Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Www.kaderali.de Informationssicherheit Grundlagen Firoz Kaderali.

Ähnliche Präsentationen


Präsentation zum Thema: "Www.kaderali.de Informationssicherheit Grundlagen Firoz Kaderali."—  Präsentation transkript:

1 Informationssicherheit Grundlagen Firoz Kaderali

2 Informationssicherheit  Passwörter, PINs und TANs r Phishing r Spams r Cookies r Malware r Cloudcomputing r Verschlüsselung

3 Informationssicherheit Ein Passwort (Schlüssel) ist eine Zeichenfolge, die es ermöglicht ein Konto oder eine Datei (Tresor) zu öffnen. Sie wird also zur Authentifizierung verwendet. Häufig werden nur Zahlenfolgen, immer mehr Zahlenfolgen mit klein und groß Buchstaben und auch Sonderzeichen (ASCII-Zeichen) eingesetzt.

4 Informationssicherheit Bei Banken werden Passwörter PIN (Personal Identification Number) 1 genannt zur Authentifikation von Personen eingesetzt. Sie ermöglichen es der authentifizierten Person Einblick in sein Konto oder Depot zu nehmen. 1 tionsnummer

5 Informationssicherheit Beispiele von Passwörter: r Hotelsafe, Länge üblicherweise 4 Ziffern r Bankkonto, Depot, Geldautomaten, Kreditkarten, üblicherweise 4 Ziffern r Konten bei Online Shops, Zugang zu Firmennetzen, Zugang zu Mailkonten etc. 8 bis 12 Zeichen. r Bei SW und Geräteschutz 64 bis 128 Zeichen.

6 Informationssicherheit Heute wird die Richtigkeit einer PIN auf einer Karte maschinell gewöhnlich wie folgt überprüft: Die Maschine liest die verschlüsselte PIN von der Karte heraus, entschlüsselt sie und vergleicht die über die Tastatur eingegebene PIN hiermit. Bei Übereinstimmung wird der Zugang zu Datei, Konto oder Geld gewährt.

7 Informationssicherheit Bei 4 Ziffern liegt die Wahrscheinlichkeit eine PIN richtig zu raten bei 1: 10 4 also eins zu zehntausend. Damit man nicht alle zehntausend Ziffern ausprobieren kann, wird die Anzahl der Versuche gewöhnlich auf drei beschränkt. Der Zugang wird bei drei Falscheingaben dann gesperrt und kann entweder über eine übergeordnete PIN (Master PIN) oder durch Eingriff des Kontobetreibers entsperrt. Bei drei Versuchen liegt die Wahrscheinlichkeit eine PIN mit 4 Ziffern zu knacken bei 3/10000 also 1 zu 3333.

8 Informationssicherheit Empfehlung des BSI zu Passwörtern: https://www.bsi-fuer- buerger.de/BSIFB/DE/MeinPC/Passwoerter/passwoerter_node.ht ml

9 Informationssicherheit Zitat aus BSI Empfehlung (1): Ein gutes Passwort : r Sollte mindestens zwölf Zeichen lang sein. Es sollte aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern bestehen. r Tabu sind Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten und so weiter. r Wenn möglich sollte es nicht in Wörterbüchern vorkommen.

10 Informationssicherheit Zitat aus BSI Empfehlung (2): Ein gutes Passwort : r Sollte nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern bestehen. r Einfache Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen $ ! ? #, am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen ist auch nicht empfehlenswert.

11 Informationssicherheit r Außerdem soll man das Passwort regelmäßig erneuern. Empfehlung FernUni alle 2 Monate! r Passwörter nie aufschreiben! Wie soll dies bei meinen gut 100 Passwörtern gehen? Ein Passwortverwaltungsprogramm oder Tresor verwenden!

12 Informationssicherheit Passwortverwaltungsprogramme: r r r Bedenken! r Hat man Vertrauen zu dem Hersteller des Verwaltungsprogramms? r Will man den notwendigen Mehraufwand betreiben?

13 Informationssicherheit Kompromissvorschlag: Drei oder vier Kategorien der eigenen Anwendungen bilden nach Sicherheitsbedarf: r Kategorie 1 : BSI Empfehlungen für jedes Passwort folgen r Kategorie 2: Gleiches Passwort für je 5 Anwendungen. BSI-Nah! r Kategorie 3: Gleiches Passwort für alle Anwendungen. Gelegentlich erneuern.

