, in welchem Maÿe die Funktionalität des Systems von be-rechtigten Subjekten unabhängig von gezielten Ein�üssen in An-spruch genommen werden kann.

4

28. VertraulichkeitEin System bewahrt Vertraulichkeit, wenn es keine unautorisierteInformationsgewinnung ermöglicht.

29. VerwundbarkeitVerwundbarkeit ist eine Bedrohung, die von mindestens einem derbetrachteten Angreifer realisiert werden kann.

30. Zugri�sschutzAlle Benutzer erhalten jeweils nur bestimmte Zugri�srechte aufbestimmte Daten, Informationen und Ressourcen.

31. ZurechenbarkeitZurechenbarkeit bezüglich eines Akteurs ist gegeben, wenn Vor-gänge den beteiligten Instanzen gegenüber dem Akteur zugeordnetwerden können.

5

Begründung

zu (1)Erläuterung:Es wird üblicherweise zwischen passiven und aktiven Angreifernunterschieden. Ein passiver Angreifer ist dadurch charakterisiert,dass er die Datenübertragung lediglich abhört, während ein akti-ver Angreifer beliebig in das Kommunikationsprotokoll eingreifenkann (z. B. durch Vortäuschen einer fremden Identität, Verände-rung/Fälschung von Nachrichten, Einschränkung der Verfügbar-keit etc.) (vgl. [31]).

Synonyme:Adversary, Attacker

Verwandte Begri�e:Angri�, Angreifermodell

zu (2)Erläuterung:Zu der Beschreibung der Fähigkeiten gehören die erlaubten Aktio-nen, die der Angreifer nach Annahme machen darf (beispielsweisekönnte das Abhören von Nachrichten erlaubt, das Manipulierenderselben jedoch unmöglich sein), die verschiedenen Ressourcen-typen, auf die er Zugri� hat (in einem Rechnernetz bestehend ausden Rechnern A,B,C könnte der Angreifer z. B. die Kontrolle überden Rechner A haben, während die anderen beiden Rechner nichtunter seiner Kontrolle stehen) sowie die Rechenleistung des An-greifers (z. B. könnte eine polynomielle Laufzeitbeschränkung ineinem Sicherheitsparameter gefordert werden).

Verwandte Begri�e:Angreifer, Angri�

Beispiele:Das Dolev-Yao-Angreifermodell (vgl. [9]), Angreifermodelle für

6

Verschlüsselungsverfahren wie z. B. das Chosen-Ciphertext-Attack-Modell (vgl. [21])

zu (3)Erläuterung:Die Formulierung �gezielte Realisierung� bringt zum Ausdruck,dass die im Rahmen eines Angri�s durchgeführten Aktionen ab-sichtlich erfolgen. Beispielsweise ist die Änderung von Nachrichtendurch zufällig hervorgerufene Bitfehler kein Angri�, sie bedrohtaber dennoch deren Integrität.

Synonyme:Attack

Verwandte Begri�e:Angreifer, Angreifermodell, Bedrohungen

zu (4)Erläuterung:Diese De�nition lehnt sich an die De�nition von Kruchten, Ob-bink und Sta�ord (2006, p. 23 [22]) an: �Software architectureinvolves the structure and organization by which modern systemcomponents and subsystems interact to form systems, and the pro-perties of systems that can best be designed and analyzed at thesystem level�. Wir lassen die Forderung nach der Organisation derKomponenten fallen, da auch ohne dies eine Architektur beschrie-ben werden kann und unklar ist, welche Mindestanforderungeneine Organisationsbeschreibung erfüllen müsste. Wir verzichtenauÿerdem auf die unnötige Einschränkung auf moderne Kompo-nenten und vermeiden die Nennung von Subsystemen, um auchSysteme ohne explizite Subsysteme abzudecken. Die Einschrän-kung auf Eigenschaften. die am besten auf Systemebene entwor-fen und analysiert werden können, haben wir nicht übernommen,da dies zwar für Architekturen wünschenswert, aber kaum objek-tiv messbar ist und nicht zwingend vorliegen muss, um von einer

7

Architektur zu sprechen. Gerade bei der Analyse der Sicherheitvon Systemarchitekturen sind je nach Art der Analyse und desSystems unterschiedliche Eigenschaften nötig oder über�üssig.

Synonyme:Systemarchitektur, Architecture

Beispiel:Um beispielsweise eine Client-Server-Architektur nach dieser De-�nition zu beschreiben, muss ausgedrückt werden, welche Kompo-nenten Dienste bereitstellen, welche Komponenten Dienste in An-spruch nehmen, es müssen die Schnittstellen für Dienstanfragenund Ergebnisse beschrieben und erläutert werden, welche Kompo-nenten zur Bereitstellung eines Dienstes über diese Schnittstellenzusammenwirken.

zu (5)Erläuterung:Die hier eingeführte De�nition lässt auch technische Systeme alsUrsprung zu. Dies erlaubt eine modularere Handhabung des Be-gri�s der Authentizität, indem es beispielsweise ermöglicht, fürein Gesamtsystem Authentizität zu fordern, aber innerhalb einestechnischen Systems zu erlauben, dass Authentizität für ein Sub-system auch dann gewährleistet ist, wenn als Datenursprung einanderes technisches System identi�zierbar ist, und von diesem Sys-tem wiederum der Urheber in Form einer Person/eines Benutzersermittelt werden kann.

Abgrenzung:Aus rechtlicher Sicht ist Authentizität gegeben, wenn sichergestelltist, dass empfangene Daten auch tatsächlich von authentisiertenund autorisierten Benutzern stammen [15].

Synonyme:Authenticity, Echtheit, Originalität

8

Verwandte Begri�e:Integrität

Beispiel:Die Authentizität von Daten kann mittels digitaler Signaturenüberprüft werden.

zu (6)Erläuterung:Autorisierung sagt zunächst nichts darüber aus, ob die Erlangungrechtmäÿig/bestimmungsgemäÿ erfolgt ist, d. h. sowohl die Erlan-gung einer Berechtigung aufgrund unrechtmäÿig erlangter Auto-risierungstokens oder aufgrund von Fehlkon�gurationen gilt alsAutorisierung. Üblicherweise geschieht Autorisierung durch Au-thenti�zierung der zu autorisierenden Instanz und anschlieÿendeÜberprüfung der damit verbundenen Berechtigungen. Es gibt je-doch auch Verfahren, die unabhängig von der Identität funktio-nieren. Die Erlaubnis ist dann unabhängig von der Identität über-prüfbar und liegt oftmals in Form eines Berechtigungsnachweisesvor (z. B. eine nicht personengebundene Eintrittskarte).

Synonyme:Authorisation

Verwandte Begri�e:Authentizität, Zugri�sschutz

Beispiel:Während eines Login-Vorgangs überprüft die autorisierende In-stanz (Server), ob Benutzername und Passwort zusammenpassen.Eine erfolgreiche Überprüfung führt zur Autorisierung, also zurBerechtigung, Beiträge im Forum zu lesen.

