Www.kaderali.de/ Sicherheit im Informationsalltag Firoz Kaderali.

Präsentation zum Thema: "Www.kaderali.de/ Sicherheit im Informationsalltag Firoz Kaderali."—  Präsentation transkript:

1 www.kaderali.de/ Sicherheit im Informationsalltag Firoz Kaderali

2 Kaderali 25.01.2016 2 Sicherheit im Informationsalltag (Inhalt I) r Passwörter, PINs und TANs r Phishing r Spams r Cookies r Malware r Cloudcomputing r Verschlüsselung

3 Kaderali 25.01.2016 3 Sicherheit im Informationsalltag (Inhalt II) r Bluetooth r Smartphones r Mobilfunk r Navigationssysteme r WLan

4 Kaderali 25.01.2016 4 Sicherheit im Informationsalltag (Inhalt I)  Passwörter, PINs und TANs r Phishing r Spams r Cookies r Malware r Cloudcomputing r Verschlüsselung

5 Kaderali 25.01.2016 5 Passwörter Ein Passwort (Schlüssel) ist eine Zeichenfolge, die es ermöglicht ein Konto oder eine Datei (Tresor) zu öffnen. Sie wird also zur Authentifizierung verwendet. Häufig werden nur Zahlenfolgen, immer mehr Zahlenfolgen mit klein und groß Buchstaben und auch Sonderzeichen (ASCII-Zeichen) eingesetzt.

6 Kaderali 25.01.2016 6 Passwörter Bei Banken werden Passwörter PIN (Personal Identification Number) 1 genannt zur Authentifikation von Personen eingesetzt. Sie ermöglichen es der authentifizierten Person Einblick in sein Konto oder Depot zu nehmen. 1 http://de.wikipedia.org/wiki/Pers%C3%B6nliche_Identifika tionsnummer

7 Kaderali 25.01.2016 7 Passwörter Beispiele von Passwörter: r Hotelsafe, Länge üblicherweise 4 Ziffern r Bankkonto, Depot, Geldautomaten, Kreditkarten, üblicherweise 4 Ziffern r Konten bei Online Shops, Zugang zu Firmennetzen, Zugang zu Mailkonten etc. 8 bis 12 Zeichen. r Bei SW und Geräteschutz 64 bis 128 Zeichen.

8 Kaderali 25.01.2016 8 Passwörter Heute wird die Richtigkeit einer PIN auf einer Karte maschinell gewöhnlich wie folgt überprüft: Die Maschine liest die verschlüsselte PIN von der Karte heraus, entschlüsselt sie und vergleicht die über die Tastatur eingegebene PIN hiermit. Bei Übereinstimmung wird der Zugang zu Datei, Konto oder Geld gewährt.

9 Kaderali 25.01.2016 9 Passwörter Bei 4 Ziffern liegt die Wahrscheinlichkeit eine PIN richtig zu raten bei 1: 10 4 also eins zu zehntausend. Damit man nicht alle zehntausend Ziffern ausprobieren kann, wird die Anzahl der Versuche gewöhnlich auf drei beschränkt. Der Zugang wird bei drei Falscheingaben dann gesperrt und kann entweder über eine übergeordnete PIN (Master PIN) oder durch Eingriff des Kontobetreibers entsperrt. Bei drei Versuchen liegt die Wahrscheinlichkeit eine PIN mit 4 Ziffern zu knacken bei 3/10000 also 1 zu 3333.

10 Kaderali 25.01.2016 10 Passwörter Empfehlung des BSI zu Passwörtern: https://www.bsi-fuer- buerger.de/BSIFB/DE/MeinPC/Passwoerter/passwoerter_node.ht ml

11 Kaderali 25.01.2016 11 Passwörter Zitat aus BSI Empfehlung (1): Ein gutes Passwort : r Sollte mindestens zwölf Zeichen lang sein. Es sollte aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern bestehen. r Tabu sind Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten und so weiter. r Wenn möglich sollte es nicht in Wörterbüchern vorkommen.

12 Kaderali 25.01.2016 12 Passwörter Zitat aus BSI Empfehlung (2): Ein gutes Passwort : r Sollte nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern bestehen. r Einfache Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen $ ! ? #, am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen ist auch nicht empfehlenswert.

13 Kaderali 25.01.2016 13 Passwörter r Außerdem soll man das Passwort regelmäßig erneuern. Empfehlung FernUni alle 2 Monate! r Passwörter nie aufschreiben! Wie soll dies bei meinen gut 100 Passwörtern gehen? Ein Passwortverwaltungsprogramm oder Tresor verwenden!

14 Kaderali 25.01.2016 14 Passwörter Passwortverwaltungsprogramme: r http://de.wikipedia.org/wiki/KeePass http://de.wikipedia.org/wiki/KeePass r http://www.mobilesitter.de/index_de.php http://www.mobilesitter.de/index_de.php r http://www.passwordsafe.de/ http://www.passwordsafe.de/ Bedenken! r Hat man Vertrauen zu dem Hersteller des Verwaltungsprogramms? r Will man den notwendigen Mehraufwand betreiben?

15 Kaderali 25.01.2016 15 Passwörter Kompromissvorschlag: Drei oder vier Kategorien der eigenen Anwendungen bilden nach Sicherheitsbedarf: r Kategorie 1 : BSI Empfehlungen für jedes Passwort folgen r Kategorie 2: Gleiches Passwort für je 5 Anwendungen. BSI-Nah! r Kategorie 3: Gleiches Passwort für alle Anwendungen. Gelegentlich erneuern.

16 Kaderali 25.01.2016 16 Passwörter Um die Sicherheit bei Bankgeschäften zu erhöhen werden neben der Authentifikation durch eine PIN, die den Einblick in ein Konto gewährt, auch eine Authentifikation der einzelnen Transaktionen durch ein einmal verwendbares (meist fünfstelliges) Passwortes TAN (Transaction Authentication Number) 1 genannt vorgenommen. 1 http://de.wikipedia.org/wiki/Transaktionsnummer

17 Kaderali 25.01.2016 17 Passwörter r Früher erhielt der Bankkunde eine TAN Liste, von der er die TANs nacheinander zur Authentifikation von Transaktionen (also z.B. von Überweisungen) verwenden konnte. r Inzwischen werden die TANs durchnummeriert (indizierte TAN-Liste) und der Kunde wird pro Transaktion zur Eingabe einer TAN mit einer bestimmten Nummer aufgefordert. Hierdurch wird die Sicherheit des Verfahrens erheblich verbessert.

18 Kaderali 25.01.2016 18 Passwörter r Verfahren mit TAN-Listen haben den Nachteil, dass man sie zur Durchführung einer Transaktion dabei haben muss. Noch schlimmer, die Listen können Kopiert oder gestohlen werden. r Es gibt zahlreiche Phishing-Attacken, die darauf zielen, nicht verbrauchte TANs samt Indexnummern zu ergattern.

19 Kaderali 25.01.2016 19 Passwörter Die Man-in-the-middle Attacke ist ein ernsthaftes Risiko für das indizierte TAN-Verfahren. Bei diesem Verfahren wird eine Schadsoftware eingesetzt, die sich zwischen dem Kundenrechner und dem Bankserver einschaltet und die Überweisungsdaten in Echtzeit verfälscht. Es werden also die Kontonummer des Empfängers und der Betrag manipuliert. Dem Bankkunden werden dann auch verfälschte Daten angezeigt, die seiner Überweisung entsprechen. Somit wird das Bankkonto geplündert.

20 Kaderali 25.01.2016 20 Passwörter Beim Mobile TAN Verfahren (auch SMS TAN genannt) wird zu einer Transaktion die beim Bankserver ankommt, dem Teilnehmer per SMS eine TAN und die Details der Transaktion auf sein Handy zugesandt. Der Teilnehmer kann dann durch Eingabe der TAN die Transaktion frei geben.

21 Kaderali 25.01.2016 21 Passwörter r Beim Mobile TAN sollte man darauf achten, dass Online-Banking und das TAN-Verfahren nicht vom selben Gerät ausgeführt wird, damit jemand, der das Handy entwendet nicht ungehindert Überweisungen tätigen kann. r Inzwischen gibt es kombinierte Attacken gegen das Mobile TAN Verfahren bei dem sowohl der Rechner des Bankkunden als auch sein Handy mit Schadsoftware befallen wird. Insofern ist das Verfahren nicht mehr als sicher einzustufen.

22 Kaderali 25.01.2016 22 Passwörter (TAN I) Um die man-in-the-middle Attacke zu unterbinden wurden von verschiedenen Banken elektronische TAN Generatoren entwickelt. Die Einzelheiten der jeweiligen Ausführungen sind unterschiedlich jedoch das Prinzip ist identisch. Von dem Generator wird unter Einbeziehung der Daten der Transaktion (Betrag, Empfängerkonto etc.) eine individuelle TAN erstellt, die der Kunde eingibt, um die Transaktion zu tätigen.

23 Kaderali 25.01.2016 23 Passwörter (TAN II) Diese TAN ist zeitlich begrenzt d.h. sie gilt nur für eine kurze Zeit, die gerade ausreicht die Transaktion zu tätigen. Bei dem Bankserver wird mit den gleichen Daten eine TAN erzeugt und die beiden werden in Echtzeit verglichen. Zur Kontrolle werden meist die Transaktionsdaten vom Bankserver dem Kunden erneut zugesandt. Das Verfahren gilt als ausreichend sicher.

