Grundlagen der Informationssicherheit Sibylle Schwarz Westsächsische Hochschule Zwickau Dr. Friedrichs-Ring 2a, RII 263 http://wwwstud.fh-zwickau.de/~sibsc/ sibylle.schwarz@fh-zwickau.de SS 2013 1
Informationssicherheit Informatik Lehre von der Darstellung und Verarbeitung von Information durch Algorithmen Information (neue) Auskunft über ein Ereignis, einen Tatbestand oder einen Sachverhalt, Beseitigung von Ungewissheit Informationssicherheit sorgt für Schutz von Informationen bei Speicherung und Übertragung vor Mithören, Spionage Modifikation, Fälschung Verlust oder Einschränkung der Zugriffsmöglichkeit 2
Organisation der Lehrveranstaltung Informationssicherheit Modul Algorithmen und Datenstrukturen besteht aus zwei Teilen (dieses Jahr nacheinander) Grundlagen der Informationssicherheit Algorithmen und Datenstrukturen Lehrveranstaltungen Informationssicherheit: Vorlesungen: Montag 9:35-12:50 Uhr (15 min Pause) Donnerstag Z1 15:20-16:50 Uhr einige davon als (Hörsaal-)Übung Selbststudium (Vor/Nachbereitung, Prüfungsvorbereitung) Hausaufgaben zur Unterstützung des Selbststudiums und Prüfungsvorbereitung Informationssicherheit: Übungsserien gemeinsame Prüfung (120 min Klausur) im Sommer 2013 3
Literatur Folien zur Vorlesung (nach der Vorlesung) unter http://wwwstud.fh-zwickau.de/~sibsc/ lehre/ss13/insi/ BSI Veröffentlichungen des Bundesamtes für Sicherheit in der Informationstechnik https://www.bsi.bund.de/ Bücher Wolfgang Ertel: Angewandte Kryptographie. Hanser 2007 Johannes Buchmann: Einführung in die Kryptographie. Springer 2004 Klaus Schmeh: Kryptographie. dpunkt 2009 aktuelle Meldungen zur Informationssicherheit, z.b. unter http://www.heise.de/security/ http://www.buerger-cert.de/ 4
Grundfragen Wann ist Information sicher? verfügbar, authentisch, vertraulich Wo ist Information gefährdet? Übertragung, Speichern, Zugriff Wie kann man Informationen schützen? z.b. kryptographische Verfahren 5
Inhalt der Lehrveranstaltung Sicherheit von Information Arten von Bedrohungen, Schwachstellen Gegenmaßnahmen Kryptographische Verfahren (Mathematische) Grundlagen Private-Key-Verfahren klassische Verfahren: Verschiebungs-, Transpositions-, Vigenère-Chiffre moderne Verfahren: DES, 3DES, AES Public Key-Verfahren Diffie-Hellman (Schlüsselerzeugung) ElGamal RSA Kryptographische Hashfunktionen Digitale Signaturen Authentifizierung Sicherheits-Infrastrukturen 6
Schadensfälle Beispiele für Schadensfälle aus dem BSI-Leitfaden Informationssicherheit https://www.bsi.bund.de/cln_174/de/ Themen/ITGrundschutz/ LeitfadenInformationssicherheit/ leitfaden_node.html Hausaufgabe Lesen Sie den BSI-Leitfaden Informationssicherheit. 7
Informationssicherheit Ziele: Vertraulichkeit (Schutz vor Mithören, Spionage) Integrität (Schutz vor Modifikation, Fälschung) Verfügbarkeit (Schutz vor Verlust oder Einschränkung der Zugriffsmöglichkeit) der Information bei Speicherung und Übertragung Authentisierung Identitätsprüfung beim Anmelden in einem IT-System Autorisierung Überprüfung von Berechtigungen zum Ausführen bestimmter Aktionen von Personen oder Software beim Zugriff auf Informationen 8
