Informatik. IT-Sicherheit

Transkript

1 Informatik IT-Sicherheit

2 Wie viel sind Ihnen die Daten Wert, wenn sie verloren sind?

3 Warum gehen Daten verloren? 145 Viren Elementare Ereignisse Diebstahl und Betrug Hacking DoS-Angriffe Sniffing Ändern von Nachrichten Menschliche Fehlhandlungen Technisches Versagen BUG s Think a bit - 3

4 Massnahmen zur Datensicherheit 149 Technische Massnahmen Organisatorische Massnahmen Bauliche Massnahmen Firewall und Virenschutz Verschlüsselung Regelmässige Datensicherung Protokollierung der Datenbearbeitung Regelmässige Informationen über Gefahren Überwachung der Räumlichkeiten Berechtigungen für den Datenzugriff * Reglement für die Datenbearbeitung * Verantwortlichkeiten für die Erteilung von Zugriffsrechten * Massnahmen auch für den Datenschutz Think a bit - 4

5 Datenschutz Als schützenswerte Daten gelten Angaben, die sich auf eine natürliche oder juristische Person beziehen. Besonders schützenswerte Daten sind: Religiöse, weltanschauliche oder politische Ansichten, Zugehörigkeit und Betätigung Seelische, geistigen oder körperlichen Zustand Sozialhilfebedürftigkeit Laufende polizeiliche Ermittlungen, Strafverfahren usw.

6 Begriffe Datenschutz Datenschutz bedeutet Schützen von personenbezogenen Informationen vor unberechtigtem Zugriff, missbräuchlicher Verwendung, unerlaubter Weitergabe sowie Verfälschung. Datensicherheit Datensicherheit umfasst alle Massnahmen, um die gespeicherten und gesammelten Informationen vor Zerstörung oder Verlust zu schützen. Systeme und Daten müssen verfügbar sein, wenn sie benötigt werden Daten müssen gültig und korrekt sein (Integrität) Programme und Daten müssen dem Zugriff Unbefugter entzogen werden Bearbeiten von Daten Jeder Umgang mit Personendaten, egal mit welchen Mitteln oder Verfahren, gilt gemäss Artikel 3e des Datenschutzgesetz als Bearbeiten von Daten. Darunter fällt insbesondere: Das Beschaffen Das Aufbewahren Das Verwenden Das Umarbeiten Das Bekanntgeben Das Archivieren und Löschen Think a bit - 6

7 Massnahmen zum Datenschutz Schützen Sie ihre Privatsphäre Unbefugten den Zugriff verwehren Möglichst wenige persönliche Daten veröffentlichen (Soziale Netzwerke, Twitter, Chat) Diese Spuren können praktisch nicht mehr gelöscht werden. Schützen Sie Ihren Computer Firewall, Virenscanner, Kennwörter, automatische Updates Verwenden Sie Benutzernamen und Kennwort Sperren Sie ihren Computer beim Verlassen des Arbeitsplatzes. Gewähren Sie Fremden keinen Zugriff via Fernwartungs-Tools Geben Sie Passwörter an keine Personen weiter Löschen Sie Daten vollständig Mit dem Betriebssystem-Befehl Löschen, werden Daten nicht richtig gelöscht. Festplatten müssen vor der Entsorgung physisch zerstört werden Dies ist auch für alle anderen Datenträger wie CDs, USB-Stick und Papier wichtig Think a bit - 7

8 Datenschutz Welche Daten werden geschützt? Sensible Daten von natürlichen und juristischen Personen Schützenswerte Daten sind: Prüfungsunterlagen und Noten Personen Daten Religiöse, weltanschauliche, politische Daten Gesundheitliche, seelische, geistige, körperliche Zustände von Personen Personenbezogene Forschungsdaten Technologie Daten, betriebswirtschaftliche Daten, strategische Daten Betrifft Datenaustausch, -verarbeitung und Löschen von Daten Think a bit - 8

9 Datenschutzgesetz Schützt Personen und Unternehmen vor dem Missbrauch der gesammelten Daten Schutz vor ungerechtfertigtem sammeln und weitergeben von Daten Es dürfen nur Daten gesammelt werden, welche zur Erfüllung der betreffenden Aufgabe erforderlich sind Die gesammelten Daten müssen für den Zugriff speziell gesichert werden Personen haben ein Recht auf Einsicht der Daten Berichtigung, Löschung der Daten Datenschutzbeauftragter Zur Überwachung der Anwendung des Datenschutzgesetzes Beratungsinstanz zum Datenschutz In der Schweiz ist jedem Kanton ein Datenschutzbeauftragter zugeordnet Think a bit - 9

