Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Www.kaderali.de/ Sicherheit im Informationsalltag Firoz Kaderali.

Ähnliche Präsentationen


Präsentation zum Thema: "Www.kaderali.de/ Sicherheit im Informationsalltag Firoz Kaderali."—  Präsentation transkript:

1 Sicherheit im Informationsalltag Firoz Kaderali

2 Kaderali Sicherheit im Informationsalltag (Inhalt I) r Passwörter, PINs und TANs r Phishing r Spams r Cookies r Malware r Cloudcomputing r Verschlüsselung

3 Kaderali Sicherheit im Informationsalltag (Inhalt II) r Bluetooth r Smartphones r Mobilfunk r Navigationssysteme r WLan

4 Kaderali Sicherheit im Informationsalltag (Inhalt I)  Passwörter, PINs und TANs r Phishing r Spams r Cookies r Malware r Cloudcomputing r Verschlüsselung

5 Kaderali Passwörter Ein Passwort (Schlüssel) ist eine Zeichenfolge, die es ermöglicht ein Konto oder eine Datei (Tresor) zu öffnen. Sie wird also zur Authentifizierung verwendet. Häufig werden nur Zahlenfolgen, immer mehr Zahlenfolgen mit klein und groß Buchstaben und auch Sonderzeichen (ASCII-Zeichen) eingesetzt.

6 Kaderali Passwörter Bei Banken werden Passwörter PIN (Personal Identification Number) 1 genannt zur Authentifikation von Personen eingesetzt. Sie ermöglichen es der authentifizierten Person Einblick in sein Konto oder Depot zu nehmen. 1 tionsnummer

7 Kaderali Passwörter Beispiele von Passwörter: r Hotelsafe, Länge üblicherweise 4 Ziffern r Bankkonto, Depot, Geldautomaten, Kreditkarten, üblicherweise 4 Ziffern r Konten bei Online Shops, Zugang zu Firmennetzen, Zugang zu Mailkonten etc. 8 bis 12 Zeichen. r Bei SW und Geräteschutz 64 bis 128 Zeichen.

8 Kaderali Passwörter Heute wird die Richtigkeit einer PIN auf einer Karte maschinell gewöhnlich wie folgt überprüft: Die Maschine liest die verschlüsselte PIN von der Karte heraus, entschlüsselt sie und vergleicht die über die Tastatur eingegebene PIN hiermit. Bei Übereinstimmung wird der Zugang zu Datei, Konto oder Geld gewährt.

9 Kaderali Passwörter Bei 4 Ziffern liegt die Wahrscheinlichkeit eine PIN richtig zu raten bei 1: 10 4 also eins zu zehntausend. Damit man nicht alle zehntausend Ziffern ausprobieren kann, wird die Anzahl der Versuche gewöhnlich auf drei beschränkt. Der Zugang wird bei drei Falscheingaben dann gesperrt und kann entweder über eine übergeordnete PIN (Master PIN) oder durch Eingriff des Kontobetreibers entsperrt. Bei drei Versuchen liegt die Wahrscheinlichkeit eine PIN mit 4 Ziffern zu knacken bei 3/10000 also 1 zu 3333.

10 Kaderali Passwörter Empfehlung des BSI zu Passwörtern: https://www.bsi-fuer- buerger.de/BSIFB/DE/MeinPC/Passwoerter/passwoerter_node.ht ml

11 Kaderali Passwörter Zitat aus BSI Empfehlung (1): Ein gutes Passwort : r Sollte mindestens zwölf Zeichen lang sein. Es sollte aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern bestehen. r Tabu sind Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten und so weiter. r Wenn möglich sollte es nicht in Wörterbüchern vorkommen.

12 Kaderali Passwörter Zitat aus BSI Empfehlung (2): Ein gutes Passwort : r Sollte nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern bestehen. r Einfache Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen $ ! ? #, am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen ist auch nicht empfehlenswert.

13 Kaderali Passwörter r Außerdem soll man das Passwort regelmäßig erneuern. Empfehlung FernUni alle 2 Monate! r Passwörter nie aufschreiben! Wie soll dies bei meinen gut 100 Passwörtern gehen? Ein Passwortverwaltungsprogramm oder Tresor verwenden!

14 Kaderali Passwörter Passwortverwaltungsprogramme: r r r Bedenken! r Hat man Vertrauen zu dem Hersteller des Verwaltungsprogramms? r Will man den notwendigen Mehraufwand betreiben?

15 Kaderali Passwörter Kompromissvorschlag: Drei oder vier Kategorien der eigenen Anwendungen bilden nach Sicherheitsbedarf: r Kategorie 1 : BSI Empfehlungen für jedes Passwort folgen r Kategorie 2: Gleiches Passwort für je 5 Anwendungen. BSI-Nah! r Kategorie 3: Gleiches Passwort für alle Anwendungen. Gelegentlich erneuern.

16 Kaderali Passwörter Um die Sicherheit bei Bankgeschäften zu erhöhen werden neben der Authentifikation durch eine PIN, die den Einblick in ein Konto gewährt, auch eine Authentifikation der einzelnen Transaktionen durch ein einmal verwendbares (meist fünfstelliges) Passwortes TAN (Transaction Authentication Number) 1 genannt vorgenommen. 1

17 Kaderali Passwörter r Früher erhielt der Bankkunde eine TAN Liste, von der er die TANs nacheinander zur Authentifikation von Transaktionen (also z.B. von Überweisungen) verwenden konnte. r Inzwischen werden die TANs durchnummeriert (indizierte TAN-Liste) und der Kunde wird pro Transaktion zur Eingabe einer TAN mit einer bestimmten Nummer aufgefordert. Hierdurch wird die Sicherheit des Verfahrens erheblich verbessert.

18 Kaderali Passwörter r Verfahren mit TAN-Listen haben den Nachteil, dass man sie zur Durchführung einer Transaktion dabei haben muss. Noch schlimmer, die Listen können Kopiert oder gestohlen werden. r Es gibt zahlreiche Phishing-Attacken, die darauf zielen, nicht verbrauchte TANs samt Indexnummern zu ergattern.

19 Kaderali Passwörter Die Man-in-the-middle Attacke ist ein ernsthaftes Risiko für das indizierte TAN-Verfahren. Bei diesem Verfahren wird eine Schadsoftware eingesetzt, die sich zwischen dem Kundenrechner und dem Bankserver einschaltet und die Überweisungsdaten in Echtzeit verfälscht. Es werden also die Kontonummer des Empfängers und der Betrag manipuliert. Dem Bankkunden werden dann auch verfälschte Daten angezeigt, die seiner Überweisung entsprechen. Somit wird das Bankkonto geplündert.

20 Kaderali Passwörter Beim Mobile TAN Verfahren (auch SMS TAN genannt) wird zu einer Transaktion die beim Bankserver ankommt, dem Teilnehmer per SMS eine TAN und die Details der Transaktion auf sein Handy zugesandt. Der Teilnehmer kann dann durch Eingabe der TAN die Transaktion frei geben.

21 Kaderali Passwörter r Beim Mobile TAN sollte man darauf achten, dass Online-Banking und das TAN-Verfahren nicht vom selben Gerät ausgeführt wird, damit jemand, der das Handy entwendet nicht ungehindert Überweisungen tätigen kann. r Inzwischen gibt es kombinierte Attacken gegen das Mobile TAN Verfahren bei dem sowohl der Rechner des Bankkunden als auch sein Handy mit Schadsoftware befallen wird. Insofern ist das Verfahren nicht mehr als sicher einzustufen.

22 Kaderali Passwörter (TAN I) Um die man-in-the-middle Attacke zu unterbinden wurden von verschiedenen Banken elektronische TAN Generatoren entwickelt. Die Einzelheiten der jeweiligen Ausführungen sind unterschiedlich jedoch das Prinzip ist identisch. Von dem Generator wird unter Einbeziehung der Daten der Transaktion (Betrag, Empfängerkonto etc.) eine individuelle TAN erstellt, die der Kunde eingibt, um die Transaktion zu tätigen.

