AppITSec-Zusammenfassung

Größe: px
Ab Seite anzeigen:

Download "AppITSec-Zusammenfassung"

Transkript

1 AppITSec-Zusammenfassung Clemens Lang 12. März 2012 Zusammenfassung der Vorlesung Applied IT Security des LS1 im WS 2011/12. As-is in der Hoffnung, dass es hilfreich ist, aber ohne Garantie auf Korrektheit, Vollständigkeit und Nützlichkeit. Korrekturen bitte als Patch an Enthält Materialien aus den Vorlesungsfolien. 12. März

2 Inhaltsverzeichnis 1 Der Sicherheits-Begriff Interessen Gefahren Physische Sicherheit Definition Sicherheitsmechanismen (Beispiele) Verfügbarkeit eines Internetanschlusses Verfügbarkeit des Laptops Vertraulichkeit weggeworfener Dokumente Vertraulichkeit von Räumen/Zugangsschutz an Türen Sicherheit im Cyberspace Was ist der Cyberspace Die Gesetze des Cyberspace Gesetz der Automatisierbarkeit Gesetz von der räumlichen Entgrenzung Gesetz von der Kopierbarkeit Gesetz von der Komplexität Daten und Information Neue Phänomene im Cyberspace Authentifikation und Zugangsschutz Begriffe Authentifikation Identität Benutzer & Benutzerkennung Authentifikation Rollen bei der Authentifikation Ablauf Authentifikationsmethoden Zugangskontrolle Multi-Level-Security Vertrauenswürdige Hardware Vertrauenswürdige Software Biometrie Softwaresicherheit Integer Overflows Heap Overflow Stack Overflow Formatstring-Angriffe März

3 6 Vertraulichkeit und Anonymität Secrecy, Privacy, Confidentiality Anonymity Inferenzkontrolle Cyberkriminalität und Schadsoftware Schadsoftware Cyberkriminalität Social Engineering und Awareness Mögliche Angriffsziele für Social Engineering Verteidigungsmechanismus: Awareness Ethische und rechtliche Fragen Rechtliche Fragen der Computerkriminalität a StGB: Ausspähen von Daten b StGB: Abfangen von Daten c StGB: Vorbereiten des Ausspähens und Abfangens von Daten ( Hackerparagraph ) a StGB: Datenveränderung b StGB: Computersabotage StGB: Störung von Telekommunikationsanlagen StGB: Verletzung des Post- oder Fernmeldegeheimnisses Ethische Fragen März

4 1 Der Sicherheits-Begriff Was ist eigentlich Sicherheit? Jede Partei hat eigene Interessen, Ziele und Anforderungen (wie z.b. Verfügbarkeit oder Vertraulichkeit). Diese Interessen werden durch Gefahren und Angriffe bedroht. Man benutzt Sicherheitsmechanismen, um diese abzuwehren, einzudämmen oder die entstandenen Schäden zu kompensieren. Dabei sollte der Aufwand immer in Relation zum Risiko stehen. 1.1 Interessen Einige grundsätzliche Interessen sind durch die ersten 19 Artikel des Grundgesetzes vorgegeben. Diese sind unter Anderem: Menschenwürde Freie Entfaltung der Persönlichkeit, körperliche Unversehrtheit, Freiheit der Person Brief-, Post-, Fernmeldegeheimnis Unverletzlichkeit der Wohnung Schutz des Eigentums Im Kontext der IT-Sicherheit gibt es weitere häufig vorkommende Interessen: Integrität des Zustandes Verfügbarkeit (avilability) Eine Ressource muss bereit zum Gebrauch sein, wann immer das vom Benutzer erwünscht ist. Verfügbarkeit kann auf bestimmte Zeitbereiche eingeschränkt sein (z.b. Hotline nur zu Arbeitszeiten). Es sollte möglich sein festzustellen, wenn eine Ressource nicht verfügbar ist. (Beispielhafte Gefahr: Denial of Service, Slashdot) Integrität (integrity) semantische Integrität Die Ressource enthält das, was man von ihr erwartet (und nicht etwa Fehlinformationen). Unerlaubte Modifikation des Nachrichteninhalts ist verboten Integrität des Zustands Die Ressource wurde nicht (unerlaubt) modifiziert (vgl. Abbildung 1) Abbildung 1: Modifikation des Nachrichteninhalts verletzt Integrität des Zustands Manchmal ist es ausreichend, wenn eine Manipulation nicht verhindert, sondern lediglich entdeckt werden kann. 12. März

5 Authentizität Zusammenfassung AppITSec WS 2011/12 Absender ist der, der draufsteht. Abbildung 2: Fälschung des Absenders verletzt Authentizität 41 Authentizität (authenticity) In der Rolle des Empfängers: Kommt der Gegenstand tatsächlich von der Entität, die vorgibt, der Absender zu sein? (vgl. Abbildung 2) Nicht-Abstreitbarkeit (non-repudiation) Verschärfung der Authentizität: Empfänger kann Nachweisen, dass er eine Dienstleistung von X erhalten hat (das Interesse von X daran ist, dass das nur für Dienstleistungen möglich ist, die auch von X erbracht wurden). Vertraulichkeit (confidentiality) Der Inhalt der Ressource ist nur bestimmten Personen bekannt. Im Vergleich zur Authentizität, die die Korrektheit des Absenders fordert, fordert Vertraulichkeit die Korrektheit des Empfängers. (vgl. Abbildung 3) Unbeobachtbarkeit (non-observability) Verschärfung der Vertraulichkeit: Die Benutzung der Ressource soll geheim bleiben, nicht nur der Inhalt. Anonymität (anonymity) Spezielle Form der Unbeobachtbarkeit, bei der zwar klar ist, dass die Ressource benutzt wird, aber nicht von wem. Anonymität steht im Konflikt mit Nicht-Abstreitbarkeit. Diese Interessen werden häufig in drei Gruppen gegliedert (CIA): Confidentiality Vertraulichkeit, Unbeobachtbarkeit, Anonymität Integrity Integrität, Authentizität, Nicht-Abstreitbarkeit Availability Verfügbarkeit 12. März

6 Vertraulichkeit Zusammenfassung AppITSec WS 2011/12 Nachricht erhalten nur die intendierten Empfänger. Abbildung 3: Abhören oder Umleiten einer Nachricht verletzt Vertraulichkeit 1.2 Gefahren 42 Gefahren können in die zwei Klassen zufällige Gefahren (accidential) und böswillige Gefahren (malicious, deliberate) eingeteilt werden. Zufällige Gefahren sind dabei z.b. Naturkatastrophen, unvorhersagbare Störungen und Materialermüdung, während böswillige Gefahren einen intelligenten Gegenspieler implizieren. Eselsbrücke: Notrufnummern 112 (zufällig) vs. 110 (böswillig). Vertrauen ist immer dann notwendig, wenn man nicht alles selbst kontrollieren kann. Vertraut wird überlicherweise staatlichen Organen wie der Polizei. Es sollte immer auf das notwendige Maß beschränkt sein und setzt vorraus, dass es eine Handlungsalternative im Fall des Vertrauensmissbrauchs gibt (sonst ist es Hoffnung). 2 Physische Sicherheit 2.1 Definition Physische Sicherheit bezeichnet alles, was vor dem Keyboard passiert. Sie beinhaltet Schutz vor Diebstahl, Vandalismus, Naturkatastrophen o.ä und ist immer vom jeweiligen Anwendungsfall abhängig. 2.2 Sicherheitsmechanismen (Beispiele) Verfügbarkeit eines Internetanschlusses Für ein Interesse der Verfügbarkeit des Internetanschlusses bietet sich als Sicherheitsmechanismus die Redundanz von Netzzugängen an. Man kann dem Offline-Sein also vorbeugen, indem man mehrere Anschlusse, z.b. per DSL und UMTS, bereit hält. 12. März

7 Systemschlösser Zusammenfassung AppITSec WS 2011/12 Abbildung 4: links: Schnitt in ein Systemschloss ohne Schlüssel, rechts: gleiches Schloss mit einem passenden Schlüssel Verfügbarkeit des Laptops Als Schutz vor Laptop-Diebstahl kann der Laptop präventiv z.b. mit einem Kensington Lock 44 gesichert werden oder die Attraktivität des Laptops reduziert werden, indem die Weiterverkaufbarkeit durch eine klare Erkennbarkeit als Hehlerware verringert wird (z.b. schwer ablösbare Sicherheitsettiketten). Im Falle eines Diebstahls kann der Schaden z.b. durch spezielle Lokalisierungssoftware eingegrenzt werden Vertraulichkeit weggeworfener Dokumente Papierkörbe und Abfalleimer sind beliebte Angriffsziele; um hier die Vertraulichkeit von weggeworfenen Druckerzeugnissen und/oder digitalen Medien sicherzustellen, sollten die Daten vor der Entsorgung (z.b. durch Shreddern oder Überschreiben) geeignet unbrauchbar gemacht werden Vertraulichkeit von Räumen/Zugangsschutz an Türen Um zu erreichen, dass nur berechtigte Personen eine Tür öffenen können benutzt man u.a. Stiftschlösser. Diese Schlösser beinhalten sekrecht zum Schlüsselschlitz verschiebbare Stifte, die an bestimmten Stellen Schnitte haben. Benutzt man den richtigen Schlüssel werden diese Schnitte auf die gleiche Höhe gebracht und das Schloss wird drehbar. Systemschlösser (d.h. Schlösser, die von mehreren verschiedenen Schlüsseln gesperrt werden können) haben mehr als einen Schnitt pro Stift und sperren daher in verschiedenen Positionen (vgl. Abbildung 4). 3 Sicherheit im Cyberspace 3.1 Was ist der Cyberspace Seit der Entstehung des Internets vor etwa 20 Jahren hat eine massive Kommerzialisierung stattgefunden. Das Internet ist Warenhandelsplatz, Werbeplattform und Kommunikationskanal. Die Kom- 12. März