10 Die wichtigsten Bestimmungen des Datenschutzgesetz Rechtmässigkeit der Bearbeitung (Art. 4 Abs. 1 DSG) Bearbeitung der Daten darf nur rechtmässig erfolgen. Rechtfertigungsgründe sind: Einwilligung der betroffenen Person, ein überwiegendes öffentliches oder privates Interesse, bzw. ein Gesetz. Treu und Glauben (Art. 4 Abs. 2 DSG) Personen dürfen nicht ohne Wissen und gegen den Willen der betroffenen Person beschafft werden. Wer die Person bei der Datenbeschaffung absichtlich täuscht, verletzt das Prinzip von Treu und Glauben. Verhältnismässigkeit (Art. 4 Abs. 2 DSG) Das Verhältnismässigkeitsprinzip besagt, dass nur diejenigen Daten bearbeitet werden dürfen, die benötigt werden und geeignet sind. Zweckbestimmung (Art. 4 Abs. 3 DSG) Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Erkennbarkeit (Art. 4 Abs. 4 DSG) Beschaffung und Zweck der Bearbeitung müssen für die betroffene Person erkennbar sein. Richtigkeit der Daten (Art. 5 DSG) Wer Personendaten bearbeitet, hat sich über die Richtigkeit zu vergewissern. Richtigkeit bedeutet auch, dass die Daten vollständig und aktuell sind, soweit es die Umstände erlauben. Die betroffene Person kann die Berichtung unrichtiger Daten verlangen. Grenzüberschreitende Bekanntgabe (Art. 6 DSG) Bestehen im Ausland ein ungenügender Datenschutz und es besteht das Risiko einer Persönlichkeitsverletzung, sieht das Datenschutzgesetz ein Verbot einer Weitergabe der Daten vor. Darunter ist auch das Zugänglichmachen von Daten im Abrufverfahren (online), sowie das Übermitteln einer Datensammlung an einen Dritten, der die Daten im Auftrag des Übermittlers bearbeitet Think a bit

11 IT-Sicherheit Die IT-Sicherheitspolitik beinhaltet ein Konzept und erkennt Massnahmen die folgendes vorschreiben: Einsatz von Sicherheitstechniken gegen interne und externe Angriffe Datenschutz auf zentral gespeicherte Daten Datensicherung Verhalten der Mitarbeiter und deren Schulung Für die Datensicherheit sorgen Methoden und Verfahren, die den Verlust der Informationen in Registrationen, Datenverarbeitungsanlagen, Archiven verhindern. Fehlmanipulation und externe Einflüsse durch Lagerung, Wetter oder Katastrophen können Daten vernichten.

12 Risiken analysieren und bewerten Die Palette der Risiken ist gross und muss laufend neu beurteilt werden. Mögliche Sicherheitsrisiken sind: Unbefugter Datenzugriff (widerrechtliche Einsicht) Vertraulichkeit, Integrität Unbefugte Datenmanipulation (ändern, kopieren) Vertraulichkeit, Integrität Unbefugte Datenverwendung (fälschen, bekanntgeben) Vertraulichkeit, Integrität Mutwillige Datenbeschädigung (durch Viren) Verfügbarkeit Mutwillige Datenvernichtung (löschen) Verfügbarkeit Zufälliger Datenverlust (Fehlbedienung des Systems) Verfügbarkeit Datenverlust durch technische Fehler (Hardware und Software) Verfügbarkeit Datenverlust durch höhere Gewalt (Wassereinbruch, Erdbeben) Verfügbarkeit Datenverlust durch Diebstahl (Laptop, Datenträger) Verfügbarkeit, Vertraulichkeit, Integrität Bei allen Risiken ergibt sich ein Zeitverlust (Arbeitszeitausfall) finanzieller Verlust (Kundenaufträge können nicht bearbeitet werden) Think a bit