23 Kaderali Passwörter (TAN II) Diese TAN ist zeitlich begrenzt d.h. sie gilt nur für eine kurze Zeit, die gerade ausreicht die Transaktion zu tätigen. Bei dem Bankserver wird mit den gleichen Daten eine TAN erzeugt und die beiden werden in Echtzeit verglichen. Zur Kontrolle werden meist die Transaktionsdaten vom Bankserver dem Kunden erneut zugesandt. Das Verfahren gilt als ausreichend sicher.

24 Kaderali Passwörter Bild aus

25 Kaderali Passwörter Bild aus

26 Kaderali Passwörter r Bild aus

27 Kaderali Passwörter Das BSI empfiehlt für Online Banking unter anderem folgendes (1) 1 : r Für Online Banking stets verschlüsselte Verbindung (https://...) verwenden r Ggf. auch WLAN verschlüsseln r Prüfen Sie die Echtheit der Bank WEB-Seite (auch Browserangabe hierzu ansehen!) r Online Banking nur vom eigenen Gerät. 1 https://www.bsi-fuer- buerger.de/BSIFB/DE/SicherheitImNetz/OnlineBanking/Sicherheit smassnahmen/sicherheitsmassnahmen_node.html

28 Kaderali Passwörter Das BSI empfiehlt für Online Banking ferner (2) 1 : r Kein Online Banking über öffentliche Access Points (z.B. Internetcafé) r Überweisungslimit mit Bank vereinbaren r Regelmäßig Kontobewegungen überprüfen r Telefonbanking ist ganz unsicher. Möglichst nicht verwenden! 1 https://www.bsi-fuer- buerger.de/BSIFB/DE/SicherheitImNetz/OnlineBanking/Sicherheit smassnahmen/sicherheitsmassnahmen_node.html

29 Kaderali Sicherheit im Informationsalltag (Inhalt I) r Passwörter, PINs und TANs  Phishing r Spams r Cookies r Malware r Cloudcomputing r Verschlüsselung

30 Kaderali Phishing Phishing 1 ist der Versuch durch Täuschung der eignen Identität im Internet Daten eines anderen Teilnehmers zu erhalten um damit Betrug zu betreiben oder sie zu Werbezwecke zu missbrauchen. Das Wort Phishing erinnert an Fishing d.h. Angel werfen um Fische zu fangen. Hier geht es um Angel werfen um Passwörter und andere persönliche Daten zu fangen (Ph = Password harvesting). 1

31 Kaderali Phishing Phishing wird gewöhnlich durch verfälschte WEB Seiten, s oder SMS eingeleitet. Der Ahnungslose Teilnehmer glaubt mit einem serösen Partner zu kommunizieren und gibt freiwillig persönliche Daten Preis.

32 32 Phishing Beispiel Phishing: Man erhält eine die so aussieht wie wenn sie von der eigenen Bank käme und fordert einen auf, seine Daten zu aktualisieren oder PINs und TANs einzugeben. Die E- Mail zeigt zwar als Absender die Internet Adresse der Bank an, ist aber gefälscht und sieht täuschend echt aus. Meist enthält sie im HTML Format einen Link den man anklicken soll, um die geforderten Daten einzugeben. Der Link zeigt zwar die WEB Adresse der Bank an, führt aber zu einer gefälschten Seite. Gibt man die geforderten Daten dort ein, hat man sie verraten.

33 Kaderali Phishing Maßnahmen gegen Phishing: r Meist genügt eine gebührende Vorsicht Phishing Attacken zu erkennen. r Viele Browser und server zeigen es an, wenn es sich um eine Phishing WEB Seite oder handelt.

34 Kaderali Phishing Das BSI rät 1 nur gesicherte Seiten (https://…) für Dateneingaben zu verwenden. Hier kann man auf den Schlüsselsymbol klicken um anzusehen von wem die WEB Seite stammt und wer sie zertifiziert hat. 1 https://www.bsi-fuer- buerger.de/BSIFB/DE/GefahrenImNetz/Phishing/Schutzmassnamen/ schutzmassnamen_node.html

35 Kaderali Phishing Ferner rät das BSI 1, dass man den Browser so einstellt, dass bevor aktive Inhalte ausgeführt werden, man gefragt wird, ob sie durchgeführt werden sollen. Hier Vorsicht walten lassen! Es gibt zu bedenken: Banken oder seriöse Firmen fordern ihre Kunden niemals per oder per Telefon zur Eingabe von vertraulichen Informationen auf! 1 https://www.bsi-fuer- buerger.de/BSIFB/DE/GefahrenImNetz/Phishing/Schutzmassnamen/ schutzmassnamen_node.html

36 Kaderali Sicherheit im Informationsalltag (Inhalt I) r Passwörter, PINs und TANs r Phishing  Spams r Cookies r Malware r Cloudcomputing r Verschlüsselung

37 Kaderali Spams Als Spams 1 bezeichnet man elektronische Mitteilungen, die einem unerwünscht und unaufgefordert zugestellt werden. Meist handelt es sich um Werbung. 1

38 Kaderali Spams Ursprünglich war Spam 1 ein Markenname für Dosenfleisch. Spiced ham = Spam 1 Bild von

39 Kaderali Spams Während der Rationierung im zweiten Weltkrieg war SPAM ein Nahrungsmittel das überall in Großbritannien fast unbeschränkt verfügbar war. Man aß und aß Spam bis es im Halse stecken blieb! Die Wiederholung bei Mitteilungen im Internet bis man sie nicht mehr sehen kann wird im übertragenen Sinne als Spam bezeichnet.

40 Spams Der Anteil von Spam im verkehr ist erheblich – im 4. Quartal 2014 lag dieser bei rund 67% 1. Seitdem ist er etwas gesunken. Im November 2015 lag er bei 54% 2. Spams richten also einen großen wirtschaftlichen Schaden an https://www.symantec.com/security_response/publications/ monthlythreatreport.jsp https://www.symantec.com/security_response/publications/ monthlythreatreport.jsp

41 Kaderali Spams Nach deutschem Recht ist es verboten unaufgefordert Werbung per zu verschicken. Außer für Werbung werden Spams auch für verschiedene Betrügereien (Phishing) eingesetzt.

42 Kaderali Spams SPAMs Beispiele (1): r SPARKASSE IHR ONLINE-BANKING WIRD OHNE UMSTELLUNG GESPERRT www-sparkasse.de/sicherheit/online-banking admin/www.spk.de/spk.sicherheit.htm r Shoemaker, Helen FINALE GEWINNMITTEILUNG Beigefügt ist die Originalkopie der preisgekrönte Anzeigeschreiben.

43 Kaderali Spams SPAMs Beispiele (2): r James Gilliard Hallo Einer meiner Mandanten verstarb vor zwei Jahren Er hinterließ ein Vermögen in Wert von $ r UPS Tracking Support UPS, Tracking Number: 4896F Wichtige Zustellinformationen

44 Kaderali Spams SPAMs Beispiele (3): r JAMES ENTWISTLE *****SPAM***** PRIVATE AND VERY URGENT US AMBASSADOR TO NIGERIA I WANT TO INFORM YOU THAT YOUR UNSETTLE PAYMENT OF $6.4MILLION UNITED STATE DOLLAR r Federal Bureau of Investigation # Spam # Links und sonstige Funktionen wurden in dieser Nachricht deaktiviert. We bring to your notice that your address has been in our database of scammed victims.

45 Kaderali Spams Einige Tipps zur Vermeidung von Spams 1 : r Autoresponder möglichst nicht anwenden r Auf Werb s nicht antworten r Keine Links in Werb s anklicken r Spamschutz einschalten (Dienstanbieter, Virenschutz) r Filter im Mailprogramm einrichten 1 https://www.bsi-fuer- buerger.de/BSIFB/DE/GefahrenImNetz/Spam/Schutzmassnahmen/sc hutzmassnahmen_node.html

46 Kaderali Sicherheit im Informationsalltag (Inhalt I) r Passwörter, PINs und TANs r Phishing r Spams  Cookies r Malware r Cloudcomputing r Verschlüsselung

47 Kaderali Cookies Ein Cookie 1 (Keks oder Plätzchen) ist eine Textdatei die von einer besuchten WEB-Seite über den Browser beim Surfen im Internet im Rechner des Surfers angelegt wird. Sie enthält im Wesentlichen Daten über die besuchten WEB-Seiten, getätigten Bestellungen usw. 1

48 Kaderali Cookies Einerseits sind Cookies nützlich für den Anwender, da er beim Wiederbesuch der WEB-Seite erkannt wird und bereits eingegebene Daten (Name, Anschrift, Kontonummer etc.) nicht erneut einzugeben braucht. Andrerseits können über Cookies sehr detaillierte persönliche Profile erstellt werden. Diese werden meist aber nicht nur für Werbezwecke genützt.