8 merzialisierung hat ein aus der realen Welt bekanntes Problem mitgebracht: Kriminalität. 3.2 Die Gesetze des Cyberspace Gesetz der Automatisierbarkeit Naturphänomene können mit hinreichender Genauigkeit nachgebildet werden. Die so erzeugten digitalen Objekte sind nur an programmierte Regeln gebunden. Diese Regeln können durch Computer (schnell) ausgeführt werden. Digitale Objekte sind flüchtig, große Datenmengen sind leicht erhebund verarbeitbar Gesetz von der räumlichen Entgrenzung Daten und Programme sind aufgrund der globalen Vernetzung nicht an geographische Orte gebunden. Virtualisierung entkoppelt Programme und physikalische Ausführungsumgebungen (jedes Datum und jede Berechnung braucht zwar echte Hardware, wie diese aussieht und wo sie steht ist aber beliebig). Die phyische und digitale Welt sind entkoppelt Gesetz von der Kopierbarkeit Beliebige Artefakte können perfekt (digital) kopiert werden. Original und Kopie sind dabei nicht unterscheidbar. Identität im Cyberspace ist ebenfalls ein digitales Artefakt und damit auch kopierbar! Gesetz von der Komplexität Der Zustandsraum eines Rechners übersteigt die Anzahl der Atome im Universum. Die Menge an Daten und Programmen ist unübersichtlich und unkontrollierbar. 3.3 Daten und Information Wir beschäftigen uns mit dem Schutz von Informationen. Doch was sind Informationen? Und was ist der Unterschied zwischen Informationen und Daten? Daten sind Bits auf der Festplatte, auf einer Leitung, etc. Diese Bits werden durch Computer verarbeitet ( elektronische Datenverarbeitung, EDV). Informationen sind Interpretationen dieser Daten, Daten also nur eine Repräsentation von Information. Gehen wir von der in Abbildung 5 dargestellten Situation aus. Die übertragene Nachricht ist ein Bitstring und muss weder für Empfänger noch Beobachter eine Bedeutung haben. Wenn eine Partei durch eine Übertragung nichts neues lernt, findet kein Informationsfluss statt. Formal: Beobachter hat Wissen W Beobachter sieht Nachricht m und ordnet ihr Bedeutung B zu Falls W B, hat der Beobachter etwas gelernt, d.h. ein Informationsfluss hat stattgefunden. 12. März

9 Systemmodell: Sender, Empfänger, Nachricht, Beobachter Zusammenfassung AppITSec WS 2011/12 Nachricht (Bitstring) muss weder für Empfänger mitgelesen wird. noch Beobachter eine Bedeutung haben Abbildung 5: Ein Sender transferiert eine Nachricht an einen Empfänger, die von einem Beobachter Beispiel Wenn ein Empfänger nichts neues lernt, dann Beobachter sieht αx + βy = γ mit x, y variabel findet auch kein Informationsfluss statt Werte von x, y sind unklar, jeder Wert ist gleich wahrscheinlich, es findet kein Informationsfluss statt. Beobachter sieht α x + β y = γ Werte von x, y können mit Hilfe der bereits bekannten Beziehung berechnet werden es findet ein Informationsfluss statt. 3.4 Neue Phänomene im Cyberspace SPAM Begünstigt durch Kopierbarkeit, Automatisierbarkeit und räumliche Entgrenzung Spoofing Begünstigt durch Kopierbarkeit von Identitäten Bruteforce Automatisierbarkeit ermöglicht schnelles ausprobieren von möglichen Kombinationen (z.b. Passwörtern). Malware Aufgrund der Komplexität von Software kann nicht jede Software vor der Ausführung überprüft werden. Malware, die sich in scheinbar legitimer Software versteckt wird Tür und Tor geöffnet. 4 Authentifikation und Zugangsschutz Mit welchen konkreten Sicherheitsmechanismen lassen sich Integrität und Authentizität erreichen? 4.1 Begriffe Authentifikation Bis auf marginale Unterschiede gilt: Authentifikation = Authentifizierung. Die grundlegende Frage der Authentifikation ist, ob ein betrachtetes Objekt echt ist. Man versucht also die Echtheit zu März

10 Authentifikation Zusammenfassung AppITSec WS 2011/12 prüfen. Häufig interessiert uns der Speziallfall Authentifikation einer Person, wie in Abbildung 6 dargestellt. Authentifikation Überprüfung einer Person bedeutet der umgangssprachlich Identität der Es wurde überprüft, dass der Benutzer Person der ist, der er vorgibt zu sein. Spezialfall: Authentifikation einer Person = Beispiel: Abbildung 6: Beispielhafte Authentifikation einer Person Ein Benutzer wurde authentifiziert bedeutet Es wurde überprüft, dass der Benutzer der ist, der er vorgibt zu sein Identität Die Identität einer Person ist, was es ausmacht, diese Person zu sein. Sie wird deswegen oft dargstellt als Merkmalsbündel, das die Person eindeutig ausmacht. Theoretisch hat man eine einzige unveräußerbare Identität Benutzer & Benutzerkennung 9 Eine Benutzerkennung ist eine digitale Repräsentation eines Benutzers. Ein perfekter Authentifikationsmechanismus stellt dabei sicher, dass eine Benutzerkennung immer nur vom dazugehörigen Benutzer benutzt werden kann, d.h. sie stellt eine 1:1-Beziehung zwischen Benutzer und seiner Benutzerkennung her. 4.2 Authentifikation Authentifiziert wird überlicherweise zur Zugangskontrolle ( Person X darf diese Ressource nutzen ) und zur Nachweisbarkeit ( Person X hat diese Aktion ausgeführt ). Im Englischen existiert keine Unterscheidung zwischen Authentifikation und Authentisierung, beides heißt authentication Rollen bei der Authentifikation Prover bezeichnet denjenigen, der sich authentifizieren will; authentifiziert wird vom Verifier. Diese Rollen können wechseln, wenn gegenseitig authentifiziert wird Ablauf 1. Identifizierung: Prover gibt seine Identität bekannt 2. Authentifikation: Verifier prüft, ob die Identität des Provers tatsächlich die vorgegebene ist 12. März

11 3. Autorisierung: Verifier prüft, ob der Prover die Berechtigung hat, die gewünschte Aktion durchzuführen Authentifikationsmethoden Authentifikation kann durch Besitz (Ausweis, Schlüssel, Chipkarte, Token), biometrische Merkmale (Fingerabdruck, Stimme, Gesichtserkennung) oder Wissen (Passwort, Algorithmus, Losung) 1 erfolgen. Z.B. durch das Gesetz der Kopierbarkeit ergeben sich jedoch Probleme mit diesen Methoden: Ist das Passwort nicht mehr Geheim kann es beliebig kopiert werden und beliebige Dritte können sich gegen die Benutzerkennung authentifizieren. Bei der Authentifizierung ist die Vertrauenswürdigkeit des Verifiers in den meisten Fällen kritisch: Gibt man die Kombination aus Benutzerkennung und Passwort einem kompromittierten oder nicht vertrauenswürdigen Verifier ist die Vertraulichkeit des Passworts nicht länger gewährleistet. Es ist also wichtig, die Integrität und Authenzität des Verifiers sicherzustellen. Befindet sich zwischen der Authentifikation und dem Zeitpunkt, zu dem eine autorisierte Aktion durchgeführt wird eine nicht vernachlässigbare Zeitspanne und damit die Möglichkeit dazwischen die Identität zu wechseln, so hat man keinen perfekten Authentifikationsmechanismus (z.b. ungelockte Screens mit offenen Browser-Tabs). ( TOCTOU : Time of Check, Time of Use) Für den Benutzer ist Authentifikation mühsam und störend; ist der Authentifikationsmechanismus zu lästig wird er häufig wirkungslos, indem er umgangen oder nicht ernst genommen wird. Es existiert also ein Tradeoff zwischen der Qualität des Authentifikationsmechanismus und dessen Nutzerfreundlichkeit. Passwörter sind beliebt und einfach, nahezu überall einsetzbar. Häufige Probleme mit Passwörtern sind zu geringe Komplexität und die Benutzung in Umgebungen, die nicht vertrauenswürdig sind (d.h. abgehört werden können). Einmal-Passwörter sind generierte Passwörter, die genau einmal benutzt werden können. Einmal- Passwörter können zeitabhängig, challenge-response-basiert oder sequenzbasiert sein. Sie haben den Vorteil, dass sie auch in nicht vertrauenswürdigen Umgebungen benutzt werden können, weil die Kenntnis eines Passworts keine weiteren Logins ermöglicht. Passwort-Bootstrapping Das erste Passwort kommt üblicherweise durch den Administrator auf das System; dabei sollte eine Authentifizierung in der realen Welt stattfinden, um sicherzustellen, dass das neue Passwort wirklich der zur Benutzerkennung gehörende Benutzer erhält. 4.3 Zugangskontrolle Zugangskontrolle in der IT-Sicherheit wird durch das abstrakte Konzept eines sog. Referenzmonitors implementiert. Ein Referenzmonitor ist ein Stück Software, dass die Berechtigung eines Benutzers zu der versuchten Operation überprüft. Um seine Aufgabe erfüllen zu können, muss ein Referenzmonitor 1 oder einer beliebigen Kombination daraus, sog. Two-/Multiple-Factor-Authentication 12. März

