Www.kaderali.de Informationssicherheit Grundlagen Firoz Kaderali.

Präsentation zum Thema: "Www.kaderali.de Informationssicherheit Grundlagen Firoz Kaderali."—  Präsentation transkript:

1 www.kaderali.de Informationssicherheit Grundlagen Firoz Kaderali

2 09.05.2015 2 Informationssicherheit  Passwörter, PINs und TANs r Phishing r Spams r Cookies r Malware r Cloudcomputing r Verschlüsselung

3 09.05.2015 3 Informationssicherheit Ein Passwort (Schlüssel) ist eine Zeichenfolge, die es ermöglicht ein Konto oder eine Datei (Tresor) zu öffnen. Sie wird also zur Authentifizierung verwendet. Häufig werden nur Zahlenfolgen, immer mehr Zahlenfolgen mit klein und groß Buchstaben und auch Sonderzeichen (ASCII-Zeichen) eingesetzt.

4 09.05.2015 4 Informationssicherheit Bei Banken werden Passwörter PIN (Personal Identification Number) 1 genannt zur Authentifikation von Personen eingesetzt. Sie ermöglichen es der authentifizierten Person Einblick in sein Konto oder Depot zu nehmen. 1 http://de.wikipedia.org/wiki/Pers%C3%B6nliche_Identifika tionsnummer

5 09.05.2015 5 Informationssicherheit Beispiele von Passwörter: r Hotelsafe, Länge üblicherweise 4 Ziffern r Bankkonto, Depot, Geldautomaten, Kreditkarten, üblicherweise 4 Ziffern r Konten bei Online Shops, Zugang zu Firmennetzen, Zugang zu Mailkonten etc. 8 bis 12 Zeichen. r Bei SW und Geräteschutz 64 bis 128 Zeichen.

6 09.05.2015 6 Informationssicherheit Heute wird die Richtigkeit einer PIN auf einer Karte maschinell gewöhnlich wie folgt überprüft: Die Maschine liest die verschlüsselte PIN von der Karte heraus, entschlüsselt sie und vergleicht die über die Tastatur eingegebene PIN hiermit. Bei Übereinstimmung wird der Zugang zu Datei, Konto oder Geld gewährt.

7 09.05.2015 7 Informationssicherheit Bei 4 Ziffern liegt die Wahrscheinlichkeit eine PIN richtig zu raten bei 1: 10 4 also eins zu zehntausend. Damit man nicht alle zehntausend Ziffern ausprobieren kann, wird die Anzahl der Versuche gewöhnlich auf drei beschränkt. Der Zugang wird bei drei Falscheingaben dann gesperrt und kann entweder über eine übergeordnete PIN (Master PIN) oder durch Eingriff des Kontobetreibers entsperrt. Bei drei Versuchen liegt die Wahrscheinlichkeit eine PIN mit 4 Ziffern zu knacken bei 3/10000 also 1 zu 3333.

8 09.05.2015 8 Informationssicherheit Empfehlung des BSI zu Passwörtern: https://www.bsi-fuer- buerger.de/BSIFB/DE/MeinPC/Passwoerter/passwoerter_node.ht ml

9 09.05.2015 9 Informationssicherheit Zitat aus BSI Empfehlung (1): Ein gutes Passwort : r Sollte mindestens zwölf Zeichen lang sein. Es sollte aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern bestehen. r Tabu sind Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten und so weiter. r Wenn möglich sollte es nicht in Wörterbüchern vorkommen.

10 09.05.2015 10 Informationssicherheit Zitat aus BSI Empfehlung (2): Ein gutes Passwort : r Sollte nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern bestehen. r Einfache Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen $ ! ? #, am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen ist auch nicht empfehlenswert.

11 09.05.2015 11 Informationssicherheit r Außerdem soll man das Passwort regelmäßig erneuern. Empfehlung FernUni alle 2 Monate! r Passwörter nie aufschreiben! Wie soll dies bei meinen gut 100 Passwörtern gehen? Ein Passwortverwaltungsprogramm oder Tresor verwenden!

12 09.05.2015 12 Informationssicherheit Passwortverwaltungsprogramme: r http://de.wikipedia.org/wiki/KeePass http://de.wikipedia.org/wiki/KeePass r http://www.mobilesitter.de/index_de.php http://www.mobilesitter.de/index_de.php r http://www.passwordsafe.de/ http://www.passwordsafe.de/ Bedenken! r Hat man Vertrauen zu dem Hersteller des Verwaltungsprogramms? r Will man den notwendigen Mehraufwand betreiben?

13 09.05.2015 13 Informationssicherheit Kompromissvorschlag: Drei oder vier Kategorien der eigenen Anwendungen bilden nach Sicherheitsbedarf: r Kategorie 1 : BSI Empfehlungen für jedes Passwort folgen r Kategorie 2: Gleiches Passwort für je 5 Anwendungen. BSI-Nah! r Kategorie 3: Gleiches Passwort für alle Anwendungen. Gelegentlich erneuern.

14 09.05.2015 14 Informationssicherheit Um die Sicherheit bei Bankgeschäften zu erhöhen werden neben der Authentifikation durch eine PIN, die den Einblick in ein Konto gewährt, auch eine Authentifikation der einzelnen Transaktionen durch ein einmal verwendbares (meist fünfstelliges) Passwortes TAN (Transaction Authentication Number) 1 genannt vorgenommen. 1 http://de.wikipedia.org/wiki/Transaktionsnummer

15 09.05.2015 15 Informationssicherheit r Früher erhielt der Bankkunde eine TAN Liste, von der er die TANs nacheinander zur Authentifikation von Transaktionen (also z.B. von Überweisungen) verwenden konnte. r Inzwischen werden die TANs durchnummeriert (indizierte TAN-Liste) und der Kunde wird pro Transaktion zur Eingabe einer TAN mit einer bestimmten Nummer aufgefordert. Hierdurch wird die Sicherheit des Verfahrens erheblich verbessert.