9

zu (7)Erläuterung:Eine Autorisierungsverletzung oder Zugri�sverletzung bedeutetnach dieser De�nition lediglich, dass der Zugri�sschutz unzurei-chend konzeptioniert oder realisiert wurde. Auch ohne Umgehungeines Zugri�sschutzes kann eine Autorisierungsverletzung zivil-rechtliche Folgen, wie beispielsweise Schadensersatzansprüche auf-grund von Vertragsverletzungen, nach sich ziehen. Es kommt aucheine Schadensersatzp�icht nach �� 7, 8 BDSG in Betracht, soferneine verantwortliche Stelle Daten unzulässig oder unrichtig ver-wendet.

Abgrenzung:Die De�nition sagt nichts darüber aus, ob eine Berechtigung vor-liegt und wann und auf welche Weise dies ggf. geprüft wurde.Ebenso wenig wird eine Aussage gemacht, ob Berechtigungen ab-laufen, delegiert werden können oder weitere Berechtigungskon-zepte vorliegen und korrekt überprüft wurden.

Synonyme:Zugri�sverletzung, Access violation

Verwandte Begri�e:Autorisierung, Zugri�sschutz

Beispiel:Wenn der Finder eines mobilen Rechners Zugri� auf Ressourceneines fernwartbaren Systems erlangt, die nur dem Besitzer desRechners eingeräumt wurden, dann liegt eine Autorisierungsver-letzung obwohl u.U. keine Zugri�skontrolle des fernwartbaren Sys-tems selbst versagt hat.

zu (8)Erläuterung:Üblicherweise wird zwischen internen und externen Bedrohungenunterschieden (vgl. [6]). Beispielsweise ist der Geheimnisverrat

10

durch einen Mitarbeiter eine interne Bedrohung, während der po-tenzielle Angri� durch Hacker eine externe Bedrohung darstellt.

Verwandte Begri�e:Angri�

Beispiel:Man-in-the-middle, Denial-of-Service, Seitenkanäle

zu (9)Erläuterung:Der Begri� der Datenschutz-Schutzziel(e) ist entwicklungso�enund nicht statisch (vgl. [7]). Neben den klassischen Schutzzie-len Transparenz, Nichtverkettbarkeit und Intervenierbarkeit kom-men weitere Schutzziele in Betracht. Das können sein: Vertraulich-keit, Nichtverfolgbarkeit, Unbeobachtetheit, Verdecktheit, Anony-mität, Pseudonymität, Zurechenbarkeit, Authentizität, Revisions-fähigkeit, Integrität, Verlässlichkeit, Beherrschbarkeit, Nicht-Ver-mehrbarkeit, Verfügbarkeit und Kontingenz. (vgl. [7])

Abgrenzung:Der Begri� Sicherheitsziel ist ein Oberbegri� und bezieht sich all-gemein auf Komponenten bzw. Systeme und deren zu schützen-de Güter. Der Begri� Datenschutz-Schutzziel bezieht sich deshalbkonkret auf Datensicherheit/technischen Datenschutz.

Verwandte Begri�e:Sicherheitsziel

zu (10)Erläuterung:Sicherheitsziele schützen Güter vor Bedrohungen. Die Zuordnungeines Wertes wird stets aus der subjektiven Sicht eines Akteursfestgelegt. Aus datenschutzrechtlicher Sicht ist das �Recht auf in-formationelle Selbstbestimmung� das schützenswerte Gut. AndereRechtsgebiete schützen andere Güter (materiell und immateriell),

11

z. B. Urheberrechte, Eigentum (� 242 StGB - Diebstahl), Vermö-gen (� 263 StGB - Betrug).

Diskussion:Die De�nition entspricht sinngemäÿ der von Haley et al.:�Security needs arise when stakeholders establish that some re-source involved in a system, be it tangible (e.g., cash) or intangible(e.g., information or reputation), is of value to the organization.Such resources are called assets and the stakeholders naturallywish to protect themselves from any harm involving these assets.Security goals express this desire, describing the involved asset(s)and the harm to be prevented.� (Abschnitt 2.1, [17]). Ebenso ent-spricht diese De�nition sinngemäÿ der in der Common Criteria:�assets � entities that the owner of the TOE (target of evaluation)presumably places value upon� (Abschnitt 4.1, Zeile 18, [12]).

Synonyme:Assets

Verwandte Begri�e:System, Sicherheit

Beispiel:Daten bzw. Information, Ehrschutz und Privatsphäre (Ansehen),Geld, Gesundheit, Verfügbarkeit von aktuellen Nachrichten, Au-thentizität eines Steuerbefehls, usw.

zu (11)Erläuterung:Die starke Integrität fordert die Unmöglichkeit einer unautorisier-ten Datenmanipulation. Im Allgemeinen ist für komplexe Systemeeine solche Anforderung zu strikt als dass man sie sinnvoll reali-sieren könnte. Sie ist technisch allerdings für kleinere, sicherheits-kritische Subsysteme durchaus sinnvoll, da sie mittels formalerMethoden unter Umständen nachgewiesen werden kann. In kom-

12

plexen Systemen würde eher eine schwache Integrität gefordertwerden, da diese realistisch umsetzbar ist.

Abgrenzung:Aus rechtlicher Sicht kann die Integrität bzw. Unversehrtheit vonDaten durch elektronische Signaturverfahren erreicht werden [39].

Diskussion:Die De�nition der starken Integrität greift die De�nition nach Jür-jens [20] auf. Diese verlangt das Verhindern einer Manipulation.Die De�nition der schwachen Integrität ist an die De�nition nachEckert [10] angelehnt. Hier ist es hinreichend, dass eine Manipu-lation der Daten festgestellt werden kann. Schwache Integrität isteine Voraussetzung für Authentizität.

Die De�nition der starken Integrität greift die De�nition nach Jür-jens [20] auf: Die Integrität einer Variable erhält ein System, fallskein Angreifer existiert, so dass zu irgendeinem Zeitpunkt wäh-rend der Ausführung des Systems im Beisein des Angreifers dieVariable einen anderen Wert enthält als sie soll. Problematisch istbei dieser De�nition, dass Sie den Angreifer und dessen Fähigkei-ten direkt miteinbezieht. Es muss zusätzlich spezi�ziert werden,welchen Wert eine Variable haben soll. Diese De�nition entsprichtauÿerdem einer Allquanti�zierung über alle möglichen Zuständeeiner Variable des Systems und schlieÿt somit auch Zwischenzu-stände ein, die eventuell wieder repariert werden könnten.