14 Informationssicherheit Um die Sicherheit bei Bankgeschäften zu erhöhen werden neben der Authentifikation durch eine PIN, die den Einblick in ein Konto gewährt, auch eine Authentifikation der einzelnen Transaktionen durch ein einmal verwendbares (meist fünfstelliges) Passwortes TAN (Transaction Authentication Number) 1 genannt vorgenommen. 1

15 Informationssicherheit r Früher erhielt der Bankkunde eine TAN Liste, von der er die TANs nacheinander zur Authentifikation von Transaktionen (also z.B. von Überweisungen) verwenden konnte. r Inzwischen werden die TANs durchnummeriert (indizierte TAN-Liste) und der Kunde wird pro Transaktion zur Eingabe einer TAN mit einer bestimmten Nummer aufgefordert. Hierdurch wird die Sicherheit des Verfahrens erheblich verbessert.

16 Informationssicherheit r Verfahren mit TAN-Listen haben den Nachteil, dass man sie zur Durchführung einer Transaktion dabei haben muss. Noch schlimmer, die Listen können Kopiert oder gestohlen werden. r Es gibt zahlreiche Phishing-Attacken, die darauf zielen, nicht verbrauchte TANs samt Indexnummern zu ergattern.

17 Informationssicherheit Die Man-in-the-middle Attacke ist ein ernsthaftes Risiko für das indizierte TAN-Verfahren. Bei diesem Verfahren wird eine Schadsoftware eingesetzt, die sich zwischen dem Kundenrechner und dem Bankserver einschaltet und die Überweisungsdaten in Echtzeit verfälscht. Es werden also die Kontonummer des Empfängers und der Betrag manipuliert. Dem Bankkunden werden dann auch verfälschte Daten angezeigt, die seiner Überweisung entsprechen. Somit wird das Bankkonto geplündert.

18 Informationssicherheit Beim Mobile TAN Verfahren (auch SMS TAN genannt) wird zu einer Transaktion die beim Bankserver ankommt, dem Teilnehmer per SMS eine TAN und die Details der Transaktion auf sein Handy zugesandt. Der Teilnehmer kann dann durch Eingabe der TAN die Transaktion frei geben.

19 Informationssicherheit r Beim Mobile TAN sollte man darauf achten, dass Online-Banking und das TAN-Verfahren nicht vom selben Gerät ausgeführt wird, damit jemand, der das Handy entwendet nicht ungehindert Überweisungen tätigen kann. r Inzwischen gibt es kombinierte Attacken gegen das Mobile TAN Verfahren bei dem sowohl der Rechner des Bankkunden als auch sein Handy mit Schadsoftware befallen wird. Insofern ist das Verfahren nicht mehr als sicher einzustufen.

20 Informationssicherheit Um die man-in-the-middle Attacke zu unterbinden wurden von verschiedenen Banken elektronische TAN Generatoren entwickelt. Die Einzelheiten der jeweiligen Ausführungen sind unterschiedlich jedoch das Prinzip ist identisch. Von dem Generator wird unter Einbeziehung der Daten der Transaktion (Betrag, Empfängerkonto etc.) eine individuelle TAN erstellt, die der Kunde eingibt, um die Transaktion zu tätigen. Diese TAN ist zeitlich begrenzt d.h. sie gilt nur für eine kurze Zeit, die gerade ausreicht die Transaktion zu tätigen. Bei dem Bankserver wird mit den gleichen Daten eine TAN erzeugt und die beiden werden in Echtzeit verglichen. Zur Kontrolle werden meist die Transaktionsdaten vom Bankserver dem Kunden erneut zugesandt. Das Verfahren gilt als ausreichend sicher.

21 Informationssicherheit Bild aus

22 Informationssicherheit Bild aus

23 Informationssicherheit r Bild aus

24 Informationssicherheit Das BSI empfiehlt für Online Banking unter anderem folgendes (1) 1 : r Für Online Banking stets verschlüsselte Verbindung (https://...) verwenden r Ggf. auch WLAN verschlüsseln r Prüfen Sie die Echtheit der Bank WEB-Seite (auch Browserangabe hierzu ansehen!) r Online Banking nur vom eigenen Gerät. 1 https://www.bsi-fuer- buerger.de/BSIFB/DE/SicherheitImNetz/OnlineBanking/Sicherheit smassnahmen/sicherheitsmassnahmen_node.html

25 Informationssicherheit Das BSI empfiehlt für Online Banking unter anderem folgendes (2) 1 : r Kein Online Banking über öffentliche Access Points (z.B. Internetcafé) r Überweisungslimit mit Bank vereinbaren r Regelmäßig Kontobewegungen überprüfen r Telefonbanking ist ganz unsicher. Möglichst nicht verwenden! 1 https://www.bsi-fuer- buerger.de/BSIFB/DE/SicherheitImNetz/OnlineBanking/Sicherheit smassnahmen/sicherheitsmassnahmen_node.html

26 Informationssicherheit r Passwörter, PINs und TANs  Phishing r Spams r Cookies r Malware r Cloudcomputing r Verschlüsselung

27 Informationssicherheit Phishing 1 ist der Versuch durch Täuschung der eignen Identität im Internet Daten eines anderen Teilnehmers zu erhalten um damit Betrug zu betreiben oder sie zu Werbezwecke zu missbrauchen. Das Wort Phishing erinnert an Fishing d.h. Angel werfen um Fische zu fangen. Hier geht es um Angel werfen um Passwörter und andere persönliche Daten zu fangen (Ph = Password harvesting). 1

28 Informationssicherheit Phishing wird gewöhnlich durch verfälschte WEB Seiten, s oder SMS eingeleitet. Der Ahnungslose Teilnehmer glaubt mit einem serösen Partner zu kommunizieren und gibt freiwillig persönliche Daten Preis.