16 09.05.2015 16 Informationssicherheit r Verfahren mit TAN-Listen haben den Nachteil, dass man sie zur Durchführung einer Transaktion dabei haben muss. Noch schlimmer, die Listen können Kopiert oder gestohlen werden. r Es gibt zahlreiche Phishing-Attacken, die darauf zielen, nicht verbrauchte TANs samt Indexnummern zu ergattern.

17 09.05.2015 17 Informationssicherheit Die Man-in-the-middle Attacke ist ein ernsthaftes Risiko für das indizierte TAN-Verfahren. Bei diesem Verfahren wird eine Schadsoftware eingesetzt, die sich zwischen dem Kundenrechner und dem Bankserver einschaltet und die Überweisungsdaten in Echtzeit verfälscht. Es werden also die Kontonummer des Empfängers und der Betrag manipuliert. Dem Bankkunden werden dann auch verfälschte Daten angezeigt, die seiner Überweisung entsprechen. Somit wird das Bankkonto geplündert.

18 09.05.2015 18 Informationssicherheit Beim Mobile TAN Verfahren (auch SMS TAN genannt) wird zu einer Transaktion die beim Bankserver ankommt, dem Teilnehmer per SMS eine TAN und die Details der Transaktion auf sein Handy zugesandt. Der Teilnehmer kann dann durch Eingabe der TAN die Transaktion frei geben.

19 09.05.2015 19 Informationssicherheit r Beim Mobile TAN sollte man darauf achten, dass Online-Banking und das TAN-Verfahren nicht vom selben Gerät ausgeführt wird, damit jemand, der das Handy entwendet nicht ungehindert Überweisungen tätigen kann. r Inzwischen gibt es kombinierte Attacken gegen das Mobile TAN Verfahren bei dem sowohl der Rechner des Bankkunden als auch sein Handy mit Schadsoftware befallen wird. Insofern ist das Verfahren nicht mehr als sicher einzustufen.

20 09.05.2015 20 Informationssicherheit Um die man-in-the-middle Attacke zu unterbinden wurden von verschiedenen Banken elektronische TAN Generatoren entwickelt. Die Einzelheiten der jeweiligen Ausführungen sind unterschiedlich jedoch das Prinzip ist identisch. Von dem Generator wird unter Einbeziehung der Daten der Transaktion (Betrag, Empfängerkonto etc.) eine individuelle TAN erstellt, die der Kunde eingibt, um die Transaktion zu tätigen. Diese TAN ist zeitlich begrenzt d.h. sie gilt nur für eine kurze Zeit, die gerade ausreicht die Transaktion zu tätigen. Bei dem Bankserver wird mit den gleichen Daten eine TAN erzeugt und die beiden werden in Echtzeit verglichen. Zur Kontrolle werden meist die Transaktionsdaten vom Bankserver dem Kunden erneut zugesandt. Das Verfahren gilt als ausreichend sicher.

21 09.05.2015 21 Informationssicherheit Bild aus http://de.wikipedia.org/wiki/Transaktionsnummerhttp://de.wikipedia.org/wiki/Transaktionsnummer

22 09.05.2015 22 Informationssicherheit Bild aus http://de.wikipedia.org/wiki/Transaktionsnummerhttp://de.wikipedia.org/wiki/Transaktionsnummer

23 09.05.2015 23 Informationssicherheit r Bild aus http://de.wikipedia.org/wiki/Transaktionsnummerhttp://de.wikipedia.org/wiki/Transaktionsnummer

24 09.05.2015 24 Informationssicherheit Das BSI empfiehlt für Online Banking unter anderem folgendes (1) 1 : r Für Online Banking stets verschlüsselte Verbindung (https://...) verwenden r Ggf. auch WLAN verschlüsseln r Prüfen Sie die Echtheit der Bank WEB-Seite (auch Browserangabe hierzu ansehen!) r Online Banking nur vom eigenen Gerät. 1 https://www.bsi-fuer- buerger.de/BSIFB/DE/SicherheitImNetz/OnlineBanking/Sicherheit smassnahmen/sicherheitsmassnahmen_node.html

25 09.05.2015 25 Informationssicherheit Das BSI empfiehlt für Online Banking unter anderem folgendes (2) 1 : r Kein Online Banking über öffentliche Access Points (z.B. Internetcafé) r Überweisungslimit mit Bank vereinbaren r Regelmäßig Kontobewegungen überprüfen r Telefonbanking ist ganz unsicher. Möglichst nicht verwenden! 1 https://www.bsi-fuer- buerger.de/BSIFB/DE/SicherheitImNetz/OnlineBanking/Sicherheit smassnahmen/sicherheitsmassnahmen_node.html

26 09.05.2015 26 Informationssicherheit r Passwörter, PINs und TANs  Phishing r Spams r Cookies r Malware r Cloudcomputing r Verschlüsselung

27 09.05.2015 27 Informationssicherheit Phishing 1 ist der Versuch durch Täuschung der eignen Identität im Internet Daten eines anderen Teilnehmers zu erhalten um damit Betrug zu betreiben oder sie zu Werbezwecke zu missbrauchen. Das Wort Phishing erinnert an Fishing d.h. Angel werfen um Fische zu fangen. Hier geht es um Angel werfen um Passwörter und andere persönliche Daten zu fangen (Ph = Password harvesting). 1 http://de.wikipedia.org/wiki/Phishing

28 09.05.2015 28 Informationssicherheit Phishing wird gewöhnlich durch verfälschte WEB Seiten, Emails oder SMS eingeleitet. Der Ahnungslose Teilnehmer glaubt mit einem serösen Partner zu kommunizieren und gibt freiwillig persönliche Daten Preis.

