Vorlesung Datensicherheit Sommersemester 2010 Kapitel 1: Grundlagen
Inhalt Ein paar Vorbemerkungen Grundbegriffe Sicherheitsziele Thesen zur IT-Sicherheit 2
Inhalt Ein paar Vorbemerkungen Grundbegriffe Sicherheitsziele Thesen zur IT-Sicherheit 3
Wozu schlechte Datensicherheit führen kann (1) Quelle: c't 17/08 4
Wozu schlechte Datensicherheit führen kann (2) Quelle: c't 21/07 5
Wozu schlechte Datensicherheit führen kann (3) Quelle: c't 08/07 6
Wozu schlechte Datensicherheit führen kann (4) Quelle: c't 06/09 7
Phishing Quelle: c't 20/06 8
Datenpannen / Datenklau (1/4) Steuersünder-CDs aus der Schweiz (Februar 2010) Quelle: http://www.spiegel.de/wirtschaft/soziales/0,1518,675977,00.html http://www.sueddeutsche.de/finanzen/742/501982/text/ Ehemaliger Bank-Mitarbeiter bietet Daten über Kunden an, die vermutlich in Deutschland die Einkünfte nicht versteuern Kosten: 2.5 Mio. EUR für 'Schweizer' CD Ähnliches Szenario wie 2008 bei Liechtenstein-CD Skimming in Darmstadt (März 2010) Quelle: http://www.echo-online.de/suedhessen/darmstadt/zwei-neue-faelle-von-skimming;art1231,762067 http://www.echo-online.de/suedhessen/darmstadt-dieburg/griesheim/duo-spaeht-ec-karten-amgeldautomaten-aus;art1287,777525 Skimming-Versuche am Luisenplatz Verhandlung über Skimming in Alsbach-Hähnlein bzw. Bickenbach 9
Datenpannen / Datenklau (2/4) 1 Mio. Datensätze von Mitgliedern von SchülerVZ anonym an Website netzpolitik.org verschickt (Oktober 2009) Quelle: http://www.heise.de/security/meldung/ueber-1-million-datensaetze-bei-schuelervz-abgesaugt832232.html Betroffene Daten: 'Community-interne Informationen' wie Profil-ID, Name, Schule, teilweise auch Alter u. Link auf Bild Potenzielles Problem: Daten über Kinder u. Jugendliche 27.000 Datensätze von AWD-Kunden anonym an NDR übergeben (Oktober 2009) Quelle: http://www.heise.de/newsticker/meldung/datenpanne-beim-finanzdienstleister-awd-831068.html Betroffene Daten: Name, Anschrift, Geburtstag, Verträge inkl. Laufzeit u. Volumen (Stand: 1990er bis 2001) Lt. AWD 'keine sensiblen Daten im Sinne des Datenschutzes' 10
Datenpannen / Datenklau (3/4) Kreditkartendaten von Kunden der LB Berlin werden zur Vertuschung eines Keksdiebstahls von Kurierfahrern an die Frankfurter Rundschau versendet (Dezember 2008) Quelle: http://www.heise.de/newsticker/lbb-datenskandal-ist-vertuschter-stollen-diebstahl--/meldung/120770 Freier Zugriff auf Meldedaten von ca. 200 Städten im Zeitraum März-Juni 2008, da betroffene Meldebehörden Standardzugangsdaten nicht änderten Quelle: http://www.heise.de/newsticker/fernsehmagazin-datenpanne-bei-einwohnermeldeaemternupdate--/meldung/109835 Ende 2004: Versehentliches Löschen von Daten (z.b. über Auslandseinsätze) der Bundeswehr für 1999-2003; Panne wurde im Juni 2007 bekannt Quelle: http://www.heise.de/newsticker/datenpanne-bei-der-bundeswehr--/meldung/91700 11