Synonyme:Integrity, Unversehrtheit

Verwandte Begri�e:Authentizität

Beispiel:Schwache Integrität kann innerhalb eines einzelnen Systems mitHilfe kryptographischer Hashfunktionen, wie z. B. SHA-256 über-prüft werden. Soll Integrität bei einem Datenautausch zwischen

13

verteilten Systemen überprüft werden, dann schützen kryptogra-phische Hash-Funktionen allein jedoch nicht vor absichtlicher Ma-nipulation der übertragenen Daten durch einen (Man-in-the-middle-)Angreifer, da dieser den zur manipulierten Nachricht passendenHashwert berechnen kann. Dieses Problem kann z. B. durch Messa-ge Authentication Codes (MAC), wobei ein gemeinsames Geheim-nis von Sender und Empfänger in die Berechung des Hashwertsein�ieÿt, oder durch kryptographische Signaturen (vgl. Authenti-zität) gelöst werden.

zu (12)Erläuterung:Intervenierbarkeit ist ein Datenschutz-Schutzziel, das seinen Ur-sprung im schleswig-holsteinischen Datenschutz hat. Intervenier-barkeit soll Betro�enen durch technisch-organisatorische Maÿnah-men die Möglichkeit einräumen, in einer Weise auf Daten und Ver-fahren zugreifen zu können, die es ihnen erlaubt, personenbezoge-ne Daten einzusehen (� 34 BDSG) und deren Korrektur, Sperrungoder Löschung zu fordern. Technische bzw. funktionale Anforde-rungen, die sich durch die Forderung von Intervenierbarkeit erge-ben, müssen für jedes konkrete System und dessen Einsatzszenariogesondert betrachtet und festgelegt werden.

In [29] wird argumentiert, dass Transparenz eine notwendige Be-dingung für Intervenierbarkeit ist, beispielsweise um einem Be-tro�enen nachweisen zu können, dass ein von ihm initiiertes odergefordertes Löschen von Daten sich auch tatsächlich auf sämtlicheGenerationen von Kopien und Backups erstreckt hat.

Synonyme:Intervenability

Verwandte Begri�e:Transparenz

14

Beispiel:Intervenierbarkeit kann durch die Einrichtung eines Single-Point-Of-Contact für Betro�ene umgesetzt werden, wo Betro�ene bei-spielsweise ihren datenschutzrechtlichen Auskunftanspruch (� 34BDSG) einfordern können [29]. In Berlin wurde Intervenierbarkeitgesetzlich (� 31a LDSG Berlin) durch ein Recht auf einen rotenNot-Aus-Schalter an einem SmartMeter konkretisiert.

zu (13)Erläuterung:Die Schnittstellen erlauben den Zugri� auf die Funktion einerKomponente und die Interaktion mit anderen Komponenten oderNutzern.

Abgeschlossenheit bedeutet, dass die Funktion einer Komponenteunmittelbar verwendet werden kann, wenn die Funktionen der vonihr benötigten Komponenten zur Verfügung stehen (vergl. Szy-perszki 2011, p. 41 [33]). Das heiÿt es gibt keine weiteren Bedin-gungen, die erfüllt werden müssen, um die Komponente zu verwen-den. Diese Eigenschaft erlaubt es, Komponenten innerhalb einesSystems und über mehrere Systeme hinweg wiederzuverwenden.Die Möglichkeit der Komposition, also das Zusammenfügen meh-rerer Komponenten zu einem Gesamtsystem, gibt der Komponenteihren Namen. Auch wenn Analysen zu einzelnen Komponenten fürtechnische Disziplinen entscheidend sein können, sind solche iso-lierten Betrachtungen aus juristischer Sicht nicht zielführend. EineBeurteilung kann immer nur im Gesamtkontext des Systems undseiner Verwendung erfolgen. So kann es beispielsweise eine ent-scheidende Rolle spielen, in welchem Land ein datenverarbeiten-der Server steht, auch wenn die technische Analyse der einzelnenKomponenten und des Gesamtsystems davon unbeein�usst seinkann.

Abgrenzung:Diese De�nition sagt nichts über die Sicherheitseigenschaften und

15

Schutzziele von Komponenten aus. Es können keine pauschalenAussagen darüber getro�en werden, ob Sicherheitseigenschaftenbei der Komposition mehrerer Komponenten erhalten bleiben (Mur-doch 2010 [24]). Wie schützenswert häu�g wiederverwendete Kom-ponenten aufgrund ihres höheren Ein�usses auf das Gesamtsystemsind, lässt sich ebenfalls nicht allgemein feststellen.

Diskussion:Diese De�nition übernimmt die Forderung nach ausschlieÿlich ex-pliziten Abhängigkeiten von der De�nition von Clemens Szyperski(Szyperszki 2011, p. 41). Sowohl die Forderung, dass Schnittstellenvertraglich festgelegt sein müssen, als auch die Betonung der Kom-position und der unabhängigen Verwendung wurden nicht aufge-gri�en. Der Grund dafür ist, dass die Festlegung der Schnittstellensehr unterschiedliche Formen annehmen kann und Kompositionund unabhängige Verwendung nicht zwingend vorliegen, sondernnur möglich sein müssen.

Synonyme:Component

Verwandte Begri�e:System

zu (14)Erläuterung:Als Nichtabstreitbarkeit der Herkunft bezeichnet man auch dieNichtabstreitbarkeit in Bezug auf das Abschicken einer Nachricht.Als Nichtabstreitbarkeit des Erhalts bezeichnet man auch die Nich-tabstreitbarkeit in Bezug auf den Erhalt einer Nachricht. Da-mit tatsächlich alle Teilnehmer betrachtet werden, muss der Vor-gang, für den Nichtabstreitbarkeit gefordert wird, entsprechendgefasst werden. So macht es beispielsweise bei einem Bestellvor-gang einen Unterschied, ob der Vorgang zwischen Kunde undOnline-Versandhaus oder technisch zwischen Client und Server in-klusive der Netzinfrastruktur betrachtet wird. Der Grund für die

16

�doppelte Verneinung� � also �nicht abgestritten� statt �nachge-wiesen� � sind Einzelfälle, in denen z. B. eine Beweislastumkehrvorliegen kann und daher für diese Einzelfälle beide Formulierun-gen nicht äquivalent sind, auch wenn sie das für die Gesamtheitaller Fälle theoretisch wären.Der Begri� wirksam wurde verwendet, um klar zu stellen, dassprinzipiell vieles abgestritten werden kann. Es soll hier aber aus-gedrückt werden, dass ein Abstreiten einer dritten Instanz gegen-über glaubhaft ist. Möglichkeiten �wirksam� zu ersetzen, wären�glaubhaft� oder �glaubwürdig�.

Abgrenzung:Nichtabstreitbarkeit (Non-Repudiation) und Unleugbarkeit sindSynonyme. Zurechenbarkeit (accountability) jedoch nicht, da Zu-rechenbarkeit zwar Nichabstreitbarkeit zur Folge hat, aber nichtunbedingt umgekehrt.

Diskussion:Es ist zwischen Nichtabstreitbarkeit gegenüber unbeteiligten Drit-ten und einem Beteiligten zu unterscheiden. Man könnte sich etwaKunden eines Cloud-Dienstleisters vorstellen, denen untereinanderaber nicht nach auÿen Nichtabstreitbarkeit gewährleistet wird. Indiesem Fall gäbe es keine unbeteiligte dritte Entscheidungsinstanz.