29 09.05.2015 29 Informationssicherheit Beispiel Phishing: Man erhält eine E-Mail die so aussieht wie wenn sie von der eigenen Bank käme und fordert einen auf, seine Daten zu aktualisieren oder PINs und TANs einzugeben. Die E- Mail zeigt zwar als Absender die Internet Adresse der Bank an, ist aber gefälscht und sieht täuschend echt aus. Meist enthält sie im HTML Format einen Link den man anklicken soll, um die geforderten Daten einzugeben. Der Link zeigt zwar die WEB Adresse der Bank an, führt aber zu einer gefälschten Seite. Gibt man die geforderten Daten dort ein, hat man sie verraten.

30 09.05.2015 30 Informationssicherheit Maßnahmen gegen Phishing: r Meist genügt eine gebührende Vorsicht Phishing Attacken zu erkennen. r Viele Browser und E-Mailserver zeigen es an, wenn es sich um eine Phishing WEB Seite oder E-Mail handelt.

31 09.05.2015 31 Informationssicherheit Das BSI rät 1 nur gesicherte Seiten (https://…) für Dateneingaben zu verwenden. Hier kann man auf den Schlüsselsymbol klicken um anzusehen von wem die WEB Seite stammt und wer sie zertifiziert hat. 1 https://www.bsi-fuer- buerger.de/BSIFB/DE/GefahrenImNetz/Phishing/Schutzmassnamen/ schutzmassnamen_node.html

32 09.05.2015 32 Informationssicherheit Ferner rät das BSI 1, dass man den Browser so einstellt, dass bevor aktive Inhalte ausgeführt werden, man gefragt wird, ob sie durchgeführt werden sollen. Hier Vorsicht walten lassen! Es gibt zu bedenken: Banken oder seriöse Firmen fordern ihre Kunden niemals per E-Mail oder per Telefon zur Eingabe von vertraulichen Informationen auf! 1 https://www.bsi-fuer- buerger.de/BSIFB/DE/GefahrenImNetz/Phishing/Schutzmassnamen/ schutzmassnamen_node.html

33 09.05.2015 33 Informationssicherheit r Passwörter, PINs und TANs r Phishing  Spams r Cookies r Malware r Cloudcomputing r Verschlüsselung

34 09.05.2015 34 Informationssicherheit Als Spams 1 bezeichnet man elektronische Mitteilungen, die einem unerwünscht und unaufgefordert zugestellt werden. Meist handelt es sich um Werbung. 1 http://de.wikipedia.org/wiki/Spam

35 09.05.2015 35 Informationssicherheit Ursprünglich war Spam 1 ein Markenname für Dosenfleisch. Spiced ham = Spam 1 Bild von http://de.wikipedia.org/wiki/Spamhttp://de.wikipedia.org/wiki/Spam

36 09.05.2015 36 Informationssicherheit Während der Rationierung im zweiten Weltkrieg war SPAM ein Nahrungsmittel das überall in Großbritannien fast unbeschränkt verfügbar war. Man aß und aß Spam bis es im Halse stecken blieb! Die Wiederholung bei Mitteilungen im Internet bis man sie nicht mehr sehen kann wird im übertragenen Sinne als Spam bezeichnet.

37 09.05.2015 37 Informationssicherheit Der Anteil von Spam im Emailverkehr ist erheblich – im 4. Quartal 2014 lag dieser bei rund 67% 1. Spams richten also einen großen wirtschaftlichen Schaden an. 1 http:// www.viruslist.com/de/analysis?pubid=200883871

38 09.05.2015 38 Informationssicherheit Nach deutschem Recht ist es verboten unaufgefordert Werbung per Email zu verschicken. Außer für Werbung werden Spams auch für verschiedene Betrügereien (Phishing) eingesetzt.

39 09.05.2015 39 Informationssicherheit SPAMs Beispiele (1): r SPARKASSE sicherheit-abteilung@spar-kasse.desicherheit-abteilung@spar-kasse.de IHR ONLINE-BANKING WIRD OHNE UMSTELLUNG GESPERRT www-sparkasse.de/sicherheit/online-banking http://atelierif.ro/wp- admin/www.spk.de/spk.sicherheit.htm r Shoemaker, Helen shoemaker@hnu.edushoemaker@hnu.edu FINALE GEWINNMITTEILUNG Beigefügt ist die Originalkopie der preisgekrönte Anzeigeschreiben.

40 09.05.2015 40 Informationssicherheit SPAMs Beispiele (2): r James Gilliard gilliard.j@hotmail.comgilliard.j@hotmail.com Hallo Einer meiner Mandanten verstarb vor zwei Jahren Er hinterließ ein Vermögen in Wert von $18.515.000 r UPS Tracking Support faath@unidata-online.defaath@unidata-online.de UPS, Tracking Number: 4896F3859466 http://www.ups.com/img/de/email_header_blue.gif Wichtige Zustellinformationen

41 09.05.2015 41 Informationssicherheit SPAMs Beispiele (3): r JAMES ENTWISTLE drh@implemaq.com.brdrh@implemaq.com.br *****SPAM***** PRIVATE AND VERY URGENT US AMBASSADOR TO NIGERIA I WANT TO INFORM YOU THAT YOUR UNSETTLE PAYMENT OF $6.4MILLION UNITED STATE DOLLAR r Federal Bureau of Investigation # Spam # Links und sonstige Funktionen wurden in dieser Nachricht deaktiviert. We bring to your notice that your Email address has been in our database of scammed victims.

