Glossar IT-Sicherheit
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Glossar IT-Sicherheit

on

  • 2,367 views

Das E-Book behandelt das facettenreiche Thema „Informationssicherheit in Unternehmen“ kompakt und umfassend. Es geht auf das Gefahrenpotential ein, auf personen- und unternehmensbedingte ...

Das E-Book behandelt das facettenreiche Thema „Informationssicherheit in Unternehmen“ kompakt und umfassend. Es geht auf das Gefahrenpotential ein, auf personen- und unternehmensbedingte Schwachstellen und verdeutlicht die Auswirkungen auf informationstechnische Systeme und Anlagen. Neben einigen wichtigen Sicherheitsstandards werden Strukturen zur Verbesserung der Informationssicherheit in Unternehmen aufgezeigt.

Statistics

Views

Total Views
2,367
Views on SlideShare
2,367
Embed Views
0

Actions

Likes
1
Downloads
58
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

CC Attribution-NonCommercial-NoDerivs LicenseCC Attribution-NonCommercial-NoDerivs LicenseCC Attribution-NonCommercial-NoDerivs License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Glossar IT-Sicherheit Presentation Transcript

  • 1. IT-Sicherheit Glossar IT-Sicherheit 1
  • 2. Index IT-Sicherheit Abhörsicherheit management method Angriff Crasher Anwendungssicherheit Datensicherheit Authentifizierung DoS, denial of service Authentizität EAL, evaluation assurance level Autorisierung Flaming Backdoor Hacker Bedrohung Heuristik Broadcaststurm Hijacking Brute-Force-Angriff Hoax BS 7799 Identifikation BSI, Bundesamt für Sicherheit in der Info. Identität CC, common criteria Informationssicherheit Compliance Internetsicherheit Content-Sicherheit ISMS, information security management system Cracker ISO 17799 CRAMM, computer risk analysis and IT-Sicherheit 2
  • 3. IT-Sicherheit ITSEC, information technology Sicherheitsdienst security evaluation criteria Sicherheitsinfrastruktur Makrovirus Sicherheitsmanagement Malware Sicherheitspolitik Man-in-the-Middle-Angriff Sicherheitsprotokoll Netzwerksicherheit Sicherheitsrichtlinie Perimeter-Sicherheit Sicherheitsstufe Phishing Sicherheitsvereinbarung Phreaking Snooping PnP-Sicherheit Spam Risiko Spoofing Risikoanalyse Spyware Sabotage TCSEC, trusted computer security Schwachstelle trap door Schwachstellenmanagement Trojaner Sicherheit Virus Sicherheits-ID WLAN-Sicherheit Sicherheitsarchitektur Wurm 3
  • 4. IT-Sicherheit Abhörsicherheit Unter Abhörsicherheit versteht man ganz allgemein die Sicherheit gegen unberechtigtes bug proof Mithören von Dritten bei der Übertragung zwischen Endteilnehmern. Dabei kann es sich sowohl um die drahtlose Übertragung mittels Funktechnik handeln als auch um das Abhören der leitungsgebundenen Übertragung über Kabel oder Lichtwellenleiter. Das Abhören betrifft die Daten- als auch die Sprachkommunikation, wobei letztere durch das Fernmeldegeheimnis geschützt ist. Zur Vermeidung des Abhörens werden verschiedene Techniken eingesetzt. Diese reichen von der Feldstärkemessung über die OTDR-Technik und der Dämpfungsmessung der Übertragungsstrecke bis zur Verschlüsselung der Information, der gängigsten Methode gegen unberechtigtes Abhören. Bei der Mobilkommunikation, bei der die Luftschnittstelle offen ist, werden zu diesem Zweck alle Gespräche individuell verschlüsselt. Als Verschlüsselungsalgorithmus wird ein teilnehmereigener Primzahlen-Algorithmus verwendet, der sich auf der SIM-Karte befindet, aber nicht ausgelesen werden kann. Angriff Angriffe sind unerlaubte und nichtautorisierte Aktivitäten zum Schaden von Ressourcen, attack Dateien und Programmen. Man unterscheidet zwischen passiven und aktiven Angriffen. Passive Angriffe bedrohen die Vertraulichkeit der Kommunikation, beeinflussen aber nicht die Kommunikation oder den Nachrichteninhalt. Sie zielen ausschließlich auf die unerlaubte Informationsbeschaffung. Die Abhörsicherheit kann durch diverse Verfahren unterlaufen werden. Eines der bekanntesten ist Tempest, bei dem die elektromagnetische Strahlung von Bildschirmen, Computerboards und Datenkabel empfangen und ausgewertet wird. Ein großes Angriffspotential bieten alle Datenkabel, Telefonleitungen, Lichtwellenleiter und vor allem die Funktechnik, die besonders gefährdet ist. Ist es bei Datenkabeln die elektromagnetische 4
  • 5. IT-Sicherheit Strahlung, die abgehört werden kann, so besteht bei Lichtwellenleitern die Möglichkeit diese stark zu krümmen, bis die Moden das Kernglas verlassen und die optischen Signale austreten. Bei den aktiven Angriffen werden die Nachrichten, die Komponenten des Kommunikationssystems oder die Kommunikation verfälscht. Es kann sich dabei um Angriffe kann auf Netze, um diese funktional zu stören, wie beispielsweise eine DoS-Attacke, um Angriffe auf den Zugang zu Systemen oder um die Entschlüsselung verschlüsselter Daten und Nachrichten. Ein aktiver Angreifer kann durch Einfügen, Löschen oder Modifizieren von Inhalten bestimmte Reaktionen des Empfängers auslösen und dessen Verhaltensweisen steuern. Zu diesen aktiven Angriffen gehören das Übermitteln von Viren, Würmern und Trojanern. Anwendungssicherheit Der Schutz der Anwendungsebene ist ein wesentlicher Aspekt der IT-Sicherheit, da die application security Angriffe über Web-Applikationen erfolgen und nicht unmittelbar erkennbar sind. Die Angriffe reichen von Datendiebstahl über Wirtschaftsspionage und Datenmissbrauch bis hin zu Vandalismus. So können auf dieser Ebene Dateien mit unternehmenskritischen Informationen und schützenswerten Zugriffsberechtigungen entnommen oder E-Commerce bzw. M-Commerce auf fremden Accounts missbräuchlich ausgeführt werden. Application Security dient dem präventiven Schutz und kann durch Erkennen von IT-Risiken in die Applikationsebene implementiert werden. Bei der Anwendungssicherheit wird der Inhalt der Datenpakete überprüft und nicht der Header. Ansatzpunkte liegen in der genutzten Software, in einer möglichen Authentifizierung bei der Anwendung oder durch geeignete Verschlüsselungsmaßnahmen. So kann man beispielsweise Angriffe, die gleichartig ablaufen wie das Cross Site Scripting (XSS), durch Einbau entsprechender Codes abwehren. 5
  • 6. IT-Sicherheit Authentifizierung Unter der Authentifizierung versteht man die Aufgaben- und Benutzer-abhängige Zugangs- authentication und/oder Zugriffsberechtigung. Die Authentifizierung hat den Zweck Systemfunktionen vor Missbrauch zu schützen. In der Kommunikation stellt die Authentifizierung sicher, dass der Kommunikationspartner auch derjenige ist, für den er sich ausgibt. Bei der Authentifizierung wird zwischen einseitiger und gegenseitiger Authentifizierung unterschieden. In der Praxis ist meistens die einseitige Authentifizierung üblich, wobei beispielsweise beim Login der Benutzer sein Passwort eingibt und damit nachweist, dass er wirklich der angegebene Benutzer ist. Als Sicherheitsdienst für die einseitige Identifikation dient der Empfängernachweis durch den die Benutzer-Identität und damit auch der Benutzungsberechtigung gegenüber dem System nachgewiesen werden. Dazu dienen hauptsächlich Passwörter, Passwortverfahren, persönliche ID-Nummern, kryptografische Techniken sowie Magnet- oder Chip-Ausweiskarten. Eine strenge Authentifizierung kann mit der Vergabe von Einmalpasswörtern (OTP) und OTP-Token erfolgen. Darüber hinaus gibt es Authentisierungssysteme die mit biometrischen Daten arbeiten und Mehrfaktorensysteme, die auf so genannte USB-Token setzen. Sicherer als die einseitige Authentifizierung ist die gegenseitige, bei der alle Kommunikationspartner ihre Identität beweisen müssen, bevor untereinander vertrauliche Daten ausgetauscht werden. So sollte beispielsweise bei Geldautomaten dieser vor Eingabe der PIN-Nummer beweisen, dass es sich bei dem POS-Terminal um ein echtes Geldterminal handelt und nicht um eine Attrappe. Authentizität Authentizität ist die Echtheit, Zuverlässigkeit und Glaubwürdigkeit einer Mitteilung. Nach authenticity heutiger Rechtsauffassung ist die Authentizität nur dann sichergestellt, wenn die Mitteilung, 6
  • 7. IT-Sicherheit beispielsweise das Schriftstück, mit Original-Unterschrift versehen ist und zwar von autorisierten Personen, die die schriftliche Willenserklärung abgeben dürfen. In einigen Fällen schreibt das Gesetz zur Bestimmung der Authentizität notarielle Beglaubigung, Beurteilung oder Beurkundung vor. Bezogen auf die Informationstechnik geht es bei der Authentizität um die Verbindlichkeit von Daten, Dokumenten, Informationen oder Nachrichten, die einer bestimmten Datenendeinrichtung oder einem Sender sicher zugeordnet werden können. Durch die Authentizität muss sichergestellt werden, dass die Herkunft solcher Information zweifelsfrei nachgewiesen werden kann. Eine Möglichkeit für den Nachweis ist die digitale Signatur (DSig). Autorisierung Die Autorisierung ist eine Berechtigung, eine explizite Zulassung, die sich auf einen Benutzer authorization bezieht. Sie definiert, wer was in einem Netz was tun oder welche System-Ressourcen nutzen darf. Bei der Autorisierung werden dem Nutzer Rechte zugewiesen. Sie berechtigen den Benutzer eine bestimmte Aktion auszuüben. Um einen wirksamen Schutz zu erreiche, sollten bei der Rechtevergabe der Nutzer nur für die Ressourcen autorisiert werden, die er unbedingt benötigt. Eine Autorisierung setzt eine Prüfung der ausführende Person oder Kommunikationseinrichtung voraus. Erst nach der Ermächtigung kann die gewünschte Aktion oder Transaktion ausgeführt werden. So wird beispielsweise eine Transaktion mittels einer Kreditkarte zuerst durch den Kreditkartenherausgeber autorisiert, nach dem die Kartendaten überprüft wurden. Backdoor Backdoors sind unberechtigte Zugriffe auf Rechner und deren Datenbestände. Wie der Name sagt, erfolgt der unberechtigte Zugriff durch die Hintertür. Der Angreifer erlangt über ein verstecktes, ständig laufendes Programm häufig uneingeschränkte Zugriffsrechte. Im 7
