Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen Orientierung, Problemstellung.

Ähnliche Präsentationen


Präsentation zum Thema: "Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen Orientierung, Problemstellung."—  Präsentation transkript:

1 Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen Orientierung, Problemstellung

2 IT-Sicherheit Grundlagen Modul: IT-Sicherheit Grundlagen Dr. Wolf Müller 2

3 IT-Sicherheit Grundlagen Termine Vorlesung: –Dr. Wolf MüllerDr. Wolf Müller –Montag & Mittwoch 09:15 – 10:45 –RUD 25, –Tel.: 3127 Übung: –Dr. Wolf Müller –entweder Montag oder Mittwoch 11:00 – 12:30 –RUD 25, –Erster Termin: Dr. Wolf Müller 3

4 IT-Sicherheit Grundlagen SAR Website Teaching > IT Sicherheit - Grundlagen > [more] https://www2.informatik.hu-berlin.de/sar/Itsec/ Materialien (Folien) Login: $InformatikLogin Password: $InformatikPasswort Dr. Wolf Müller 4

5 IT-Sicherheit Grundlagen Regeln Für Prüfungszulassung Übungsschein nötig. Erwartung: –Regelmäßige Teilnahme –Aktive Mitwirkung in Übung –Gerne Anregungen für Vorlesung VL beginnt pünktlich Prüfung: Mündlich 30 min. –Voraussichtlich: 8. / 9. August –September vor IT-Security-Workshop Dr. Wolf Müller 5

6 IT-Sicherheit Grundlagen Literatur Dr. Wolf Müller 6 IT-Sicherheit, Studienausgabe (29 ) Claudia Eckert IT-Sicherheit: Konzepte - Verfahren – Protokolle (aktuell 7. Auflage) (70 )

7 IT-Sicherheit Grundlagen Literatur 2 Dr. Wolf Müller 7

8 IT-Sicherheit Grundlagen Literatur 3 Dr. Wolf Müller 8 Levente ButtyanLevente Buttyan and Jean-Pierre Hubaux

9 IT-Sicherheit Grundlagen Zielstellung Grundlegendes Verständnis für IT-Sicherheit Kritisches Hinterfragen von Design, Abläufen, Software, Verhalten Lernen aus Beispielen Sicherheit ist vielschichtig Sicherheit ist nur temporär, bedarf Pflege, Überprüfung. Sicherheitsmechanismen müssen einfach zu nutzen sein. Privatsphäre, Anonymität, Datenschutz sollte/muss beachtet werden. Nutzerakzeptanz wichtig, oft schwächstes Glied. Dr. Wolf Müller 9

10 IT-Sicherheit Grundlagen Agenda: Grundlagen 26 Termine im Semester insgesamt (28 – {Oster,Pfingst}Montag) 1.Orientierung, Problemstellung 2.Schutzziele / Begriffe 3.Sicherheitsmodelle / Zugriffskontrolle 4.Sicherheitsmodelle / Informationsfluss 5.Angreifertypen, Bedrohungen Dr. Wolf Müller 10

11 IT-Sicherheit Grundlagen Agenda: Sicherer Kanal: Alice Bob 6.Ideen zur sicheren Übertragung (Steganografie, Entwicklung der Kryptografie) 7.Sicherheit von Kryptosystemen 8.Symmetrische versus asymmetrische Verfahren 9.Gruppenaufgabe: Themenvorstellung/ -vergabe 10.Blockchiffren, Stromchiffren 11.Integritätsschutz 12.Digitale Signaturen 13.PKI, Zertifikate, Alternativen & Grenzen 14.Authentifizierung: Wissen, Haben 15.Authentifizierung: Sein = Biometrie 16.Protokolle I: Schlüsselaustausch, Bausteine 17.Protokolle II: SSL/TLS, … Dr. Wolf Müller 11