29 Informationssicherheit Beispiel Phishing: Man erhält eine die so aussieht wie wenn sie von der eigenen Bank käme und fordert einen auf, seine Daten zu aktualisieren oder PINs und TANs einzugeben. Die E- Mail zeigt zwar als Absender die Internet Adresse der Bank an, ist aber gefälscht und sieht täuschend echt aus. Meist enthält sie im HTML Format einen Link den man anklicken soll, um die geforderten Daten einzugeben. Der Link zeigt zwar die WEB Adresse der Bank an, führt aber zu einer gefälschten Seite. Gibt man die geforderten Daten dort ein, hat man sie verraten.

30 Informationssicherheit Maßnahmen gegen Phishing: r Meist genügt eine gebührende Vorsicht Phishing Attacken zu erkennen. r Viele Browser und server zeigen es an, wenn es sich um eine Phishing WEB Seite oder handelt.

31 Informationssicherheit Das BSI rät 1 nur gesicherte Seiten (https://…) für Dateneingaben zu verwenden. Hier kann man auf den Schlüsselsymbol klicken um anzusehen von wem die WEB Seite stammt und wer sie zertifiziert hat. 1 https://www.bsi-fuer- buerger.de/BSIFB/DE/GefahrenImNetz/Phishing/Schutzmassnamen/ schutzmassnamen_node.html

32 Informationssicherheit Ferner rät das BSI 1, dass man den Browser so einstellt, dass bevor aktive Inhalte ausgeführt werden, man gefragt wird, ob sie durchgeführt werden sollen. Hier Vorsicht walten lassen! Es gibt zu bedenken: Banken oder seriöse Firmen fordern ihre Kunden niemals per oder per Telefon zur Eingabe von vertraulichen Informationen auf! 1 https://www.bsi-fuer- buerger.de/BSIFB/DE/GefahrenImNetz/Phishing/Schutzmassnamen/ schutzmassnamen_node.html

33 Informationssicherheit r Passwörter, PINs und TANs r Phishing  Spams r Cookies r Malware r Cloudcomputing r Verschlüsselung

34 Informationssicherheit Als Spams 1 bezeichnet man elektronische Mitteilungen, die einem unerwünscht und unaufgefordert zugestellt werden. Meist handelt es sich um Werbung. 1

35 Informationssicherheit Ursprünglich war Spam 1 ein Markenname für Dosenfleisch. Spiced ham = Spam 1 Bild von

36 Informationssicherheit Während der Rationierung im zweiten Weltkrieg war SPAM ein Nahrungsmittel das überall in Großbritannien fast unbeschränkt verfügbar war. Man aß und aß Spam bis es im Halse stecken blieb! Die Wiederholung bei Mitteilungen im Internet bis man sie nicht mehr sehen kann wird im übertragenen Sinne als Spam bezeichnet.

37 Informationssicherheit Der Anteil von Spam im verkehr ist erheblich – im 4. Quartal 2014 lag dieser bei rund 67% 1. Spams richten also einen großen wirtschaftlichen Schaden an. 1

38 Informationssicherheit Nach deutschem Recht ist es verboten unaufgefordert Werbung per zu verschicken. Außer für Werbung werden Spams auch für verschiedene Betrügereien (Phishing) eingesetzt.

39 Informationssicherheit SPAMs Beispiele (1): r SPARKASSE IHR ONLINE-BANKING WIRD OHNE UMSTELLUNG GESPERRT www-sparkasse.de/sicherheit/online-banking admin/www.spk.de/spk.sicherheit.htm r Shoemaker, Helen FINALE GEWINNMITTEILUNG Beigefügt ist die Originalkopie der preisgekrönte Anzeigeschreiben.

40 Informationssicherheit SPAMs Beispiele (2): r James Gilliard Hallo Einer meiner Mandanten verstarb vor zwei Jahren Er hinterließ ein Vermögen in Wert von $ r UPS Tracking Support UPS, Tracking Number: 4896F Wichtige Zustellinformationen

41 Informationssicherheit SPAMs Beispiele (3): r JAMES ENTWISTLE *****SPAM***** PRIVATE AND VERY URGENT US AMBASSADOR TO NIGERIA I WANT TO INFORM YOU THAT YOUR UNSETTLE PAYMENT OF $6.4MILLION UNITED STATE DOLLAR r Federal Bureau of Investigation # Spam # Links und sonstige Funktionen wurden in dieser Nachricht deaktiviert. We bring to your notice that your address has been in our database of scammed victims.