13 Schutzbedarf ermitteln 148 Kriterium Vertraulichkeit Beschreibung Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschliesslich Befugten in der zulässigen Weise zugänglich sein. Verfügbarkeit Die Verfügbarkeit von Dienstleistungen, Funktionen eines IT-Systems, IT-Anwendungen oder IT- Netzen oder auch von Informationen ist vorhanden, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können. Integrität Authentizität Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Wenn der Begriff Integrität auf "Daten" angewendet wird, drückt er aus, dass die Daten vollständig und unverändert sind. Der Verlust der Integrität kann daher bedeuten, dass Daten unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Erstellung manipuliert wurden. Mit dem Begriff Authentizität wird die Eigenschaft bezeichnet, die gewährleistet, dass ein Kommunikationspartner tatsächlich derjenige ist, der er vorgibt zu sein. Bei authentischen Informationen ist sichergestellt, dass sie von der angegebenen Quelle erstellt wurden Think a bit

14 IT-Grundschutz und Sicherheitskonzept Die IT-Infrastruktur ist vielseitig und grossflächig. Sie ist im alltäglichen Betrieb vielen Risiken ausgesetzt. Diesen muss entsprechend Rechnung getragen werden.

15 Massnahmen Infrastruktur 154 Bauliche und technische Massnahmen Serverräume Keine Kellerräume, Überschwemmungen oder Überschwemmungsschutz Klimatisierung Zugangskontrolle Einbruchschutz Brandschutz USV (Unterbrechungsfreie Stromversorgung) Physische Personenkontrolle Elektronische Zutrittskontrolle (Badge) oder mechanische Zutrittskontrolle mittels Schlüssel Videoüberwachung sicherheitsrelevanter Räume Think a bit

16 Massnahmen IT-Einsatz Übersicht über die IT-Systeme und deren Abhängigkeiten Schematischer Aufbau der IT-Systeme und deren Abhängigkeiten Beschriftungen der IT-Komponenten Netzwerkpläne Handbücher, Bedienungsanleitungen, Betriebshandbuch Notfallhandbücher Notfallplan, Schulung des Notfalls Inventarlisten aller IT-Systeme Aufbewahrung sicherheitsrelevanter Dokumente Think a bit

17 Massnahmen Betriebssicherheit Organisatorische und logistische Betriebsaufrechterhaltung Monitoring (Überwachen) der Systeme (Agieren statt reagieren) Notfallhandbuch Notfallübung Verantwortlichkeiten festlegen Stellvertretung festlegen Support Support Reaktionszeiten Bereichsverantwortlichkeiten Backup Wann werden Backups durchgeführt? Kontrolle des Backups Benutzer Verhaltensregeln bei Datenaustausch und Informationsweitergabe (Social Engineering) Verpflichtung (schriftlich) für Mitarbeiter auf Einhaltung der Sicherheitsrichtlinie Wartungsverträge mit Lieferanten (SLA) Think a bit

18 Massnahmen Externe Dienstleister Regelung Zusammenarbeit, Arbeitsbereich Personen für den Arbeitseinsatz müssen bekannt und definiert werden Aufgabenkatalog für Dienstleister erstellen Erledigte Aufgaben müssen kontrolliert, rapportiert werden Servicezeiten müssen definiert, bzw. frühzeitig bekannt gegeben werden Reaktionszeiten festlegen Gewährleistung definieren Datenschutzvereinbarung Think a bit

19 Massnahmen Internetbenutzung Regelung für Mitarbeiter, technische Schutzmassnahmen Mitarbeiter auf Gefahren im / aus dem Internet schulen Mail Mitarbeiter auf Phishing-Mail sensibilisieren Über unbekannte Absender-Problematik aufklären Soziale Netzwerke Mitarbeiter auf Datenschutz im Zusammenhang der Sozialen Netzwerke schulen Technische Massnahmen Firewall AntiVirus Spamfilter Protokollierung der Internetzugriffe (Muss vorher den MA s mitgeteilt werden) Downloads aus dem Internet verbieten, bzw. nicht ermöglichen Think a bit

20 Massnahmen Datenhaltung Regelung im Umgang mit Daten Reglementierung der Datenbenutzung, Datenanwendung Datenumgang mit Reglementen bestimmen Wo werden Daten gespeichert? Lokal oder zentral auf Server Dateien nur in bestimmten Formaten speichern Einheitliche Datenorganisation Ordnerstrukturen Dateinamen Regelung zur Archivierung von Daten und Dateien (Format, Intervall) Bestimmungen für externen Datengebrauch Verschlüsselung der Datenträger, Laptops Datenschutz Sensible Daten können nur von berechtigten Personen bearbeitet werden Think a bit