42 09.05.2015 42 Informationssicherheit Einige Tipps zur Vermeidung von Spams 1 : r Autoresponder möglichst nicht anwenden r Auf Werbemails nicht antworten r Keine Links in Werbemails anklicken r Spamschutz einschalten (Dienstanbieter, Virenschutz) r Filter im Mailprogramm einrichten 1 https://www.bsi-fuer- buerger.de/BSIFB/DE/GefahrenImNetz/Spam/Schutzmassnahmen/sc hutzmassnahmen_node.html

43 09.05.2015 43 Informationssicherheit r Passwörter, PINs und TANs r Phishing r Spams  Cookies r Malware r Cloudcomputing r Verschlüsselung

44 09.05.2015 44 Informationssicherheit Ein Cookie 1 (Keks oder Plätzchen) ist eine Textdatei die von einer besuchten WEB-Seite über den Browser beim Surfen im Internet im Rechner des Surfers angelegt wird. Sie enthält im Wesentlichen Daten über die besuchten WEB-Seiten, getätigten Bestellungen usw. 1 http://de.wikipedia.org/wiki/Cookie

45 09.05.2015 45 Informationssicherheit Einerseits sind Cookies nützlich für den Anwender, da er beim Wiederbesuch der WEB-Seite erkannt wird und bereits eingegebene Daten (Name, Anschrift, Kontonummer etc.) nicht erneut einzugeben braucht. Andrerseits können über Cookies sehr detaillierte persönliche Profile erstellt werden. Diese werden meist aber nicht nur für Werbezwecke genützt.

46 09.05.2015 46 Informationssicherheit Cookies dürfen nur von der WEB-Seite gelesen werden, die sie angelegt hat. Im Gegensatz zu Trojaner werden Cookies nicht versteckt sondern für den Nutzer einsehbar und löschbar.

47 09.05.2015 47 Informationssicherheit Es gibt Session Cookies, die meist gelöscht werden wenn man den Browser schließt und Dauer Cookies, die für unbestimmte Dauer auf dem Rechner des Anwenders bleiben. Cookies sollten gelegentlich manuell gelöscht werden.

48 09.05.2015 48 Informationssicherheit Man kann über den Browser einstellen, ob man generell Cookies erlaubt oder nicht. Bei manchen Anwendungen (z.B. Banken, Vereine, Soziale Gruppen usw.) ist es zwingend Cookies zu gestatten. Man kann über den Browser einstellen, von welchen Seiten Cookies angelegt werden dürfen.

49 09.05.2015 49 Informationssicherheit Allerdings sind Cookies harmlos insofern als sie keine ausführbaren Programme sind und deshalb keine aktiven Funktionen ausüben 1. 1 https://www.bsi-fuer- buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/DerBrow ser/GefahrenRisiken/Cookies/cookies_node.html

50 09.05.2015 50 Informationssicherheit Cookies werden zwar auf Ihrem Rechner abgelegt, sie zu finden ist jedoch schwierig, da sie in versteckten Dateien abgelegt werden. Man muss also zunächst versteckte Dateien sichtbar machen.

51 09.05.2015 51 Informationssicherheit Man kann auch direkt die versteckte Datei angeben. Bei Windows 8 lautet diese: C:\Users\Kaderali\AppData\Local\Microsoft\Windows\ INetCookies\Low.

52 09.05.2015 52 Informationssicherheit Beispiel 1 Cookies: csm-hit s- 1H6CHJBF2MX3ZGCA06CQ|1411676922018 www.amazon.de/ 1088 1720753408 30400127 1274823749 30398719 * www.amazon.de/ optimizelySegments %7B%22188132953%22%3A%22direct%22%2C%2218 9931954%22%3A%22false%22%2C%22189931955%2 2%3A%22ie%22%2C%22189977163%22%3A%22none %22%2C%22567540727%22%3A%22true%22%7D

53 09.05.2015 53 Informationssicherheit Beispiel 2 Cookies: ki_t 1418734360719%3B1420395819281%3B1420395821 360%3B2%3B3 www.holidaycheck.de/www.holidaycheck.de/ 1600 386724992 30786348 2432341663 30419019 * ki_r www.holidaycheck.de 1600 386724992 30786348 2433122921 30419019 *www.holidaycheck.de _pk_id.{145.e84c 9ed3e31968419cd8.1418734361.1.1418734362.14187 34361.

54 09.05.2015 54 Informationssicherheit Beispiel 2 Cookies (Fortsetzung): www.holidaycheck.de/www.holidaycheck.de/ 1600 519713408 30562002 771293584 30415151 * hcheck_de_session 2 www.holidaycheck.de/ 1600 3158728192 30419023 2342028130 30419019 *www.holidaycheck.de/ tfm_rsi_segs reset www.holidaycheck.de/ 1600 3710691840 30421835 2342496970 30419019 *www.holidaycheck.de/ POPUPCHECK 1420482214312 www.holidaycheck.de/ 1600 3070170880 30419220 2361715855 30419019 * www.holidaycheck.de/

55 09.05.2015 55 Informationssicherheit Beispiel 2 Cookies (Fortsetzung 2): _pk_id.145.e84c de1a6c0982facfcf.1420395820.1.1420395822.142039 5820. www.holidaycheck.de/www.holidaycheck.de/ 1600 2186212480 30565870 2437029218 30419019 * _pk_ses.145.e84c * www.holidaycheck.de/www.holidaycheck.de/ 1600 3248728192 30419023 2437029218 30419019 * yp_rec www.holidaycheck.de/ 1600 3093630080 30419020 2588593480 30419019 *www.holidaycheck.de/

56 09.05.2015 56 Informationssicherheit Beispiel 3 Cookies : fewo-direkt.de/ 1600 1092024192 31136773 2306566858 30402518 * optimizelyEndUserId oeu1413308683272r0.2759210696317552 fewo-direkt.de/ 1600 1092024192 31136773 2306723102 30402518 * optimizelyBuckets %7B%7D fewo-direkt.de/ 1600 1092024192 31136773 2306723102 30402518 * optimizelyPendingLogEvents %5B%5D

