IT-Sicherheit Einführung

Transkript

1 Karl Martin Kern IT-Sicherheit Einführung (

2 Über mich... Dipl.-Inform. (FH) Karl Martin Kern Studium der technischen Informatik an der HTWG (damals Fachhochschule) Konstanz bis 2002 mit Abschluß als Diplom-Informatiker (Fachhochschule). Seitdem in Konstanz als Softwareentwickler und -architekt tätig. Seit 2006 bei der Seitenbau GmbH zunächst als Entwickler. Seit etwa 8 Jahren Projektleiter, Softwarearchitekt und Consultant vor allem im Bereich Identity Management Seit Februar 2015 Teamleiter IT-Service und Support

3 SEITENBAU GmbH Diese Vorlesung wird Ihnen präsentiert von der Seitenbau GmbH. ;-)

4 Kooperation mit der HTWG Intensive, wachsende Kooperation zwischen HTWG und SEITENBAU Betreuung von Praktika und Abschlußarbeiten Gemeinsame Forschungsprojekte Übernahme von Lehraufträgen

5 Zurück zur Vorlesung: Organisatorisches Vorlesung: Freitags 9:45 13:00h, Raum F109 Slides und weitere Unterlagen auf meiner Website: RSS-Feed für kurzfristige Ankündigungen Link auf der News-Site auf der obigen Website

6 Organisatorisches Prüfungen: Klausur 90-minütige schriftliche Prüfung Keine Hilfsmittel zugelassen Schein Bestehen eines Testats (30-minütiger schriftlicher Test) genaue Termine werden noch bekanntgegeben Pro Testat 50% der Punkte zum Bestehen erforderlich

7 Organisatorisches Credit Points (ECTS) & Aufwand: Für die Vorlesung werden 6 ECTS angerechnet wöchentlicher Arbeitsaufwand: ca. 9 Stunden Vorlesung: 3 Stunden pro Woche Selbstlernanteil: 6 Stunden pro Woche, aufgeteilt auf Vorlesungsvorbereitung Vorlesungsnachbereitung eigenes Üben

8 Literatur und Links Eckert, Claudia: "IT-Sicherheit: Konzepte - Verfahren - Protokolle". Oldenbourg-Verlag, 7. Auflage 2011, ISBN Schneier, Bruce: "Angewandte Kryptographie - Der Klassiker. Protokolle, Algorithmen und Sourcecode in C", Addison-Wesley Verlag, 1. Auflage 2005, ISBN Website des Bundesamts für Sicherheit in der Informationstechnik: Stephenson, Neal: "Cryptonomicon", z.b. im englischen Original vom Avon-Verlag, ISBN A webcomic of romance, sarcasm, math, and language.

9 Informations- und IT-Sicherheit Was ist das?

10 Inhaltsüberblick Einführung: Informations- und IT-Sicherheit Überblick Informationssicherheitsmanagement (uff...) Begriffsdefinitionen Bereiche der IT-Sicherheit

11 Inhaltsüberblick Kryptologie als elementare Grundlage kurzer Abriß der Geschichte historische kryptographische Verfahren und Grundprinzipien kryptographische Grundprinzipien einfache kryptanalytische Verfahren, Angriffsmethoden weitergehende kryptographische Techniken kurze Einführung in Java-Kryptographie (JCE)

12 Inhaltsüberblick Gefährdungsszenarien Grundprinzipien Angriffsmethoden

13 Inhaltsüberblick Netzwerksicherheit Netzwerkstrukturen Private Netzwerke Paketfilter und Firewalls

14 Inhaltsüberblick Anwendungssicherheit Identity Management Autorisierungsszenarien Authentisierung und Autorisierung in der Cloud

15 Inhaltsüberblick Sicherheit bei der Softwareentwicklung (Security Engineering)

16 Informationssicherheit Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und -lagernden Systemen, die die Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von Schäden und der Minimierung von Risiken. Die Informationssicherheit umfasst neben der Sicherheit der IT-Systeme und der darin gespeicherten Daten auch die Sicherheit von nicht elektronisch verarbeiteten Informationen. (

17 IT-Sicherheit IT-Sicherheit hat die Aufgabe, Unternehmen und deren Werte (Know-How, Kundendaten, Personaldaten) zu schützen und wirtschaftliche Schäden, die durch Vertraulichkeitsverletzungen, Manipulationen oder auch Störungen der Verfügbarkeit von Diensten des Unternehmens entstehen können, zu verhindern. Da eine vollständige Vermeidung oder Verhinderung von Angriffen in der Praxis nicht möglich ist, umfasst das Gebiet der IT-Sicherheit insbesondere auch Maßnahmen und Konzepte, um das Ausmaß potentieller Schäden, die durch Sicherheitsvorfälle entstehen können, zu reduzieren (Claudia Eckert, IT-Sicherheit )

18 Informations- vs. IT-Sicherheit IT-Sicherheit ist nur ein Teil von Informationssicherheit Diese Lehrveranstaltung betrachtet hauptsächlich den Bereich IT-Sicherheit Trotzdem erst mal ein kurzer Überblick über Informationssicherheit insgesamt