24 Kaderali 25.01.2016 24 Passwörter Bild aus http://de.wikipedia.org/wiki/Transaktionsnummerhttp://de.wikipedia.org/wiki/Transaktionsnummer

25 Kaderali 25.01.2016 25 Passwörter Bild aus http://de.wikipedia.org/wiki/Transaktionsnummerhttp://de.wikipedia.org/wiki/Transaktionsnummer

26 Kaderali 25.01.2016 26 Passwörter r Bild aus http://de.wikipedia.org/wiki/Transaktionsnummerhttp://de.wikipedia.org/wiki/Transaktionsnummer

27 Kaderali 25.01.2016 27 Passwörter Das BSI empfiehlt für Online Banking unter anderem folgendes (1) 1 : r Für Online Banking stets verschlüsselte Verbindung (https://...) verwenden r Ggf. auch WLAN verschlüsseln r Prüfen Sie die Echtheit der Bank WEB-Seite (auch Browserangabe hierzu ansehen!) r Online Banking nur vom eigenen Gerät. 1 https://www.bsi-fuer- buerger.de/BSIFB/DE/SicherheitImNetz/OnlineBanking/Sicherheit smassnahmen/sicherheitsmassnahmen_node.html

28 Kaderali 25.01.2016 28 Passwörter Das BSI empfiehlt für Online Banking ferner (2) 1 : r Kein Online Banking über öffentliche Access Points (z.B. Internetcafé) r Überweisungslimit mit Bank vereinbaren r Regelmäßig Kontobewegungen überprüfen r Telefonbanking ist ganz unsicher. Möglichst nicht verwenden! 1 https://www.bsi-fuer- buerger.de/BSIFB/DE/SicherheitImNetz/OnlineBanking/Sicherheit smassnahmen/sicherheitsmassnahmen_node.html

29 Kaderali 25.01.2016 29 Sicherheit im Informationsalltag (Inhalt I) r Passwörter, PINs und TANs  Phishing r Spams r Cookies r Malware r Cloudcomputing r Verschlüsselung

30 Kaderali 25.01.2016 30 Phishing Phishing 1 ist der Versuch durch Täuschung der eignen Identität im Internet Daten eines anderen Teilnehmers zu erhalten um damit Betrug zu betreiben oder sie zu Werbezwecke zu missbrauchen. Das Wort Phishing erinnert an Fishing d.h. Angel werfen um Fische zu fangen. Hier geht es um Angel werfen um Passwörter und andere persönliche Daten zu fangen (Ph = Password harvesting). 1 http://de.wikipedia.org/wiki/Phishing

31 Kaderali 25.01.2016 31 Phishing Phishing wird gewöhnlich durch verfälschte WEB Seiten, Emails oder SMS eingeleitet. Der Ahnungslose Teilnehmer glaubt mit einem serösen Partner zu kommunizieren und gibt freiwillig persönliche Daten Preis.

32 32 Phishing Beispiel Phishing: Man erhält eine E-Mail die so aussieht wie wenn sie von der eigenen Bank käme und fordert einen auf, seine Daten zu aktualisieren oder PINs und TANs einzugeben. Die E- Mail zeigt zwar als Absender die Internet Adresse der Bank an, ist aber gefälscht und sieht täuschend echt aus. Meist enthält sie im HTML Format einen Link den man anklicken soll, um die geforderten Daten einzugeben. Der Link zeigt zwar die WEB Adresse der Bank an, führt aber zu einer gefälschten Seite. Gibt man die geforderten Daten dort ein, hat man sie verraten.

33 Kaderali 25.01.2016 33 Phishing Maßnahmen gegen Phishing: r Meist genügt eine gebührende Vorsicht Phishing Attacken zu erkennen. r Viele Browser und E-Mailserver zeigen es an, wenn es sich um eine Phishing WEB Seite oder E-Mail handelt.

34 Kaderali 25.01.2016 34 Phishing Das BSI rät 1 nur gesicherte Seiten (https://…) für Dateneingaben zu verwenden. Hier kann man auf den Schlüsselsymbol klicken um anzusehen von wem die WEB Seite stammt und wer sie zertifiziert hat. 1 https://www.bsi-fuer- buerger.de/BSIFB/DE/GefahrenImNetz/Phishing/Schutzmassnamen/ schutzmassnamen_node.html

35 Kaderali 25.01.2016 35 Phishing Ferner rät das BSI 1, dass man den Browser so einstellt, dass bevor aktive Inhalte ausgeführt werden, man gefragt wird, ob sie durchgeführt werden sollen. Hier Vorsicht walten lassen! Es gibt zu bedenken: Banken oder seriöse Firmen fordern ihre Kunden niemals per E-Mail oder per Telefon zur Eingabe von vertraulichen Informationen auf! 1 https://www.bsi-fuer- buerger.de/BSIFB/DE/GefahrenImNetz/Phishing/Schutzmassnamen/ schutzmassnamen_node.html

36 Kaderali 25.01.2016 36 Sicherheit im Informationsalltag (Inhalt I) r Passwörter, PINs und TANs r Phishing  Spams r Cookies r Malware r Cloudcomputing r Verschlüsselung

37 Kaderali 25.01.2016 37 Spams Als Spams 1 bezeichnet man elektronische Mitteilungen, die einem unerwünscht und unaufgefordert zugestellt werden. Meist handelt es sich um Werbung. 1 http://de.wikipedia.org/wiki/Spam

38 Kaderali 25.01.2016 38 Spams Ursprünglich war Spam 1 ein Markenname für Dosenfleisch. Spiced ham = Spam 1 Bild von http://de.wikipedia.org/wiki/Spamhttp://de.wikipedia.org/wiki/Spam

39 Kaderali 25.01.2016 39 Spams Während der Rationierung im zweiten Weltkrieg war SPAM ein Nahrungsmittel das überall in Großbritannien fast unbeschränkt verfügbar war. Man aß und aß Spam bis es im Halse stecken blieb! Die Wiederholung bei Mitteilungen im Internet bis man sie nicht mehr sehen kann wird im übertragenen Sinne als Spam bezeichnet.

40 09.05.2015 40 Spams Der Anteil von Spam im Emailverkehr ist erheblich – im 4. Quartal 2014 lag dieser bei rund 67% 1. Seitdem ist er etwas gesunken. Im November 2015 lag er bei 54% 2. Spams richten also einen großen wirtschaftlichen Schaden an. 1 http:// www.viruslist.com/de/analysis?pubid=200883871 2 https://www.symantec.com/security_response/publications/ monthlythreatreport.jsp https://www.symantec.com/security_response/publications/ monthlythreatreport.jsp

41 Kaderali 25.01.2016 41 Spams Nach deutschem Recht ist es verboten unaufgefordert Werbung per Email zu verschicken. Außer für Werbung werden Spams auch für verschiedene Betrügereien (Phishing) eingesetzt.

42 Kaderali 25.01.2016 42 Spams SPAMs Beispiele (1): r SPARKASSE sicherheit-abteilung@spar-kasse.desicherheit-abteilung@spar-kasse.de IHR ONLINE-BANKING WIRD OHNE UMSTELLUNG GESPERRT www-sparkasse.de/sicherheit/online-banking http://atelierif.ro/wp- admin/www.spk.de/spk.sicherheit.htm r Shoemaker, Helen shoemaker@hnu.edushoemaker@hnu.edu FINALE GEWINNMITTEILUNG Beigefügt ist die Originalkopie der preisgekrönte Anzeigeschreiben.

43 Kaderali 25.01.2016 43 Spams SPAMs Beispiele (2): r James Gilliard gilliard.j@hotmail.comgilliard.j@hotmail.com Hallo Einer meiner Mandanten verstarb vor zwei Jahren Er hinterließ ein Vermögen in Wert von $18.515.000 r UPS Tracking Support faath@unidata-online.defaath@unidata-online.de UPS, Tracking Number: 4896F3859466 http://www.ups.com/img/de/email_header_blue.gif Wichtige Zustellinformationen

44 Kaderali 25.01.2016 44 Spams SPAMs Beispiele (3): r JAMES ENTWISTLE drh@implemaq.com.brdrh@implemaq.com.br *****SPAM***** PRIVATE AND VERY URGENT US AMBASSADOR TO NIGERIA I WANT TO INFORM YOU THAT YOUR UNSETTLE PAYMENT OF $6.4MILLION UNITED STATE DOLLAR r Federal Bureau of Investigation # Spam # Links und sonstige Funktionen wurden in dieser Nachricht deaktiviert. We bring to your notice that your Email address has been in our database of scammed victims.

45 Kaderali 25.01.2016 45 Spams Einige Tipps zur Vermeidung von Spams 1 : r Autoresponder möglichst nicht anwenden r Auf Werbemails nicht antworten r Keine Links in Werbemails anklicken r Spamschutz einschalten (Dienstanbieter, Virenschutz) r Filter im Mailprogramm einrichten 1 https://www.bsi-fuer- buerger.de/BSIFB/DE/GefahrenImNetz/Spam/Schutzmassnahmen/sc hutzmassnahmen_node.html

46 Kaderali 25.01.2016 46 Sicherheit im Informationsalltag (Inhalt I) r Passwörter, PINs und TANs r Phishing r Spams  Cookies r Malware r Cloudcomputing r Verschlüsselung

47 Kaderali 25.01.2016 47 Cookies Ein Cookie 1 (Keks oder Plätzchen) ist eine Textdatei die von einer besuchten WEB-Seite über den Browser beim Surfen im Internet im Rechner des Surfers angelegt wird. Sie enthält im Wesentlichen Daten über die besuchten WEB-Seiten, getätigten Bestellungen usw. 1 http://de.wikipedia.org/wiki/Cookie

48 Kaderali 25.01.2016 48 Cookies Einerseits sind Cookies nützlich für den Anwender, da er beim Wiederbesuch der WEB-Seite erkannt wird und bereits eingegebene Daten (Name, Anschrift, Kontonummer etc.) nicht erneut einzugeben braucht. Andrerseits können über Cookies sehr detaillierte persönliche Profile erstellt werden. Diese werden meist aber nicht nur für Werbezwecke genützt.

