Grundlagen der Informationssicherheit

Transkript

1 Grundlagen der Informationssicherheit Sibylle Schwarz Westsächsische Hochschule Zwickau Dr. Friedrichs-Ring 2a, RII WS 2011/2012

2 Informationssicherheit Informatik Lehre von der Darstellung und Verarbeitung von Information durch Algorithmen Information (neue) Auskunft über ein Ereignis, einen Tatbestand oder einen Sachverhalt, Beseitigung von Ungewissheit Informationssicherheit sorgt für Schutz von Informationen bei Speicherung und Übertragung vor Mithören, Spionage Modifikation, Fälschung Verlust oder Einschränkung der Zugriffsmöglichkeit

3 Teilgebiete der Informatik Teilgebiete der Informatik: theoretisch technisch Sprachen zur Formulierung von Information und Algorithmen, Möglichkeiten und Grenzen der Berechenbarkeit durch Algorithmen, Grundlagen für technische und praktische (und angewandte) Informatik maschinelle Darstellung von Information Mittel zur Ausführung von Algorithmen (Rechnerarchitektur, Hardware-Entwurf, Netzwerke,... ) praktisch Entwurf und Implementierung von Algorithmen (Betriebssysteme, Compilerbau, SE,... ) angewandt Anwendung von Algorithmen (Text- und Bildverarbeitung, Datenbanken, KI, Medizin-, Bio-, Wirtschaftsinformatik, Informationssicherheit... )

4 Informatik studieren Selbstudium: Vor- und Nachbereitung jeder Lehrveranstaltung (Vorlesung, Seminar, Praktikum,...) Unterlagen zu den Lehrveranstaltungen (eigene Mitschrift, Skript, Folien, Zusatzmaterial, Übungsaufgaben) durcharbeiten Übungsaufgaben regelmäßig und rechtzeitig lösen (Aufgaben vom Typ der) Übungsaufgaben gehören zum Stoff der LV und werden geprüft Bücher benutzen (Bibliothek) enthalten oft zusätzliche Übungsaufgaben Informationen aus dem Internet sind oft unzuverlässig Lerngruppen bilden und gemeinsam lernen Nachfragen bei Dozenten (nach der Lehrveranstaltung, ,...), Mitstudenten, älteren Studenten,...

5 Praktische Aufgaben im Autotool (für Logik Pflicht, für Informationssicherheit freiwillig) Online-Einschreibung in eine Übungsgruppe https: //autotool.imn.htwk-leipzig.de/cgi-bin/super.cgi Account anlegen: 1. Click FH Zwickau 2. Daten eintragen (korrekte Studenten-Nummer, 3. Click absenden Passwort wird an die angegebene -Adresse geschickt (Geduld, mitunter bis 30 min). Account benutzen: Anmeldung mit Studentennummer (Click Login ) Passwort ändern (Click update ) Einschreiben in Übungsgruppe Aufgabe ansehen und lösen (Click Solve )

6 Organisation der Lehrveranstaltung Informationssicherheit Modul PTI 893 Grundlagen der Informationsverarbeitung und -sicherheit besteht aus zwei Teilen (parallel) Grundlagen der Informationsverarbeitung (Prof. Lenk) Grundlagen der Informationssicherheit jeweils Vorlesung wöchentlich Selbststudium (Vor/Nachbereitung, Prüfungsvorbereitung) Hausaufgaben zur Unterstützung des Selbststudiums und Prüfungsvorbereitung Informationssicherheit: Übungsserien, Autotool gemeinsame Prüfung (Klausur) im Februar 2012

7 Literatur Folien zur Vorlesung (nach der Vorlesung) unter lehre/ws11/insi/ BSI Veröffentlichungen des Bundesamtes für Sicherheit in der Informationstechnik Bücher Wolfgang Ertel: Angewandte Kryptographie. Hanser 2007 Johannes Buchmann: Einführung in die Kryptographie. Springer 2004 Klaus Schmeh: Kryptographie. dpunkt 2009 aktuelle Meldungen zur Informationssicherheit, z.b. unter

8 Grundfragen Wann ist Information sicher? verfügbar, authentisch, vertraulich Wo ist Information gefährdet? Übertragung, Speichern, Zugriff Wie kann man Informationen schützen? z.b. kryptographische Verfahren

9 Inhalt der Lehrveranstaltung Sicherheit von Information Arten von Bedrohungen, Schwachstellen Gegenmaßnahmen Kryptographische Verfahren (Mathematische) Grundlagen Private-Key-Verfahren klassische Verfahren: Verschiebungs-, Transpositions-, Vigenère-Chiffre moderne Verfahren: DES, IDEA, AES Public Key-Verfahren RSA ElGamal Diffie-Hellman (Schlüsselerzeugung) Kryptographische Hashfunktionen Digitale Signaturen Authentifizierung Sicherheits-Infrastrukturen

10 Schadensfälle Beispiele für Schadensfälle aus dem BSI-Leitfaden Informationssicherheit Themen/ITGrundschutz/ LeitfadenInformationssicherheit/ leitfaden_node.html Hausaufgabe Lesen Sie den BSI-Leitfaden Informationssicherheit.