19 Informationssicherheitsmanagement Viele Faktoren zu koordinieren Managementsystem erforderlich Verschiedene Normen / Standards: ISO2700x IT-Grundschutz (Aus BSI-Standard 100-1)

20 Managementprinzipien Übernahme der Gesamtverantwortung Integration in alle Prozesse und Projekte Initiieren, Steuern und Überwachen des Sicherheitsprozesses Festlegen der Strategie und der Sicherheitszielen Analyse der Sicherheitsrisiken Schaffung der organisatorischen Rahmenbedingungen Bereitstellung der notwendigen Ressourcen Motivation der Mitarbeiter Kosten-Nutzen-Abwägung

21 Sicherheitsstrategie (Aus BSI-Standard 100-1)

22 Umsetzung der Sicherheitsstrategie (Aus BSI-Standard 100-1)

23 Sicherheit als Prozess Alle Faktoren ändern sich mit der Zeit Geänderte Infrastrukturen und Systeme Geänderter Schutzbedarf Neue Risiken und Bedrohungen (Aus BSI-Standard 100-1)

24 Werkzeuge zu Planung und Umsetzung Verschiedene Werkzeuge für verschiedene Anforderungen Vorgefertigte Analysen und Maßnahmenkataloge für Standardsituationen Auch als Basis für weitergehende Analysen bei höherem Schutzbedarf z. B. IT-Grundschutzkataloge des BSI

25 Grundbegriffe (nach Eckert, IT-Sicherheit ) IT-System Ein dynamisches technisches System mit der Fähigkeit zur Speicherung und Verarbeitung von Informationen Kann geschlossen (beschränkter Benutzerkreis, ohne Kommunikation mit anderen Systemen) oder offen (mit anderen Systemen vernetzt, meist unter Nutzung von Standards) Bestandteil übergreifender sozialer Systeme (Unternehmen etc.), sehr unterschiedliche Benutzerkreise und Zwecke Sicherheitsbetrachtung muss über technische Ebene hinausgreifen.

26 Grundbegriffe (nach Eckert, IT-Sicherheit ) Datenobjekte Information ist zunächst ein abstraktes Konzept Repräsentation in Form von Datenobjekten Passive Datenobjekte (Datei, Datenbankeintrag) Aktive Datenobjekte (Prozess) Sind über wohldefinierte Schnittstellen von anderen Objekten des Systems oder der Umwelt des Systems (Benutzer, vernetzte Systeme) nutzbar. Benutzer eines Systems oder Objekte, die im Auftrag eines Nutzers aktiv sind, nennt man Subjekte.

27 Grundbegriffe (nach Eckert, IT-Sicherheit ) Informationskanäle Informationsaustausch zwischen Subjekten Aufteilung in Speicherkanäle gemeinsam genutzte Objekte Legitime Kanäle Zum Informationstransfer vorgesehene Kanäle Verdeckte Kanäle Nicht zum Informationstransfer vorgesehen, aber dafür nutzbar

28 Grundbegriffe (nach Eckert, IT-Sicherheit ) Sicherheit Funktionssicherheit (safety): tatsächliches Verhalten entspricht Soll-Verhalten, System funktioniert unter allen (normalen) Betriebsbedingungen Informationssicherheit (security): System erlaubt keine unautorisierte Informationsveränderung oder -gewinnung Datensicherheit (protection): System erlaubt keinen unautorisierten Zugriff auf Daten und Systemresourcen (auch Schutz vor Datenverlusten, Backup) Datenschutz (privacy): Kontrolle der Weitergabe von personenbezogenen Informationen

29 Was bedeutet IT-Sicherheit? Verschiedene Schutzziele Verschiedene Schutzebenen Verschiedene Schutzbedarfsstufen Risikoanalyse und Bewertung Sicherheitskonzept Sicherheit als Prozeß

30 Schutzziele: Datenintegrität Schutz vor unautorisierter und unbemerkter Veränderung der Daten Festlegung und Überprüfung von Berechtigungen (Authentisierung /Autorisierung) Manipulationserkennung (z. B. über kryptographische Verfahren)

31 Schutzziele: Vertraulichkeit Schutz vor unautorisiertem Zugriff auf Informationen Zugriffskontrolle (Authentisierung / Autorisierung) Kontrolle von Informationsflüssen Nicht nur auf technischer Ebene

32 Schutzziele: Verbindlichkeit Unabstreitbare Zuordnungsmöglichkeit einer Aktion zu einem Subjekt Rechtsverbindlichkeit Abrechenbarkeit Protokollierung Digitale Signaturen

33 Schutzziele: Verfügbarkeit Schutz vor Beeinträchtigung der Nutzung durch authentisierte und autorisierte Subjekte Beschränkungen (Quota) bei Nutzung von Ressourcen Redundante Auslegung von Systemen

34 Verfügbarkeit (

35 Schutzebenen Aus BSI: Überblick IT-Grundschutz

36 Schutzbedarfsstufen Hundertprozentigen Schutz gibt es nicht Schutzbedarf hängt vom potentiellen Schaden ab. Abwägung zwischen Schadenspotential und Schutzaufwand