42 Informationssicherheit Einige Tipps zur Vermeidung von Spams 1 : r Autoresponder möglichst nicht anwenden r Auf Werb s nicht antworten r Keine Links in Werb s anklicken r Spamschutz einschalten (Dienstanbieter, Virenschutz) r Filter im Mailprogramm einrichten 1 https://www.bsi-fuer- buerger.de/BSIFB/DE/GefahrenImNetz/Spam/Schutzmassnahmen/sc hutzmassnahmen_node.html

43 Informationssicherheit r Passwörter, PINs und TANs r Phishing r Spams  Cookies r Malware r Cloudcomputing r Verschlüsselung

44 Informationssicherheit Ein Cookie 1 (Keks oder Plätzchen) ist eine Textdatei die von einer besuchten WEB-Seite über den Browser beim Surfen im Internet im Rechner des Surfers angelegt wird. Sie enthält im Wesentlichen Daten über die besuchten WEB-Seiten, getätigten Bestellungen usw. 1

45 Informationssicherheit Einerseits sind Cookies nützlich für den Anwender, da er beim Wiederbesuch der WEB-Seite erkannt wird und bereits eingegebene Daten (Name, Anschrift, Kontonummer etc.) nicht erneut einzugeben braucht. Andrerseits können über Cookies sehr detaillierte persönliche Profile erstellt werden. Diese werden meist aber nicht nur für Werbezwecke genützt.

46 Informationssicherheit Cookies dürfen nur von der WEB-Seite gelesen werden, die sie angelegt hat. Im Gegensatz zu Trojaner werden Cookies nicht versteckt sondern für den Nutzer einsehbar und löschbar.

47 Informationssicherheit Es gibt Session Cookies, die meist gelöscht werden wenn man den Browser schließt und Dauer Cookies, die für unbestimmte Dauer auf dem Rechner des Anwenders bleiben. Cookies sollten gelegentlich manuell gelöscht werden.

48 Informationssicherheit Man kann über den Browser einstellen, ob man generell Cookies erlaubt oder nicht. Bei manchen Anwendungen (z.B. Banken, Vereine, Soziale Gruppen usw.) ist es zwingend Cookies zu gestatten. Man kann über den Browser einstellen, von welchen Seiten Cookies angelegt werden dürfen.

49 Informationssicherheit Allerdings sind Cookies harmlos insofern als sie keine ausführbaren Programme sind und deshalb keine aktiven Funktionen ausüben 1. 1 https://www.bsi-fuer- buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/DerBrow ser/GefahrenRisiken/Cookies/cookies_node.html

50 Informationssicherheit Cookies werden zwar auf Ihrem Rechner abgelegt, sie zu finden ist jedoch schwierig, da sie in versteckten Dateien abgelegt werden. Man muss also zunächst versteckte Dateien sichtbar machen.

51 Informationssicherheit Man kann auch direkt die versteckte Datei angeben. Bei Windows 8 lautet diese: C:\Users\Kaderali\AppData\Local\Microsoft\Windows\ INetCookies\Low.

52 Informationssicherheit Beispiel 1 Cookies: csm-hit s- 1H6CHJBF2MX3ZGCA06CQ| * optimizelySegments %7B% %22%3A%22direct%22%2C% %22%3A%22false%22%2C% %2 2%3A%22ie%22%2C% %22%3A%22none %22%2C% %22%3A%22true%22%7D

53 Informationssicherheit Beispiel 2 Cookies: ki_t %3B %3B %3B2%3B * ki_r *www.holidaycheck.de _pk_id.{145.e84c 9ed3e cd

54 Informationssicherheit Beispiel 2 Cookies (Fortsetzung): * hcheck_de_session *www.holidaycheck.de/ tfm_rsi_segs reset *www.holidaycheck.de/ POPUPCHECK *

55 Informationssicherheit Beispiel 2 Cookies (Fortsetzung 2): _pk_id.145.e84c de1a6c0982facfcf * _pk_ses.145.e84c * * yp_rec *www.holidaycheck.de/

56 Informationssicherheit Beispiel 3 Cookies : fewo-direkt.de/ * optimizelyEndUserId oeu r fewo-direkt.de/ * optimizelyBuckets %7B%7D fewo-direkt.de/ * optimizelyPendingLogEvents %5B%5D

