IT-Sicherheit

1. Datensicherheit und -sicherung

Sicherung: Gesamtheit aller organisatorischer und technischer Vorsorgemaßnahmen gegen Verlust, Fälschung und unberechtigten Zugriff aufgrung von Katastrophen, technischen Ursachen, menschlichen Versagen oder mutwilligen Eingriffen Sicherheit: Ist der angestrebte Zustand, der durch alle diese Maßnahmen erreicht werden soll, aber letztlich nicht vollkommend erreicht werden kann.

Def.: Klaus Pommerening, in ,,Datenschutz und Datensicherheit"

2. Computerkriminalität

- Schon immer Computernutzer die versuchten mit Kenntnissen auf Lücken und Risiken aufmerksam zu machen
- Bsp. CCC Hamburg _zeigen Lücken auf und bieten Lösungen
- Aber auch viele Hacker nutzen Fähigkeiten für privaten gewinn _sehr oft illegal
- Problem: Wenig Gesetzesgrundlage im Internet, da international
- Erst in letzten Jahren Änderungen im StGB:

1. Ausspähen von Daten (§ 202a)
2. Computerbetrug (§ 263a)
3. Erschleichen von Leistungen (§265a)
4. Datenveränderung (§303a)
5. Computersabotage (§303b)

-STRAFBAR
- Aber nur in Deutschland
- International: weniger streng

3.1 Datenspuren und Cookies

- Internetsurfer hinterlässt Datenspuren ,,Log-Files"
- Diese können analisiert werden: Bsp.: Microsoft kann mit jeden IE nutzer bei Bedarf kommunizieren und so z.B. Registriernummern überprüfen
- WEITERE NUTZUNG DER SPUREN: Nutzerprofil des Users (Besuchte Seiten, Kaufentscheidungen, Preisklasse, Suchbegriffe)

2 Überwachungswege:

1. Archivierungsfirmen Fremdspeicherung der Daten (Internet Archivierung der Seitenzugriffe)

2. ,,Cookies": kl. Dateien, abgelegt auf Privatrechner Ziel Realisierung von Einkaufskörben

Cookies

- liefern Unternehmern Angabe über Nutzer
- außerdem: Namenszuordnung, unbemerktes zuspielen von Informationen

BSP.: Nutzer A bucht Reise z.B. Irak

besuch vom Sicherheitsdienst, Versicherungsvertreter für Lebensversicherungen, er bekommt E-Mail Prospekte für schusssichere Westen, Krankenhäuser oder Rehakliniken

- Ziel der Unternehmer: Verbesserter Kundenservice
- Verbraucherschutz: gläserner Surfer
- Bei solchen Datenübertragungen werden 3 Daten ausgetauscht:

1. Stammdaten, identifizieren der User
2. Verbindungsdaten, wer, wann, mit wem, wie viele Daten austauschte
3. Inhaltsdaten

- In Dtl.: Strenge Regelung gegen Missbrauch der Daten

- International: kaum Gesetze z.B. bietet US-Firma ComCult professionelle Analyse von Daten an

4. Viren

- Def.: Dateifragmente oder angehängte Codes die über Netzwerke und fremde Datenträger übertragen werden

- Wirkungen sehr Verschieden z.B.:

1. Zerstörung der Festplatte
2. Verlangsamung der Geschwindigkeit
3. ersetzen in Dokumenten alle ,,E" durch ,,X"

- oft werden sie erst an best. Terminen aktiv (oft der 13. eines Monats)
- aber: Gefahr nur von ca. 5% aller Viren, alle anderen: Scherzhafte Meldungen oder Virusanzeige ohne Fehler
- jeden Monat erscheinen Weltweit etwa 20.000 neue Viren
- Einziger praktikabler Schutz: Antiviren-Programme z.B. Norton Antivirus, F-prot
- In letzten Jahren: neue Viren Generation: Trojaner

4.1 Trojanische Pferde

- Viren die sich selbstständig Verbreiten und Vermehren
- Trojaner installiert und loggt sich in System ein Passwörter mitlesen und an Erschaffer versenden, Manipulation von Daten und Vermehrung des Trojaners
- Oft in Dateien versteckt öffnen Trojaner installiert sich und bleibt im permanent im Hintergrund auch wenn Datei gelöscht.
- 5% wirklich Schädlich
- Schutz: Anti-Viren-Programme und Wartung des Systems
- Rechtlich: Viren und Trojaner Straftatbestände

a. §202a StGB: Daten ausspähen

3 Jahre Gefängnis

b. §303aStGB: Rechtswidrige Datenveränderung 2-5 Jahre Gefängnis

c. §87b Urheberrechtsgesetz:

Entnahme von Daten durch Kopie

BEISPIELE FÜR TROJANER:

,,Melissa"

- einer der berühmtesten
- in Word-Dokument versteckt
- verschickte sich selbst an bis zu 50 Adressen im E-Mail Adressbuch
- Folge: legte ganze E-Mailsysteme lahm

,,BuddyLyst"

- angeblich Bildschirmschoner der Firma Budweiser
- löscht Festplatte
- sendet Zugangskennung und Passwörter an Schöpfer

5. Firewalls

- wenn Unternehmen mit dem Firmennetz ins Internet wollen Risiko

- 2 Sicherungssysteme:

1. Jeder Rechner einzeln gesichert hohe Kosten und enormer Aufwand nur bei Einzelrechnern praktikabel mit Software Firewalls (z.B. Zone- Alarm)

2. Firewallrechner der zwischen Internet und

Intranet geschaltet ist beherbergt alle

Sicherheitsmaßnahmen

- Bei zentraler Firewall-Lösung bestimmt der Rechner mit höchsten oder niedrigsten Schutzniveau die Stärke der Firewall

Arbeitsweisen:

a) Paketfilterprinzip
b) Dual Homed Gateway (DHG)
c) Kombinationen aus a und b

a) Paketfilterprinzip

- Versandinformationen in den Datenpaketen (Art und Ziel des IP-Paketes)
- Firewall entscheidet ob und wie die Daten weitergeleitet werden
- Filter hat keine IP-Adresse von außen unsichtbar kann von außen nicht manipuliert werden

b) Dual Homed Gateway

- 2 Verbindungen: zum internen LAN und eine zu einem öffentl. ftp-Server
- wenn LAN aus Internet angesprochen nur DHG-Rechner beansprucht Speichert eingehende Daten zwischen und überprüft sie wenn OK: Weiterleitung
- Einbruch sehr einfach
- Aber: da Datenbewegung genau protokolliert _Angriff wird schnell festgestellt und unterbunden
- Nötig: gute Administration

6. Kryptographie

- = Verschlüsselung von Daten

- Hauptaufgaben:

1. Nachricht geheim halten
2. Nachricht unverfälscht übermitteln
3. ggf. Absender identifizieren

- Bsp.: +1 Schlüssel

Verschiebung des Alphabets um +1 Bei Dechiffrierung: -1

6.1 Verschlüsselungsverfahren

6.1.1 Symmetrisches Verfahren

- = ,,Single-Key"= ,,Private-Key"= ,,Secret-Key"

- Ver- und Entschlüsselung mit ein und dem selben Schlüssel

- 2 Standarts: ,,Data Encryption Standard"(DES) und ,,Improved Data Encryption Algorithm"(IDEA)

DES:

- 70er Jahren con IBM entwickelt
- relativ sicher
- 64 Bit Schlüssel IDEA:
- 1990 entwickelt
- arbeitet ähnlich wie DES
- doppelte Schlüssellänge 128 Bit
- Problem bei Symmetrischen Verfahren: Sichere Übermittelung der Schlüssel und Schlüsselanzahl (für Kommunikation zw. 1000 Benutzern (jeder mit jedem, jeder anderen Schlüssel) benötigt man 499.500 Schlüssel
- Sicherheit: 1 Rechner testet 1 Mill Mögl./sek um alle Komb. Zu testen:

a. 56 Bit Schlüssel: ca. 2000 Jahre

b. 128 Bit Schlüssel: 10¹⁷ Jahre

6.1.2 Asymetrisches Verfahren

- Verschlüsselungsschlüssel Entschlüsselungsschlüssel
- 2 Schlüssel: ein öffentlicher (Public) Schlüssel und ein persönlicher (Secret) Schlüssel unabhängig von einander
- öffentl. Schlüssel bei Zertifizierungsstelle Frei downloadbar Schlüsselbund für Verschlüsselung
- Text an Benutzer x wird mit öffentl. Schlüssel verschlüsselt
- Dechiffrierung nur mit privaten Schlüssel nicht mit öffentl.
- WICHTIG: Adresse nicht mit verschlüsseln

VERFAHREN:

RSA:

- Entwickelt 1977 von Ron Rivest, Adi Shamir und Leonard Adlemann
- Verschlüsselung mit math. Problemen: Faktorisierungsproblem großer Zahlen und direkter Logarithmus
- Sehr aufwendiger Verschlüsselungsalgorithmus

a. 512 Binärstellen für

Verschlüsselungszahl = sicher

b. 768 " =Standard

c. 2048 " = Absolute Sicherheit militärische Geheimnisse

- Problem: extrem langsam und Rechenaufwendig, da komplizierte mathematische Fkt. Verwendet werden

