Warum IT-Sicherheit im Kopf stattfinden muss

Transkript

1 Sebastian Mehner Warum IT-Sicherheit im Kopf stattfinden muss Kontra-Vortrag im Seminar SoftwareZuverlässigkeit

2 Überblick 1. Risikofaktor Mensch 2. Datenklau für Dummies 3. Passwort-Probleme 2

3 1. Risikofaktor Mensch größtes Sicherheitshindernis: der Faktor Mensch Regel (Studie Schlienger/Teufel [1]): 80 % aller Sicherheitsvorfälle sind menschliches Versagen, 20 % technisches IT-Security setzt Funktionieren von Technik und Mensch voraus! 3

4 1.1. Beispiel: Der Internet-Wurm Sober millionenfache Verbreitung trotz Firewall und Virenscanner Eine Variante von Sober.O Herzlichen Glückwunsch, beim Run auf die begehrten Tickets für die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie dabei. Weitere Details Ihrer Daten entnehmen Sie bitte dem Anhang. viele Opfer öffneten den Anhang, obwohl sie gar keine Tickets bestellt hatten! 4

5 2. Datenklau für Dummies ausgefeilte High-Tech-Methoden zum Identitäts- Diebstahl: Phishing, Pharming, Keylogging, moderne Sicherheitslösungen liefern Abwehr- Technologien aber: oft genügen einfache, nicht-technische Mittel für den Datenklau 5

6 2. Datenklau für Dummies 1. Social Engineering: Erschleichen von vertraulichen Daten durch gutes Zureden (klassisch: der Techniker am Telefon benötigt Zugangsdaten) 2. Shoulder Surfing: laut Experten werden 15% der Geldkarten-Betrügereien durch einfachen Blick über die Schulter ermöglicht 3. Dumpster-Diving: Diving: Papierausdrucke (Abrechnungen, Vertragsformulare, Bankverbindungen, ) liegen unzerkleinert im Papiermüll 6

7 2. Datenklau für Dummies 4. Laptop-Diebstahl: Daten meist unverschlüsselt auf Mitarbeiter-Laptops Post-Its: Zugangs-Passwörter werden notiert und gut sichtbar an den Bildschirm geklebt 6. Transport von Daten: Diebstahl/Verlust; Bsp.: der Weihnachtsstollen-Datenskandal [2] 7

8 3. Passwort-Probleme Wann ist ein Passwort sicher genug? Wenn die Kosten des Angriffs den erzielbaren Nutzen nicht unterschreiten. Problem: viele Nutzer verwenden triviale, schlechte Passwörter Studie von Kabay [3] 1997: 82% der Passwörter im Finanzdistrikt London trivial (Schimpfwörter, Namen von Personen, Urlaubsziele, Bürogegenstände, ) Angreifer kann potenzielle Passwort-Listen erstellen 8

9 3. Passwort-Probleme Passwort-Policies üblich: mindestens 6 oder 8 Zeichen, Groß-/Kleinschreibung, Ziffern, evtl. Sonderzeichen und nicht im Wörterbuch! Passwörter im Netzwerk als Hash abgespeichert keine Umkehrberechnung möglich wenn Angreifer Hashes erbeutet, muss er Brute-Force- Verfahren einsetzen (alle Kombinationen testen) aber: mittels heutiger Mittelklasse-Hardware kein Problem 9

10 3. Passwort-Probleme Untersuchung in c t 2009, Heft 6 [4]: Brute-Force- Angriff Preis des Systems: 800 aktuelle Policies müssen angepasst werden! aber: ist die Policy zu streng, kann sich der Nutzer das Passwort nicht mehr merken! (und wird es notieren) Anzahl möglicher Kombinationen 6 Stellen ohne SZ: 57 Milliarden 6 Stellen mit SZ: 355 Milliarden 8 Stellen ohne SZ: 218 Billionen 10

11 Quellen [1]: Schlienger und Teufel. Information Security Culture - The Socio- Cultural Dimension in Information Security Management. Security in the information society: visions and perspectives. IFIP TC11 International Conference on Information Security [2]: Datenskandal. Kurierfahrer zahlen für Stollen-Diebstahl. Zeit Online, [3]: Kabay, M. Flashes from the Past [4]: Stefan Arbeiter, Matthias Deeg. Bunte Rechenknechte. c t, 2009, Heft 6. [5]: Andrew S. Tanenbaum. Moderne Betriebssysteme. 2. Auflage [6]: Securitymanager.de Handbuch. Sicherheitskultur im Unternehmen. 11