  • 8. IT-Sicherheit Gegensatz zu Trojanern ermöglichen Backdoors einen direkten Zugriff auf den betroffenen Rechner, spionieren interessante und persönliche Daten aus und ermöglichen die Manipulation von Hard- und Software. Backdoor werden häufig dazu benutzt um Viren, Würmer oder Trojaner auf dem angegriffenen Rechner zu installieren oder diesen für unbefugte Operationen wie DDoS-Attacken zu benutzen. Bedrohung Ganz allgemein versteht man unter Bedrohung eine potentielle Gefahr, die durch eine threat Schwachstelle ausgelöst wird. Es kann sich dabei um ein Ereignis handeln, das Schaden verursacht, um einen Angriff auf ein System, eine Übertragungstrecke oder auf den Informationsinhalt einer Nachricht, um Spionage oder Sabotage oder auch um Gefahren, die unbeabsichtigt oder durch natürliche Ereignisse wie Stromausfall, absichtlich oder vorsätzlich von Mitarbeitern ausgehen. Bedrohung kann von der Technik selbst ausgehen, durch Fehlbedienungen oder Gewaltanwendung. In der Informations- und Kommunikationstechnik kann sich die Bedrohung auf die Verfügbarkeit von Systemen und Ressourcen beziehen oder ebenso auf die Integrität und Vertraulichkeit von Nachrichten. Das Potential von Bedrohungen ist unermesslich, da es sich gleichermaßen auf Systeme und Übertragungstechniken, auf Programme und Anwendungen beziehen kann. Es gibt die aktive Bedrohung bei der Informationen oder der Systemstatus verändert werden, oder die passive Bedrohung, deren Fokus sich auf das Ausspähen von Informationen bezieht. Mit der Bedrohungsanalyse werden alle möglichen Bedrohungsszenarien eines Kommunikations- oder Informationssystems erkannt, analysiert und dokumentiert. Sie 8
  • 9. IT-Sicherheit bewertet die Wahrscheinlichkeit eines Angriffs und den möglichen, durch Angreifer entstehenden Schaden. Die Bedrohungsanalyse ist Teil der Risikoanalyse und dem Risikomanagement. Broadcaststurm Broadcaststürme entstehen dann, wenn in einer Netzkonfiguration viele Stationen gleichzeitig broadcast storm eine Antwort an die sendende Station senden. In der Regel hat die sendende Station einen Broadcast gesendet, der gleichzeitig von vielen Stationen beantwortet wird, was mit Re- Broadcasten bezeichnet werden kann. Da das Re-Broadcasten einer gewissen Wahrscheinlichkeit unterliegt, hängt die Anzahl der beantworteten Broadcast von dieser ab. Ist die Wahrscheinlichkeit gering, bekommen einige Knoten im Netzwerk keine Nachricht, ist sie dagegen hoch, verhält sich das Antwortverhalten wie beim Flooding. In der Regel handelt es sich bei Broadcaststürmen um Probleme in der Redundanz, der Konkurrenzsituation und/oder von Kollisionen. So können beispielsweise topologische Schleifen im Netzwerk Verursacher von Broadcaststürmen sein. Broadcaststürme können einen erheblichen Schaden anrichten, da sie hinlänglich Netzwerkressourcen binden und dadurch den eigentlichen Datenverkehr beeinträchtigen. Brute-Force-Angriff Ein Brute-Force-Angriff stellt einen gewaltsamen Angriff auf einen kryptografischen brute force attack Algorithmus dar. Das Verfahren probiert systematisch alle möglichen Kombinationen durch, um den Krypto-Algorithmus zu knacken. Brute-Force-Angriffe können ebenso auf verschlüsselte Dateien, Nachrichten und Informationen oder auch auf Passwörter angesetzt werden. Damit Brute-Force-Angriffe möglichst zeitintensiv sind, setzen die meisten Verschlüsselungssysteme sehr lange Schlüssel ein. Bei einem 32-Bit-Schlüssel wären es vier 9
  • 10. IT-Sicherheit Milliarden Möglichkeiten, die die heutigen Personal Computer in Minuten durchprobiert hätten. Entsprechend länger dauert die Ermittlung eines 48-Bit-Schlüssels oder gar eines 64-Bit- Schlüssels, der nur in mehreren tausend Jahren zu knacken wäre. BS 7799 Der British Standard BS 7799 von 1995 führt die offizielle Bezeichnung „Code of Practise for Information Security Management“ und bildet die Prüfungsgrundlage für die Sicherheit von IT- Systemen. Der britische Standard bildet eine international anerkannte Norm für die Bewertung der Sicherheit von IT-Umgebungen. Aus diesem Standard ist der internationale Standard ISO 17799 hervorgegangen, der als Referenzdokument für die Erstellung eines Informationssicherheits-Managementsystems (ISMS) dient. Das Ziel dieser Norm ist die Einführung eines Prozessansatzes, mit dem ein organisationsbezogenes ISMS entwickelt, umgesetzt, überwacht und verbessert werden kann. Bei den Zertifizierungen nach BS 7799 steht das gesamte IT-System auf dem Prüfstand und wird auf vorhandenes Risikopotenzial hin untersucht; und nicht einzelne Anwendungen, Subsysteme oder Dateien. Der Schutz sensibler Daten und wichtiger Geschäftsprozesse stehen im Vordergrund. Wichtige Aspekte des Standards sind die Definition, Spezifikation und Implementierung eines Informationssicherheits-Managementsystems (ISMS), die Entwicklung organisationsbezogener Normen und Praktiken hinsichtlich der Informationssicherheit sowie die Überwachung der Einhaltung von Vereinbarungen an die Informationssicherheit. Der Standard besteht aus zehn Kapiteln, die die Grundlagen für den praktischen Einsatz bilden: Security Policy, Security Organization, Asset Classification and Control, Personal Security, Physical and Environmental Security, Computer and Network Management, System Access Control, System Development and Maintenance, Business Continuity and Disaster Recovery 10
  • 11. IT-Sicherheit Planning und Compliance. ISO 17799, das das Management von Informationssicherheit beschreibt, schafft die Voraussetzungen für die Zertifizierung eines ISMS- Systems. Der Standard BS 7799 besteht aus zwei Teilen: Teil 1: Leitfaden zum Management von Informationssicherheit, Teil 2 von 1999: Spezifikation für Managementsysteme der Informationssicherheit. Sicherheitskonzept Im Jahre 2002 wurde der zweite Teil an internationale Management-Standards und die OECD-Richtlinien angepasst. Damit können Unternehmen einen Sicherheitsprozess etablieren, der den Sicherheitswert systematisch auf einem zu definierenden Niveau verbessert. Das von der ISO im Herbst 2005 herausgegebene Regelwerk ISO 2700x beinhaltet in der ISO 27001 die Aspekte von BS 7799 und löst dieses ab. http://www.thewindow.to/bs7799/index.htm 11
  • 12. IT-Sicherheit BSI, Bundesamt für Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde 1991 nach Inkrafttreten Sicherheit in der des BSI-Errichtungsgesetzes gegründet. Der Aufgabenbereich des BSI liegt in der Entwicklung Informationstechnik und Förderung von Technologien für sichere Netze für die Informationstechnik. Schwerpunkte der BSI-Aktivitäten sind der Schutz gegen Computer-Viren, die elektronische Signatur, die Internetsicherheit, der IT-Grundschutz, die Überprüfung von Sicherheitsarchitekturen und das E-Government. Verschiedenen Arbeitsgruppen befassen sich mit der Fortentwicklung des E-Government, der Bereitstellung von Computer-Dienstleistungen für Bundesbehörden sowie der Sicherheit des Internet. Das BSI erstellt Dokumente für die genannten Schwerpunkte, die über das Internet abgerufen werden können. http://www.bsi.de CC, common criteria „Common Criteria for Information Technology Security Evaluation“ (CC) ist die Weiterentwicklung von ITSEC, der TCSEC der USA und der kanadischen CTCPEC. Es handelt sich um weltweit anerkannte Sicherheitsstandards für die Bewertung und Zertifizierung informationstechnischer Systeme. Die Common-Criteria-Zertifizierung wurde 1998 von den Regierungsstellen in den USA, Kanada, Deutschland, Großbritannien und Frankreich begründet und bereits von Entwicklung der Common Criteria (CC) mehreren anderen Ländern übernommen. 12
  • 13. IT-Sicherheit Dabei hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) bei der Entwicklung der Common Criteria eine aktive Rolle übernommen. Die Common Criteria wurden von der NIST Sicherheitslevels nach ITSEC und Common Criteria (CC) veröffentlicht und sind international von der ISO standardisiert. Der Standard ISO 15408 beschreibt die Bewertung der Sicherheitsfunktionen von IT-Produkten. In den Common Criterias werden der Geltungsbereich für die sicherheitsrelevante Evaluierung beschrieben, darüber hinaus die funktionalen Anforderungen in Zusammenhang mit der Bedrohung und den Sicherheitszielen und die Anforderungen an die Vertrauenswürdigkeit. Die Klassifizierung der IT-Sicherheitsprüfung im Rahmen der Common Criteria erfolgt in sieben so genannten EAL-Stufen, die auch als Schutzprofile bezeichnet werden. Diese reichen von EAL1 für unzureichendes Vertrauen bis hin zu EAL7 für den formal verifizierten Entwurf und Test des IT-Equipments. http://www.bsi.bund.de/cc/ Compliance Der Begriff Compliance umschreibt ein regelkonformes Verhalten eines Unternehmens in Bezug auf die gesetzlichen und regulativen Bestimmungen. Die Compliance soll sicherstellen, dass die unternehmerischen Risiken erkannt, bewertet und durch die Implementierung 13
  • 14. IT-Sicherheit technischer Lösungen erfüllt werden. Die Rechtskonformität betrifft in gleichem Maße die handelsrechtliche und steuerrechtliche Dokumentation von Vorgängen, aber ebenso sicherheitsrelevante Lösungen der elektronischen Kommunikation und vor allem der Archivierung. Einschlägige Richtlinien für sicherheitstechnische Konformität finden sich in dem British Standard BS 7799, dem IT- Grundschutzhandbuch des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI GsHb), in den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) und in den Grundsätzen für ordnungsgemäße DV-gestützte Buchführungssysteme (GoBS). An weiteren Richtlinien und Gesetzen, die unternehmensspezifische Aspekte berücksichtigen, sind Basel II zu nennen, in denen die Eigenkapitalvorschriften festgelegt sind, die International Financial Reporting Standards (IFRS) für die Rechnungslegungen, das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) mit der die Corporate Governance in deutschen Unternehmen verbessert werden soll und den Sarbanes-Oxley-Act, der bei international tätigen Unternehmen die Bilanztransparenz erhöht. Content-Sicherheit Die Content-Security befasst sich mit dem Schutz der Informationen vor allen bekannten content security Viren, Würmern und Trojanern, sowie mit der Erkennung von neuen Gefahren und die Verhinderung von Spams. Zur Content-Security gehören Sicherheitslösungen für die Abwehr von Hackerangriffen, die über Sicherheitslücken in Netzwerken und Anwendungen Schaden anrichten. Bei der Content-Security werden die Daten hinsichtlich ihrer Integrität geprüft; des Weiteren wird geprüft ob sie verschlüsselt gesendet, empfangen und genutzt werden dürfen. Diese Sicherheitsprüfungen erfolgen nach einem festgelegten Regelwerk, den Policies, mit dem 14