49 Kaderali 25.01.2016 49 Cookies Cookies dürfen nur von der WEB-Seite gelesen werden, die sie angelegt hat. Im Gegensatz zu Trojaner werden Cookies nicht versteckt sondern für den Nutzer einsehbar und löschbar.

50 Kaderali 25.01.2016 50 Cookies Es gibt Session Cookies, die meist gelöscht werden wenn man den Browser schließt und Dauer Cookies, die für unbestimmte Dauer auf dem Rechner des Anwenders bleiben. Cookies sollten gelegentlich manuell gelöscht werden.

51 Kaderali 25.01.2016 51 Cookies Man kann über den Browser einstellen, ob man generell Cookies erlaubt oder nicht. Bei manchen Anwendungen (z.B. Banken, Vereine, Soziale Gruppen usw.) ist es zwingend Cookies zu gestatten. Man kann über den Browser einstellen, von welchen Seiten Cookies angelegt werden dürfen.

52 Kaderali 25.01.2016 52 Cookies Allerdings sind Cookies harmlos insofern als sie keine ausführbaren Programme sind und deshalb keine aktiven Funktionen ausüben 1. 1 https://www.bsi-fuer- buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/DerBrow ser/GefahrenRisiken/Cookies/cookies_node.html

53 Kaderali 25.01.2016 53 Cookies Cookies werden zwar auf Ihrem Rechner abgelegt, sie zu finden ist jedoch schwierig, da sie in versteckten Dateien abgelegt werden. Man muss also zunächst versteckte Dateien sichtbar machen.

54 Kaderali 25.01.2016 54 Cookies Man kann auch direkt die versteckte Datei angeben. Bei Windows 8 lautet diese: C:\Users\Kaderali\AppData\Local\Microsoft\Windows\ INetCookies\Low.

55 Kaderali 25.01.2016 55 Cookies Beispiel 1 Cookies: csm-hit s- 1H6CHJBF2MX3ZGCA06CQ|1411676922018 www.amazon.de/ 1088 1720753408 30400127 1274823749 30398719 * www.amazon.de/ optimizelySegments %7B%22188132953%22%3A%22direct%22%2C%2218 9931954%22%3A%22false%22%2C%22189931955%2 2%3A%22ie%22%2C%22189977163%22%3A%22none %22%2C%22567540727%22%3A%22true%22%7D

56 Kaderali 25.01.2016 56 Cookies Beispiel 2 Cookies: ki_t 1418734360719%3B1420395819281%3B1420395821 360%3B2%3B3 www.holidaycheck.de/www.holidaycheck.de/ 1600 386724992 30786348 2432341663 30419019 * ki_r www.holidaycheck.de 1600 386724992 30786348 2433122921 30419019 *www.holidaycheck.de _pk_id.{145.e84c 9ed3e31968419cd8.1418734361.1.1418734362.14187 34361.

57 Kaderali 25.01.2016 57 Cookies Beispiel 2 Cookies (Fortsetzung): www.holidaycheck.de/www.holidaycheck.de/ 1600 519713408 30562002 771293584 30415151 * hcheck_de_session 2 www.holidaycheck.de/ 1600 3158728192 30419023 2342028130 30419019 *www.holidaycheck.de/ tfm_rsi_segs reset www.holidaycheck.de/ 1600 3710691840 30421835 2342496970 30419019 *www.holidaycheck.de/ POPUPCHECK 1420482214312 www.holidaycheck.de/ 1600 3070170880 30419220 2361715855 30419019 * www.holidaycheck.de/

58 Kaderali 25.01.2016 58 Cookies Beispiel 2 Cookies (Fortsetzung 2): _pk_id.145.e84c de1a6c0982facfcf.1420395820.1.1420395822.142039 5820. www.holidaycheck.de/www.holidaycheck.de/ 1600 2186212480 30565870 2437029218 30419019 * _pk_ses.145.e84c * www.holidaycheck.de/www.holidaycheck.de/ 1600 3248728192 30419023 2437029218 30419019 * yp_rec www.holidaycheck.de/ 1600 3093630080 30419020 2588593480 30419019 *www.holidaycheck.de/

59 Kaderali 25.01.2016 59 Cookies Beispiel 3 Cookies : fewo-direkt.de/ 1600 1092024192 31136773 2306566858 30402518 * optimizelyEndUserId oeu1413308683272r0.2759210696317552 fewo-direkt.de/ 1600 1092024192 31136773 2306723102 30402518 * optimizelyBuckets %7B%7D fewo-direkt.de/ 1600 1092024192 31136773 2306723102 30402518 * optimizelyPendingLogEvents %5B%5D

60 Kaderali 25.01.2016 60 Cookies Beispiel 3 Cookies (Fortsetzung): __utmz 212501891.1413308685.1.1.utmcsr=(direct)|utmccn=(dir ect)|utmcmd=(none) fewo-direkt.de/ 1600 1189610624 30439231 2328505392 30402518 * __utmept marketing fewo-direkt.de/ 1600 3144079488 30402522 2328349134 30402518 * __utmep buchungsprozess fewo-direkt.de/ 1600 3144079488 30402522 2328349134 30402518 *

61 Kaderali 25.01.2016 61 Cookies Beispiel 3 Cookies (Fortsetzung 2): __utmv 212501891.|6=Visitor%20Type=traveller=1 fewo-direkt.de/ 1600 2081563776 30549369 2328505392 30402518 *fewo-direkt.de/ 1600 2453948672 30402518 2310983778 30402518 * _ga GA1.2.1269201438.1413308685 fewo-direkt.de/ 1600 2081563776 30549369 2327099396 30402518 * _gat 1 fewo-direkt.de/ 1600 4028981376 30402519 2328036671 30402518 *

62 Kaderali 25.01.2016 62 Cookies Beispiel 3 Cookies (Fortsetzung 3): __utma 212501891.1269201438.1413308685.1413308685.1413 308685.1 fewo-direkt.de/ 1600 2081563776 30549369 2328974161 30402518 * __utmb 212501891.1.10.1413308685 fewo-direkt.de/ 1600 3144079488 30402522 2328974161 30402518 *

63 Kaderali 25.01.2016 63 Sicherheit im Informationsalltag Inhalt (I) r Passwörter, PINs und TANs r Phishing r Spams r Cookies  Malware r Cloudcomputing r Verschlüsselung

64 Kaderali 25.01.2016 64 Malware Schadprogramme auch Malware 1 genannt sind Computerprogramme die auf einem Computer nicht erwünschte und gar schädliche Funktionen ausführen. Die Programm­­ausführung ist getarnt und läuft meist unbemerkt im Hintergrund. 1 http://de.wikipedia.org/wiki/Schadprogramm http://de.wikipedia.org/wiki/Schadprogramm

65 Kaderali 25.01.2016 65 Malware Zu Malware gehören unter anderem r Viren, r Würmer, r Trojaner, r Back door, r Spyware, r Adware und r Dailer.

66 Kaderali 25.01.2016 66 Malware Viren sind Schadprogramme die sich selbständig verbreiten in dem sie Kopien von sich selbst in Programme, Dokumente oder Datenträger schreiben. Die Kopien tun das gleiche. Die Malfunktionen, die sie ausüben können vielfältig sein.

67 Kaderali 25.01.2016 67 Malware Würmer sind ähnlich wie Viren jedoch sie verbreiten sich direkt über Netze oder andere Medien (z.B. USB Stick).

68 Kaderali 25.01.2016 68 Malware Trojaner sind Schadprogramme, die sich meist in nützliche Wirtsprogramme einbetten und Malfunktionen ausführen. Sie verbreiten sich durch Installation des infizierten Wirtsprogramms. Sie werden auch verwendet um weitere Malware zu verbreiten.

69 Kaderali 25.01.2016 69 Malware Ein Back Door (Hintertür) ist eine versteckte Softwarefunktion, die es ermöglicht die Authentifikation, Virenschutz und ähnliche Kontrollmaßnahmen zu umgehen um auf Soft- oder Hardware zuzugreifen. Solche Zugriffsrechte ermöglichen es Daten zu sammeln und weiter zu versenden oder Malware zu verbreiten.

70 Kaderali 25.01.2016 70 Malware Spyware sind Schadprogramme die ohne Zustimmung und ohne Wissen des Anwenders dessen persönliche Daten (vor allem Daten über sein Verhalten) sammeln und versenden.

