Sicherheit in IT-Systemen M. Kämmerer & G. Klos mkaemmer@uni-mainz.de
Am Anfang war die Röhre
IT-Entwicklung Bedienung durch speziell geschultes Personal. Bedienung ohne besondere Schulung möglich
IT-Entwicklung
IT-Entwicklung
IT-Entwicklung
Neue Tatsachen Exponentielles Wachstum der digital gespeicherten Datenbestände Verknüpfungen der Daten in bisher noch nie möglich gewesener Art und Weise Datenverfügbarkeit wird ort- und zeitunabhängig
Neue Gefahren Datenverlust Datamining Unberechtigter Datenzugriff Hardware - Hijacking
Neue Feinde Spammer, enepper Script Kiddies, Hacker ebugs (Viren, Trojaner, Würmer etc.) Staatliche Einrichtungen
Alte Verpflichtungen Schweigepflicht ( 9 MBO) Grundgesetz (Recht auf Schutz der Persönlichkeit) Datenaufbewahrungs-/ dokumentationspflicht ( 28 RöV, 10 MBO) Datenvernichtungspflicht nach Ablauf der Aufbewahrungsfristen ( 36 Abs. 6 LKG) Datenschutzgesetze (LKG/ BDSG/ LDSG)
Konsequenz Offline arbeiten?
Gefahren & Schutzmaßnahmen
Problemzonen email WWW
A B C Ausrüstung zum Eintauchen in den großen Datenstrom
A Zugangsbeschränkung - An- & Abmelden am System / Applikation Benutzer Paßwort wie EC-PIN behandeln Einigermaßen sicheres Paßwort wählen Administrator Automatisches Abmelden Verschiedene Anmeldeverfahren zulassen Single Login (z.b. LDAP)
B Systempflege & Wartung Regelmäßige System Updates System- & Datensicherungskonzept
C Virenscanner & Firewall z.b. McAfee, Norton z.b. Kerio, Zone Alarm (Quelle: c t 8/2004, S. 164)
Problemzone 1 email
email Gefahren (Versand) Versand emails werden als Klartext versendet und können über jeden am Datentransfer beteiligten Computer gelesen werden. email kann abgefangen und verändert weitergeschickt werden.
email Gefahren (Versand)
Echelon (Quelle: Der Spiegel 13/99)
Echelon - Anwendung Die Lopez-Affäre zwischen GM und VW 1996 war auf eine von der NSA abgehörte Videokonferenz zurück zu führen.
Versand email Schutzlösungen (Versand) email signieren
Versand email Schutzlösungen (Versand) email verschlüsseln
email Schutzlösungen (Versand) - PGP kompatibel z.b. http://www.openpgp.org (kommerziell) -x.509 Zertifikate z.b. - Gesundheitskarte, Health Professional Card - Job Card (kommerziell)
email Gefahren (Empfang) Empfang Dateianhänge mit ebugs, Dialern etc. HTML-Mail mit automatischen Nachladen von Bildern oder anderer Dateien als Authentizitätsnachweis der email Adresse. HTML-Mail mit Auto-Aktivierung von Programmcode (z.b. Java, Java Script, Makros).
email Schutzlösungen (Empfang) email Programm absichern JavaScript abstellen. HTML Darstellung auf Plain Text umstellen. Nachladen von Dateien unterbinden. Automatisches Öffnen von email-anhängen abschalten. Bedienung Nicht angeforderte oder abgesprochenen email-anhänge verwerfen oder gesichert öffnen. Die email-anhänge vor öffnen/ ausführen auf ebugs überprüfen (Virenscanner). email unklarer Absender lieber löschen als öffnen.
Problemzone 2 WWW
WWW-Funktionsweise
WWW-Funktionsweise Webbrowser Anzeigeprogramm für strukturierte Daten (HTML) Bilder Ausgabe bei Programmcodeausführung (Java/ JavaScript/ VB)
WWW - Gefahren Laden, Ausführen von Programmen (aktiv oder passiv). Daten werden im Klartext übermittelt. Persönliche Daten werden bereits über das HTML Protokoll mitgeteilt.
WWW - Gefahren Programmcode laden & ausführen
WWW - Schutzlösungen Webbrowser richtig konfigurieren z.b. http://www.heise.de/security/dienste/browsercheck Internet Explorer meiden Gesundes Mißtrauen und Augen auf!
WWW - Gefahren Laden, Ausführen von Programmen (aktiv oder passiv). Daten werden im Klartext übermittelt. Persönliche Daten werden bereits über das HTML Protokoll mitgeteilt.
WWW - Gefahren Übermittelung von Klartext
WWW - Schutzlösungen Verschlüsselter Übertragungsweg (SSL/ TLS) Mozilla/ Netsacape Internet Explorer
WWW - Gefahren Laden, Ausführen von Programmen (aktiv oder passiv). Daten werden im Klartext übermittelt. Persönliche Daten werden bereits über das HTML Protokoll mitgeteilt.
WWW - Gefahren Geschwätziger Standard
WWW Schutzlösungen Anonymisierer verwenden z.b. JAP Java Anon Proxy http://anon.inf.tu-dresden.de/ Gesundheitsbrowser ab 2005 (ZTG)
Vielen Dank!