  • 15. IT-Sicherheit organisatorische und personenspezifische Kenndaten überprüft werden. Die Maßnahmen für die Content-Security reichen von Anti-Virus-Programmen mit denen der Web-Verkehr und alle E-Mails gescannt werden, über die Abwehr von Hackerangriffen bis hin zu nachgeschalteten Anti-Spam-Filtern, Web-Filtern und E-Mail-Filtern. Wobei die Web- Filterung unerwünschte Webseiten ausfiltert und die E-Mail-Filterung die E-Mails inhaltsabhängig nach Text- und Anhängen durchsucht und entsprechend ausfiltert. Cracker Ein Cracker ist eine Person, die unberechtigt in ein Computersystem eindringt. Ziel der Cracker - der Begriff wird oft synonym mit Hacker verwendet - ist es, die Sicherheitssysteme zu knacken und die gewonnenen vertraulichen Daten nicht zum wirtschaftlichen oder sozialen Nachteil für das betroffene Unternehmen oder die betroffene Institution auszunutzen. Cracker verursachen häufig Schäden an den Systemen, im Gegensatz zu Hackern, die meistens nur ihre spezifische Visitenkarte hinterlassen. Im deutschen Sprachgebrauch versteht man unter einem Cracker eine Person die den Kopierschutz von Systemen knackt. CRAMM, computer risk CRAMM ist ein bereits 1987 vorgestelltes Software-Paket für das wissensbasierte analysis and Risikomanagement, das dem britischen Sicherheitsstandard BS 7799 entspricht und nach ISO management method 17799 zertifiziert ist. CRAMM basiert auf einer toolgestützten Struktur mit der Geschäftsprozesse modelliert und Schwachstellen in IT- und Kommunikationssystemen bewertet werden können. Darüber hinaus kann CRAMM Sicherheitsvorschläge unterbreiten, Notversorgungsmaßnahmen planen, ISMS generieren und zu schützende Objekte identifizieren. Mit dem Ergebnis, das als Report ausgegeben werden kann, kann das Management Schwachstellen und Risiken in den IT- 15
  • 16. IT-Sicherheit gestützten Geschäftsprozessen, in Software und Hardware, Netzwerken, Personal, Gebäude u.a. erfassen, bewerten und beseitigen. Crasher Die Begriffe Hacker, Cracker und Crasher haben unterschiedliche Bedeutung. Bei einem Crasher handelt es sich um jemanden, der Vandalismus in Computersystemen ausübt, diese zum Absturz bringt und vorsätzlich Schaden anrichtet. Datensicherheit Unter Datensicherheit sind gesetzliche Regelungen und technische Maßnahmen zu verstehen, data security durch die die unberechtigte Speicherung, Verarbeitung und Weitergabe schutzwürdiger Daten verhindert werden soll. Ziel ist es, die Persönlichkeitsrechte des Menschen vor den Folgen der Erfassung seiner Individualdaten bei der manuellen und automatischen Datenverarbeitung zu schützen. Innerhalb eines Betriebs gehören dazu personelle, organisatorische und revisionstechnische Regelungen, außerdem geräte- und programmtechnische Schutzmechanismen. Datenschutz, Datenintegrität und Datensicherung bilden die verlässliche Informationsverarbeitung. In Deutschland ist der Datenschutz durch das „Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung“ vom 27.1.1977 im Bundesdatenschutzgesetz (BDSG) verankert. Gewerbliche oder staatliche Computeranwender mit schutzbedürftigen Daten müssen Datenschutzbeauftragte einsetzen. Darüber hinaus gibt es in Deutschland das Bundesgesetz über den Datenschutzgesetz vom 19.06.1992. Es lautet: „Wer personenbezogene Daten für sich selbst oder im Auftrag für andere elektronisch bearbeitet, muss durch geeignete Maßnahmen den Verlust und den Missbrauch dieser Daten verhindern“. 16
  • 17. IT-Sicherheit DoS, denial of service Denial of Service (DoS) sind Attacken im Internet zur Beeinträchtigung von Webservices, die DoS-Attacke damit außer Betrieb gesetzt werden. Diese Angriffe können durch Überlastung von Servern ausgelöst werden, so beispielsweise mittels der Bombardierung eines Mail-Servers mit einer so großen Anzahl von Mails, dass dieser seine Funktion wegen Überlast nicht mehr ausüben kann, oder durch die Überflutung eines Netzwerks mit Datenpaketen. DoS-Attacken zielen in der Regel nicht auf den Zugang zum Netzwerk, System oder zu den Datenbeständen ab, sondern haben das Ziel einen Dienst einzuschränken, zu blockieren oder unbenutzbar zu machen. Dazu werden die zur Verfügung stehenden Programme oder Netzwerk-Ressourcen außerordentlich überbelastet. Ein DoS-Angriff kann durch IP-Spoofing vorbereitet werden. Der Angreifer nutzt dazu eine autorisierte IP-Adresse und gelangt so in das System oder das Netzwerk, um dann seine DoS- Attacke auszuführen. Neben dem Mail-Bombing, gibt es noch das SYN-Flooding, das Ping-Flooding und die DDoS- Attacken. EAL, evaluation Die Evaluation Assurance Level assurance level (EAL) kennzeichnen die Vertrauenswürdigkeit in eine Sicherheitsleistung. Im Rahmen der Common Criteria (CC) werden sie für die Bestimmung der Sicherheitsprüfungen Sicherheitslevels nach ITSEC und Common Criteria (CC) verwendet. 17
  • 18. IT-Sicherheit Es gibt sieben EAL-Stufen, die mit den Ziffern 1 bis 7 gekennzeichnet sind und mit steigender Ziffer einen höheren Sicherheitsstandard repräsentieren. So bietet die EAL-Stufe EAL1 einen einfachen Funktionalitätstest, der ein unzureichendes Vertrauen in die IT-Sicherheitsprüfungen darstellt; EAL7 bietet als höchster Sicherheitstandard eine formal logische Verifizierung. Anhand der EAL-Stufen ist eine Vergleichbarkeit der Sicherheitsfunktionalitäten von Programmen und Systemen gegeben. Allerdings sind bei der Bewertung der Sicherheitsleistungen die Schwachstellen, über die Eindringlinge in das oder Attacken auf das System ausgeführt werden können, zu analysieren. Flaming Flaming ist ein Internet-Jargon für eine bösartige, oft persönliche oder gar beleidigende Angriffe auf den Verfasser eines Artikels in einer Newsgroup, in Diskussionsforen oder auch beim Schreiben von E-Mails. Flaming sind verbale Auswüchse, die gegen die Netiquette verstoßen und unterbleiben sollten. Hacker Unter Hacker versteht man Personen, die sich über öffentliche Netze oder IP-Netze unberechtigten Zugang zu anderen Systemen verschaffen und versuchen auf den Datenbestand in fremden Systemen zuzugreifen. Der unberechtigte Zugang erfolgt in der Regel unter Umgehung der Sicherheitssysteme. Das Eindringen kann bei der Datenübertragung, auf den Leitungen, den Übertragungskomponenten oder Protokollen stattfinden. Als Gegenmaßnahmen gegen Hacker empfehlen sich u.a. das regelmäßige Auswechseln von Passwörtern, die Beseitigung von Schwachstellen im System, das Abschalten von nicht genutzten Systemdiensten, das Callback als Kommunikationsroutine, die Überwachung von Service-Eingängen und der Einsatz von IDS-Systemen. 18
  • 19. IT-Sicherheit Heuristik Heuristik ist die Lehre von Methoden zum Auffinden neuer Erkenntnisse. Heuristische heuristics Verfahren werden beispielsweise beim Aufspüren neuer Viren angewendet und zwar vorwiegend in dem Zeitraum, in dem noch kein neues Update für die Virenscanner entwickelt wurde. Um zu verhindern, dass in dem Zeitraum in dem die Hersteller die Updates für neue Viren entwickeln, der Schaden durch ein neues Virus möglichst gering gehalten wird, werden die Schädlinge mittels heuristischer Verfahren abgefangen. Hierbei suchen die Virenscanner nach verdächtigen Codes, der beispielsweise die Festplatte formatiert oder unerwartete Online-Verbindungen aufbaut. Das Erkennen solcher Phänomene wird vom Virenscanner angezeigt. Hijacking Das englische Wort Hijacking steht für Entführung. Es wird in IP-Netzen für Angreifer benutzt, in denen der Angreifer eine Domain oder eine aktive IP-Sitzung übernimmt. Der Angreifer schlüpft dabei nach der Autorisierung des Nutzers in dessen Rolle und übernimmt die IP- Verbindung. Beim UDP-Prokoll ist das Vorgehen besonders einfach, da es nicht verbindungsorientiert arbeitet. Anders ist es beim TCP-Protokoll, bei dem der Angreifer die Sequenznummer erraten muss. Ziel des Hijacking ist es, sich fremde Informationen und Datenbestände anzueignen. Daher kann das Hijacking auf den Content ausgerichtet sein, dann handelt es sich um Content- Hijacking, aber auch auf Domains, man spricht dann von Domain-Hijacking. Beim Content- Hijacking geht es um fremde Inhalte, an denen der Angreifer interessiert ist und die er sich aneignen möchte. Ein solcher Content-Angriff auf eine Domain kann beispielsweise dazu dienen den PageRank von der Website, von der der Content entnommen wurde, zu verschlechtern und gleichzeitig den eigenen zu erhöhen. Beim Domain-Hijacking geht es um registrierte, aber bereits gelöschte Websites. Diese sind 19
  • 20. IT-Sicherheit dann von besonderem Interesse, wenn viele Hyperlinks auf diese Website hinweisen und diese einen höheren PageRank besitzen. Der Angreifer bestückt die besetzte Domain mit eigenen Inhalten und profitiert von dem vorhandenen PageRank. Hoax Hoaxes sind elektronische Falschmeldungen, die bewusst durch Dritte über E-Mails verbreitet werden. Die Hoaxes enthalten Text, der in die Irre führen soll wie eine Zeitungsente oder ein Aprilscherz, richten aber keinen direkten Schaden an. Um eine weite Verbreitung zu finden, werden sie als Kettenbrief gehandhabt. Eine Hoax kann alle Themenbereiche tangieren, die Warnung vor einem Virus, Unternehmens- und Börsennachrichten, den Umweltschutz, das Wetter bis hin zu weiteren Warnhinweisen. Sie verbreiten sich extrem schnell und werden von Virenscannern nicht erkannt. In Hoaxes finden sich in der Regel Aufrufe, diese auch an Bekannte und Kollegen weiterzuleiten. Identifikation Die Identifikation ist die Überprüfung einer Person oder eines Objektes in Bezug auf identification vorgelegte, eindeutig kennzeichnende Merkmale, die Identität. Diese Identität kann anhand von eindeutigen Merkmalen, die denen eines Ausweises entsprechen, überprüft werden. Oder auch mittels Passwörtern und gespeicherten Referenzpasswörtern. Für die Identifizierung gibt es verschiedene Medien und Verfahren; u.a. Chipkarten, Magnetkarten, Smartkarten und biometrische Verfahren. Darüber hinaus werden in der Warenwirtschaft Strichcodes, 2D-Codes und RFID für die eindeutige Warenkennzeichnung eingesetzt. Bei der biometrischen Identifikation werden individuelle, körperspezifische Merkmale wie der Fingerabdruck, das Gesichtsfeld oder die Iris für die Identifikation genutzt. 20
