Grundlagen der Informationssicherheit

Ähnliche Dokumente
Informationssicherheit

Verfügbarkeit (Schutz vor Verlust) Vertraulichkeit (Schutz vor unbefugtem Lesen) Authentizität (Schutz vor Veränderung, Fälschung)

Grundlagen der Informationssicherheit

Verfügbarkeit (Schutz vor Verlust) Vertraulichkeit (Schutz vor unbefugtem Lesen) Authentizität (Schutz vor Veränderung, Fälschung)

Schutz von Informationen bei Übertragung über unsichere Kanäle Beispiele für zu schützende Informationen

Netzwerktechnologien 3 VO

Kryptographie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik

Modulprüfung (Grundlagen der Informationsverarbeitung und -sicherheit) am um 14:00 15:30 Uhr im HS 1 (Tivoli) Viel Erfolg!

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann

Karlsruher IT-Sicherheitsinitiative April "For your eyes only" Sichere in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo.

Definitionen Schwachstellen und Bedrohungen von IT-Systemen Sicherheitsmanagement Katastrophenmanagement Trends und Entwicklungen bei IT-Bedrohungen

Sicher(lich) ebanking

Gerd Armbruster

Sicherheitsaspekte unter Windows 2000

Grundlagen. Murat Zabun. Seminar. Sicherheit im Internet. Universität Dortmund WS 02/03

Cyber Telekom Thomas Tschersich, SVP Group Cyber- and Datasecurity

Wiederholung Symmetrische Verschlüsselung klassische Verfahren: Substitutionschiffren Transpositionschiffren Vigenère-Chiffre One-Time-Pad moderne

Internet: Was ist das? - Routing

Daten-schützen.ppt, Andreas Schneider, , Page 1 of 27

Sicherheit. Bedeutung Gefahren. Mag. Friedrich Wannerer 1

Stammtisch Zertifikate

KRYPTOSYSTEME & RSA IM SPEZIELLEN

Sucuri Websiteschutz von

IT-Sicherheit: Kryptographie. Asymmetrische Kryptographie

Verbreitete Angriffe

Kryptographie praktisch erlebt

Sicheres Banking im Internet. Kundenveranstaltung Mittwoch

Sicherheit Wie sicher sind Schulnetzwerke? Was Lehrer und Schüler (oft) nicht wissen

Grundbegriffe der Kryptographie II Technisches Seminar SS 2012 Deniz Bilen

Datensicherheit durch Kryptographie

IT-Sicherheit in Werbung und. von Bartosz Komander

Gefahren des Internets Wie sicher sind meine Daten?

ELIT2012: Security. Security: Potentielle Gefahren und Gegenmaßnahmen

SEP Antrittsvortrag. Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP (T)TLS. Michael Bothmann

SICHERHEIT IM NETZWERK

IT Sicherheit: Lassen Sie sich nicht verunsichern

Modulprüfung (Grundlagen der Informationsverarbeitung und -sicherheit) am um 14:00 15:30 Uhr im HS 1 (Tivoli) Viel Erfolg!

12 Kryptologie. ... immer wichtiger. Militär (Geheimhaltung) Telebanking, Elektronisches Geld E-Commerce

IT-Sicherheit. Rüdiger Reischuk. Institut für Theoretische Informatik Universität zu Lübeck. IHK Innovationstour Forschung erforschen Oktober 2013

Grundlagen der Kryptographie

Sichere PCs und Laptops

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel

CYBER TELEKOM DR. MARKUS SCHMALL

Verschlüsselung und Signatur

Entwicklung der Asymmetrischen Kryptographie und deren Einsatz

WINDOWS 7. Druckerkonfiguration - Systemsteuerung - Sicherheit

ProSecure Sales Training 3/6. Beispiele für Attacken

Kryptographie Reine Mathematik in den Geheimdiensten

Vorlesung SS 2001: Sicherheit in offenen Netzen

Das Kerberos-Protokoll

Informatik für Ökonomen II HS 09

Security Datenschutz

Wiederholung: Informationssicherheit Ziele

DEUTSCHER PRÄVENTIONSTAG

ecambria experts Die Grenzen technischer Schutzmöglichkeiten Dr. Oliver Stiemerling* Diplom-Informatiker