12 IT-Sicherheit Grundlagen Agenda: Sichere Implementierung 18.Systemsicherheit: Bufferoverflow, FormatString 19.Netzwerksicherheit I: Schwachstellen & Gegenmaßnahmen (VLAN, IDS, VPN, IP-Sec, IPv6) 20.Netzwerksicherheit II: drahtlos 21.Websicherheit I 22.Websicherheit II 23.Testing / Zertifizierung 24.Präsentation I: Gruppenaufgabe 25.Präsentation II: Gruppenaufgabe 26.Prinzipien des Security-Engineering Dr. Wolf Müller 12

13 IT-Sicherheit Grundlagen Übungen: Mo, Mi Raum für Fragen, Anregungen, Diskussionen Gelegenheit zum Überprüfen und Anwenden erworbenen Wissens 3 individuelle abzugebende Übungsaufgaben –Elektronische Abgabe (wahrscheinlich Goya) 1 größere Gruppenübungsaufgabe –Ziel: Beschäftigung in Praxis mit größerem Problem –Darstellung der Ergebnisse vor allen Teilnehmern –Gruppengröße: 3-5 (abhängig von Aufgabe) Dr. Wolf Müller 13

14 IT-Sicherheit Grundlagen Fragen Dr. Wolf Müller 14

15 IT-Sicherheit Grundlagen PROBLEMSTELLUNG Dr. Wolf Müller 15

16 IT-Sicherheit Grundlagen Kurzgeschichte des Computers Dr. Wolf Müller 16 time device penetration

17 IT-Sicherheit Grundlagen Kurzgeschichte des Computers Dr. Wolf Müller 17 time device penetration Personal Desktop Computing

18 IT-Sicherheit Grundlagen Kurzgeschichte des Computers Dr. Wolf Müller 18 time device penetration 1. Personal Desktop Computing 2. Personal Ubiquitous Computing

19 IT-Sicherheit Grundlagen Kurzgeschichte des Computers Dr. Wolf Müller 19 time 3. Embedded Ubiquitous Computing device penetration 2. Personal Ubiquitous Computing 1. Personal Desktop Computing

20 IT-Sicherheit Grundlagen Kurzgeschichte des Computers Dr. Wolf Müller 20 today time device penetration © Dirk Balfanz, Xerox Parc

21 IT-Sicherheit Grundlagen Computer Overload Dr. Wolf Müller 21 time human capacity number of devices per person device penetration

22 IT-Sicherheit Grundlagen Requirements Dr. Wolf Müller 22 Nötige Sicherheitsmaßnamen Benötigte Fähigkeiten Informationszeitalter

23 IT-Sicherheit Grundlagen Computerkriminalität Dr. Wolf Müller 23

24 IT-Sicherheit Grundlagen Computerkriminalität Dr. Wolf Müller 24 ©

25 IT-Sicherheit Grundlagen BSI-Bürgerumfrage zur Internetsicherheit Internetnutzer in Deutschland schützen sich unzureichend vor bekannten Risiken https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2011/BSI-Buergerumfrage-Internetsicherheit_ html Dr. Wolf Müller 25

26 IT-Sicherheit Grundlagen BSI-Bürgerumfrage zur Internetsicherheit Sicherheitsupdates und Administratorenrechte häufig unbeachtet https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2011/BSI-Buergerumfrage-Internetsicherheit_ html Dr. Wolf Müller 26

27 IT-Sicherheit Grundlagen Lagebericht BSI 2007 Dr. Wolf Müller 27

28 IT-Sicherheit Grundlagen Lagebericht BSI 2009 (1) Dr. Wolf Müller 28 nPA, ePass https://www.bsi.bund.de/ContentBSI/Publikationen/Lageberichte/bsi-lageberichte.html

29 IT-Sicherheit Grundlagen Lagebericht BSI 2009 (2) Dr. Wolf Müller 29

30 IT-Sicherheit Grundlagen Lagebericht BSI 2011 (1) Dr. Wolf Müller 30 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2011_nbf.pdf

31 IT-Sicherheit Grundlagen Lagebericht BSI 2011 (2) Dr. Wolf Müller 31 Supervisory Control and Data Acquisition: STUXNET Supervisory Control and Data Acquisition: STUXNET