  • 21. IT-Sicherheit Identität Eine Identität ist der eindeutige Identifikator für eine Person, Organisation, Ressource oder identity einen Service zusammen mit optionaler zusätzlicher Information (z.B. Berechtigungen, Attributen). Die Identität umfasst eindeutig kennzeichnende Merkmale. Es gibt verschiedene Techniken zur eindeutigen Identitätskennzeichnung wie die ID-Nummer oder der elektronische Schlüssel, der die Identität eines Benutzers sicherstellt, und diverse Verfahren zur Prüfung und Feststellung der Identität. Informationssicherheit Informationssicherheit ist der Präventivschutz für Persönlichkeits- und Unternehmens- information security Informationen und ist auf kritische Geschäftsprozesse fokussiert. Ein solcher Schutz bezieht sich gleichermaßen auf Personen, Unternehmen, Systeme und Prozesse und wird durch Integrität, Verfügbarkeit, Vertraulichkeit, Verbindlichkeit, Nachweisbarkeit und Authentizität erzielt. Die Informationssicherheit soll den Verlust, die Manipulation, den Schwachstellen in der Informationssicherheit unberechtigten Zugriff und 21
  • 22. IT-Sicherheit die Verfälschung von Daten verhindern. Die Basis für die Informationssicherheit kann durch konzeptionelle, organisatorische und operative Maßnahmen erreicht werden. Dazu gehört die Umsetzung von sicherheitsrelevanten Grundsätzen eines Unternehmens, die so genannte Informationssicherheitspolitik. In dieser sind die Ziele des Unternehmens und die Realisierung festgelegt. Ein wichtiger Ansatz für die Sicherheit von Informationssystemen ist der British Standard BS 7799 sowie der ISO-Standard 17799 als Implementierungsleitfaden. Diese beiden Sicherheitsstandards werden in der Security-Norm ISO 27001 berücksichtigt. Internetsicherheit Als weltweit größter Netzverbund bietet das Internet Angreifern hinreichende Möglichkeiten, Internet security sich unberechtigten Zugriff auf Datenbestände und Ressourcen zu verschaffen, Datenbestände und übertragene Daten zu manipulieren und zu sabotieren. Die technischen Möglichkeiten für das unberechtigte Eindringen in fremde Datenbestände reichen vom Abhören von Passwörtern, über das IP-Spoofing, Übertragungsstrecke mit Web-Shield bei dem sich der 22
  • 23. IT-Sicherheit Eindringling einer gefälschten IP-Adresse bedient, über das IP-Hijacking, bei dem der Angreifer eine bestehende IP-Verbindung übernimmt, den Replay-Angriff, bei dem der Angreifer gezielt vorher gesammelte Informationen einsetzt, um dadurch fehlerhafte Transaktionen auszuführen, über das SYN-Flooding, einem gezielten Angriff auf den Server, um diesen durch Überlast von seinen eigentlichen Aufgaben abzulenken, bis hin zum Man-in-the- Middle-Angriff, einer Attacke, bei der die Kommunikation zwischen zwei Partnern abgefangen und manipuliert wird. Wirkungsvolle Maßnahmen gegen diese Bedrohungen der Internetsicherheit bieten so genannte Web-Shields, die als Application Layer Gateway (ALG), auch bekannt als Web Application Firewall (WAF), agieren. Im Gegensatz zu klassischen Firewalls und IDS-Systemen untersuchen die genannten Systeme die Kommunikation auf der Anwendungsebene. ISMS, information Ein Informationssicherheits-Managementsystem (ISMS), das nach der Normenreihe ISO 2700x security management zertifiziert wird, erfüllt die Voraussetzungen für ein qualifiziertes Sicherheitsmanagement. Ein system solches ISMS-System, bestehend aus Richtlinien, Maßnahmen und Tools, beherrscht spezifische IT-Risiken und garantiert die geforderte IT-Sicherheit. Ein ISMS-System mit einem Prozess-orientierten Ansatz bildet die Grundlage für das Unternehmen und dessen Positionierung hinsichtlich der Informationssicherheit. In einem solchen Ansatz sollten die Bedeutung, die Anforderungen und die Ziele der Informationssicherheit festgelegt sein. Des Weiteren sollte die Effektivität des ISMS kontrolliert und das System ständig nachvollziehbar verbessert werden. Bei diesem Prozess- orientierten Ansatz kann jede Aktivität, die Ressourcen nutzt, als Prozess betrachtet werden. Wobei jeder Prozess den Input für den folgenden Prozess bilden kann. Ein ISMS-System muss in allen Hierarchieebenen eines Unternehmens implementiert sein und 23
  • 24. IT-Sicherheit von Verantwortlichen betreut werden. In der Implementierung eines solchen Systems spiegelt sich die Organisation mit ihren unternehmerischen Anforderungen wider. Die Normenreihe ISO 2700x behandelt die Thematik ISMS, dabei geht die Norm ISO 27001 auf die Zertifizierungsanforderungen ein und ISO 27003 gibt Anleitungen für die Entwicklung und die Implementierung eines Information Security Management Systems (ISMS). ISO 17799 Der im Jahre 2000 verabschiedete internationale Standard ISO 17799 für die IT-Sicherheit ist aus dem British Standard BS 7799 hervorgegangen. Der Standard mit dem Titel „Code of Practice for Information Security Management“ bietet eine Auswahl an Kontrollmechanismen, die auf Methoden und Verfahren basieren, die sich in der IT-Sicherheit bewährt haben. In dem Standard werden keine konkreten Sicherheitslösungen empfohlen; allerdings sollten Unternehmen und Organisationen aller Branchen die im Standard aufgeführten Richtlinien beachten und umsetzen. Die ISO hat mit ISO 17799 ein formelles Anerkennungs- und Zertifizierungsverfahren für die Einhaltung der Standards eingeführt, wodurch sich die allgemeine Qualität des Standards verbessert hat. Dieser Standard, der den ersten Teil von BS 7799 umfasst, ist weltweit akzeptiert. Im Jahre 2005 wurde ISO 17799 überarbeitet und in der neuen Fassung Vom BS 7799 über die ISO 17799 unter der Normenreihe ISO 2700x als ISO 27002 zur ISO 27002 veröffentlicht. 24
  • 25. IT-Sicherheit ISO 17799 ist eine Sammlung von Empfehlungen, die für die IT-Sicherheit und das Business Continuity Management (BCM) angewendet werden. Diese Richtlinien haben sich in der Praxis bewährt können in allen Hierarchieebenen von Unternehmen, Institutionen und Organisationen eingesetzt werden. Da die Vielfalt der Sicherheitsaspekte von der Systemumgebung und der Unternehmensorganisation geprägt ist, ist ISO 17799 ein flexibler Standard, der eigene Interpretationen zulässt. IT-Sicherheit Die IT-Sicherheit tangiert alle IT security technischen Maßnahmen zur Verringerung des Gefährdungspotenzials für IT- Anwendungen und -Systeme. Alle mit dem Gefährdungspotenzial in Zusammenhang stehenden Schutzmaßnahmen, wie die Entwicklung von Sicherheitskonzepten, die Vergabe von Zugriffsberechtigungen und die Implementierung von Sicherheitsstandards, sind Aspekte der IT-Sicherheit. IT- Sicherheitskonzept Sicherheit ist die technische 25
  • 26. IT-Sicherheit Umsetzung der Sicherheitskonzepte unter wirtschaftlichen Aspekten. Die IT-Sicherheit umfasst alle gefährdeten und daher schützenswerten Einrichtungen, Systeme und Personen. Dazu gehören u.a. Gebäude, Netze, Hardware und Software sowie die an den Systemen Arbeitenden. Ziel der IT-Sicherheit ist es, die Verfügbarkeit von Systemen und Daten sicherzustellen, die Vertraulichkeit zu gewährleisten, damit weder Unbefugte auf Dateien zugreifen können und die Dateien auch bei der Übertragung weiterhin vertraulich bleiben, die Sicherstellung der Authentizität und der Integrität der Daten. Für die physikalische IT-Sicherheit gibt es mehrere nationale und europäische Standards, so die Definition der Brandabschnitte nach DIN 4102 oder die in den EN-1047-Standards spezifizierten Belastungsgrenzen für Daten und Systeme. Darüber hinaus gibt es Richtlinien und Güteklassen für den Einbruchschutz mit der Beschreibung des Mauerwerks. ITSEC, information Die Information Technology Security technology security Evaluation Criteria (ITSEC) sind evaluation criteria europäische Sicherheitsstandards, die der Bewertung und Zertifizierung der Sicherheit von IT-Systemen dienen. Es handelt sich um eine technisch orientierte, produktbezogene Sicherheitsrichtlinie. ITSEC ist aus verschiedenen europäischen Sicherheitsrichtlinien, den UK Confidence Levels, German Criteria, Entwicklung der ITSEC French Criteria und dem US Orange 26
  • 27. IT-Sicherheit Book TCSEC hervorgegangen. Die Kriterien sind in einem Katalog zusammengefasst und sind nur für den europäischen Raum gültig. Das Vertrauen in die Sicherheitsstufen von ITSEC ist in sogenannte Evolutionsstufen gegliedert. Es gibt die Stufen E0, was ein unzureichendes Vertrauen widerspiegelt, bis E6 für höchstes Vertrauen. Je höher die Evolutionsstufe, desto fachkundiger sind die Eindringlinge. Die Evaluierung beinhaltet die Prüfung und Bewertung der Sicherheitseigenschaften eines IT- Produkts nach den festgelegten Sicherheitskriterien. Die Weiterentwicklung des ITSEC sind die Common Criteria for Information Technology Security Evaluation. Die ITSEC, die 1991 von der EU-Kommission verabschiedet wurde und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) angewendet wird, ist das europäische Gegenstück zur amerikanischen TCSEC. Aus beiden wurden die Common Criteria (CC) entwickelt. Makrovirus Makroviren werden im Gegensatz zu normalen Viren in einer Makrosprache erstellt und macro virus befallen im Gegensatz zu diesen Dokumente der jeweiligen Host-Anwendung. Da Makros wiederkehrende Tastatureingaben und Programmabläufe automatisieren helfen, können Computerviren über Makroprogramme erstellt und reproduziert werden. Makroviren sind in Dokumenten eingelagert und werden bei Aufruf und Weitergabe der Dateien verteilt. Durch diese einfache Verbreitung können Makroviren enorme Schäden verursachen, beispielsweise durch Veränderung der Zahlen in einer Tabellenkalkulation. Malware Unter den Oberbegriff Malware fallen alle unerwünschten Software-Aktivitäten, die die IT- Sicherheit oder die Funktionsfähigkeit von Computern und Systemen beeinträchtigt. Dazu 27
