Identity Theft Der richtige Schutz vor Identitätsdiebstahl

Transkript

1 Identity Theft Der richtige Schutz vor Identitätsdiebstahl Dr. Lukas Feiler, SSCP Associate, Wolf Theiss Rechtsanwälte GmbH Identity Theft, 15. Oktober

2 1. Worum geht es bei Identity Theft? 2. Schutzmaßnahmen 3. Angriffsszenarien einschließlich Social Engineering Identity Theft, 15. Oktober

3 Identity Theft / Identitätsdiebstahl Was ist eine Identität? zb mein Facebook-Account? Kann man eine Identität überhaupt stehlen? Hinweis: Stehlen = Jemandem anderen eine Sache wegnehmen Was ist dann das eigentliche Problem des Identitäts- Diebstahls? Täter täuscht dritte darüber, wer er ist Treffendere Bezeichnung: Identitäts-Täuschung Identity Theft, 15. Oktober

4 Identitäts-Täuschung Altes Problem der Informationssicherheit: Wie kann die Identität eines Nutzers überprüft werden? Man unterscheidet zwei Konzepte: Identification Authentication Identity Theft, 15. Oktober

5 Identification Prozess, in dem der Nutzer eine bestimmte Identität behauptet; zb Eingabe eines Username Eingabe einer -Adresse Nennen eines Namens am Telefon Identity Theft, 15. Oktober

6 Authentication Prozess der Überprüfung der behaupteten Identität Wie kann man eine Identitätsbehauptung prüfen? Drei mögliche Faktoren Etwas, das der User weiß Etwas, das der User hat Etwas, das der User ist Identity Theft, 15. Oktober

7 Authentication: Factor 1 Something You Know Beispiele? Ein Passwort Ein PIN Die Sozialversicherungsnummer? Der Mädchenname der Mutter? Welche Eigenschaften hat ein guter Authenticator? Etwas, das nur der Nutzer weiß Etwas, das schwer zu erraten ist Etwas, das leicht zu merken ist Etwas, das geändert werden kann, wenn es kompromittiert wird Identity Theft, 15. Oktober

8 Angriffe auf Passwort-basierte Authentifizierung Password Guessing Attack Der Angreifer versucht, Passwort zu erraten zb: 1111, god, letmein, zb anhand persönlicher Informationen über den Nutzer, wie Geburtsdatum Name des Kuscheltiers Schutzmaßnahme: keine banalen Passwörter verwenden Identity Theft, 15. Oktober

9 Angriffe auf Passwort-basierte Authentifizierung #2 Dictionary Attack Der Angreifer probiert alle Wörter aus einem Wörterbuch Englisch Deutsch Pop Culture Terminology Klingonisch Schutzmaßnahme: keine Wörter verwenden, die etwas bedeuten Identity Theft, 15. Oktober

10 Angriffe auf Passwort-basierte Authentifizierung #3 Brute Force Attack Der Angreifer probiert alle möglichen Passwörter Entscheidend ist: Wie lang ist das Passwort? Wieviele unterschiedliche Zeichen stehen zur Auswahl? zb: 4-stellige Zahl: 10 4 = Buchstaben: 26 4 = Buchstaben: 26 8 = (bzw. ~ 208 Mrd.) 8 Groß- u. Klein-Buchstaben, Zahlen, Sonderzeichen: ca = = (=10 Mio Mrd.) ca mal so gut, wie 8 Buchstaben Identity Theft, 15. Oktober

11 Angriffe auf Passwort-basierte Authentifizierung #4 Software-Keylogger Malware, die auf einem PC installiert ist, und alle Tastenanschläge mitprotokolliert Wie gelangt Malware auf ein System? Durch den Administrator selbst! Durch eine mit Malware verseuchte Website Hardware-Keylogger Shoulder Surfing Social Engineering Identity Theft, 15. Oktober

12 Authentication: Factor 2 Something You Have Beispiele? Ein Schlüssel Eine Magnetkarte / eine Chip-Karte Ein Ausweis mit Namen Ein Mobiltelefon Variante 1: User wird angerufen/erhält ein SMS Variante 2: User ruft an/sendet ein SMS Welche Eigenschaften hat ein guter Authenticator? Etwas, das nur der Nutzer hat Etwas, das schwer nachzumachen ist Etwas, das geändert werden kann, wenn es kompromittiert wird Identity Theft, 15. Oktober

13 Authentication: Factor 3 Something You Are Beispiele? Iris-Scanner Fingerprint-Reader Sprach-Authentifizierung Gesichts-Authentifizierung Welche Eigenschaften hat ein guter Authenticator? Fälschlich positive Authentifizierung (False Positives) gering Fälschlich negative Authentifizierung (False Negatives) gering Identity Theft, 15. Oktober

14 Authentication: Multi-Factor Authentication Ein Authentifikations-Faktor ist für viele Fälle zu schwach Häufig: Two-Factor Authentication Amtliche Lichtbildausweis Something you have (den Ausweis) Something you are (Gesichtsmerkmale) Chip-Karte mit PIN Somthing you have (Chip-Karte) Something you know (PIN) E-Banking mit SMS-Tan Something you know (Kundenkennwort zum Login) Somthing you have (Mobiltelefon mit entsprechender Tel.Nr.) Identity Theft, 15. Oktober

15 Beispiele für Identification, Authentication Identification Authentication Zugang zu U.S. Federal Buildings nur mit amtlichem Lichtbildausweis Schlüssel zu Bankschließfach Username Passwort Ausweiskontrolle im Kino, um Altersbeschränkung durchzusetzen Bitte geben Sie Ihren Namen & Ihr Geburtsdatum ein, um sich einzuloggen Sicherheitsfrage statt Passwort: Wie lautet der Mädchenname Ihrer Mutter? X X X X X X (1F) X (1F) X (2F) X (~1F) Identity Theft, 15. Oktober

16 Danke für die Aufmerksamkeit! Identity Theft, 15. Oktober

17 KONTAKTADRESSE Dr. Lukas Feiler, SSCP Wolf Theiss Rechtsanwälte GmbH Schubertring 6, 1010 Wien Tel: (+ 43 1) Fax: (+ 43 1) Identity Theft, 15. Oktober