57 09.05.2015 57 Informationssicherheit Beispiel 3 Cookies (Fortsetzung): __utmz 212501891.1413308685.1.1.utmcsr=(direct)|utmccn=(dir ect)|utmcmd=(none) fewo-direkt.de/ 1600 1189610624 30439231 2328505392 30402518 * __utmept marketing fewo-direkt.de/ 1600 3144079488 30402522 2328349134 30402518 * __utmep buchungsprozess fewo-direkt.de/ 1600 3144079488 30402522 2328349134 30402518 *

58 09.05.2015 58 Informationssicherheit Beispiel 3 Cookies (Fortsetzung 2): __utmv 212501891.|6=Visitor%20Type=traveller=1 fewo-direkt.de/ 1600 2081563776 30549369 2328505392 30402518 *fewo-direkt.de/ 1600 2453948672 30402518 2310983778 30402518 * _ga GA1.2.1269201438.1413308685 fewo-direkt.de/ 1600 2081563776 30549369 2327099396 30402518 * _gat 1 fewo-direkt.de/ 1600 4028981376 30402519 2328036671 30402518 *

59 09.05.2015 59 Informationssicherheit Beispiel 3 Cookies (Fortsetzung 3): __utma 212501891.1269201438.1413308685.1413308685.1413 308685.1 fewo-direkt.de/ 1600 2081563776 30549369 2328974161 30402518 * __utmb 212501891.1.10.1413308685 fewo-direkt.de/ 1600 3144079488 30402522 2328974161 30402518 *

60 09.05.2015 60 Informationssicherheit r Passwörter, PINs und TANs r Phishing r Spams r Cookies  Malware r Cloudcomputing r Verschlüsselung

61 09.05.2015 61 Informationssicherheit Schadprogramme auch Malware 1 genannt sind Computerprogramme die auf einem Computer nicht erwünschte und gar schädliche Funktionen ausführen. Die Programm­­ausführung ist getarnt und läuft meist unbemerkt im Hintergrund. 1 http://de.wikipedia.org/wiki/Schadprogramm http://de.wikipedia.org/wiki/Schadprogramm

62 09.05.2015 62 Informationssicherheit Zu Malware gehören unter anderem r Viren, r Würmer, r Trojaner, r Back door, r Spyware, r Adware und r Dailer.

63 09.05.2015 63 Informationssicherheit Viren sind Schadprogramme die sich selbständig verbreiten in dem sie Kopien von sich selbst in Programme, Dokumente oder Datenträger schreiben. Die Kopien tun das gleiche. Die Malfunktionen, die sie ausüben können vielfältig sein.

64 09.05.2015 64 Informationssicherheit Würmer sind ähnlich wie Viren jedoch sie verbreiten sich direkt über Netze oder andere Medien (z.B. USB Stick).

65 09.05.2015 65 Informationssicherheit Trojaner sind Schadprogramme, die sich meist in nützliche Wirtsprogramme einbetten und Malfunktionen ausführen. Sie verbreiten sich durch Installation des infizierten Wirtsprogramms. Sie werden auch verwendet um weitere Malware zu verbreiten.

66 09.05.2015 66 Informationssicherheit Ein Back Door (Hintertür) ist eine versteckte Softwarefunktion, die es ermöglicht die Authentifikation, Virenschutz und ähnliche Kontrollmaßnahmen zu umgehen um auf Soft- oder Hardware zuzugreifen. Solche Zugriffsrechte ermöglichen es Daten zu sammeln und weiter zu versenden oder Malware zu verbreiten.

67 09.05.2015 67 Informationssicherheit Spyware sind Schadprogramme die ohne Zustimmung und ohne Wissen des Anwenders dessen persönliche Daten (vor allem Daten über sein Verhalten) sammeln und versenden.

68 09.05.2015 68 Informationssicherheit Adware sind Schadprogramme die Werbung verbreiten (Ad = Advertisement).

69 09.05.2015 69 Informationssicherheit Dialer sind Schadprogramme, die automatisch Wählverbindungen herstellen.

70 09.05.2015 70 Informationssicherheit Folgendes Bild zeigt die Verbreitung von Malware Das Bild stammt von http://de.wikipedia.org/wiki/Schadprogrammhttp://de.wikipedia.org/wiki/Schadprogramm

71 09.05.2015 71 Informationssicherheit Das BSI empfiehlt 1 bei Microsoft Betriebssystemen dringend ein Viren­schutz­ Programm zu verwenden, bei Linux und Mac ist das nicht erforderlich. Für den privaten Nutzer sind in der Regel kostenfreie Antivirusprogramme ausreichend. 1 https://www.bsi-fuer- buerger.de/BSIFB/DE/MeinPC/Schutzprogramme/Virenschutzprogra mme/virenschutzprogramme_node.html

72 09.05.2015 72 Informationssicherheit Beispiele für kostenlose Antivirusprogramme sind: r Avira Free Antivirus (http://free-av.de)http://free-av.de r avast! Free Antivirus (https://www.avast.com/de-de/free-antivirus- download). Eine verhaltensbasierte Erkennung von Schadsoftware ist in dieser Lösung bereits integrierthttps://www.avast.com/de-de/free-antivirus- download r AVG Anti-Virus Free (http://free.avg.com/de- de/startseite)http://free.avg.com/de- de/startseite

73 09.05.2015 73 Informationssicherheit Ich selbst verwende Sophos, das von der FernUniversität (wie auch von vielen anderen Universitäten) für ihre Studenten und Mitarbeiter kostenlos zur Verfügung gestellt wird. Man kann sie automatisch auf dem aktuellen Stand halten.

