Datenbanksysteme Informationssysteme im Controlling Informationssicherheit, 08.01.2009 Sebastian Sowa Gliederung 1. Einführung 4. Verfahren zur Verschlüsselung 5. Verfahren zur Signierung 6. Zusammenfassung Folie 2 1
Gliederung 1. Einführung 4. Verfahren zur Verschlüsselung 5. Verfahren zur Signierung 6. Zusammenfassung Folie 3 Informationssicherheit Die Informationssicherheit (engl. security) ist die Eigenschaft eines funktionssicheren Systems, nur solche Systemzustände anzunehmen, die zu keiner unautorisierten Informationsveränderung oder -gewinnung führen. (Eckert 2005, S. 4) Folie 4 2
IT-Sicherheit Hiermit wird ( ) die jederzeitige Verfügbarkeit von hard- und softwaretechnischen Komponenten und deren korrekte Ausführung von Datenverarbeitungsprozessen verstanden. ( ) IT-Sicherheit bezieht sich somit auf den gesamten Bereich der technischen Infrastruktur eines computergestützten Informationssystems, mit dem Daten automatisiert verarbeitet werden können. (Lange 2005, S. 39f.) Datensicherheit Alle Maßnahmen, die Daten vor Verlust, Verfälschung und unberechtigtem Zugriff bewahren sollen. Datensicherheit dient somit auch zur Verwirklichung des Datenschutzes. Folie 5 Schutzziele Vertraulichkeit Integrität Verfügbarkeit Grundziele Zurechenbarkeit Verbindlichkeit Folie 6 3
Datenschutz Zweck ist es zu verhindern, dass bei der Verarbeitung personenbezogener Daten schutzwürdige Belange der Bürger beeinträchtigt werden (Recht auf informationelle Selbstbestimmung). Recht auf Informationelle Selbstbestimmung Der Einzelne muss grundsätzlich selbst über die Preisgabe seiner personenbezogenen Daten entscheiden können. Aber: Kein absolutes Abwehrrecht, d.h. es kann auf der Grundlage von Gesetzen eingeschränkt werden. Folie 7 Personenbezogene Daten Stellen Einzelangaben zu persönlichen oder sachlichen Verhältnissen von natürlichen Personen dar. Im weitesten Sinn: Alle Angaben, die einer bestimmten oder bestimmbaren Person zugeordnet werden können. Folie 8 Bild: http://www.epharmexx.de/bilder/illustration/digitale-personalakte.jpg 4
Motivation (I) BigBrotherAwards Die Auszeichnungen für Datenkraken Die BigBrotherAwards Deutschland wurden ins Leben gerufen, um die öffentliche Diskussion um Privatsphäre und Datenschutz zu fördern - sie sollen missbräuchlichen Umgang mit Technik und Informationen zeigen. Folie 9 Motivation (II) 2006 Kategorie Technik Philips GmbH: Preis für die Vorgabe, dass CD-Brenner ihre eindeutige Seriennummer auf den Rohling schreiben und damit eine Rückverfolgbarkeit von Datenträgern zum Brenner ermöglichen (maßgebliche Beteiligung bei der Entwicklung des Orange-Book-Standards). 2008 Kategorie Arbeitswelt und Kommunikation Deutsche Telekom AG: Der BigBrotherAward 2008 in der Kategorie Arbeitswelt und Kommunikation erhält die Deutsche Telekom AG für die illegale Nutzung von Telefonverbindungsdaten zur Bespitzelung von Telekom-Aufsichtsräten und Journalisten. Folie 10 5
Kommunikation im Internet: Vielfältige Datensammlung / -speicherung Client ISP Internet request/ response Web Server DNS Content Provider Browser-Cache, History, Cookies, Session IDs Terminal Server (Loginname, Datum/Uhrzeit, IP) Proxy (IP-Adressumsetzung, evtl. Loginname) Webserver (IP, Loginname, Anfrage, Browserversion) Folie 11 Anonymisierung Personenbezogene Daten werden so verändert, dass Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig hohen Aufwand einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Pseudomisierung (schwächere Form der Anonymität) Bei der Pseudomisierung werden personenbezogener Daten durch eine Zuordnungsvorschrift (Verwendung von Pseudonymen) so verändert, sodass Einzelangaben über persönliche oder sachliche Verhältnisse nur über die Zuordnungsvorschrift rekonstruierbar sind. Folie 12 6