71 Kaderali 25.01.2016 71 Malware Adware sind Schadprogramme die Werbung verbreiten (Ad = Advertisement).

72 Kaderali 25.01.2016 72 Malware Dialer sind Schadprogramme, die automatisch Wählverbindungen herstellen.

73 Kaderali 25.01.2016 73 Malware Folgendes Bild zeigt die Verbreitung von Malware Das Bild stammt von http://de.wikipedia.org/wiki/Schadprogrammhttp://de.wikipedia.org/wiki/Schadprogramm

74 Kaderali 25.01.2016 74 Malware Das BSI empfiehlt 1 bei Microsoft Betriebssystemen dringend ein Viren­schutz­ Programm zu verwenden, bei Linux und Mac ist das nicht erforderlich. Für den privaten Nutzer sind in der Regel kostenfreie Antivirusprogramme ausreichend. 1 https://www.bsi-fuer- buerger.de/BSIFB/DE/MeinPC/Schutzprogramme/Virenschutzprogra mme/virenschutzprogramme_node.html

75 Kaderali 25.01.2016 75 Malware Das BSI empfiehlt 1 bei Microsoft Betriebssystemen dringend ein Viren­schutz­ Programm zu verwenden, bei Linux und Mac ist das nicht erforderlich. Für den privaten Nutzer sind in der Regel kostenfreie Antivirusprogramme ausreichend. 1 https://www.bsi-fuer- buerger.de/BSIFB/DE/MeinPC/Schutzprogramme/Virenschutzprogra mme/virenschutzprogramme_node.html

76 Kaderali 25.01.2016 76 Malware Das BSI empfiehlt 1 bei Microsoft Betriebssystemen dringend ein Viren­schutz­ Programm zu verwenden, bei Linux und Mac ist das nicht erforderlich. Für den privaten Nutzer sind in der Regel kostenfreie Antivirusprogramme ausreichend. 1 https://www.bsi-fuer- buerger.de/BSIFB/DE/MeinPC/Schutzprogramme/Virenschutzprogra mme/virenschutzprogramme_node.html

77 Kaderali 25.01.2016 77 Malware Beispiele für kostenlose Antivirusprogramme sind: r Avira Free Antivirus (http://free-av.de)http://free-av.de r avast! Free Antivirus (https://www.avast.com/de-de/free-antivirus- download). Eine verhaltensbasierte Erkennung von Schadsoftware ist in dieser Lösung bereits integrierthttps://www.avast.com/de-de/free-antivirus- download r AVG Anti-Virus Free (http://free.avg.com/de- de/startseite)http://free.avg.com/de- de/startseite

78 Kaderali 25.01.2016 78 Malware Ich selbst verwende Sophos, das von der FernUniversität (wie auch von vielen anderen Universitäten) für ihre Studenten und Mitarbeiter kostenlos zur Verfügung gestellt wird. Man kann sie automatisch auf dem aktuellen Stand halten.

79 Kaderali 25.01.2016 79 Malware Virenscanprogramme suchen nach Signaturen (Fingerprints) von Schadprogrammen und ermöglichen es, sie zu isolieren und zu entfernen. Antivirussoftware sollte deshalb stets auf aktuellem Stand gehalten werden! Man sollte die Autoprotect Funktion einschalten – damit wird bei jedem Start das Programm aufgerufen und läuft im Hintergrund durch. Die Online Scan Funktion Überwacht den Rechner in Echtzeit.

80 Kaderali 25.01.2016 80 Sicherheit im Informationsalltag (Inhalt I) r Passwörter, PINs und TANs r Phishing r Spams r Cookies r Malware  Cloudcomputing r Verschlüsselung

81 Kaderali 25.01.2016 81 Cloud Computing Unter Cloud Computing versteht man ein dynamisches, Bedarfsorientiertes überall und jederzeit verfügbares Angebot an IT-Leistungen über das Netz. Das Angebot umfasst Rechenleistung, Speicherplatz, diverse IT- Dienste einschließlich Anwendungs­programme. Abgerechnet wird nach tatsächlicher Nutzung.

82 Kaderali 25.01.2016 82 Cloud Computing Nach NIST (US National Institute of Standards and Technology) weisen Cloud Dienste folgende fünf Merkmale auf 1 : r Bedarfsorientierte Selbstbedienung r Verfügbar über standardisierte Netzschnittstellen r Ressourcenteilung r Schnell und flexibel automatisch konfigurierbar r Ressourcennutzung wird überwacht und gemessen. Abrechnung nach tatsächlicher Nutzung. 1 Peter Mell Timothy Grance, NIST Special Publication 800-145: The NIST Definition of Cloud Computing

83 Kaderali 25.01.2016 83 Cloud Computing Für den Anwender haben Cloud Dienste den Vorteil, dass er keine Ressourcen vorhalten muss sondern flexibel bei Bedarf unbegrenzt auf sie zugreifen kann.

84 Kaderali 25.01.2016 84 Cloud Computing Dafür treten zahlreiche sicherheitsrelevante Nachteile ein 1 : r Zugang zu Cloud Dienste ist über Endgeräte und Netze – beide können ein Risiko darstellen r Man vertraut private Daten einem Dritten zur Auf- bewahrung. Es können Probleme bei der Datensicherung (z.B. Klau durch Mitarbeiter), der Datenlöschung (es werden mehrere Kopien an verschiedenen Orten gespeichert!) und der Datenverschlüsselung (sowohl auf den Übermittlungsstrecken als auch bei der Speicherung) kommen. 1 https://www.bsi-fuer- buerger.de/BSIFB/DE/SicherheitImNetz/CloudComputing/GefahrenRisiken/gefahren risiken_node.html;jsessionid=B5BA549084F3137B569C82C32D922A6B.2_cid369

85 Kaderali 25.01.2016 85 Cloud Computing Weitere sicherheitsrelevante Nachteile : r Es können Probleme bei Datenbackups und Datenverlust geben. r Meist hat der Anwender keinen Überblick wo sich die Daten befinden. Im Ausland? r Was ist, wenn Dienstanbieter Insolvenz anmeldet?

86 Kaderali 25.01.2016 86 Cloud Computing Fazit: Cloud Dienste sind mit erheblichen Risiken verbunden und sollten von Privatnutzern nicht verwendet werden.

87 Kaderali 25.01.2016 87 Sicherheit im Informationsalltag (Inhalt II) r Passwörter, PINs und TANs r Phishing r Spams r Cookies r Malware r Cloudcomputing  Verschlüsselung

88 Kaderali 25.01.2016 88 Verschlüsselung Verschlüsselungsverfahren 1 werden eingesetzt um die Vertraulichkeit von Nachrichten im Netz zu gewährleisten. Sie können aber darüber hinaus auch eingesetzt werden um die Integrität der Nachrichten und deren Authentizität zu überprüfen. 1 http://de.wikipedia.org/wiki/Verschl%C3%BCsselungsverfahren http://de.wikipedia.org/wiki/Verschl%C3%BCsselungsverfahren

89 Kaderali 25.01.2016 89 Verschlüsselung Symmetrische Verschlüsselungsverfahren 1 funktionieren wie folgt: Die Nachricht m (eine Folge von Symbolen) wird vom Sender mit einem Schlüssel k (auch eine Folge von Symbolen) mathematisch verknüpft, um eine verschlüsselte Nachricht c zu ergeben. Die mathematische Verknüpfung E hat die Eigenschaft, dass die verschlüsselte Nachricht c sinnlos und willkürlich erscheint und ohne Kenntnis des Schlüssels k die ursprüngliche Nachricht daraus nicht zu entziffern ist. Man kann daraus auch den Schlüssel k nicht ableiten. 1 http://de.wikipedia.org/wiki/Symmetrisches_Kryptosystem http://de.wikipedia.org/wiki/Symmetrisches_Kryptosystem

90 Kaderali 25.01.2016 90 Verschlüsselung

91 Kaderali 25.01.2016 91 Verschlüsselung Symmetrische Verschlüsselungsverfahren 1 funktionieren wie folgt (Fortsetzung): Hat der Empfänger den (gleichen) Schlüssel k, kann er die Verknüpfung erneut durchführen, um die ursprüngliche Nachricht wieder zu erhalten. Das Problem bei diesem Verfahren ist, dass man einen sicheren Weg finden muss um den Schlüssel k vom Sender zum Empfänger zu bringen. In der Praxis werden deshalb Asymmetrische Verfahren verwendet, um den Schlüssel zu übertragen.

92 Kaderali 25.01.2016 92 Verschlüsselung

93 Kaderali 25.01.2016 93 Verschlüsselung Bei asymmetrischen Verschlüsselungsverfahren 1 werden zwei aufeinander abgestimmte Schlüssel erstellt. Der Schlüssel k e wird privater Schlüssel des Senders genannt und wird zur Verschlüsselung der Nachricht m verwendet und ist nur dem Sender der Nachricht bekannt und wird geheim gehalten. Der Schlüssel k d wird öffentlicher Schlüssel genannt und wird in öffentlichen Verzeichnissen als der öffentliche authentifizierte Schlüssel des Senders bekanntgegeben. Damit ist er jedem zugänglich. 1 http://de.wikipedia.org/wiki/Asymmetrisches_Kryptosystem http://de.wikipedia.org/wiki/Asymmetrisches_Kryptosystem

94 Kaderali 25.01.2016 94 Verschlüsselung

95 Kaderali 25.01.2016 95 Verschlüsselung Die mathematische Verknüpfung E hat die Eigenschaft, dass die verschlüsselte Nachricht c sinnlos erscheint und daraus weder die Nachricht m noch der Schlüssel k e abgeleitet werden kann. Die mathematische Verknüpfung D hat die Eigenschaft, dass sie aus der Verschlüsselten Nachricht c wieder die ursprüngliche Nachricht m ableitet, dabei bleibt der Schlüssel k e geheim.

96 Kaderali 25.01.2016 96 Verschlüsselung

97 Kaderali 25.01.2016 97 Verschlüsselung Das Verfahren hat die Eigenschaft, dass man damit eine Nachricht Verschlüsseln kann (Vertraulichkeit) aber auch, dass die ursprüngliche Nachricht nicht verändert werden kann (Integrität). Man kann es außerdem verwenden, um die Authentizität des Senders zu überprüfen. Hierzu legt man dem Sender eine Nachricht zur Verschlüsselung vor. Kann man aus der verschlüsselten Nachricht nun mit dem öffentlichen Schlüssel und der Verknüpfung D die ursprüngliche Nachricht wieder herstellen, so bedeutet dies, dass der Sender den privaten Schlüssel k e kennt. Damit ist er eindeutig identifiziert, denn nur er kennt diesen.

98 Kaderali 25.01.2016 98 Verschlüsselung Die verwendeten mathematischen Verknüpfungen D und E charakterisieren die jeweiligen Verschlüsselungs- verfahren. Auch die Erzeugung der Schlüssel muss sorgfältig vorgenommen werden, denn es gibt starke und schwache Schlüssel. Wird die Verschlüsselung Bitweise oder Byteweise vorgenommen (Stromchiffre) ist sie schnell. Wird sie Blockweise vorgenommen (Blockchiffre) können erhebliche Verzögerungen entstehen.