49 Kaderali Cookies Cookies dürfen nur von der WEB-Seite gelesen werden, die sie angelegt hat. Im Gegensatz zu Trojaner werden Cookies nicht versteckt sondern für den Nutzer einsehbar und löschbar.

50 Kaderali Cookies Es gibt Session Cookies, die meist gelöscht werden wenn man den Browser schließt und Dauer Cookies, die für unbestimmte Dauer auf dem Rechner des Anwenders bleiben. Cookies sollten gelegentlich manuell gelöscht werden.

51 Kaderali Cookies Man kann über den Browser einstellen, ob man generell Cookies erlaubt oder nicht. Bei manchen Anwendungen (z.B. Banken, Vereine, Soziale Gruppen usw.) ist es zwingend Cookies zu gestatten. Man kann über den Browser einstellen, von welchen Seiten Cookies angelegt werden dürfen.

52 Kaderali Cookies Allerdings sind Cookies harmlos insofern als sie keine ausführbaren Programme sind und deshalb keine aktiven Funktionen ausüben 1. 1 https://www.bsi-fuer- buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/DerBrow ser/GefahrenRisiken/Cookies/cookies_node.html

53 Kaderali Cookies Cookies werden zwar auf Ihrem Rechner abgelegt, sie zu finden ist jedoch schwierig, da sie in versteckten Dateien abgelegt werden. Man muss also zunächst versteckte Dateien sichtbar machen.

54 Kaderali Cookies Man kann auch direkt die versteckte Datei angeben. Bei Windows 8 lautet diese: C:\Users\Kaderali\AppData\Local\Microsoft\Windows\ INetCookies\Low.

55 Kaderali Cookies Beispiel 1 Cookies: csm-hit s- 1H6CHJBF2MX3ZGCA06CQ| * optimizelySegments %7B% %22%3A%22direct%22%2C% %22%3A%22false%22%2C% %2 2%3A%22ie%22%2C% %22%3A%22none %22%2C% %22%3A%22true%22%7D

56 Kaderali Cookies Beispiel 2 Cookies: ki_t %3B %3B %3B2%3B * ki_r *www.holidaycheck.de _pk_id.{145.e84c 9ed3e cd

57 Kaderali Cookies Beispiel 2 Cookies (Fortsetzung): * hcheck_de_session *www.holidaycheck.de/ tfm_rsi_segs reset *www.holidaycheck.de/ POPUPCHECK *

58 Kaderali Cookies Beispiel 2 Cookies (Fortsetzung 2): _pk_id.145.e84c de1a6c0982facfcf * _pk_ses.145.e84c * * yp_rec *www.holidaycheck.de/

59 Kaderali Cookies Beispiel 3 Cookies : fewo-direkt.de/ * optimizelyEndUserId oeu r fewo-direkt.de/ * optimizelyBuckets %7B%7D fewo-direkt.de/ * optimizelyPendingLogEvents %5B%5D

60 Kaderali Cookies Beispiel 3 Cookies (Fortsetzung): __utmz utmcsr=(direct)|utmccn=(dir ect)|utmcmd=(none) fewo-direkt.de/ * __utmept marketing fewo-direkt.de/ * __utmep buchungsprozess fewo-direkt.de/ *

61 Kaderali Cookies Beispiel 3 Cookies (Fortsetzung 2): __utmv |6=Visitor%20Type=traveller=1 fewo-direkt.de/ *fewo-direkt.de/ * _ga GA fewo-direkt.de/ * _gat 1 fewo-direkt.de/ *

62 Kaderali Cookies Beispiel 3 Cookies (Fortsetzung 3): __utma fewo-direkt.de/ * __utmb fewo-direkt.de/ *

63 Kaderali Sicherheit im Informationsalltag Inhalt (I) r Passwörter, PINs und TANs r Phishing r Spams r Cookies  Malware r Cloudcomputing r Verschlüsselung

64 Kaderali Malware Schadprogramme auch Malware 1 genannt sind Computerprogramme die auf einem Computer nicht erwünschte und gar schädliche Funktionen ausführen. Die Programm­­ausführung ist getarnt und läuft meist unbemerkt im Hintergrund. 1

65 Kaderali Malware Zu Malware gehören unter anderem r Viren, r Würmer, r Trojaner, r Back door, r Spyware, r Adware und r Dailer.

66 Kaderali Malware Viren sind Schadprogramme die sich selbständig verbreiten in dem sie Kopien von sich selbst in Programme, Dokumente oder Datenträger schreiben. Die Kopien tun das gleiche. Die Malfunktionen, die sie ausüben können vielfältig sein.

67 Kaderali Malware Würmer sind ähnlich wie Viren jedoch sie verbreiten sich direkt über Netze oder andere Medien (z.B. USB Stick).

68 Kaderali Malware Trojaner sind Schadprogramme, die sich meist in nützliche Wirtsprogramme einbetten und Malfunktionen ausführen. Sie verbreiten sich durch Installation des infizierten Wirtsprogramms. Sie werden auch verwendet um weitere Malware zu verbreiten.

69 Kaderali Malware Ein Back Door (Hintertür) ist eine versteckte Softwarefunktion, die es ermöglicht die Authentifikation, Virenschutz und ähnliche Kontrollmaßnahmen zu umgehen um auf Soft- oder Hardware zuzugreifen. Solche Zugriffsrechte ermöglichen es Daten zu sammeln und weiter zu versenden oder Malware zu verbreiten.

70 Kaderali Malware Spyware sind Schadprogramme die ohne Zustimmung und ohne Wissen des Anwenders dessen persönliche Daten (vor allem Daten über sein Verhalten) sammeln und versenden.

71 Kaderali Malware Adware sind Schadprogramme die Werbung verbreiten (Ad = Advertisement).

72 Kaderali Malware Dialer sind Schadprogramme, die automatisch Wählverbindungen herstellen.

73 Kaderali Malware Folgendes Bild zeigt die Verbreitung von Malware Das Bild stammt von

74 Kaderali Malware Das BSI empfiehlt 1 bei Microsoft Betriebssystemen dringend ein Viren­schutz­ Programm zu verwenden, bei Linux und Mac ist das nicht erforderlich. Für den privaten Nutzer sind in der Regel kostenfreie Antivirusprogramme ausreichend. 1 https://www.bsi-fuer- buerger.de/BSIFB/DE/MeinPC/Schutzprogramme/Virenschutzprogra mme/virenschutzprogramme_node.html

75 Kaderali Malware Das BSI empfiehlt 1 bei Microsoft Betriebssystemen dringend ein Viren­schutz­ Programm zu verwenden, bei Linux und Mac ist das nicht erforderlich. Für den privaten Nutzer sind in der Regel kostenfreie Antivirusprogramme ausreichend. 1 https://www.bsi-fuer- buerger.de/BSIFB/DE/MeinPC/Schutzprogramme/Virenschutzprogra mme/virenschutzprogramme_node.html

76 Kaderali Malware Das BSI empfiehlt 1 bei Microsoft Betriebssystemen dringend ein Viren­schutz­ Programm zu verwenden, bei Linux und Mac ist das nicht erforderlich. Für den privaten Nutzer sind in der Regel kostenfreie Antivirusprogramme ausreichend. 1 https://www.bsi-fuer- buerger.de/BSIFB/DE/MeinPC/Schutzprogramme/Virenschutzprogra mme/virenschutzprogramme_node.html

77 Kaderali Malware Beispiele für kostenlose Antivirusprogramme sind: r Avira Free Antivirus (http://free-av.de)http://free-av.de r avast! Free Antivirus (https://www.avast.com/de-de/free-antivirus- download). Eine verhaltensbasierte Erkennung von Schadsoftware ist in dieser Lösung bereits integrierthttps://www.avast.com/de-de/free-antivirus- download r AVG Anti-Virus Free (http://free.avg.com/de- de/startseite)http://free.avg.com/de- de/startseite

78 Kaderali Malware Ich selbst verwende Sophos, das von der FernUniversität (wie auch von vielen anderen Universitäten) für ihre Studenten und Mitarbeiter kostenlos zur Verfügung gestellt wird. Man kann sie automatisch auf dem aktuellen Stand halten.