Datenpannen / Datenklau (4/4) Chinesen installieren Trojaner auf deutschen Regierungscomputern (August 2007)? Trojaner kommen via Office-Attachment ins BK, BMBF, BMWi und AA Quelle: http://www.heise.de/newsticker/deutsche-regierung-im-visier-eines-chinesischentrojaners--/meldung/94932 Ghostnet: Spionage-Netzwerk (u.a. auf Rechnern der tibetischen Exilregierung) (April 2010 + März 2009) Quelle: http://www.heise.de/newsticker/chinesische-spionage-software-infiltriert-rechner-tibetischer-exilregierung-update--/meldung/135387 http://www.heise.de/security/meldung/ghostnet-2-0-spionagenetz-nutzt-dienste-in-der-cloud-970678.html 12
Inhalt Ein paar Vorbemerkungen Grundbegriffe Sicherheitsziele Thesen zur IT-Sicherheit 13
Definitionen von 'Sicherheit' Sicherheit (zitiert aus Meyers großem Taschenlexikon Band 20 nach [Steinmetz], S. 2): Zustand des Unbedrohtseins, der sich objektiv im Vorhandensein von Schutz[einrichtungen] bzw. im Fehlen von Gefahr[enquellen] darstellt und subjektiv als Gewissheit von Individuen oder sozialen Gebilden über die Zuverlässigkeit von Sicherungs- und Schutzeinrichtungen empfunden wird. Sicherheit (zitiert nach Wikipedia, Zugriff am 07.04.2010): Sicherheit bezeichnet einen Zustand, der frei von unvertretbaren Risiken der Beeinträchtigung ist oder als gefahrenfrei angesehen wird. 14
Definitionen von 'Information' Information nach Wikipedia (Zugriff in 2006): Information (v. lat.: informare = bilden, eine Form geben) ist ein potenziell oder tatsächlich vorhandenes nutzbares oder genutztes Muster von Materie und/oder Energieformen, das für einen Betrachter innerhalb eines bestimmten Kontextes relevant ist. Wesentlich für die Information ist die Wiedererkennbarkeit sowie der Neuigkeitsgehalt. Information nach Wikipedia (Zugriff am 05.04.2010): Ihr Kennzeichen: Information vermittelt einen Unterschied. Die Information verliert, sobald sie informiert hat, ihre Qualität als Information: News is what's different. Information nach Internet Security Glossary (RFC 2828): Facts and ideas, which can be represented (encoded) as various forms of data 15
Informationssicherheit vs. IT-Sicherheit (lt. BSI) Informationssicherheit: Ziel: Schutz von Informationen Unabhängig von Repräsentation: Papier, Kopf, IT-System IT-Sicherheit: Ziel: Schutz elektronischer Informationen Speicherung, Verarbeitung, Übertragung IT-Sicherheit ist echte Teilmenge der Informationssicherheit 16
Security vs. Safety Security: Informationssicherheit Keine unautorisierte Informationsveränderung oder Informationsgewinnung möglich Abwehr von Angriffen (Analyse von Bedrohungen, Realisierung von Schutzmaßnahmen) Safety: Funktionssicherheit Ist-Zustand des IT-Systems entspricht Soll-Zustand IT-System funktioniert wie vorgegeben unter allen normalen Betriebsbedingungen Teilaspekt der Zuverlässigkeit (Dependability) 17
IT-System IT-System ([Eckert], S. 2): Ein IT-System ist ein geschlossenes oder offenes, dynamisches technisches System mit der Fähigkeit zur Speicherung und Verarbeitung von Informationen. Geschlossenes IT-System: Offenes IT-System: Baut auf Technologie eines Herstellers auf Inkompatibel zu Produkten anderer Hersteller Beschränkt auf bestimmten Personenkreis u. Gebiet Vernetzte, physisch verteilte Systeme Kompatibel zu Standards Offen für Kommunikation mit anderen Systemen Heterogenes IT-System: Mischform 18
