Datensicherheit. Vorlesung 1: Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Transkript

1 Datensicherheit Vorlesung 1: Sommersemester 2015 h_da, Lehrbeauftragter

2 Nachklausur IT- und Medientechnik Freitag, 24. April Uhr Raum A10/001

3 Allgemeines zur Vorlesung die Folien zur Vorlesung sind immer kurz vor jeder Vorlesungseinheit als PDF erhältlich unter: Klausur im Anschluss an die Vorlesungszeit Datensicherheit

4 Infos zum Dozenten Informatik Diplom an der RWTH Aachen seit 2000 bei der Software AG in Darmstadt : Software Engineer Specialist im Entwicklungsbereich Tamino (natives XML-DBMS) und CentraSite (SOA Registry/Repository) Schwerpunkte: XML, Security und WebDAV 2011-heute: Security Expert Methoden für sichere Software-Entwicklung Sicherheit für Industrie 4.0 private Interessen Datenschutz und Datensicherheit Vorlesungen an der Hochschule Darmstadt seit 2005 Datensicherheit

5 Inhalt der Vorlesung laut Modulhandbuch Die Studierenden sollen: Verständnis der grundlegenden Sicherheitsbegriffe und -ziele entwickeln. Kenntnis von Bedrohungen der IT-Sicherheit haben. Verständnis verschiedener Techniken der System- und Netzwerksicherheit besitzen. Bewertungskriterien für IT-Sicherheit kennen und anwenden können. Datensicherheit

6 Wie sicher sind unsere Daten?

7 Quelle:

8 Quelle:

9 Quelle:

10 Quelle:

11 Quelle:

12 Folgende Begriffe werden analog verwendet: Datensicherheit IT-Sicherheit Informationssicherheit

13 Was bedeutet Datensicherheit? Daten = Informationen, die von einem Computersystem erzeugt, gespeichert oder verarbeitet werden. Diese Daten sollen geschützt werden gegen: unerlaubtes Erstellen neuer Daten (create) unerlaubtes Lesen der Daten (read) unerlaubtes Verändern der Daten (update) unerlaubtes Löschen der Daten (delete) Datensicherheit sind die verschiedenen Aspekte, die involviert sind, um den Schutz von Daten zu gewährleisten. Datensicherheit

14 Verlust von Datensicherheit Eine gute Datensicherheit schützt gegen: Datendiebstahl (z.b. Wirtschaftsspionage) Folgen können sein: - finanzieller Verlust (Zugriff auf Finanzdaten) - Vertrauensverlust (Zugriff auf Kundendaten) - Geschäftsaufgabe (Entzug von Lizenzen) Überwachung (z.b. durch Sicherheitsbehörden) Ausfall von Systemen (z.b. durch einen Hackerangriff) Datensicherheit

15 Wie sicher können IT-Systeme sein? 100% Sicherheit ist unmöglich Sicherheit ist immer eine Abwägung zwischen Risiken und Aufwand bzw. Benutzbarkeit 100% unmöglich Sicherheit 0% Kosten Datensicherheit

16 Schutzziele der Datensicherheit Vertraulichkeit Integrität Verfügbarkeit

17 Schutzziele der Datensicherheit Vertraulichkeit Integrität Verfügbarkeit Confidentiality Integritity Availability

18 Schutzziele der Datensicherheit Vertraulichkeit Integrität Verfügbarkeit Authentizität Confidentiality Integritity Availability Nichtabstreitbarkeit

19 Vertraulichkeit Der Zugriff auf Daten ist so zu schützen, dass nur Berechtigte sie einsehen und verändern können. Dies gilt sowohl für gespeicherte Daten, als auch für Daten während der Übertragung. Zudem gilt es auch für Informationen über Kommunikationsvorgänge. Besonders wichtig bei Systemen, bei denen persönliche Daten oder interne/geheime Informationen verarbeitet werden. Beispiel: Die Noten und Matrikelnummer von Studentin A dürfen nicht ohne ihre Einwilligung von Student B eingesehen werden. Datensicherheit

20 Teilaspekte von Vertraulichkeit Unverkettbarkeit Nicht-Verfolgbarkeit Unbeobachtbarkeit Verdecktheit Anonymität Pseudonymität Datensicherheit