Synonyme:Non-Repudiation, Unleugbarkeit

Verwandte Begri�eZurechenbarkeit

Beispiel:Wird mit einem Online-Versandhaus ein Vertrag geschlossen, istes notwendig, dass für den Eingang einer Bestellung Nichtabstreit-barkeit vorliegt. So kann nachgewiesen werden, dass ein Vertragzustandegekommen ist.

17

zu (15)Erläuterung:Die De�nition der Nichtverkettbarkeit ist dem Landesdatenschutz-gesetz des Landes Schleswig-Holstein entnommen (� 5 I 2 Nr. 5LDSG-SH). Diese De�nition basiert auf dem datenschutzrecht-lichen Zweckbindungsgrundsatz bei der Erhebung, Verarbeitungund Nutzung von Daten. Sind Daten und Verfahren an bestimm-te Zwecke gebunden, dann bedeutet Nichtverkettbarkeit, dass einezweckübergreifende Verknüpfung von Daten sowie eine zwecküber-schreitende Verarbeitung und Nutzung von Daten verhindert wird.

[7] und [29] weisen darauf hin, dass es in vielen Fällen zu Kon�ik-ten zwischen Unverkettbarkeit einerseits und den Schutzzielen derTransparenz und der Zurechenbarkeit andererseits kommen kann.

Diskussion:[26] und [30] postulieren De�nitionen, die darauf abstellen, dassNichtverkettbarkeit erfüllt ist, wenn gewährleistet ist, dass ein ex-terner Angreifer durch Beobachten eines gegebenen Szenarios kei-ne neuen wechselseitigen Zuordnungen zwischen Subjekten, Ob-jekten und Daten lernen kann.

Synonyme:Unlinkability, Unverkettbarkeit, Unverknüpfbarkeit

Verwandte Begri�e:Vertraulichkeit

Beispiel:Nichtverkettbarkeit wäre gewährleistet, wenn aufeinanderfolgendeAbrufe von Informationen auf verschiedenen Webservern im In-ternet nicht miteinander in Verbindung gebracht werden können([30]). Nichtverkettbarkeit von Kommunikationsbeziehungen kanndann beispielsweise durch die Nutzung von Mix-Kaskaden erreichtwerden (David Chaum).

18

zu (16)Erläuterung:

Ermittlung: Klassischerweise wird Risiko als Produkt aus Ein-trittswahrscheinlichkeit eines Ereignisses und dessen Konsequenzgesehen, sodass sich �Risiko=potentieller Schaden mal Eintritts-wahrscheinlichkeit� ergibt. Die Gewichtung und mathematischeKombination kann jedoch an unterschiedliche Risikobewertungenbzw. -de�nitionen angepasst werden.

Entstehung: Risiken entstehen aus der Benutzung, dem Besitz unddem Betrieb von IT-Systemen. Dabei wird davon ausgegangen,dass selten sämtliche Bedrohungen für ein System eliminiert wer-den können. Die Risiko-Ermittlung ist ein Ansatz, eine wirtschaft-liche Bewertung vorzunehmen (siehe auch Behandlung). Ein Klas-si�kationsschema zu den Ein�ussfaktoren von Risiken ist z. B. vonder Open Group erstellt worden [16].

Behandlung: Risikomanagement beschäftigt sich mit der Minimie-rung, dem Monitoring, und der Kontrolle der Wahrscheinlichkeitund/oder dem Eintreten unvorhergesehener Ereignisse [38]. EinigeRisiken, die durch bestimmte Bedrohungen entstehen, lassen sichnicht mit technischen Hilfsmitteln reduzieren. Hier bieten lediglichMaÿnahmen auf Management-Ebene (z. B. Versicherungen, Rück-lagen, Abmahnungen) oder Gesetze (z. B. Bundesdatenschutzge-setz, �202c StGB) Abhilfe.

Diskussion:Typischerweise gehen De�nitionen zu (IT-)Risiko neben Bedro-hungen auch auf Verwundbarkeiten von Systemen ein [25],[37],[5], [16].Die oben erwähnte De�nition und insbesondere die Formel zur Ri-sikoermittlung sind nicht unumstritten [16]: Eintrittswahrschein-lichkeiten von seltenen Ereignissen lassen sich nur schwer ermit-teln. Weiterhin kann der dann entstehende Schaden häu�g noch

19

schwerer bemessen werden. Die in der Formel vorgenommene Ver-knüpfung von Eintrittswahrscheinlichkeit und potentiellem Scha-den per Multiplikation steht ebenso häu�g in der Kritik.

Verwandte Begri�e:Risikomanagement, Risikoanalyse

zu (17)Erläuterung:Sowohl gezielte Angri�e als auch Gefahren, die nicht durch Bedro-hungen durch Angreifer entstehen, können die Safety gefährden.Daher schlieÿt die De�nition beide Fälle mit ein. In bestimmtenKontexten (z. B. beim Betrieb von technischen Systemen) ist Sa-fety gleichbedeutend mit Betriebssicherheit. Da sich KASTEL mitSicherheit im Sinne von Security, also mit dem Schutz vor Bedro-hungen beschäftigt, de�nieren wir den Begri� Safety lediglich zurAbgrenzung von Security. Daher wurden auch Gefahren und derSchutz davor nicht näher betrachtet oder de�niert.

Verwandte Begri�e:Gefahrlosigkeit, Sicherheit, Betriebssicherheit

zu (18)Erläuterung:Es ist schwierig, Aussagen über den Schutz aller Güter vor allenBedrohungen zu tre�en. Daher muss Security immer im Hinblickauf bestimmte Güter und bestimmte Bedrohungen de�niert undanalysiert werden, also festgelegt werden welche Güter und Be-drohungen konkret betrachtet werden sollen. Die Dauer, für dieSchutz vor Bedrohungen besteht, ist nicht Teil der De�nition, aberviele Schutzmaÿnahmen haben eine zeitlich begrenzte E�ektivität.Beispielsweise kann ein kryptographisches Verfahren die Vertrau-lichkeit von Daten nur solange sicherstellen, bis das zugrunde lie-gende mathematische Problem deutlich schneller, z. B. aufgrundtechnischer Innovationen, gelöst werden kann.

20

Verwandte Begri�e:Sicherheit

zu (19)Erläuterung:Es gibt Gefahren, die nicht von einem Angreifer ausgehen. Bedro-hungen hingegen müssen immer von einem Angreifer ausgehen.Dennoch kann eine Bedrohung zu einer Gefahr führen. Umgekehrtkann auch das Eintreten von Gefahren zu neuen Bedrohungen füh-ren.