32 IT-Sicherheit Grundlagen Lagebericht BSI 2011 (3) Dr. Wolf Müller 32

33 IT-Sicherheit Grundlagen BSI: Quartalslagebericht (1) Dr. Wolf Müller 33 Hacker nutzen RTF-Dateien für Angriffe

34 IT-Sicherheit Grundlagen Einige Schutzziele Schutz der Daten vor Kompromittierung –Unberechtigte dürfen private Daten nicht einsehen Kopie –Urheberrechtlich geschützte Daten sollen nicht kopiert werden können Verlust oder Veränderung –Verhinderung des Abhandenkommens wichtiger Daten –Verhinderung der Manipulation wichtiger Daten Dr. Wolf Müller 34

35 IT-Sicherheit Grundlagen Bedrohungen Durch Andere –Böswillige (kriminelle) Angriffe mit unterschiedlichen Motiven –Mögliche Lösungen: Firewalls, Verschlüsselung Durch den Nutzer selbst –Durch unabsichtliche Fehler von Benutzern –Verursachte Probleme –Mögliche Lösungen: Vorschriften, Back-ups, Redundanz Durch den Ausfall von Systemen –Durch Pannen verursachte Datenverluste oder –Kompromittierungen von privaten Daten Dr. Wolf Müller 35

36 IT-Sicherheit Grundlagen Bedrohungen in der analogen Welt Physische Verbrechen –Freiheitsberaubung –Körperverletzung –Mord / Totschlag Materielle Verbrechen –Steuerhinterziehung –Betrug / Untreue –Fälschung –Diebstahl –Erpressung –Vandalismus / Zerstörung Immaterielle Vergehen –Ruhestörung –Verkehrsdelikte –Beleidigung Dr. Wolf Müller 36

37 IT-Sicherheit Grundlagen Analogien Diebstahl –Kaffeefahrt Trojanisches Pferd –Brechstange Brute-Force Angriff –Banktresor Datenbank mit Kontoständen –Geldbörse Nummer der Kreditkarte Körperverletzung –Körper Computersystem DoS Erpressung –Foto mit der Geliebten Elektronisch abgefangene Bestellung bei Beate Uhse mit entsprechenden Artikeln Dr. Wolf Müller 37

38 IT-Sicherheit Grundlagen Kosten und Nutzen Durchschnittlicher Erfolg –Bankraub 1500 –Einzelner Betrug bei eBay 9000 (Quelle BMSI 2003) Kosten –Schneidbrenner, Brechstange, Fluchtwagen, Skimaske, wochenlange Vorbereitung und Beobachtung –stehen gegenüber –Computer, Netzanschluss und ein wenig Zeit Dr. Wolf Müller 38

39 IT-Sicherheit Grundlagen Zugriffsmöglichkeiten Reichweite der Einbrecher Lokal Bankeinbruch Global Hacking einer Bank Dr. Wolf Müller 39

40 IT-Sicherheit Grundlagen Spuren eines Einbruchs Bankeinbruch –Zerstörungen –Fingerabdrücke –DNA-Spuren Elektronischer Bankdiebstahl –Absender-Adresse –Log-Dateien Dr. Wolf Müller 40

41 IT-Sicherheit Grundlagen Kriminelle Angriffe zu Erlangung eines finanziellen Gewinns Betrug SPAM Geistiger Diebstahl / Raubkopien Identitätsdiebstahl / IP Spoofing Markendiebstahl / Markenpiraterie Dr. Wolf Müller 41

42 IT-Sicherheit Grundlagen Nutzung des Rechtssystems Szenario Kunde hebt Geld mittels EC-Karte ab und behauptet, er sei es nicht gewesen. Banken behaupten, Kunde wollte betrügen, wenn mit gültiger PIN Geld abgehoben wurde. Kunde findet Experten, der die Unsicherheit der PIN darlegt. Wer bekommt vor Gericht Recht? Dr. Wolf Müller 42