Verantwortung des Informatikers betreute IT-Infrastruktur (z.b. Geräte, Firmennetz) Kommunikation mit Dienstleistern, Kunden und Partnern (z.b. Homepage, E-Mail, elektronische Zahlung) dienstliche und private Rechentechnik Aufgaben: Einschätzung der aktuellen Situation einschließlich Schwachstellen ständige Überwachung und Aktualisierung des Sicherheitssystemes Bemerken von Angriffen (z.b. Schadsoftware) Kenntnis und Anwendung möglicher Gegenmaßnahmen 9
Verfügbarkeit möglicher Schaden: Verlust wichtiger Daten oder Software (z.b. Patientendaten, Spezialsoftware) Aufwand zur Wiederbeschaffung (finanziell, Arbeitszeit) Vertrauensverlust bei Kunden und Partnern (z.b. bei Web-Auftritten) Maßnahmen zur Sicherung der Verfügbarkeit: Dokumentation aller Verantwortlichkeiten, Verfahrenswege, Systemanpassungen sichere Aufbewahrung wichtiger Zugangsdaten regelmäßige Sicherungskopien (Backups) regelmäßige Kontrolle des Backup-Systems geeignete Aufbewahrung der Sicherungskopien (verschlosssen, räumlich entfernt) 10
Bedrohungen Eve Spionage Alice Information Übertragungskanal Speichermedium Information Bob Änderung Mallory Potentielle Angreifer, z.b. Hacker Geheimdienste Geschäftspartner, Konkurrenten Dienstleister Mitarbeiter (auch ehemalige) 11
Beispiele technischer Angriffe Schadsoftware Programme mit einer vom Programmierer beabsichtigten schädlichen Wirkung Sicherheitslücken in Software (z.b. Betriebssystem, Webbrowser, Büroprogramme) Spam überflüssige E-Mail (z.b. Werbung, Kettenbriefe, Hoax, oft Verbreitung von Schadsoftware) DoS-Angriffe (Denial of Service) Überlastung von Servern, die einen Service anbieten Störung der Verfügbarkeit DNS-Angriff (Domain Name Service) Fälschung von Verweisinformationen auf Routern 12
Nutzung menschlicher Schwächen Phishing Motivation zur Angabe persönlicher Informationen (Zugangsberechtigungen, Passwort, Kontodaten, Geheimzahl, Dokumentdaten) häufiges Ziel: Identitätsdiebstahl für z.b. E-Commerce Social Engineering Einsatz psychologischer Methoden (stark unterstützt durch Social Networks) Überlastung von Sicherheitsverantwortlichen 13
Schadsoftware oft Kombination verschiedener Komponenten, z.b Viren Würmer Trojaner Spyware Verbreitung z.b. über E-Mail (oft Spam) infizierte Webseiten (Drive-By-Download) Bot-Netze 14
Beispiel Schadsoftware: Viren Programmteile mit vom Nutzer ungewollter Wirkung Funktionsweise: Modifikation eines Wirtsprogrammes zur Erzeugung des Schadens und Vervielfältigung des Virus (z.b. durch Anhängen von Code) Verteilung: Ausführung befallener Programme, Kopien, Versenden infizierter Software verbreitete Typen: Programmviren, Makro-Viren, Boot-Viren mögliche Gegenmaßnahmen: ständige Aktualisierung von Schutzsoftware Wahl geeigneter Software, z.b. Betriebssystem 15
Weitere Beispiele für Schadsoftware Würmer selbständige Programme, die sich reproduzieren und selbst verbreiten Verteilung bei Selbststart auf befallenem Gerät Trojaner Schadsoftware in sinnvollen Anwendungen verpackt öffnet Hintertür, die Spionage und Modifikation des befallenen Gerätes ermöglicht (z.b. Missbrauch zum Mitlesen von Passwörtern, Senden von Spam oder DoS-Angriffen) Spyware Programme zur Beobachtung von Benutzerverhalten (z.b. Surfverhalten, Protokollieren von Zugangsdaten, Passwörtern) Speichern oder Senden der Beobachtungen an den Hersteller Kommerzielle Software enthält oft vom Hersteller eingefügte Trojaner und Spyware (bewusst eingesetzte Sonderfunktionen, z.b. regelmäßige Kontaktaufnahme zum Hersteller) 16