Verwandte Begri�e:Safety, Security, Schutz (vgl.[3])

zu (20)Erläuterung:Nach Haley et al. ([17]) müssen drei Kriterien für Sicherheitsan-forderungen erfüllt sein, damit sie in einem Entwicklungsprozessdazu dienen können, die Sicherheit eines Systems prinzipiell veri-�zierbar zu machen.

a) Sicherheitsanforderungen werden als nicht-funktionale Anfor-derungen an das betrachtete System formuliert. Dabei sind sieso zu formulieren, dass deren Einhaltung zur Erreichung derde�nierten Sicherheitsziele des Systems führen. Sie dienen Sys-tementdesignern und -Entwicklern als konkrete Beschreibung,welche Einkschränkungen bei der Umsetzung von funktiona-len Anforderungen eingehalten werden müssen.

b) Um überprüfen zu können, ob durch die formulierten Sicher-heitsanforderungen die gesteckten Sicherheitsziele erreicht wer-den, müssen Annahmen über das Verhalten der Systemumge-bung gemacht werden: Der Analyst muss entscheiden, welcheTeile der realen Welt (Domains) in die Sicherheitsbetrachtun-gen mit einbezogen werden (damit wird der für die Analyse

21

betrachtete Systemkontext festgelegt). Eine wichtige Rolle beider Festlegung der relevanten Domänen spielen die Vertrau-ensannahmen. Dazu sollten Vertrauensbeziehungen zwischenallen Instanzen der Domains de�niert und betrachtet werden.

c) Erfüllung der Sicherheitsanforderungen: Beim Systemdesignmuss überprüft werden, welche Sicherheitsanforderungen prin-zipell erfüllbar sind. Bei der Entwicklung muss überprüft wer-den, ob die Implementierung die Anforderung erfüllt. Der stärks-te Nachweis wäre ein Beweis, andernfalls lässt sich auch oftdurch plausibles Argumentieren schlieÿen.

Verwandte Begri�e:Security Requirements

Beispiele:Beispielsweise könnte ein Sicherheitsziel �Vertraulichkeit von Be-nutzerdaten� in einem System Sicherheitsanforderungen an dieFunktionalität �Darstellung von Benutzungstatistiken� und �An-zeige Benutzerdaten� umgesetzt werden. Diese könnten dann lau-ten �Bei der Darstellung von Statistiken dürfen Daten nur für Be-nutzergruppen, nicht aber für einzelne Benutzer dargestellt wer-den�, oder �Die Anzeige von Benutzerdaten anderer Benutzer istnur Administratoren möglich�. Im Cloud-Computing-Umfeld könn-te das Sicherheitsziel �Vertraulichkeit� bei der funktionalen An-forderungen �Kunden können ihre Dateien herunterladen� unteranderem in der Anforderung �Beim Herunterladen wird die Kom-munikation verschlüsselt� münden.

zu (21)Erläuterung:Ein Sicherheitsmechanismus setzt ein oder mehrere Sicherheits-ziele durch, die in Form von Sicherheitsrichtlinien konkretisiertwerden [6], [8]. Daraufhin können gewisse Garantien bzgl. Sicher-heit eines Systems gegeben werden. Sowohl Benutzer als auch An-greifer haben Anreize, die Sicherheitsrichtlinien einzuhalten oder

22

gegen sie zu verstoÿen und Sicherheitsmechanismen zu umgehen[6].

Diskussion:Hier wird ein weitere gefasstes Verständnis des Begri�s zugrundegelegt als dies z. B. in [32] oder [19] der Fall ist. Wir folgen mitunserer De�nition [6] und [8].In der Literatur mit engerem Verständnis wird häu�g noch ei-ne Unterscheidung von Sicherheitsmechanismen (security mecha-nisms) und Sicherheitsdiensten (security services) vorgenommen[32], [10]: Unter Sicherheitsmechanismen werden z. B. Verschlüss-lung oder Signierung von Nachrichten verstanden. Ein Sicherheits-dienst hingegen wird mithilfe von Sicherheitsmechanismen imple-mentiert. Ein Beispiel eines Sicherheitsdienstes ist ein Authenti�zierungs-und Autorisierungsdienst, wie z. B. ein Kerberos-System. Die Un-terscheidung in Sicherheitsmechanismen und Sicherheitsdienste istjedoch häu�g schwer vorzunehmen, weshalb hier darauf verzichtetwird.

Verwandte Begri�e:Sicherheitsmaÿnahmen, Sicherheitsanforderungen, Sicherheitsricht-linien

Beispiele:Verschlüsselung mithilfe des Advanced Encryption Standard (AES)zur Wahrung der Vertraulichkeit. Message Authentication Codes(MAC) zurWahrung der Integrität. Transport Layer Security (TLS)bzw. Secure Sockets Layer (SSL) zur Wahrung der Vertraulich-keit und Authentizität (also auch Integrität) von Client-Server-Kommunikation über TCP-Verbindungen, indem die Kommuni-kationspartner � mindestens aber Server � über Zerti�kate au-thenti�ziert und die Kommunikation dann verschlüsselt sowie mitMAC versehen werden [18], [8], [32]. Replikation zur Sicherstel-lung der Verfügbarkeit [34].

23

zu (22)Erläuterung:Die in einem System oder einer Komponente umzusetzenden Si-cherheitsziele sowie die hieraus abgeleiteten Sicherheitsanforde-rungen und Maÿnahmen ergeben sich grundsätzlich aus schützens-werten Gütern beteiligter Akteure, sowie aus gesetzlichen Vor-gaben. Prinzipiell sind diese bei der Umsetzung jedes einzelnenkonkreten Systems abzuwägen und zu prüfen. Da bei verschie-denen Systeme häu�g jedoch gleiche oder ähnlichen Schutzzie-le ergeben (etwa die Vertraulichkeit personenbezogener Daten),können Sicherheitsanforderungen für artverwandte Systeme oderauch für verschiedene Systeme die in gemeinsamen Umgebun-gen betrieben werden (zusammen mit Maÿnahmen-Empfehlungenoder -vorgaben) oft in einer Sicherheitsrichtlinie zusammengefasstwerden. Bei der Umsetzung eines einzelnes System helfen dieseRichtlinien dann bei der Aufstellung relevanter Anforderungenund Maÿnahmen.

Sicherheitsrichtlinien können rechtliche Vorgaben behandeln, oderselbst auferlegte Anforderungen formulieren. Beispielsweise setzenim Bereich des Energiemarkt das �Schutzpro�l für ein Smart Me-ter Gateway� [13] so wie eine technische Richtlinie [14] gesetzlicheVorgaben aus dem Energiewirtschaftsgesetz [2] um. Andererseitsgibt es in vielen Unternehmen selbst auferlegte Sicherheitsrichtli-nien, beispielsweise Richtlinien für den Umgang mit Kundendaten,oder interne Richtlinien zum Betrieb und Entwicklung von Infor-mationssystemen.