74 09.05.2015 74 Informationssicherheit Virenscanprogramme suchen nach Signaturen (Fingerprints) von Schadprogrammen und ermöglichen es sie, zu isolieren und zu entfernen. Antivirussoftware sollte deshalb stets auf aktuellem Stand gehalten werden! Man sollte die Autoprotect Funktion einschalten – damit wird bei jedem Start das Programm aufgerufen und läuft im Hintergrund durch. Die Online Scan Funktion Überwacht den Rechner in Echtzeit.

75 09.05.2015 75 Informationssicherheit r Passwörter, PINs und TANs r Phishing r Spams r Cookies r Malware  Cloudcomputing r Verschlüsselung

76 09.05.2015 76 Informationssicherheit Unter Cloud Computing versteht man ein dynamisches, Bedarfsorientiertes überall und jederzeit verfügbares Angebot an IT-Leistungen über das Netz. Das Angebot umfasst Rechenleistung, Speicherplatz, diverse IT- Dienste einschließlich Anwendungs­programme. Abgerechnet wird nach tatsächlicher Nutzung.

77 09.05.2015 77 Informationssicherheit Nach NIST (US National Institute of Standards and Technology) weisen Cloud Dienste folgende fünf Merkmale auf 1 : r Bedarfsorientierte Selbstbedienung r Verfügbar über standardisierte Netzschnittstellen r Ressourcenteilung r Schnell und flexibel automatisch konfigurierbar r Ressourcennutzung wird überwacht und gemessen. Abrechnung nach tatsächlicher Nutzung. 1 Peter Mell Timothy Grance, NIST Special Publication 800-145: The NIST Definition of Cloud Computing

78 09.05.2015 78 Informationssicherheit Für den Anwender haben Cloud Dienste den Vorteil, dass er keine Ressourcen vorhalten muss sondern flexibel bei Bedarf unbegrenzt auf sie zugreifen kann.

79 09.05.2015 79 Informationssicherheit Dafür treten zahlreiche sicherheitsrelevante Nachteile ein 1 : r Zugang zu Cloud Dienste ist über Endgeräte und Netze – beide können ein Risiko darstellen r Man vertraut private Daten einem Dritten zur Auf- bewahrung. Es können Probleme bei der Datensicherung (z.B. Klau durch Mitarbeiter), der Datenlöschung (es werden mehrere Kopien an verschiedenen Orten gespeichert!) und der Datenverschlüsselung (sowohl auf den Übermittlungsstrecken als auch bei der Speicherung) kommen. 1 https://www.bsi-fuer- buerger.de/BSIFB/DE/SicherheitImNetz/CloudComputing/GefahrenRisiken/gefahren risiken_node.html;jsessionid=B5BA549084F3137B569C82C32D922A6B.2_cid369

80 09.05.2015 80 Informationssicherheit Weitere sicherheitsrelevante Nachteile : r Es können Probleme bei Datenbackups und Datenverlust geben. r Meist hat der Anwender keinen Überblick wo sich die Daten befinden. Im Ausland? r Was ist, wenn Dienstanbieter Insolvenz anmeldet?

81 09.05.2015 81 Informationssicherheit Fazit: Cloud Dienste sind mit erheblichen Risiken verbunden und sollten von Privatnutzern nicht verwendet werden.

82 09.05.2015 82 Informationssicherheit r Passwörter, PINs und TANs r Phishing r Spams r Cookies r Malware r Cloudcomputing  Verschlüsselung

83 09.05.2015 83 Informationssicherheit Verschlüsselungsverfahren 1 werden eingesetzt um die Vertraulichkeit von Nachrichten im Netz zu gewährleisten. Sie können aber darüber hinaus auch eingesetzt werden um die Integrität der Nachrichten und deren Authentizität zu überprüfen. 1 http://de.wikipedia.org/wiki/Verschl%C3%BCsselungsverfahren http://de.wikipedia.org/wiki/Verschl%C3%BCsselungsverfahren

84 09.05.2015 84 Informationssicherheit Symmetrische Verschlüsselungsverfahren 1 funktionieren wie folgt: Die Nachricht m (eine Folge von Symbolen) wird vom Sender mit einem Schlüssel k (auch eine Folge von Symbolen) mathematisch verknüpft, um eine verschlüsselte Nachricht c zu ergeben. Die mathematische Verknüpfung E hat die Eigenschaft, dass die verschlüsselte Nachricht c sinnlos und willkürlich erscheint und ohne Kenntnis des Schlüssels k die ursprüngliche Nachricht daraus nicht zu entziffern ist. Man kann daraus auch den Schlüssel k nicht ableiten. 1 http://de.wikipedia.org/wiki/Symmetrisches_Kryptosystem http://de.wikipedia.org/wiki/Symmetrisches_Kryptosystem

85 09.05.2015 85 Informationssicherheit

86 09.05.2015 86 Informationssicherheit Symmetrische Verschlüsselungsverfahren 1 funktionieren wie folgt (Fortsetzung): Hat der Empfänger den (gleichen) Schlüssel k, kann er die Verknüpfung erneut durchführen, um die ursprüngliche Nachricht wieder zu erhalten. Das Problem bei diesem Verfahren ist, dass man einen sicheren Weg finden muss um den Schlüssel k vom Sender zum Empfänger zu bringen. In der Praxis werden deshalb Asymmetrische Verfahren verwendet, um den Schlüssel zu übertragen.