Bsp. Senderanonymität: Anonymisierungsproxy Traffic wird über einen Proxy geleitet, sodass der Empfänger nur die Daten des Proxy empfängt. Aber: Keine Anonymität auf der Strecke zum Proxy. Sender Proxy Adressat Folie 13 Bsp. Empfängeranonymität: Broadcast Der Empfänger bleibt anonym, da die Informationen von jedem Benutzer abgerufen werden kann Bsp.: Radio, Sat-TV Sender Folie 14 7
Datenkonsistenz Konsistenz: Eine Datenbank ist konsistent, wenn ihr Inhalt mit der Beschreibung übereinstimmt und die gespeicherten Daten widerspruchsfrei sind. Redundanz: Redundanz ist in einem Datenbestand genau dann vorhanden, wenn ein Teil des Bestandes ohne Informationsverlust weggelassen werden kann. Ungewollte Redundanzen werden vermieden bei sorgfältigem Aufbau und strikter Umsetzung eines ISM genauer Anwendung der Normalformenlehre Folie 15 Datenkonsistenz Beispiel Fachbereiche haben (1:n Verknüpfung) Dozenten Fachbereich (FB_Nr, FB_Name, FB_Leiter, Sem_Etat, Ges_Honorar,...) Dozent (Doz_Nr, Doz_Name, Doz_Vname, Doz_Tel_Nr, Doz_Honorar, FB_Nr,...) Konsistenzbedingungen bei der Dozenten-Neuaufnahme KB_Doz_1: Dozentennummer muß eingegeben werden KB_Doz_2: Dozentennummer muß eindeutig sein KB_Doz_3: Fachbereichsnummer FB_Nr hat Gültigkeit KB_Doz_4: Telefonnummer ist numerisch KB_Doz_5: Honorar mindestens 400,-, wenn verheiratet mind. 480,- KB_Doz_6: Semesteretat des Fachbereichs wird nicht überschritten Folie 16 8
Datenkonsistenz Klassifizierung von Konsistenzbedingungen (I) Klassifizierung nach dem Objektmengenumfang Welche Objekte sind bei der Konsistenzprüfung zu beachten? a) Vergleich der eingegebenen Werte mit dem Bildungsgesetz einer Merkmalsklasse (KB_Doz_1 und KB_Doz_4) b) Vergleich der eingegebenen Werte mit dem Bildungsgesetzen mehrerer Merkmalsklassen (KB_Doz_5) c) Logischer Vergleich der eingegebenen Werte mit mehreren Informationsobjekten / Datensätzen (KB_Doz_2) d) Einbeziehung von Merkmalswerten anderer Informationsobjektklassen/ Relationen (KB_Doz_3 und KB_Doz_6) Folie 17 Datenkonsistenz Klassifizierung von Konsistenzbedingungen (II) Klassifizierung nach Zeitpunkt der Konsistenzprüfung Wann muss der Datenbestand wieder konsistent sein? a) Primäre Konsistenzbedingungen: Nach jeder elementaren Operation (lesen, schreiben) ist der Datenbestand wieder konsistent b) Sekundäre Konsistenzbedingungen: (Quasizeitgleiche) Änderungen bei mehreren Datenobjekten bedingen temporäre Inkonsistenz (KB_Doz_6) Folie 18 9
Datenkonsistenz Klassifizierung von Konsistenzbedingungen (III) Klassifizierung nach Zeitpunkt der Reaktionsform Wann muss der Datenbestand wieder konsistent sein? a) stark - Weiterverarbeitung nur nach Korrektur b) schwach - Weiterarbeit wird zugelassen Folie 19 Datenkonsistenz Realisierung von Konsistenzbedingungen (I) Realisierung durch Anwenderprogramme Anwenderprogramm Prüfung DBMS Datenbasis Folie 20 10
Datenkonsistenz Realisierung von Konsistenzbedingungen (II) Realisierung durch das Datenbanksystem Anwenderprogramm DBMS Prüfung DD Datenbasis Folie 21 Transaktionskonzept Transaktion: Folge von Operationen, die eine Datenbank ununterbrechbar von einem konsistenten Zustand in einen erneut konsistenten Zustand überführt. Attributswertänderungen in unterschiedlichen Relationen können logische Einheiten darstellen. Folie 22 11