79 Kaderali Malware Virenscanprogramme suchen nach Signaturen (Fingerprints) von Schadprogrammen und ermöglichen es, sie zu isolieren und zu entfernen. Antivirussoftware sollte deshalb stets auf aktuellem Stand gehalten werden! Man sollte die Autoprotect Funktion einschalten – damit wird bei jedem Start das Programm aufgerufen und läuft im Hintergrund durch. Die Online Scan Funktion Überwacht den Rechner in Echtzeit.

80 Kaderali Sicherheit im Informationsalltag (Inhalt I) r Passwörter, PINs und TANs r Phishing r Spams r Cookies r Malware  Cloudcomputing r Verschlüsselung

81 Kaderali Cloud Computing Unter Cloud Computing versteht man ein dynamisches, Bedarfsorientiertes überall und jederzeit verfügbares Angebot an IT-Leistungen über das Netz. Das Angebot umfasst Rechenleistung, Speicherplatz, diverse IT- Dienste einschließlich Anwendungs­programme. Abgerechnet wird nach tatsächlicher Nutzung.

82 Kaderali Cloud Computing Nach NIST (US National Institute of Standards and Technology) weisen Cloud Dienste folgende fünf Merkmale auf 1 : r Bedarfsorientierte Selbstbedienung r Verfügbar über standardisierte Netzschnittstellen r Ressourcenteilung r Schnell und flexibel automatisch konfigurierbar r Ressourcennutzung wird überwacht und gemessen. Abrechnung nach tatsächlicher Nutzung. 1 Peter Mell Timothy Grance, NIST Special Publication : The NIST Definition of Cloud Computing

83 Kaderali Cloud Computing Für den Anwender haben Cloud Dienste den Vorteil, dass er keine Ressourcen vorhalten muss sondern flexibel bei Bedarf unbegrenzt auf sie zugreifen kann.

84 Kaderali Cloud Computing Dafür treten zahlreiche sicherheitsrelevante Nachteile ein 1 : r Zugang zu Cloud Dienste ist über Endgeräte und Netze – beide können ein Risiko darstellen r Man vertraut private Daten einem Dritten zur Auf- bewahrung. Es können Probleme bei der Datensicherung (z.B. Klau durch Mitarbeiter), der Datenlöschung (es werden mehrere Kopien an verschiedenen Orten gespeichert!) und der Datenverschlüsselung (sowohl auf den Übermittlungsstrecken als auch bei der Speicherung) kommen. 1 https://www.bsi-fuer- buerger.de/BSIFB/DE/SicherheitImNetz/CloudComputing/GefahrenRisiken/gefahren risiken_node.html;jsessionid=B5BA549084F3137B569C82C32D922A6B.2_cid369

85 Kaderali Cloud Computing Weitere sicherheitsrelevante Nachteile : r Es können Probleme bei Datenbackups und Datenverlust geben. r Meist hat der Anwender keinen Überblick wo sich die Daten befinden. Im Ausland? r Was ist, wenn Dienstanbieter Insolvenz anmeldet?

86 Kaderali Cloud Computing Fazit: Cloud Dienste sind mit erheblichen Risiken verbunden und sollten von Privatnutzern nicht verwendet werden.

87 Kaderali Sicherheit im Informationsalltag (Inhalt II) r Passwörter, PINs und TANs r Phishing r Spams r Cookies r Malware r Cloudcomputing  Verschlüsselung

88 Kaderali Verschlüsselung Verschlüsselungsverfahren 1 werden eingesetzt um die Vertraulichkeit von Nachrichten im Netz zu gewährleisten. Sie können aber darüber hinaus auch eingesetzt werden um die Integrität der Nachrichten und deren Authentizität zu überprüfen. 1

89 Kaderali Verschlüsselung Symmetrische Verschlüsselungsverfahren 1 funktionieren wie folgt: Die Nachricht m (eine Folge von Symbolen) wird vom Sender mit einem Schlüssel k (auch eine Folge von Symbolen) mathematisch verknüpft, um eine verschlüsselte Nachricht c zu ergeben. Die mathematische Verknüpfung E hat die Eigenschaft, dass die verschlüsselte Nachricht c sinnlos und willkürlich erscheint und ohne Kenntnis des Schlüssels k die ursprüngliche Nachricht daraus nicht zu entziffern ist. Man kann daraus auch den Schlüssel k nicht ableiten. 1

90 Kaderali Verschlüsselung

91 Kaderali Verschlüsselung Symmetrische Verschlüsselungsverfahren 1 funktionieren wie folgt (Fortsetzung): Hat der Empfänger den (gleichen) Schlüssel k, kann er die Verknüpfung erneut durchführen, um die ursprüngliche Nachricht wieder zu erhalten. Das Problem bei diesem Verfahren ist, dass man einen sicheren Weg finden muss um den Schlüssel k vom Sender zum Empfänger zu bringen. In der Praxis werden deshalb Asymmetrische Verfahren verwendet, um den Schlüssel zu übertragen.

92 Kaderali Verschlüsselung

93 Kaderali Verschlüsselung Bei asymmetrischen Verschlüsselungsverfahren 1 werden zwei aufeinander abgestimmte Schlüssel erstellt. Der Schlüssel k e wird privater Schlüssel des Senders genannt und wird zur Verschlüsselung der Nachricht m verwendet und ist nur dem Sender der Nachricht bekannt und wird geheim gehalten. Der Schlüssel k d wird öffentlicher Schlüssel genannt und wird in öffentlichen Verzeichnissen als der öffentliche authentifizierte Schlüssel des Senders bekanntgegeben. Damit ist er jedem zugänglich. 1

94 Kaderali Verschlüsselung

95 Kaderali Verschlüsselung Die mathematische Verknüpfung E hat die Eigenschaft, dass die verschlüsselte Nachricht c sinnlos erscheint und daraus weder die Nachricht m noch der Schlüssel k e abgeleitet werden kann. Die mathematische Verknüpfung D hat die Eigenschaft, dass sie aus der Verschlüsselten Nachricht c wieder die ursprüngliche Nachricht m ableitet, dabei bleibt der Schlüssel k e geheim.

96 Kaderali Verschlüsselung

97 Kaderali Verschlüsselung Das Verfahren hat die Eigenschaft, dass man damit eine Nachricht Verschlüsseln kann (Vertraulichkeit) aber auch, dass die ursprüngliche Nachricht nicht verändert werden kann (Integrität). Man kann es außerdem verwenden, um die Authentizität des Senders zu überprüfen. Hierzu legt man dem Sender eine Nachricht zur Verschlüsselung vor. Kann man aus der verschlüsselten Nachricht nun mit dem öffentlichen Schlüssel und der Verknüpfung D die ursprüngliche Nachricht wieder herstellen, so bedeutet dies, dass der Sender den privaten Schlüssel k e kennt. Damit ist er eindeutig identifiziert, denn nur er kennt diesen.

98 Kaderali Verschlüsselung Die verwendeten mathematischen Verknüpfungen D und E charakterisieren die jeweiligen Verschlüsselungs- verfahren. Auch die Erzeugung der Schlüssel muss sorgfältig vorgenommen werden, denn es gibt starke und schwache Schlüssel. Wird die Verschlüsselung Bitweise oder Byteweise vorgenommen (Stromchiffre) ist sie schnell. Wird sie Blockweise vorgenommen (Blockchiffre) können erhebliche Verzögerungen entstehen.

99 Kaderali Verschlüsselung Symmetrische Verfahren sind gewöhnlich sehr schnell, asymmetrische Verfahren dagegen meist rechenintensiv und deshalb recht langsam. Deswegen werden oft hybride Verfahren verwendet bei dem ein asymmetrisches Verfahren zur gesicherten Schlüssel- übertragung verwendet wird mit dem dann die Nachricht symmetrisch verschlüsselt wird.