  • 28. IT-Sicherheit zählen im Einzelnen Viren, Trojaner und Würmer, Flooding und DoS-Attacken, Spyware, Spams, Hoaxes usw. Bei Malware handelt es sich immer um Aktivitäten, die vom Benutzer nicht erwünscht sind. Die technischen Verfahren mit denen die Malware-Aggressoren ihre Opfer ausspähen sind auf einem hohen technischen Niveau. Gängige Antiviren- und Anti-Malware-Programme sind auf nicht in der Lage die Angriffe zu erkennen oder aufzuspüren. Wenn die Malware-Angriffe ihre Aufgaben erfüllt und Konstruktionspläne, Kontennummern oder andere Informationen ausgespäht haben, verwischen die Programme ihre eigenen Spuren. Häufig kann der entstandene Schaden und das Eindringen erst dann rekonstruiert werden, wenn der Privatmann oder das Unternehmen bereits geschädigt wurde. Man-in-the-Middle- Man-in-the-Middle ist ein Angriff auf den Kommunikationskanal zwischen zwei Partnern. Der Angriff Angreifer versucht dabei den Kommunikationskanal unter seine Kontrolle zu bringen, und zwar man-in-the-middle attack in der Art und Weise, dass die Kommunikationspartner nicht feststellen können ob sie miteinander oder mit dem Angreifer kommunizieren. Man-in-the-Middle-Angriffe können dann erfolgreich sein, wenn für die Verschlüsselung Public- Key-Verfahren ohne signierte Zertifikate benutzt werden, wie beispielsweise bei HTTPS. Abhilfe gegen Man-in-the-Middle-Angriffe schafft nur eine eindeutige Identifikation der Teilnehmer, ohne dem Angreifer die Identifikation preiszugeben. Netzwerksicherheit Die Netzwerksicherheit ist eine Symbiose aus Richtlinien und Vorschriften, aus Produkten und network security Diensten. Sie tangiert alle Unternehmensebenen, vom Benutzer über den Administrator bis hin zur Unternehmensführung. Es ist ein Maßnahmenkatalog in Form einer Security Policy, die dafür sorgen muss, dass die Zugriffsberechtigung, Autorisierung, Identifikation und 28
  • 29. IT-Sicherheit Authentifizierung verwaltet werden, dass jede Attacke, jeder unerlaubte Zugriff, jede Art der Sabotage, der Manipulation, des Missbrauchs und der Beeinflussung der Datenbestände und Ressourcen verhindert oder unmittelbar erkannt wird und dass das Einschleusen von Viren, Würmern oder Trojanern, DoS-Attacken oder IP-Spoofing nicht möglich ist. Ausgehend von einem solchen Maßnahmenkatalog können technische Lösungen implementiert werden. An netzwerkumfassenden Konzepten gibt es Network Access Control (NAC) von Cisco und anderen Unternehmen, Network Access Protection (NAP) von Microsoft und Trusted Network Connect (TNC) von der Trusting Computing Group. Perimeter-Sicherheit Perimeter-Sicherheit betrifft die Sicherheit am Übergang zwischen dem Unternehmensnetz und perimeter security dem Internet. Für die Perimeter-Sicherheit sind bestimmte Richtlinien definiert, die die IT- Technik des Unternehmens gegen das Gefahrenpotential schützen, das durch Viren, Würmer und Hacker verursacht wird. Zu den in den Richtlinien genannten Möglichkeiten gehören Firewalls, Virenscanner und Anti-Viren-Software sowie Web-Filtertechniken. Phishing Mit der Wortschöpfung Phishing, das sich aus Passwort und Fishing zusammensetzt, ist ebenso wie das Pharming eine Technik, bei der der Angreifer versucht, die persönliche Identifikations-Nummer (PIN) und die Transaktionsnummer (TAN) von Bankkunden über das Internet abzufragen und damit Finanztransaktionen durchzuführen. Die Angreifer, die Phisher, fragen über gefälschte Bank-Homepages die vertraulichen Daten ab. Zu diesem Zweck wird eine nachgemachte Homepage eines Geldinstituts ins Internet gestellt. Nach dem Zufallsprinzip werden E-Mails mit einem Link auf die gefälschte Hompage versandt. In diesen E-Mails werden Sicherheitsaspekte oder bankrelevante Themen behandelt mit dem 29
  • 30. IT-Sicherheit Hinweis auf die angebliche Homepage. Die in die nachgebildeten Hompages eingetragenen persönliche Identifikationsnummern und Transaktionsnummern werden ausgefiltert und stehen den Angreifern unmittelbar für unberechtigte Finanztransaktionen auf der richtigen Homepage zur Verfügung. Da das Phishing wegen Beispiel, in der die Postbank auf gefälschte Home-Pages zum Zwecke des dessen Vorgehensweise Phishings hinweist nicht mehr den erhofften Erfolg zeitigt, wurde es verfeinert zum Spear-Phishing. Bei dieser Methode werden die Opfer ganz gezielt angegangen in dem sich die Phisher als alte Bekannte ausgeben und dazu harmlose Informationen aus Social Networks benutzen. Das darüber aufgebaute Vertrauen nutzen die Phisher um über Formulare einen Link anzuklicken über den eine Ominöse Software geladen wird. Phreaking Das Phreaking ist eine ältere Methode zu Umgehung von Telefonkosten, die ursächlich mit den Vermittlungstechniken in Telefonnetzen und dort im Besonderen mit der Signalisierung 30
  • 31. IT-Sicherheit zusammenhängt. Die Kreativität der Phreaker, das sind Diejenigen die das Phreaking beherrschen, hat sich nicht nur auf das Nachbilden von Signalisierungssequenzen beschränkt. Phreaker analysieren und modifizieren die Schwachstellen der verschiedenen Einwahltechniken und Bezahlformen, einschließlich der Telefonkarten oder Callingcards, und setzen die Erkenntnisse konsequent zum eigenen kostenlosen Telefonieren ein. Was die Signalisierung betrifft, so arbeiten Fernmeldenetze in den USA, in Kanada, Australien und China mit der älteren C5-Signalisierung, die als Innenband-Signalisierung mit Zweiton- und Mehrtonverfahren im Sprachkanal arbeitet, also keinen unabhängigen Signalisierungskanal benutzt, wie beispielsweise das Signalisierungssystem Nr. 7 (CCS7). Die Steuersignale und - sequenzen der C5-Signalisierung können somit direkt aus dem Sprachkanal ausgefiltert und für eigene Zwecke missbraucht werden. Da die Betreibergesellschaften die Steuersequenzen wegen des Phreaking ändern, arbeiten die Phreaker mit Frequenzscannern, die die Frequenzen automatisch scannen, die Sequenzen aufzeichnen und das Ganze noch in einen Softwaredialer einbringen. Über das Monitoring der Carrier können Phreaker mittels Fangschaltung erfasst werden. Das Phreaking, das besonders bei internationalen Verbindungen interessant ist, ist ein globales Problem. National ist das Phreaking, bedingt durch die verwendete Außenband- Signalisierung schwierig. PnP-Sicherheit Plug-and-Play (PnP) ist ein Schnittstellenkonzept für das konfliktfreie Anschließen von plug and play security Peripheriegeräten an einen Personal Computer. Das schnelle Erkennen der angeschlossenen Peripheriegeräte bietet aber nicht nur Vorteile, sondern auch diverse Risiken, da durch unberechtigten Zugriff wichtige Daten aus den Personal Computern (PC) kopiert, ebenso aber auch Daten, Viren und Trojaner über die Plug-and-Play-Schnittstelle in das Firmennetz 31
  • 32. IT-Sicherheit eingespeist werden können. In diesem Zusammenhang darf die Entwicklung der Mobilspeicher wie dem USB-Stick nicht außer Acht gelassen werden. Dieses Risiko wird durch drahtlose Schnittstellen wie Wireless-USB noch erhöht, da der Anwender häufig nicht erkennen kann, wer mit seinem Computer gerade kommuniziert. Die Betriebssysteme bieten keine Möglichkeit der Schnittstellenkontrolle. Sicherheitsaspekte von Schnittstellen ist daher ein Thema der Netzwerk- und IT-Sicherheit. Bei der Absicherung der Schnittstellen kommt es auf die konsequente Umsetzung der Sicherheitsregeln an. Diese Umsetzung kann durch Sicherheitsmodule vorgenommen werden, die die Nutzung der PnP-Geräte überwachen. Die Echtzeitüberwachung von Schnittstellen und Peripheriegeräten ist ein Punkt bei der Lösung der Schnittstellen-Sicherheitsproblematik, die automatische Geräteerkennung und schnelle Freigabe ein weiterer. Die PnP-Geräte, die eine Zugangsberechtigung haben, werden zentral oder direkt am Arbeitsplatz über Fernzugriff registriert. Die Einstellungen können entweder direkt im Active Directory von Windows oder im NetWare Directory Service (NDS) zentral verwaltet werden. Risiko Unter Risiko versteht man die Wahrscheinlichkeit für den Eintritt eines Schadensfalles. Ein risk solches Schadensereignis kann in der IT-Technik durch bestimmte Schwachstellen in den Systemen, Komponenten, Kommunikationsnetzen oder Software auftreten, die zufällig oder vorsätzlich ausgenutzt werden. Das bedeutet, dass die Sicherheit der Systeme unmittelbar von dem Risiko abhängig ist: Je höher das Risiko, desto geringer ist die vorhandene Sicherheit und umgekehrt. Das Risiko beginnt da, wo die Sicherheit aufhört. Je höher die Sicherheit veranschlagt wird, desto geringer ist das Risiko. Werden die risikobehafteten Schwachstellen durch methodische Verfahren ermittelt, spricht man von Risikoanalyse. Bei einer solchen Analyse werden technische und menschliche 32
  • 33. IT-Sicherheit Schwachstellen erforscht, damit die Häufigkeit und die Länge der Schadensfälle eingeschränkt und reduziert werden kann. Die Ergebnisse der Risikoanalyse fließen in das Risikomanagement ein. Risiken lassen sich klassifizieren nach den Objekten, den Aktivitäten, den Urhebern und der Ursache, nach der Häufigkeit und der Schadenshöhe. Risikoanalyse Die Risikoanalyse arbeitet mit methodischen Verfahren und beschäftigt sich mit der Erkennung risk analysis und Bewertung von Gefahren und Bedrohungen, denen die Informationssysteme ausgesetzt sind. Sie erforscht menschliche und technische Schwachstellen um die Schadensfälle zu analysieren und deren Häufigkeit und Dauer zu reduzieren. Neben der analytischen Bewertung des Risikos und der Abschätzung der Wahrscheinlichkeit zukünftiger Faktoren der Risikoanalyse Gefahren, geht es bei der Risikoanalyse um die Konsequenzen und die Kosten, die sich aus den Ausfallzeiten der IT- Systeme und einem möglichen Datenverlust ergeben. Die Ergebnisse der Risikoanalyse gehen unmittelbar in das Risikomanagement ein. 33