Weiterhin unterscheiden sich Sicherheitsrichtlinien in ihren Gel-tungsbereich. Das Schutzpro�l für Smart Meter Gateways beschreibtbeispielsweise die konkreten Anforderungen an Smart Meter Gate-ways, also Geräten zur Übermittlung von Energieverbrauchs und-Steuerungsdaten. Akteure, Güter etc. sind hier fest vorgegebenund beschrieben. Andere Richtlinien, beispielsweise die IT Grund-

24

schutzkataloge des BSI [4], sind prinzipiell auf Informationssyste-me aller Art anwendbar, und beschreiben Sicherheitsanforderun-gen und Maÿnahmen allgemeine Art.

zu (23)Erläuterung:Ein Sicherheitsvorfall kann sowohl durch einen Angri� ausgelöstwerden als auch durch unbeabsichtigte Ereignisse entstehen. EinSicherheitsvorfall kann auch dann vorliegen, wenn die für ein Sys-tem formulierten Sicherheitsziele nicht vollständig sind, oder wenndie formulierten Sicherheitsanforderungen zwar umgesetzt wur-den, aber nicht ausreichend sind, um die gesteckten Sicherheits-ziele umzusetzen

Verwandte Begri�e:Fehler, Security breach, Security incident

zu (24)Erläuterung:Die Begri�e Sicherheitsziel und Datenschutz-Schutzziel(e) könnensich teilweise überschneiden.

Abgrenzung:Der Begri� Sicherheitsziel ist ein Oberbegri� und bezieht sich all-gemein auf Komponenten bzw. Systeme und deren zu schützen-de Güter. Der Begri� Datenschutz-Schutzziel bezieht sich deshalbkonkret auf Datensicherheit/technischen Datenschutz.

Verwandte Begri�e:Datenschutz-Schutzziel

Beispiele:Vertraulichkeit, Authentizität, Integrität, Verfügbarkeit, Verläss-lichkeit, Zurechenbarkeit (Accountability), Nichtabstreitbarkeit, Ver-bindlichkeit, Zugri�sschutz (vgl. [17]).

zu (25)Erläuterung:

25

Komponenten können z. B. Ressourcen, Hardware- oder Softwa-reeinheiten sein, die selbst als (Teil-)Systeme aufgefasst werdenkönnen. Die Umgebung des Systems (z. B. Nutzer, Betreiber, Ad-ministratoren, physische Umgebung usw.) sollte für Sicherheitsbe-trachtungen miteinbezogen werden. Die Systemgrenze beschreibtdie Abgrenzung zwischen System und Umgebung.

Verwandte Begri�e:Komponente (vgl. [17])

zu (26)Erläuterung:Die Transparenz von Erhebungs- und Verarbeitungsvorgängen isteine grundlegende Voraussetzung, um das Recht auf informatio-nelle Selbstbestimmung wahrnehmen zu können [28]. Eine wirksa-me Datenerhebung verlangt daher unter anderem die Unterrich-tung über die Identität der verantwortlichen Stelle und den Zweckder Erhebung und Verarbeitung personenbezogener Daten einesBetro�enen[29]. Somit muss zum einen die Rechtsordnung als sol-che transparent gestaltet und zum anderen die individuelle Kennt-nisnahme des Betro�enen über die Einzelumstände des Umgangsmit dessen personenbezogenen Daten ermöglicht werden. Konkre-te gesetzliche Verankerungen �nden sich daher in den Auskunfts-und Informationsrechten des Betro�enen (siehe hierzu �� 4 Abs.3, 4a Abs. 1, 19, 19a, 33, 34 BDSG).

Diskussion:Problematisch an dieser De�nition ist die Frage nach der Zumut-barkeit des Aufwands. Aus technischer Sicht stellt sich die Fra-ge nach einem konkreten Maÿ zur Bestimmung des �zumutbarenAufwands�. Aus rechtlicher Sicht ist hingegen anzumerken, dass essich hierbei um einen unbestimmten Rechtsbegri� handelt, der inrechtlichen Normen dort verwendet wird, wo der Gesetzgeber einedynamische Handhabung der rechtlichen Voraussetzungen (Tat-bestandsseite) und der daran anknüpfenden Folgen (Rechtsfolgen-

26

seite) verlangt (vgl. [23]). Insbesondere im Verwaltungsrecht solldamit einer Behörde die Möglichkeit gegeben werden, selbst zu be-stimmen, welche Voraussetzungen für den unbestimmten Rechts-begri� erfüllt sein müssen [27]. Um diese Flexibilität und Dynamikder de�nitorischen Voraussetzungen beibehalten zu können, wur-de daher im Ergebnis auf eine statische De�nition des zumutbarenAufwands verzichtet.

Beispiele:Konkrete gesetzliche Verankerungen �nden sich in den Auskunfts-und Informationsrechten des Betro�enen (siehe hierzu �� 4 Abs.3, 4a Abs. 1, 19, 19a, 33, 34 BDSG).

zu (27)Erläuterung:Verfügbarkeit wird häu�g neben Verlässlichkeit (reliability) alsein Bestandteil oder Teilkonzept von Zuverlässigkeit (dependabi-lity) gesehen. Dies umfasst sowohl Aspekte von Security als auchvon Safety, da eine Beeintrachtigung der Verfügbarkeit eines Sys-tems z. B. durch Angri�e oder auch durch sonstige Systembeein-trächtigungen � Hardwaredefekte u. a. � verursacht werden kann[36], [10], [6]. Wir folgen bei unserer De�nition dem Ansatz vonC. Eckert [10] indem wir die berechtigte Inanspruchnahme derFunktionalität eines Systems von unberechtigter Inanspruchnah-me unterscheiden. Dies soll z. B. geplante Einschränkungen derVerfügbarkeit ausnehmen.

Typische Kennzahlen, die im Zusammenhang von Verfügbarkeitgenannt werden, sind [36], [10]: Mean time to failure (MTTF),Mean time to repair (MTTR), Mean time between failures (MTBF),Verfügbarkeit = MTTF/MTBF = MTTF/(MTTF+MTTR).

Abgrenzung:Wir de�nieren Verfügbarkeit bewusst vornehmlich aus der Sichtvon Security und nicht aus der Sicht von Safety.

27

Diskussion:Eine Unterscheidung in Aspekte von Security und Safety ist beiVerfügbarkeit häu�g schwierig vorzunehmen: Während z. B. beiBetrachtung der Ursachen einer Beeinträchtigung der Verfügbar-keit oft eine Unterscheidung möglich ist � wenn manchmal aucherst nach einer genauen Analyse der Ursachen durch forensischeMaÿnahmen �, ist aus der Perspektive eines Nutzers eines Systemseine solche Unterscheidung oft nicht möglich. Wenn das Systemnicht (oder nicht schnell genug) antwortet, kann es nicht genutztwerden. Aus diesem Grund gibt es z. B. auch Ansätze, die dieAntwortzeit eines Systems als Kennzahl für Verfügbarkeit anse-hen (siehe z. B. auch [11], [6]).

Im Landesdatenschutzgesetz des Landes Schleswig Holstein wirdebenfalls eine weitere De�nition von Verfügbarkeit verwendet [1]:�Die Ausführung der Vorschriften dieses Gesetzes sowie andererVorschriften über den Datenschutz [. . . ] ist durch technische undorganisatorische Maÿnahmen sicherzustellen, die nach dem Standder Technik und der Schutzbedürftigkeit der Daten erforderlichund angemessen sind. Sie müssen gewährleisten, dass [. . . ] [unteranderem] Verfahren und Daten zeitgerecht zur Verfügung stehenund ordnungsgemäÿ angewendet werden können (Verfügbarkeit)[. . . ]�.