21 Massnahmen Benutzer- und Rechteverwaltung Regelung über den Zugriff auf Systeme und Daten Keine Gastanmeldungen erlauben Benutzer müssen sich anmelden (Autorisierung) Benutzergruppen bilden Zugriffsmatrix für Benutzergruppen erstellen Berechtigungen der Zugriffsmatrix anwenden Datenzugriff mit Berechtigungen reglementieren Benutzer verfügen nicht über Administratorenrechte Benutzer müssen beim Verlassen des Arbeitsplatzes den Bildschirm sperren Think a bit

22 Massnahmen Externe Datenträger Regelung über Umgang Regelung für externe Datenträger Schriftlich und unterschrieben Verbot des Speicherns von Firmendaten auf externen Datenträgern Externe Datenträger verbieten Regelung im Umgang für Aussendienst Verschlüsselung der Datenträger, Laptops Nur verschlüsselte, firmeninterne Datenträger verwenden Autostarts von externen Datenträger unterbinden Anschlüsse an Computern deaktivieren Fachgerechte Entsorgung der Datenträger Think a bit

23 Notfall-Vorsorge

24 Notfallvorsorge 157 Wirkungsanalyse Wichtigkeit der Verfügbarkeit der Systemkomponenten bewerten Wie lange darf welche Systemkomponente ausfallen Vorsorgemassnahmen Technische Massnahmen Redundante Systeme Feuermeldeanlage, Alarmanlagen, Klimaanlagen Monitoring (Überwachung der Systeme) Automatische Fehlermeldung einrichten Organisatorischen Massnahmen Wartungsverträge mit Lieferanten (SLA) Versicherungen abschliessen Zutrittskontrolle Think a bit

25 Notfallhandbuch 158 Dokumentiert alle Informationen und Massnahmen die bei Eintritt eines geschäftskritischen Schadenereignisses zu berücksichtigen sind Zuständigkeiten Stellvertreter Verständliche Formulierung, ein sachverständiger Dritter sollte die Massnahmen selbständig durchführen können Ein Beispiel für den Inhalt den Notfallhandbuchs ist auf Seite 159 im LM aufgeführt Wichtig bei Stellvertretern: Wo sind die Passwörter hinterlegt! Notfälle sind von allen betroffenen Personen zu trainieren Szenarien: Brandausbruch, Ausfall einer geschäftskritischen Anwendung, Totalausfall des Internets, Verseuchung durch Viren Think a bit

26 Datensicherung (Backup) 158 Datensicherungsplan erstellen Speicherort der Daten im Normalbetrieb Zeitpunkt des Backups Art und Umfang des Backups Recovery-Verfahren (Wie werden die Daten wiederhergestellt) Aufbewahrungsort der Datensicherung Speichermedium Aufbewahrungszeit Aufbewahrungsort Rascher Zugriff Vor Elementarschäden geschützt Nicht im gleichen Gebäude Online-Speicher (Cloud), Datenschutz beachten!! Think a bit

27 Datensicherung (Backup) 158 Datensicherungsmedium Magnetbänder, Externe Festplatten Online Sicherung in verschlüsselter Form via Internet auf ein entferntes Speichermedium (Cloud) Backup Verfahren Wöchentlich: Vollständige Sicherung (Alle Daten werden gesichert) Täglich: Differenzielle Sicherung Daten die sich seit der letzten differenziellen Sicherung und der letzten Vollsicherung geändert haben oder neu dazukommen sind Täglich: Inkrementelle Sicherung Daten die seit der letzten Vollsicherung geändert wurden oder seit der letzten Komplettsicherung neu dazugekommen sind Recovery = Wiederherstellung der Daten Beim Wiederherstellen von Differenziellen und Inkrementellen Sicherung wird immer auch die entsprechende Vollsicherung benötigt Backup-Dateien müssen auf ihre Verwendbarkeit überprüft werden! Think a bit