100 Kaderali Verschlüsselung Das bekannteste symmetrische Blockchiffreverfahren ist das DES-Verfahren (Data Encryption Standard) 1. Mit einer Blockgröße von 64 Bit und einer Schlüssellänge von 56 Bit wird er inzwischen als unsicher betrachtet. Eine Variante bei der er dreimal angewendet wird (tripple DES) wird als sicherer angesehen und heute noch verwendet. 1

101 Kaderali Verschlüsselung Das bekannteste asymmetrische Verfahren ist das RSA- Verfahren 1 benannt nach Rivest, Shamir und Adleman, die das Verfahren bei MIT entwickelten und 1977 veröffentlichten. Es gab viele Angriffe gegen das RSA- Verfahren und es wurde immer weiter verbessert und häufig gemeinsam mit anderen Verfahren eingesetzt. In einer solchen Kombination wird es meist als sicher betrachtet. 1

102 Kaderali Verschlüsselung Solche kombinierten Verfahren werden in vielen Anwendungen eingesetzt so z.B. bei s (PGP, S/MIME), diversen Kryptoprotokollen (SSH, SSL) als auch in der Browser-Server-Kommunikation (HTTPS). Ende 2013 wurde dann bekannt, dass NSA (National Security Agency der USA) einen Vertrag mit der Firma RSA abgeschlossen hat, Hintertürchen (Back doors) in RSA Produkte einzubauen idUSBRE9BJ1C

103 Kaderali Verschlüsselung Das Dilemma bei der Verschlüsselung ist: Man kann einen hohen Aufwand betreiben um ein Kryptosystem sicher zu machen, man muss aber auch damit rechnen, dass ein Angreifer ebenso einen sehr hohen Aufwand betreiben könnte, um das System zu brechen.

104 Kaderali Verschlüsselung Ein gravierender Schwachpunkt der Verschlüsselung liegt in der Implementierung. Das mathematische Verfahren kann sehr sicher gemacht werden, es gibt aber keine Sicherheit, dass in der Implementierung nicht betrogen wird, denn Software nach Sicherheit zu überprüfen gestaltet sich schwierig. Hinzukommt, dass menschliche Schwächen ausgenützt werden, um z.B. geheime Schlüssel zu kompromittieren.

105 Kaderali Verschlüsselung Fazit: Verschlüsselung ist unbequem, aufwendig, verlangsamt die Kommunikation und ist nicht absolut sicher. Sie wird deshalb ungern eingesetzt. Allerdings bietet sie eine gute Vertraulichkeit, denn sie kann nicht ohne das entsprechende Know-how gebrochen werden. Dokumente und Nachrichten sind somit durch eine Verschlüsselung in der Regel gut geschützt.

106 Kaderali Verschlüsselung Folgende Verfahren zur Verschlüsselung werden heute für verschiedene Anwendungen eingesetzt: r PGP (Pretty Good Privacy) r S/MIME (Secure / Multipurpose Internet Mail Extensions) r SSH (Secure Shell) r TLS (Transport Layer Security) früher SSL (Secret Socket Layer) r HTTPS (Hypertext Transport Protocol / Secure)

107 Kaderali Verschlüsselung PGP (Pretty Good Privacy) 1 PGP wird zur Verschlüsselung von s verwendet und kann eingesetzt werden um s vertraulich zu halten, ihre Integrität zu wahren und den Sender der zu authentifizieren. 1

108 Kaderali Verschlüsselung PGP wurde von Phil Zimmermann entwickelt und 1991 in der ersten Version gegen geltende US Gesetze weltweit als freie Software verfügbar gemacht. Heute wird PGP von der Firma Symantec in Kalifornien vertrieben und in einer eingeschränkten Version auch als Freeware Angeboten *. *

109 Kaderali Verschlüsselung Die Verschlüsslung bei PGP wird, um Rechenaufwand zu verringern (und somit die Geschwindigkeit des Verfahrens zu erhöhen), in zwei Schritten durchgeführt. Im ersten Schritt wird vom Sender ein symmetrischer Schlüssel erzeugt und mit einem Asymmetrischen Verfahren dem Empfänger der Nachricht übermittelt. Hierzu wird meist das RSA-Verfahren, heute zunehmend auch das auf diskreter Logarithmus basierendes Elgamal-Verfahren 1 verwendet. 1 Verschl%C3%BCsselungsverfahren

110 Kaderali Verschlüsselung RSA Verschlüsselung in zwei Schritten (Fortsetzung): Im zweiten Schritt wird dann die Nachricht mit einem symmetrischen Verfahren verschlüsselt übertragen. Für die symmetrische Verschlüsselung wurde zunächst das DES- Verfahren, dann das tripple DES und heute häufig das in Europa von James L. Massey entwickelte IDEA-Verfahren 1 oder ebenso in Europa von Joan Daemen und Vincent Rijmen entwickelte AES-Verfahren 2 verwendet.Joan DaemenVincent Rijmen 1 2

111 Kaderali Verschlüsselung S/MIME (Secure / Multipurpose Internet Mail Extensions) 1 S/MIME ist eine alternative zu PGP (insbesondere free PGP) und wird auch von vielen Betriebssystemen, Browser und Zertifizierungsstellen teilweise kostenlos unterstützt. Wie bei PGP handelt es sich um ein hybrides Verfahren (Kombination von symmetrischen und asymmetrischen Verschlüsselung). 1

112 Kaderali Verschlüsselung SSH (Secure Shell) 1 Secure Shell ist ein Verfahren zur Sicheren Kommunikation zwischen einem Rechner (Server) und einem Endgerät (Client). Er wurde von Tatu Ylönen entwickelt und 1995 als free ware angeboten. Ursprünglich handelte es sich um einen Satz von Kommandozeilen zur Fernsteuerung. Heute wird SSH von SSH Communications Security AG in Helsinki gepflegt, weiterentwickelt und kommerziell vertrieben.Tatu Ylönen 1

113 Kaderali Verschlüsselung TLS (Transport Layer Security) früher SSL (Secret Socket Layer) TLS/SSL ist ein hybrides Verschlüsselungsverfahren zur Datenübertragung im Internet und wird als Freeware 1 angeboten. Fast alle Browser setzen TLS in unterschiedlichen Varianten meist mit RSA und AES ein. Es wurde von Netscape entwickelt und 1994 zusammen mit HTTPS in ihrem Browser eingesetzt. 1

114 Kaderali Verschlüsselung HTTPS (Hypertext Transport Protocol / Secure) 1 HTTPS ist ein Kommunikationsprotokoll im WWW (World Wide Web) um Daten sicher zu übertragen. Es wurde von Netscape entwickelt und 1994 zusammen mit SSL in ihrem Browser eingesetzt, Heute bieten alle Browser HTTPS mit verschiedenen hybriden Verfahren an. 1

115 Kaderali Verschlüsselung Bei allen Anwendungen von HTTPS wird die Verbindung zur WEB-Seite automatisch verschlüsselt und im Adressfeld des Browsers angezeigt, dass die Verbindung verschlüsselt ist, woher die Seite stammt und von wem dies verifiziert wurde.

116 Kaderali Sicherheit im Informationsalltag (Inhalt II)  Bluetooth r Funknetze und Handys r Mobilfunk r Satellitennavigationssysteme r WLan

117 Kaderali Bluetooth Bluetooth ist ein Protokoll für die drahtlose Übertragung von Informationen über ein lokales Funknetz (WPAN - Wireless Personal Area Network) über eine kurze Distanz von maximal 10 Metern. Hauptanwendung von Bluetooth ist der Ersatz von Kabelverbindungen zwischen Geräten. Viele Geräte u.a. Handys, Tabletts, Drucker, Rechner verfügen über diese Schnittstelle. Vielen Anwendern ist dies nicht bewusst und Bluetooth ist im Hintergrund aktiv, wodurch eine ernste Sicherheitslücke entsteht.