Verwandte Begri�e:Security, Safety, Zuverlässigkeit, Verlässlichkeit, Ausfallsicherheit,Funktionsfähigkeit

zu (28)Erläuterung:Aus juristischer Sicht meint Vertraulichkeit, dass nur befugt (au-torisiert) auf Daten und Verfahren zugegri�en werden kann (� 5Abs. 1 Satz 2 Nr. 3 LDSG-SH), mithin also Informationen einesIT-Systems nur Befugten (Autorisierten) zugänglich sind [7]. Austechnischer Sicht de�niert Vertraulichkeit genau das, was unter

28

Zugri�sschutz verstanden wird. Der Unterschied zwischen diesenBegri�en besteht darin, dass Vertraulichkeit nur auf den lesen-den Zugri� beschränkt ist, wohingegen Zugri�sschutz zusätzlichmanipulativen Zugri� abdeckt. Wie stark hingegen der Vertrau-lichkeitsbegri� zu gewichten ist, hängt davon ab, welche Infor-mationsgewinnung autorisiert werden kann. Es stellt sich dannbeispielsweise die Frage, ob eine Information über die Länge desChi�rats erlangt werden darf.

Diskussion:Nach Jürjens [20] existiert eine De�nition, die einen Angreifer unddessen Fähigkeiten direkt einbezieht. Danach wird ein Datum dgeleakt, wenn ein Angreifer existiert, der Datum d initial nichtkennt, und eine Eingabesequenz an das System existiert, so dassnach der Ausführung der Sequenz durch das System im Beisein desAngreifers, dieser das Datum d kennt. Ein System, das Datum dnicht leakt erhält die Vertraulichkeit von Datum d.

Ein Alternativvorschlag nach Eckert [10] besagt, dass �das System(. . . ) Vertraulichkeit gewährleistet, wenn es keine unautorisierteInformationsgewinnung ermöglicht.�

Diese De�nition beschränkt sich nicht auf den Zugang zu Dateno. ä., sondern bezieht explizit auch die Verarbeitung von Datendurch einen Angreifer ein. Auÿerdem wird nach dieser De�niti-on die Unmöglichkeit der Informationsgewinnung gefordert. DieMöglichkeit, Schwachpunkte auszunutzen, wird also auf das An-greifermodell ausgelagert. Diese De�nition ist technisch auf ver-schiedenste Arten verfeinerbar, so dass verschiedene Methoden zurDurchsetzung, zum Nachweis oder zur Analyse realisiert werdenkönnen. Die De�nition nach Eckert birgt jedoch gewisse Unsicher-heiten bezüglich des Begri�s Information. Daher könnte wie beidem Begri� der Integrität zwischen starker und schwacher Ver-traulichkeit unterschieden werden. Demzufolge würde ein Systemschwache Vertraulichkeit bewahren, wenn es keine unautorisierte

29

Datengewinnung ermöglicht. Starke Vertraulichkeit hingegen lägevor, wenn es keine unautorisierte Informationsgewinnung ermög-licht.

Synonyme:Geheimhaltung

zu (29)Erläuterung:Die De�nition wurde explizit auf betrachtete Angreifer eingeschränkt,da ein allmächtiger Angreifer jede Bedrohung zu realisieren ver-mag. Ein Angri� kann realisiert werden, wenn gar kein Schutzexistiert oder ein existenter Schutz den Angri� nicht wirksam ver-hindern kann. Wirksamer Schutz kann dabei erreicht werden, wennder Aufwand diesen/ihn zu umgehen höher ist als der Nutzen.

Diskussion:Verwundbarkeit als rechtliche Kategorie ist nicht geläu�g.Andere De�nitionen:Anderson: �A vulnerability is a property of a system or its envi-ronment which, in conjunction with an internal or external threat,can lead to a security failure, which is a breach of the system's se-curity policy. By security policy I will mean a succinct statementof a system's protection strategy (for example, each credit mustbe matched by an equal and opposite debit, and all transactionsover 1,000 Dollars must be authorized by two managers).� [6]

The Open Web Application Security Project (OWASP): �A vul-nerability is a hole or a weakness in the application, which can bea design �aw or an implementation bug, that allows an attackerto cause harm to the stakeholders of an application. Stakeholdersinclude the application owner, application users, and other enti-ties that rely on the application. The term vulnerability is oftenused very loosely. However, here we need to distinguish threats,attacks, and countermeasures.� [35]

30

Eckert: �Unter einer Schwachstelle eines Systems verstehen wir ei-ne Schwäche eines Systems oder einen Punkt, an dem das Systemverwundbar werden kann. Eine Verwundbarkeit ist eine Schwach-stelle, über die die Sicherheitsdienste des Systems umgangen, ge-täuscht oder unautorisiert modi�ziert werden können.� [10]

Synonyme:Vulnerability

Verwandte Begri�e:Angri�

zu (30)Erläuterung:Zugri�skontrolle als Verhinderung nicht-autorisierter Zugri�e istein Schutzmechanismus mit dem häu�g Zugri�sschutz realisiertwird. Allerdings liegt dort der Fokus auf Ressourcen und es wirdzunächst nicht das Schlieÿen auf neue Informationen aus der Kom-bination erlangter Informationen betrachtet.

Zugri�sschutz beschäftigt sich nur mit dem unmittelbaren Zugri�auf Daten, Informationen und Ressourcen aber nicht damit, wasmit diesen Daten gemacht werden kann (z. B. kollaborierende An-greifer, secret sharing).

Diskussion:Andere De�nition nach Anderson: �Access control [. . . ] is to con-trol which principals (persons, processes, machines, . . . ) have ac-cess to which resources in the system�which �les they can read,which programs they can execute, how they share data with otherprincipals, and so on.� ([6, Kapitel 4.1, Seite 93])

Synonyme:access control

Verwandte Begri�e:Autorisierung, Autorisierungsverletzung

31

zu (31)Erläuterung:Zurechenbarkeit wird auch als Nachweisbarkeit (detectability) be-zeichnet. Für die Umsetzung ist ein Identitätsmanagement bzw.eine Authenti�zierung notwendig. Zurechenbarkeit zielt auf Ver-antwortung ab. Es geht also nicht direkt darum, zu wissen weretwas getan hat, sondern wer dafür zuständig ist. Die Abgrenzungzur Nichtabstreitbarkeit besteht darin, dass Nichtabstreitbarkeitzum Ziel hat, eine Aktion und dessen Urheber nachweisbar zumachen. Zurechenbarkeit soll lediglich sicherstellen, dass der Ver-antwortliche für einen Vorgang für einen zu de�nierenden Akteuridenti�zierbar ist. Dies muss nicht unbedingt gegenüber unbetei-ligten Dritten (z. B. einem Richter oder Notar) möglich sein.