28 Sicherungstechniken Generationenprinzip Das Genartionenprinzip, auch Grossvater-Vater- Sohn-Prinzip genannt, ist eine Datensicherungsstrategie. Es stellt sicher, dass immer mehrere Sicherungen in verschiedenen zeitlichen Abstufungen (Grossvater, Vater, Sohn) vorhanden sind, um verschiedene Versionen für eine Wiederherstellung zur Verfügung zu haben. Söhne Wöchentlich überschrieben Mo Di Mi Do Väter Monatlich überschrieben W1 W2 W3 W4 W5 Montag bis Donnerstag wird ein Backup erstellt Am Freitag wird ein Monatsbackup erstellt Am Monatsende wird ein Jahresbackup erstellt Grossväter Jährlich überschrieben Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez Think a bit

29 Sicherungsarten Voll-Back-up Bei diesem Back-up werden alle Dateien gesichert, egal ob die Datei bereits einmal gesichert wurde oder nicht. Vorteile: Es werden immer alle Dateien gesichert. Nachteile: Grosser Platzbedarf und der zeitliche Aufwand für die Sicherung. Inkrementelles-Back-up Hier werden nur die Daten gesichert, die sich seit der letzten Vollsicherung geändert haben. Dies spart natürlich Zeit, da Menge der Daten geringer ist, als bei einer Vollsicherung. Differenzielles-Back-up Hier werden alle Daten gesichert, welche sich seit der letzten Sicherung geändert haben. Diese Sicherung benötigt mehr Speicherplatz als bei der Inkrementellen Sicherung. DOC A DOC A DOC A So Mo Di Mi Do Fr Sa So Differenziell V S S S S S V Inkrementell V S S V Archiv-Bit signalisiert ob die Datei gesichert werden muss Think a bit

30 Datensicherung im Netz (LAN) Im Netz finden sich zahlreiche technische und organisatorische Lösungen für die Datensicherung. Meist sind IT-Spezialisten und nicht einzelne Mitarbeiter für Datensicherung. Für die Datensicherung werden in der Regel Bandkassetten oder externe Festplatten verwendet. Sie verfügen über viel Speicherplatz und sind kostengünstig. Zunehmend werden Daten auch online in der Cloud gesichert. Bei sensiblen Daten (Datenschutz), werden die Daten über Standleitungen oder VPN-Verbindungen, an einen anderen Standort eines Unternehmens gesichert. KMUs setzen kleinere NAS ein. Grossunternehmen verwenden ein SAN. Ein NAS besteht aus einem Gehäuse mit mehreren Festplatten, das mit dem Netzwerk verbunden ist. Zugriff für Konfiguration erfolgt über eine Webserverapplikation. Ein SAN ist ein Festplattensubsystem welches an einem Netzwerk angeschlossen werden. Die Anbindung erfolgt über Glasfaser. Zugriff auf SAN oder NAS für Konfiguration erfolgt über eine Webserverapplikation. Wichtig ist, dass die Sicherungsdaten in einem anderen Gebäude und vor Elementarschäden geschützt aufbewahrt werden. Bandkassette NAS Network Attached Storage SAN Storage Area Network Think a bit

31 Authentifizierung

32 Authentifizierung Möglichkeiten 161 Art Besitz eines Gegenstandes Besitz von Wissen Mögliche Massnahmen Absicherung der Infrastruktur Sicherheitskarte, Badge Schlüssel Smartcards Verhindert den unbefugten Zugriff durch Anmeldung der Benutzer Benutzername und Passwort Streichlisten PIN SecureCard Körperliche Merkmale Biometrie Zugriff durch biometrische Verfahren Fingerabdruck Augenscanner Gesichtserkennung Think a bit

33 Passwort Tipps Was ist ein gutes Passwort? Passwörter regelmässig wechseln Kein Passwort mehrmals verwenden Passworttool verwenden Keine Trivialpasswörter, Keine Wörter aus dem Wörterbuch Mindestens 12 Zeichen Zusammensetzung eines guten Passwortes: Gross- Kleinbuchstaben Zahlen Sonderzeichen Beispiel: EkdZ,dia5xbW! Es kommt die Zeit, da ich alles 5 mal besser Weiss! Think a bit