118 Kaderali Bluetooth Es gibt zahlreiche Verhaltensregeln, um die Sicherheit von Bluetooth zu erhöhen siehe z.B. *. Hier die wichtigsten: r Bluetooth nur bei Bedarf einschalten und anschließend wieder abschalten r Verbindung möglichst nur in geschützter Umgebung aufbauen also z.B. nicht im Straßencafé, Kneipe etc. r Handy unsichtbar machen (Menu Einstellung). Bluetooth bleibt aktiv, Handy wird anderen nicht angezeigt * handy-vor-hacker-angriffen-sichern-.htmlhttp://www.t-online.de/handy/smartphone/id_ /bluetooth- handy-vor-hacker-angriffen-sichern-.html

119 Kaderali Bluetooth Verhaltensregeln, um die Sicherheit von Bluetooth zu erhöhen* (2): r Bluetooth ist beim Verbindungsaufbau am anfälligsten. Bekannte Geräte deshalb permanent abspeichern, damit nicht erneut Verbindungen aufgebaut werden müssen. Nur Verbindungen zu bekannten Geräten zulassen. r Wenn bei bereits bestehenden Verbindung wieder nach der Authentifizierung gefragt wird, versucht wahrscheinlich ein zweites Gerät eine Verbindung aufzubauen. Verbindung abbrechen!

120 Kaderali Bluetooth Verhaltensregeln, um die Sicherheit von Bluetooth zu erhöhen* (3): r Bluetooth baut häufig automatisch eigenständig Verbindungen auf. Immer mal nachschauen (Menu Einstellung) mit welchen Geräte Verbindungen aufgebaut werden. Unbekannte Geräte löschen! * handy-vor-hacker-angriffen-sichern-.htmlhttp://www.t-online.de/handy/smartphone/id_ /bluetooth- handy-vor-hacker-angriffen-sichern-.html

121 Kaderali Sicherheit im Informationsalltag (Inhalt II) r Bluetooth  Funknetze und Handys r Mobilfunk r Satellitennavigationssysteme r WLan

122 Kaderali Funknetze und Handys Funknetze sind Netze in denen Informationen über elektromagnetische Wellen übertragen werden. Es handelt sich also um drahtlose Systeme. Beispiele von Funknetzen sind: r Bluetooth, r WLan, r Mobilfunk (GSM, UMTS), r Satellitennavigationssysteme (GPS, Galileo).

123 Kaderali Funknetze und Handys Funk Netze sind besonders gefährdet, da die elektromagnetischen Wellen auch von Unberechtigten empfangen werden können. Deshalb empfiehlt es sich die Informationen zu verschlüsseln.

124 Kaderali Funknetze und Handys Eine weitere Schwachstelle von Funknetzen sind die Endgeräte (Handys, Smartphones etc.), da diese mobil sind und leicht entwendet werden können. Laut einer Studie der Firma Lookout* verliert jeder deutsche alle drei Jahre sein Handy! * https://www.lookout.com/de/news-mobile-security/lookout- lost-phones-30-billion1 https://www.lookout.com/de/news-mobile-security/lookout- lost-phones-30-billion1

125 Kaderali Funknetze und Handys Es gibt viele Tipps zum sicheren Umgang mit seinem Handy. Hier die wichtigsten* : r Kein Rückruf an unbekannte Nummern oder Mehrwertdiensten. r Keine vertraulichen Gespräche übers Handy – sie können abgehört werden! r Bei Installation von Apps nur seriöse Anbieter und Überprüfung auf welcher Daten zugegriffen wird. * https://www.bsi-fuer-buerger.de/BSIFB/DE/ Wissenswertes/Hilfreiches/Service/Broschueren/broschueren_node. html?gtp= _list%253D2 https://www.bsi-fuer-buerger.de/BSIFB/DE/ Wissenswertes/Hilfreiches/Service/Broschueren/broschueren_node. html?gtp= _list%253D2

126 Kaderali Funknetze und Handys Tipps zum sicheren Umgang mit seinem Handy* (2) : r Tastatursperre, Displaysperre verwenden und SIM / USIM Pin verwenden. Voreingestellt Passwörter ändern! r Drahtlose Schnittstellen (Bluetooth, WLAN) nur bei Bedarf aktivieren und wieder abschalten. r Bei öffentlichen Hotspots Zugang über gesicherte Verbindung (SSL, Https, VPN) und keine sensitive Anwendungen (z.B. Online Banking) * https://www.bsi-fuer-buerger.de/BSIFB/DE/ Wissenswertes/Hilfreiches/Service/Broschueren/broschueren_node. html?gtp= _list%253D2https://www.bsi-fuer-buerger.de/BSIFB/DE/ Wissenswertes/Hilfreiches/Service/Broschueren/broschueren_node. html?gtp= _list%253D2

127 Kaderali Funknetze und Handys Tipps zum sicheren Umgang mit seinem Handy* (3) : r Regelmäßige Sicherheitsupdates, keine SW von unbekannten Anbietern, nur vertrauenswürdige Quellen. r Bei Rückgabe / Aufgabe von Handy alle Daten löschen, SIM Karte entnehmen ggf. vernichten. * https://www.bsi-fuer-buerger.de/BSIFB/DE/ Wissenswertes/Hilfreiches/Service/Broschueren/broschueren_nod e.html?gtp= _list%253D2 https://www.bsi-fuer-buerger.de/BSIFB/DE/ Wissenswertes/Hilfreiches/Service/Broschueren/broschueren_nod e.html?gtp= _list%253D2

128 Kaderali Funknetze und Handys Gespräche über Handys verschlüsseln ist meist benutzerunfreundlich, oft teuer und hilft nicht wirklich – denn man kann nie sicher sein, dass die Verschlüsselungssoftware keine Hintertürchen enthält oder Professionelle die Verschlüsselung nicht bereits geknackt haben!

129 Kaderali Funknetze und Handys Der Bedarf Handys zu Orten oder gar zu verfolgen ist groß. Dies belegen die entsprechenden vielfältigen Angebote im Netz.

130 Kaderali Funknetze und Handys Anbieter von Ortungsdienste stammen aus folgenden drei Bereichen: r Netzanbieter (wie Telekom, Vodafone, O 2 usw.) r Gerätehersteller oder Betriebssystemanbieter (wie Sony, Apple, Android, Microsoft, etc.) und r Sicherheit und Software Anbieter (wie Norton, F- Secure, Lookout, Prey, Avast usw.)

131 Kaderali Funknetze und Handys Typische Anwendungen sind: r Eigenes verlegtes oder gestohlenes Handy zu orten und weitere Maßnahmen einzuleiten r Seine Kinder, Ehepartner, Bekannte usw. zu überwachen r Mitarbeiter im Außendienst zu orten r Einsatzfahrzeuge z.B. von Transportunternehmen zu verfolgen r Kriminelle zu verfolgen … usw. Allerdings ein Handy zu orten ohne das Einverständnis des Inhabers

132 Kaderali Funknetze und Handys Das Orten eines Handys ohne die Zustimmung des Inhabers ist in Deutschland eine Straftat. Man darf dies lediglich bei den eigenen minderjährigen Kindern vornehmen Ob die Polizei oder andere staatliche Behörden ein gestohlenes Handy ohne weiteres orten dürfen ist zurzeit umstritten – in Ernstfällen (Gefahr im Verzug) sicher gestattet.

133 Kaderali Funknetze und Handys Grundsätzlich gibt es zwei Verfahren ein Handy zu orten: r über das Mobilfunknetz (GSM oder UMTS) oder r über das Navigationssystem (GPS oder künftig Galileo)

134 Kaderali Funknetze und Handys Jedes Gerät in einem Mobilfunknetz befindet sich stets in Kontakt mit dem Netz über Funkzellen. Damit ist seine Position grob bekannt. In Städten ist gewöhnlich der Umfang der Funkzellen klein, auf dem Land allerdings groß. Die Position kann also mal genau, mal ziemlich ungenau (einige Meter bis einige Kilometer) geortet werden.

135 Kaderali Funknetze und Handys Betreiben die Netzanbieter im Einzelfall mehr Aufwand, besteht die Möglichkeit ein Gerät genauer zu orten. Hier kommen Methoden zum Einsatz wie: über drei Funkzellen das Gerät orten, die Entfernung des Gerätes zu Funkmasten über Zeitverzögerungen zu bestimmen usw. Prinzipiell ist also die Ortung über Funknetze grob, im Einzelfall doch recht genau.

136 Kaderali Funknetze und Handys Jedes Gerät hat eine eindeutige Kennung – die IMEI (International Mobile Equipment Identity). Man erfährt diese von seinem Handy, wenn man * #06# eingibt. Es ist hilfreich, diese zu kennen, um beim Verlust das Handy schnell zu identifizieren.