Einführung in PGP/GPG Mailverschlüsselung

Eine Praxis-orientierte Einführung in die Kryptographie

Kryptographie eine erste Ubersicht

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Malware - Viren, Würmer und Trojaner

Konzepte von Betriebssystemkomponenten: Schwerpunkt Sicherheit. Asymmetrische Verschlüsselung, Digitale Signatur

Aktuelle Bedrohungsszenarien für mobile Endgeräte

Public-Key-Infrastrukturen

Facharbeit. Public-Key-Verfahren(PGP) Stephan Larws Informatik 02

Kryptologie. 2. Sicherstellung, dass eine Nachricht unverfälscht beim Empfänger ankommt: Integrität.

Botnetze und DDOS Attacken

Voll homomorpe Verschlüsselung

Einführung in die Informationstechnik. VII Handyviren Anonym im Netz surfen

Praktikum IT-Sicherheit

IT-Sicherheit - Sicherheit vernetzter Systeme -

Sicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013

Vortrag zum Thema: Industrie 4.0 Spannungsfeld zwischen Dateninformation und Sicherheit

Datensicherheit. Vorlesung 5: Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

1 GRUNDBEGRIFFE ZU SICHERHEIT Datenbedrohung... 7

Viren, Würmer, Trojaner

Computersicherheit & Passwörter

MEINE JOOMLA WEBSEITE WURDE GEHACKT WAS KANN ICH TUN? ) WEBSEITE VOM NETZ NEHMEN...2 2) EINBRUCH UNTERSUCHEN UND SICHERHEITSLÜCKE FINDEN...

Verteilte Systeme. Übung 10. Jens Müller-Iden

IT-Sicherheit Kapitel 3 Public Key Kryptographie

PGP. Warum es gut ist. Sascha Hesseler [Datum]

Name: Matr.-Nr.: Seite: Geben Sie drei Klassifizierungsmerkmale aus dem Kurstext für den Begriff

Stephan Groth (Bereichsleiter IT-Security) CIO Solutions. Zentrale -Verschlüsselung und Signatur

Kryptographie. nur mit. Freier Software!

SICHERE DATENHALTUNG IN DER CLOUD VIA HANDY. Tuba Yapinti Abschlussvortrag der Bachelorarbeit Betreuer: Prof. Reinhardt, Dr.

-Verschlüsselung viel einfacher als Sie denken!

IT-Sicherheit. Referent: Michael Harenberg (IT-Sicherheitsbeauftragter, VR-Bank eg) Folie 1. Quelle: FIDUCIA IT AG

Vortrag am in Hannover (DVG) Arbeitskreis Informationstechnologie IHK Uni Hildesheim Prof. Dr. E. Schwarzer IT-Sicherheit 1

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Sichere . s versenden aber sicher! Kundenleitfaden Kurzversion. Sparkasse Leverkusen

Gefahren und Lästiges aus dem Internet

Sichere Kommunikation Angriffe auf Smartphones & Laptops. Volker Schnapp Fink Secure Communication GmbH

10. Kryptographie. Was ist Kryptographie?

Übungen zu. Grundlagen der Kryptologie SS Hochschule Konstanz. Dr.-Ing. Harald Vater. Giesecke & Devrient GmbH Prinzregentenstraße 159

Diffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am

ProSecure Sales Training 4/6. Vielseitige Verteidigung des SMB

Erste Vorlesung Kryptographie

PKI (public key infrastructure)

11. Das RSA Verfahren und andere Verfahren

Aufgabe 3 Storm-Worm

Grundfach Informatik in der Sek II

Transkript:

Grundlagen der Informationssicherheit Sibylle Schwarz Westsächsische Hochschule Zwickau Dr. Friedrichs-Ring 2a, RII 263 http://wwwstud.fh-zwickau.de/~sibsc/ sibylle.schwarz@fh-zwickau.de SS 2013 1

Informationssicherheit Informatik Lehre von der Darstellung und Verarbeitung von Information durch Algorithmen Information (neue) Auskunft über ein Ereignis, einen Tatbestand oder einen Sachverhalt, Beseitigung von Ungewissheit Informationssicherheit sorgt für Schutz von Informationen bei Speicherung und Übertragung vor Mithören, Spionage Modifikation, Fälschung Verlust oder Einschränkung der Zugriffsmöglichkeit 2

Organisation der Lehrveranstaltung Informationssicherheit Modul Algorithmen und Datenstrukturen besteht aus zwei Teilen (dieses Jahr nacheinander) Grundlagen der Informationssicherheit Algorithmen und Datenstrukturen Lehrveranstaltungen Informationssicherheit: Vorlesungen: Montag 9:35-12:50 Uhr (15 min Pause) Donnerstag Z1 15:20-16:50 Uhr einige davon als (Hörsaal-)Übung Selbststudium (Vor/Nachbereitung, Prüfungsvorbereitung) Hausaufgaben zur Unterstützung des Selbststudiums und Prüfungsvorbereitung Informationssicherheit: Übungsserien gemeinsame Prüfung (120 min Klausur) im Sommer 2013 3

Literatur Folien zur Vorlesung (nach der Vorlesung) unter http://wwwstud.fh-zwickau.de/~sibsc/ lehre/ss13/insi/ BSI Veröffentlichungen des Bundesamtes für Sicherheit in der Informationstechnik https://www.bsi.bund.de/ Bücher Wolfgang Ertel: Angewandte Kryptographie. Hanser 2007 Johannes Buchmann: Einführung in die Kryptographie. Springer 2004 Klaus Schmeh: Kryptographie. dpunkt 2009 aktuelle Meldungen zur Informationssicherheit, z.b. unter http://www.heise.de/security/ http://www.buerger-cert.de/ 4

Grundfragen Wann ist Information sicher? verfügbar, authentisch, vertraulich Wo ist Information gefährdet? Übertragung, Speichern, Zugriff Wie kann man Informationen schützen? z.b. kryptographische Verfahren 5

Inhalt der Lehrveranstaltung Sicherheit von Information Arten von Bedrohungen, Schwachstellen Gegenmaßnahmen Kryptographische Verfahren (Mathematische) Grundlagen Private-Key-Verfahren klassische Verfahren: Verschiebungs-, Transpositions-, Vigenère-Chiffre moderne Verfahren: DES, 3DES, AES Public Key-Verfahren Diffie-Hellman (Schlüsselerzeugung) ElGamal RSA Kryptographische Hashfunktionen Digitale Signaturen Authentifizierung Sicherheits-Infrastrukturen 6

Schadensfälle Beispiele für Schadensfälle aus dem BSI-Leitfaden Informationssicherheit https://www.bsi.bund.de/cln_174/de/ Themen/ITGrundschutz/ LeitfadenInformationssicherheit/ leitfaden_node.html Hausaufgabe Lesen Sie den BSI-Leitfaden Informationssicherheit. 7

Informationssicherheit Ziele: Vertraulichkeit (Schutz vor Mithören, Spionage) Integrität (Schutz vor Modifikation, Fälschung) Verfügbarkeit (Schutz vor Verlust oder Einschränkung der Zugriffsmöglichkeit) der Information bei Speicherung und Übertragung Authentisierung Identitätsprüfung beim Anmelden in einem IT-System Autorisierung Überprüfung von Berechtigungen zum Ausführen bestimmter Aktionen von Personen oder Software beim Zugriff auf Informationen 8