34 Benutzerverwaltung Benutzerkonten einrichten (Authentifizierung) Benutzername und Kennwort Gruppeneinteilung Gruppenzugehörigkeit festlegen Rechte für Gruppen anlegen (Autorisierung) Berechtigungen erteilen für: Anwendungen Speicherorte, Netzlaufwerke bzw. freigegebene Verzeichnisse Peripheriegeräte wie Drucker Internetdienste, Webseiten Beispiel für eine Zugriffsmatrix für Netzlaufwerke auf Seite 114 im LM Think a bit

35 Verschlüsselung

36 Einführendes Beispiel: Caesar-Verfahren Mit eines der ersten kryptologischen Verfahren war das Caesar-Verfahren. Der Name stammt vom römischen Kaiser Julius Caesar, der mit diesem Verfahren vor rund 2000 Jahren verschlüsselte Nachrichten an seine Generäle verschickte. Klartext Dies ist eine geheime Information! Chiffrat Ejft Fkgu Glhv jtukuv lvw fjofgkpg hlqh hfifjnf Jogpsnbujpo! igjgkog jhkhlph Kphqtocvkqp! Lqirupdwlrq! Nun Das wird Alphabet jeder Buchstabe wird zweimal Klartext untereinander durch den geschrieben, entsprechenden Buchstaben allerdings aus dem versetzt, unteren so Alphabet dass A nicht (der inneren unter A Scheibe) steht. ersetzt Think a bit

37 Sichere Datenübertragung 164 Durch die globale Vernetzung sind die Anforderungen an eine sichere Datenübertragung gestiegen und erfordern ein hohes Mass an Sicherheit Kryptografie = Datenverschlüsselung Sensible Daten sollen vor unbefugten Personen geschützt werden Verschlüsselungsverfahren Symmetrische Verschlüsselung Kommunikationspartner verwenden den gleichen Schlüssel Dieser muss vorher sicher ausgetauscht werden Asymmetrische Verschlüsselung Es werden zwei unterschiedliche Schlüssel verwendet Ein Schlüssel zum Verschlüsseln, der Zweite zum Entschlüsseln Think a bit

38 Gedankenmodell zum öffentlichen Schlüssel Das Ziel ist es nun, eine Nachricht sicher zu verschicken. «Sicher» bedeutet in diesem Fall, dass die verschlüsselte Nachricht möglicherweise abgefangen wird, aber dennoch nicht gelesen werden kann. Wie lässt sich dies realisieren? Eine zeitgemässe Antwort darauf liefert das RSA-Verfahren (Rivest Shamir Adlemann). Bei wird PGP (Pretty Good Privacy) eingesetzt Die Die Nachricht Idee ist, kann Schloss Möchte dann und man öffentlich Schlüssel jetzt jemanden verschickt voneinander etwas werden, zu schicken, trennen denn nur und der Kopien richtige des Empfänger Schlosses nimmt Jeder kann man zu Teilnehmer veröffentlichen, dessen mit dem Schloss hat passenden ein und hingegen Schloss verschliesst Schlüssel mit den passendem Schlüssel das die Schloss Nachricht Schlüssel. geheim wieder damit. zu öffnen. halten Think a bit

39 Verschlüsselungsvorgang Digitale Signatur (Authentizität) Durch Verschlüsseln mit dem privaten Schlüssel kann eine für jeden mit dem öffentlichen Schlüssel nachprüfbare Signatur erzeugt werden. Verschlüsselung von Inhalten Jeder kann den öffentlichen Schlüssel zum Verschlüsseln verwenden. Nur der Besitzer des privaten Schlüssels kann entschlüsseln Think a bit

40 SSL (Secure Sockets Layer) SSL ist ein Protokoll Nachfolger heisst TLS (Transport Layer Security) Dient der sicheren Datenübertragung im Internet Basiert auf öffentlichen Schlüsseln Verhindert während der Datenkommunikation den unberechtigten Zugriff auf die übertragenen Daten Anwendung E-Banking, E-Commerce E-Shopping (Bezahlen mit der Kreditkarte) Vorteile Kann praktisch überall eingesetzt werden Keine Programminstallation nötig Jeder moderne Browser kann mit SSL umgehen Think a bit

41 Tunneling und VPN VPN (Virtual Private Network) Vorteile Mehrere Standorte können sicher vernetzt werden ohne eine Standleitung mieten zu müssen Mitarbeiter können von aussen auf das Intranet der Firma zugreifen Geschützte Kommunikation da verschlüsselt Nachteile Bandbreite des Internetanschlusses Lösungen Software VPN Hardwarelösung mittels zweier Firewalls Think a bit