Schnittstellen, Nutzer, Autorisation Schnittstellen: Erlauben Austausch von Informationen mit anderen ITSystemen oder der Umwelt (typischerweise Subjekte) Beispiele: Hardware- u. Softwareschnittstellen Nutzer: (Menschliche) Benutzer eines IT-Systems Prozesse, die für Benutzer System nutzen Greifen auf Informationen zu: Zugriffsrechte Autorisation: Berechtigung, eine Information zu lesen oder zu verändern 19
Datensicherung und Datenschutz Datensicherung: Schutz vor Datenverlust Backup: Sicherungskopie der Daten Recovery: Wiederherstellung verlorener oder verschlüsselter Daten Datenschutz: Prinzip: Natürliche Person kontrolliert die sie betreffenden Daten Informationelle Selbstbestimmung hat Rang eines Grundrechts (Volkszählungsurteil des BVerfG von 1983) Weiterführung: Bundesdatenschutzgesetz (BDSG) von 1990 Aktuell: IT-Grundrecht 20
Angriff Nicht autorisierter Zugriff bzw. Zugriffsversuch Angriffsarten: Passiver Angriff: Unautorisierte Informationsgewinnung Gängiges Beispiel: Sniffing Aktiver Angriff: Unautorisierte Informationsveränderung Gängige Beispiele: Veränderung von Datenpaketen im Internet Malware-Verbreitung Phishing Spoofing (Distributed) Denial of Service 21
Bedrohung und Risiko Bedrohung: Potenzielle Gefährdung von Schutzzielen durch Ausnutzung von Schwachstellen Bedrohungsarten durch: Passive Angriffe Aktive Angriffe Versehen: Bedienfehler, Fehler in Soft- oder Hardware,... Risiko einer Bedrohung: Eintrittswahrscheinlichkeit der Bedrohung * Schadenshöhe Risiko hilft bei Priorisierung der Abwehr verschiedener Bedrohungen Schwer zu quantifizieren 22
Angreifertypen (1/2) Wichtiges Charakteristikum für Schutzmaßnahmen: Stärke des Angreifers Innen- vs. Außentäter Innentäter: Person mit weiterführenden Kenntnissen über IT-Struktur führt Angriff durch (Ehemalige) Mitarbeiter Lieferant (IT-)Dienstleister 23
Angreifertypen (2/2) Hacker: Versierter Angreifer zur Aufdeckung von Schwachstellen ohne finanzielles Eigeninteresse Cracker: Versierter Angreifer zur Aufdeckung von Schwachstellen mit finanziellem Eigeninteresse Skript-Kiddie: Unversierter Angreifer, der Exploits Dritter verwendet Sonstige: Geheimdienste Strafverfolgung Industriespionage durch Konkurrenten 24
Computerforensik = IT-Forensik IT-Forensik: Ziel: Nachweis von (strafbaren) Angriffen auf IT-Systeme Vorgehen auf Basis von Best Practices Oft: Gerichtsverwertbare Aufarbeitung eines Angriffs Beweisführung auf Read-Only-Kopien: Originalsystem bleibt unverändert!!! Teildisziplinen: Live Response, Post-Mortem-Analyse, Netzwerkforensik, Anwendungsforensik, mobile Kleingeräte Richtige Verhaltensweise eines Opfers bei IT-Angriff? Problem der Datenüberlastung 25
Inhalt Ein paar Vorbemerkungen Grundbegriffe Sicherheitsziele Thesen zur IT-Sicherheit 26
Beispiel: Umbau eines öffentl. Gebäudes Quelle: wikimedia.org 27
Umbau eines öffentl. Gebäudes: Echtheit Ausschreibung Einsendeschluss: 20.12.2006 authentisch Hessisches Staatsbauamt Bestätigung authentisch Angebote authentisch 28
Umbau eines öffentl. Gebäudes: Integrität Ausschreibung Einsendeschluss: 20.12.2006 unverändert Hessisches Staatsbauamt Bestätigung unverändert Angebote unverändert 29
Umbau eines öffentl. Gebäudes: Verbindlichkeit Ausschreibung Einsendeschluss: 20.12.2006 verbindlich Hessisches Staatsbauamt Bestätigung verbindlich Angebote verbindlich 30