  • 34. IT-Sicherheit Sabotage Im Kontext mit ITWissen.info und den darin behandelten Themenbereichen der Datenkommunikation und der Informationstechnik ist Sabotage als ein vorsätzlicher Eingriff in ein System, Netzwerk oder Programm um dessen Funktion zu beeinträchtigen und den wirtschaftlichen Ablauf zu stören. Sabotage gefährdet die Daten- und Netzwerksicherheit sowie die Informations- und IT-Sicherheit. Sie stellt eine Bedrohung dar und kann sich auch auf die Beschädigung von Einrichtungen oder Systemen beziehen. Im Gegensatz zur Manipulation setzt die Sabotage kriminelle Energie voraus. Schwachstelle Der Begriff Vulnerability, zu Deutsch Schwachstelle, wird in der Informationssicherheit in dem vulnerability Sinne benutzt, als dass es sich um einen Fehler der Software handelt, der von Hackern genutzt werden kann und ihnen den Zugriff auf Systeme oder Netzwerke ermöglicht. In Zusammenhang mit den Common Vulnerabilities and Exposures (CVE) geht es bei der Vulnerability um die Verletzung der Sicherheitspolitik eines IT-Systems durch einen Angreifer. Das Vulnerability Management (VM) erarbeitet Verfahren und Prozesse um die sicherheitsrelevanten Schachstellen in IT-Systemen zu erkennen und beseitigen. Schwachstellen- Das Vulnerability Management (VM) befasst sich mit den sicherheitsrelevanten Schachstellen management in IT-Systemen. Mit dem VM-Management sollen Prozesse und Techniken erarbeitet werden, VM, vulnerability mit denen zur Steigerung der IT-Sicherheit eine Sicherheitskonfiguration in Unternehmen management eingeführt und verwaltet werden kann. Das Vulnerability Management umfasst die Schwachstellenanalyse unter Berücksichtigung der in den Standards BS 7799 resp. ISO 17799 detailliert beschriebenen Faktoren Mensch, Maschine, Umgebung und Daten. Darüber hinaus spielt beim VM-Management das Common Vulnerability Scoring System (CVSS), mit dem ein Rating- Index erstellt wird, eine wesentliche Rolle. 34
  • 35. IT-Sicherheit Sicherheit Unter Sicherheit sind alle technischen und organisatorischen Maßnahmen zu verstehen die security Daten schützen. Dieser Schutz wird bei den Bedienenden realisiert, in Systemen und Computern, bei der Übertragung sowie in Diensten und Anwendungen. Unter Berücksichtigung des möglichen Gefährdungspotentials werden Sicherheitsmechanismen implementiert, die das Eindringen in Systeme, das Abhören der Übertragungswege, die Manipulation, die Sabotage und das Löschen von Datensätzen verhindern soll. Zu den personenbezogenen Schutzmechanismen gehören die Autorisierung und Authentifizierung durch Passwörter oder persönlicher Identifikationsnummer (PIN), biometrische Daten oder Signaturen. Die systembezogenen Sicherheitskriterien gehören zur IT-Sicherheit und umfassen technische und organisatorische Maßnahmen. Dazu gehören die Installation eigener Sicherheitsarchitekturen mit Firewalls, das Sicherheitsmanagement und die Schlüsselverwaltung. Kennzeichnend für die übertragungstechnische Sicherheit, die Netzwerksicherheit und die Internetsicherheit, sind die Verschlüsselungsverfahren und die Datenübertragung mit Sicherheitsprotokollen. Anwendungsorientierte Schutzmaßnahmen haben branchenspezifische Eigenschaften, wie beispielsweise bei geschäftlichen Transaktionen, bei denen digitale Signaturen und Transaktionsnummern die Sicherheit verbessern. Unter Sicherheit fallen alle Kriterien, die die Integrität, Verfügbarkeit, Vertraulichkeit, Verbindlichkeit, Betriebssicherheit und Authentizität betreffen. Sicherheits-ID Die Sicherheits-ID (SID) dient der eindeutigen Identifizierung eines Benutzer in einem SID, security identifier Sicherheitssystem. Sicherheits-IDs können einzelnen Personen oder ganzen Benutzergruppen zugewiesen werden. Bedingt durch die Vielzahl an Benutzernamen ist es möglich dass im Netz viele 35
  • 36. IT-Sicherheit Doppeldeutigkeiten auftreten, die entsprechende Probleme verursachen. Aus diesem Grund wird mit dem Security Identifier (SID) jedem Benutzer eine eindeutige Kennung zugewiesen, die kein anderer Benutzer hat. Mit der SID-Kennung, die von den Betriebssystemen unterstützt werden, werden dem Benutzer in aller Regel auch Rechte zugewiesen und er ist im gesamten Netzwerk unter dieser SID-Kennung identifizierbar. Wird der Benutzername aus dem Netzwerk gelöscht, dann erlischt auch sein Security Identifier. Unter Windows besteht der Security Identifier aus der Revisionsnummer des Betriebssystems, der Identifier Authority, der Domain-ID und der Benutzer-ID. Sicherheitsarchitektur Die Sicherheitsarchitektur der ISO bildet den zweiten Teil des OSI-Referenzmodells und ist die security architecture Basis für die Integration von Sicherheit in offenen Kommunikationssystemen. Die OSI- Sicherheitsarchitektur beschreibt keine bestimmte Technologie, wie Sicherheit in offenen Systemen erreicht wird, sondern sie befasst sich mit den Sicherheitsaspekten in offenen Kommunikationssystemen und definiert die zugehörige Gedanken- und Begriffswelt sowie Richtlinien und Maßnahmen um vorhandene Standards zu verbessern und neue zu entwickeln. Die OSI-Sicherheitsarchitektur stellt die Beziehungen zwischen den Sicherheitsdiensten und - mechanismen mit den Schichten des OSI-Referenzmodells her. Die verschiedenen Sicherheitsdienste und -mechanismen sind auf allen sieben Schichten des OSI- Referenzmodells angesiedelt; von der Bitübertragungsschicht bis hin zur Anwendungsschicht. Sicherheitsdienst Sicherheitsdienste sollen Angriffe abwehren. Es handelt sich dabei um Technologie- security service unabhängige Sicherheitsmaßnahmen, die durch ihre Leistungsmerkmale genau definiert sind und in die Schichtenstruktur der Sicherheitsarchitektur eingebunden werden. Die fünf primären Sicherheitsdienste Vertraulichkeit, Integrität, Authentifizierung, Zugriffskontrolle und 36
  • 37. IT-Sicherheit Unwiderrufbarkeit werden durch Sicherheitsmechanismen realisiert. Neben den genannten Sicherheitsdiensten gibt es weitere, die detaillierter sind, wie die Unversehrtheit der Nachricht oder der Kommunikationsnachweis. Jeder Sicherheitsdienst basiert auf einem oder mehreren Sicherheitsmechanismen. Ein Sicherheitsdienst ist die Vertraulichkeit, mit der sichergestellt wird, dass nur Befugte auf entsprechende Informationen zugreifen können. Sie schützt vor passiven Angriffen und damit vor dem unbefugten Mitlesen von übertragenen Nachrichten und gespeicherten Informationen. Bei den aktiven Angriffen steht die Veränderung der Information und die damit einhergehende Reaktion des Sicherheitsdienste und deren -mechanismen Empfängers im Vordergrund. Die Vertraulichkeit basiert auf den 37
  • 38. IT-Sicherheit Sicherheitsmechanismen Verschlüsselung und Integrität. Der Sicherheitsdienst Datenintegrität überprüft die Datenunversehrtheit und zeigt an ob Datenströme verändert, manipuliert, modifiziert, gelöscht oder vertauscht wurden. Ein weiterer Sicherheitsdienst ist die Zugriffskontrolle, die durch entsprechende Mechanismen die Möglichkeiten des unberechtigten Zugriffs auf Programme und Daten weitestgehend eingeschränkt. Mit der Vertraulichkeit wird sichergestellt, dass Informationen nur für Befugte zugänglich sind. Die Authentifikation des Kommunikationspartners und des Ursprungs der Nachrichten, der Empfänger- und Urhebernachweis, sind weitere sicherheitsrelevante Dienste. Sicherheitsinfrastruktur Unter einer Public Key Infrastructure (PKI) PKI, public key versteht man eine Umgebung, in der infrastructure Services zur Verschlüsselung und digitalen Signatur auf Basis von Public- Key-Verfahren bereitgestellt werden. Bei dieser Sicherheitsstruktur wird der öffentliche Schlüssel eines Zertifikatnehmers (ZN) mit den Strukturierung der PKI entsprechenden Identifikationsmerkmalen 38
  • 39. IT-Sicherheit durch eine digitale Signatur von einer Zertifizierungsinstanz (CA) autorisiert. Die Instanzen der Sicherheitsinfrastruktur sind dabei für das gesamte Schlüssel-Management zuständig. Der Einsatz von PKI bietet eine vertrauenswürdige Netzwerkumgebung, in der Kommunikation vor unberechtigtem Zugriff durch Verschlüsselung geschützt und die Authentizität des Kommunikationspartners durch die digitale Signatur gewährleistet ist. Die verschiedenen Anwendungen der PKI sind kryptografisch geschützt. Dazu gehören der Schutz von E-Mail-Anwendungen, von Desktopsystemen und von webbasierten Anwendungen, von E- Commerce, sowie die Zugriffskontrollen und die sichere Kommunikation in VPNs. Die PKI nutzt zwei Schlüssel mit einer typischen Länge von 1024 bis 2048 Bit. Einen privaten, den nur der Besitzer und die Zertifizierungsstelle kennen und der auch nie ausgelesen oder verschickt wird, sowie einen öffentlichen Schlüssel, der dem jeweiligen Geschäftspartner bekannt gemacht werden muss. Die PKI-Architektur besteht aus den Instanzen Policy Certification Authority (PCA), Certification Authority (CA), Registration Authority (RA) und dem Zertifikatnehmer, die unterschiedliche Aufgaben realisieren. Darüber hinaus umfasst das PKI-Modell mehrere Funktionseinheiten wie das Key Management Center (KMC), die Time Stamping Authority (TSA) und das Key Recovery Center (KRC). Der ausgezeichnete Teil der PKI wird als Trust Center bezeichnet. Eine Sicherheitsinfrastruktur muss für den Endbenutzer transparent sein, allerdings sollten die genauen Abläufe des Schlüssel- und Zertifikatmanagements vor dem Benutzer verborgen bleiben. Er sollte aber in der Lage sein, auf einfache Art und Weise die Services zu nutzen. Sicherheitsmanagement Das OSI-Sicherheitsmanagement ist einer von fünf Funktionsbereichen des OSI-Managements SM, security management und hängt mit der Zielspezifikation der Benutzerverwaltung unmittelbar zusammen. 39
  • 40. IT-Sicherheit Sicherheitspolitische Aspekte müssen ethische und gesetzliche Komponenten ebenso berücksichtigen wie rechtliche, organisatorische und wirtschaftliche Voraussetzungen. Das Sicherheitsmanagement (SM) umfasst den Schutz von Informationen. Dies kann sich auf den Schutz von Objekten, von Diensten und Ressourcen auswirken. Zu den Sicherheitsmaßnahmen gehören u.a. die Authentifizierung, die Passwortverwaltung und die Zugriffsberechtigung auf Netze und LAN-Segmente. Sicherheitsbetrachtungen müssen unter der Prämisse geplant werden, dass Informationen einen Wert darstellen, der quantifiziert und qualifiziert werden kann. Die Datenbasis des OSI-Sicherheitsmanagements bildet die Security Management Information Base (SMIB). Die OSI-Sicherheitsarchitektur kennt drei Management-Kategorien: System Security Management, Security Services Management und Security Mechanismen Management. Die Abwicklung des Sicherheitsmanagements zwischen den Endsystemen erfolgt über Sicherheitsprotokolle. Dabei müssen die Sicherheitsprotokolle und die übertragenen Management-Informationen geschützt werden. Sicherheitspolitik In der Sicherheitspolitik werden die Regeln und Verfahrensweisen festgelegt, nach denen die security policies Datenübermittlung, -verarbeitung und -speicherung erfolgen. Sie berücksichtigt personelle, technische, organisatorische und rechtliche Einflussfaktoren. Bei den personellen Einflussfaktoren geht es um das Bedienpersonal, der Zuverlässigkeit, Sensibilität und Vertrauenswürdigkeit. Es geht um die Antworten auf Fragen wie „Wer darf auf welche Daten zugreifen?“ oder „Wer ist für die Sicherheitspolitik verantwortlich?“ Die technischen Einflussfaktoren sind geprägt durch die vorhandenen Computer, die Art und Sensibilität der Daten und der Software, aber auch durch räumliche Gegebenheiten, die Art der eingesetzten Übertragungsmedien und -techniken, sowie die Anzahl der Prozesse usw. Bei der 40
  • 41. IT-Sicherheit Technik stellen sich Fragen hinsichtlich der Daten, der Art der Vermittlung oder der Verkehrsbeziehungen. So beispielsweise: „Welche Verkehrsbeziehungen sind erlaubt?“ oder „Auf welcher Schicht werden die Sicherheitsdienste installiert?“. Bei den organisatorischen Einflussfaktoren handelt es sich um solche, die sich mit den Arbeitsabläufen der Benutzer beschäftigen. Bei diesen Einflussfaktoren geht es um die vielen sicherheitsrelevanten Aspekte, wie „An wen werden Alarme gemeldet?“ oder „Welche Maßnahmen sind zu treffen, damit die Sicherheitspolitik eingehalten wird?“. Darüber hinaus muss sich die Sicherheitspolitik auch nach den Gesetzen und rechtlichen Vereinbarungen richten. Zu nennen sind das Bundesdatenschutzgesetz (BDSG), Signaturgesetz (SigG), Teledienstdatenschutzgesetz (TDDSG) und andere. Letztlich geht es auch um die Rechtsverbindlichkeit der Informationen, um deren Urhebernachweis oder Kommunikationsnachweis. Sicherheitsprotokoll Sicherheitsprotokolle erhöhen die Sicherheit des Datenverkehrs in Kommunikationsnetzen. Sie security protocol können auf allen Schichten des Kommunikationsmodells eingesetzt werden und besitzen verschiedene Verschlüsselungstechniken, mit denen die Authentisierung gesichert wird oder die zu übertragenden Daten codiert werden. Eines der bekannteren im LAN-Umfeld eingesetzten Sicherheitsprotokolle auf der Vermittlungsschicht ist das PPP-Protokoll. Dieses Protokoll wird vorwiegend für Netzwerkanschlüsse verwendet, die auf Einwahlverbindungen basieren. In der IP- Kommunikation gehört IPsec zu den standardisierten Protokollen. Daneben ist das Tunneling- Protokoll PPTP zu nennen und das für die Verschlüsselung der PPTP-Datenpakete dienende Microsoft Point to Point Encryption Protokoll (MPPE). Die auf der Vermittlungsschicht arbeitenden Sicherheitsprotokolle wie das PAP-Protokoll, das 41
  • 42. IT-Sicherheit SSH-Protokoll oder RADIUS unterstützen die Authentisierung und den Passwortschutz. Für die Sicherung von Tunnel-Verbindungen ist L2Sec zu nennen. In den höheren Schichten dienen die Sicherheitsprotokolle zur Verschlüsselung der Anwendungen, so beispielsweise das SSL- Protokoll und das TLS-Protokoll. Sicherheitsrichtlinie Sicherheitsrichtlinien sind unternehmensspezifische Regeln in denen die Ziele für alle security directive sicherheitsrelevanten Arbeitsgebiete festgelegt sind. In Unternehmen definieren die Sicherheitsrichtlinien die Regeln, die die Mitarbeiter, die an der Ausarbeitung der Richtlinien beteiligt sein sollten, in ihrem Arbeitsgebiet beachten müssen. Zu den wichtigsten Interessengruppen in einem Unternehmen gehören die Sicherheits- und Netzwerkadministration, Arbeitnehmervertreter, Vertreter der Nutzergruppen und der Geschäftsführung. Die ausgearbeiteten Sicherheitsrichtlinien sollten von den Nutzern umgesetzt und akzeptiert werden, sie sollten die Sicherheit des Netzwerks und der Systeme gewährleisten und die Rechte und Pflichten der Nutzer, der Administration und der Geschäftsführung klar regeln. Bestandteile der Sicherheitsrichtlinien umfassen die Beschaffung der Software, Computer- und Netzwerktechnik und die darin realisierten Sicherheitsstandards, die Zugriffsberechtigungen und alle Maßnahmen die dem Datenverlust und der Abwehr von Angriffen dienen, die Betriebs- und Wartungsrichtlinien und das Reporting, um nur einige zu nennen. In die Sicherheitsrichtlinien fließen die nationalen und internationalen Sicherheitsstandards für die Bewertung und Zertifizierung von IT-Systemen ein. Dazu gehören die europäischen Information Technology Security Evaluation Criteria (ITSEC), die amerikanischen Trusted Computer Security (TCSEC) und die Common Criteria for Information Technology Security 42
  • 43. IT-Sicherheit Evaluation (CC). Außerdem befasst sich Kapitel 1 des britischen Standards BS 7799 für das Sicherheitsmanagement mit den Sicherheitsrichtlinien für das Management und für die Betreuung der IT-Sicherheit. Sicherheitsstufe Der Safety Integrity Level (SIL) ist ein Verfahren zur Ermittlung des potentiellen Risikos von SIL, safety integrity level Personen, Systemen, Geräten und Prozessen im Falle einer Fehlfunktion. Die Basis für die Spezifikationen, den Entwurf und Betrieb von sicherheitstechnischen Systemen (SIS) bildet der IEC-Standard 61508. IEC 61508 bietet ein kohärentes Framework in dem alle früheren Sicherheitsregularien berücksichtigt sind. Dazu gehören die in Deutschland bekannten Sicherheitsnormen DIN/VDE 19250, DIN/VDE 19251 und DIN/VDE 801. Der 61508-Standard definiert die Sicherheit in Abhängigkeit vom Grad der Beschädigung und der Wahrscheinlichkeit, die eine bestimmte Anwendung hinsichtlich einer risikorelevanten Situation hat. 61508 hat eine eigene Risikobewertung mit der die Sicherheits-Integritätslevel (SIL) für die Geräte und Systeme mit Sicherheitsaufgaben ermittelt werden. Der IEC-Standard kennt die vier SIL-Level SIL1 bis SIL4, die als Sicherheitsausführungen von elektrischen und elektronischen SIL-Level des IEC-Standards 61508 Geräten definiert sind. Im SIL-Wert 43
  • 44. IT-Sicherheit drückt sich die spezifizierte Sicherheitsfunktion im Fehlerfall aus: Mit welcher Wahrscheinlichkeit arbeitet das System im angeforderten Fehlerfall (PFD). Beim SIL-Level 1 ist die Gefahr oder das wirtschaftliche Risiko relativ gering und die Verfügbarkeit des der sicherheitstechnischen Systeme mit 90 % oder 10 % Fehlerwahrscheinlichkeit akzeptabel. Das Risikopotential wird in technischen Einrichtungen, verfahrenstechnischen Anlagen, in der Automotive-Technik, in Maschinen, Aufzügen, programmierbaren Steuerungen, IT-Anlagen und -Systemen bestimmt. Sicherheitsvereinbarung Security Associations (SA) sind Sicherheitsvereinbarungen, die zwei mittels IPsec miteinander SA, security association kommunizierende Instanzen vor der Kommunikation untereinander austauschen. Diese Sicherheitsvereinbarungen werden für den Authentification Header (AH) und den Encapsulated Security Payload (ESP) jeweils individuell getroffen. Sie gelten für die unidirektionale Kommunikation, also nur für eine Übertragungsrichtung. Da eine Kommunikation bidirektional erfolgt, sind mindestens zwei Sicherheitsvereinbarungen für die Übertragung erforderlich: eine für beispielsweise für die Verschlüsselung eines Datenpakets, die zweite für die Authentifizierung. Security Associations sind die grundlegende individuelle Basis jeder IPSec-Verbindung. Sie definieren exakt, wie der Host oder das Security Gateway eine Verbindung zur Zielkomponente aufbauen und erhalten muss. Eine Security Association ist stets einzigartig und wird durch drei wesentliche Komponenten beschrieben: Den Security Parameter Index (SPI) die IP- Zieladresse und den Security Protocol Identifier. Zur Vereinfachung des Verfahrens benutzt man so genannte Domain of Interpretation (DOI), in der die verschiedenen Parameter festgelegt sind. 44
  • 45. IT-Sicherheit Snooping Unter Snooping versteht man das Abhören einer Verbindung auf einem Broadcast-Medium, einem Chat oder der Internettelefonie. Der Mithörende, beispielsweise ein Hacker, kann dadurch in den Besitz von vertraulichen Daten wie Passwörter kommen. Neben dem genannten Snooping gibt es noch das Bus-Snooping bei dem jeder Teilnehmer auf dem Hostbus Adressen anderer Teilnehmer mitlesen kann. Spam Spams, Spam-Mails oder auch Junk-Mails, sind unverlangt zugesendete E-Mails und SMS. Das spam mail können auch Newsartikel sein, die an viele Newsgroups verteilt werden. Im normalen Sprachgebrauch sind damit unerwünschte Nachrichten gemeint, an denen man kein Interesse hat. Eine Spam-Mail ist vergleichbar einer nicht angeforderten postalischen Wurfsendung. Die unerwünschten elektronischen Massenaussendungen werden auch als Unsolicited Bulk E-Mail (UBE) bezeichnet, die kommerziellen E-Mails als Unsolicited Commercial E-Mail (UCE). Für die Aussendung von Spams gibt es spezielle Programme für das Internet. So können Spam-Mails über Chats ebenso verbreitet werden wie über ICQ. Die Kreativität der Spam-Autoren kennt kaum Grenzen. So sind Spam-Mails zu komplexen und spezialisierten Anwendungen mutiert. Sie sind mit Flash-Animationen, versteckten Inhalten oder Spyware bestückt. Zur Verhinderung von Spams gibt es Spam-Filter gegen unerwünschte Massen-E-Mails, E-Mail-Filter zur inhaltlichen Filterung von E-Mails nach Text- und Anhängen sowie Web-Filter zur Blockierung von unerwünschten E-Mail-Adressen. Die Organisationen MAPS und CAUCE haben sich speziell mit der Verhinderung von Spam-Mails auseinander gesetzt und bieten verschiedene Listen mit den Server-Adressen, von denen regelmäßig Spams versandt werden. Spoofing 1. In der Netzwerktechnik ist Spoofing eine Technik zur Reduzierung des Bandbreitenbedarfs 45
  • 46. IT-Sicherheit im Internetworking. Mit dieser Technik wird der Netzwerk-Overhead reduziert und dadurch die Kosten bei der Übertragung über Weitverkehrsnetze ebenso wie die Netzauslastung gesenkt. Das Spoofing reduziert zyklisch gesendete Nachrichten, wie Netzwerkmanagement- Informationen, dadurch, dass ein Router als Proxy arbeitet und für ein angeschlossenes Remote-Gerät antwortet. Durch das Spoofing erscheint dem LAN-Gerät beispielsweise eine Verbindung als noch bestehend, obwohl sie bereits abgebaut wurde. Das hat bei Weitverkehrsverbindungen den Vorteil, dass eine Verbindung beim Ausbleiben von Nutzdaten nach einer gewissen Zeit abgebaut werden kann, obwohl sie normalerweise durch die zyklischen Management-Datenpakete aufrechterhalten bleiben müsste. 2. In der Internet-Terminologie hat das Spoofing eine eigene Bedeutung, und zwar die Angabe einer falschen Adresse. Durch die falsche Internetadresse täuscht jemand vor, ein autorisierter Benutzer zu sein. Maßnahmen gegen das Spoofing, die den Missbrauch von IP- Adressen verhindert, nennt man Anti-Spoofing. Es gibt das IP-Spoofing, DNS-Spoofing, WWW-Spoofing und ARP-Spoofing, die mit simulierter IP-Adresse anhand der Host-Adresse oder des Domainnamen oder mit der Zuordnung zwischen IP- und Hardwareadresse fungieren. Spyware Der Begriff Spyware ist eine Wortschöpfung aus Spy (Spionieren) und Ware. Es handelt sich dabei um eine Software, die das Online-Verhalten von Webnutzern, das sich im Surfen ausdrückt, ausspioniert und dieses Wissen an andere weitergibt. Aus den Ergebnissen, die in der Regel in Tabellen gespeichert und über E-Mails an den Urheber gesendet werden, können Rückschlüsse auf das Werbeverhalten gezogen und die Werbewirksamkeit durch gezielten Einsatz von abgestimmten Methoden gesteigert werden. 46
  • 47. IT-Sicherheit Spyware wird als unerwünschte Software auf Workstations installiert, sie verhält sich penetrant und ist potenziell gefährlich. Der Zweck ist die Bereicherung des Urhebers. Sie wird durch Trojaner und mit E-Mails auf den Anwender-PC heruntergeladen. Spyware kann dann zu einer ernsthaften Gefahr werden, wenn vertrauliche Informationen des angemeldeten Nutzers weitergegeben werden. Dazu gehören u.a. die Abfolge der Tastatureingaben, der Benutzername, der Hashwert des Administrator-Passwortes, E-Mail- Adressen, Kontaktdaten sowie Anmelde- und Nutzungsinformationen zu Instant-Messaging. TCSEC, trusted computer Die Trusted Computer Security (TCSEC) ist ein Kriterienkatalog für die Sicherheit von IT- security Systemen. Der von der amerikanischen NCSC entwickelte und vom US-amerikanischen Verteidungsministerium 1985 herausgegebene Kriterienkatalog dient US-Firmen zur Bewertung von sicherheitsrelevanten Maßnahmen. Aufbauend auf dem in den 80er Jahren definierten TCSEC wurden diverse Maßnahmenkataloge für verschiedene Länder und die Nato entwickelt. International werden die Common Criteria (CC) verwendet, die aus den ITSEC und den TCSEC entwickelt wurden. trap door Trap Doors gehören zu den potentiellen Gefahren von IT-Systemen. Dabei handelt es sich um Falltür eine versteckte Funktionalität mit der versucht wird die Sicherheitsfunktionen eines IT- Systems zu Durchdringen oder zu Umgehen. Die Trap Door oder auch Backdoor ist eine implementierte Befehlsfolge für einen Angriff auf ein IT-System. Trap Doors werden auch zum Testen von Programmen benutzt oder bewusst von Entwicklern eingebaut um sich einen späteren unberechtigten Zugang zu dem System zu verschaffen. Aktiviert werden solche Falltüren durch eine bestimmte Zeichen- oder Ereignisfolge eines Client oder Servers. Trap-Door-Funktionen sind relativ leicht zu berechnen, allerdings ist es ohne die Kenntnis des 47
  • 48. IT-Sicherheit Geheimschlüssels nicht möglich aus dem funktionalen Wert (y) das entsprechende Argument (x) zu berechnen. Trojaner Unter einem Trojaner, auch als trojanischen Pferd bezeichnet, versteht man ein Programm, das trojan neben seiner eigentlichen Funktion noch weitere, unbekannte Funktionen aufweist. Bei seiner Ausführung richtet ein trojanisches Pferd Schaden »von innen« an. Dabei werden Datenbestände und Passwörter ausspioniert und über das Internet versendet, ebenso aber auch Systemkonfigurationen verändert oder gelöscht. Trojaner missbrauchen Computer und rüsten in diesen zusätzliche Funktionen nach, mit denen sie Zugangsdaten, Passwörter und Seriennummern erfassen oder die Remote-Eigenschaften und die Systemadministration beeinträchtigen, so beispielsweise als Spyware, zur Aussendung von Spams oder für Angriffe auf Server. Trojaner verbreiten sich über Anhänge von E-Mails, aber auch über Tauschbörsen. Trojaner kann man dadurch verhindern, indem man keine Software aus unbekannten Quellen auf seinen Computer lädt oder diese vorher durch einen Virenscanner checkt. Virus In den 90er Jahren hat sich in kurzer Zeit das Virus-Problem von einer theoretischen zu einer virus realen Bedrohung für Computer und Datennetze entwickelt. Viren sind Schadprogramme, die alle Rechner, Programme und Dateien angreifen und schädigen. Daher unterscheidet man bei den Viren zwischen Computerviren, Dateiviren, Systemviren und Bootviren. Ein typisches Computervirus ist ein einfaches Programm, das sich selbst reproduziert, sich in normalen Programmen versteckt und dessen Zweck es ist, durch Infizierung andere Soft- und Hardware zu behindern oder zu zerstören. Wenn infizierte Programme ablaufen, stecken sie auch andere Programme und andere Computer an, mit denen sie in Kontakt kommen. Wenn ein Computervirus einmal ein Programm befallen hat, dann kann er Programme zerstören, 48
  • 49. IT-Sicherheit Daten vernichten, Zahlenwerte in einer Tabellenkalkulation verändern, Festplatten neu formatieren und damit ihren gesamten Datenbestand vollständig vernichten oder jeden nur möglichen Schaden anrichten, den der Programmierer des Virus eingeplant hat. In fast allen Fällen bleibt der Virus unbemerkt, während er sein Zerstörungswerk vollbringt. Auch die Virenerkennung mittels Virenscannern gestaltet sich Programmablauf ohne und mit Virenprogramm zunehmend schwieriger, da sich Viren verändern können, wie polymorphe Viren, und neuere Viren Tarnfunktionen besitzen, wie der Stealth Virus, und sich vor Virenscannern verbergen können. Viren werden über das Internet verbreitet, und zwar über die Dateianhänge von E-Mails und Software-Downloads. Sie werden in Datenbanken von Wildlist als ITW-Viren erfasst und stehen Anwendern unter http://www.wildlist.org zur Verfügung. WLAN-Sicherheit Der von der Arbeitsgruppe 802.11i für WLANs definierte Sicherheitsstandard hatte einige WLAN security Lücken und wurde daher vollkommen überarbeitet und neu definiert. Mit der Neudefinition sind 49
  • 50. IT-Sicherheit herstellerübergreifende WLAN-Sicherheitslösungen in allen Netzkonfigurationen möglich, unabhängig von den eingesetzten Produkten. Generell bezieht sich die WLAN-Sicherheit als Teil des WLAN-Managements auf den Zugangsschutz der Teilnehmer durch Authentifizierung und den Schutz vor der Einwahl in unberechtigte Access Points (AP). Darüber hinaus müssen die Sicherheitslösungen sicherstellen, dass Unberechtigte die über Funk empfangenen Datenströme nicht auswerten können. Da sich der Empfang von Funksignalen in einer entsprechenden Entfernung nicht verhindern lässt, müssen geeignete Maßnahmen in Form von Verschlüsselung eingesetzt werden, damit die verschlüsselten Datenpakte nicht entschlüsselt und ausgewertet werden können. Des Weiteren muss die WLAN-Sicherheit auch die Manipulation von Datenströmen erkennen und verhindern können. Dies kann mittels zyklischer Blockprüfung (CRC) erfolgen. Der Schlüsselaustausch über das WLAN ist ein weiterer Punkt, der besonders bei symmetrischer Verschlüsselung, bei der Sender und Empfänger mit gleichem Schlüssel arbeiten, Probleme aufwirft. Daher arbeiten WLANs häufig beim Schlüsselaustausch mit asymmetrischer Verschlüsselung und in der Übertragung mit symmetrischer Verschlüsselung. In diesem Zusammenhang ist das WEP-Protokoll (Wired Equivalent Privacy) zu nennen, das in 802.11 definiert wurde. Darüber hinaus das Counter Mode With CBC-MAC Protocol (CCMP) und das Wireless Robust Authentication Protocol (WRAP). Da das WEP-Protokoll einige Schwächen hat, werden neben diesem Sicherheitsprotokoll mit statischen Schlüsseln weitere mit dynamischer Schlüsselvergabe eingesetzt. So das EAP- Protokoll und das von der WiFi-Allianz definierte WiFi Protected Access (WPA). 802.11i hat ein ausgefeiltes Sicherheitskonzept mit einer umfassenden Schlüsselhierarchie, die neben einem Master Key (MK), Pairwise Master Key (PMK), Pairwise Transient Key (PTK) sowie weitere daraus abgeleitete Schlüssel kennt. 50
  • 51. IT-Sicherheit Wurm Ein Wurm ist ein infizierter Programmcode, der sich normalerweise über die vorhandene worm Infrastruktur, über Netzwerkverbindungen oder den Anhang von E-Mails ausbreitet und auf anderen Systemen Schaden anrichtet. Würmer können auch das Adressbuch des Benutzers für die Verbreitung benutzen. Würmer sind schädliche, autonome Programmroutinen, die sich, sobald sie codiert und freigesetzt werden, automatisch vervielfältigen um möglichst viele Rechner zu befallen. Sie dringen über Sicherheitslücken in die Systeme ein und richten dort Schaden an, indem sie unerwünschte Aktionen auslösen. Das können Nachrichten sein, die plötzlich auf dem Bildschirm erscheine; sie können aber auch Dateien löschen, Festplatten formatieren oder den Prozessor mit sinnlosen Aufgaben eindecken. 51
  • 52. Impressum IT-Sicherheit Herausgeber Klaus Lipinski Datacom-Buchverlag GmbH 84378 Dietersburg ISBN: 978-3-89238-192-1 IT-Sicherheit E-Book, Copyright 2010 Trotz sorgfältiger Recherche wird für die angegebenen Informationen keine Haftung übernommen. Dieses Werk ist unter einem Creative Commons Namensnennung-Keine kommerzielle Nutzung-Keine Bearbeitung 3.0 Deutschland Lizenzvertrag lizenziert. Erlaubt ist die nichtkommerzielle Verbreitung und Vervielfältigung ohne das Werk zu verändern und unter Nennung des Herausgebers. Sie dürfen dieses E-Book auf Ihrer Website einbinden, wenn ein Backlink auf www.itwissen.info gesetzt ist. Layout & Gestaltung: Sebastian Schreiber Titel: © Hunta - Fotolia.com Produktion: www.media-schmid.de Weitere Informationen unter www.itwissen.info 52