42 WLAN Wireless LAN WLANs müssen verschlüsselt werden Wired Equivalent Privacy (WEP) Nicht sicher Darf nicht mehr verwendet werden Wi-Fi Protected Access 2 (WPA2) Gilt als nicht hackbar solange keine Trivialpasswörter verwendet werden WiFi bezeichnet sowohl ein Firmenkonsortium, das Geräte mit Funkschnittstellen zertifiziert, als auch den zugehörigen Markenbegriff. WiFi ist ein für Marketingzwecke erfundener Kunstbegriff, er steht für «Wireless Fidelity» in Analogie z. B. zu Hi-Fi Think a bit

43 Sicherheit der Computer im Internet

44 Bedrohungsformen Distributed Denial of Service (DDoS) Deutsch: Dienstverweigerung / Dienstblockade Angriff auf einen Webserver durch massenhafte Pings Ping = Software die die Erreichbarkeit eines Hosts prüft Dadurch wird das System überlastet und kann nicht mehr Antworten Die Verfügbarkeit der Daten ist somit nicht mehr gegeben Intrusion, Hacking Unberechtigtes Eindringen in ein Netzwerk durch einen Hacker Gefährden Authentizität, Verfügbarkeit, Integrität und Vertraulichkeit Phishing Ausspionieren von Benutzerdaten über gefälschte Webseiten und Mails Gefährden Integrität, Vertraulichkeit, Verfügbarkeit, Authentizität Think a bit

45 Bedrohungsformen DNS-Attacke Überhäuftes Anfragen eines DNS-Servers oder DNS-Einträge fälschen Ohne DNS ist ein Netzwerk nicht betriebsfähig Gefährden Authentizität, Verfügbarkeit, Integrität und Vertraulichkeit Defacement (Verunstalten der Homepage) Gefährden Authentizität, Verfügbarkeit, Integrität und Vertraulichkeit Diebstahl Laptop der Aussendienstmitarbeiter Diebstahl im Hause Gefährdet die Vertraulichkeit, Verfügbarkeit Cross-Site-Scripting Ausnützen einer Computer-sicherheitslücke in Weban-wendungen Daten werden aus einem nicht vertrauenswürdigen Kontext in einen vertrauenswürdigen Kontext überführt Phishing, Identitätsdiebstahl Massnahmen: Sicherheitsupdates installieren, Verhindern von Aktiven Elementen im Browser, Benutzerschulung Social Engineering Klau von Daten mittels sozialer Manipulation Massnahmen: Benutzerschulung Think a bit

46 Firewall Ein Computer hat viele Türen. Bei Computern spricht man von Ports, durch die Daten herein- oder herausgelassen werden. Werden diese Ports nicht überwacht, können natürlich auch ungewollte Daten auf den Computer gelangen. Um dies zu verhindern setzt man eine Firewall ein. Die Firewall überwacht alle Ports und erlaubt nur vorher freigegebenen Programmen und Daten, mit dem Internet zu kommunizieren. Sie blockt alle Zugriffe aus dem Internet die auf den PC stattfinden. Firewalls sind als Software ins Betriebssystem integriert und überwachen alle ein- und ausgehenden Verbindungen. Zusätzlich gibt es Hardware-Firewalls. Sie befinden sich beispielsweise in Routern, die mehreren PCs einen Internetzugang bieten. Um nicht auf jedem PC eine Software-Firewall installieren zu müssen, ist dies eine alternative Lösung. Intrusion Prevention System (IPS) IPS sind Regeln in einer Firewall, welche ein Datenpaket überprüfen. Erfüllt das Paket die Regel wird das Paket durchgelassen, ansonsten wird es zerstört. Intrusion Detection System (IDS) Eine System welches das Netzwerk auf ungewöhnliche Aktivitäten überprüft. Wird eine ungewöhnliche Aktivität entdeckt, schlägt das System Alarm Think a bit