Diskussion:Wir haben Zurechenbarkeit nur noch für Vorgänge und nicht mehrfür Dokumente de�niert, da wir über Erstellungs- oder Änderungs-vorgänge die Dokumente abdecken können. Wir haben Zurechen-barkeit nicht mehr gegenüber Dritten, sondern gegenüber einemfestzulegendem Akteur de�niert, da wir uns nicht einig wurden, obeine De�nition, welche die Zuordnung gegenüber Dritten fordert,zu stark ist oder eine De�nition, die eine Zuordnung gegenüberbeliebigen Akteuren fordert, zu schwach ist.

Synonyme:Nachweisbarkeit, Detectability

Verwandte Begri�e:Nichtabstreitbarkeit

Beispiel:In einem Versionierungssystem ist es sinnvoll, Zurechenbarkeit fürÄnderungen zu fordern, so dass klar ist, wer für entsprechendeÄnderungen an einem System verantwortlich ist.

32

Literatur

[1] Landesdatenschutzgesetz Schleswig Holstein (LDSG SH), �5, Abs.1.

[2] Gesetz über die Elektrizitäts- und Gasversorgung (Energiewirt-schaftsgesetz - EnWG). 2005.

[3] Duden � Deutsches Universalwörterbuch. Bibliographisches Insti-tut, Mannheim, 6 edition, 10 2007.

[4] IT-Grundschutz-Kataloge. 2011.

[5] Cloud Security Alliance. Security guidance for critical areas of fo-cus in cloud computing v3.0. https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf, 2011.

[6] Ross Anderson. Security Engineering: A guide to building depen-dable distributed systems. Wiley, 2nd ed. edition, 2008.

[7] Mark Bedner and Tobias Ackermann. Schutzziele der IT-sicherheit, volume 34. Springer, 2010.

[8] Roland Bless, Stefan Mink, Michael Conrad, Kendy Kutzner, Erik-Oliver Blaÿ, Hans-Joachim Hof, and Marcus Schöller. SichereNetzwerkkommunikation: Grundlagen, Protokolle und Architektu-ren. X.systems.press. Springer, 2005.

[9] Danny Dolev and Andrew Yao. On the security of public keyprotocols. 1983.

[10] Claudia Eckert. IT-Sicherheit : Konzepte - Verfahren - Protokolle.Oldenbourg, München, 7., überarb. und erw. au�. edition, 2012.

[11] Bundesamt für Sicherheit in der Informationstechnik. Hochver-fügbarkeit eine herausfordernde Aufgabenstellung für ein profes-sionelles IT-Service Management. Abrufdatum: 2013-07-05.

[12] Bundesamt für Sicherheit in der Informationstechnik. CommonCriteria for Information Technology Security Evaluation - Part

33

1: Introduction and general model. Version 3.1 revision 4 edition,09 2012.

[13] Bundesamtes für Sicherheit in der Informationstechnik. Schutz-pro�l für ein smart meter gateway (bsi-cc-pp-0073). 2013.

[14] Bundesamtes für Sicherheit in der Informationstechnik. Techni-sche richtlinie bsi (tr-03109). 2013.

[15] Peter Gola, Christoph Klug, Barbara Kör�er, and Rudolf Scho-merus. Bundesdatenschutzgesetz. http://beck-online.beck.

de/?vpath=bibdata/komm/GolaSchomerusKoBDSG%5F11/cont/

GolaSchomerusKoBDSG.htm, 2012.

[16] The Open Group. Risk taxonomy. Technical report.

[17] Charles B Haley, Robin Laney, Jonathan D Mo�ett, and BasharNuseibeh. Security requirements engineering: A framework forrepresentation and analysis. Software Engineering, IEEE Tran-sactions on, 34(1):133�153, 2008.

[18] Internet Engineering Task Force (IETF). The transport layer se-curity (tls) protocol version 1.2.

[19] International Telecommunication Union (ITU). Recommendati-on x.800 - security architecture for open systems interconnecti-on for ccitt applications. http://www.itu.int/rec/T-REC-X.

800-199103-I/en, 03 1991.

[20] J. Jürjens. Secure Systems Development with UML. Springer,2005.

[21] Jonathan Katz and Yehuda Lindell. Introduction to Modern Cryp-tography: Principles and Protocols. Chapman and Hall/CRCCryptography and Network Security Series, 1. ed. edition, 2007.

[22] P. Kruchten, H. Obbink, and J. Sta�ord. The past, present, and fu-ture for software architecture. Software, IEEE, 23(2):22�30, 2006.

[23] Hartmut Maurer. Allgemeines Verwaltungsrecht. 18. Au�age 2011.� 7 Rn. 26 �.

34

[24] S.J. Murdoch, S. Drimer, R. Anderson, and M. Bond. Chip and pinis broken. In Security and Privacy (SP), 2010 IEEE Symposiumon, pages 433�446, 2010.

[25] NIST National Institute of Standards and Technology. Guidefor conducting risk assessments. http://csrc.nist.gov/

publications/nistpubs/800-30-rev1/sp800_30_r1.pdf,2012.

[26] Andreas P�tzmann and Marit Köhntopp. Anonymity, unobserva-bility, and pseudonymity�a proposal for terminology. In Desi-gning privacy enhancing technologies, pages 1�9. Springer, 2001.

[27] Posser/Wol� (Hrsg.). Beck'scher online-kommentar zur verwal-tungsgerichtsordnung (vwgo), stand 1.4.2013. 2013. � 114 Rn. 32f.

[28] Alexander Rossnagel. Handbuch Datenschutzrecht: die neuenGrundlagen für Wirtschaft und Verwaltung. Verlag CH Beck,2003. Kap. 2.5 Rn. 33.

[29] Martin Rost and Kirsten Bock. Privacy by design und die neuenschutzziele. Datenschutz und Datensicherheit-DuD, 35(1):30�35,2011.

[30] Martin Rost and Andreas P�tzmann. Datenschutz-schutzziele�revisited. Datenschutz und Datensicherheit-DuD,33(6):353�358, 2009.

[31] William Stallings. Data and Computer Communications.Prentice-Hall, Inc., Upper Saddle River, NJ, USA, 8th ed. edition,2006.

[32] William Stallings. Cryptography and Network Security. Pearson,New York, NY, USA, 2011.

[33] Clemens Szyperski. Component Software: Beyond Object-OrientedProgramming. Addison-Wesley Professional, 2nd edition, 2011.

35

[34] Andrew S. Tanenbaum and Maarten van Steen. Distributed sys-tems : Principles and Paradigms. Pearson, Prentice Hall, UpperSaddle River, NJ, 2nd ed. edition, 2007.

[35] The Open Web Application Security Project. Owasp website.http://www.owasp.org, 2013. abgerufen am 1. April 2013.

[36] Maria Toeroe and Francis Tam. Service availability: Principlesand practices. 2012.

[37] Wikipedia. It-risk. http://en.wikipedia.org/wiki/IT_risk,2013.

[38] Wikipedia. Risk management. http://en.wikipedia.org/

wiki/Risk_management, 2013.

[39] Gesetz zur digitalen Signatur. Signaturgesetz�sigg, 2001.

36