137 Kaderali Funknetze und Handys Das Navigationssystem GPS ist recht genau. Über eine Verbindung zu 6 Satelliten kann das Endgerät seine Position auf 10 Meter genau bestimmen – bei Galileo auf 1 Meter genau. Nur Handys, die GPS Funktionalität unterstützen können eine Ortung durchführen – älter Geräte können dies also nicht. Smartphones haben diese Funktionalität, kennen dadurch ihre Position und nutzen entsprechend ortsgebundene Dienste. Zur externen Ortung braucht man also nur diese Information von dem Smartphone zu bekommen.

138 Kaderali Funknetze und Handys Eine Ortung über das Mobilfunknetz ist nur möglich, wenn das Handy eingeschaltet ist (eventuell im Power Down Modus) und Verbindung zum Mobilfunknetz hat. Entsprechend ist eine Ortung im Navigationssystem nur möglich, wenn das Gerät eingeschaltet ist (eventuell im Power Down Modus) und Verbindung zu einigen Satelliten hat. Außerdem ist eine Internetverbindung erforderlich, um nach der Positionsbestimmung die Daten zu übermitteln.

139 Kaderali Funknetze und Handys Es ist allerdings auch möglich, Funktionen in das Handy einzuschleusen, die es verhindern, dass das Handy faktisch abgeschaltet wird. Es bleibt unbemerkt verbunden mit GSM, GPS und dem Internet. Ferner gibt es die Möglichkeit stille SMS an das gestohlene Gerät zu senden, die nicht erkannt werden. Sie werden nicht angezeigt, geben keinen Tonhinweis, bewirken aber, das das Handy seine Daten einschließlich Standort zurücksendet.

140 Kaderali Funknetze und Handys Es gibt mehr als hundert kostenlose und kostenpflichtige Apps sein verlorenes Handy zu orten, Daten davon herunterzuladen, alle Daten zu löschen, Bilder zu schießen und zu übermitteln, die SIM Karte zu sperren usw. Eine pauschale Empfehlung von Apps ist nicht möglich da die Auswahl von vielen unterschiedlichen Faktoren abhängt.

141 Kaderali Funknetze und Handys Hier einige nützliche Links: https://www.handy-orten.biz/ https://www.avast.com/de-de/anti-theft https://antitheft.norton.com/ https://www.lookout.com/de/download https://preyproject.com/download theft-android-app,cxo /

142 Kaderali Sicherheit im Informationsalltag (Inhalt II) r Bluetooth r Funknetze und Handys  Mobilfunk r Satellitennavigationssysteme r WLan

143 Kaderali Mobilfunknetze (GSM, UMTS) Mobilfunknetze der ersten Generation waren analog. In 1992 wurden in Deutschland die ersten digitalen Mobilfunksysteme nach dem GSM Standard (Global System for Mobile Communications früher Groupe Spécial Mobile) in Betrieb genommen und die ersten digitalen Handys kamen auf dem Markt. Der Standard wurde stets weiter entwickelt. Heute wird er in gut 200 Ländern eingesetzt und ist der meist verwendete Mobilfunkstandard weltweit*. * ons ons

144 Kaderali Mobilfunknetze (GSM, UMTS) In Deutschland ist seit 2004 Mobilfunk der dritten Generation nach dem UMTS (Universal Mobile Telecommunications Standard) verfügbar. Während in GSM Netzen eine Datenrate von 55 kbit/s bis maximal 220 kbit/s möglich ist, bietet UMTS eine Datenrate von 384 kbit/s bis maximal 42 Mbit/s*. Darüber hinaus bietet UMTS weitere Breitbanddienste und ein etwas höhere Datensicherheit. Beide Netze werden jedoch grundsätzlich als unzureichend sicher eingestuft**. * ystem ** https://www.bsi.bund.de/DE/Publikationen/Broschueren/oefms/index _htm.html ystem https://www.bsi.bund.de/DE/Publikationen/Broschueren/oefms/index _htm.html

145 Kaderali Mobilfunknetze (GSM, UMTS) Da beide Netze (GSM und UMTS) kompatibel sind und die Grundabläufe in beiden Netzen identisch sind, schauen wir uns im Folgenden nur das GSM Verfahren näher an.

146 Kaderali Mobilfunknetze (GSM, UMTS) Jeder Teilnehmer im Netz erhält eine Chipkarte (SIM – Subscreiber Identification Module) die in das Endgerät eingebaut wird mit einer eindeutigen Kennzeichnung (IMSI – International Mobile Subscriber Identity). Hierdurch wird der Teilnehmer gegenüber jedem GSM Mobilfunknetz eindeutig identifiziert. Das Netz erfährt auch, wo der Teilnehmer registriert ist (HLR - Home Location Register) und meldet dort, dass der Teilnehmer sich in seinem Bereich (VLR - Visitor Location Register) befindet. In dem HLR wird ständig Buch geführt, wo der Teilnehmer sich aktuell befindet.

147 Kaderali Mobilfunknetze (GSM, UMTS) Ruft nun jemand den Teilnehmer an, so wird zunächst über eine Signalisier Verbindung zum HLR festgestellt, wo der Teilnehmer sich befindet. Dann wird eine weitere Signalisier Verbindung zum VLR aufgebaut über die dem Anrufer mitgeteilt wird, ob der Teilnehmer verfügbar ist. Erst wenn dies der Fall ist, wird das Gespräch (Nutzkanal) durchgeschaltet.

148 Kaderali Mobilfunknetze (GSM, UMTS) Der Ablauf verdeutlicht, dass viele Daten über den Teilnehmer im Netz verfügbar sind und ein Missbrauch nicht immer ausgeschlossen werden kann. Auf der SIM-Karte befinden sich außerdem weitere Daten wie Telefonbuch, Notizbuch, SMS Speicher, Speicher der zuletzt angerufenen Nummern, Anrufe in Abwesenheit usw. Insbesondere kann der Aufenthaltsort des Teilnehmers und sein Bewegungsprofil erstellt werden, wenn man Zugriff auf die Speicher der Netzbetreiber hat.

149 Kaderali Mobilfunknetze (GSM, UMTS) Da UMTS kompatibel zu GSM ist und teilweise das GSM Netz mitverwendet, ist die erhöhte Sicherheit von UMTS nicht immer gewährleistet.

150 Kaderali Mobilfunknetze (GSM, UMTS) Im Laufe der letzten Jahre wurden zahlreiche Schwach- stellen des GSM Netzes aufgedeckt. Hierzugehören*: r In GSM Netzen wird eine Authentifizierung des Teilnehmers vorgenommen aber nicht des Netzes. Dies ermöglicht eine „Man in the Middle“ Attacke mit dem Einsatz eines IMSI-Catchers. Gespräche können dann abgehört werden. IMSI-Catchers werden in Zusammenhang mit Bekämpfung der Kriminalität und Terrorgefahr eingesetzt und sind frei käuflich. * *

151 Kaderali Mobilfunknetze (GSM, UMTS) Schwach-stellen des GSM Netzes (2)*: r Es ist möglich den Authentifizierungsschlüssel K i herauszufinden und eine SIM-Karte zu klonen r Es gibt mehrere erfolgreiche Angriffe auf die GSM Krypto Algorithmen A5/1 und A5/2. r Die Verschlüsselung der Daten erfolgt nur vom Mobilteil zur Basisstation, Verbindungen über Festnetz, Richtfunkverbindungen und die Vermittlungs-, Übertragungsanlagen erfolgen unverschlüsselt, sofern die verwendeten Systeme keine eigenen Verschlüsselungsalgorithmen verwenden. * *

152 Kaderali Mobilfunknetze (GSM, UMTS) In UMTS-Netzen wurden einige dieser Lücken beseitigt. So sind die Schlüssel länger und ein „Man in the Middle“ Attacke ist nicht möglich. Auch eine Ende zu Ende Verschlüsselung kann durchgeführt werden. Allerdings gibt es inzwischen Berichte darüber dass die UMTS- Verschlüsselung sowohl durch einen direkten Angriff* als auch über einen Angriff auf das Signalisier System Nr. 7** gebrochen werden kann * angeknackst html angeknackst html ** Gravierende-Sicherheitsluecken-im-UMTS-Netz html Gravierende-Sicherheitsluecken-im-UMTS-Netz html *

153 Kaderali Mobilfunknetze (GSM, UMTS) Das Fazit insgesamt lautet: Mobilfunknetze sind nicht sicher und man sollte weder vertrauliche Gespräche darüber führen noch vertrauliche Daten darüber austauschen, es sei denn man verschlüsselt Ende zu Ende selbst!

