IT-Sicherheit

1. Datensicherheit und -sicherung

Sicherung: Gesamtheit aller organisatorischer und technischer Vorsorgemaßnahmen gegen Verlust, Fälschung und unberechtigten Zugriff aufgrung von Katastrophen, technischen Ursachen, menschlichen Versagen oder mutwilligen Eingriffen Sicherheit: Ist der angestrebte Zustand, der durch alle diese Maßnahmen erreicht werden soll, aber letztlich nicht vollkommend erreicht werden kann.

Def.: Klaus Pommerening, in ,,Datenschutz und Datensicherheit"

2. Computerkriminalität

- Schon immer Computernutzer die versuchten mit Kenntnissen auf Lücken und Risiken aufmerksam zu machen
- Bsp. CCC Hamburg _zeigen Lücken auf und bieten Lösungen
- Aber auch viele Hacker nutzen Fähigkeiten für privaten gewinn _sehr oft illegal
- Problem: Wenig Gesetzesgrundlage im Internet, da international
- Erst in letzten Jahren Änderungen im StGB:

1. Ausspähen von Daten (§ 202a)
2. Computerbetrug (§ 263a)
3. Erschleichen von Leistungen (§265a)
4. Datenveränderung (§303a)
5. Computersabotage (§303b)

-STRAFBAR
- Aber nur in Deutschland
- International: weniger streng

3.1 Datenspuren und Cookies

- Internetsurfer hinterlässt Datenspuren ,,Log-Files"
- Diese können analisiert werden: Bsp.: Microsoft kann mit jeden IE nutzer bei Bedarf kommunizieren und so z.B. Registriernummern überprüfen
- WEITERE NUTZUNG DER SPUREN: Nutzerprofil des Users (Besuchte Seiten, Kaufentscheidungen, Preisklasse, Suchbegriffe)

2 Überwachungswege:

1. Archivierungsfirmen Fremdspeicherung der Daten (Internet Archivierung der Seitenzugriffe)

2. ,,Cookies": kl. Dateien, abgelegt auf Privatrechner Ziel Realisierung von Einkaufskörben

Cookies

- liefern Unternehmern Angabe über Nutzer
- außerdem: Namenszuordnung, unbemerktes zuspielen von Informationen

BSP.: Nutzer A bucht Reise z.B. Irak

besuch vom Sicherheitsdienst, Versicherungsvertreter für Lebensversicherungen, er bekommt E-Mail Prospekte für schusssichere Westen, Krankenhäuser oder Rehakliniken

- Ziel der Unternehmer: Verbesserter Kundenservice
- Verbraucherschutz: gläserner Surfer
- Bei solchen Datenübertragungen werden 3 Daten ausgetauscht:

1. Stammdaten, identifizieren der User
2. Verbindungsdaten, wer, wann, mit wem, wie viele Daten austauschte
3. Inhaltsdaten

- In Dtl.: Strenge Regelung gegen Missbrauch der Daten

- International: kaum Gesetze z.B. bietet US-Firma ComCult professionelle Analyse von Daten an

4. Viren

- Def.: Dateifragmente oder angehängte Codes die über Netzwerke und fremde Datenträger übertragen werden

- Wirkungen sehr Verschieden z.B.:

1. Zerstörung der Festplatte
2. Verlangsamung der Geschwindigkeit
3. ersetzen in Dokumenten alle ,,E" durch ,,X"

- oft werden sie erst an best. Terminen aktiv (oft der 13. eines Monats)
- aber: Gefahr nur von ca. 5% aller Viren, alle anderen: Scherzhafte Meldungen oder Virusanzeige ohne Fehler
- jeden Monat erscheinen Weltweit etwa 20.000 neue Viren
- Einziger praktikabler Schutz: Antiviren-Programme z.B. Norton Antivirus, F-prot
- In letzten Jahren: neue Viren Generation: Trojaner

4.1 Trojanische Pferde

- Viren die sich selbstständig Verbreiten und Vermehren
- Trojaner installiert und loggt sich in System ein Passwörter mitlesen und an Erschaffer versenden, Manipulation von Daten und Vermehrung des Trojaners
- Oft in Dateien versteckt öffnen Trojaner installiert sich und bleibt im permanent im Hintergrund auch wenn Datei gelöscht.
- 5% wirklich Schädlich
- Schutz: Anti-Viren-Programme und Wartung des Systems
- Rechtlich: Viren und Trojaner Straftatbestände

a. §202a StGB: Daten ausspähen

3 Jahre Gefängnis

b. §303aStGB: Rechtswidrige Datenveränderung 2-5 Jahre Gefängnis

c. §87b Urheberrechtsgesetz:

Entnahme von Daten durch Kopie

BEISPIELE FÜR TROJANER:

,,Melissa"

- einer der berühmtesten
- in Word-Dokument versteckt
- verschickte sich selbst an bis zu 50 Adressen im E-Mail Adressbuch
- Folge: legte ganze E-Mailsysteme lahm

,,BuddyLyst"

- angeblich Bildschirmschoner der Firma Budweiser
- löscht Festplatte
- sendet Zugangskennung und Passwörter an Schöpfer

5. Firewalls

- wenn Unternehmen mit dem Firmennetz ins Internet wollen Risiko

- 2 Sicherungssysteme:

1. Jeder Rechner einzeln gesichert hohe Kosten und enormer Aufwand nur bei Einzelrechnern praktikabel mit Software Firewalls (z.B. Zone- Alarm)

2. Firewallrechner der zwischen Internet und

Intranet geschaltet ist beherbergt alle

Sicherheitsmaßnahmen

- Bei zentraler Firewall-Lösung bestimmt der Rechner mit höchsten oder niedrigsten Schutzniveau die Stärke der Firewall

Arbeitsweisen:

a) Paketfilterprinzip
b) Dual Homed Gateway (DHG)
c) Kombinationen aus a und b

a) Paketfilterprinzip

- Versandinformationen in den Datenpaketen (Art und Ziel des IP-Paketes)
- Firewall entscheidet ob und wie die Daten weitergeleitet werden
- Filter hat keine IP-Adresse von außen unsichtbar kann von außen nicht manipuliert werden

b) Dual Homed Gateway

- 2 Verbindungen: zum internen LAN und eine zu einem öffentl. ftp-Server
- wenn LAN aus Internet angesprochen nur DHG-Rechner beansprucht Speichert eingehende Daten zwischen und überprüft sie wenn OK: Weiterleitung
- Einbruch sehr einfach
- Aber: da Datenbewegung genau protokolliert _Angriff wird schnell festgestellt und unterbunden
- Nötig: gute Administration

6. Kryptographie

- = Verschlüsselung von Daten

- Hauptaufgaben:

1. Nachricht geheim halten
2. Nachricht unverfälscht übermitteln
3. ggf. Absender identifizieren

- Bsp.: +1 Schlüssel

Verschiebung des Alphabets um +1 Bei Dechiffrierung: -1

6.1 Verschlüsselungsverfahren

6.1.1 Symmetrisches Verfahren

- = ,,Single-Key"= ,,Private-Key"= ,,Secret-Key"

- Ver- und Entschlüsselung mit ein und dem selben Schlüssel

- 2 Standarts: ,,Data Encryption Standard"(DES) und ,,Improved Data Encryption Algorithm"(IDEA)

DES:

- 70er Jahren con IBM entwickelt
- relativ sicher
- 64 Bit Schlüssel IDEA:
- 1990 entwickelt
- arbeitet ähnlich wie DES
- doppelte Schlüssellänge 128 Bit
- Problem bei Symmetrischen Verfahren: Sichere Übermittelung der Schlüssel und Schlüsselanzahl (für Kommunikation zw. 1000 Benutzern (jeder mit jedem, jeder anderen Schlüssel) benötigt man 499.500 Schlüssel
- Sicherheit: 1 Rechner testet 1 Mill Mögl./sek um alle Komb. Zu testen:

a. 56 Bit Schlüssel: ca. 2000 Jahre

b. 128 Bit Schlüssel: 10¹⁷ Jahre

6.1.2 Asymetrisches Verfahren

- Verschlüsselungsschlüssel Entschlüsselungsschlüssel
- 2 Schlüssel: ein öffentlicher (Public) Schlüssel und ein persönlicher (Secret) Schlüssel unabhängig von einander
- öffentl. Schlüssel bei Zertifizierungsstelle Frei downloadbar Schlüsselbund für Verschlüsselung
- Text an Benutzer x wird mit öffentl. Schlüssel verschlüsselt
- Dechiffrierung nur mit privaten Schlüssel nicht mit öffentl.
- WICHTIG: Adresse nicht mit verschlüsseln

VERFAHREN:

RSA:

- Entwickelt 1977 von Ron Rivest, Adi Shamir und Leonard Adlemann
- Verschlüsselung mit math. Problemen: Faktorisierungsproblem großer Zahlen und direkter Logarithmus
- Sehr aufwendiger Verschlüsselungsalgorithmus

a. 512 Binärstellen für

Verschlüsselungszahl = sicher

b. 768 " =Standard

c. 2048 " = Absolute Sicherheit militärische Geheimnisse

- Problem: extrem langsam und Rechenaufwendig, da komplizierte mathematische Fkt. Verwendet werden

6.1.3 Hybridmodelle

- Text symmetrisch verschlüsselt
- Schlüssel für symmetrische Verschlüsselung mit asymmetrischen Verfahren verschlüsselt Symm. Schlüssel kann sicher weitergeschickt werden _symm. Verfahren ist sicher
- BEISPIELPROGRAMM: PGP

1. Verschlüsselung des Textes mit IDEA oder TripleDES
2. Symm. Schlüssel mit RSA oder ElGamal
3. entwickelt von Philip Zimmermann
4. kostenfrei im Internet
5. effektiv bei E-Mails da digitale Signatur unterstützt

6.1.4 Andere Verschlüsselungen

STEGANOGRAPHIE:

- Nachricht in Bild oder Ton Datei versteckt Bildgröße (2048*3072) versteckt 2,3 MB Nachricht
- Problem: Leicht zu Entschlüsseln Relativ unüblich

7. Digitale Signatur

- weist Unverändertheit und Absender nach
- gilt als offizielle Unterschrift Gesetz zu digitalen Signatur (SigG) Digitale Unterschrift = ein Siegel, welches mit Hilfe eines privaten Signaturschlüssels erzeugt wurde und mit einem dazugehörigen öffentlichen Schlüssel, der von einer Zertifizierungsstelle für echt erklärt wurde, den Inhaber und die Echtheit der Daten erkennen lässt. (§2)
- Benötigt damit Rechtsgültig:

1. Eindeutig zuordbarer Name oder Pseudonym
2. zugeordneten öffentl. Schlüssel
3. Bezeichnung des verwendeten Algorithmus
4. laufende Nummer des Zertifikats
5. Beginn und Ende des Zertifikats
6. Name der Zertifizierungsstelle
7. Angaben über Beschränkungen

- verwendet asymmetrisches Verfahren
- 2 Schlüssel generiert
- öffentl. Schlüssel an Zertifizierungsstelle
- privat Schlüssel verbleibt bei Absender zur Verschlüsselung(!)

Vorgehen:

- zu verschlüsselnder Text mit sog. Hash Verfahren komprimiert und mit privat Schlüssel chiffriert und dann dem Ausgangstext angehängt
- Empfänger erhält Ausgangstextkomprimiert ihn mit Hash-Verfahren entschlüsselt mit öffentlichen Schlüssel
- Wenn Ausgangstext = Anhangstext Absender richtig, da nur er den zum öffentl. Schlüssel passenden privaten hat
- so kann man auch beabsichtigte und unbeabsichtigte Manipulationen feststellen

HASH- Verfahren:

- HASH- Algorithmus über Dokument bildet Quersumme der Daten
- Ergebnis ist fest unabhängig von Dokument Länge Buchstabe geändert = anderes Ergebnis
- Quersumme = Fingerabdruck des Dokuments
- Quersumme wird dann zur Kontrolle für Empfänger asymmetrisch Verschlüsselt + versendet
- Aktueller Standard für HASH Verfahren: Secure Hash Algorithm (SHA)

In Praxis: Alles im Hintergrund:

- Absender klickt auf signieren und steckt Unterschriftskarte (mit privat Schlüssel) in Lesegerät
- Empfänger gibt angenommenen Absender ein, PC holt sich öffentl. Schlüssel und vergleicht

SOLCHE ZERTIFIZIERUNGS-VERFAHREN GELTEN ALS 100% SICHER_

=Standard für Online-Banking Technik bekannt als HBCI (Home Banking Computer Interface)

- Sparkasse testet aktuell ähnl. System für E-Commerce und Online-Banking

SET (Secure Electronic Transaction)

8. Persönlicher Schutz

Lassen Sie Ihren PC nicht unbeaufsichtigt. Verschließen Sie beim Verlassen des Raumes die Tür und aktivieren Sie den Bildschirmschoner mit Kennwortschutz.

- Beantworten Sie nicht alle Fragen, die Ihnen beim Besuch einer Internetseite gestellt werden. Wie oben beschrieben, sind Daten und Informationen die Währung im Internet. _ Pflegen und warten Sie Ihr System ! Löschen Sie Daten, die Sie nicht mehr benötigen oder lagern Sie diese aus.

Übertragen Sie keine unverschlüsselten personenbezogene Daten oder

Kreditkartennummern. Viele E-Commerce-Unternehmen fordern die Kreditkartennummern extern über Fax an, was immer noch sicherer ist, als eine Nummer durch das Internet zu schicken und so jedermann zugänglich zu machen. Verschlüsseln Sie Ihre persönlichen Daten und E-Mails mit Programmen wie z.B. PGP.

- Öffnen Sie nur Ihnen bekannte Programme, man könnte Ihnen ein Trojanisches Pferd "schenken".

Arbeiten Sie regelmäßig mit Virenscannern. _ Deaktivieren Sie Optionen für Cookies.

Lassen Sie sich ggf. anonymisieren, Ihr Name wäre hier nicht mehr verräterisch (http://www.anonymizer.com/)

Lassen Sie Ihre Diskussionsbeiträge in Newsgroups nicht archivieren, indem Sie jeder Nachricht "x-no-archive: yes" voranstellen. Somit werden Ihre Beiträge nicht archiviert und die Erstellung eines Teilnehmerprofils wird erschwert.

Verwenden Sie Passwörter, wechseln Sie diese regelmäßig, wählen Sie Buchstaben-Ziffern- Kombinationen, halten Sie Ihre Passwörter geheim.

Falls Sie nicht dauernd ,,online" sein müssen, isolieren Sie Ihren PC vom Netz, indem Sie den Übertragungsstecker zum Telefonnetz herausziehen.