Verantwortung des Informatikers betreute IT-Infrastruktur (z.b. Geräte, Firmennetz) Kommunikation mit Dienstleistern, Kunden und Partnern (z.b. Homepage, E-Mail, elektronische Zahlung) dienstliche und private Rechentechnik Aufgaben: Einschätzung der aktuellen Situation einschließlich Schwachstellen ständige Überwachung und Aktualisierung des Sicherheitssystemes Bemerken von Angriffen (z.b. Schadsoftware) Kenntnis und Anwendung möglicher Gegenmaßnahmen 9

Verfügbarkeit möglicher Schaden: Verlust wichtiger Daten oder Software (z.b. Patientendaten, Spezialsoftware) Aufwand zur Wiederbeschaffung (finanziell, Arbeitszeit) Vertrauensverlust bei Kunden und Partnern (z.b. bei Web-Auftritten) Maßnahmen zur Sicherung der Verfügbarkeit: Dokumentation aller Verantwortlichkeiten, Verfahrenswege, Systemanpassungen sichere Aufbewahrung wichtiger Zugangsdaten regelmäßige Sicherungskopien (Backups) regelmäßige Kontrolle des Backup-Systems geeignete Aufbewahrung der Sicherungskopien (verschlosssen, räumlich entfernt) 10

Bedrohungen Eve Spionage Alice Information Übertragungskanal Speichermedium Information Bob Änderung Mallory Potentielle Angreifer, z.b. Hacker Geheimdienste Geschäftspartner, Konkurrenten Dienstleister Mitarbeiter (auch ehemalige) 11

Beispiele technischer Angriffe Schadsoftware Programme mit einer vom Programmierer beabsichtigten schädlichen Wirkung Sicherheitslücken in Software (z.b. Betriebssystem, Webbrowser, Büroprogramme) Spam überflüssige E-Mail (z.b. Werbung, Kettenbriefe, Hoax, oft Verbreitung von Schadsoftware) DoS-Angriffe (Denial of Service) Überlastung von Servern, die einen Service anbieten Störung der Verfügbarkeit DNS-Angriff (Domain Name Service) Fälschung von Verweisinformationen auf Routern 12

Nutzung menschlicher Schwächen Phishing Motivation zur Angabe persönlicher Informationen (Zugangsberechtigungen, Passwort, Kontodaten, Geheimzahl, Dokumentdaten) häufiges Ziel: Identitätsdiebstahl für z.b. E-Commerce Social Engineering Einsatz psychologischer Methoden (stark unterstützt durch Social Networks) Überlastung von Sicherheitsverantwortlichen 13

Schadsoftware oft Kombination verschiedener Komponenten, z.b Viren Würmer Trojaner Spyware Verbreitung z.b. über E-Mail (oft Spam) infizierte Webseiten (Drive-By-Download) Bot-Netze 14

Beispiel Schadsoftware: Viren Programmteile mit vom Nutzer ungewollter Wirkung Funktionsweise: Modifikation eines Wirtsprogrammes zur Erzeugung des Schadens und Vervielfältigung des Virus (z.b. durch Anhängen von Code) Verteilung: Ausführung befallener Programme, Kopien, Versenden infizierter Software verbreitete Typen: Programmviren, Makro-Viren, Boot-Viren mögliche Gegenmaßnahmen: ständige Aktualisierung von Schutzsoftware Wahl geeigneter Software, z.b. Betriebssystem 15

Weitere Beispiele für Schadsoftware Würmer selbständige Programme, die sich reproduzieren und selbst verbreiten Verteilung bei Selbststart auf befallenem Gerät Trojaner Schadsoftware in sinnvollen Anwendungen verpackt öffnet Hintertür, die Spionage und Modifikation des befallenen Gerätes ermöglicht (z.b. Missbrauch zum Mitlesen von Passwörtern, Senden von Spam oder DoS-Angriffen) Spyware Programme zur Beobachtung von Benutzerverhalten (z.b. Surfverhalten, Protokollieren von Zugangsdaten, Passwörtern) Speichern oder Senden der Beobachtungen an den Hersteller Kommerzielle Software enthält oft vom Hersteller eingefügte Trojaner und Spyware (bewusst eingesetzte Sonderfunktionen, z.b. regelmäßige Kontaktaufnahme zum Hersteller) 16

