AppITSec-Zusammenfassung

Größe: px
Ab Seite anzeigen:

Download "AppITSec-Zusammenfassung"

Transkript

1 AppITSec-Zusammenfassung Clemens Lang 12. März 2012 Zusammenfassung der Vorlesung Applied IT Security des LS1 im WS 2011/12. As-is in der Hoffnung, dass es hilfreich ist, aber ohne Garantie auf Korrektheit, Vollständigkeit und Nützlichkeit. Korrekturen bitte als Patch an Enthält Materialien aus den Vorlesungsfolien. 12. März

2 Inhaltsverzeichnis 1 Der Sicherheits-Begriff Interessen Gefahren Physische Sicherheit Definition Sicherheitsmechanismen (Beispiele) Verfügbarkeit eines Internetanschlusses Verfügbarkeit des Laptops Vertraulichkeit weggeworfener Dokumente Vertraulichkeit von Räumen/Zugangsschutz an Türen Sicherheit im Cyberspace Was ist der Cyberspace Die Gesetze des Cyberspace Gesetz der Automatisierbarkeit Gesetz von der räumlichen Entgrenzung Gesetz von der Kopierbarkeit Gesetz von der Komplexität Daten und Information Neue Phänomene im Cyberspace Authentifikation und Zugangsschutz Begriffe Authentifikation Identität Benutzer & Benutzerkennung Authentifikation Rollen bei der Authentifikation Ablauf Authentifikationsmethoden Zugangskontrolle Multi-Level-Security Vertrauenswürdige Hardware Vertrauenswürdige Software Biometrie Softwaresicherheit Integer Overflows Heap Overflow Stack Overflow Formatstring-Angriffe März

3 6 Vertraulichkeit und Anonymität Secrecy, Privacy, Confidentiality Anonymity Inferenzkontrolle Cyberkriminalität und Schadsoftware Schadsoftware Cyberkriminalität Social Engineering und Awareness Mögliche Angriffsziele für Social Engineering Verteidigungsmechanismus: Awareness Ethische und rechtliche Fragen Rechtliche Fragen der Computerkriminalität a StGB: Ausspähen von Daten b StGB: Abfangen von Daten c StGB: Vorbereiten des Ausspähens und Abfangens von Daten ( Hackerparagraph ) a StGB: Datenveränderung b StGB: Computersabotage StGB: Störung von Telekommunikationsanlagen StGB: Verletzung des Post- oder Fernmeldegeheimnisses Ethische Fragen März

4 1 Der Sicherheits-Begriff Was ist eigentlich Sicherheit? Jede Partei hat eigene Interessen, Ziele und Anforderungen (wie z.b. Verfügbarkeit oder Vertraulichkeit). Diese Interessen werden durch Gefahren und Angriffe bedroht. Man benutzt Sicherheitsmechanismen, um diese abzuwehren, einzudämmen oder die entstandenen Schäden zu kompensieren. Dabei sollte der Aufwand immer in Relation zum Risiko stehen. 1.1 Interessen Einige grundsätzliche Interessen sind durch die ersten 19 Artikel des Grundgesetzes vorgegeben. Diese sind unter Anderem: Menschenwürde Freie Entfaltung der Persönlichkeit, körperliche Unversehrtheit, Freiheit der Person Brief-, Post-, Fernmeldegeheimnis Unverletzlichkeit der Wohnung Schutz des Eigentums Im Kontext der IT-Sicherheit gibt es weitere häufig vorkommende Interessen: Integrität des Zustandes Verfügbarkeit (avilability) Eine Ressource muss bereit zum Gebrauch sein, wann immer das vom Benutzer erwünscht ist. Verfügbarkeit kann auf bestimmte Zeitbereiche eingeschränkt sein (z.b. Hotline nur zu Arbeitszeiten). Es sollte möglich sein festzustellen, wenn eine Ressource nicht verfügbar ist. (Beispielhafte Gefahr: Denial of Service, Slashdot) Integrität (integrity) semantische Integrität Die Ressource enthält das, was man von ihr erwartet (und nicht etwa Fehlinformationen). Unerlaubte Modifikation des Nachrichteninhalts ist verboten Integrität des Zustands Die Ressource wurde nicht (unerlaubt) modifiziert (vgl. Abbildung 1) Abbildung 1: Modifikation des Nachrichteninhalts verletzt Integrität des Zustands Manchmal ist es ausreichend, wenn eine Manipulation nicht verhindert, sondern lediglich entdeckt werden kann. 12. März

5 Authentizität Zusammenfassung AppITSec WS 2011/12 Absender ist der, der draufsteht. Abbildung 2: Fälschung des Absenders verletzt Authentizität 41 Authentizität (authenticity) In der Rolle des Empfängers: Kommt der Gegenstand tatsächlich von der Entität, die vorgibt, der Absender zu sein? (vgl. Abbildung 2) Nicht-Abstreitbarkeit (non-repudiation) Verschärfung der Authentizität: Empfänger kann Nachweisen, dass er eine Dienstleistung von X erhalten hat (das Interesse von X daran ist, dass das nur für Dienstleistungen möglich ist, die auch von X erbracht wurden). Vertraulichkeit (confidentiality) Der Inhalt der Ressource ist nur bestimmten Personen bekannt. Im Vergleich zur Authentizität, die die Korrektheit des Absenders fordert, fordert Vertraulichkeit die Korrektheit des Empfängers. (vgl. Abbildung 3) Unbeobachtbarkeit (non-observability) Verschärfung der Vertraulichkeit: Die Benutzung der Ressource soll geheim bleiben, nicht nur der Inhalt. Anonymität (anonymity) Spezielle Form der Unbeobachtbarkeit, bei der zwar klar ist, dass die Ressource benutzt wird, aber nicht von wem. Anonymität steht im Konflikt mit Nicht-Abstreitbarkeit. Diese Interessen werden häufig in drei Gruppen gegliedert (CIA): Confidentiality Vertraulichkeit, Unbeobachtbarkeit, Anonymität Integrity Integrität, Authentizität, Nicht-Abstreitbarkeit Availability Verfügbarkeit 12. März

6 Vertraulichkeit Zusammenfassung AppITSec WS 2011/12 Nachricht erhalten nur die intendierten Empfänger. Abbildung 3: Abhören oder Umleiten einer Nachricht verletzt Vertraulichkeit 1.2 Gefahren 42 Gefahren können in die zwei Klassen zufällige Gefahren (accidential) und böswillige Gefahren (malicious, deliberate) eingeteilt werden. Zufällige Gefahren sind dabei z.b. Naturkatastrophen, unvorhersagbare Störungen und Materialermüdung, während böswillige Gefahren einen intelligenten Gegenspieler implizieren. Eselsbrücke: Notrufnummern 112 (zufällig) vs. 110 (böswillig). Vertrauen ist immer dann notwendig, wenn man nicht alles selbst kontrollieren kann. Vertraut wird überlicherweise staatlichen Organen wie der Polizei. Es sollte immer auf das notwendige Maß beschränkt sein und setzt vorraus, dass es eine Handlungsalternative im Fall des Vertrauensmissbrauchs gibt (sonst ist es Hoffnung). 2 Physische Sicherheit 2.1 Definition Physische Sicherheit bezeichnet alles, was vor dem Keyboard passiert. Sie beinhaltet Schutz vor Diebstahl, Vandalismus, Naturkatastrophen o.ä und ist immer vom jeweiligen Anwendungsfall abhängig. 2.2 Sicherheitsmechanismen (Beispiele) Verfügbarkeit eines Internetanschlusses Für ein Interesse der Verfügbarkeit des Internetanschlusses bietet sich als Sicherheitsmechanismus die Redundanz von Netzzugängen an. Man kann dem Offline-Sein also vorbeugen, indem man mehrere Anschlusse, z.b. per DSL und UMTS, bereit hält. 12. März

7 Systemschlösser Zusammenfassung AppITSec WS 2011/12 Abbildung 4: links: Schnitt in ein Systemschloss ohne Schlüssel, rechts: gleiches Schloss mit einem passenden Schlüssel Verfügbarkeit des Laptops Als Schutz vor Laptop-Diebstahl kann der Laptop präventiv z.b. mit einem Kensington Lock 44 gesichert werden oder die Attraktivität des Laptops reduziert werden, indem die Weiterverkaufbarkeit durch eine klare Erkennbarkeit als Hehlerware verringert wird (z.b. schwer ablösbare Sicherheitsettiketten). Im Falle eines Diebstahls kann der Schaden z.b. durch spezielle Lokalisierungssoftware eingegrenzt werden Vertraulichkeit weggeworfener Dokumente Papierkörbe und Abfalleimer sind beliebte Angriffsziele; um hier die Vertraulichkeit von weggeworfenen Druckerzeugnissen und/oder digitalen Medien sicherzustellen, sollten die Daten vor der Entsorgung (z.b. durch Shreddern oder Überschreiben) geeignet unbrauchbar gemacht werden Vertraulichkeit von Räumen/Zugangsschutz an Türen Um zu erreichen, dass nur berechtigte Personen eine Tür öffenen können benutzt man u.a. Stiftschlösser. Diese Schlösser beinhalten sekrecht zum Schlüsselschlitz verschiebbare Stifte, die an bestimmten Stellen Schnitte haben. Benutzt man den richtigen Schlüssel werden diese Schnitte auf die gleiche Höhe gebracht und das Schloss wird drehbar. Systemschlösser (d.h. Schlösser, die von mehreren verschiedenen Schlüsseln gesperrt werden können) haben mehr als einen Schnitt pro Stift und sperren daher in verschiedenen Positionen (vgl. Abbildung 4). 3 Sicherheit im Cyberspace 3.1 Was ist der Cyberspace Seit der Entstehung des Internets vor etwa 20 Jahren hat eine massive Kommerzialisierung stattgefunden. Das Internet ist Warenhandelsplatz, Werbeplattform und Kommunikationskanal. Die Kom- 12. März