12 manipulationssicher, unumgänglich und Anforderungen klein genug, um intensiv prüfbar zu sein, sein. (siehe Abbildung 7) Der Referenzmonitor muss manipulationssicher Ein Referenzmonitor ist mit einem Wächter in der realen Welt vergleichbar (vgl. Abbildung 8). Ein Mechanismus, der nach sein dem abstrakten Prinzip des Referenzmonitors funktioniert ist die Trennung zwischen Benutzermodus und Systemmodus in Betriebssystemen, um Speicherschutz und Hardware- Der Referenzmonitor kann nicht umgangen werden Schutz zu implementieren. Dabei bildet die Systemaufrufschnittstelle den Referenzmonitor. Ist die physikalische Sicherheit Der desreferenzmonitor Rechners nicht gewährleistet muss kannklein der Schutz genug allerdings sein, umgangen werden (z.b. mit Cold-Boot-Attacken). Dazu siehe auch Vertrauenswürdige Hardware. intenstiv geprüft werden zu können Generelles Modell Abbildung 7: Ein Referenzmonitor muss manipulationssicher, unumgänglich und klein genug sein, um intensiv geprüft werden zu können. 63 Abbildung 8: Generelles Modell der Zugangskontrolle: Ein Benutzer versucht eine Operation durchzuführen, ein Referenzmonitor entscheidet, ob der Benutzer auf die Ressource zugreifen darf. 12. März

13 Für den Zugriff auf Ressourcen muss eine Zuordnung von Benutzer und Ressource auf die Zugriffsrechte existieren und in einer Datenstruktur maschinenlesbar sein. In der Theorie ist des eine Matrix wie in Tabelle 1 dargestellt. Diese Darstellung ist in der Praxis zu umständlich. Stattdessen wird die Matrix in Zeilen oder Spalten segmentiert: Entweder führen Benutzer manipulationssichere Listen von Berechtigungen (sog. capabilites ) mit sich, die vom Referenzmonitor geprüft werden oder jedes Objekt beinhaltet in seinen Metadaten eine Zugangskontrollliste, wie z.b. Dateien auf Unix-Systemen. Anm. d. Autors: Der Teil über Unix-Rechte, chmod und umask fehlt hier wegen Trivialität. bill.doc edit.exe fun.com Alice {ausführen} {ausführen, lesen, schreiben} Bill {lesen, schreiben} {ausführen} {ausführen, lesen} Tabelle 1: Eine beispielhafte Zugangskontrollmatrix Multi-Level-Security Beispiel Weist man Ressourcen einen Vektor von Sicherheitsbechreibungen (a 1,..., a n ) mit a i A i a i A i und sind die Elemente in den A i unabhängig von denen in anderen A i ergibt sich ein (Hyper-)Würfel von Berechtigungen wie in Abbildung 9, wenn zusätzlich eine Ordnungsrelation auf den Tupeln definiert wird, d.h. es gilt Mit schwächer-als-relation kann man Subjekten Levels zuweisen, bis zu denen sie wissen dürfen Beispiel: H = private, public, C = { HR, ENG } (a i,..., a n ) (b i,..., b n ) a i < b i bzw. a i b i i 60 Abbildung 9: Ein Würfel von Berechtigungen (h, c) mit h {private, public}, c {HR, ENG} 12. März

14 4.3.2 Vertrauenswürdige Hardware Um den für Referenzmonitore nötigen Standard an Vertrauenswürdigkeit und Manipulationssicherheit der Hardware zu erreichen bieten sich mehrere Methoden an. Ein einfacher aber wirksamer Manipulationsschutz wird z.b. durch Eingießen der Hardware in Kunstharz erreicht. Weitere häufige Varianten solcher Sicherheitsmodul genannten vertrauenswürdigen Hardware sind: Smartcards (SIM-Karten, EC-Karten) Smartcards enthalten einen kleinen Mikroprozessor und Speicher und können dazu benutzt werden Kryptoschlüssel zu speichern, ohne dass sie vom Besitzer der Smartcard auslesbar sind. Diese Karten können auch Berechnungen (etwa Challenge-Response-Verfahren) durchführen. diverse PCI-Module, die autonom von ihrem Host-Rechner agieren und physisch und durch Sensoren vor Manipulation geschützt sind, bzw. sich aktiv dagegen wehren (z.b. Utimaco Cryptoserver, IBM 4758 PCI) Vertrauenswürdige Software Neben der Hardware eines Referenzmonitors muss auch die Software vertrauenswürdig und integer sein. Vergleicht man die Software mit unveränderten Originalkopieren, lassen sich Manipulationen zuverlässig feststellen. Diese Methode ist zwar sicher, aber sehr aufwändig umzusetzen, weil man eine unveränderbare Kopie vorhalten muss. Alternativ kann man nur die Metadaten der Dateien vergleichen, was zwar deutlich weniger aufwändig, aber auch deutlich weniger sicher ist. Die in der Praxis am häufigen benutzte Variante ist der Vergleich von Checksummen der Daten gegen die Checksummen der unveränderten Daten (z.b. Tripwire, BSD mtree). Durch geschickte Manipulation eines Compilers ist es möglich, Sicherheitslücken in Programme einzubauen, obwohl weder der Quellcode des Compilers, noch der Quellcode des Programms diese Lücke enthalten (http://cm.bell-labs.com/who/ken/trust.html). Anm. d. Autors: Diese Lücke ist hier viel zu kurz diskutiert, mir aber klar, weswegen ich keine Zeit darauf aufwende, das hier nochmal zu reproduzieren. Theoretisch müsste man jedes Bit jeder Software, die man benutzt selbst implementieren oder prüfen, um ein vertrauenswürdiges System zu haben. Da dies nicht machbar ist, muss man an irgendeiner Stelle seinen Softwarequellen vertrauen (vgl. Gesetz von der Komplexität). 4.4 Biometrie Als Biometrie bezeichnet man das Messen von Körper- oder Verhaltensmerkmalen wie z.b. Gesichtsform, Fingerabdruck, Muster der Netzhaut oder Iris, Unterschrift oder gesprochenen Text. Die Erkennungsrate bei Biometrie ist immer ein Tradeoff zwischen false positives und false negatives. Dabei muss darauf geachtet werden, dass der Einsatz von Biometrie (z.b. in der Authentifizierung) nicht zu lästig für den Benutzer (d.h. zu viele false negatives), aber auch nicht zu einfach zu täuschen (d.h. zu viele false positives) ist. Die Speicherung von biometrischen Daten sollte bei der Verwendung von Biometrie sicher sein. Außerdem sollte keine Anreiz zum Diebstahl von Körperteilen geschaffen werden. Gewünschte Mehrfachidentitäten, wie z.b. Zeugenschutzprogramme werden durch Biometrie eventuell aufgedeckt. 12. März

15 5 Softwaresicherheit Das Gesetz von der Komplexität besagt, dass Programme unerwartete und schwer einsichtige (absichtlich oder unabsichtlich vorhandene) Zusazufunktionalität haben solche Zusatzfunktionalität könnten z.b. Sicherheitslücken, sog. vulnerabilities sein. Das Ziel bei der Ausnutzung einer Sicherheitslücke ist, die ausgenutzte Software dazu zu bringen, etwas zu tun, was sie nicht tun sollte. Dazu versucht man Fälle zu testen, an die der Entwickler möglicherweise nicht gedacht hat. 5.1 Integer Overflows Zahlendarstellungen im Computer haben feste Grenzen; werden diese überschritten finden ohne weitere Warnungen sogenannte Überläufe statt, d.h. es geht Information verloren und das Ergebnis einer Berechnung wird verfälscht. Solche Fehler können immer dann auftreten, wenn die Länge einer Zahl erhöht oder erniedrigt wird (upcast/downcast). Ebenfalls fehleranfällig sind Änderungen der Interpretation einer Zahlendarstellung zwischen signed und unsigned, d.h. vorzeichenbehafteten und vorzeichenunbehafteten Interpretationen. Wird sowohl signedness, als auch Größe gecastet, wird in C immer erst die Bitgröße geändert! Ausnutzbar werden solche Fehler z.b. wenn Längen von Speicherbereichen oder Offsets berechnet werden oder der weitere Kontrollfluss davon abhängt. 5.2 Heap Overflow Nacheinander auf dem Heap (z.b. mit malloc(3)) allokierte Speicherbereiche liegen oft nahe beieinander. Ist einer der beiden Speicherbereiche durch einen Pufferüberlauf angreifbar, so kann u.u. der Inhalt des anderen Puffers geschrieben werden. Besondere Vorsicht ist hier geboten, wenn sensible Daten in der Nähe von Benutzereingaben allokiert werden; als sensible Daten müssen in diesem Kontext Passwörter, Variablen mit Einfluss auf den Kontrollfluss, Namen von zu öffnenden Dateien und Funktionspointer (z.b. in vtables) gelten. 5.3 Stack Overflow Überlauf von Puffern auf dem Stack, der dazu benutzt werden kann Rücksprungadressen von aufrufenden Funktionen zu überschreiben. Falls der Puffer groß genug ist, kann man eigenen Binärcode mitliefern und diesen anspringen und so die Ausführung beliebigen Codes erreichen. Um diese Angriffe zu erschweren oder zu verhindern, wurde mit neueren Prozessoren Hardwareunterztützung fur das sog. NX-Bit eingeführt, mit dem sich das ausführen von Code auf schreibbaren Speicherbereichen deaktivieren lässt (d.h. W X). Außerdem randomisieren neuere Betriebssysteme als zusätzliche Sicherheitsmaßnahme die Startadresse des Stack-Segments, um das Erraten der Adressen von ausnutzbaren Puffern zu erschweren. Durch sog. Return Oriented Programming kann der Schutz durch das NX-Bit ausgehebelt werden, indem Codesequenzen aus Bibliotheken und dem Betriebssystem wiederverwendet werden. Da dabei auf dem Stack nur Rücksprungadressen, aber kein ausführbarer Code abgelegt wird, greift W X nicht. 12. März