47 Abwehrmassnahmen Firewall Software oder Hardware Die Firewall wird immer vor dem Router platziert 169 Der Internet- Router ist das letzte Gerät in einem LAN Verhindert den unbefugten Zugriff auf ein Netzwerk Grenzt LAN vom WAN ab Kontrolliert eingehende und ausgehende Verbindungen IDS IPS Sicherheit der Computer im Internet Proxy (Stellvertreter) Arbeitet als Vermittler, der auf der einen Seite Anfragen entgegennimmt, um dann über seine eigene Adresse eine Verbindung zur anderen Seite herzustellen Firewall-Komponenten Think a bit

48 Malware und Spam Unter dem Begriff Malware (bösartige Software), wird Software bezeichnet, welche das Ziel hat, Schaden anzurichten. Malware ist der Sammelbegriff für Schadsoftware jeglicher Art wie Viren, Trojaner oder Würmer. Viren Die Bezeichnung stammt aus der Biologie. Computerviren vermehren sich wie die Biologischen. Viren nisten sich in Dateien oder bestimmten Bereichen von Datenträgern ein. Viren verbreiten sich über Netzwerke, externe Datenträger, Webseiten oder s. Viele Viren verursachen Schäden, wie Beschädigungen des Computersystems oder verändern von Dateien. Würmer Eine Variante von Malware aber keine Viren im eigentlichen Sinne sind Würmer. Die Infektion erfolgt oftmals über s. Startet man den Anhang wird der Wurm aktiviert und verbreitet sich anschliessend selbst weiter. Würmer belegen Rechenkapazität und verunmöglichen so das Arbeiten am Computer. Hoaxes (engl.: Scherz) Hoaxes sind Falschmeldungen über eine angebliche Gefahr, mit dem Ziel den Benutzer zu verunsichern und zu unbedachten Handlungen zu verleiten Think a bit

49 Tojaner Die Saga Das ursprüngliche Trojanische Pferd bestand aus Holz und war eine Kriegslist der Griechen gegen die Trojaner. Die Griechen belagerten die Stadt Troja, die sie mit kriegerischen Mitteln nicht einnehmen konnten. Der Legende nach, bauten sie ein riesiges Pferd in dem sich ein paar Griechen versteckten und überbrachten das Pferd den Trojanern als Geschenk. Die Trojaner holten das Pferd in ihre Stadt um es der Göttin Athene zu schenken. In der Nacht kamen die Griechen aus dem Pferd, öffneten die Tore und eroberten so Troja. Die Wirklichkeit Die Computer-Version des Trojanischen Pferdes funktioniert auf die gleiche Art. Es tarnt sich als scheinbar nützliches Programm und dringt unbemerkt in das System ein. Ab diesem Zeitpunkt wird der Computer vom Trojaner überwacht. Er späht beispielsweise Passwörter aus und übermittelt sie an den Angreifer. Weiterentwickelte Versionen können das System sogar fernsteuern und übernehmen die Kontrolle über Mikrophon und Webcam Think a bit

50 Malware und Spam Spam Unter Spam versteht man unerwünschte Werbung. Man kann folgende Typen unterscheiden: Kommerzielle Spams Kettenbriefe Durch Malware versandte s Ein kommerzieller Spammer führt Millionen von Mail- Adressen. Der Versand der Mails erfolgt meist über gekaperte Webserver und Bot-Viren, die sich auf Millionen von Computer einnisten. Bot-Viren sind kleine Programme die als getarnter Anhang per , millionenfach verteilt werden. Der Bot wartet, bis er vom Spammer die Anweisung erhält, eine bestimmte Mail zu verschicken. Meistens sind dies Werb s. Es genügt dabei pro Bot wenige Mails zu versenden, da der Spammer über Millionen von Bots fernsteuert. SPAM war ursprünglich ein Markenname für Dosenfleisch, der bereits 1936 entstanden ist aus SPiced ham, fälschlicherweise auch Spiced Pork And Meat/hAM oder Specially Prepared Assorted Meat genannt. Während der Rationierung im Krieg war Spam eines der wenigen Nahrungsmittel, die in Grossbritannien praktisch überall und unbeschränkt erhältlich waren. Die Omnipräsenz dieses Fleisches, ähnlich wie später die unerwünschten Botschaften (zum Beispiel als E- Mails), förderte die Entwicklung des Begriffs. Als Synonym für eine unnötig häufige Verwendung und Wiederholung wurde der Begriff durch den Spam-Sketch der englischen Comedyserie Monty Python s Flying Circus geprägt Think a bit