21 Integrität Daten und Systeme dürfen keine unzulässigen oder undefinierten Zustände annehmen d.h. sie müssen gegen unzulässige Manipulation geschützt sein. D.h. die Daten müssen verlässlich sein sie dürfen nicht unbefugt verändert worden sein, weder auf dem Speichermedium, noch während der Übertragung. Beispiel: Die Noten von Studentin A werden von den Dozent_innen an das Fachbereichssekretariat abgegeben, wo sie in die Notendatenbank eingetragen werden. Die Noten die in der Notendatenbank landen, müssen genau die Noten sein, wie sie von den Dozent_innen abgegeben wurden. Datensicherheit

22 Verfügbarkeit Daten und Systeme müssen im Rahmen der üblichen Nutzung betriebsbereit sein und es muss auf die Daten wie vorgesehen zugegriffen werden können. Besonders wichtig in Produktionssystemen oder zentralen Infrastruktursystemen (z.b. Stromnetze, Notrufsysteme, Internet). Beispiel Das Online-Belegsystem für die Vorlesungen muss in der Phase zur Anmeldung für die Kurse erreichbar und funktionsfähig sein und muss die Anmeldungen korrekt speichern. Datensicherheit

23 Authentizität Die Echtheit und Glaubwürdigkeit der Daten muss gewährleistet sein. Beispiel: Dozentin A schickt die Notenliste für eine Vorlesung an das Fachbereichssekretariat es muss sichergestellt werden, dass diese Notenliste tatsächlich von Dozentin A stammt, bevor sie in die Notendatenbank eingetragen wird. Datensicherheit

24 Nichtabstreitbarkeit Sicherstellen, dass der Ursprung von Daten auch nicht abstreiten kann, der Ursprung der Daten gewesen zu sein. Beispiel: In einem Newsletter für Schnäppchen trägt sich eine Person mit -Adresse ein. Es muss sichergestellt werden, dass diese Person auch Inhaber_in der -Adresse ist, bevor die erstellen Newsletter an die Person verschickt werden (z.b. mit Double Opt-In). Datensicherheit

25 Authentifizierung / Autorisierung Authentifizierung Überprüfen, ob die behauptete Eigenschaft einer Entität korrekt ist. Prüfen, ob die Identifizierung korrekt ist. beantwortet die Frage: Wer ist das? Beispiel: Der Benutzer fredx4711@yahoo.com möchte seine s abrufen und gibt dazu sein Passwort SuperGeheim ein der Vorgang in dem Yahoo überprüft ob das Passwort SuperGeheim zu dem Benutzer fredx4711@yahoo.com passt, ist eine Authentifizierung. Autorisierung Zuweisung und Überprüfung von Zugriffsrechten. beantwortet die Frage: Wer darf was? Beispiel: Nach der erfolgreichen Authentifizierung will der Benutzer fredx4711@yahoo.com seine s abrufen. Er ruft sein Postfach ab und Yahoo überprüft dann, ob der Benutzer Zugriff auf diese Mails haben sollte. Diese Überprüfung welche Mails der Benutzer fredx4711@yahoo.com sehen darf, ist die Autorisierung. Datensicherheit

26 Weiterer Inhalt der Vorlesung kommt auf jeden Fall noch dran: Identitäten / Authentisierung / Biometrie Netzwerksicherheit Kryptograhie / Verschlüsselung Schutzmaßnamen Schwachstellen Datenschutz / Privatsphäre / Anonymität Angriffsvektoren Datensicherheit

27 Weiterer Inhalt der Vorlesung kommt auf jeden Fall noch dran: Identitäten / Authentisierung / Biometrie Netzwerksicherheit Kryptograhie / Verschlüsselung Schutzmaßnamen Schwachstellen Datenschutz / Privatsphäre / Anonymität Angriffsvektoren kommt vielleicht noch dran: Viren / Würmer / Trojanische Pferde Forensics Zertifizierung Sicherheit in Industrie 4.0 Erkennung / Tests Datensicherheit

28 Weiterer Inhalt der Vorlesung kommt auf jeden Fall noch dran: Identitäten / Authentisierung / Biometrie Netzwerksicherheit Kryptograhie / Verschlüsselung Schutzmaßnamen Schwachstellen Datenschutz / Privatsphäre / Anonymität Angriffsvektoren kommt vielleicht noch dran: Viren / Würmer / Trojanische Pferde Forensics Zertifizierung Sicherheit in Industrie 4.0 Was interessiert Sie sonst noch? Datensicherheit