43 IT-Sicherheit Grundlagen Verfolgung Strafverfolgung schwierig: Gesetze fehlen. Ländergrenzen werden überschritten. Urheber nicht nachvollziehbar. Fachkundiges Personal fehlt. Verfolgung oft zu spät. Dr. Wolf Müller 43

44 IT-Sicherheit Grundlagen Fazit: Digitale Verbrechen –Kostengünstig und lohnend. –Erfordern einfache, verfügbare Technologie: Standard PC, Standard Komponenten –Überall in einem Netzwerk ausführbar. –Leicht zu verschleiern. –Leicht zu automatisieren. –Schwer zu verfolgen. ABER: Wir sind (und bleiben) die Guten! Dr. Wolf Müller 44

45 IT-Sicherheit Grundlagen Asymmetrische Bedrohung: Dr. Wolf Müller 45 : Angriffsvektoren: Angriff nicht möglich Erheblicher Aufwand & Kosten : Angriffsvektoren: Angriff nicht möglich Erheblicher Aufwand & Kosten : Effektiven Angriffsvektor Geringe Kosten. : Effektiven Angriffsvektor Geringe Kosten.

46 IT-Sicherheit Grundlagen Beispiel: Einkaufen im Internet Dr. Wolf Müller 46

47 IT-Sicherheit Grundlagen Sofortueberweisung.de Einführung zum Thema Sicherheit Sicherheit ist nicht einfach nur ein Muss für den Erfolg von Sofortüberweisung. Sicherheit ist ein starkes Argument für die bevorzugte Nutzung von Sofortüberweisung. Komponenten des Sicherheitskonzeptes sind: Hoher Schutz der Identität dank » PIN/TAN SystemPIN/TAN System Das fälschungssichere» SSL-ZertifikatSSL-Zertifikat Verschlüsselte » SSL-VerbindungenSSL-Verbindungen Geschützte PayNet » ServerumgebungServerumgebung Die» Versicherung einer renommierten deutschen Versicherungsgesellschaft, die bei Missbrauch von PIN/TAN Daten haftetVersicherung Kontinuierliche » Prüfung durch das TÜV SaarlandPrüfung durch das TÜV Saarland » Prüfungen durch Grosskunden, die bezüglich Sicherheit keine Kompromisse eingehen.Prüfungen durch Grosskunden Bis heute sind trotz zunehmender Nutzung des Systeme und bereits erfreulich hoher monatlicherTransaktionszahlen keine Betrugsfälle im Zusammenhang mit Sofortüberweisung bekannt. Dr. Wolf Müller 47

48 IT-Sicherheit Grundlagen Sofortueberweisung.de Dr. Wolf Müller 48

49 IT-Sicherheit Grundlagen Sammlung: Angriffspunkte Gefälschter Firefox Trojaner Plugin Falscher Server Manipulation OS Angriff DNS Eigene Trusted Root CA Keylogger SW/HW X-site scripting Gewalt Dr. Wolf Müller 49

50 IT-Sicherheit Grundlagen SSL-GAU zwingt Browser-Hersteller zu Updates Der Herausgeber von SSL-Zertifikaten Comodo wurde nach Angaben[1] des Tor-Entwicklers Jacob Appelbaum und laut einem Blogeintrag[2] der Mozilla Foundation möglicherweise kompromittiert. In der Folge gelangten Kriminelle an neun Zertifikate bereits existierender Webseiten, darunter auch addons.mozilla.org. Ob der Fehler auf die mangelnde Prüfung bei der Ausstellung oder auf die Kompromittierung der Infrastruktur von Comodo zurückzuführen ist, ist derzeit offiziell nicht bekannt. …. Dr. Wolf Müller 50

51 IT-Sicherheit Grundlagen Angeblicher E-TAN-Generator für Paypal Dr. Wolf Müller 51


Herunterladen ppt "Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen Orientierung, Problemstellung."

Ähnliche Präsentationen


Google-Anzeigen