154 Kaderali Sicherheit im Informationsalltag (Inhalt II) r Bluetooth r Funknetze und Handys r Mobilfunk  Satellitennavigationssysteme r WLan

155 Kaderali Navigationssysteme GPS (Global Positioning System)* wurde von dem US Verteidigungsministerium in den 1970er Jahren entwickelt und ist seit Mitte der 1990er Jahre als Navigationssystem voll funktionsfähig. Seit Mitte des Jahres 2000 wurde es in voller Genauigkeit für zivile Anwendungen freigegeben. Es hat eine Genauigkeit von etwa 10 Metern, die durch spezielle Software auf bis zu einem Meter erhöht werden kann. *

156 Kaderali Navigationssysteme Das System basiert auf Satelliten, die ständig Ihre genaue aktuelle Position und die genaue Zeit ausstrahlen. Eine Verbindung mit vier Satelliten ist ausreichend damit der Empfänger seine Position, die Bewegungsrichtung und die Geschwindigkeit ausrechnen kann. Der Empfänger kombiniert diese Daten mit verfügbarem Kartenmaterial und stellt die Position, Geschwindigkeit usw. anschaulich dar.

157 Kaderali Navigationssysteme Damit ein Empfänger immer mindestens zu vier Satelliten Kontakt hat, werden 24 bis 30 Satelliten eingesetzt, die die Erde zwei Mal am Tag in einer Höhe von ca km umkreisen. Animation GPS:

158 Kaderali Navigationssysteme Zurzeit wird von der Europäischen Union in Kooperation mit zahlreichen Ländern ein neues, sehr genaues (1 Meter)* Navigationssystem namens Galileo aufgebaut. Insgesamt sind 30 Satelliten vorgesehen. Nach Plan sollten in 2015 bereits 20 Satelliten im Betrieb sein - somit wäre das System voll funktionsfähig. Tatsächlich sind zurzeit (Ende 2015) zwölf Satelliten Verfügbar allerdings zwei davon nicht ganz auf der richtigen Bahn **. * / / ** Satelliten-auf-dem-Weg-ins-All html Satelliten-auf-dem-Weg-ins-All html

159 Kaderali Navigationssysteme Animation Galileo:

160 Kaderali Navigationssysteme Wie aus der Systembeschreibung hervorgeht, sind die Satelliten passiv, d.h. sie sammeln keine Daten. Die jeweilige Position der Empfänger wird beim Empfänger berechnet und ist den Satelliten nicht bekannt. Erst wenn die Empfänger aktiv sind und ihre errechnete Position, Geschwindigkeit etc. weiter geben (z.B. an eine Leitstelle zur Steuerung von Fahrzeugen) treten Datenschutz Fragen auf. Dies ist bei vielen Standortdiensten der Fall.

161 Kaderali Sicherheit im Informationsalltag (Inhalt II) r Bluetooth r Funknetze und Handys r Mobilfunk r Navigationssysteme  WLan

162 Kaderali WLAN WLAN (Wireless Local Area Networks)* auch WiFi (Wireless Fidelity) genannt sind drahtlose lokale Funknetze die meist nach einem Protokoll der IEEE Familie arbeiten. Sie haben eine größere Sendeleistung (also größere Reichweite) und größere Bandbreite (also höhere Datenübertragungsrate) als WPAN (Wireless Personal Area Network wie Bluetooth) und können durchaus eine größere Anzahl von Geräten verbinden. Üblicherweise arbeiten sie im GHz-Bereich und haben eine Übertragungsrate von einigen Mbit/s bis zu einigen Gbit/s. *

163 Kaderali WLAN WLANS werden auch als Zugang zum privaten oder öffentlichen Datennetzen (Accesspoint, Hotspot) verwendet. Internetanbieter stellen häufig ein WLAN als Zugang zu ihrem Netz zur Verfügung. Zahlreiche Geräte (Smartphones, Handys, Tabletts, Notebooks aber auch Drucker und Scanner) haben eingebaute WLAN Karten und können sich an der Kommunikation über diese Funknetze beteiligen. Da die Sicherheit von WLANS nicht sehr ausgeprägt ist, wird dringend empfohlen sowohl eine Authentifizierung als auch eine Verschlüsselung durchzuführen.

164 Kaderali WLAN Im Folgenden fassen wir zu einem Sicherheitshinweise zum Betrieb von einem eigenen privaten WLAN und zum andern Hinweise zum Verhalten in fremden WLANS zusammen*: r Ändern Sie das vom Hersteller eingestellte Name des WLANS und die voreingestellten Passwörter. Benutzen Sie einen Namen, der keinen Hinweis über Sie gibt. Löschen Sie das Login Banner (da hierdurch das Gerätemodell und Details des Gerätes bekannt gegeben werden). * https://www.bsi-fuer- buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/WLAN/Sicherheit stipps/sicherheitstipps_node.html https://www.bsi-fuer- buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/WLAN/Sicherheit stipps/sicherheitstipps_node.html

165 Kaderali WLAN Sicherheitshinweise für WLANS* (2) : r Gehen Sie vom Netz, wenn Sie den WLAN konfigurieren. Verwenden Sie den sicheren Modus https zum Konfigurieren. r Sie können ihr WLAN (SSID) verstecken. Es gibt allerdings Tools auch versteckte WLANS sichtbar zu machen! r Aktualisieren Sie die Gerätesoftware (automatische Aktualisierung empfohlen). * https://www.bsi-fuer- buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/WLAN/Sicherheit stipps/sicherheitstipps_node.html https://www.bsi-fuer- buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/WLAN/Sicherheit stipps/sicherheitstipps_node.html

166 Kaderali WLAN Sicherheitshinweise für WLANS* (3) : r Sie können den MAC Filter einrichten. Dann werden nur eingetragene Geräte zugelassen. r Deaktivieren Sie nicht benötigte Funktionen z.B. Fernzugang für Einstellungen. r Verwenden Sie eine gute Verschlüsselung z.B. WPA2. WEP und WPA ist nicht ausreichend! PIN mindestens 20 Zeichen! * https://www.bsi-fuer- buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/WLAN/Sicherheit stipps/sicherheitstipps_node.html https://www.bsi-fuer- buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/WLAN/Sicherheit stipps/sicherheitstipps_node.html

167 Kaderali WLAN Sicherheitshinweise für WLANS* (4) : r Deaktivieren Sie das WPS PIN Verfahren. Es ist unsicher! r Öffentliche Hotspots verwenden meist keine Verschlüsselung – die Luftschnittstelle ist dann ab hörbar. Dies gilt häufig auch für viele fremde WLANS (z.B. in Hotels). Deshalb keine vertrauliche Informationen über fremde WLANS versenden. Wenn doch, dann eigene Verschlüsselung verwenden (z.B. SSL, Https oder VPN). * https://www.bsi-fuer- buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/WLAN/Sicherhei tstipps/sicherheitstipps_node.html https://www.bsi-fuer- buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/WLAN/Sicherhei tstipps/sicherheitstipps_node.html

168 Kaderali WLAN Sicherheitshinweise für WLANS* (5) : r Datei- und Verzeichnisfreigabe deaktivieren damit diese von Dritten nicht eingesehen werden können. r Deaktivieren Sie die automatische Anmeldung an bekannten Hotspots. Diese können verfälscht sein (d.h. einen falschen Namen tragen!). * https://www.bsi-fuer- buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/WLAN/Sicherhei tstipps/sicherheitstipps_node.html https://www.bsi-fuer- buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/WLAN/Sicherhei tstipps/sicherheitstipps_node.html

169 Kaderali Sicherheit im Informationsalltag Vielen Dank für Ihre Aufmerksamkeit! Fragen?


Herunterladen ppt "Www.kaderali.de/ Sicherheit im Informationsalltag Firoz Kaderali."

Ähnliche Präsentationen


Google-Anzeigen