16 5.4 Formatstring-Angriffe Kann ein Angreifer den Format-Parameter einer der Funktionen aus der printf(3)-reihe kontrollieren, so kann er den Inhalt des Stacks lesen (indem er Format-Parameter angibt, für die keine Argumente an den printf(3)-aufruf übergeben wurden) oder mit der Formatanweisung %n beliebige Werte im Speicher schreiben. 6 Vertraulichkeit und Anonymität Vertraulichkeit verlangt, dass Informationen nur an die intendierten Addressaten gelangen. Über den Informationsfluss hat man allerdings keine Kontrolle nur die Daten lassen sich kontrollieren. Die Automatisierbarkeit (z.b. automatische Inferenz, Data Mining, Überwachung) und die Kopierbarkeit (Verlust von Daten geht schnell und unauffällig) stellen eine große Gefahr für die Vertraulichkeit dar. 6.1 Secrecy, Privacy, Confidentiality Secrecy bezeichnet die Begrenzung des Zugriffs auf eine bestimmte Information auf einen eigeschränkten Benutzerkreis. Confidentiality ist der Versuch Informationen von Dritten (Personen oder Organisationen) zu schützen, während privacy das Recht und/oder die Möglichkeit des Schutzes der eigenen Daten bezeichnet. Privacy is secrecy for the benefit of the individual, Confidentiality is secrecy for the benefit of the organization. 6.2 Anonymity Müssen neben den Inhalten einer Ressource auch ihre Metadaten geheim bleiben (z.b. darf nicht bekannt werden, wer wann mit wem kommuniziert hat), so spricht man von anonymity. Anonymität ist also die Vertraulichkeit der Quelle (oder des Ziels) einer Nachricht. Techniken zur Erhaltung der Anonymität Die Anonymität einer Übertragung lässt sich z.b. durch Fälschen der Identität (MAC-/IP-/ -Adresse), Benutzung von Proxy-Servern oder Onion-Routing (vgl. Tor-Projekt) erreichen. 6.3 Inferenzkontrolle Um die Inferenz von Information (vgl. Daten und Information) zu kontrollieren kann man vermeiden, dass unerwünschte Empfänger die übertragenen Daten überhaupt sehen oder dafür sorgen, dass nur der gewünschte Empfänger ein Geheimnis besitzt, das zur Inferenz der Information aus den übertragenen Daten notwendig ist. Beim Entwurf von Kryptographieverfahren geht man üblicherweise von einem omnipräsenten, allwissenden, rationalen Beobachter aus, d.h. man versucht nicht, die übertragenen Daten vor Dritten geheim zu halten, sondern benutzt mathematische Einwegfunktionen, die sich nur mit Hilfe eines Geheimnisses leicht invertieren lassen. Alternativ kann man auf bestehende Systeme Monitoring (statisch zur Compile-Zeit oder dynamisch zur Laufzeit) anwenden, um die Inferenz von Information durch einen Beobachter zu verhindern. 12. März

17 Kann ein Beobachter aus den Ergebnissen einer Berechnung Information über die eingegebenen Parameter erlangen, so findet ein Informationsfluss statt; diesen gilt es zu vermeiden. Information kann dabei direkt (result = secret), indirekt (result = f(secret)), transitiv (help = secret; result = help) oder implizit (d.h. abhängig vom Kontrollfluss) fließen. Neben den so direkt am Verhalten des Programms beobachtbaren Informationskanälen gibt es noch die sog. convert channels, d.h. Rückschlüsse auf das Programmverhalten anhand des Zeitverhaltens oder gemeinsam genutzer Ressourcen (Locks, Übertragungsraten, Energieverbrauch, elektromagnetische Strahlung). 7 Cyberkriminalität und Schadsoftware 7.1 Schadsoftware Als Schadsoftware bezeichnet man Software, die unerwünschte oder schädliche Funktionalität besitzt. Diese Definition ist dabei aus der Sicht des Benutzers und damit subjektiv. Schadsoftware enthält Schadroutinen (d.h. Funktionen, die Interessen des Benutzers verletzt) und Verbreitungsroutinen (d.h. Funktionen, die die Schadsoftware weiterverteilen). Klassifikation Die Begriffe Virus, Wurm und Trojaner beziehen sich auf die Verbreitungsroutine. Während Viren und Trojaner sich nicht autonom verteilen, versuchen Würmer möglichst schnell eine große Menge an Systemen zu infizieren und verteilen sich zu diesem Zweck vollautomatisch. Bei moderner Schadsoftware verschwimmt diese Grenze häufig. Backdoor, Spyware und Bot bezeichnen spezielle Typen von Schadroutinen: Backdoors und Bots beinhalten eine Fernsteuermöglichkeit, während Spyware nur Daten ausspäht und an den Angreifer ausleitet. Anm. d. Autors: Ich spar mir hier die Botnetze, ich weiß, was ein Bot ist. 7.2 Cyberkriminalität Zusammen mit der Kommerzialisierung des Internets hat die Kriminalität Einzug gehalten und es ist eine komplexe digitale Schattenwirtschaft entstanden. Das Vorgehen der Kriminellen ist dabei professionell: Mehrere Arbeitsschritte werden auf unterschiedliche Personen aufgeteilt. Die Dunkelziffer ist hoch, die Umsätze und Gewinne sind kaum erforscht, werden aber in der Nähe des Drogenhandels vermutet. Aufgrund der hohen Kommerzialisierung und Professionalität ist eine ökonomische Betrachtung von Cyberkriminalität sinnvoll: Ausgenutzt wird oft nur, was sich auch (finanziell) lohnt. Von der Akquisition nutzbarer Daten bis zur Ausnutzung sind viele Schritte nötig, für die sich ein regelrechter Dienstleistungsmarkt entwickelt hat. Von Serverbetreibern und Besitzer von Botnetzen über den Handel mit Kreditkartendaten bis hin zur Geldwäsche über verschiedenste Mittelsmänner sind viele spezialisierte Aufgaben zu erledigen. Als zentrale Komponente der Cyberkriminalität kann dabei Spam gelten: Werbung für zwielichtige Angebote wird ebenso häufig als Spam versandt wie Schadsoftware und Phishing-Versuche. Dabei entsteht eine Symbiose zwischen Spam und Botnetzen: Rechner werden durch Schadsoftware in Spam- s infiziert und dann dazu benutzt als Teil eines Botnetzes Spam zu verschicken. 12. März

18 8 Social Engineering und Awareness Social Engineering bezeichnet den gezielten Angriff auf (IT-)Systeme mithilfe von Menschen und ihren Verhaltensweisen. Dabei wird versucht häufige und durch die Gesellschaft antrainierte Verhaltensmuster gezielt auszunutzen. 8.1 Mögliche Angriffsziele für Social Engineering Mögliche Angriffsziele sind z.b. die folgenden Verhaltensweisen: Herdentrieb (vgl. Video The Monte ) Scheinen Dritte arglos gegenüber einer Person zu sein, so sind wir meist unvorsichtiger. Diese Dritten können aber potentiell ebenfalls Mittäter des Angreifers sein. In der IT trifft man dieses Problem z.b. bei Reputationssystemen; gegen Dritte, die bewusst gute Bewerbungen abgeben, um jemanden in einem guten Licht dastehen zu lassen sind diese Systeme häufig machtlos. Ablenkung Unsere Aufmerksamkeit ist begrenzt. Während wir uns auf einen bestimmten Punkt konzentrieren übersehen wir möglicherweise Angriffe an anderer Stelle. Verlangen und Habgier Kennt ein Angreifer unsere Vorlieben und Bedürfnisse, sind wir durch genau diese Bedürfnisse manipulierbar. Diese Verhaltensweise bildet die Grundlage für Scam und viele Formen der Verbreitung von Malware. Obrigkeitsfügsamkeit Die Gesellschaft trainiert uns, Autoritäten (wie z.b. die Polizei) nicht zu hinterfragen. Angreifer geben sich deswegen oft gezielt als eine solche aus und versuchen durch überzeugendes Auftreten unser Vertrauen zu erschleichen. Unehrlichkeit (vgl. Video Ring Reward Rip-Off ) Wer gibt schon gerne zu, wie die Malware auf den Rechner kam. Hilfsbereitschaft Die Gesellschaft erzieht uns dazu freundlich und hilfsbereit zu sein. Betrüger nutzen diese Hilfsbereitschaft schamlos aus. Zeitdruck Unter Zeitdruck entscheiden wir anders als wenn wir rational über eine Entscheidung nachdenken würden. Unseriöse Angebote setzen deswegen häufig eine Frist, um uns zu einer schnellen Entscheidung zu drängen. 8.2 Verteidigungsmechanismus: Awareness Als Sicherheitsmaßnahme gegen Social Engineering eignet sich generell ein gestärktes Sicherheitsbewusstsein und Kenntnis der Angriffe. Um dieses zu stärken, werden Aufklärungskampagnen eingesetzt. Dabei sollen 3 Grundregeln gelten: 1. Bleiben Sie misstrauisch 2. Im Zweifel auf Funktionalität verzichten 3. Erstatten Sie Anzeige oder beschweren Sie sich! 12. März