99 Kaderali 25.01.2016 99 Verschlüsselung Symmetrische Verfahren sind gewöhnlich sehr schnell, asymmetrische Verfahren dagegen meist rechenintensiv und deshalb recht langsam. Deswegen werden oft hybride Verfahren verwendet bei dem ein asymmetrisches Verfahren zur gesicherten Schlüssel- übertragung verwendet wird mit dem dann die Nachricht symmetrisch verschlüsselt wird.

100 Kaderali 25.01.2016 100 Verschlüsselung Das bekannteste symmetrische Blockchiffreverfahren ist das DES-Verfahren (Data Encryption Standard) 1. Mit einer Blockgröße von 64 Bit und einer Schlüssellänge von 56 Bit wird er inzwischen als unsicher betrachtet. Eine Variante bei der er dreimal angewendet wird (tripple DES) wird als sicherer angesehen und heute noch verwendet. 1 http://de.wikipedia.org/wiki/Data_Encryption_Standard

101 Kaderali 25.01.2016 101 Verschlüsselung Das bekannteste asymmetrische Verfahren ist das RSA- Verfahren 1 benannt nach Rivest, Shamir und Adleman, die das Verfahren bei MIT entwickelten und 1977 veröffentlichten. Es gab viele Angriffe gegen das RSA- Verfahren und es wurde immer weiter verbessert und häufig gemeinsam mit anderen Verfahren eingesetzt. In einer solchen Kombination wird es meist als sicher betrachtet. 1 http://de.wikipedia.org/wiki/RSA-Kryptosystem http://de.wikipedia.org/wiki/RSA-Kryptosystem

102 Kaderali 25.01.2016 102 Verschlüsselung Solche kombinierten Verfahren werden in vielen Anwendungen eingesetzt so z.B. bei E-Mails (PGP, S/MIME), diversen Kryptoprotokollen (SSH, SSL) als auch in der Browser-Server-Kommunikation (HTTPS). Ende 2013 wurde dann bekannt, dass NSA (National Security Agency der USA) einen Vertrag mit der Firma RSA abgeschlossen hat, Hintertürchen (Back doors) in RSA Produkte einzubauen 1. 1 http://www.reuters.com/article/2013/12/20/us-usa-security-rsa- idUSBRE9BJ1C220131220

103 Kaderali 25.01.2016 103 Verschlüsselung Das Dilemma bei der Verschlüsselung ist: Man kann einen hohen Aufwand betreiben um ein Kryptosystem sicher zu machen, man muss aber auch damit rechnen, dass ein Angreifer ebenso einen sehr hohen Aufwand betreiben könnte, um das System zu brechen.

104 Kaderali 25.01.2016 104 Verschlüsselung Ein gravierender Schwachpunkt der Verschlüsselung liegt in der Implementierung. Das mathematische Verfahren kann sehr sicher gemacht werden, es gibt aber keine Sicherheit, dass in der Implementierung nicht betrogen wird, denn Software nach Sicherheit zu überprüfen gestaltet sich schwierig. Hinzukommt, dass menschliche Schwächen ausgenützt werden, um z.B. geheime Schlüssel zu kompromittieren.

105 Kaderali 25.01.2016 105 Verschlüsselung Fazit: Verschlüsselung ist unbequem, aufwendig, verlangsamt die Kommunikation und ist nicht absolut sicher. Sie wird deshalb ungern eingesetzt. Allerdings bietet sie eine gute Vertraulichkeit, denn sie kann nicht ohne das entsprechende Know-how gebrochen werden. Dokumente und Nachrichten sind somit durch eine Verschlüsselung in der Regel gut geschützt.

106 Kaderali 25.01.2016 106 Verschlüsselung Folgende Verfahren zur Verschlüsselung werden heute für verschiedene Anwendungen eingesetzt: r PGP (Pretty Good Privacy) r S/MIME (Secure / Multipurpose Internet Mail Extensions) r SSH (Secure Shell) r TLS (Transport Layer Security) früher SSL (Secret Socket Layer) r HTTPS (Hypertext Transport Protocol / Secure)

107 Kaderali 25.01.2016 107 Verschlüsselung PGP (Pretty Good Privacy) 1 PGP wird zur Verschlüsselung von E-Mails verwendet und kann eingesetzt werden um E-Mails vertraulich zu halten, ihre Integrität zu wahren und den Sender der E-Mail zu authentifizieren. 1 http://de.wikipedia.org/wiki/Pretty_Good_Privacy

108 Kaderali 25.01.2016 108 Verschlüsselung PGP wurde von Phil Zimmermann entwickelt und 1991 in der ersten Version gegen geltende US Gesetze weltweit als freie Software verfügbar gemacht. Heute wird PGP von der Firma Symantec in Kalifornien vertrieben und in einer eingeschränkten Version auch als Freeware Angeboten *. * http://www.pgpi.org/ http://www.pgpi.org/ http://cryptography.org/getpgp.htm http://de.wikipedia.org/wiki/GNU_Privacy_Guard

109 Kaderali 25.01.2016 109 Verschlüsselung Die Verschlüsslung bei PGP wird, um Rechenaufwand zu verringern (und somit die Geschwindigkeit des Verfahrens zu erhöhen), in zwei Schritten durchgeführt. Im ersten Schritt wird vom Sender ein symmetrischer Schlüssel erzeugt und mit einem Asymmetrischen Verfahren dem Empfänger der Nachricht übermittelt. Hierzu wird meist das RSA-Verfahren, heute zunehmend auch das auf diskreter Logarithmus basierendes Elgamal-Verfahren 1 verwendet. 1 http://de.wikipedia.org/wiki/Elgamal- Verschl%C3%BCsselungsverfahren

110 Kaderali 25.01.2016 110 Verschlüsselung RSA Verschlüsselung in zwei Schritten (Fortsetzung): Im zweiten Schritt wird dann die Nachricht mit einem symmetrischen Verfahren verschlüsselt übertragen. Für die symmetrische Verschlüsselung wurde zunächst das DES- Verfahren, dann das tripple DES und heute häufig das in Europa von James L. Massey entwickelte IDEA-Verfahren 1 oder ebenso in Europa von Joan Daemen und Vincent Rijmen entwickelte AES-Verfahren 2 verwendet.Joan DaemenVincent Rijmen 1 http://de.wikipedia.org/wiki/International_Data_Encryption_Algorithm 2 http://de.wikipedia.org/wiki/Advanced_Encryption_Standard

111 Kaderali 25.01.2016 111 Verschlüsselung S/MIME (Secure / Multipurpose Internet Mail Extensions) 1 S/MIME ist eine alternative zu PGP (insbesondere free PGP) und wird auch von vielen Betriebssystemen, Browser und Zertifizierungsstellen teilweise kostenlos unterstützt. Wie bei PGP handelt es sich um ein hybrides Verfahren (Kombination von symmetrischen und asymmetrischen Verschlüsselung). 1 http://de.wikipedia.org/wiki/S/MIME

112 Kaderali 25.01.2016 112 Verschlüsselung SSH (Secure Shell) 1 Secure Shell ist ein Verfahren zur Sicheren Kommunikation zwischen einem Rechner (Server) und einem Endgerät (Client). Er wurde von Tatu Ylönen entwickelt und 1995 als free ware angeboten. Ursprünglich handelte es sich um einen Satz von Kommandozeilen zur Fernsteuerung. Heute wird SSH von SSH Communications Security AG in Helsinki gepflegt, weiterentwickelt und kommerziell vertrieben.Tatu Ylönen 1 http://de.wikipedia.org/wiki/Secure_Shell

113 Kaderali 25.01.2016 113 Verschlüsselung TLS (Transport Layer Security) früher SSL (Secret Socket Layer) TLS/SSL ist ein hybrides Verschlüsselungsverfahren zur Datenübertragung im Internet und wird als Freeware 1 angeboten. Fast alle Browser setzen TLS in unterschiedlichen Varianten meist mit RSA und AES ein. Es wurde von Netscape entwickelt und 1994 zusammen mit HTTPS in ihrem Browser eingesetzt. 1 http://de.wikipedia.org/wiki/Transport_Layer_Security http://de.wikipedia.org/wiki/OpenSSL http://de.wikipedia.org/wiki/GnuTLS

114 Kaderali 25.01.2016 114 Verschlüsselung HTTPS (Hypertext Transport Protocol / Secure) 1 HTTPS ist ein Kommunikationsprotokoll im WWW (World Wide Web) um Daten sicher zu übertragen. Es wurde von Netscape entwickelt und 1994 zusammen mit SSL in ihrem Browser eingesetzt, Heute bieten alle Browser HTTPS mit verschiedenen hybriden Verfahren an. 1 http://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure

115 Kaderali 25.01.2016 115 Verschlüsselung Bei allen Anwendungen von HTTPS wird die Verbindung zur WEB-Seite automatisch verschlüsselt und im Adressfeld des Browsers angezeigt, dass die Verbindung verschlüsselt ist, woher die Seite stammt und von wem dies verifiziert wurde.

116 Kaderali 25.01.2016 116 Sicherheit im Informationsalltag (Inhalt II)  Bluetooth r Funknetze und Handys r Mobilfunk r Satellitennavigationssysteme r WLan

117 Kaderali 25.01.2016 117 Bluetooth Bluetooth ist ein Protokoll für die drahtlose Übertragung von Informationen über ein lokales Funknetz (WPAN - Wireless Personal Area Network) über eine kurze Distanz von maximal 10 Metern. Hauptanwendung von Bluetooth ist der Ersatz von Kabelverbindungen zwischen Geräten. Viele Geräte u.a. Handys, Tabletts, Drucker, Rechner verfügen über diese Schnittstelle. Vielen Anwendern ist dies nicht bewusst und Bluetooth ist im Hintergrund aktiv, wodurch eine ernste Sicherheitslücke entsteht.