6.1.3 Hybridmodelle

- Text symmetrisch verschlüsselt
- Schlüssel für symmetrische Verschlüsselung mit asymmetrischen Verfahren verschlüsselt Symm. Schlüssel kann sicher weitergeschickt werden _symm. Verfahren ist sicher
- BEISPIELPROGRAMM: PGP

1. Verschlüsselung des Textes mit IDEA oder TripleDES
2. Symm. Schlüssel mit RSA oder ElGamal
3. entwickelt von Philip Zimmermann
4. kostenfrei im Internet
5. effektiv bei E-Mails da digitale Signatur unterstützt

6.1.4 Andere Verschlüsselungen

STEGANOGRAPHIE:

- Nachricht in Bild oder Ton Datei versteckt Bildgröße (2048*3072) versteckt 2,3 MB Nachricht
- Problem: Leicht zu Entschlüsseln Relativ unüblich

7. Digitale Signatur

- weist Unverändertheit und Absender nach
- gilt als offizielle Unterschrift Gesetz zu digitalen Signatur (SigG) Digitale Unterschrift = ein Siegel, welches mit Hilfe eines privaten Signaturschlüssels erzeugt wurde und mit einem dazugehörigen öffentlichen Schlüssel, der von einer Zertifizierungsstelle für echt erklärt wurde, den Inhaber und die Echtheit der Daten erkennen lässt. (§2)
- Benötigt damit Rechtsgültig:

1. Eindeutig zuordbarer Name oder Pseudonym
2. zugeordneten öffentl. Schlüssel
3. Bezeichnung des verwendeten Algorithmus
4. laufende Nummer des Zertifikats
5. Beginn und Ende des Zertifikats
6. Name der Zertifizierungsstelle
7. Angaben über Beschränkungen

- verwendet asymmetrisches Verfahren
- 2 Schlüssel generiert
- öffentl. Schlüssel an Zertifizierungsstelle
- privat Schlüssel verbleibt bei Absender zur Verschlüsselung(!)

Vorgehen:

- zu verschlüsselnder Text mit sog. Hash Verfahren komprimiert und mit privat Schlüssel chiffriert und dann dem Ausgangstext angehängt
- Empfänger erhält Ausgangstextkomprimiert ihn mit Hash-Verfahren entschlüsselt mit öffentlichen Schlüssel
- Wenn Ausgangstext = Anhangstext Absender richtig, da nur er den zum öffentl. Schlüssel passenden privaten hat
- so kann man auch beabsichtigte und unbeabsichtigte Manipulationen feststellen

HASH- Verfahren:

- HASH- Algorithmus über Dokument bildet Quersumme der Daten
- Ergebnis ist fest unabhängig von Dokument Länge Buchstabe geändert = anderes Ergebnis
- Quersumme = Fingerabdruck des Dokuments
- Quersumme wird dann zur Kontrolle für Empfänger asymmetrisch Verschlüsselt + versendet
- Aktueller Standard für HASH Verfahren: Secure Hash Algorithm (SHA)

In Praxis: Alles im Hintergrund:

- Absender klickt auf signieren und steckt Unterschriftskarte (mit privat Schlüssel) in Lesegerät
- Empfänger gibt angenommenen Absender ein, PC holt sich öffentl. Schlüssel und vergleicht

SOLCHE ZERTIFIZIERUNGS-VERFAHREN GELTEN ALS 100% SICHER_

=Standard für Online-Banking Technik bekannt als HBCI (Home Banking Computer Interface)

- Sparkasse testet aktuell ähnl. System für E-Commerce und Online-Banking

SET (Secure Electronic Transaction)

8. Persönlicher Schutz

Lassen Sie Ihren PC nicht unbeaufsichtigt. Verschließen Sie beim Verlassen des Raumes die Tür und aktivieren Sie den Bildschirmschoner mit Kennwortschutz.

- Beantworten Sie nicht alle Fragen, die Ihnen beim Besuch einer Internetseite gestellt werden. Wie oben beschrieben, sind Daten und Informationen die Währung im Internet. _ Pflegen und warten Sie Ihr System ! Löschen Sie Daten, die Sie nicht mehr benötigen oder lagern Sie diese aus.

Übertragen Sie keine unverschlüsselten personenbezogene Daten oder

Kreditkartennummern. Viele E-Commerce-Unternehmen fordern die Kreditkartennummern extern über Fax an, was immer noch sicherer ist, als eine Nummer durch das Internet zu schicken und so jedermann zugänglich zu machen. Verschlüsseln Sie Ihre persönlichen Daten und E-Mails mit Programmen wie z.B. PGP.