87 09.05.2015 87 Informationssicherheit

88 09.05.2015 88 Informationssicherheit Bei asymmetrischen Verschlüsselungsverfahren 1 werden zwei aufeinander abgestimmte Schlüssel erstellt. Der Schlüssel k e wird privater Schlüssel des Senders genannt und wird zur Verschlüsselung der Nachricht m verwendet und ist nur dem Sender der Nachricht bekannt und wird geheim gehalten. Der Schlüssel k d wird öffentlicher Schlüssel genannt und wird in öffentlichen Verzeichnissen als der öffentliche authentifizierte Schlüssel des Senders bekanntgegeben. Damit ist er jedem zugänglich. 1 http://de.wikipedia.org/wiki/Asymmetrisches_Kryptosystem http://de.wikipedia.org/wiki/Asymmetrisches_Kryptosystem

89 09.05.2015 89 Informationssicherheit

90 09.05.2015 90 Informationssicherheit Die mathematische Verknüpfung E hat die Eigenschaft, dass die verschlüsselte Nachricht c sinnlos erscheint und daraus weder die Nachricht m noch der Schlüssel k e abgeleitet werden kann. Die mathematische Verknüpfung D hat die Eigenschaft, dass sie aus der Verschlüsselten Nachricht c wieder die ursprüngliche Nachricht m ableitet, dabei bleibt der Schlüssel k e geheim.

91 09.05.2015 91 Informationssicherheit

92 09.05.2015 92 Informationssicherheit Das Verfahren hat die Eigenschaft, dass man damit eine Nachricht Verschlüsseln kann (Vertraulichkeit) aber auch, dass die ursprüngliche Nachricht nicht verändert werden kann (Integrität). Man kann es außerdem verwenden, um die Authentizität des Senders zu überprüfen. Hierzu legt man dem Sender eine Nachricht zur Verschlüsselung vor. Kann man aus der verschlüsselten Nachricht nun mit dem öffentlichen Schlüssel und der Verknüpfung D die ursprüngliche Nachricht wieder herstellen, so bedeutet dies, dass der Sender den privaten Schlüssel k e kennt. Damit ist er eindeutig identifiziert, denn nur er kennt diesen.

93 09.05.2015 93 Informationssicherheit Die verwendeten mathematischen Verknüpfungen D und E charakterisieren die jeweiligen Verschlüsselungs- verfahren. Auch die Erzeugung der Schlüssel muss sorgfältig vorgenommen werden, denn es gibt starke und schwache Schlüssel. Wird die Verschlüsselung Bitweise oder Byteweise vorgenommen (Stromchiffre) ist sie schnell. Wird sie Blockweise vorgenommen (Blockchiffre) können erhebliche Verzögerungen entstehen.

94 09.05.2015 94 Informationssicherheit Symmetrische Verfahren sind gewöhnlich sehr schnell, asymmetrische Verfahren dagegen meist rechenintensiv und deshalb recht langsam. Deswegen werden oft hybride Verfahren verwendet bei dem ein asymmetrisches Verfahren zur gesicherten Schlüssel- übertragung verwendet wird mit dem dann die Nachricht symmetrisch verschlüsselt wird.

95 09.05.2015 95 Informationssicherheit Das bekannteste symmetrische Blockchiffreverfahren ist das DES-Verfahren (Data Encryption Standard) 1. Mit einer Blockgröße von 64 Bit und einer Schlüssellänge von 56 Bit wird er inzwischen als unsicher betrachtet. Eine Variante bei der er dreimal angewendet wird (tripple DES) wird als sicherer angesehen und heute noch verwendet. 1 http://de.wikipedia.org/wiki/Data_Encryption_Standard

96 09.05.2015 96 Informationssicherheit Das bekannteste asymmetrische Verfahren ist das RSA- Verfahren 1 benannt nach Rivest, Shamir und Adleman, die das Verfahren bei MIT entwickelten und 1977 veröffentlichten. Es gab viele Angriffe gegen das RSA- Verfahren und es wurde immer weiter verbessert und häufig gemeinsam mit anderen Verfahren eingesetzt. In einer solchen Kombination wird es meist als sicher betrachtet. 1 http://de.wikipedia.org/wiki/RSA-Kryptosystem http://de.wikipedia.org/wiki/RSA-Kryptosystem

97 09.05.2015 97 Informationssicherheit Solche kombinierten Verfahren werden in vielen Anwendungen eingesetzt so z.B. bei E-Mails (PGP, S/MIME), diversen Kryptoprotokollen (SSH, SSL) als auch in der Browser-Server-Kommunikation (HTTPS). Ende 2013 wurde dann bekannt, dass NSA (National Security Agency der USA) einen Vertrag mit der Firma RSA abgeschlossen hat, Hintertürchen (Back doors) in RSA Produkte einzubauen 1. 1 http://www.reuters.com/article/2013/12/20/us-usa-security-rsa- idUSBRE9BJ1C220131220

98 09.05.2015 98 Informationssicherheit Das Dilemma bei der Verschlüsselung ist: Man kann einen hohen Aufwand betreiben um ein Kryptosystem sicher zu machen, man muss aber auch damit rechnen, dass ein Angreifer ebenso einen sehr hohen Aufwand betreiben könnte, um das System zu brechen.

99 09.05.2015 99 Informationssicherheit Ein gravierender Schwachpunkt der Verschlüsselung liegt in der Implementierung. Das mathematische Verfahren kann sehr sicher gemacht werden, es gibt aber keine Sicherheit, dass in der Implementierung nicht betrogen wird, denn Software nach Sicherheit zu überprüfen gestaltet sich schwierig. Hinzukommt, dass menschliche Schwächen ausgenützt werden, um z.B. geheime Schlüssel zu kompromittieren.

100 09.05.2015 100 Informationssicherheit Fazit: Verschlüsselung ist unbequem, aufwendig, verlangsamt die Kommunikation und ist nicht absolut sicher. Sie wird deshalb ungern eingesetzt. Allerdings bietet sie eine gute Vertraulichkeit, denn sie kann nicht ohne das entsprechende Know-how gebrochen werden. Dokumente und Nachrichten sind somit durch eine Verschlüsselung in der Regel gut geschützt.

