Informationssicherheit

Transkript

1 Informationssicherheit Sibylle Schwarz Westsächsische Hochschule Zwickau Dr. Friedrichs-Ring 2a, RII WS 2009/2010

2 Informationssicherheit Informatik Lehre von der Darstellung und Verarbeitung von Information durch Algorithmen Information (neues) Wissen über ein Ereignis, einen Tatbestand oder einen Sachverhalt, Beseitigung von Ungewißheit Informationssicherheit sorgt für Schutz von Informationen bei Speicherung und Übertragung vor Mithören, Spionage Modifikation, Fälschung Verlust oder Einschränkung der Zugriffsmöglichkeit

3 Teilgebiete der Informatik Teilgebiete der Informatik: theoretisch technisch Sprachen zur Formulierung von Information und Algorithmen, Möglichkeiten und Grenzen der Berechenbarkeit durch Algorithmen, Grundlagen für technische und praktische (und angewandte) Informatik maschinelle Darstellung von Information Mittel zur Ausführung von Algorithmen (Rechnerarchitektur, Hardware-Entwurf, Netzwerke,... ) praktisch Entwurf und Implementierung von Algorithmen (Betriebssysteme, Compilerbau, SE,... ) angewandt Anwendung von Algorithmen (Text- und Bildverarbeitung, Datenbanken, KI, Medizin-, Bio-, Wirtschaftsinformatik, Informationssicherheit... )

4 Vorbereitung Logik Online-Einschreibung in eine der 4 Übungsgruppen im Autotool https: //autotool.imn.htwk-leipzig.de/cgi-bin/super.cgi Account anlegen: 1. Click FH Zwickau 2. Daten eintragen (korrekte Studenten-Nummer, ...@fh-zwickau.de) 3. Click absenden Passwort wird an die angegebene -Adresse geschickt (Geduld, bis 30 min). Account benutzen: Anmeldung mit Studentennummer (Click Login ) Passwort ändern (Click update ) Einschreiben in Übungsgruppe Aufgabe ansehen und lösen (Click Solve )

5 Organisation der Lehrveranstaltung Informationssicherheit Modul PTI 893 Grundlagen der Informationsverarbeitung und -sicherheit besteht aus zwei Teilen (parallel) Grundlagen der Informationsverarbeitung (Prof. Lenk) Grundlagen der Informationssicherheit jeweils Vorlesung wöchentlich Selbstudium (Vor/Nachbereitung, Prüfungsvorbereitung) 60h Hausaufgaben zur Unterstützung des Selbstudiums und Prüfungsvorbereitung gemeinsame Prüfung (Klausur) im Februar h

6 Literatur Folien zur Vorlesung (nach der Vorlesung) unter lehre/ws09/insi/ BSI Veröffentlichungen des Bundesamtes für Sicherheit in der Informationstechnik Bücher Wolfgang Ertel: Angewandte Kryptographie. Hanser 2007 Klaus Schmeh: Kryptographie. dpunkt 2009 aktuelle Meldungen zur Informationssicherheit, z.b. unter

7 Inhalt der Lehrveranstaltung Sicherheit von Information Arten von Bedrohungen, Schwachstellen Gegenmaßnahmen Kryptographische Verfahren Grundlagen Symmetrische Verfahren Asymmetrische Verfahren Public Key-Verfahren Digitale Signaturen Authentifizierung

8 Motivation Beispiele für Schadensfälle aus dem BSI-Leitfaden Informationssicherheit Themen/ITGrundschutz/ LeitfadenInformationssicherheit/ leitfaden_node.html Hausaufgabe Lesen Sie den BSI-Leitfaden Informationssicherheit.

9 Informationssicherheit Vertraulichkeit (Schutz vor Mithören, Spionage) Integrität (Schutz vor Modifikation, Fälschung) Verfügbarkeit (Schutz vor Verlust oder Einschränkung der Zugriffsmöglichkeit) von Informationen bei Speicherung und Übertragung Authentisierung Identitätsprüfung beim Anmelden in einem IT-System Autorisierung Überprüfung von Berechtigungen zum Ausführen bestimmter Aktionen von Personen oder Software

10 Verantwortung des Informatikers betreute IT-Infrastruktur (z.b. Geräte, Firmennetz) Kommunikation mit Dienstleistern, Kunden und Partnern (z.b. Homepage, , elektronische Zahlung) dienstliche und persönliche Rechentechnik Aufgaben: Einschätzung der aktuellen Situation einschließlich Schwachstellen ständige Überwachung und Aktualisierung des Sicherheitssystemes Bemerken von Angriffen (z.b. Schadsoftware) Kenntnis und Anwendung möglicher Gegenmaßnahmen