57 Informationssicherheit Beispiel 3 Cookies (Fortsetzung): __utmz utmcsr=(direct)|utmccn=(dir ect)|utmcmd=(none) fewo-direkt.de/ * __utmept marketing fewo-direkt.de/ * __utmep buchungsprozess fewo-direkt.de/ *

58 Informationssicherheit Beispiel 3 Cookies (Fortsetzung 2): __utmv |6=Visitor%20Type=traveller=1 fewo-direkt.de/ *fewo-direkt.de/ * _ga GA fewo-direkt.de/ * _gat 1 fewo-direkt.de/ *

59 Informationssicherheit Beispiel 3 Cookies (Fortsetzung 3): __utma fewo-direkt.de/ * __utmb fewo-direkt.de/ *

60 Informationssicherheit r Passwörter, PINs und TANs r Phishing r Spams r Cookies  Malware r Cloudcomputing r Verschlüsselung

61 Informationssicherheit Schadprogramme auch Malware 1 genannt sind Computerprogramme die auf einem Computer nicht erwünschte und gar schädliche Funktionen ausführen. Die Programm­­ausführung ist getarnt und läuft meist unbemerkt im Hintergrund. 1

62 Informationssicherheit Zu Malware gehören unter anderem r Viren, r Würmer, r Trojaner, r Back door, r Spyware, r Adware und r Dailer.

63 Informationssicherheit Viren sind Schadprogramme die sich selbständig verbreiten in dem sie Kopien von sich selbst in Programme, Dokumente oder Datenträger schreiben. Die Kopien tun das gleiche. Die Malfunktionen, die sie ausüben können vielfältig sein.

64 Informationssicherheit Würmer sind ähnlich wie Viren jedoch sie verbreiten sich direkt über Netze oder andere Medien (z.B. USB Stick).

65 Informationssicherheit Trojaner sind Schadprogramme, die sich meist in nützliche Wirtsprogramme einbetten und Malfunktionen ausführen. Sie verbreiten sich durch Installation des infizierten Wirtsprogramms. Sie werden auch verwendet um weitere Malware zu verbreiten.

66 Informationssicherheit Ein Back Door (Hintertür) ist eine versteckte Softwarefunktion, die es ermöglicht die Authentifikation, Virenschutz und ähnliche Kontrollmaßnahmen zu umgehen um auf Soft- oder Hardware zuzugreifen. Solche Zugriffsrechte ermöglichen es Daten zu sammeln und weiter zu versenden oder Malware zu verbreiten.

67 Informationssicherheit Spyware sind Schadprogramme die ohne Zustimmung und ohne Wissen des Anwenders dessen persönliche Daten (vor allem Daten über sein Verhalten) sammeln und versenden.

68 Informationssicherheit Adware sind Schadprogramme die Werbung verbreiten (Ad = Advertisement).

69 Informationssicherheit Dialer sind Schadprogramme, die automatisch Wählverbindungen herstellen.

70 Informationssicherheit Folgendes Bild zeigt die Verbreitung von Malware Das Bild stammt von

71 Informationssicherheit Das BSI empfiehlt 1 bei Microsoft Betriebssystemen dringend ein Viren­schutz­ Programm zu verwenden, bei Linux und Mac ist das nicht erforderlich. Für den privaten Nutzer sind in der Regel kostenfreie Antivirusprogramme ausreichend. 1 https://www.bsi-fuer- buerger.de/BSIFB/DE/MeinPC/Schutzprogramme/Virenschutzprogra mme/virenschutzprogramme_node.html

72 Informationssicherheit Beispiele für kostenlose Antivirusprogramme sind: r Avira Free Antivirus (http://free-av.de)http://free-av.de r avast! Free Antivirus (https://www.avast.com/de-de/free-antivirus- download). Eine verhaltensbasierte Erkennung von Schadsoftware ist in dieser Lösung bereits integrierthttps://www.avast.com/de-de/free-antivirus- download r AVG Anti-Virus Free (http://free.avg.com/de- de/startseite)http://free.avg.com/de- de/startseite

73 Informationssicherheit Ich selbst verwende Sophos, das von der FernUniversität (wie auch von vielen anderen Universitäten) für ihre Studenten und Mitarbeiter kostenlos zur Verfügung gestellt wird. Man kann sie automatisch auf dem aktuellen Stand halten.

74 Informationssicherheit Virenscanprogramme suchen nach Signaturen (Fingerprints) von Schadprogrammen und ermöglichen es sie, zu isolieren und zu entfernen. Antivirussoftware sollte deshalb stets auf aktuellem Stand gehalten werden! Man sollte die Autoprotect Funktion einschalten – damit wird bei jedem Start das Programm aufgerufen und läuft im Hintergrund durch. Die Online Scan Funktion Überwacht den Rechner in Echtzeit.