118 Kaderali 25.01.2016 118 Bluetooth Es gibt zahlreiche Verhaltensregeln, um die Sicherheit von Bluetooth zu erhöhen siehe z.B. *. Hier die wichtigsten: r Bluetooth nur bei Bedarf einschalten und anschließend wieder abschalten r Verbindung möglichst nur in geschützter Umgebung aufbauen also z.B. nicht im Straßencafé, Kneipe etc. r Handy unsichtbar machen (Menu Einstellung). Bluetooth bleibt aktiv, Handy wird anderen nicht angezeigt. + + + * http://www.t-online.de/handy/smartphone/id_41666228/bluetooth- handy-vor-hacker-angriffen-sichern-.htmlhttp://www.t-online.de/handy/smartphone/id_41666228/bluetooth- handy-vor-hacker-angriffen-sichern-.html

119 Kaderali 25.01.2016 119 Bluetooth Verhaltensregeln, um die Sicherheit von Bluetooth zu erhöhen* (2): r Bluetooth ist beim Verbindungsaufbau am anfälligsten. Bekannte Geräte deshalb permanent abspeichern, damit nicht erneut Verbindungen aufgebaut werden müssen. Nur Verbindungen zu bekannten Geräten zulassen. r Wenn bei bereits bestehenden Verbindung wieder nach der Authentifizierung gefragt wird, versucht wahrscheinlich ein zweites Gerät eine Verbindung aufzubauen. Verbindung abbrechen!

120 Kaderali 25.01.2016 120 Bluetooth Verhaltensregeln, um die Sicherheit von Bluetooth zu erhöhen* (3): r Bluetooth baut häufig automatisch eigenständig Verbindungen auf. Immer mal nachschauen (Menu Einstellung) mit welchen Geräte Verbindungen aufgebaut werden. Unbekannte Geräte löschen! * http://www.t-online.de/handy/smartphone/id_41666228/bluetooth- handy-vor-hacker-angriffen-sichern-.htmlhttp://www.t-online.de/handy/smartphone/id_41666228/bluetooth- handy-vor-hacker-angriffen-sichern-.html

121 Kaderali 25.01.2016 121 Sicherheit im Informationsalltag (Inhalt II) r Bluetooth  Funknetze und Handys r Mobilfunk r Satellitennavigationssysteme r WLan

122 Kaderali 25.01.2016 122 Funknetze und Handys Funknetze sind Netze in denen Informationen über elektromagnetische Wellen übertragen werden. Es handelt sich also um drahtlose Systeme. Beispiele von Funknetzen sind: r Bluetooth, r WLan, r Mobilfunk (GSM, UMTS), r Satellitennavigationssysteme (GPS, Galileo).

123 Kaderali 25.01.2016 123 Funknetze und Handys Funk Netze sind besonders gefährdet, da die elektromagnetischen Wellen auch von Unberechtigten empfangen werden können. Deshalb empfiehlt es sich die Informationen zu verschlüsseln.

124 Kaderali 25.01.2016 124 Funknetze und Handys Eine weitere Schwachstelle von Funknetzen sind die Endgeräte (Handys, Smartphones etc.), da diese mobil sind und leicht entwendet werden können. Laut einer Studie der Firma Lookout* verliert jeder deutsche alle drei Jahre sein Handy! * https://www.lookout.com/de/news-mobile-security/lookout- lost-phones-30-billion1 https://www.lookout.com/de/news-mobile-security/lookout- lost-phones-30-billion1

125 Kaderali 25.01.2016 125 Funknetze und Handys Es gibt viele Tipps zum sicheren Umgang mit seinem Handy. Hier die wichtigsten* : r Kein Rückruf an unbekannte Nummern oder Mehrwertdiensten. r Keine vertraulichen Gespräche übers Handy – sie können abgehört werden! r Bei Installation von Apps nur seriöse Anbieter und Überprüfung auf welcher Daten zugegriffen wird. * https://www.bsi-fuer-buerger.de/BSIFB/DE/ Wissenswertes/Hilfreiches/Service/Broschueren/broschueren_node. html?gtp=4581966_list%253D2 https://www.bsi-fuer-buerger.de/BSIFB/DE/ Wissenswertes/Hilfreiches/Service/Broschueren/broschueren_node. html?gtp=4581966_list%253D2

126 Kaderali 25.01.2016 126 Funknetze und Handys Tipps zum sicheren Umgang mit seinem Handy* (2) : r Tastatursperre, Displaysperre verwenden und SIM / USIM Pin verwenden. Voreingestellt Passwörter ändern! r Drahtlose Schnittstellen (Bluetooth, WLAN) nur bei Bedarf aktivieren und wieder abschalten. r Bei öffentlichen Hotspots Zugang über gesicherte Verbindung (SSL, Https, VPN) und keine sensitive Anwendungen (z.B. Online Banking) * https://www.bsi-fuer-buerger.de/BSIFB/DE/ Wissenswertes/Hilfreiches/Service/Broschueren/broschueren_node. html?gtp=4581966_list%253D2https://www.bsi-fuer-buerger.de/BSIFB/DE/ Wissenswertes/Hilfreiches/Service/Broschueren/broschueren_node. html?gtp=4581966_list%253D2

127 Kaderali 25.01.2016 127 Funknetze und Handys Tipps zum sicheren Umgang mit seinem Handy* (3) : r Regelmäßige Sicherheitsupdates, keine SW von unbekannten Anbietern, nur vertrauenswürdige Quellen. r Bei Rückgabe / Aufgabe von Handy alle Daten löschen, SIM Karte entnehmen ggf. vernichten. * https://www.bsi-fuer-buerger.de/BSIFB/DE/ Wissenswertes/Hilfreiches/Service/Broschueren/broschueren_nod e.html?gtp=4581966_list%253D2 https://www.bsi-fuer-buerger.de/BSIFB/DE/ Wissenswertes/Hilfreiches/Service/Broschueren/broschueren_nod e.html?gtp=4581966_list%253D2

128 Kaderali 25.01.2016 128 Funknetze und Handys Gespräche über Handys verschlüsseln ist meist benutzerunfreundlich, oft teuer und hilft nicht wirklich – denn man kann nie sicher sein, dass die Verschlüsselungssoftware keine Hintertürchen enthält oder Professionelle die Verschlüsselung nicht bereits geknackt haben!

129 Kaderali 25.01.2016 129 Funknetze und Handys Der Bedarf Handys zu Orten oder gar zu verfolgen ist groß. Dies belegen die entsprechenden vielfältigen Angebote im Netz.

130 Kaderali 25.01.2016 130 Funknetze und Handys Anbieter von Ortungsdienste stammen aus folgenden drei Bereichen: r Netzanbieter (wie Telekom, Vodafone, O 2 usw.) r Gerätehersteller oder Betriebssystemanbieter (wie Sony, Apple, Android, Microsoft, etc.) und r Sicherheit und Software Anbieter (wie Norton, F- Secure, Lookout, Prey, Avast usw.)

131 Kaderali 25.01.2016 131 Funknetze und Handys Typische Anwendungen sind: r Eigenes verlegtes oder gestohlenes Handy zu orten und weitere Maßnahmen einzuleiten r Seine Kinder, Ehepartner, Bekannte usw. zu überwachen r Mitarbeiter im Außendienst zu orten r Einsatzfahrzeuge z.B. von Transportunternehmen zu verfolgen r Kriminelle zu verfolgen … usw. Allerdings ein Handy zu orten ohne das Einverständnis des Inhabers

132 Kaderali 25.01.2016 132 Funknetze und Handys Das Orten eines Handys ohne die Zustimmung des Inhabers ist in Deutschland eine Straftat. Man darf dies lediglich bei den eigenen minderjährigen Kindern vornehmen Ob die Polizei oder andere staatliche Behörden ein gestohlenes Handy ohne weiteres orten dürfen ist zurzeit umstritten – in Ernstfällen (Gefahr im Verzug) sicher gestattet.

133 Kaderali 25.01.2016 133 Funknetze und Handys Grundsätzlich gibt es zwei Verfahren ein Handy zu orten: r über das Mobilfunknetz (GSM oder UMTS) oder r über das Navigationssystem (GPS oder künftig Galileo)

134 Kaderali 25.01.2016 134 Funknetze und Handys Jedes Gerät in einem Mobilfunknetz befindet sich stets in Kontakt mit dem Netz über Funkzellen. Damit ist seine Position grob bekannt. In Städten ist gewöhnlich der Umfang der Funkzellen klein, auf dem Land allerdings groß. Die Position kann also mal genau, mal ziemlich ungenau (einige Meter bis einige Kilometer) geortet werden.

135 Kaderali 25.01.2016 135 Funknetze und Handys Betreiben die Netzanbieter im Einzelfall mehr Aufwand, besteht die Möglichkeit ein Gerät genauer zu orten. Hier kommen Methoden zum Einsatz wie: über drei Funkzellen das Gerät orten, die Entfernung des Gerätes zu Funkmasten über Zeitverzögerungen zu bestimmen usw. Prinzipiell ist also die Ortung über Funknetze grob, im Einzelfall doch recht genau.

136 Kaderali 25.01.2016 136 Funknetze und Handys Jedes Gerät hat eine eindeutige Kennung – die IMEI (International Mobile Equipment Identity). Man erfährt diese von seinem Handy, wenn man * #06# eingibt. Es ist hilfreich, diese zu kennen, um beim Verlust das Handy schnell zu identifizieren.