8 merzialisierung hat ein aus der realen Welt bekanntes Problem mitgebracht: Kriminalität. 3.2 Die Gesetze des Cyberspace Gesetz der Automatisierbarkeit Naturphänomene können mit hinreichender Genauigkeit nachgebildet werden. Die so erzeugten digitalen Objekte sind nur an programmierte Regeln gebunden. Diese Regeln können durch Computer (schnell) ausgeführt werden. Digitale Objekte sind flüchtig, große Datenmengen sind leicht erhebund verarbeitbar Gesetz von der räumlichen Entgrenzung Daten und Programme sind aufgrund der globalen Vernetzung nicht an geographische Orte gebunden. Virtualisierung entkoppelt Programme und physikalische Ausführungsumgebungen (jedes Datum und jede Berechnung braucht zwar echte Hardware, wie diese aussieht und wo sie steht ist aber beliebig). Die phyische und digitale Welt sind entkoppelt Gesetz von der Kopierbarkeit Beliebige Artefakte können perfekt (digital) kopiert werden. Original und Kopie sind dabei nicht unterscheidbar. Identität im Cyberspace ist ebenfalls ein digitales Artefakt und damit auch kopierbar! Gesetz von der Komplexität Der Zustandsraum eines Rechners übersteigt die Anzahl der Atome im Universum. Die Menge an Daten und Programmen ist unübersichtlich und unkontrollierbar. 3.3 Daten und Information Wir beschäftigen uns mit dem Schutz von Informationen. Doch was sind Informationen? Und was ist der Unterschied zwischen Informationen und Daten? Daten sind Bits auf der Festplatte, auf einer Leitung, etc. Diese Bits werden durch Computer verarbeitet ( elektronische Datenverarbeitung, EDV). Informationen sind Interpretationen dieser Daten, Daten also nur eine Repräsentation von Information. Gehen wir von der in Abbildung 5 dargestellten Situation aus. Die übertragene Nachricht ist ein Bitstring und muss weder für Empfänger noch Beobachter eine Bedeutung haben. Wenn eine Partei durch eine Übertragung nichts neues lernt, findet kein Informationsfluss statt. Formal: Beobachter hat Wissen W Beobachter sieht Nachricht m und ordnet ihr Bedeutung B zu Falls W B, hat der Beobachter etwas gelernt, d.h. ein Informationsfluss hat stattgefunden. 12. März

9 Systemmodell: Sender, Empfänger, Nachricht, Beobachter Zusammenfassung AppITSec WS 2011/12 Nachricht (Bitstring) muss weder für Empfänger mitgelesen wird. noch Beobachter eine Bedeutung haben Abbildung 5: Ein Sender transferiert eine Nachricht an einen Empfänger, die von einem Beobachter Beispiel Wenn ein Empfänger nichts neues lernt, dann Beobachter sieht αx + βy = γ mit x, y variabel findet auch kein Informationsfluss statt Werte von x, y sind unklar, jeder Wert ist gleich wahrscheinlich, es findet kein Informationsfluss statt. Beobachter sieht α x + β y = γ Werte von x, y können mit Hilfe der bereits bekannten Beziehung berechnet werden es findet ein Informationsfluss statt. 3.4 Neue Phänomene im Cyberspace SPAM Begünstigt durch Kopierbarkeit, Automatisierbarkeit und räumliche Entgrenzung Spoofing Begünstigt durch Kopierbarkeit von Identitäten Bruteforce Automatisierbarkeit ermöglicht schnelles ausprobieren von möglichen Kombinationen (z.b. Passwörtern). Malware Aufgrund der Komplexität von Software kann nicht jede Software vor der Ausführung überprüft werden. Malware, die sich in scheinbar legitimer Software versteckt wird Tür und Tor geöffnet. 4 Authentifikation und Zugangsschutz Mit welchen konkreten Sicherheitsmechanismen lassen sich Integrität und Authentizität erreichen? 4.1 Begriffe Authentifikation Bis auf marginale Unterschiede gilt: Authentifikation = Authentifizierung. Die grundlegende Frage der Authentifikation ist, ob ein betrachtetes Objekt echt ist. Man versucht also die Echtheit zu März

10 Authentifikation Zusammenfassung AppITSec WS 2011/12 prüfen. Häufig interessiert uns der Speziallfall Authentifikation einer Person, wie in Abbildung 6 dargestellt. Authentifikation Überprüfung einer Person bedeutet der umgangssprachlich Identität der Es wurde überprüft, dass der Benutzer Person der ist, der er vorgibt zu sein. Spezialfall: Authentifikation einer Person = Beispiel: Abbildung 6: Beispielhafte Authentifikation einer Person Ein Benutzer wurde authentifiziert bedeutet Es wurde überprüft, dass der Benutzer der ist, der er vorgibt zu sein Identität Die Identität einer Person ist, was es ausmacht, diese Person zu sein. Sie wird deswegen oft dargstellt als Merkmalsbündel, das die Person eindeutig ausmacht. Theoretisch hat man eine einzige unveräußerbare Identität Benutzer & Benutzerkennung 9 Eine Benutzerkennung ist eine digitale Repräsentation eines Benutzers. Ein perfekter Authentifikationsmechanismus stellt dabei sicher, dass eine Benutzerkennung immer nur vom dazugehörigen Benutzer benutzt werden kann, d.h. sie stellt eine 1:1-Beziehung zwischen Benutzer und seiner Benutzerkennung her. 4.2 Authentifikation Authentifiziert wird überlicherweise zur Zugangskontrolle ( Person X darf diese Ressource nutzen ) und zur Nachweisbarkeit ( Person X hat diese Aktion ausgeführt ). Im Englischen existiert keine Unterscheidung zwischen Authentifikation und Authentisierung, beides heißt authentication Rollen bei der Authentifikation Prover bezeichnet denjenigen, der sich authentifizieren will; authentifiziert wird vom Verifier. Diese Rollen können wechseln, wenn gegenseitig authentifiziert wird Ablauf 1. Identifizierung: Prover gibt seine Identität bekannt 2. Authentifikation: Verifier prüft, ob die Identität des Provers tatsächlich die vorgegebene ist 12. März

11 3. Autorisierung: Verifier prüft, ob der Prover die Berechtigung hat, die gewünschte Aktion durchzuführen Authentifikationsmethoden Authentifikation kann durch Besitz (Ausweis, Schlüssel, Chipkarte, Token), biometrische Merkmale (Fingerabdruck, Stimme, Gesichtserkennung) oder Wissen (Passwort, Algorithmus, Losung) 1 erfolgen. Z.B. durch das Gesetz der Kopierbarkeit ergeben sich jedoch Probleme mit diesen Methoden: Ist das Passwort nicht mehr Geheim kann es beliebig kopiert werden und beliebige Dritte können sich gegen die Benutzerkennung authentifizieren. Bei der Authentifizierung ist die Vertrauenswürdigkeit des Verifiers in den meisten Fällen kritisch: Gibt man die Kombination aus Benutzerkennung und Passwort einem kompromittierten oder nicht vertrauenswürdigen Verifier ist die Vertraulichkeit des Passworts nicht länger gewährleistet. Es ist also wichtig, die Integrität und Authenzität des Verifiers sicherzustellen. Befindet sich zwischen der Authentifikation und dem Zeitpunkt, zu dem eine autorisierte Aktion durchgeführt wird eine nicht vernachlässigbare Zeitspanne und damit die Möglichkeit dazwischen die Identität zu wechseln, so hat man keinen perfekten Authentifikationsmechanismus (z.b. ungelockte Screens mit offenen Browser-Tabs). ( TOCTOU : Time of Check, Time of Use) Für den Benutzer ist Authentifikation mühsam und störend; ist der Authentifikationsmechanismus zu lästig wird er häufig wirkungslos, indem er umgangen oder nicht ernst genommen wird. Es existiert also ein Tradeoff zwischen der Qualität des Authentifikationsmechanismus und dessen Nutzerfreundlichkeit. Passwörter sind beliebt und einfach, nahezu überall einsetzbar. Häufige Probleme mit Passwörtern sind zu geringe Komplexität und die Benutzung in Umgebungen, die nicht vertrauenswürdig sind (d.h. abgehört werden können). Einmal-Passwörter sind generierte Passwörter, die genau einmal benutzt werden können. Einmal- Passwörter können zeitabhängig, challenge-response-basiert oder sequenzbasiert sein. Sie haben den Vorteil, dass sie auch in nicht vertrauenswürdigen Umgebungen benutzt werden können, weil die Kenntnis eines Passworts keine weiteren Logins ermöglicht. Passwort-Bootstrapping Das erste Passwort kommt üblicherweise durch den Administrator auf das System; dabei sollte eine Authentifizierung in der realen Welt stattfinden, um sicherzustellen, dass das neue Passwort wirklich der zur Benutzerkennung gehörende Benutzer erhält. 4.3 Zugangskontrolle Zugangskontrolle in der IT-Sicherheit wird durch das abstrakte Konzept eines sog. Referenzmonitors implementiert. Ein Referenzmonitor ist ein Stück Software, dass die Berechtigung eines Benutzers zu der versuchten Operation überprüft. Um seine Aufgabe erfüllen zu können, muss ein Referenzmonitor 1 oder einer beliebigen Kombination daraus, sog. Two-/Multiple-Factor-Authentication 12. März

12 manipulationssicher, unumgänglich und Anforderungen klein genug, um intensiv prüfbar zu sein, sein. (siehe Abbildung 7) Der Referenzmonitor muss manipulationssicher Ein Referenzmonitor ist mit einem Wächter in der realen Welt vergleichbar (vgl. Abbildung 8). Ein Mechanismus, der nach sein dem abstrakten Prinzip des Referenzmonitors funktioniert ist die Trennung zwischen Benutzermodus und Systemmodus in Betriebssystemen, um Speicherschutz und Hardware- Der Referenzmonitor kann nicht umgangen werden Schutz zu implementieren. Dabei bildet die Systemaufrufschnittstelle den Referenzmonitor. Ist die physikalische Sicherheit Der desreferenzmonitor Rechners nicht gewährleistet muss kannklein der Schutz genug allerdings sein, umgangen werden (z.b. mit Cold-Boot-Attacken). Dazu siehe auch Vertrauenswürdige Hardware. intenstiv geprüft werden zu können Generelles Modell Abbildung 7: Ein Referenzmonitor muss manipulationssicher, unumgänglich und klein genug sein, um intensiv geprüft werden zu können. 63 Abbildung 8: Generelles Modell der Zugangskontrolle: Ein Benutzer versucht eine Operation durchzuführen, ein Referenzmonitor entscheidet, ob der Benutzer auf die Ressource zugreifen darf. 12. März

13 Für den Zugriff auf Ressourcen muss eine Zuordnung von Benutzer und Ressource auf die Zugriffsrechte existieren und in einer Datenstruktur maschinenlesbar sein. In der Theorie ist des eine Matrix wie in Tabelle 1 dargestellt. Diese Darstellung ist in der Praxis zu umständlich. Stattdessen wird die Matrix in Zeilen oder Spalten segmentiert: Entweder führen Benutzer manipulationssichere Listen von Berechtigungen (sog. capabilites ) mit sich, die vom Referenzmonitor geprüft werden oder jedes Objekt beinhaltet in seinen Metadaten eine Zugangskontrollliste, wie z.b. Dateien auf Unix-Systemen. Anm. d. Autors: Der Teil über Unix-Rechte, chmod und umask fehlt hier wegen Trivialität. bill.doc edit.exe fun.com Alice {ausführen} {ausführen, lesen, schreiben} Bill {lesen, schreiben} {ausführen} {ausführen, lesen} Tabelle 1: Eine beispielhafte Zugangskontrollmatrix Multi-Level-Security Beispiel Weist man Ressourcen einen Vektor von Sicherheitsbechreibungen (a 1,..., a n ) mit a i A i a i A i und sind die Elemente in den A i unabhängig von denen in anderen A i ergibt sich ein (Hyper-)Würfel von Berechtigungen wie in Abbildung 9, wenn zusätzlich eine Ordnungsrelation auf den Tupeln definiert wird, d.h. es gilt Mit schwächer-als-relation kann man Subjekten Levels zuweisen, bis zu denen sie wissen dürfen Beispiel: H = private, public, C = { HR, ENG } (a i,..., a n ) (b i,..., b n ) a i < b i bzw. a i b i i 60 Abbildung 9: Ein Würfel von Berechtigungen (h, c) mit h {private, public}, c {HR, ENG} 12. März

14 4.3.2 Vertrauenswürdige Hardware Um den für Referenzmonitore nötigen Standard an Vertrauenswürdigkeit und Manipulationssicherheit der Hardware zu erreichen bieten sich mehrere Methoden an. Ein einfacher aber wirksamer Manipulationsschutz wird z.b. durch Eingießen der Hardware in Kunstharz erreicht. Weitere häufige Varianten solcher Sicherheitsmodul genannten vertrauenswürdigen Hardware sind: Smartcards (SIM-Karten, EC-Karten) Smartcards enthalten einen kleinen Mikroprozessor und Speicher und können dazu benutzt werden Kryptoschlüssel zu speichern, ohne dass sie vom Besitzer der Smartcard auslesbar sind. Diese Karten können auch Berechnungen (etwa Challenge-Response-Verfahren) durchführen. diverse PCI-Module, die autonom von ihrem Host-Rechner agieren und physisch und durch Sensoren vor Manipulation geschützt sind, bzw. sich aktiv dagegen wehren (z.b. Utimaco Cryptoserver, IBM 4758 PCI) Vertrauenswürdige Software Neben der Hardware eines Referenzmonitors muss auch die Software vertrauenswürdig und integer sein. Vergleicht man die Software mit unveränderten Originalkopieren, lassen sich Manipulationen zuverlässig feststellen. Diese Methode ist zwar sicher, aber sehr aufwändig umzusetzen, weil man eine unveränderbare Kopie vorhalten muss. Alternativ kann man nur die Metadaten der Dateien vergleichen, was zwar deutlich weniger aufwändig, aber auch deutlich weniger sicher ist. Die in der Praxis am häufigen benutzte Variante ist der Vergleich von Checksummen der Daten gegen die Checksummen der unveränderten Daten (z.b. Tripwire, BSD mtree). Durch geschickte Manipulation eines Compilers ist es möglich, Sicherheitslücken in Programme einzubauen, obwohl weder der Quellcode des Compilers, noch der Quellcode des Programms diese Lücke enthalten (http://cm.bell-labs.com/who/ken/trust.html). Anm. d. Autors: Diese Lücke ist hier viel zu kurz diskutiert, mir aber klar, weswegen ich keine Zeit darauf aufwende, das hier nochmal zu reproduzieren. Theoretisch müsste man jedes Bit jeder Software, die man benutzt selbst implementieren oder prüfen, um ein vertrauenswürdiges System zu haben. Da dies nicht machbar ist, muss man an irgendeiner Stelle seinen Softwarequellen vertrauen (vgl. Gesetz von der Komplexität). 4.4 Biometrie Als Biometrie bezeichnet man das Messen von Körper- oder Verhaltensmerkmalen wie z.b. Gesichtsform, Fingerabdruck, Muster der Netzhaut oder Iris, Unterschrift oder gesprochenen Text. Die Erkennungsrate bei Biometrie ist immer ein Tradeoff zwischen false positives und false negatives. Dabei muss darauf geachtet werden, dass der Einsatz von Biometrie (z.b. in der Authentifizierung) nicht zu lästig für den Benutzer (d.h. zu viele false negatives), aber auch nicht zu einfach zu täuschen (d.h. zu viele false positives) ist. Die Speicherung von biometrischen Daten sollte bei der Verwendung von Biometrie sicher sein. Außerdem sollte keine Anreiz zum Diebstahl von Körperteilen geschaffen werden. Gewünschte Mehrfachidentitäten, wie z.b. Zeugenschutzprogramme werden durch Biometrie eventuell aufgedeckt. 12. März

15 5 Softwaresicherheit Das Gesetz von der Komplexität besagt, dass Programme unerwartete und schwer einsichtige (absichtlich oder unabsichtlich vorhandene) Zusazufunktionalität haben solche Zusatzfunktionalität könnten z.b. Sicherheitslücken, sog. vulnerabilities sein. Das Ziel bei der Ausnutzung einer Sicherheitslücke ist, die ausgenutzte Software dazu zu bringen, etwas zu tun, was sie nicht tun sollte. Dazu versucht man Fälle zu testen, an die der Entwickler möglicherweise nicht gedacht hat. 5.1 Integer Overflows Zahlendarstellungen im Computer haben feste Grenzen; werden diese überschritten finden ohne weitere Warnungen sogenannte Überläufe statt, d.h. es geht Information verloren und das Ergebnis einer Berechnung wird verfälscht. Solche Fehler können immer dann auftreten, wenn die Länge einer Zahl erhöht oder erniedrigt wird (upcast/downcast). Ebenfalls fehleranfällig sind Änderungen der Interpretation einer Zahlendarstellung zwischen signed und unsigned, d.h. vorzeichenbehafteten und vorzeichenunbehafteten Interpretationen. Wird sowohl signedness, als auch Größe gecastet, wird in C immer erst die Bitgröße geändert! Ausnutzbar werden solche Fehler z.b. wenn Längen von Speicherbereichen oder Offsets berechnet werden oder der weitere Kontrollfluss davon abhängt. 5.2 Heap Overflow Nacheinander auf dem Heap (z.b. mit malloc(3)) allokierte Speicherbereiche liegen oft nahe beieinander. Ist einer der beiden Speicherbereiche durch einen Pufferüberlauf angreifbar, so kann u.u. der Inhalt des anderen Puffers geschrieben werden. Besondere Vorsicht ist hier geboten, wenn sensible Daten in der Nähe von Benutzereingaben allokiert werden; als sensible Daten müssen in diesem Kontext Passwörter, Variablen mit Einfluss auf den Kontrollfluss, Namen von zu öffnenden Dateien und Funktionspointer (z.b. in vtables) gelten. 5.3 Stack Overflow Überlauf von Puffern auf dem Stack, der dazu benutzt werden kann Rücksprungadressen von aufrufenden Funktionen zu überschreiben. Falls der Puffer groß genug ist, kann man eigenen Binärcode mitliefern und diesen anspringen und so die Ausführung beliebigen Codes erreichen. Um diese Angriffe zu erschweren oder zu verhindern, wurde mit neueren Prozessoren Hardwareunterztützung fur das sog. NX-Bit eingeführt, mit dem sich das ausführen von Code auf schreibbaren Speicherbereichen deaktivieren lässt (d.h. W X). Außerdem randomisieren neuere Betriebssysteme als zusätzliche Sicherheitsmaßnahme die Startadresse des Stack-Segments, um das Erraten der Adressen von ausnutzbaren Puffern zu erschweren. Durch sog. Return Oriented Programming kann der Schutz durch das NX-Bit ausgehebelt werden, indem Codesequenzen aus Bibliotheken und dem Betriebssystem wiederverwendet werden. Da dabei auf dem Stack nur Rücksprungadressen, aber kein ausführbarer Code abgelegt wird, greift W X nicht. 12. März

16 5.4 Formatstring-Angriffe Kann ein Angreifer den Format-Parameter einer der Funktionen aus der printf(3)-reihe kontrollieren, so kann er den Inhalt des Stacks lesen (indem er Format-Parameter angibt, für die keine Argumente an den printf(3)-aufruf übergeben wurden) oder mit der Formatanweisung %n beliebige Werte im Speicher schreiben. 6 Vertraulichkeit und Anonymität Vertraulichkeit verlangt, dass Informationen nur an die intendierten Addressaten gelangen. Über den Informationsfluss hat man allerdings keine Kontrolle nur die Daten lassen sich kontrollieren. Die Automatisierbarkeit (z.b. automatische Inferenz, Data Mining, Überwachung) und die Kopierbarkeit (Verlust von Daten geht schnell und unauffällig) stellen eine große Gefahr für die Vertraulichkeit dar. 6.1 Secrecy, Privacy, Confidentiality Secrecy bezeichnet die Begrenzung des Zugriffs auf eine bestimmte Information auf einen eigeschränkten Benutzerkreis. Confidentiality ist der Versuch Informationen von Dritten (Personen oder Organisationen) zu schützen, während privacy das Recht und/oder die Möglichkeit des Schutzes der eigenen Daten bezeichnet. Privacy is secrecy for the benefit of the individual, Confidentiality is secrecy for the benefit of the organization. 6.2 Anonymity Müssen neben den Inhalten einer Ressource auch ihre Metadaten geheim bleiben (z.b. darf nicht bekannt werden, wer wann mit wem kommuniziert hat), so spricht man von anonymity. Anonymität ist also die Vertraulichkeit der Quelle (oder des Ziels) einer Nachricht. Techniken zur Erhaltung der Anonymität Die Anonymität einer Übertragung lässt sich z.b. durch Fälschen der Identität (MAC-/IP-/ -Adresse), Benutzung von Proxy-Servern oder Onion-Routing (vgl. Tor-Projekt) erreichen. 6.3 Inferenzkontrolle Um die Inferenz von Information (vgl. Daten und Information) zu kontrollieren kann man vermeiden, dass unerwünschte Empfänger die übertragenen Daten überhaupt sehen oder dafür sorgen, dass nur der gewünschte Empfänger ein Geheimnis besitzt, das zur Inferenz der Information aus den übertragenen Daten notwendig ist. Beim Entwurf von Kryptographieverfahren geht man üblicherweise von einem omnipräsenten, allwissenden, rationalen Beobachter aus, d.h. man versucht nicht, die übertragenen Daten vor Dritten geheim zu halten, sondern benutzt mathematische Einwegfunktionen, die sich nur mit Hilfe eines Geheimnisses leicht invertieren lassen. Alternativ kann man auf bestehende Systeme Monitoring (statisch zur Compile-Zeit oder dynamisch zur Laufzeit) anwenden, um die Inferenz von Information durch einen Beobachter zu verhindern. 12. März

17 Kann ein Beobachter aus den Ergebnissen einer Berechnung Information über die eingegebenen Parameter erlangen, so findet ein Informationsfluss statt; diesen gilt es zu vermeiden. Information kann dabei direkt (result = secret), indirekt (result = f(secret)), transitiv (help = secret; result = help) oder implizit (d.h. abhängig vom Kontrollfluss) fließen. Neben den so direkt am Verhalten des Programms beobachtbaren Informationskanälen gibt es noch die sog. convert channels, d.h. Rückschlüsse auf das Programmverhalten anhand des Zeitverhaltens oder gemeinsam genutzer Ressourcen (Locks, Übertragungsraten, Energieverbrauch, elektromagnetische Strahlung). 7 Cyberkriminalität und Schadsoftware 7.1 Schadsoftware Als Schadsoftware bezeichnet man Software, die unerwünschte oder schädliche Funktionalität besitzt. Diese Definition ist dabei aus der Sicht des Benutzers und damit subjektiv. Schadsoftware enthält Schadroutinen (d.h. Funktionen, die Interessen des Benutzers verletzt) und Verbreitungsroutinen (d.h. Funktionen, die die Schadsoftware weiterverteilen). Klassifikation Die Begriffe Virus, Wurm und Trojaner beziehen sich auf die Verbreitungsroutine. Während Viren und Trojaner sich nicht autonom verteilen, versuchen Würmer möglichst schnell eine große Menge an Systemen zu infizieren und verteilen sich zu diesem Zweck vollautomatisch. Bei moderner Schadsoftware verschwimmt diese Grenze häufig. Backdoor, Spyware und Bot bezeichnen spezielle Typen von Schadroutinen: Backdoors und Bots beinhalten eine Fernsteuermöglichkeit, während Spyware nur Daten ausspäht und an den Angreifer ausleitet. Anm. d. Autors: Ich spar mir hier die Botnetze, ich weiß, was ein Bot ist. 7.2 Cyberkriminalität Zusammen mit der Kommerzialisierung des Internets hat die Kriminalität Einzug gehalten und es ist eine komplexe digitale Schattenwirtschaft entstanden. Das Vorgehen der Kriminellen ist dabei professionell: Mehrere Arbeitsschritte werden auf unterschiedliche Personen aufgeteilt. Die Dunkelziffer ist hoch, die Umsätze und Gewinne sind kaum erforscht, werden aber in der Nähe des Drogenhandels vermutet. Aufgrund der hohen Kommerzialisierung und Professionalität ist eine ökonomische Betrachtung von Cyberkriminalität sinnvoll: Ausgenutzt wird oft nur, was sich auch (finanziell) lohnt. Von der Akquisition nutzbarer Daten bis zur Ausnutzung sind viele Schritte nötig, für die sich ein regelrechter Dienstleistungsmarkt entwickelt hat. Von Serverbetreibern und Besitzer von Botnetzen über den Handel mit Kreditkartendaten bis hin zur Geldwäsche über verschiedenste Mittelsmänner sind viele spezialisierte Aufgaben zu erledigen. Als zentrale Komponente der Cyberkriminalität kann dabei Spam gelten: Werbung für zwielichtige Angebote wird ebenso häufig als Spam versandt wie Schadsoftware und Phishing-Versuche. Dabei entsteht eine Symbiose zwischen Spam und Botnetzen: Rechner werden durch Schadsoftware in Spam- s infiziert und dann dazu benutzt als Teil eines Botnetzes Spam zu verschicken. 12. März

18 8 Social Engineering und Awareness Social Engineering bezeichnet den gezielten Angriff auf (IT-)Systeme mithilfe von Menschen und ihren Verhaltensweisen. Dabei wird versucht häufige und durch die Gesellschaft antrainierte Verhaltensmuster gezielt auszunutzen. 8.1 Mögliche Angriffsziele für Social Engineering Mögliche Angriffsziele sind z.b. die folgenden Verhaltensweisen: Herdentrieb (vgl. Video The Monte ) Scheinen Dritte arglos gegenüber einer Person zu sein, so sind wir meist unvorsichtiger. Diese Dritten können aber potentiell ebenfalls Mittäter des Angreifers sein. In der IT trifft man dieses Problem z.b. bei Reputationssystemen; gegen Dritte, die bewusst gute Bewerbungen abgeben, um jemanden in einem guten Licht dastehen zu lassen sind diese Systeme häufig machtlos. Ablenkung Unsere Aufmerksamkeit ist begrenzt. Während wir uns auf einen bestimmten Punkt konzentrieren übersehen wir möglicherweise Angriffe an anderer Stelle. Verlangen und Habgier Kennt ein Angreifer unsere Vorlieben und Bedürfnisse, sind wir durch genau diese Bedürfnisse manipulierbar. Diese Verhaltensweise bildet die Grundlage für Scam und viele Formen der Verbreitung von Malware. Obrigkeitsfügsamkeit Die Gesellschaft trainiert uns, Autoritäten (wie z.b. die Polizei) nicht zu hinterfragen. Angreifer geben sich deswegen oft gezielt als eine solche aus und versuchen durch überzeugendes Auftreten unser Vertrauen zu erschleichen. Unehrlichkeit (vgl. Video Ring Reward Rip-Off ) Wer gibt schon gerne zu, wie die Malware auf den Rechner kam. Hilfsbereitschaft Die Gesellschaft erzieht uns dazu freundlich und hilfsbereit zu sein. Betrüger nutzen diese Hilfsbereitschaft schamlos aus. Zeitdruck Unter Zeitdruck entscheiden wir anders als wenn wir rational über eine Entscheidung nachdenken würden. Unseriöse Angebote setzen deswegen häufig eine Frist, um uns zu einer schnellen Entscheidung zu drängen. 8.2 Verteidigungsmechanismus: Awareness Als Sicherheitsmaßnahme gegen Social Engineering eignet sich generell ein gestärktes Sicherheitsbewusstsein und Kenntnis der Angriffe. Um dieses zu stärken, werden Aufklärungskampagnen eingesetzt. Dabei sollen 3 Grundregeln gelten: 1. Bleiben Sie misstrauisch 2. Im Zweifel auf Funktionalität verzichten 3. Erstatten Sie Anzeige oder beschweren Sie sich! 12. März