Transaktionskonzept Forderungen an die Transaktionsverwaltung (I) Atomizität: Jede Transaktion gilt als atomare Einheit. Somit sind Transaktionen vollständig oder gar nicht auszuführen. Konsistenz: Jede Transaktion erzeugt einen konsistenten Zustand. Folie 23 Transaktionskonzept Forderungen an die Transaktionsverwaltung (II) Isolation: Die von einer Transaktion benötigten Datenobjekte sind vor konsistenzgefährdender Nutzung durch andere Transaktionen geschützt. Dauerhaftigkeit: Ergebnisse einer Transaktion bleiben auch bei einem Systemausfall erhalten. Folie 24 12
Transaktionskonzept Mehrbenutzerbetrieb (I) Unkritische Fälle Transaktionen lassen sich seriell abwickeln. Transaktionen betreffen ungleiche Datenbereiche. Transaktionen sind ausschließlich Leseoperationen. Kritische Fälle Mehrere Benutzer arbeiten gleichzeitig an einer Datenbasis, wobei mindestens ein Benutzer auch Daten verändern will. Gegenseitige Blockierung unterschiedlicher Prozesse -> Systemverklemmung (Deadlock) Folie 25 Transaktionskonzept Mehrbenutzerbetrieb (II) Arbeitsplatz 1 Lese aktuelle Teilnehmeranzahl und die Teilnehmerobergrenze für Kurs 4711 Wenn aktuelle Teilnehmeranzahl < Teilnehmerobergrenze Teilnehmeranzahl = Teilnehmeranzahl +1 Ersetze alte Teilnehmeranzahl durch neue Teilnehmeranzahl Zeit Arbeitsplatz 2 Lese aktuelle Teilnehmeranzahl und die Teilnehmerobergrenze für Kurs 4711 Wenn aktuelle Teilnehmeranzahl < Teilnehmerobergrenze Teilnehmeranzahl = Teilnehmeranzahl +1 Ersetze alte Teilnehmeranzahl durch neue Teilnehmeranzahl Folie 26 13
Transaktionskonzept Mehrbenutzerbetrieb (III) Lösung des Problems -> Sperrmechanismen (Locks): Mit dem Lesen der aktuellen Teilnehmeranzahl wird dieser Attributwert gegen alle Versuche anderer Transaktionen geschützt, ihn zu lesen oder zu ändern, bis der der neue Wert für die aktuelle Teilnehmeranzahl gespeichert ist. Folie 27 Transaktionskonzept Mehrbenutzerbetrieb (IV) Arten von Sperrmechanismen: Schreib- und Lesesperre Schreibsperre (Bsp.: Veränderung eines Attributwertes, etwa Doz_Tel) Klassifizierung nach Umfang der betroffenen Daten: Von der ganzen Datenbank...... bis zu einzelnen Attributwerten Normalfälle: Sperre einer Relation bzw. Datei (File Locking) Sperre eines Datensatzes (Record Locking) Folie 28 14
Transaktionskonzept Deadlocks bei parallelen Transaktionen Transaktion 1 Transaktion 2 Erfolgreiche Anforderung einer S-Sperre für Datenobjekt A Erfolgreiche Anforderung einer SL-Sperre für Datenobjekt B Erfolglose Anforderung einer S-Sperre für Datenobjekt B Erfolglose Anforderung einer SL-Sperre für Datenobjekt A Verfahren zur Auflösung von Deadlocks Graphenverfahren (Auflösung von Zyklen) Zeitlimit-Verfahren, Time Out (Am längsten bearbeitete Transaktion wird abgebrochen) Folie 29 Transaktionskonzept Wiederanlaufmechanismen Transaktionsprinzip: Jede nicht abgeschlossene Transaktion muss wirkungslos bleiben (Rücksetzung= Undo ) Recovery: Konzepte und Verfahren zur Sicherung des Wiederanlaufs von DB-Systemen Transaktion T1 Transaktion T2 Transaktion T3 Rücksetzungs-Zustand Systemzusammenbruch (z.b. Hardwarefehler) Zeit Folie 30 15
Gliederung 1. Einführung 4. Verfahren zur Verschlüsselung 5. Verfahren zur Signierung 6. Zusammenfassung Folie 31 Passiver Angriff Ein passiver Angriff zeichnet sich durch unautorisiertes (Mit-) Lesen von Daten/Informationen aus (Beispiel: Abhören von Datenleitungen in Netzwerken). Aktiver Angriff Ein aktiver Angriff zeichnet sich durch unautorisiertes Manipulieren von Daten aus (Bsp. Verändern von Dateninhalten in Netzwerken). Folie 32 16