Maßnahmen gegen Angriffe konsequente Anwendung aktueller Sicherheitssoftware (Sicherheitsupdates) regelmäßige Virenprüfung beim Laden, Speichern und Übertragen von Dateien vorsichtiges Online-Verhalten (vertrauenswürdige Server) Firewalls Rechtebeschränkung für Programmausführung Verwendung von Open-Source-Software (auch Betriebssysteme) Verhinderung von Trojanern durch den Hersteller: Qualitäts- und Personenkontrolle 17
Motivation Schutz von Informationen beim Übertragen über unsichere Kanäle Eve Spionage Nachricht m Nachricht m Alice Übertragungskanal Bob Beispiele für zu schützende Informationen: Geheimzahlen (Geldkarten, Mobiltelefon) Zugriffsdaten (Login-Daten, Passwörter) persönliche Daten (juristisch, medizinisch) Geheiminformationen in Wirtschaft, Militär Übertragung über unsichere Kanäle Internet, Intranet, WLAN Telefon Speichermedien Schutz vor Abhören Veränderung, Fälschung 18
Ziele Garantie von Authentizität (Beweis der Identität des Senders) Integrität (Schutz von Veränderung während der Übermittlung) Verbindlichkeit (Empfänger kann beweisen, dass die Nachricht gesendet wurde) Geheimhaltung (Lesen der Information durch Unbeteiligte unmöglich) der übertragenen Informationen 19
Nachrichtenaustausch über abhörbare Kanäle Sender (Alice) und Empfänger (Bob) vereinbaren 1. ein Verschlüsselungsverfahren 2. geheime Schlüssel k A, k B zur Verschlüsselung der Nachricht m von A an B Eve Alice (k A, m) c c Übertragungskanal (unsicher) c (k B, c) m Bob Verfahren: 1. A verschlüsselt die Nachricht m mit ihrem Schlüssel k A 2. A sendet verschlüsselte Nachricht c an B 3. B entschlüsselt die verschlüsselte Nachricht mit seinem Schlüssel k B (Wiederherstellung der ursprünglichen Nachricht) Ziel: Spion (Eve) kann verschlüsselte Nachricht zwar abhören, aber nicht (bzw. nur sehr schwierig) entschlüsseln. 20
Beispiel: Verschiebechiffren Caesar-Code a b c d e f g h i j k l m n o p q r s t u v w x y z D E F G H I J K L M N O P Q R S T U V W X Y Z A B C 1. Verfahren: Verschlüsselung: Ersetzung jedes Buchstabens durch den Buchstaben, der k Positionen später im Alphabet vorkommt. Entschlüsselung: Ersetzung jedes Buchstabens durch den Buchstaben, der k Positionen früher im Alphabet vorkommt. 2. geheimer Schlüssel: k = 3 Beispiel für Nachricht m = streng geheim 1. A verschlüsselt m = streng geheim zu c = VWUHQJ JHKHLP 2. A sendet c = VWUHQJ JHKHLP an B 3. B entschlüsselt c = VWUHQJ JHKHLP zu m = streng geheim 21
Brechen von Verschiebe-Chiffren bekannt: unbekannt: Verfahren (k-verschiebung) Schlüssel k Brute Force: Ausprobieren aller 26 möglichen Schlüssel durch Nachdenken: Analyse der Häufigkeiten von Buchstaben und Buchstabengruppen Schlüsselberechnung aus einem bekannten Paar (Klartext, Geheimtext) einfach Beispiele: Klartext: caesar Geheimtext: XVZNVM Schlüssel:? Geheimtext: YRXO CSMROBROSD SCD UOSXO PBOSROSD Schlüssel:? Klartext:? (Wilhelm von Humboldt, 1792) 22