19 9 Ethische und rechtliche Fragen 9.1 Rechtliche Fragen der Computerkriminalität Vor Gericht und auf hoher See ist man allein in Gottes Hand! Bei Cyberkriminalität wird unterschieden zwischen den Straftaten, bei denen der Computer lediglich Tatwerkzeug, der Straftatbestand aber herkömmlich ist und den Straftaten, bei denen der Computer das Angriffsziel ist. Cyberkriminalität ist aufgrund der Globalisierung des Internets kein lokales Problem die Gesetzgebung und Rechtssprechung ist aber durch Staatsgrenzen begrenzt. Die Gesetzgebung bezüglich der Cyberkriminalität richtet sich in Deutschland nach den Ergebnissen der Cybercrime Convention, einer Konferenz des Europarates 2001, auf der Modellgesetze zur Cyberkriminalität verabschiedet wurden. Diese Gesetze richten sich nach den Interessen Confidentiality, Integrity, Availablity (CIA): a StGB: Ausspähen von Daten Verbot und Bestrafung des Abrufens von Daten, die nicht für ihn bestimmt und gegen unberechtigten Zugang effektiv gesichert sind (verletzt Vertraulichkeit) b StGB: Abfangen von Daten Verbot und Bestrafung des unbefugten Abhörens von nichtöffentlichen Datenübermittlungen oder elektromagnetischen Abstrahlungen (verletzt Vertraulichkeit) c StGB: Vorbereiten des Ausspähens und Abfangens von Daten ( Hackerparagraph ) Vorbereitung einer Straftat nach 202a StGB: Ausspähen von Daten oder 202b StGB: Abfangen von Daten: Verschaffen, Verkaufen, Überlassen, Verbreiten von Passwörtern, die den Zugang zu Daten ermöglichen oder Computerprogrammen, deren Zweck die Begehung einer solchen Straftat ist. Der Hackerparagraph ist problematisch, weil er auf dual use -Software angewendet werden kann. Die Beschreibung von Sicherheitslücken ist explizit ausgenommen a StGB: Datenveränderung Rechtswidriges Löschen, Unterdrücken, Verändern und unbrauchbar Machen von Daten (verletzt Integrität) b StGB: Computersabotage Störung von Datenverarbeitung, die für andere von wesentlicher Bedeutung ist. Das Strafmaß verschärft sich bei Firmen und staatlichen Einrichtungen. Dieses Gesetz dient dem Schutz der Integrität von Computersystemen und dem Schutz kritischer Infrastrukturen, ist aber auch auf private Computeranlagen anwendbar, wenn diese wesentlich für den Anwender sind. Das Gesetz schützt auch die Verfügbarkeit dieser Systeme, da Denial of Service- Angriffe ebenfalls abgedeckt sind. 12. März

20 StGB: Störung von Telekommunikationsanlagen Störung einer öffentlichen Zwecken dienenden Telekommunikationsanlage. Zielt auf den Schutz kritischer Infrastruktur, und damit deren Verfügbarkeit ab StGB: Verletzung des Post- oder Fernmeldegeheimnisses Bürger nehmen zur Kommunikation Dienstleistungen von Dritten in Anspruch; damit diese die über sie versendeten Daten nicht beliebig nutzen und/oder weitergeben dürfen verbietet das Fernmeldegeheimnis diese Tätigkeiten unter Strafe. Diese Gesetzgebung ist für alle Anbieter von Telekommunikationsdienstleistungen relevant, d.h. z.b. auch für die Universität als Internet- und -Provider. Das Unterdrücken von s ist ebenfalls strafbar (was Spam-Filter zu einem rechtlichen Problem macht!). 9.2 Ethische Fragen Ethik ist die Reflexion über das, was als richtig oder falsch empfunden wird. Diese Moralvorstellungen entwickeln sich über große Zeiträume und passen sich den gesellschaftlichen Anforderungen an sie an. Sie sind die Grundlage für die Gesetzgebung. Die Computerethik hinkt der Technologie noch hinterher, in einigen Bereichen, wie z.b. dem Datenschutz haben sich noch keine Moralvorstellungen ausgeprägt. Dies schafft eine Grauzone, in der unklar ist, wie man sich verhalten soll. 12. März

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Integrität: Garantie der Korrektheit (unverändert,

Mehr

Datensicherheit. Vorlesung 1: 10.4.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 1: 10.4.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 1: 10.4.2015 Sommersemester 2015 h_da, Lehrbeauftragter Nachklausur IT- und Medientechnik Freitag, 24. April 2015 12.15 13.45 Uhr Raum A10/001 Allgemeines zur Vorlesung die Folien

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Verschlüsselungsverfahren Integrität: Garantie

Mehr

IT-Sicherheit IAIK 1

IT-Sicherheit IAIK 1 IT-Sicherheit IAIK 1 Motivation Rechner enthalten Informationen Informationen haben Wert Manche Firmen: gesamter Wert in elektronischer Form Aufgabe von Betriebssystemen: Information vor unautorisierter

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 01.07.2013 1 / 31 Überblick 1 Zugriffskontrolle Das Bell-LaPadula-Modell Das Chinese-Wall-Modell Zusammenfassung 2 Analyse größerer Systeme Motivation Der

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Dipl.-Ök. Thorben Sandner Institut für Wirtschaftsinformatik Leibniz Universität Hannover. sandner@iwi.uni-hannover.de

Dipl.-Ök. Thorben Sandner Institut für Wirtschaftsinformatik Leibniz Universität Hannover. sandner@iwi.uni-hannover.de 09. Juni 2009 Dipl.-Ök. Thorben Sandner sandner@iwi.uni-hannover.de Definition Sicherheit Sicherheit bezeichnet den Zustand des Sicherseins vor Gefahr oder Schaden bzw. einen Zustand, in dem Schutz vor

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

P2P - Sicherheit Georg Lukas 2003-12-03 Seminar "Kommunikation in P2P-Netzen"

P2P - Sicherheit Georg Lukas 2003-12-03 Seminar Kommunikation in P2P-Netzen P2P - Sicherheit Georg Lukas 2003-12-03 Seminar "Kommunikation in P2P-Netzen" Ziele des Vortrags Sicherheit auf Konzept-Ebene Kommunikationsprotokolle Datenspeicherung Resistenz gegen Störungen, Angriffe,

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

Verschlüsselungsverfahren

Verschlüsselungsverfahren Verschlüsselungsverfahren Herrn Breder hat es nach dem Studium nach München verschlagen. Seine Studienkollegin Frau Ahrend wohnt in Heidelberg. Da beide beruflich sehr stark einspannt sind, gibt es keine

Mehr

IT Sicherheit: Authentisierung

IT Sicherheit: Authentisierung Dr. Christian Rathgeb IT-Sicherheit, Kapitel 4 / 18.11.2015 1/21 IT Sicherheit: Dr. Christian Rathgeb Hochschule Darmstadt, CASED, da/sec Security Group 18.11.2015 Dr. Christian Rathgeb IT-Sicherheit,

Mehr

Verbreitete Angriffe

Verbreitete Angriffe Literatur Verbreitete Angriffe Univ.-Prof. Dr. Christoph Meinel Hasso-Plattner-Institut Universität Potsdam, Deutschland DoS und DDoS Angriffe (1/2) 2 Denial-of-Service Angriff mit dem Ziel der Störung

Mehr

Sicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013

Sicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013 Sicherheit in Netzwerken Leonard Claus, WS 2012 / 2013 Inhalt 1 Definition eines Sicherheitsbegriffs 2 Einführung in die Kryptografie 3 Netzwerksicherheit 3.1 E-Mail-Sicherheit 3.2 Sicherheit im Web 4

Mehr

Authentisierung in Unternehmensnetzen

Authentisierung in Unternehmensnetzen in Unternehmensnetzen Problemstellung und Lösungsansätze >>> Seite Martin 1 Seeger NetUSE AG, Dr.-Hell-Straße, 24017 Kiel ms@netuse.de - Agenda - Inhalt Problemstellung Was ist starke Authentisierung Biometrie

Mehr

Der Wert von Daten. Biometrie als Zugriffsschutz. Vorteile biometrischer Systeme

Der Wert von Daten. Biometrie als Zugriffsschutz. Vorteile biometrischer Systeme 2005 Siemens AG Österreich www.siemens.com/biometrics biometrics@siemens.com Datensicherheit durch biometrische Verfahren Der Wert von Daten Biometrie als Zugriffsschutz Vorteile biometrischer Systeme

Mehr

Soziale Netzwerke Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co.