75 Informationssicherheit r Passwörter, PINs und TANs r Phishing r Spams r Cookies r Malware  Cloudcomputing r Verschlüsselung

76 Informationssicherheit Unter Cloud Computing versteht man ein dynamisches, Bedarfsorientiertes überall und jederzeit verfügbares Angebot an IT-Leistungen über das Netz. Das Angebot umfasst Rechenleistung, Speicherplatz, diverse IT- Dienste einschließlich Anwendungs­programme. Abgerechnet wird nach tatsächlicher Nutzung.

77 Informationssicherheit Nach NIST (US National Institute of Standards and Technology) weisen Cloud Dienste folgende fünf Merkmale auf 1 : r Bedarfsorientierte Selbstbedienung r Verfügbar über standardisierte Netzschnittstellen r Ressourcenteilung r Schnell und flexibel automatisch konfigurierbar r Ressourcennutzung wird überwacht und gemessen. Abrechnung nach tatsächlicher Nutzung. 1 Peter Mell Timothy Grance, NIST Special Publication : The NIST Definition of Cloud Computing

78 Informationssicherheit Für den Anwender haben Cloud Dienste den Vorteil, dass er keine Ressourcen vorhalten muss sondern flexibel bei Bedarf unbegrenzt auf sie zugreifen kann.

79 Informationssicherheit Dafür treten zahlreiche sicherheitsrelevante Nachteile ein 1 : r Zugang zu Cloud Dienste ist über Endgeräte und Netze – beide können ein Risiko darstellen r Man vertraut private Daten einem Dritten zur Auf- bewahrung. Es können Probleme bei der Datensicherung (z.B. Klau durch Mitarbeiter), der Datenlöschung (es werden mehrere Kopien an verschiedenen Orten gespeichert!) und der Datenverschlüsselung (sowohl auf den Übermittlungsstrecken als auch bei der Speicherung) kommen. 1 https://www.bsi-fuer- buerger.de/BSIFB/DE/SicherheitImNetz/CloudComputing/GefahrenRisiken/gefahren risiken_node.html;jsessionid=B5BA549084F3137B569C82C32D922A6B.2_cid369

80 Informationssicherheit Weitere sicherheitsrelevante Nachteile : r Es können Probleme bei Datenbackups und Datenverlust geben. r Meist hat der Anwender keinen Überblick wo sich die Daten befinden. Im Ausland? r Was ist, wenn Dienstanbieter Insolvenz anmeldet?

81 Informationssicherheit Fazit: Cloud Dienste sind mit erheblichen Risiken verbunden und sollten von Privatnutzern nicht verwendet werden.

82 Informationssicherheit r Passwörter, PINs und TANs r Phishing r Spams r Cookies r Malware r Cloudcomputing  Verschlüsselung

83 Informationssicherheit Verschlüsselungsverfahren 1 werden eingesetzt um die Vertraulichkeit von Nachrichten im Netz zu gewährleisten. Sie können aber darüber hinaus auch eingesetzt werden um die Integrität der Nachrichten und deren Authentizität zu überprüfen. 1

84 Informationssicherheit Symmetrische Verschlüsselungsverfahren 1 funktionieren wie folgt: Die Nachricht m (eine Folge von Symbolen) wird vom Sender mit einem Schlüssel k (auch eine Folge von Symbolen) mathematisch verknüpft, um eine verschlüsselte Nachricht c zu ergeben. Die mathematische Verknüpfung E hat die Eigenschaft, dass die verschlüsselte Nachricht c sinnlos und willkürlich erscheint und ohne Kenntnis des Schlüssels k die ursprüngliche Nachricht daraus nicht zu entziffern ist. Man kann daraus auch den Schlüssel k nicht ableiten. 1

85 Informationssicherheit

86 Informationssicherheit Symmetrische Verschlüsselungsverfahren 1 funktionieren wie folgt (Fortsetzung): Hat der Empfänger den (gleichen) Schlüssel k, kann er die Verknüpfung erneut durchführen, um die ursprüngliche Nachricht wieder zu erhalten. Das Problem bei diesem Verfahren ist, dass man einen sicheren Weg finden muss um den Schlüssel k vom Sender zum Empfänger zu bringen. In der Praxis werden deshalb Asymmetrische Verfahren verwendet, um den Schlüssel zu übertragen.

87 Informationssicherheit

88 Informationssicherheit Bei asymmetrischen Verschlüsselungsverfahren 1 werden zwei aufeinander abgestimmte Schlüssel erstellt. Der Schlüssel k e wird privater Schlüssel des Senders genannt und wird zur Verschlüsselung der Nachricht m verwendet und ist nur dem Sender der Nachricht bekannt und wird geheim gehalten. Der Schlüssel k d wird öffentlicher Schlüssel genannt und wird in öffentlichen Verzeichnissen als der öffentliche authentifizierte Schlüssel des Senders bekanntgegeben. Damit ist er jedem zugänglich. 1

89 Informationssicherheit

90 Informationssicherheit Die mathematische Verknüpfung E hat die Eigenschaft, dass die verschlüsselte Nachricht c sinnlos erscheint und daraus weder die Nachricht m noch der Schlüssel k e abgeleitet werden kann. Die mathematische Verknüpfung D hat die Eigenschaft, dass sie aus der Verschlüsselten Nachricht c wieder die ursprüngliche Nachricht m ableitet, dabei bleibt der Schlüssel k e geheim.

91 Informationssicherheit

92 Informationssicherheit Das Verfahren hat die Eigenschaft, dass man damit eine Nachricht Verschlüsseln kann (Vertraulichkeit) aber auch, dass die ursprüngliche Nachricht nicht verändert werden kann (Integrität). Man kann es außerdem verwenden, um die Authentizität des Senders zu überprüfen. Hierzu legt man dem Sender eine Nachricht zur Verschlüsselung vor. Kann man aus der verschlüsselten Nachricht nun mit dem öffentlichen Schlüssel und der Verknüpfung D die ursprüngliche Nachricht wieder herstellen, so bedeutet dies, dass der Sender den privaten Schlüssel k e kennt. Damit ist er eindeutig identifiziert, denn nur er kennt diesen.

93 Informationssicherheit Die verwendeten mathematischen Verknüpfungen D und E charakterisieren die jeweiligen Verschlüsselungs- verfahren. Auch die Erzeugung der Schlüssel muss sorgfältig vorgenommen werden, denn es gibt starke und schwache Schlüssel. Wird die Verschlüsselung Bitweise oder Byteweise vorgenommen (Stromchiffre) ist sie schnell. Wird sie Blockweise vorgenommen (Blockchiffre) können erhebliche Verzögerungen entstehen.

94 Informationssicherheit Symmetrische Verfahren sind gewöhnlich sehr schnell, asymmetrische Verfahren dagegen meist rechenintensiv und deshalb recht langsam. Deswegen werden oft hybride Verfahren verwendet bei dem ein asymmetrisches Verfahren zur gesicherten Schlüssel- übertragung verwendet wird mit dem dann die Nachricht symmetrisch verschlüsselt wird.

95 Informationssicherheit Das bekannteste symmetrische Blockchiffreverfahren ist das DES-Verfahren (Data Encryption Standard) 1. Mit einer Blockgröße von 64 Bit und einer Schlüssellänge von 56 Bit wird er inzwischen als unsicher betrachtet. Eine Variante bei der er dreimal angewendet wird (tripple DES) wird als sicherer angesehen und heute noch verwendet. 1

96 Informationssicherheit Das bekannteste asymmetrische Verfahren ist das RSA- Verfahren 1 benannt nach Rivest, Shamir und Adleman, die das Verfahren bei MIT entwickelten und 1977 veröffentlichten. Es gab viele Angriffe gegen das RSA- Verfahren und es wurde immer weiter verbessert und häufig gemeinsam mit anderen Verfahren eingesetzt. In einer solchen Kombination wird es meist als sicher betrachtet. 1

97 Informationssicherheit Solche kombinierten Verfahren werden in vielen Anwendungen eingesetzt so z.B. bei s (PGP, S/MIME), diversen Kryptoprotokollen (SSH, SSL) als auch in der Browser-Server-Kommunikation (HTTPS). Ende 2013 wurde dann bekannt, dass NSA (National Security Agency der USA) einen Vertrag mit der Firma RSA abgeschlossen hat, Hintertürchen (Back doors) in RSA Produkte einzubauen idUSBRE9BJ1C

98 Informationssicherheit Das Dilemma bei der Verschlüsselung ist: Man kann einen hohen Aufwand betreiben um ein Kryptosystem sicher zu machen, man muss aber auch damit rechnen, dass ein Angreifer ebenso einen sehr hohen Aufwand betreiben könnte, um das System zu brechen.

99 Informationssicherheit Ein gravierender Schwachpunkt der Verschlüsselung liegt in der Implementierung. Das mathematische Verfahren kann sehr sicher gemacht werden, es gibt aber keine Sicherheit, dass in der Implementierung nicht betrogen wird, denn Software nach Sicherheit zu überprüfen gestaltet sich schwierig. Hinzukommt, dass menschliche Schwächen ausgenützt werden, um z.B. geheime Schlüssel zu kompromittieren.

100 Informationssicherheit Fazit: Verschlüsselung ist unbequem, aufwendig, verlangsamt die Kommunikation und ist nicht absolut sicher. Sie wird deshalb ungern eingesetzt. Allerdings bietet sie eine gute Vertraulichkeit, denn sie kann nicht ohne das entsprechende Know-how gebrochen werden. Dokumente und Nachrichten sind somit durch eine Verschlüsselung in der Regel gut geschützt.