Maßnahmen gegen Angriffe konsequente Anwendung aktueller Sicherheitssoftware (Sicherheitsupdates) regelmäßige Virenprüfung beim Laden, Speichern und Übertragen von Dateien vorsichtiges Online-Verhalten (vertrauenswürdige Server) Firewalls Rechtebeschränkung für Programmausführung Verwendung von Open-Source-Software (auch Betriebssysteme) Verhinderung von Trojanern durch den Hersteller: Qualitäts- und Personenkontrolle 17

Motivation Schutz von Informationen beim Übertragen über unsichere Kanäle Eve Spionage Nachricht m Nachricht m Alice Übertragungskanal Bob Beispiele für zu schützende Informationen: Geheimzahlen (Geldkarten, Mobiltelefon) Zugriffsdaten (Login-Daten, Passwörter) persönliche Daten (juristisch, medizinisch) Geheiminformationen in Wirtschaft, Militär Übertragung über unsichere Kanäle Internet, Intranet, WLAN Telefon Speichermedien Schutz vor Abhören Veränderung, Fälschung 18

Ziele Garantie von Authentizität (Beweis der Identität des Senders) Integrität (Schutz von Veränderung während der Übermittlung) Verbindlichkeit (Empfänger kann beweisen, dass die Nachricht gesendet wurde) Geheimhaltung (Lesen der Information durch Unbeteiligte unmöglich) der übertragenen Informationen 19

Nachrichtenaustausch über abhörbare Kanäle Sender (Alice) und Empfänger (Bob) vereinbaren 1. ein Verschlüsselungsverfahren 2. geheime Schlüssel k A, k B zur Verschlüsselung der Nachricht m von A an B Eve Alice (k A, m) c c Übertragungskanal (unsicher) c (k B, c) m Bob Verfahren: 1. A verschlüsselt die Nachricht m mit ihrem Schlüssel k A 2. A sendet verschlüsselte Nachricht c an B 3. B entschlüsselt die verschlüsselte Nachricht mit seinem Schlüssel k B (Wiederherstellung der ursprünglichen Nachricht) Ziel: Spion (Eve) kann verschlüsselte Nachricht zwar abhören, aber nicht (bzw. nur sehr schwierig) entschlüsseln. 20

Beispiel: Verschiebechiffren Caesar-Code a b c d e f g h i j k l m n o p q r s t u v w x y z D E F G H I J K L M N O P Q R S T U V W X Y Z A B C 1. Verfahren: Verschlüsselung: Ersetzung jedes Buchstabens durch den Buchstaben, der k Positionen später im Alphabet vorkommt. Entschlüsselung: Ersetzung jedes Buchstabens durch den Buchstaben, der k Positionen früher im Alphabet vorkommt. 2. geheimer Schlüssel: k = 3 Beispiel für Nachricht m = streng geheim 1. A verschlüsselt m = streng geheim zu c = VWUHQJ JHKHLP 2. A sendet c = VWUHQJ JHKHLP an B 3. B entschlüsselt c = VWUHQJ JHKHLP zu m = streng geheim 21

Brechen von Verschiebe-Chiffren bekannt: unbekannt: Verfahren (k-verschiebung) Schlüssel k Brute Force: Ausprobieren aller 26 möglichen Schlüssel durch Nachdenken: Analyse der Häufigkeiten von Buchstaben und Buchstabengruppen Schlüsselberechnung aus einem bekannten Paar (Klartext, Geheimtext) einfach Beispiele: Klartext: caesar Geheimtext: XVZNVM Schlüssel:? Geheimtext: YRXO CSMROBROSD SCD UOSXO PBOSROSD Schlüssel:? Klartext:? (Wilhelm von Humboldt, 1792) 22

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback