Informationssicherheit in der IT. SoSe 2013 Tag

Transkript

1 Informationssicherheit in der IT SoSe 2013 Tag

2 Inhalt Grundlagen der Informationssicherheit Gesetze und Vorschriften zur Informationssicherheit Datenschutz Die Bedeutung der modernen Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsmanagement mach den BSI-Standards Schadsoftware Botnetze als Geschäftsmodell

3 Inhalt IT-Sicherheit durch Device-Management Rechtliche Rahmenbedingungen Netzwerksicherheit Man in the middle Attacken Sniffen in geswitchten Netzen W-LAN Konzepte zur Umsetzung von Strategien

4 Vorstellung Pascal Kurschildgen IT-Sicherheitsbeauftragter Datenschutzbeauftragter Ethical Hacker Smartphone Forensiker IT-Security Coordinator

5 1. Abschnitt GRUNDLAGEN DER INFORMATIONSSICHERHEIT

6 VERFÜGBARKEIT?

7 Integrität?

8

9 Gefahren!?

10 2. Abschnitt GRUNDBEGRIFFE DER INFORMATIONSSICHERHEIT

11 Grundlagen Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und -lagernden Systemen, welche die Vertraulichkeit Verfügbarkeit und Integrität sicherstellen. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von Schäden und der Minimierung von Risiken.

12 Grundlagen Vertraulichkeit Vertrauliche Informationen müssen vor unbefugter Preisgabe geschützt werden

13 Grundlagen Verfügbarkeit Die Daten stehen den Benutzern zum geforderten Zeitpunkt zur Verfügung

14 Grundlagen Integrität Die Daten sind vollständig und unverändert

15 Grundlagen Datenschutz Das BDSG gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch öffentliche und nichtöffentliche Stellen soweit sie die Daten unter Verwendung von Datenverarbeitungsanlagen oder nicht automatisierten Dateien erheben, verarbeiten oder nutzen.

16 3. Abschnitt BACK TO THE ROOTS

17 back to the roots Wie hat es angefangen? Was hat ein Sinus Ton von 2600 Hertz mit Hackern zu tun? Wer ist Captain Crunch?

18 back to the roots 1960: Als Kind mochte Joe Engressia es, unbelegte Telefonnummern anzuwählen, um sich die Ansage anzuhören. Dabei pfiff er oft vergnügt, bis eines Tages zufällig die Leitung unterbrochen wurde. Engressia entdeckte durch Zufall, dass er durch Pfeifen eines viergestrichenen E kostenlose Telefonate führen konnte. Dieser Ton wurde von der damaligen Telefongesellschaft der 1960er Jahre AT&T benutzt, um die Leitungsbelegung zu regeln. Der Bastler John T. Draper erweiterte die Methode mit eigenen Kenntnissen stark und machte daraus unbewusst eine Subkultur des Hackens. John T. Draper nannte sich später Captain Crunch, weil der 2600-Hz-Ton auch mit einer Plastikpfeife aus einer Tüte Cap'n Crunch-Frühstücksflocken erzeugt werden konnte. Er wurde kurze Zeit später vom FBI verhaftet und in Folge zu einer Gefängnisstrafe verurteilt.

19 Capt. Crunch

20 4. Abschnitt GEGENWART

21

22 zone-h.org

23 5. Abschnitt GEFAHREN ERKENNEN

24

25 1. Türen und Fenster stehen offen: Rechner und Zubehör könnten aus den Räumen gestohlen werden. 2. Der Bildschirm und damit möglicherweise auch vertrauliche InformaKonen können von Unbefugten eingesehen werden. 3. Ein ZeOel mit Passwörtern ist sichtbar und könnte von Unbefugten missbraucht werden. 4. Eine mit "Sicherung" beschrisete CD- ROM liegt zugänglich herum. 5. Ausdrucke und Kopien mit vertraulichen Daten liegen an Druckern und Kopierern. 6. Rechner mit direkter Verbindung an das Internet können den zentralen Firewallschutz des Netzes aushebeln. 7. Durch private Datenträger (im Bild eine CD- ROM) kann Schadso7ware in das Unternehmensnetz gelangen. 8. Austretende Flüssigkeiten gefährden die Hardware. 9. Rauchen bedeutet Brandgefahr.

26 Gefahrenklassen Höhere Gewalt Organisatorische Mängel Menschliche Fehlhandlungen Technisches Versagen Vorsätzliche Handlungen

27 6. Abschnitt GESETZE UND VORSCHRIFTEN

28 Informationelles Selbstbestimmungsrecht Die freie Selbstbestimmung bei der Entfaltung der Persönlichkeit werde gefährdet durch die Bedingungen der modernen Datenverarbeitung. Wer nicht wisse oder beeinflussen könne, welche Informationen bezüglich seines Verhaltens gespeichert und vorrätig gehalten werden, werde aus Vorsicht sein Verhalten anpassen. Dies beeinträchtige nicht nur die individuelle Handlungsfreiheit sondern auch das Gemeinwohl, da ein freiheitlich demokratisches Gemeinwesen der selbstbestimmten Mitwirkung seiner Bürger bedürfe.

29 Gesetze Strafgesetzbuch (StGB) Bundesdatenschutzgesetz (BDSG) Grundgesetz (GG) Telekommunikationsgesetz (TKG) Telemediengestez (TMG)...