101 Informationssicherheit Folgende Verfahren zur Verschlüsselung werden heute für verschiedene Anwendungen eingesetzt: r PGP (Pretty Good Privacy) r S/MIME (Secure / Multipurpose Internet Mail Extensions) r SSH (Secure Shell) r TLS (Transport Layer Security) früher SSL (Secret Socket Layer) r HTTPS (Hypertext Transport Protocol / Secure)

102 Informationssicherheit PGP (Pretty Good Privacy) 1 PGP wird zur Verschlüsselung von s verwendet und kann eingesetzt werden um s vertraulich zu halten, ihre Integrität zu wahren und den Sender der zu authentifizieren. 1

103 Informationssicherheit PGP wurde von Phil Zimmermann entwickelt und 1991 in der ersten Version gegen geltende US Gesetze weltweit als freie Software verfügbar gemacht. Heute wird PGP von der Firma Symantec in Kalifornien vertrieben und in einer eingeschränkten Version auch als Freeware Angeboten. r r r

104 Informationssicherheit Die Verschlüsslung bei PGP wird, um Rechenaufwand zu verringern (und somit die Geschwindigkeit des Verfahrens zu erhöhen), in zwei Schritten durchgeführt. Im ersten Schritt wird vom Sender ein symmetrischer Schlüssel erzeugt und mit einem Asymmetrischen Verfahren dem Empfänger der Nachricht übermittelt. Hierzu wird meist das RSA-Verfahren, heute zunehmend auch das auf diskreter Logarithmus basierendes Elgamal-Verfahren 1 verwendet. 1 Verschl%C3%BCsselungsverfahren

105 Informationssicherheit RSA Verschlüsselung in zwei Schritten (Fortsetzung): Im zweiten Schritt wird dann die Nachricht mit einem symmetrischen Verfahren verschlüsselt übertragen. Für die symmetrische Verschlüsselung wurde zunächst das DES- Verfahren, dann das tripple DES und heute häufig das in Europa von James L. Massey entwickelte IDEA-Verfahren 1 oder ebenso in Europa von Joan Daemen und Vincent Rijmen entwickelte AES-Verfahren 2 verwendet.Joan DaemenVincent Rijmen 1 2

106 Informationssicherheit S/MIME (Secure / Multipurpose Internet Mail Extensions) 1 S/MIME ist eine alternative zu PGP (insbesondere free PGP) und wird auch von vielen Betriebssystemen, Browser und Zertifizierungsstellen teilweise kostenlos unterstützt. Wie bei PGP handelt es sich um ein hybrides Verfahren (Kombination von symmetrischen und asymmetrischen Verschlüsselung). 1

107 Informationssicherheit SSH (Secure Shell) 1 Secure Shell ist ein Verfahren zur Sicheren Kommunikation zwischen einem Rechner (Server) und einem Endgerät (Client). Er wurde von Tatu Ylönen entwickelt und 1995 als free ware angeboten. Ursprünglich handelte es sich um einen Satz von Kommandozeilen zur Fernsteuerung. Heute wird SSH von SSH Communications Security AG in Helsinki gepflegt, weiterentwickelt und kommerziell vertrieben.Tatu Ylönen 1

108 Informationssicherheit TLS (Transport Layer Security) früher SSL (Secret Socket Layer) TLS/SSL ist ein hybrides Verschlüsselungsverfahren zur Datenübertragung im Internet und wird als Freeware 1 angeboten. Fast alle Browser setzen TLS in unterschiedlichen Varianten meist mit RSA und AES ein. Es wurde von Netscape entwickelt und 1994 zusammen mit HTTPS in ihrem Browser eingesetzt. 1

109 Informationssicherheit HTTPS (Hypertext Transport Protocol / Secure) 1 HTTPS ist ein Kommunikationsprotokoll im WWW (World Wide Web) um Daten sicher zu übertragen. Es wurde von Netscape entwickelt und 1994 zusammen mit SSL in ihrem Browser eingesetzt, Heute bieten alle Browser HTTPS mit verschiedenen hybriden Verfahren an. 1

110 Informationssicherheit Bei allen Anwendungen von HTTPS wird die Verbindung zur WEB-Seite automatisch verschlüsselt und im Adressfeld des Browsers angezeigt, dass die Verbindung verschlüsselt ist, woher die Seite stammt und von wem dies verifiziert wurde.

111 Informationssicherheit Vielen Dank für Ihre Aufmerksamkeit! Fragen?


Herunterladen ppt "Www.kaderali.de Informationssicherheit Grundlagen Firoz Kaderali."

Ähnliche Präsentationen


Google-Anzeigen