19 9 Ethische und rechtliche Fragen 9.1 Rechtliche Fragen der Computerkriminalität Vor Gericht und auf hoher See ist man allein in Gottes Hand! Bei Cyberkriminalität wird unterschieden zwischen den Straftaten, bei denen der Computer lediglich Tatwerkzeug, der Straftatbestand aber herkömmlich ist und den Straftaten, bei denen der Computer das Angriffsziel ist. Cyberkriminalität ist aufgrund der Globalisierung des Internets kein lokales Problem die Gesetzgebung und Rechtssprechung ist aber durch Staatsgrenzen begrenzt. Die Gesetzgebung bezüglich der Cyberkriminalität richtet sich in Deutschland nach den Ergebnissen der Cybercrime Convention, einer Konferenz des Europarates 2001, auf der Modellgesetze zur Cyberkriminalität verabschiedet wurden. Diese Gesetze richten sich nach den Interessen Confidentiality, Integrity, Availablity (CIA): a StGB: Ausspähen von Daten Verbot und Bestrafung des Abrufens von Daten, die nicht für ihn bestimmt und gegen unberechtigten Zugang effektiv gesichert sind (verletzt Vertraulichkeit) b StGB: Abfangen von Daten Verbot und Bestrafung des unbefugten Abhörens von nichtöffentlichen Datenübermittlungen oder elektromagnetischen Abstrahlungen (verletzt Vertraulichkeit) c StGB: Vorbereiten des Ausspähens und Abfangens von Daten ( Hackerparagraph ) Vorbereitung einer Straftat nach 202a StGB: Ausspähen von Daten oder 202b StGB: Abfangen von Daten: Verschaffen, Verkaufen, Überlassen, Verbreiten von Passwörtern, die den Zugang zu Daten ermöglichen oder Computerprogrammen, deren Zweck die Begehung einer solchen Straftat ist. Der Hackerparagraph ist problematisch, weil er auf dual use -Software angewendet werden kann. Die Beschreibung von Sicherheitslücken ist explizit ausgenommen a StGB: Datenveränderung Rechtswidriges Löschen, Unterdrücken, Verändern und unbrauchbar Machen von Daten (verletzt Integrität) b StGB: Computersabotage Störung von Datenverarbeitung, die für andere von wesentlicher Bedeutung ist. Das Strafmaß verschärft sich bei Firmen und staatlichen Einrichtungen. Dieses Gesetz dient dem Schutz der Integrität von Computersystemen und dem Schutz kritischer Infrastrukturen, ist aber auch auf private Computeranlagen anwendbar, wenn diese wesentlich für den Anwender sind. Das Gesetz schützt auch die Verfügbarkeit dieser Systeme, da Denial of Service- Angriffe ebenfalls abgedeckt sind. 12. März

20 StGB: Störung von Telekommunikationsanlagen Störung einer öffentlichen Zwecken dienenden Telekommunikationsanlage. Zielt auf den Schutz kritischer Infrastruktur, und damit deren Verfügbarkeit ab StGB: Verletzung des Post- oder Fernmeldegeheimnisses Bürger nehmen zur Kommunikation Dienstleistungen von Dritten in Anspruch; damit diese die über sie versendeten Daten nicht beliebig nutzen und/oder weitergeben dürfen verbietet das Fernmeldegeheimnis diese Tätigkeiten unter Strafe. Diese Gesetzgebung ist für alle Anbieter von Telekommunikationsdienstleistungen relevant, d.h. z.b. auch für die Universität als Internet- und -Provider. Das Unterdrücken von s ist ebenfalls strafbar (was Spam-Filter zu einem rechtlichen Problem macht!). 9.2 Ethische Fragen Ethik ist die Reflexion über das, was als richtig oder falsch empfunden wird. Diese Moralvorstellungen entwickeln sich über große Zeiträume und passen sich den gesellschaftlichen Anforderungen an sie an. Sie sind die Grundlage für die Gesetzgebung. Die Computerethik hinkt der Technologie noch hinterher, in einigen Bereichen, wie z.b. dem Datenschutz haben sich noch keine Moralvorstellungen ausgeprägt. Dies schafft eine Grauzone, in der unklar ist, wie man sich verhalten soll. 12. März

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Integrität: Garantie der Korrektheit (unverändert,

Mehr

Datensicherheit. Vorlesung 1: 10.4.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 1: 10.4.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 1: 10.4.2015 Sommersemester 2015 h_da, Lehrbeauftragter Nachklausur IT- und Medientechnik Freitag, 24. April 2015 12.15 13.45 Uhr Raum A10/001 Allgemeines zur Vorlesung die Folien

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

Üblicherweise unterscheidet man zwischen der Strategie (policy) und dem Mechanismus (mechanism).

Üblicherweise unterscheidet man zwischen der Strategie (policy) und dem Mechanismus (mechanism). 3 Maßnahmen 3.0 Sicherheitsstrategien und Mechanismen Üblicherweise unterscheidet man zwischen der Strategie (policy) und dem Mechanismus (mechanism). Die Strategie spezifiziert, welche Maßnahmen (z.b.zugriffe)

Mehr

P2P - Sicherheit Georg Lukas 2003-12-03 Seminar "Kommunikation in P2P-Netzen"

P2P - Sicherheit Georg Lukas 2003-12-03 Seminar Kommunikation in P2P-Netzen P2P - Sicherheit Georg Lukas 2003-12-03 Seminar "Kommunikation in P2P-Netzen" Ziele des Vortrags Sicherheit auf Konzept-Ebene Kommunikationsprotokolle Datenspeicherung Resistenz gegen Störungen, Angriffe,

Mehr

Dipl.-Ök. Thorben Sandner Institut für Wirtschaftsinformatik Leibniz Universität Hannover. sandner@iwi.uni-hannover.de

Dipl.-Ök. Thorben Sandner Institut für Wirtschaftsinformatik Leibniz Universität Hannover. sandner@iwi.uni-hannover.de 09. Juni 2009 Dipl.-Ök. Thorben Sandner sandner@iwi.uni-hannover.de Definition Sicherheit Sicherheit bezeichnet den Zustand des Sicherseins vor Gefahr oder Schaden bzw. einen Zustand, in dem Schutz vor

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 01.07.2013 1 / 31 Überblick 1 Zugriffskontrolle Das Bell-LaPadula-Modell Das Chinese-Wall-Modell Zusammenfassung 2 Analyse größerer Systeme Motivation Der

Mehr

Sicherheitsaspekte unter Windows 2000

Sicherheitsaspekte unter Windows 2000 Sicherheitsaspekte unter Windows 2000 Margarete Kudak Sascha Wiebesiek 1 Inhalt 1. Sicherheit 1.1 Definition von Sicherheit 1.2 C2 - Sicherheitsnorm 1.3 Active Directory 2. Sicherheitslücken 3. Verschlüsselung

Mehr

11 Instanzauthentisierung

11 Instanzauthentisierung 11 Instanzauthentisierung B (Prüfer) kann die Identität von A (Beweisender) zweifelsfrei feststellen Angreifer O versucht, Identität von A zu übernehmen (aktiver Angri ) Oskar (O) Alice (A) Bob (B) Faktoren

Mehr

Verschlüsselungsverfahren

Verschlüsselungsverfahren Verschlüsselungsverfahren Herrn Breder hat es nach dem Studium nach München verschlagen. Seine Studienkollegin Frau Ahrend wohnt in Heidelberg. Da beide beruflich sehr stark einspannt sind, gibt es keine

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

Einführung in das deutsche und europäische Computer- und Internetstrafrecht

Einführung in das deutsche und europäische Computer- und Internetstrafrecht Einführung in das deutsche und europäische Computer- und Internetstrafrecht Dr. Alexander Koch Institut für das Recht der Netzwirtschaften, Informations- und Kommunikationstechnologie Gang des Vortrags

Mehr

Soziale Netzwerke Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co.

Soziale Netzwerke Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co. www.bsi-fuer-buerger.de Ins Internet mit Sicherheit! Soziale Netzwerke Basisschutz leicht gemacht 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co. Sicher unterwegs in Facebook,

Mehr

Smartcard-Authentifizierung mit Oracle-Forms

Smartcard-Authentifizierung mit Oracle-Forms Smartcard-Authentifizierung mit Oracle-Forms Teil 1: Theoretisches zur 2-Faktor Authentifizierung Das Smartcard-Projekt der Nordrheinischen Ärzteversorgung Irisstrasse 45 11. November 2004 1 Inhalt Kurzvorführung

Mehr

Authentisierung in Unternehmensnetzen

Authentisierung in Unternehmensnetzen in Unternehmensnetzen Problemstellung und Lösungsansätze >>> Seite Martin 1 Seeger NetUSE AG, Dr.-Hell-Straße, 24017 Kiel ms@netuse.de - Agenda - Inhalt Problemstellung Was ist starke Authentisierung Biometrie

Mehr

Empfehlungen für die Vergabe von Passwörtern

Empfehlungen für die Vergabe von Passwörtern Berliner Beauftragter für Datenschutz und Informationsfreiheit Ratgeber zum Datenschutz Nr. 3 Empfehlungen für die Vergabe von Passwörtern Voraussetzung dafür, dass die Vertraulichkeit, Integrität und

Mehr

2. Realisierung von Integrität und Authentizität

2. Realisierung von Integrität und Authentizität 2. Realisierung von Integrität und Authentizität Zur Prüfung der Integrität einer Nachricht oder Authentizität einer Person benötigt die prüfende Instanz eine zusätzliche Information, die nur vom Absender