Soziale Netzwerke Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co. www.bsi-fuer-buerger.de Ins Internet mit Sicherheit! Soziale Netzwerke Basisschutz leicht gemacht 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co. Sicher unterwegs in Facebook,

Mehr

Soziale Netzwerke Basisschutz leicht gemacht. Tipps zur sicheren Nutzung von Facebook, Xing & Co

Soziale Netzwerke Basisschutz leicht gemacht. Tipps zur sicheren Nutzung von Facebook, Xing & Co Soziale Netzwerke Basisschutz leicht gemacht Tipps zur sicheren Nutzung von Facebook, Xing & Co Sichere Nutzung sozialer Netzwerke Über soziale Netzwerke können Sie mit Freunden und Bekannten Kontakt aufnehmen,

Mehr

Kryptographie und Fehlertoleranz für Digitale Magazine

Kryptographie und Fehlertoleranz für Digitale Magazine Stefan Lucks Kryptographie und Fehlertoleranz für digitale Magazine 1 Kryptographie und Fehlertoleranz für Digitale Magazine Stefan Lucks Professur für Mediensicherheit 13. März 2013 Stefan Lucks Kryptographie

Mehr

Sicherheitsaspekte unter Windows 2000

Sicherheitsaspekte unter Windows 2000 Sicherheitsaspekte unter Windows 2000 Margarete Kudak Sascha Wiebesiek 1 Inhalt 1. Sicherheit 1.1 Definition von Sicherheit 1.2 C2 - Sicherheitsnorm 1.3 Active Directory 2. Sicherheitslücken 3. Verschlüsselung

Mehr

11 Instanzauthentisierung

11 Instanzauthentisierung 11 Instanzauthentisierung B (Prüfer) kann die Identität von A (Beweisender) zweifelsfrei feststellen Angreifer O versucht, Identität von A zu übernehmen (aktiver Angri ) Oskar (O) Alice (A) Bob (B) Faktoren

Mehr

2. Realisierung von Integrität und Authentizität

2. Realisierung von Integrität und Authentizität 2. Realisierung von Integrität und Authentizität Zur Prüfung der Integrität einer Nachricht oder Authentizität einer Person benötigt die prüfende Instanz eine zusätzliche Information, die nur vom Absender

Mehr

Facharbeit Informatik Public Key Verschlüsselung Speziell: PGP Ole Mallow Basiskurs Informatik

Facharbeit Informatik Public Key Verschlüsselung Speziell: PGP Ole Mallow Basiskurs Informatik Facharbeit Informatik Public Key Verschlüsselung Speziell: PGP Ole Mallow Basiskurs Informatik Seite 1 von 9 Inhaltsverzeichnis Inhaltsverzeichnis...2 1. Allgemein...3 1.1 Was ist Public Key Verschlüsselung?...3

Mehr

Mitarbeiterinformation

Mitarbeiterinformation Datenschutz & Gesetzliche Regelungen Praktische Hinweise Kontakt zu Ihrem Datenschutzbeauftragten Elmar Brunsch www.dbc.de Seite 1 von 5 Einleitung In den Medien haben Sie sicher schon häufig von Verstößen

Mehr

(c) 2014, Peter Sturm, Universität Trier

(c) 2014, Peter Sturm, Universität Trier Soziotechnische Informationssysteme 6. OAuth, OpenID und SAML Inhalte Motivation OAuth OpenID SAML 1 Grundlagen Schützenswerte Objekte Zugreifende Subjekte Authentifizierung Nachweis einer behaupteten

Mehr

Sicherheit in der Datenkommunikation Wie viel Sicherheit ist möglich und nötig? Christoph Sorge Universität Paderborn

Sicherheit in der Datenkommunikation Wie viel Sicherheit ist möglich und nötig? Christoph Sorge Universität Paderborn Sicherheit in der Datenkommunikation Wie viel Sicherheit ist möglich und nötig? Christoph Sorge Universität Paderborn Fachgebiet Codes & Kryptographie, Prof. Dr. Johannes Blömer Zentrum für Informations-

Mehr

Empfehlungen für die Vergabe von Passwörtern

Empfehlungen für die Vergabe von Passwörtern Berliner Beauftragter für Datenschutz und Informationsfreiheit Ratgeber zum Datenschutz Nr. 3 Empfehlungen für die Vergabe von Passwörtern Voraussetzung dafür, dass die Vertraulichkeit, Integrität und

Mehr

Üblicherweise unterscheidet man zwischen der Strategie (policy) und dem Mechanismus (mechanism).

Üblicherweise unterscheidet man zwischen der Strategie (policy) und dem Mechanismus (mechanism). 3 Maßnahmen 3.0 Sicherheitsstrategien und Mechanismen Üblicherweise unterscheidet man zwischen der Strategie (policy) und dem Mechanismus (mechanism). Die Strategie spezifiziert, welche Maßnahmen (z.b.zugriffe)

Mehr

Programmiertechnik II

Programmiertechnik II X.509: Eine Einführung X.509 ITU-T-Standard: Information Technology Open Systems Interconnection The Directory: Public Key and attribute certificate frameworks Teil des OSI Directory Service (X.500) parallel

Mehr

Einführung in das deutsche und europäische Computer- und Internetstrafrecht

Einführung in das deutsche und europäische Computer- und Internetstrafrecht Einführung in das deutsche und europäische Computer- und Internetstrafrecht Dr. Alexander Koch Institut für das Recht der Netzwirtschaften, Informations- und Kommunikationstechnologie Gang des Vortrags

Mehr

Die Kunst, sicher die Effizienz zu steigern: Integration von smarten Endgeräten

Die Kunst, sicher die Effizienz zu steigern: Integration von smarten Endgeräten Die Kunst, sicher die Effizienz zu steigern: i GmbH Vorstellung des Unternehmens unabhängiges, privates Beratungsunternehmen seit 2002 Spezialisierung auf: Sicherheitsberatung Konzepterstellung und überprüfung

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

WINDOWS 7. Druckerkonfiguration - Systemsteuerung - Sicherheit

WINDOWS 7. Druckerkonfiguration - Systemsteuerung - Sicherheit WINDOWS 7 Druckerkonfiguration - Systemsteuerung - Sicherheit Druckerverwaltung ab Seite 91 = Standarddrucker Druckaufträge verwalten ab Seite 96 Systemsteuerung ab Seite 97 System Information über das

Mehr

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter. www.s-inn.de

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter. www.s-inn.de Endpoint Security Where trust begins and ends SINN GmbH Andreas Fleischmann Technischer Leiter www.s-inn.de Herausforderung für die IT Wer befindet sich im Netzwerk? Welcher Benutzer? Mit welchem Gerät?

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

Online-Banking Zahlungsverkehr effizient und sicher

Online-Banking Zahlungsverkehr effizient und sicher Online-Banking Zahlungsverkehr effizient und sicher Referent: Simon Lücke Leiter IT-Systeme, Electronic Banking, Zahlungsverkehr Volksbank Marl-Recklinghausen eg Volksbank Marl-Recklinghausen eg Agenda

Mehr

MALWARE AM BEISPIEL VON STUXNET

MALWARE AM BEISPIEL VON STUXNET MALWARE AM BEISPIEL VON STUXNET IAV10/12 24.05.2011 Jan Heimbrodt Inhalt 1. Definition Was ist Malware? 2. Kategorisierung von Malware Viren, Würmer, Trojaner, 3. Was macht Systeme unsicher? Angriffsziele,

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Sicherheit im Internet

Sicherheit im Internet Sicherheit im Internet Was ist Sicherheit - das Vokabular Angriff und Verteidigung Zugriff verweigert - drei A s Lücken und Löcher - man kommt doch rein Lauschangriff und Verschluesselung DoS - nichts

Mehr

Verfügbarkeit (Schutz vor Verlust) Vertraulichkeit (Schutz vor unbefugtem Lesen) Authentizität (Schutz vor Veränderung, Fälschung)

Verfügbarkeit (Schutz vor Verlust) Vertraulichkeit (Schutz vor unbefugtem Lesen) Authentizität (Schutz vor Veränderung, Fälschung) Was bisher geschah Sicherheitsziele: Verfügbarkeit (Schutz vor Verlust) Vertraulichkeit (Schutz vor unbefugtem Lesen) Authentizität (Schutz vor Veränderung, Fälschung) von Information beim Speichern und

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit : Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Methode: Verschüsselung symmetrische Verfahren

Mehr

!"#$"%&'()*$+()',!-+.'/',

!#$%&'()*$+()',!-+.'/', Soziotechnische Informationssysteme 7. OAuth, OpenID und SAML Inhalte Motivation OAuth OpenID SAML 4(5,12316,7'.'0,!.80/6,9*$:'0+$.;.,&0$'0, 3, Grundlagen Schützenswerte Objekte Zugreifende Subjekte Authentifizierung!

Mehr

Datensicherheit und Backup

Datensicherheit und Backup Beratung Entwicklung Administration Hosting Datensicherheit und Backup Dipl.-Inform. Dominik Vallendor & Dipl.-Inform. Carl Thomas Witzenrath 25.05.2010 Tralios IT Dipl.-Inform. Dominik Vallendor und Dipl.-Inform.

Mehr

Wie sicher sind Zahlungen im Internet?

Wie sicher sind Zahlungen im Internet? Wie sicher sind Zahlungen im Internet? Internet ist ein öffentliches Medium, wie z. B. die Post auch. Wenn ich einen Brief aufgebe muss ich (leider) damit rechnen, dass er verloren gehen kann oder dass

Mehr

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. "For your eyes only" Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo.

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. For your eyes only Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo. Karlsruher IT-Sicherheitsinitiative - 26. April 2001 "For your eyes only" Sichere E-Mail in Unternehmen Dr. Dörte Neundorf neundorf@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße 9 D-76131

Mehr

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann Zur Person Frank Broekman IT-Security Auditor (TÜV) Geschäftsführer der dvs.net IT-Service

Mehr

ANGEWANDTE INFORMATIONSSICHERHEIT GEFAHREN UND RISIKEN

ANGEWANDTE INFORMATIONSSICHERHEIT GEFAHREN UND RISIKEN ANGEWANDTE INFORMATIONSSICHERHEIT GEFAHREN UND RISIKEN Prof. Arno Wacker Angewandte Informationssicherheit Universität Kassel NetComData 30. September 2015 IT Security Day Fachgebiet Angewandte Informationssicherheit

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

Sicherheit im E-Business

Sicherheit im E-Business Sicherheit im E-Business Roger Halbheer Global Risk Management Solutions Einige Zahlen Im Durchschnitt wird auf jede neu installierte Web-Seite nach 28 Sekunden das erste Mal zugegriffen - nach 5 Stunden

Mehr

Vorlesung Datensicherheit

Vorlesung Datensicherheit Vorlesung Datensicherheit Jürgen Quittek Institut für Informatik Freie Universität Berlin C&C Research Laboratories NEC Europe Ltd., Berlin Vorlesung Datensicherheit Institut für Informatik Freie Universität

Mehr

Datenschutzerklärung ENIGO

Datenschutzerklärung ENIGO Datenschutzerklärung ENIGO Wir, die, nehmen den Schutz Ihrer persönlichen Daten sehr ernst und halten uns strikt an die Regeln der Datenschutzgesetze. Personenbezogene Daten werden auf dieser Website nur

Mehr

Sicherheit allgemein

Sicherheit allgemein Sicherheit allgemein Markus Krieger Rechenzentrum Uni Würzburg krieger@rz.uni-wuerzburg.de 1 Einführung Ziel der Veranstaltung Definition von Sicherheit und Gefahren Denkanstöße Angreifer, Angriffsmöglichkeiten

Mehr

DriveLock 6. DriveLock und das Windows Sicherheitsproblem mit LNK Dateien. CenterTools Software GmbH

DriveLock 6. DriveLock und das Windows Sicherheitsproblem mit LNK Dateien. CenterTools Software GmbH 6 DriveLock und das Windows Sicherheitsproblem mit LNK Dateien CenterTools Software GmbH 2010 Copyright Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und anderen Verweisen

Mehr

Cybercrime. Neue Kriminalitätsformen und Sicherheitsrisiken moderner Kommunikation

Cybercrime. Neue Kriminalitätsformen und Sicherheitsrisiken moderner Kommunikation Cybercrime Neue Kriminalitätsformen und Sicherheitsrisiken moderner Kommunikation Agenda Cybercrime wer oder was bedroht uns besonders? Polizeiliche Kriminalstatistik Diebstahl digitaler Identitäten Skimming

Mehr

Prof. Dr. Norbert Pohlmann, Institut für Internet Sicherheit - if(is), Fachhochschule Gelsenkirchen. Lage der IT-Sicherheit im Mittelstand

Prof. Dr. Norbert Pohlmann, Institut für Internet Sicherheit - if(is), Fachhochschule Gelsenkirchen. Lage der IT-Sicherheit im Mittelstand Lage der IT-Sicherheit im Mittelstand Inhalt Die Situation heute: Eine kritische Bewertung 2 Inhalt Die Situation heute: Eine kritische Bewertung 3 IT-Sicherheit u. Vertrauenswürdigkeitrdigkeit Veränderung,

Mehr

Programmieren was ist das genau?

Programmieren was ist das genau? Programmieren was ist das genau? Programmieren heisst Computerprogramme herstellen (von griechisch programma für Vorschrift). Ein Computerprogramm ist Teil der Software eines Computers. Als Software bezeichnet

Mehr

Sommerakademie 2009. Arbeitnehmer Freiwild der Überwachung? Ein Blick in die Giftkiste: Überwachung an Büroarbeitsplätzen. Herr Sven Thomsen, ULD

Sommerakademie 2009. Arbeitnehmer Freiwild der Überwachung? Ein Blick in die Giftkiste: Überwachung an Büroarbeitsplätzen. Herr Sven Thomsen, ULD Sommerakademie 2009 Arbeitnehmer Freiwild der Überwachung? Infobörse 2: Ein Blick in die Giftkiste: Überwachung an Büroarbeitsplätzen Herr Sven Thomsen, ULD Angriff! 2 Mitarbeiterüberwachung ist Angriff!

Mehr

Praxisbuch ISO/IEC 27001

Praxisbuch ISO/IEC 27001 Praxisbuch ISO/IEC 27001 Management der Informationssicherheit und Vorbereitung auf die Zertifizierung von Michael Brenner, Nils gentschen Felde, Wolfgang Hommel, Stefan Metzger, Helmut Reiser, Thomas

Mehr

IT-Sicherheit. 1. Einführung und organisatorische Sicherheit. 2. Datenschutz und Nicht-technische Datensicherheit. 3. Identity Management

IT-Sicherheit. 1. Einführung und organisatorische Sicherheit. 2. Datenschutz und Nicht-technische Datensicherheit. 3. Identity Management IT-Sicherheit 1. Einführung und organisatorische Sicherheit 2. Datenschutz und Nicht-technische Datensicherheit 3. Identity Management 4. Angewandte IT Sicherheit 5. Praktische IT Sicherheit 1. Einführung

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit (Teil 2d) Vorlesung im Sommersemester 2014 an der Universität Ulm von Bernhard C.

Grundlagen des Datenschutzes und der IT-Sicherheit (Teil 2d) Vorlesung im Sommersemester 2014 an der Universität Ulm von Bernhard C. Vorlesung im Sommersemester 2014 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche

Mehr

Dunkel Mail Security

Dunkel Mail Security Dunkel Mail Security email-sicherheit auf die stressfreie Art Unser Service verhindert wie ein externer Schutzschild, dass Spam, Viren und andere Bedrohungen mit der email in Ihr Unternehmen gelangen und

Mehr

Kurzanleitung Norman Antispam Gateway

Kurzanleitung Norman Antispam Gateway Kurzanleitung Norman Antispam Gateway Diese Kurzanleitung soll als mögliche Lösung dienen. Es kann sein, dass individuell auf den jeweiligen Einsatzbereich zugeschnitten sich andere Ansätze besser eignen.

Mehr

POLIZEI Hamburg. Wir informieren. www.polizei.hamburg.de

POLIZEI Hamburg. Wir informieren. www.polizei.hamburg.de POLIZEI Hamburg Wir informieren www.polizei.hamburg.de Online-Sicherheit Die Nutzung des Internet ist für die meisten von uns heute selbstverständlich. Leider fehlt es vielen Nutzerinnen und Nutzern allerdings

Mehr

1 Die Active Directory

1 Die Active Directory 1 Die Active Directory Infrastruktur Prüfungsanforderungen von Microsoft: Configuring the Active Directory Infrastructure o Configure a forest or a domain o Configure trusts o Configure sites o Configure

Mehr

Das Kerberos-Protokoll

Das Kerberos-Protokoll Konzepte von Betriebssystemkomponenten Schwerpunkt Authentifizierung Das Kerberos-Protokoll Referent: Guido Söldner Überblick über Kerberos Network Authentication Protocol Am MIT Mitte der 80er Jahre entwickelt

Mehr

Eine Online-Befragung durchführen Schritt für Schritt

Eine Online-Befragung durchführen Schritt für Schritt Anleitung für Schulleitende Eine Online-Befragung durchführen Schritt für Schritt 20. September 2010 IQES online Tellstrasse 18 8400 Winterthur Schweiz Telefon +41 52 202 41 25 info@iqesonline.net www.iqesonline.net

Mehr

Aktuelle Phishingfälle- Sicherheitskontrolle fast immer dabei!

Aktuelle Phishingfälle- Sicherheitskontrolle fast immer dabei! Aktuelle Phishingfälle- Sicherheitskontrolle fast immer dabei! Eine Auswertung der seit Beginn des Jahres aufgetretenen Phishingfälle, sowie unterschiedliche mediale Beiträge zum Thema Phishing, zeigen

Mehr

INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS

INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS WAS SIND INFORMATIONEN? Informationen sind essentiellen Werte einer Arztpraxis. müssen angemessen geschützt werden. 2 WAS IST INFORMATIONSSICHERHEIT?

Mehr

PKI (public key infrastructure)

PKI (public key infrastructure) PKI (public key infrastructure) am Fritz-Haber-Institut 11. Mai 2015, Bilder: Mehr Sicherheit durch PKI-Technologie, Network Training and Consulting Verschlüsselung allgemein Bei einer Übertragung von

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

Handshake von SIM und GSM Basisstation

Handshake von SIM und GSM Basisstation Handshake von SIM und GSM Basisstation Prüfungsvorleistung im Rahmen der Vorlesung Chipkarten SS 05 Inhalt GSM und Sicherheit Sicherheitsdienste GSM Algo Authentifizierung PDU (herausgenommen) GSM und

Mehr

E-Mail-Verschlüsselung viel einfacher als Sie denken!