Umbau eines öffentl. Gebäudes: Vertraulichkeit Ausschreibung Einsendeschluss: 20.12.2006 Hessisches Staatsbauamt Bestätigung Angebote vertraulich 31
Umbau eines öffentl. Gebäudes: Datiertheit Ausschreibung Einsendeschluss: 20.12.2006 datiert Hessisches Staatsbauamt Bestätigung datiert Angebote 32
Schutz- / Sicherheitsziele (1/4) Authentizität / Echtheit: Der Urheber der Information ist bekannt. Beispiel: Absender einer E-Mail zuverlässig feststellen. Unverändertheit / Integrität: Die Information wurde nicht geändert. Beispiel: Inhalt einer E-Mail wurde nicht verändert. Vertraulichkeit: Die Information ist nur für Berechtigte lesbar. Beispiel: Inhalt einer E-Mail ist nur für Empfänger lesbar. 33
Schutz- / Sicherheitsziele (2/4) Verbindlichkeit / Nicht-Abstreitbarkeit: Urheber und Inhalt ist gegenüber Dritten nachweisbar. Beispiel: Elektronische Abgabe eines Angebots. Datiertheit: Es ist nachweisbar, dass eine Information zu einem bestimmten Zeitpunkt existiert hat. Gehört nicht zu den vier klassischen Sicherheitszielen der Kryptographie. Beispiel: Angebot wurde fristgerecht eingereicht. 34
Schutz- / Sicherheitsziele (3/4) Verfügbarkeit: Eine Information ist verfügbar, wenn sie von einem Berechtigten benötigt wird. Beispiel: Kunde - Online-Banking-Server 35
Zum Sicherheitsziel Verfügbarkeit... Quelle: c't 15/07 36
Schutz- / Sicherheitsziele (4/4) Anonymität: Die Identität eines Kommunikationspartners ist nicht oder nur mit unverhältnismäßig hohem Aufwand herauszufinden. Beispiel: Bezahlen (Laden, Internet) Pseudonymität: Identitäten werden durch eine Zuordnungsvorschrift verändert. Identität ist nur bei Kenntnis der Zuordnungsvorschrift bekannt. Beispiel: Einkauf bei Ebay, Chat 37
Sicherheitsziele vs. Kryptographische Technik Sicherheitsziel Kryptographische Technik Authentizität Elektronische Signatur / MAC Integrität Elektronische Signatur / MAC Verbindlichkeit Elektronische Signatur Vertraulichkeit Verschlüsselung Zeitpunkt beweisen Elektronische Signatur u. Normalzeit Anonymität / Pseudon. Verschlüsselung 38
Aspekte zur Erreichung der Sicherheitsziele Sicherheitsstrategie (Security Policy): Definiert Technische u. organisatorische Regeln Verhaltensregeln Verantwortlichkeiten u. Rollen Inhalte einer Sicherheitsstrategie: Netzwerksicherheit Hardware- u. Softwaresicherheit Organisatorische Maßnahmen Notfallplan (Emergency Response) 39
Inhalt Ein paar Vorbemerkungen Grundbegriffe Sicherheitsziele Thesen zur IT-Sicherheit 40
Thesen von Bruce Schneier Quelle: www.computerworld.com Wer ist Bruce Schneier? Krypto-Papst Gründer und CTO von Counterpane Erfinder von Blowfish und Twofish Autor zahlreicher Bücher, Artikel, Newsletter Zitate von Bruce Schneier über IT-Sicherheit: The only secure computer is one that s turned off, locked in a safe, and buried 20 feet down in a secret location and I m not completely confident of that one either. Complexity is the worst enemy of security. Security is a trade off. Security is a process, not a product. 41