Mehr

IT-Sicherheit. 1. Einführung und organisatorische Sicherheit. 2. Datenschutz und Nicht-technische Datensicherheit. 3. Identity Management

IT-Sicherheit. 1. Einführung und organisatorische Sicherheit. 2. Datenschutz und Nicht-technische Datensicherheit. 3. Identity Management IT-Sicherheit 1. Einführung und organisatorische Sicherheit 2. Datenschutz und Nicht-technische Datensicherheit 3. Identity Management 4. Angewandte IT Sicherheit 5. Praktische IT Sicherheit 1. Einführung

Mehr

Mitarbeiterinformation

Mitarbeiterinformation Datenschutz & Gesetzliche Regelungen Praktische Hinweise Kontakt zu Ihrem Datenschutzbeauftragten Elmar Brunsch www.dbc.de Seite 1 von 5 Einleitung In den Medien haben Sie sicher schon häufig von Verstößen

Mehr

(c) 2014, Peter Sturm, Universität Trier

(c) 2014, Peter Sturm, Universität Trier Soziotechnische Informationssysteme 6. OAuth, OpenID und SAML Inhalte Motivation OAuth OpenID SAML 1 Grundlagen Schützenswerte Objekte Zugreifende Subjekte Authentifizierung Nachweis einer behaupteten

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Sibylle Schwarz Westsächsische Hochschule Zwickau Dr. Friedrichs-Ring 2a, RII 263 http://wwwstud.fh-zwickau.de/~sibsc/ sibylle.schwarz@fh-zwickau.de WS 2009/2010 Informationssicherheit

Mehr

Praxisbuch ISO/IEC 27001

Praxisbuch ISO/IEC 27001 Praxisbuch ISO/IEC 27001 Management der Informationssicherheit und Vorbereitung auf die Zertifizierung von Michael Brenner, Nils gentschen Felde, Wolfgang Hommel, Stefan Metzger, Helmut Reiser, Thomas

Mehr

MALWARE AM BEISPIEL VON STUXNET

MALWARE AM BEISPIEL VON STUXNET MALWARE AM BEISPIEL VON STUXNET IAV10/12 24.05.2011 Jan Heimbrodt Inhalt 1. Definition Was ist Malware? 2. Kategorisierung von Malware Viren, Würmer, Trojaner, 3. Was macht Systeme unsicher? Angriffsziele,

Mehr

Der Wert von Daten. Biometrie als Zugriffsschutz. Vorteile biometrischer Systeme

Der Wert von Daten. Biometrie als Zugriffsschutz. Vorteile biometrischer Systeme 2005 Siemens AG Österreich www.siemens.com/biometrics biometrics@siemens.com Datensicherheit durch biometrische Verfahren Der Wert von Daten Biometrie als Zugriffsschutz Vorteile biometrischer Systeme

Mehr

Cybercrime. Neue Kriminalitätsformen und Sicherheitsrisiken moderner Kommunikation

Cybercrime. Neue Kriminalitätsformen und Sicherheitsrisiken moderner Kommunikation Cybercrime Neue Kriminalitätsformen und Sicherheitsrisiken moderner Kommunikation Agenda Cybercrime wer oder was bedroht uns besonders? Polizeiliche Kriminalstatistik Diebstahl digitaler Identitäten Skimming

Mehr

Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation

Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation Ein Großteil der heutigen Kommunikation geschieht per email. Kaum ein anderes Medium ist schneller und effizienter. Allerdings

Mehr

Soziale Netzwerke Basisschutz leicht gemacht. Tipps zur sicheren Nutzung von Facebook, Xing & Co

Soziale Netzwerke Basisschutz leicht gemacht. Tipps zur sicheren Nutzung von Facebook, Xing & Co Soziale Netzwerke Basisschutz leicht gemacht Tipps zur sicheren Nutzung von Facebook, Xing & Co Sichere Nutzung sozialer Netzwerke Über soziale Netzwerke können Sie mit Freunden und Bekannten Kontakt aufnehmen,

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann Zur Person Frank Broekman IT-Security Auditor (TÜV) Geschäftsführer der dvs.net IT-Service

Mehr

SICHERE DATENHALTUNG IN DER CLOUD VIA HANDY. Tuba Yapinti Abschlussvortrag der Bachelorarbeit Betreuer: Prof. Reinhardt, Dr.

SICHERE DATENHALTUNG IN DER CLOUD VIA HANDY. Tuba Yapinti Abschlussvortrag der Bachelorarbeit Betreuer: Prof. Reinhardt, Dr. SICHERE DATENHALTUNG IN DER CLOUD VIA HANDY 1 Tuba Yapinti Abschlussvortrag der Bachelorarbeit Betreuer: Prof. Reinhardt, Dr. Bernd Borchert GLIEDERUNG 1. Motivation Gründe für die Entwicklung Ideen für

Mehr

Sichere Kommunikation unter Einsatz der E-Signatur

Sichere Kommunikation unter Einsatz der E-Signatur Sichere Kommunikation unter Einsatz der E-Signatur Emails signieren und verschlüsseln Michael Rautert Agenda: Gefahren bei der Email-Kommunikation Signaturen und Verschlüsselung Anforderungen und Arten

Mehr

PKI (public key infrastructure)

PKI (public key infrastructure) PKI (public key infrastructure) am Fritz-Haber-Institut 11. Mai 2015, Bilder: Mehr Sicherheit durch PKI-Technologie, Network Training and Consulting Verschlüsselung allgemein Bei einer Übertragung von

Mehr

Kryptographie und Fehlertoleranz für Digitale Magazine

Kryptographie und Fehlertoleranz für Digitale Magazine Stefan Lucks Kryptographie und Fehlertoleranz für digitale Magazine 1 Kryptographie und Fehlertoleranz für Digitale Magazine Stefan Lucks Professur für Mediensicherheit 13. März 2013 Stefan Lucks Kryptographie

Mehr

Datenschutz und Datensicherheit

Datenschutz und Datensicherheit Datenschutz und Datensicherheit Gliederung 1. Datenschutz 2. Datensicherheit 3. Datenschutz und sicherheit in der Verbandsarbeit 12.01.14 Raphael Boezio 2 Datenschutz Was ist Datenschutz? Datenschutz ist

Mehr

Datenschutz in der betrieblichen Praxis

Datenschutz in der betrieblichen Praxis Datenschutz in der betrieblichen Praxis Datenschutz und Datensicherheit unter besonderer Berücksichtigung der beruflichen Aus- und Weiterbildung von Alfred W. Jäger, Datenschutzbeauftragter Überblick zur

Mehr

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. "For your eyes only" Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo.

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. For your eyes only Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo. Karlsruher IT-Sicherheitsinitiative - 26. April 2001 "For your eyes only" Sichere E-Mail in Unternehmen Dr. Dörte Neundorf neundorf@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße 9 D-76131

Mehr

WINDOWS 7. Druckerkonfiguration - Systemsteuerung - Sicherheit

WINDOWS 7. Druckerkonfiguration - Systemsteuerung - Sicherheit WINDOWS 7 Druckerkonfiguration - Systemsteuerung - Sicherheit Druckerverwaltung ab Seite 91 = Standarddrucker Druckaufträge verwalten ab Seite 96 Systemsteuerung ab Seite 97 System Information über das

Mehr

Aktuelle Bedrohungsszenarien für mobile Endgeräte

Aktuelle Bedrohungsszenarien für mobile Endgeräte Wir stehen für Wettbewerb und Medienvielfalt. Aktuelle Bedrohungsszenarien für mobile Endgeräte Ulrich Latzenhofer RTR-GmbH Inhalt Allgemeines Gefährdungen, Schwachstellen und Bedrohungen mobiler Endgeräte

Mehr

Fortbildung Sachbearbeiter EDV

Fortbildung Sachbearbeiter EDV Fortbildung Sachbearbeiter EDV BSB Andreas Brandstätter November 2012 1 / 42 Überblick Themen Hintergrund Anforderungen der Benutzer Schutzziele konkrete Bedeutung Maßnahmen WLAN Datenspeicherung Backup

Mehr

Sichere PCs und Laptops

Sichere PCs und Laptops Sichere PCs und Laptops Sicherheitstools mit der Bürgerkarte A-SIT Zentrum für Sichere Informationstechnologie Dipl.-Ing. Martin Centner SFG, 9. Februar 2006 A-SIT Zentrum für Sichere Informationstechnologie

Mehr

Produktinformation. bi-cube Identity Server. T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g

Produktinformation. bi-cube Identity Server. T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g rmation bi-cube Identity Server T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g Inhalt 1 DIE LÖSUNG ZU EINER GESICHERTEN AUTHENTIFIKATION...3 2 BI-CUBE IDENTITY SERVER IN EINEM IPM

Mehr

Programmiertechnik II

Programmiertechnik II X.509: Eine Einführung X.509 ITU-T-Standard: Information Technology Open Systems Interconnection The Directory: Public Key and attribute certificate frameworks Teil des OSI Directory Service (X.500) parallel

Mehr

Identität gewährleisten private Daten schützen Starke Authentisierung mit privacyidea

Identität gewährleisten private Daten schützen Starke Authentisierung mit privacyidea Identität gewährleisten private Daten schützen Starke Authentisierung mit privacyidea Datenspuren, 13.09.14, Dresden Cornelius Kölbel cornelius@privacyidea.org Identität - Wikipedia Bergriffsklärung Wikipedia:

Mehr

Sucuri Websiteschutz von

Sucuri Websiteschutz von Sucuri Websiteschutz von HostPapa Beugen Sie Malware, schwarzen Listen, falscher SEO und anderen Bedrohungen Ihrer Website vor. HostPapa, Inc. 1 888 959 PAPA [7272] +1 905 315 3455 www.hostpapa.com Malware

Mehr

Online-Banking Zahlungsverkehr effizient und sicher

Online-Banking Zahlungsverkehr effizient und sicher Online-Banking Zahlungsverkehr effizient und sicher Referent: Simon Lücke Leiter IT-Systeme, Electronic Banking, Zahlungsverkehr Volksbank Marl-Recklinghausen eg Volksbank Marl-Recklinghausen eg Agenda

Mehr

Programmieren was ist das genau?