11 Informationssicherheit Ziele: Vertraulichkeit (Schutz vor Mithören, Spionage) Integrität (Schutz vor Modifikation, Fälschung) Verfügbarkeit (Schutz vor Verlust oder Einschränkung der Zugriffsmöglichkeit) der Information bei Speicherung und Übertragung Authentisierung Identitätsprüfung beim Anmelden in einem IT-System Autorisierung Überprüfung von Berechtigungen zum Ausführen bestimmter Aktionen von Personen oder Software beim Zugriff auf Informationen

12 Verantwortung des Informatikers betreute IT-Infrastruktur (z.b. Geräte, Firmennetz) Kommunikation mit Dienstleistern, Kunden und Partnern (z.b. Homepage, , elektronische Zahlung) dienstliche und private Rechentechnik Aufgaben: Einschätzung der aktuellen Situation einschließlich Schwachstellen ständige Überwachung und Aktualisierung des Sicherheitssystemes Bemerken von Angriffen (z.b. Schadsoftware) Kenntnis und Anwendung möglicher Gegenmaßnahmen

13 Verfügbarkeit möglicher Schaden: Verlust wichtiger Daten oder Software (z.b. Patientendaten, Spezialsoftware) Aufwand zur Wiederbeschaffung (finaziell, Arbeitszeit) Vertrauensverlust bei Kunden und Partnern (z.b. bei Webseiten) Maßnahmen zur Sicherung der Verfügbarkeit: Dokumentation aller Verantwortlichkeiten, Verfahrenswege, Systemanpassungen sichere Aufbewahrung wichtiger Zugangsdaten regelmäßige Sicherungskopien (Backups) regelmäßige Kontrolle des Backup-Systems geeignete Aufbewahrung der Sicherungskopien (verschlosssen, räumlich entfernt)

14 Bedrohungen Eve Spionage Alice Information Übertragungskanal Speichermedium Information Bob Änderung Mallory Potentielle Angreifer, z.b. Hacker Geheimdienste Geschäftspartner, Konkurrenten Dienstleister Mitarbeiter (auch ehemalige)

15 Beispiele technischer Angriffe Schadsoftware Programme mit einer vom Programmierer beabsichtigten schädlichen Wirkung Sicherheitslücken in Software (z.b. Betriebssystem, Webbrowser, Büroprogramme) Spam überflüssige (z.b. Werbung, Kettenbriefe, Hoax, oft Verbreitung von Schadsoftware) DoS-Angriffe (Denial of Service) Überlastung von Servern, die einen Service anbieten Störung der Verfügbarkeit DNS-Angriff (Domain Name Service) Fälschung von Verweisinformationen auf Routern

16 Nutzung menschlicher Schwächen Phishing Motivation zur Angabe persönlicher Informationen (Zugangsberechtigungen, Passwort, Kontodaten, Geheimzahl, Dokumentdaten) häufiges Ziel: Identitätsdiebstahl für z.b. E-Commerce Social Engineering Einsatz psychologischer Methoden (stark unterstützt durch Social Networks) Überlastung von Sicherheitsverantwortlichen

17 Schadsoftware oft Kombination verschiedener Komponenten, z.b Viren Würmer Trojaner Spyware Verbreitung z.b. über (oft Spam) infizierte Webseiten (Drive-By-Download) Bot-Netze

18 Beispiel Schadsoftware: Viren Programmteile mit vom Nutzer ungewollter Wirkung Funktionsweise: Modifikation eines Wirtsprogrammes zur Erzeugung des Schadens und Vervielfältigung des Virus (z.b. durch Anhängen von Code) Verteilung: Ausführung befallener Programme, Kopien, Versenden infizierter Software verbreitete Typen: Programmviren, Makro-Viren, Boot-Viren mögliche Gegenmaßnahmen: ständige Aktualisierung von Schutzsoftware Wahl geeigneter Software, z.b. Betriebssystem Zwickauer Linux-User-Group Hilfe bei Installationen, regelmäßiger Stammtisch

19 Weitere Beispiele für Schadsoftware Würmer selbständige Programme, die sich reproduzieren und selbst verbreiten Verteilung bei Selbststart auf befallenem Gerät Trojaner Schadsoftware in sinnvollen Anwendungen verpackt öffnet Hintertür, die Spionage und Modifikation des befallenen Gerätes ermöglicht (z.b. Missbrauch zum Mitlesen von Passwörtern, Senden von Spam oder DoS-Angriffen) Spyware Programme zur Beobachtung von Benutzerverhalten (z.b. Surfverhalten, Protokollieren von Zugangsdaten, Passwörtern) Speichern oder Senden der Beobachtungen an den Hersteller Kommerzielle Software enthält oft vom Hersteller eingefügte Trojaner und Spyware (bewusst eingesetzte Sonderfunktionen, z.b. regelmäßige Kontaktaufnahme zum Hersteller)

20 Maßnahmen gegen Angriffe konsequente Anwendung aktueller Sicherheitssoftware (Sicherheitsupdates) regelmäßige Virenprüfung beim Laden, Speichern und Übertragen von Dateien vorsichtiges Online-Verhalten (vertrauenswürdige Server) Firewalls Rechtebeschränkung für Programmausführung Verwendung von Open-Source-Software (auch Betriebssysteme) Verhinderung von Trojanern durch den Hersteller: Qualitäts- und Personenkontrolle