Thesen von Marcus Ranum The Six Dumbest Ideas in Computer Security (www.ranum.com) Wer ist Marcus Ranum? Berater von weltweit führenden Unternehmen Erfinder der Proxy-Firewall Quelle: www.ranum.com Weltweit anerkannter Experte für ComputerSicherheit Programmierer der ersten kommerziellen Firewall 42
The Six Dumbest Ideas in Computer Security: 1 Default Permit: Erlaube alles, entscheide über Ausnahmen im Einzelfall Beispiel Firewall der 1990er: Beispiel Software: Schalte per Default alle Ports frei Blockiere die eingehenden Dienste telnet, rlogin, ftp Blockiere weitere Ports nach bekannten Sicherheitslöchern Erlaube jedem Programm / jeder Datei Zugriff auf das Gesamtsystem Beispiele: Windows 95, Windows 98 haben keine unterschiedlichen Benutzer Beispiel Windows XP: Oft verwendet der Standardnutzer den Account 'Administrator' Gegenmaßnahme: Deny all, permit some 43
The Six Dumbest Ideas in Computer Security: 2 Enumerating Badness: Liste alle Sicherheitslöcher auf und stopfe sie Problem: Anzahl an bösartigen Programmen übersteigt Anzahl an gutartigen Programmen: Badness Gap Für eine Applikation mehrere Exploits, Würmer, Viren, Spyware, Trojaner Anzahl an bösartigen Applikationen steigt rasant Paradigma von Virenscannern, IDS / IPS, Firewalls Gegenmaßnahme: Enumerating Goodness Lasse nur die gutartigen Programme laufen Bösartige Programme werden nicht ausgeführt 44
The Six Dumbest Ideas in Computer Security: 3 Penetrate and Patch: Teste Dein System und stopfe gefundene Sicherheitslöcher Vorgehen: Penetriere eigene Schutzsysteme (Firewall / Virenscanner /...) Finde Sicherheitslöcher Stopfe diese Ansatz: Trial and Error 10 20 30 40 50 60 70 GOSUB LOOK_FOR_HOLES IF HOLE_FOUND = FALSE THEN GOTO 50 GOSUB FIX_HOLE GOTO 10 GOSUB CONGRATULATE_SELF GOSUB GET_HACKED_EVENTUALLY_ANYWAY GOTO 10 Aber: Kein Besseres Design des Systems Gegenmaßnahme: Sicheres Design Besserer Security-Engineering-Prozess 45
The Six Dumbest Ideas in Computer Security: 4 Hacking is Cool: Know Your Enemy Vorgehen: Kenntnis von Hackervorgehen und Hackertools hilft beim Schutz der eigenen Systeme Ähnlich wie Penetrate and Patch Aber: Kein Besseres Design des Systems Gegenmaßnahme: Sicheres Design Besserer Security-Engineering-Prozess Good Engineering is Cool 46
The Six Dumbest Ideas in Computer Security: 5 Educating Users: Patch your Users These: User Education ist sinnlos!! Wenn es funktionieren würde, hätte es bereits funktioniert. Beispiel: Kournikova-Wurm, Phishing Wird sich selbst regulieren: Nur mündige User werden am Arbeitsmarkt der Zukunft einen Platz haben. Spezialfall von Default Permit: Nur wenn User zu viele Rechte haben, müssen sie erzogen werden. 47
The Six Dumbest Ideas in Computer Security: 6 Action is Better Than Inaction: Tue das, was alle tun. 2 Arten von IT-Verantwortlichen: Early adopters: Führen jede neue Technologie sofort ein. Pause and thinkers: Warten ab, welche Erfahrungen die Early adopters mit neuen Technologien machen. Manager haben Angst, sich für verschlafene Trends rechtfertigen zu müssen: WLAN, Security Outsourcing, VoIP,... Andere Formulierung: It is often easier to not do something dumb than it is to do something smart. Gegenmaßnahme: Abwarten und Tee trinken Be a pause and thinker 48