Programmieren was ist das genau? Programmieren was ist das genau? Programmieren heisst Computerprogramme herstellen (von griechisch programma für Vorschrift). Ein Computerprogramm ist Teil der Software eines Computers. Als Software bezeichnet

Mehr

Kann Big Data Security unsere IT-Sicherheitssituation verbessern?

Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

Andy Kurt Vortrag: 7.11.14. OSX - Computeria Meilen

Andy Kurt Vortrag: 7.11.14. OSX - Computeria Meilen Andy Kurt Vortrag: 7.11.14 OSX - Computeria Meilen 1 von 10 Andy Kurt Vortrag: 7.11.14 Screen IT & Multimedia AG Webseite: www.screen-online.ch Link Fernwartung: http://screen-online.ch/service/fernwartung.php

Mehr

Sommerakademie 2009. Arbeitnehmer Freiwild der Überwachung? Ein Blick in die Giftkiste: Überwachung an Büroarbeitsplätzen. Herr Sven Thomsen, ULD

Sommerakademie 2009. Arbeitnehmer Freiwild der Überwachung? Ein Blick in die Giftkiste: Überwachung an Büroarbeitsplätzen. Herr Sven Thomsen, ULD Sommerakademie 2009 Arbeitnehmer Freiwild der Überwachung? Infobörse 2: Ein Blick in die Giftkiste: Überwachung an Büroarbeitsplätzen Herr Sven Thomsen, ULD Angriff! 2 Mitarbeiterüberwachung ist Angriff!

Mehr

E-Mails versenden auf sicherem Weg! Sichere E-Mail Kundenleitfaden

E-Mails versenden auf sicherem Weg! Sichere E-Mail Kundenleitfaden E-Mails versenden auf sicherem Weg! Sichere E-Mail Kundenleitfaden Vorwort In unserem elektronischen Zeitalter erfolgt der Austausch von Informationen mehr und mehr über elektronische Medien wie zum Beispiel

Mehr

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz Folie: 1 Folie: 2 IFB-Workshop IT-Sicherheit und Datenschutz Folie: 3 Agenda 1. Theoretischer Teil Systematik von IT-Sicherheit und Datenschutz Grundbedrohungen der IT-Sicherheit Gefahren aus dem Internet

Mehr

Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX)

Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX) Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX) Sommerakademie 2008 Internet 2008 - Alles möglich, nichts privat? Die Situation Multifunktionsgeräte (Drucker,

Mehr

IT-SICHERHEIT UND MOBILE SECURITY

IT-SICHERHEIT UND MOBILE SECURITY IT-SICHERHEIT UND MOBILE SECURITY Grundlagen und Erfahrungen Dr.-Ing. Rainer Ulrich, Gruppenleiter IT SECURITY Schäubles Handy bei Einbruch gestohlen Bei Wolfgang Schäuble ist eingebrochen worden. Die

Mehr

Verbinden Sie Ihren Computer / Ihr Netzwerk niemals ohne Firewall

Verbinden Sie Ihren Computer / Ihr Netzwerk niemals ohne Firewall 1. Gebot: http://www.8com.de Verbinden Sie Ihren Computer / Ihr Netzwerk niemals ohne Firewall / DSL-Router mit dem Internet. Überprüfen regelmäßig die Konfiguration Ihrer Firewall / Ihres DSL-Routers

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

Technischer Datenschutz im Internet

Technischer Datenschutz im Internet Technischer Datenschutz im Internet Prof. Dr. Lehrstuhl Management der Informationssicherheit Uni Regensburg http://www-sec.uni-regensburg.de/ Was ist Sicherheit? Techniken zum Schutz? Stand der Technik?

Mehr

Datensicherheit und Backup

Datensicherheit und Backup Beratung Entwicklung Administration Hosting Datensicherheit und Backup Dipl.-Inform. Dominik Vallendor & Dipl.-Inform. Carl Thomas Witzenrath 25.05.2010 Tralios IT Dipl.-Inform. Dominik Vallendor und Dipl.-Inform.

Mehr

5 Jahre Computer Emergency Response Team der Bundeswehr (CERTBw) eine Bilanz

5 Jahre Computer Emergency Response Team der Bundeswehr (CERTBw) eine Bilanz 5 Jahre Computer Emergency Response Team der Bundeswehr (CERTBw) eine Bilanz Oberstleutnant Elk Rohde IT-Zentrum Bundeswehr Fachgruppenleiter IT-Sicherheit Folie 1 Schutz der Informationen Informationen

Mehr

Kurzanleitung Norman Antispam Gateway

Kurzanleitung Norman Antispam Gateway Kurzanleitung Norman Antispam Gateway Diese Kurzanleitung soll als mögliche Lösung dienen. Es kann sein, dass individuell auf den jeweiligen Einsatzbereich zugeschnitten sich andere Ansätze besser eignen.

Mehr

Cybercrime in Unternehmen: Schwachstelle Mensch 27. Finanzsymposium, Mannheim, 10. 12. Juni 2015

Cybercrime in Unternehmen: Schwachstelle Mensch 27. Finanzsymposium, Mannheim, 10. 12. Juni 2015 Cybercrime in Unternehmen: Schwachstelle Mensch 27. Finanzsymposium, Mannheim, 10. 12. Juni 2015 Finanzsymposium Mannheim Commerzbank AG Mannheim / 11.06.2015 Agenda 1. Cybercrime automatisiert im klassischen

Mehr

Sicherheit im E-Business

Sicherheit im E-Business Sicherheit im E-Business Roger Halbheer Global Risk Management Solutions Einige Zahlen Im Durchschnitt wird auf jede neu installierte Web-Seite nach 28 Sekunden das erste Mal zugegriffen - nach 5 Stunden

Mehr

Die Kunst, sicher die Effizienz zu steigern: Integration von smarten Endgeräten

Die Kunst, sicher die Effizienz zu steigern: Integration von smarten Endgeräten Die Kunst, sicher die Effizienz zu steigern: i GmbH Vorstellung des Unternehmens unabhängiges, privates Beratungsunternehmen seit 2002 Spezialisierung auf: Sicherheitsberatung Konzepterstellung und überprüfung

Mehr

Ethical Hacking für Fortgeschrittene

Ethical Hacking für Fortgeschrittene Manu Carus Manufaktur IT www.ethical-hacking.de Ethical Hacking für Fortgeschrittene Night School Inhalt Hacking Ethical Hacking Gesetzgebung Die Welt ist schlecht! Professionelle Einbrüche IT-Sicherheit

Mehr

Sind Ihre Anwendungen auf mobilen Endgeräten sicher? Karsten Sohr Technologie-Zentrum Informatik Universität Bremen

Sind Ihre Anwendungen auf mobilen Endgeräten sicher? Karsten Sohr Technologie-Zentrum Informatik Universität Bremen Sind Ihre Anwendungen auf mobilen Endgeräten sicher? Karsten Sohr Technologie-Zentrum Informatik Universität Bremen Inhalt Motivation allgemeine Bedrohungen für mobile Endgeräte bösartige Anwendungen für

Mehr

E-Banking. Login und Sicherheit. Vontobel Private Banking

E-Banking. Login und Sicherheit. Vontobel Private Banking E-Banking Login und Sicherheit Vontobel Private Banking Vontobel E-Banking Das E-Banking-Angebot der Bank Vontobel AG ermöglicht Ihnen, jederzeit auf Ihre aktuellen Konto- und Depotdaten zuzugreifen. Mit

Mehr

Sicherheit im Mobile Computing Praxisforum "Anwender und Anbieter im Dialog - Mobile Sicherheit im Unternehmen" 4.12.2014, IHK Akademie München

Sicherheit im Mobile Computing Praxisforum Anwender und Anbieter im Dialog - Mobile Sicherheit im Unternehmen 4.12.2014, IHK Akademie München Dr. Martin Werner Sicherheit im Mobile Computing Praxisforum "Anwender und Anbieter im Dialog - Mobile Sicherheit im Unternehmen" 4.12.2014, IHK Akademie München Dr. Martin Werner Überblick Sicherheit

Mehr

DesktopSecurity. Schutz für den Windows-Arbeitsplatz PCs, Workstations und Laptops gegen Bedrohungen aus dem Internet

DesktopSecurity. Schutz für den Windows-Arbeitsplatz PCs, Workstations und Laptops gegen Bedrohungen aus dem Internet DesktopSecurity Schutz für den Windows-Arbeitsplatz PCs, Workstations und Laptops gegen Bedrohungen aus dem Internet Ralf Niederhüfner PROLINK internet communications GmbH 1 Desktop Security Szenarien

Mehr

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing G Data Whitepaper Behaviour Blocking Marco Lauerwald Marketing Geschützt. Geschützter. G Data. Inhalt 1 Behaviour Blocking Mission: Unbekannte Bedrohungen bekämpfen... 2 1.1 Unbekannte Schädlinge: Die

Mehr

Advanced Cyber Defense im Spannungsfeld zwischen Compliance und Wirksamkeit. Uwe Bernd-Striebeck RSA Security Summit München, 12.