- Öffnen Sie nur Ihnen bekannte Programme, man könnte Ihnen ein Trojanisches Pferd "schenken".

Arbeiten Sie regelmäßig mit Virenscannern. _ Deaktivieren Sie Optionen für Cookies.

Lassen Sie sich ggf. anonymisieren, Ihr Name wäre hier nicht mehr verräterisch (http://www.anonymizer.com/)

Lassen Sie Ihre Diskussionsbeiträge in Newsgroups nicht archivieren, indem Sie jeder Nachricht "x-no-archive: yes" voranstellen. Somit werden Ihre Beiträge nicht archiviert und die Erstellung eines Teilnehmerprofils wird erschwert.

Verwenden Sie Passwörter, wechseln Sie diese regelmäßig, wählen Sie Buchstaben-Ziffern- Kombinationen, halten Sie Ihre Passwörter geheim.

Häufig gestellte Fragen

Was ist Datensicherheit und -sicherung?

Datensicherung umfasst alle organisatorischen und technischen Maßnahmen zum Schutz vor Verlust, Fälschung und unberechtigtem Zugriff. Datensicherheit ist der angestrebte Zustand, der durch diese Maßnahmen erreicht werden soll.

Was ist Computerkriminalität?

Computerkriminalität beinhaltet illegale Handlungen, die unter Ausnutzung von Computerkenntnissen begangen werden. Dazu gehören z.B. das Ausspähen von Daten, Computerbetrug, Datenveränderung und Computersabotage.

Was sind Datenspuren und Cookies?

Datenspuren (Log-Files) werden von Internetsurfern hinterlassen und können zur Analyse des Nutzerverhaltens verwendet werden. Cookies sind kleine Dateien, die auf dem Rechner des Nutzers abgelegt werden, um z.B. Einkaufskörbe zu realisieren und Informationen über den Nutzer zu sammeln.

Welche Arten von Daten werden bei Datenübertragungen ausgetauscht?

Stammdaten (zur Identifizierung), Verbindungsdaten (wer, wann, mit wem) und Inhaltsdaten.

Was sind Viren?

Viren sind Dateifragmente oder angehängte Codes, die sich über Netzwerke und Datenträger verbreiten und verschiedene Wirkungen haben können, z.B. Zerstörung der Festplatte.

Was sind Trojanische Pferde?

Trojaner sind Viren, die sich selbstständig verbreiten und in Systeme einschleusen, um Passwörter auszuspähen, Daten zu manipulieren oder sich selbst zu vermehren. Sie verstecken sich oft in harmlosen Dateien.

Wie kann man sich vor Viren und Trojanern schützen?

Durch den Einsatz von Antiviren-Programmen und die regelmäßige Wartung des Systems.

Was sind Firewalls?

Firewalls sind Sicherungssysteme, die Unternehmen vor Risiken beim Zugang zum Internet schützen. Sie können als Software auf einzelnen Rechnern oder als zentraler Firewall-Rechner eingesetzt werden.

Welche Arbeitsweisen von Firewalls gibt es?

Paketfilterprinzip, Dual Homed Gateway (DHG) und Kombinationen aus beiden.

Was ist Kryptographie?

Kryptographie ist die Verschlüsselung von Daten, um Nachrichten geheim zu halten, unverfälscht zu übermitteln und ggf. den Absender zu identifizieren.

Welche Verschlüsselungsverfahren gibt es?

Symmetrische Verfahren (ein Schlüssel für Ver- und Entschlüsselung), asymmetrische Verfahren (unterschiedliche Schlüssel für Ver- und Entschlüsselung) und Hybridmodelle (Kombination beider Verfahren).

Was ist eine digitale Signatur?

Eine digitale Signatur weist die Unverändertheit einer Nachricht nach und identifiziert den Absender. Sie gilt als offizielle Unterschrift.

Wie funktioniert eine digitale Signatur?

Der zu verschlüsselnde Text wird mit einem Hash-Verfahren komprimiert und mit dem privaten Schlüssel des Absenders chiffriert. Der Empfänger entschlüsselt die Signatur mit dem öffentlichen Schlüssel des Absenders und vergleicht das Ergebnis mit dem komprimierten Text.

Was sind Hash-Verfahren?

Hash-Verfahren bilden eine Quersumme der Daten eines Dokuments, die als Fingerabdruck dient.

Was sind einige Tipps zum persönlichen Schutz im Internet?

PC nicht unbeaufsichtigt lassen, Passwörter geheim halten, Programme nur von bekannten Quellen öffnen, Virenscanner verwenden, Cookies deaktivieren, Daten verschlüsseln.