30 Strafgesetzbuch STGB

31 202 a Ausspähen von Daten (1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. (2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

32 202 b Abfangen von Daten (1) Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten ( 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.

33 202 c Vorbereiten des Ausspähens und Abfangens von Daten (1) Wer eine Straftat nach 202a oder 202b vorbereitet, indem er 1.Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten ( 202a Abs. 2) ermöglichen, oder 2.Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

34 303 a Datenveränderung (1) Wer rechtswidrig Daten ( 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. (2) Der Versuch ist strafbar. (3) Für die Vorbereitung einer Straftat nach Absatz 1 gilt 202c entsprechend.

35 303 b Computersabotage (1) Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er 1.eine Tat nach 303a Abs. 1 begeht, 2.Daten ( 202a Abs. 2) in der Absicht, einem anderen Nachteil zuzufügen, eingibt oder übermittelt oder 3.eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. (2) Handelt es sich um eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, ist die Strafe Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe.

36 303 b Computersabotage 303b Computersabotage (3) Der Versuch ist strafbar. (4) In besonders schweren Fällen des Absatzes 2 ist die Strafe Freiheitsstrafe von sechs Monaten bis zu zehn Jahren. Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter 1.einen Vermögensverlust großen Ausmaßes herbeiführt, 2.gewerbsmäßig oder als Mitglied einer Bande handelt, die sich zur fortgesetzten Begehung von Computersabotage verbunden hat, 3.durch die Tat die Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Dienstleistungen oder die Sicherheit der Bundesrepublik Deutschland beeinträchtigt. (5) Für die Vorbereitung einer Straftat nach Absatz 1 gilt 202c entsprechend.

37 Bundesdatenschutzgesetz BDSG

38 Das BDSG gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch öffentliche und nichtöffentliche Stellen soweit sie die Daten unter Verwendung von Datenverarbeitungsanlagen oder nicht automatisierten Dateien erheben, verarbeiten oder nutzen.

39 BDSG BEGRIFFSDEFINITIONEN

40 Definitionen Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).

41 Personenbezogene Daten persönliche Verhältnisse: - Name - Anschrift - Größe - Foto - Familienstand - Geburtsdatum

42 Personenbezogene Daten sachliche Verhältnisse: - Grundbesitz mit Grundbuchangaben - Angaben als KFz-Halter - Vermögen - Schulden - Kreditdaten - Bestell- und Lieferdaten

43 Personenbezogene Daten Besondere Arten von pb Daten o Angaben über die - rassische und ethnische Herkunft, - politische Meinungen, - religiöse oder philosophische Überzeugungen, - Gewerkschaftszugehörigkeit, - Gesundheit oder Sexualleben

44 Definitionen Erheben Ist das Beschaffen von Daten über den Betroffenen

45 Definitionen Verarbeiten - Speichern - Verändern - Übermitteln - Sperren - Löschen

46 Definitionen Nutzen ist jede Verwendung, soweit es keine Verarbeitung ist

47 Definitionen Datenverarbeitungsanlagen - EDV-Anlagen - PC-Systeme - Notebooks - Textverarbeitungssysteme - Videoüberwachungsanlagen - ec-karten Terminals - Smartphones - etc.

48 Zulässigkeit - Verbotsprinzip mit Erlaubnisvorbehalt - Einwilligung des Betroffenen - Gesetzliche Vorschrift oder Erlaubnis - Vertrag oder vertragsähnliches Vertrauensverhältnis - Interesse kontra schutzwürdige Belange - Sonderfälle

49 Vertragsverhältnis Vertragsverhältnis Arbeitsvertrag Kaufvertrag Mietvertrag vertragsähnliches Vertrauensverhältnis Bewerbung Vereinsmitgliedschaft

50 Rechte des Betroffenen Benachrichtigung Werden erstmals pb Daten für eigene Zwecke gespeichert ist der Betroffene - von der Speicherung - Art der Daten - Zweckbestimmung der Erhebung - Identität der verantwortlichen Stelle - Empfänger zu benachrichtigen!

51 Rechte des Betroffenen Benachrichtigung entfällt, z.b.: wenn der Betroffene auf andere Weise Kenntnis bekommen hat die Speicherung durch Gesetz ausdrücklich vorgesehen ist

52 Rechte des Betroffenen Auskunft Der Betroffene kann Auskunft verlangen über: - alle zu seiner Person gespeicherten Daten - Zwecke der Speicherung - Herkunft und Empfänger

53 Vorabkontrolle Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle).

54 BDSG und Informationssicherheit 9, TECHNISCHE & ORGANISATORISCHE MASSNAHMEN

55 Technische und Organisatorische Maßnahmen [ ] Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten.

56 Technische und Organisatorische Maßnahmen Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

57 Zutrittskontrolle 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehren (Zutrittskontrolle)

58 Zugangskontrolle 2. verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle)

59 Zugriffskontrolle 3. gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),

60 Weitergabekontrolle 4. gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),

61 Eingabekontrolle 5. gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),

62 Auftragskontrolle 6. gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

63 Verfügbarkeitskontrolle 7. gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),

64 Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren. Zugang Zugriff Weitergabe

65 Ende Tag 1