Advanced Cyber Defense im Spannungsfeld zwischen Compliance und Wirksamkeit. Uwe Bernd-Striebeck RSA Security Summit München, 12. Advanced Cyber Defense im Spannungsfeld zwischen Compliance und Wirksamkeit Uwe Bernd-Striebeck RSA Security Summit München, 12. Mai 2014 Security Consulting Planung und Aufbau von Informationssicherheit

Mehr

Kap. 2: Fail-Stop Unterschriften

Kap. 2: Fail-Stop Unterschriften Stefan Lucks 2: Fail-Stop Unterschriften 17 Digital Unterschreiben und Bezahlen Kap. 2: Fail-Stop Unterschriften Digitale Unterschriften (Synomym: Digitale Signaturen ): Fälschen mutmaßlich hart (RSA-Wurzeln,

Mehr

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter. www.s-inn.de

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter. www.s-inn.de Endpoint Security Where trust begins and ends SINN GmbH Andreas Fleischmann Technischer Leiter www.s-inn.de Herausforderung für die IT Wer befindet sich im Netzwerk? Welcher Benutzer? Mit welchem Gerät?

Mehr

Wie sicher sind Zahlungen im Internet?

Wie sicher sind Zahlungen im Internet? Wie sicher sind Zahlungen im Internet? Internet ist ein öffentliches Medium, wie z. B. die Post auch. Wenn ich einen Brief aufgebe muss ich (leider) damit rechnen, dass er verloren gehen kann oder dass

Mehr

Cyber Crime und seine rechtlichen Folgen für betroffene Unternehmen

Cyber Crime und seine rechtlichen Folgen für betroffene Unternehmen Cyber Crime und seine rechtlichen Folgen für betroffene Unternehmen Dr. Lukas Feiler, SSCP Associate, Wolf Theiss Rechtsanwälte GmbH Cyber Crime und seine rechtlichen Folgen, IT-SeCX, 11. November 2011

Mehr

Sicherheit allgemein

Sicherheit allgemein Sicherheit allgemein Markus Krieger Rechenzentrum Uni Würzburg krieger@rz.uni-wuerzburg.de 1 Einführung Ziel der Veranstaltung Definition von Sicherheit und Gefahren Denkanstöße Angreifer, Angriffsmöglichkeiten

Mehr

AV-TEST. Sicherheitslage Android

AV-TEST. Sicherheitslage Android AV-TEST Sicherheitslage Android Sicherheitslage Android 1 SICHERHEITSLAGE ANDROID MEHR ALS 30 IT-SPEZIALISTEN MEHR ALS 15 JAHRE EXPERTISE IM BEREICH ANTIVIREN-FORSCHUNG UNTERNEHMENSGRÜNDUNG 2004 EINE DER

Mehr

Hacking ist einfach!

Hacking ist einfach! Brennpunkt Datenschutz Bedrohungen für Unternehmen Hacking ist einfach! Fahrplan: Der Gesetzgeber sagt Spaß mit USB-Sticks Der Keylogger Spaß mit Passworten Empfehlungen zur Behandlung von Informationssicherheitsvorfällen

Mehr

Biometrische Systeme und Datenschutzgesetze

Biometrische Systeme und Datenschutzgesetze Biometrische Systeme und Datenschutzgesetze Inhalt Einleitung Datenschutzgesetze der Schweiz Biometrische Systeme BioLANCC Tipps für BioLANCC zum Datenschutz Diskussion Datenschutz in der Schweiz -1 Datensammlung:

Mehr

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR.

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. Hans Joachim von Zieten DATEN DAS WICHTIGSTE GUT Daten und Informationen sind ein wichtiges, ja sogar

Mehr

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo.

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo. 1 Von 10-16.04.07 Virtuelle Netze Simon Knierim & Benjamin Skirlo für Herrn Herrman Schulzentrum Bremen Vegesack Berufliche Schulen für Metall- und Elektrotechnik 2 Von 10-16.04.07 Inhaltsverzeichnis Allgemeines...

Mehr

Whitepaper: Mobile IT-Sicherheit

Whitepaper: Mobile IT-Sicherheit Whitepaper: Mobile IT-Sicherheit Wie sicher sind Ihre Daten unterwegs? Kontaktdaten: Dr. Thomas Jurisch, Steffen Weber Telefon: +49 (0)6103 350860 E-Mail: it-risikomanagement@intargia.com Webseite: http://www.intargia.com

Mehr

Dunkel Mail Security

Dunkel Mail Security Dunkel Mail Security email-sicherheit auf die stressfreie Art Unser Service verhindert wie ein externer Schutzschild, dass Spam, Viren und andere Bedrohungen mit der email in Ihr Unternehmen gelangen und

Mehr

Das aktuelle Computerstrafrecht

Das aktuelle Computerstrafrecht Das aktuelle Computerstrafrecht Chemnitzer Linux Tag Chemnitz, 04.03.7, Zwickau Prinzipien des Strafrechts Bestimmtheitsgebot Rückwirkungsverbot Analogieverbot Verbot des Gewohnheitsrecht Formalismus des

Mehr

Malware - Viren, Würmer und Trojaner

Malware - Viren, Würmer und Trojaner Department of Computer Sciences University of Salzburg June 21, 2013 Malware-Gesamtentwicklung 1984-2012 Malware-Zuwachs 1984-2012 Malware Anteil 2/2011 Malware Viren Würmer Trojaner Malware Computerprogramme,

Mehr

Security in Computer Architecture Am Beispiel der AEGIS Architektur

Security in Computer Architecture Am Beispiel der AEGIS Architektur Sandro Schwarz E-mail: sschwarz@informatik.hu-berlin.de Seminar: Spezielle Probleme von Echtzeitsystemen Security in Computer Architecture Am Beispiel der AEGIS Architektur Inhaltsverzeichnis 1. Einführung

Mehr

Sicherheit. Bedeutung Gefahren. Mag. Friedrich Wannerer 1

Sicherheit. Bedeutung Gefahren. Mag. Friedrich Wannerer 1 Sicherheit Bedeutung Gefahren Mag. Friedrich Wannerer 1 Sicherheitsbegriff Unversehrtheit und Vertraulichkeit persönlicher Daten Datenschutzgesetz 2000 Bedrohungen q Dialer, Spam, Spyware, Viren, Würmer,

Mehr

Open Source. Eine kleine Geschichte zum Konzept der freien Software

Open Source. Eine kleine Geschichte zum Konzept der freien Software Open Source Eine kleine Geschichte zum Konzept der freien Software Open Source Definition (1) Freie Weitergabe Die Lizenz darf niemanden darin hindern, die Software zu verkaufen oder sie mit anderer Software

Mehr

Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten

Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten Versuch: Eigenschaften einer Unterhaltung Instant Messaging Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten welche Rollen gibt es in einem IM-System? Analysieren

Mehr

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010 IT-Sicherheit Abteilung IT/2 Informationstechnologie Dr. Robert Kristöfl 1 3. Dezember 2010 Begriffsdefinitionen Safety / Funktionssicherheit: stellt sicher, dass sich ein IT-System konform zur erwarteten

Mehr

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Beispiel für eine gefälschte Ebay-Mail Unterschiede zu einer echten Ebay-Mail sind nicht zu erkennen. Quelle: www.fraudwatchinternational.com

Mehr

"Practical Cryptography" Kapitel 8, 9, 15, 16 und 22 (Ferguson/Schneider)

Practical Cryptography Kapitel 8, 9, 15, 16 und 22 (Ferguson/Schneider) "Practical Cryptography" Kapitel 8, 9, 15, 16 und 22 (Ferguson/Schneider) Seminar Internetsicherheit TU-Berlin Martin Eismann Martin Eismann Internet-Sicherheit Practical Cryptography Folie 1 Was ist Sicherheit?

Mehr

OCG IT-Security. OCG IT-Security 2.0. Lernzielkatalog. Syllabus Version

OCG IT-Security. OCG IT-Security 2.0. Lernzielkatalog. Syllabus Version OCG IT-Security OCG IT-Security Lernzielkatalog 2.0 Syllabus Version Österreichische Computer Gesellschaft Wollzeile 1-3, 1010 Wien Tel: + 43 1 512 02 35-0 Fax: + 43 1 512 02 35-9 E-Mail: ocg@ocg.at Web:

Mehr

Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis

Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis Einführung... 2-3 Servereinstellungen für die Einrichtung auf dem E-Mail Client... 4 E-Mail Adresse / Postfach einrichten...

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 10.07.2014 1 / 41 Überblick 1 Analyse größerer Systeme Erinnerung Der Security-Zugang Der kryptographische Zugang Zusammenfassung 2 Kurzüberblick häufige Sicherheitslücken

Mehr

Sichere Datenhaltung in verteilten Systemen

Sichere Datenhaltung in verteilten Systemen Sichere Datenhaltung in verteilten Systemen Bericht über ein Großprojekt im medizinischen Bereich Dipl. Inform. Ramon Mörl Ausgangssituation Heterogene Infrastruktur verteilt über mehrere Standorte Mainframes,

Mehr

8. Trierer Symposium. Bezahlen in der Zukunft

8. Trierer Symposium. Bezahlen in der Zukunft 8. Trierer Symposium Digitales Geld 20./21. Juni, Institut für Telematik, Trier Bezahlen in der Zukunft Dipl.-Ing. Thomas Nisbach ALLCASH GmbH Eurotec-Ring 7 47445 Moers nisbach@allcash.de www.allcash.de

Mehr