DoS-Attacke Denial-of-Service-Attacke: Erzeugen einer Überlast. Ziele: Wirtschaftliche Schäden (insb. im Bereich E-Commerce) Ausschalten von Dienste zur Ermöglichung weitere Angriffe Beispiele: TCP SYN Flooding Smurf-Attacken Distributed DoS Folie 33 Distributed DoS (DDoS) Hierarchisches Angriffsszenario: Angreifer steuert Master, Master instruieren die Daemonen. Eine Rückverfolgung ist schwierig, da der Angreifer die Master extern mit gespooften Befehlen steuert. Ereignisse: Ausfall Yahoo, ebay, Amazon, CNN für mehrere Stunden (Februar 2000) führte zu Umsatzeinbußen von 1,2 Mrd. USD, Gewinneinbußen 100 Mill. USD (Schätzung von Yankee Group). Folie 34 17
Angreifertypen Hacker Cracker Skript Kiddie Wirtschaftsspionage Mitarbeiter Folie 35 Hacker I.d.R. technisch sehr versiert Ziel: Aufdecken von Schwachstellen eines IT- Systems und Entwicklung von Angriffen zur Penetration der IT-Systeme unter Ausnutzung der identifizierten Schwachstellen I.d.R. nicht an persönlicher, materieller Bereicherung oder Schädigung des Angriffsziels interessiert Folie 36 18
Cracker Im Gegensatz zu Hackern primär an persönlicher Bereicherung seiner selbst bzw. seiner Auftraggeber interessiert Skript Kiddie Primär neugiergetrieben, meist nicht auf finanziellen Profiten und/oder Schädigungen Dritter ausgerichtet, Nutzung von frei verfügbaren Tools Wirtschaftsspionage Angriffe auf Datenleitungen und ISDN-Verbindungen zum Zwecke der Wirtschaftsspionage oder durch Geheimdienste Mitarbeiter Mangelnde Kenntnis (Systemumgebung und Sicherheitsmechanismen), Nachlässigkeit im Umgang mit System und Informationen, mangelhaftes Problembewusstsein bei Mitarbeitern, aber auch beim Management Folie 37 Gliederung 1. Einführung 4. Verfahren zur Verschlüsselung 5. Verfahren zur Signierung 6. Zusammenfassung Folie 38 19
4. Verfahren zur Verschlüsselung Motivation (I) Wirtschafts- und Konkurrenzspionage: Bsp. Airfrance (bis 1994) Folie 39 Wirtschaftsspionage: Was macht eigentlich die Konkurrenz?. von Arno Schütze, 1/98 4. Verfahren zur Verschlüsselung Motivation (II) Wirtschafts- und Konkurrenzspionage: Bsp. NSA/Airbus (1994) Folie 40 20
4. Verfahren zur Verschlüsselung Symmetrische Verfahren Ver- und Entschlüsseln mit dem selben Schlüssel Vorraussetzung: Kommunikationspartner kennen den Schlüssel Klartext P Geheimtext C Geheimtext C Klartext P verschlüsseln entschlüsseln Schlüssel K ALICE BOB Folie 41 4. Verfahren zur Verschlüsselung Asymmetrische Verfahren Ver- und Entschlüsseln mit zwei von einander abhängigen Schlüsseln (öffentlicher und geheimer Schlüssel) Klartext P Geheimtext C Geheimtext C Klartext P verschlüsseln entschlüsseln Bobs öffentlicher Schlüssel K Bob,pub Verzeichnisdienst Bobs privater Schlüssel K Bob, prv ALICE BOB Folie 42 21
Gliederung 1. Einführung 4. Verfahren zur Verschlüsselung 5. Verfahren zur Signierung 6. Zusammenfassung Folie 43 5. Verfahren zur Signierung Grundprinzip Digitale Signaturen Dokument Dokument Dokument Dokument Signaturalgorithmus Verifikationsalgor. Prüfergebnis private key von Alice Signatur Signatur public key von Alice Signatur Verzeichnisdienst ALICE Unterzeichner BOB Folie 44 22
Gliederung 1. Einführung 4. Verfahren zur Verschlüsselung 5. Verfahren zur Signierung 6. Zusammenfassung Folie 45 Vielen Dank für die Aufmerksamkeit Sebastian Sowa Institut für Sicherheit im E-Business Raum GC 3/29 D-44780 Bochum Tel.: +49 (0)234-32-25325 Fax: +49 (0)234-32-14350 E-Mail: sebastian.sowa@rub.de http://www.ruhr-uni-bochum.de/iseb Folie 46 23