101 09.05.2015 101 Informationssicherheit Folgende Verfahren zur Verschlüsselung werden heute für verschiedene Anwendungen eingesetzt: r PGP (Pretty Good Privacy) r S/MIME (Secure / Multipurpose Internet Mail Extensions) r SSH (Secure Shell) r TLS (Transport Layer Security) früher SSL (Secret Socket Layer) r HTTPS (Hypertext Transport Protocol / Secure)

102 09.05.2015 102 Informationssicherheit PGP (Pretty Good Privacy) 1 PGP wird zur Verschlüsselung von E-Mails verwendet und kann eingesetzt werden um E-Mails vertraulich zu halten, ihre Integrität zu wahren und den Sender der E-Mail zu authentifizieren. 1 http://de.wikipedia.org/wiki/Pretty_Good_Privacy

103 09.05.2015 103 Informationssicherheit PGP wurde von Phil Zimmermann entwickelt und 1991 in der ersten Version gegen geltende US Gesetze weltweit als freie Software verfügbar gemacht. Heute wird PGP von der Firma Symantec in Kalifornien vertrieben und in einer eingeschränkten Version auch als Freeware Angeboten. r http://www.pgpi.org/ http://www.pgpi.org/ r http://cryptography.org/getpgp.htm http://cryptography.org/getpgp.htm r http://de.wikipedia.org/wiki/GNU_Privacy_Guard http://de.wikipedia.org/wiki/GNU_Privacy_Guard

104 09.05.2015 104 Informationssicherheit Die Verschlüsslung bei PGP wird, um Rechenaufwand zu verringern (und somit die Geschwindigkeit des Verfahrens zu erhöhen), in zwei Schritten durchgeführt. Im ersten Schritt wird vom Sender ein symmetrischer Schlüssel erzeugt und mit einem Asymmetrischen Verfahren dem Empfänger der Nachricht übermittelt. Hierzu wird meist das RSA-Verfahren, heute zunehmend auch das auf diskreter Logarithmus basierendes Elgamal-Verfahren 1 verwendet. 1 http://de.wikipedia.org/wiki/Elgamal- Verschl%C3%BCsselungsverfahren

105 09.05.2015 105 Informationssicherheit RSA Verschlüsselung in zwei Schritten (Fortsetzung): Im zweiten Schritt wird dann die Nachricht mit einem symmetrischen Verfahren verschlüsselt übertragen. Für die symmetrische Verschlüsselung wurde zunächst das DES- Verfahren, dann das tripple DES und heute häufig das in Europa von James L. Massey entwickelte IDEA-Verfahren 1 oder ebenso in Europa von Joan Daemen und Vincent Rijmen entwickelte AES-Verfahren 2 verwendet.Joan DaemenVincent Rijmen 1 http://de.wikipedia.org/wiki/International_Data_Encryption_Algorithm 2 http://de.wikipedia.org/wiki/Advanced_Encryption_Standard

106 09.05.2015 106 Informationssicherheit S/MIME (Secure / Multipurpose Internet Mail Extensions) 1 S/MIME ist eine alternative zu PGP (insbesondere free PGP) und wird auch von vielen Betriebssystemen, Browser und Zertifizierungsstellen teilweise kostenlos unterstützt. Wie bei PGP handelt es sich um ein hybrides Verfahren (Kombination von symmetrischen und asymmetrischen Verschlüsselung). 1 http://de.wikipedia.org/wiki/S/MIME

107 09.05.2015 107 Informationssicherheit SSH (Secure Shell) 1 Secure Shell ist ein Verfahren zur Sicheren Kommunikation zwischen einem Rechner (Server) und einem Endgerät (Client). Er wurde von Tatu Ylönen entwickelt und 1995 als free ware angeboten. Ursprünglich handelte es sich um einen Satz von Kommandozeilen zur Fernsteuerung. Heute wird SSH von SSH Communications Security AG in Helsinki gepflegt, weiterentwickelt und kommerziell vertrieben.Tatu Ylönen 1 http://de.wikipedia.org/wiki/Secure_Shell

108 09.05.2015 108 Informationssicherheit TLS (Transport Layer Security) früher SSL (Secret Socket Layer) TLS/SSL ist ein hybrides Verschlüsselungsverfahren zur Datenübertragung im Internet und wird als Freeware 1 angeboten. Fast alle Browser setzen TLS in unterschiedlichen Varianten meist mit RSA und AES ein. Es wurde von Netscape entwickelt und 1994 zusammen mit HTTPS in ihrem Browser eingesetzt. 1 http://de.wikipedia.org/wiki/Transport_Layer_Security http://de.wikipedia.org/wiki/OpenSSL http://de.wikipedia.org/wiki/GnuTLS

109 09.05.2015 109 Informationssicherheit HTTPS (Hypertext Transport Protocol / Secure) 1 HTTPS ist ein Kommunikationsprotokoll im WWW (World Wide Web) um Daten sicher zu übertragen. Es wurde von Netscape entwickelt und 1994 zusammen mit SSL in ihrem Browser eingesetzt, Heute bieten alle Browser HTTPS mit verschiedenen hybriden Verfahren an. 1 http://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure

110 09.05.2015 110 Informationssicherheit Bei allen Anwendungen von HTTPS wird die Verbindung zur WEB-Seite automatisch verschlüsselt und im Adressfeld des Browsers angezeigt, dass die Verbindung verschlüsselt ist, woher die Seite stammt und von wem dies verifiziert wurde.

111 09.05.2015 111 Informationssicherheit Vielen Dank für Ihre Aufmerksamkeit! Fragen?