E-Mail-Verschlüsselung viel einfacher als Sie denken! E-Mail-Verschlüsselung viel einfacher als Sie denken! Stefan Cink Produktmanager stefan.cink@netatwork.de Seite 1 Welche Anforderungen haben Sie an eine E-Mail? Seite 2 Anforderungen an die E-Mail Datenschutz

Mehr

Smartcard-Authentifizierung mit Oracle-Forms

Smartcard-Authentifizierung mit Oracle-Forms Smartcard-Authentifizierung mit Oracle-Forms Teil 1: Theoretisches zur 2-Faktor Authentifizierung Das Smartcard-Projekt der Nordrheinischen Ärzteversorgung Irisstrasse 45 11. November 2004 1 Inhalt Kurzvorführung

Mehr

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz Folie: 1 Folie: 2 IFB-Workshop IT-Sicherheit und Datenschutz Folie: 3 Agenda 1. Theoretischer Teil Systematik von IT-Sicherheit und Datenschutz Grundbedrohungen der IT-Sicherheit Gefahren aus dem Internet

Mehr

Sichere Kommunikation unter Einsatz der E-Signatur

Sichere Kommunikation unter Einsatz der E-Signatur Sichere Kommunikation unter Einsatz der E-Signatur Emails signieren und verschlüsseln Michael Rautert Agenda: Gefahren bei der Email-Kommunikation Signaturen und Verschlüsselung Anforderungen und Arten

Mehr

Man-in-the-Middle-Angriffe auf das chiptan comfort-verfahren im Online-Banking

Man-in-the-Middle-Angriffe auf das chiptan comfort-verfahren im Online-Banking Man-in-the-Middle-Angriffe auf das chiptan comfort-verfahren im Online-Banking RedTeam Pentesting GmbH 23. November 2009 ChipTAN comfort ist ein neues Verfahren, welches mit Hilfe eines vertrauenswürdigen

Mehr

Andy Kurt Vortrag: 7.11.14. OSX - Computeria Meilen

Andy Kurt Vortrag: 7.11.14. OSX - Computeria Meilen Andy Kurt Vortrag: 7.11.14 OSX - Computeria Meilen 1 von 10 Andy Kurt Vortrag: 7.11.14 Screen IT & Multimedia AG Webseite: www.screen-online.ch Link Fernwartung: http://screen-online.ch/service/fernwartung.php

Mehr

Konsistenz, Replikation und Fehlertoleranz

Konsistenz, Replikation und Fehlertoleranz Konsistenz, Replikation und Fehlertoleranz Zugangssicherheit Kaufmann Daniel, Kranister Jürgen, Stundner Lukas Allgemeines Zugangssicherheit = Absicherung, dass nur berechtigte User/Geräte bestimmte Aktionen

Mehr

Sophos Virenscanner Konfiguration

Sophos Virenscanner Konfiguration Ersteller/Editor Ulrike Hollermeier Änderungsdatum 12.05.2014 Erstellungsdatum 06.07.2012 Status Final Konfiguration Rechenzentrum Uni Regensburg H:\Sophos\Dokumentation\Sophos_Konfiguration.docx Uni Regensburg

Mehr

Datenschutz und Datensicherheit in mittelständischen Betrieben

Datenschutz und Datensicherheit in mittelständischen Betrieben Datenschutz und Datensicherheit in mittelständischen Betrieben Vortrag beim MHUT-Mülheimer Unternehmer Treff e.v. Dienstag, 9. Februar 2010, 19.00 Uhr Datenschutz + Datensicherheit = IT-Sicherheit IT-Sicherheit

Mehr

Digitale Magazine ohne eigenen Speicher

Digitale Magazine ohne eigenen Speicher Stefan Lucks Digitale Magazine ohne eigenen Speicher 1 Digitale Magazine ohne eigenen Speicher Wie man die Integrität fremdgespeicherter Archivalien sicherstellen kann Stefan Lucks Professur für Mediensicherheit

Mehr

Informatik für Ökonomen II HS 09

Informatik für Ökonomen II HS 09 Informatik für Ökonomen II HS 09 Übung 5 Ausgabe: 03. Dezember 2009 Abgabe: 10. Dezember 2009 Die Lösungen zu den Aufgabe sind direkt auf das Blatt zu schreiben. Bitte verwenden Sie keinen Bleistift und

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Sichere PCs und Laptops

Sichere PCs und Laptops Sichere PCs und Laptops Sicherheitstools mit der Bürgerkarte A-SIT Zentrum für Sichere Informationstechnologie Dipl.-Ing. Martin Centner SFG, 9. Februar 2006 A-SIT Zentrum für Sichere Informationstechnologie

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

Aktuelle Bedrohungsszenarien für mobile Endgeräte

Aktuelle Bedrohungsszenarien für mobile Endgeräte Wir stehen für Wettbewerb und Medienvielfalt. Aktuelle Bedrohungsszenarien für mobile Endgeräte Ulrich Latzenhofer RTR-GmbH Inhalt Allgemeines Gefährdungen, Schwachstellen und Bedrohungen mobiler Endgeräte

Mehr

Biometrische Systeme und Datenschutzgesetze

Biometrische Systeme und Datenschutzgesetze Biometrische Systeme und Datenschutzgesetze Inhalt Einleitung Datenschutzgesetze der Schweiz Biometrische Systeme BioLANCC Tipps für BioLANCC zum Datenschutz Diskussion Datenschutz in der Schweiz -1 Datensammlung:

Mehr

AV-TEST. Sicherheitslage Android

AV-TEST. Sicherheitslage Android AV-TEST Sicherheitslage Android Sicherheitslage Android 1 SICHERHEITSLAGE ANDROID MEHR ALS 30 IT-SPEZIALISTEN MEHR ALS 15 JAHRE EXPERTISE IM BEREICH ANTIVIREN-FORSCHUNG UNTERNEHMENSGRÜNDUNG 2004 EINE DER

Mehr

Sichere Datenhaltung in verteilten Systemen

Sichere Datenhaltung in verteilten Systemen Sichere Datenhaltung in verteilten Systemen Bericht über ein Großprojekt im medizinischen Bereich Dipl. Inform. Ramon Mörl Ausgangssituation Heterogene Infrastruktur verteilt über mehrere Standorte Mainframes,

Mehr

Sicherheit im Internet

Sicherheit im Internet Sicherheit im Internet Inhaltsverzeichnis 1. Computersicherheit 2 2. Passwörter 4 3. Shopping 6 4. Onlinezahlung 7 5. Internet Abzocke 8 6. Phishing 10 Seite 1 1. Computersicherheit Viren, auch Trojaner

Mehr

Materialien für Veranstalter

Materialien für Veranstalter Fotos und Videos mit Zugangsschutz veröffentlichen Nicht immer wollen alle Teilnehmenden eines Seminar später auf Fotos oder Videos im Internet zu sehen sein. Oder Sie wollen eine Fotodokumentation im

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Autorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente

Autorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente Autorisierung Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente Dokumentation zum Referat von Matthias Warnicke und Joachim Schröder Modul: Komponenten basierte Softwareentwickelung

Mehr

Die Waffen des Cyberwar. Thomas Reinhold reit@hrz.tu-chemnitz.de

Die Waffen des Cyberwar. Thomas Reinhold reit@hrz.tu-chemnitz.de Die Waffen des Cyberwar Thomas Reinhold reit@hrz.tu-chemnitz.de Gliederung des Vortrags Zum Begriff Cyberspace Typen & Klassifikationen von Schadsoftware Exemplarisch: Stuxnet & Duqu Cybercrime & Cyberwar

Mehr

5. Signaturen und Zertifikate

5. Signaturen und Zertifikate 5. Signaturen und Zertifikate Folgende Sicherheitsfunktionen sind möglich: Benutzerauthentikation: Datenauthentikation: Datenintegrität: Nachweisbarkeit: Digitale Unterschrift Zahlungsverkehr Nachweis

Mehr

Hochschule Darmstadt. IT-Sicherheit

Hochschule Darmstadt. IT-Sicherheit Hochschule Darmstadt IT-Sicherheit K l a u s u r WS 2014/2015, 2015-02-12 Dr. Martin Mink Name, Vorname: Matrikelnummer: Hinweise: (a) Es sind keine Hilfsmittel erlaubt. Mobiltelefone sind auszuschalten.

Mehr

Schlüsselpärchen. Digitale Signaturen und Sicherheit

Schlüsselpärchen. Digitale Signaturen und Sicherheit Schlüsselpärchen Digitale Signaturen und Sicherheit Dr. Rudolf Gardill, Universität Bamberg, Rechenzentrum MS Wissenschaft, 10. September 2006 Eine seltsame Mail From: Maiser@listserv.uni-bamberg.de [mailto:maiser@listserv.uni-bamberg.de]

Mehr

Daten-schützen.ppt, Andreas Schneider, 2011-12-06, Page 1 of 27

Daten-schützen.ppt, Andreas Schneider, 2011-12-06, Page 1 of 27 Daten-schützen.ppt, Andreas Schneider, 2011-12-06, Page 1 of 27 Agenda Warum wird das Thema Sicherheit immer wichtiger? Welche Arten von Sicherheitsrisiken gibt es? Welche Arten von Verschlüsselung gibt

Mehr