137 Kaderali 25.01.2016 137 Funknetze und Handys Das Navigationssystem GPS ist recht genau. Über eine Verbindung zu 6 Satelliten kann das Endgerät seine Position auf 10 Meter genau bestimmen – bei Galileo auf 1 Meter genau. Nur Handys, die GPS Funktionalität unterstützen können eine Ortung durchführen – älter Geräte können dies also nicht. Smartphones haben diese Funktionalität, kennen dadurch ihre Position und nutzen entsprechend ortsgebundene Dienste. Zur externen Ortung braucht man also nur diese Information von dem Smartphone zu bekommen.

138 Kaderali 25.01.2016 138 Funknetze und Handys Eine Ortung über das Mobilfunknetz ist nur möglich, wenn das Handy eingeschaltet ist (eventuell im Power Down Modus) und Verbindung zum Mobilfunknetz hat. Entsprechend ist eine Ortung im Navigationssystem nur möglich, wenn das Gerät eingeschaltet ist (eventuell im Power Down Modus) und Verbindung zu einigen Satelliten hat. Außerdem ist eine Internetverbindung erforderlich, um nach der Positionsbestimmung die Daten zu übermitteln.

139 Kaderali 25.01.2016 139 Funknetze und Handys Es ist allerdings auch möglich, Funktionen in das Handy einzuschleusen, die es verhindern, dass das Handy faktisch abgeschaltet wird. Es bleibt unbemerkt verbunden mit GSM, GPS und dem Internet. Ferner gibt es die Möglichkeit stille SMS an das gestohlene Gerät zu senden, die nicht erkannt werden. Sie werden nicht angezeigt, geben keinen Tonhinweis, bewirken aber, das das Handy seine Daten einschließlich Standort zurücksendet.

140 Kaderali 25.01.2016 140 Funknetze und Handys Es gibt mehr als hundert kostenlose und kostenpflichtige Apps sein verlorenes Handy zu orten, Daten davon herunterzuladen, alle Daten zu löschen, Bilder zu schießen und zu übermitteln, die SIM Karte zu sperren usw. Eine pauschale Empfehlung von Apps ist nicht möglich da die Auswahl von vielen unterschiedlichen Faktoren abhängt.

141 Kaderali 25.01.2016 141 Funknetze und Handys Hier einige nützliche Links: https://www.handy-orten.biz/ https://www.avast.com/de-de/anti-theft https://antitheft.norton.com/ https://www.lookout.com/de/download https://preyproject.com/download http://beste-apps.chip.de/android/app/f-secure-anti- theft-android-app,cxo.54458825/

142 Kaderali 25.01.2016 142 Sicherheit im Informationsalltag (Inhalt II) r Bluetooth r Funknetze und Handys  Mobilfunk r Satellitennavigationssysteme r WLan

143 Kaderali 25.01.2016 143 Mobilfunknetze (GSM, UMTS) Mobilfunknetze der ersten Generation waren analog. In 1992 wurden in Deutschland die ersten digitalen Mobilfunksysteme nach dem GSM Standard (Global System for Mobile Communications früher Groupe Spécial Mobile) in Betrieb genommen und die ersten digitalen Handys kamen auf dem Markt. Der Standard wurde stets weiter entwickelt. Heute wird er in gut 200 Ländern eingesetzt und ist der meist verwendete Mobilfunkstandard weltweit*. * http://de.wikipedia.org/wiki/Global_System_for_Mobile_Communicati ons http://de.wikipedia.org/wiki/Global_System_for_Mobile_Communicati ons

144 Kaderali 25.01.2016 144 Mobilfunknetze (GSM, UMTS) In Deutschland ist seit 2004 Mobilfunk der dritten Generation nach dem UMTS (Universal Mobile Telecommunications Standard) verfügbar. Während in GSM Netzen eine Datenrate von 55 kbit/s bis maximal 220 kbit/s möglich ist, bietet UMTS eine Datenrate von 384 kbit/s bis maximal 42 Mbit/s*. Darüber hinaus bietet UMTS weitere Breitbanddienste und ein etwas höhere Datensicherheit. Beide Netze werden jedoch grundsätzlich als unzureichend sicher eingestuft**. * http://de.wikipedia.org/wiki/Universal_Mobile_Telecommunications_S ystem ** https://www.bsi.bund.de/DE/Publikationen/Broschueren/oefms/index _htm.html http://de.wikipedia.org/wiki/Universal_Mobile_Telecommunications_S ystem https://www.bsi.bund.de/DE/Publikationen/Broschueren/oefms/index _htm.html

145 Kaderali 25.01.2016 145 Mobilfunknetze (GSM, UMTS) Da beide Netze (GSM und UMTS) kompatibel sind und die Grundabläufe in beiden Netzen identisch sind, schauen wir uns im Folgenden nur das GSM Verfahren näher an.

146 Kaderali 25.01.2016 146 Mobilfunknetze (GSM, UMTS) Jeder Teilnehmer im Netz erhält eine Chipkarte (SIM – Subscreiber Identification Module) die in das Endgerät eingebaut wird mit einer eindeutigen Kennzeichnung (IMSI – International Mobile Subscriber Identity). Hierdurch wird der Teilnehmer gegenüber jedem GSM Mobilfunknetz eindeutig identifiziert. Das Netz erfährt auch, wo der Teilnehmer registriert ist (HLR - Home Location Register) und meldet dort, dass der Teilnehmer sich in seinem Bereich (VLR - Visitor Location Register) befindet. In dem HLR wird ständig Buch geführt, wo der Teilnehmer sich aktuell befindet.

147 Kaderali 25.01.2016 147 Mobilfunknetze (GSM, UMTS) Ruft nun jemand den Teilnehmer an, so wird zunächst über eine Signalisier Verbindung zum HLR festgestellt, wo der Teilnehmer sich befindet. Dann wird eine weitere Signalisier Verbindung zum VLR aufgebaut über die dem Anrufer mitgeteilt wird, ob der Teilnehmer verfügbar ist. Erst wenn dies der Fall ist, wird das Gespräch (Nutzkanal) durchgeschaltet.

148 Kaderali 25.01.2016 148 Mobilfunknetze (GSM, UMTS) Der Ablauf verdeutlicht, dass viele Daten über den Teilnehmer im Netz verfügbar sind und ein Missbrauch nicht immer ausgeschlossen werden kann. Auf der SIM-Karte befinden sich außerdem weitere Daten wie Telefonbuch, Notizbuch, SMS Speicher, Speicher der zuletzt angerufenen Nummern, Anrufe in Abwesenheit usw. Insbesondere kann der Aufenthaltsort des Teilnehmers und sein Bewegungsprofil erstellt werden, wenn man Zugriff auf die Speicher der Netzbetreiber hat.

149 Kaderali 25.01.2016 149 Mobilfunknetze (GSM, UMTS) Da UMTS kompatibel zu GSM ist und teilweise das GSM Netz mitverwendet, ist die erhöhte Sicherheit von UMTS nicht immer gewährleistet.

150 Kaderali 25.01.2016 150 Mobilfunknetze (GSM, UMTS) Im Laufe der letzten Jahre wurden zahlreiche Schwach- stellen des GSM Netzes aufgedeckt. Hierzugehören*: r In GSM Netzen wird eine Authentifizierung des Teilnehmers vorgenommen aber nicht des Netzes. Dies ermöglicht eine „Man in the Middle“ Attacke mit dem Einsatz eines IMSI-Catchers. Gespräche können dann abgehört werden. IMSI-Catchers werden in Zusammenhang mit Bekämpfung der Kriminalität und Terrorgefahr eingesetzt und sind frei käuflich. * http://www.bubla.info/informatik/files/krypto_gsm_umts_paper.pdf http://www.bubla.info/informatik/files/krypto_gsm_umts_paper.pdf * http://www.bubla.info/informatik/files/krypto_gsm_umts_paper.pdf http://www.bubla.info/informatik/files/krypto_gsm_umts_paper.pdf

151 Kaderali 25.01.2016 151 Mobilfunknetze (GSM, UMTS) Schwach-stellen des GSM Netzes (2)*: r Es ist möglich den Authentifizierungsschlüssel K i herauszufinden und eine SIM-Karte zu klonen r Es gibt mehrere erfolgreiche Angriffe auf die GSM Krypto Algorithmen A5/1 und A5/2. r Die Verschlüsselung der Daten erfolgt nur vom Mobilteil zur Basisstation, Verbindungen über Festnetz, Richtfunkverbindungen und die Vermittlungs-, Übertragungsanlagen erfolgen unverschlüsselt, sofern die verwendeten Systeme keine eigenen Verschlüsselungsalgorithmen verwenden. * http://www.bubla.info/informatik/files/krypto_gsm_umts_paper.pdf http://www.bubla.info/informatik/files/krypto_gsm_umts_paper.pdf * http://www.bubla.info/informatik/files/krypto_gsm_umts_paper.pdf http://www.bubla.info/informatik/files/krypto_gsm_umts_paper.pdf

152 Kaderali 25.01.2016 152 Mobilfunknetze (GSM, UMTS) In UMTS-Netzen wurden einige dieser Lücken beseitigt. So sind die Schlüssel länger und ein „Man in the Middle“ Attacke ist nicht möglich. Auch eine Ende zu Ende Verschlüsselung kann durchgeführt werden. Allerdings gibt es inzwischen Berichte darüber dass die UMTS- Verschlüsselung sowohl durch einen direkten Angriff* als auch über einen Angriff auf das Signalisier System Nr. 7** gebrochen werden kann * http://www.heise.de/security/meldung/Auch-UMTS-Verschluesselung- angeknackst-903458.html http://www.heise.de/security/meldung/Auch-UMTS-Verschluesselung- angeknackst-903458.html ** http://www.computerbild.de/artikel/cb-News-Sicherheit-Bericht- Gravierende-Sicherheitsluecken-im-UMTS-Netz-11233064.html http://www.computerbild.de/artikel/cb-News-Sicherheit-Bericht- Gravierende-Sicherheitsluecken-im-UMTS-Netz-11233064.html * http://www.bubla.info/informatik/files/krypto_gsm_umts_paper.pdf http://www.bubla.info/informatik/files/krypto_gsm_umts_paper.pdf

153 Kaderali 25.01.2016 153 Mobilfunknetze (GSM, UMTS) Das Fazit insgesamt lautet: Mobilfunknetze sind nicht sicher und man sollte weder vertrauliche Gespräche darüber führen noch vertrauliche Daten darüber austauschen, es sei denn man verschlüsselt Ende zu Ende selbst!