11 Verfügbarkeit möglicher Schaden: Verlust wichtiger Daten oder Software (z.b. Patientendaten, Spezialsoftware) Aufwand zur Wiederbeschaffung (finaziell, Arbeitszeit) Vertrauensverlust bei Kunden und Partnern (z.b. bei Webseiten) Maßnahmen zur Sicherung der Verfügbarkeit: Dokumentation aller Verantwortlichkeiten, Verfahrenswege, Systemanpassungen sichere Aufbewahrung wichtiger Zugangsdaten regelmäßige Sicherungskopien (Backups) regelmäßige Kontrolle des Backup-Systems geeignete Aufbewahrung der Sicherungskopien (verschlosssen, räumlich entfernt)

12 Vertraulichkeit und Integrität Potentielle Angreifer Hacker Geheimdienste Geschäftspartner, Konkurrenten Dienstleister Mitarbeiter (auch ehemalige)

13 Beispiele technischer Angriffe Schadsoftware Programme mit einer vom Programmierer beabsichtigten schädlichen Wirkung Sicherheitslücken in Software (z.b. Betriebssystem, Webbrowser) Spam überflüssige (z.b. Werbung, Kettenbriefe, Hoax, oft Verbreitung von Schadsoftware) DoS-Angriffe (Denial of Service) Überlastung von Servern, die einen Service anbieten Störung der Verfügbarkeit DNS-Angriff (Domain Name Service) Fälschung von Verweisinformationen auf Routern

14 Nutzung menschlicher Schwächen Phishing Motivation zur Angabe persönlicher Informationen (Zugangsberechtigungen, Passwort, Kontodaten, Geheimzahl, Dokumentdaten) häufiges Ziel: Identitätsdiebstahl für z.b. E-Commerce Social Engineering Einsatz psychologischer Methoden (stark unterstützt durch Social Networks) Überlastung von Sicherheitsverantwortlichen

15 Schadsoftware oft Kombination verschiedener Komponenten, z.b Viren Würmer Trojaner Spyware Verbreitung z.b. über (oft Spam) infizierte Webseiten (Drive-By-Download) Bot-Netze

16 Beispiel Schadsoftware: Viren Programmteile mit vom Nutzer ungewollter Wirkung Funktionsweise: Modifikation eines Wirtsprogrammes zur Erzeugung des Schadens und Vervielfältigung des Virus (z.b. durch Anhängen von Code) Verteilung: Ausführung befallener Programme, Kopien, Versenden infizierter Software verbreitete Typen: Programmviren, Makro-Viren, Boot-Viren mögliche Gegenmaßnahmen: ständige Aktualisierung von Schutzsoftware Wahl geeigneter Software, z.b. Betriebssystem Zwickauer Linux-User-Group Hilfe bei Installationen, regelmäßiger Stammtisch

17 Weitere Beispiele für Schadsoftware Würmer selbständige Programme, die sich reproduzieren und selbst verbreiten Verteilung bei Selbststart auf befallenem Gerät Trojaner Schadsoftware in sinnvollen Anwendungen verpackt öffnet Hintertür, die Spionage und Modifikation des befallenen Gerätes ermöglicht (z.b. Missbrauch zum Mitlesen von Passwörtern, Senden von Spam oder DoS-Angriffen) Spyware Programme zur Beobachtung von Benutzerverhalten (z.b. Surfverhalten, Protokollieren von Zugangsdaten, Passwörtern) Speichern oder Senden der Beobachtungen an den Hersteller Kommerzielle Software enthält oft vom Hersteller eingefügte Trojaner und Spyware (bewusst eingesetzte Sonderfunktionen, z.b. regelmäßige Kontaktaufnahme zum Hersteller)

18 Maßnahmen gegen Angriffe konsequente Anwendung aktueller Sicherheitssoftware (Sicherheitsupdates) regelmäßige Virenprüfung beim Laden, Speichern und Übertragen von Dateien vorsichtiges Online-Verhalten (vertrauenswürdige Server) Firewalls Rechtebeschränkung für Programmausführung Verwendung von Open-Source-Software (auch Betriebssysteme) Verhinderung von Trojanern durch den Hersteller: Qualitäts- und Personenkontrolle