154 Kaderali 25.01.2016 154 Sicherheit im Informationsalltag (Inhalt II) r Bluetooth r Funknetze und Handys r Mobilfunk  Satellitennavigationssysteme r WLan

155 Kaderali 25.01.2016 155 Navigationssysteme GPS (Global Positioning System)* wurde von dem US Verteidigungsministerium in den 1970er Jahren entwickelt und ist seit Mitte der 1990er Jahre als Navigationssystem voll funktionsfähig. Seit Mitte des Jahres 2000 wurde es in voller Genauigkeit für zivile Anwendungen freigegeben. Es hat eine Genauigkeit von etwa 10 Metern, die durch spezielle Software auf bis zu einem Meter erhöht werden kann. * http://de.wikipedia.org/wiki/Global_Positioning_System http://de.wikipedia.org/wiki/Global_Positioning_System

156 Kaderali 25.01.2016 156 Navigationssysteme Das System basiert auf Satelliten, die ständig Ihre genaue aktuelle Position und die genaue Zeit ausstrahlen. Eine Verbindung mit vier Satelliten ist ausreichend damit der Empfänger seine Position, die Bewegungsrichtung und die Geschwindigkeit ausrechnen kann. Der Empfänger kombiniert diese Daten mit verfügbarem Kartenmaterial und stellt die Position, Geschwindigkeit usw. anschaulich dar.

157 Kaderali 25.01.2016 157 Navigationssysteme Damit ein Empfänger immer mindestens zu vier Satelliten Kontakt hat, werden 24 bis 30 Satelliten eingesetzt, die die Erde zwei Mal am Tag in einer Höhe von ca. 20.000 km umkreisen. Animation GPS: http://de.wikipedia.org/wiki/Datei:ConstellationGPS.gif

158 Kaderali 25.01.2016 158 Navigationssysteme Zurzeit wird von der Europäischen Union in Kooperation mit zahlreichen Ländern ein neues, sehr genaues (1 Meter)* Navigationssystem namens Galileo aufgebaut. Insgesamt sind 30 Satelliten vorgesehen. Nach Plan sollten in 2015 bereits 20 Satelliten im Betrieb sein - somit wäre das System voll funktionsfähig. Tatsächlich sind zurzeit (Ende 2015) zwölf Satelliten Verfügbar allerdings zwei davon nicht ganz auf der richtigen Bahn **. * http://www.dlr.de/next/desktopdefault.aspx/tabid-6804/11164_read- 25462/ http://www.dlr.de/next/desktopdefault.aspx/tabid-6804/11164_read- 25462/ ** http://www.heise.de/newsticker/meldung/Zwei-neue-Galileo- Satelliten-auf-dem-Weg-ins-All-3046408.html http://www.heise.de/newsticker/meldung/Zwei-neue-Galileo- Satelliten-auf-dem-Weg-ins-All-3046408.html

159 Kaderali 25.01.2016 159 Navigationssysteme Animation Galileo: http://de.wikipedia.org/wiki/Datei:Galileo_sat_constallation.gif

160 Kaderali 25.01.2016 160 Navigationssysteme Wie aus der Systembeschreibung hervorgeht, sind die Satelliten passiv, d.h. sie sammeln keine Daten. Die jeweilige Position der Empfänger wird beim Empfänger berechnet und ist den Satelliten nicht bekannt. Erst wenn die Empfänger aktiv sind und ihre errechnete Position, Geschwindigkeit etc. weiter geben (z.B. an eine Leitstelle zur Steuerung von Fahrzeugen) treten Datenschutz Fragen auf. Dies ist bei vielen Standortdiensten der Fall.

161 Kaderali 25.01.2016 161 Sicherheit im Informationsalltag (Inhalt II) r Bluetooth r Funknetze und Handys r Mobilfunk r Navigationssysteme  WLan

162 Kaderali 25.01.2016 162 WLAN WLAN (Wireless Local Area Networks)* auch WiFi (Wireless Fidelity) genannt sind drahtlose lokale Funknetze die meist nach einem Protokoll der IEEE- 802.11-Familie arbeiten. Sie haben eine größere Sendeleistung (also größere Reichweite) und größere Bandbreite (also höhere Datenübertragungsrate) als WPAN (Wireless Personal Area Network wie Bluetooth) und können durchaus eine größere Anzahl von Geräten verbinden. Üblicherweise arbeiten sie im GHz-Bereich und haben eine Übertragungsrate von einigen Mbit/s bis zu einigen Gbit/s. * http://de.wikipedia.org/wiki/Wireless_Local_Area_Network http://de.wikipedia.org/wiki/Wireless_Local_Area_Network

163 Kaderali 25.01.2016 163 WLAN WLANS werden auch als Zugang zum privaten oder öffentlichen Datennetzen (Accesspoint, Hotspot) verwendet. Internetanbieter stellen häufig ein WLAN als Zugang zu ihrem Netz zur Verfügung. Zahlreiche Geräte (Smartphones, Handys, Tabletts, Notebooks aber auch Drucker und Scanner) haben eingebaute WLAN Karten und können sich an der Kommunikation über diese Funknetze beteiligen. Da die Sicherheit von WLANS nicht sehr ausgeprägt ist, wird dringend empfohlen sowohl eine Authentifizierung als auch eine Verschlüsselung durchzuführen.

164 Kaderali 25.01.2016 164 WLAN Im Folgenden fassen wir zu einem Sicherheitshinweise zum Betrieb von einem eigenen privaten WLAN und zum andern Hinweise zum Verhalten in fremden WLANS zusammen*: r Ändern Sie das vom Hersteller eingestellte Name des WLANS und die voreingestellten Passwörter. Benutzen Sie einen Namen, der keinen Hinweis über Sie gibt. Löschen Sie das Login Banner (da hierdurch das Gerätemodell und Details des Gerätes bekannt gegeben werden). * https://www.bsi-fuer- buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/WLAN/Sicherheit stipps/sicherheitstipps_node.html https://www.bsi-fuer- buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/WLAN/Sicherheit stipps/sicherheitstipps_node.html

165 Kaderali 25.01.2016 165 WLAN Sicherheitshinweise für WLANS* (2) : r Gehen Sie vom Netz, wenn Sie den WLAN konfigurieren. Verwenden Sie den sicheren Modus https zum Konfigurieren. r Sie können ihr WLAN (SSID) verstecken. Es gibt allerdings Tools auch versteckte WLANS sichtbar zu machen! r Aktualisieren Sie die Gerätesoftware (automatische Aktualisierung empfohlen). * https://www.bsi-fuer- buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/WLAN/Sicherheit stipps/sicherheitstipps_node.html https://www.bsi-fuer- buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/WLAN/Sicherheit stipps/sicherheitstipps_node.html

166 Kaderali 25.01.2016 166 WLAN Sicherheitshinweise für WLANS* (3) : r Sie können den MAC Filter einrichten. Dann werden nur eingetragene Geräte zugelassen. r Deaktivieren Sie nicht benötigte Funktionen z.B. Fernzugang für Einstellungen. r Verwenden Sie eine gute Verschlüsselung z.B. WPA2. WEP und WPA ist nicht ausreichend! PIN mindestens 20 Zeichen! * https://www.bsi-fuer- buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/WLAN/Sicherheit stipps/sicherheitstipps_node.html https://www.bsi-fuer- buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/WLAN/Sicherheit stipps/sicherheitstipps_node.html

167 Kaderali 25.01.2016 167 WLAN Sicherheitshinweise für WLANS* (4) : r Deaktivieren Sie das WPS PIN Verfahren. Es ist unsicher! r Öffentliche Hotspots verwenden meist keine Verschlüsselung – die Luftschnittstelle ist dann ab hörbar. Dies gilt häufig auch für viele fremde WLANS (z.B. in Hotels). Deshalb keine vertrauliche Informationen über fremde WLANS versenden. Wenn doch, dann eigene Verschlüsselung verwenden (z.B. SSL, Https oder VPN). * https://www.bsi-fuer- buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/WLAN/Sicherhei tstipps/sicherheitstipps_node.html https://www.bsi-fuer- buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/WLAN/Sicherhei tstipps/sicherheitstipps_node.html

168 Kaderali 25.01.2016 168 WLAN Sicherheitshinweise für WLANS* (5) : r Datei- und Verzeichnisfreigabe deaktivieren damit diese von Dritten nicht eingesehen werden können. r Deaktivieren Sie die automatische Anmeldung an bekannten Hotspots. Diese können verfälscht sein (d.h. einen falschen Namen tragen!). * https://www.bsi-fuer- buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/WLAN/Sicherhei tstipps/sicherheitstipps_node.html https://www.bsi-fuer- buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/WLAN/Sicherhei tstipps/sicherheitstipps_node.html

169 Kaderali 25.01.2016 169 Sicherheit im Informationsalltag Vielen Dank für Ihre Aufmerksamkeit! Fragen?