(confidential: vertraulich) ECDL M8 (confidential: vertraulich) IT - Security

HACKING unberechtigtes Eindringen in Computersysteme und Netzwerke Schwachstellen in Computersystemen werden gesucht Versuche von Technik-Freaks, über das Internet auf PCs zuzugreifen teils als reine Herausforderung, aus Spaß an der Technik…

ETHISCHES HACKING ohne kriminelle Absicht auch ohne kriminelle Mittel Ziel, Schwachstellen in Netz- werken aufzuzeigen oft im Auftrag von Firmen, die ihr Netzwerk überprüfen lassen wollen

CRACKING vom englischen Wort für "knacken" oder "(ein)brechen" Hacking mit krimineller Absicht

CRACKING auch: Entfernen von Kopierschutz: Herstellen einer Software-Kopie, die ohne Eingabe eines Lizenzschlüssels installiert werden kann

SOCIAL ENGINEERING Informationsbeschaffung direkt beim Computerbenutzer, ohne technische Hilfsmittel

SOCIAL ENGINEERING durch Ausspionieren des Umfelds des Opfers oder Vortäuschen falscher Identitäten entlockt man jemandem vertrauliche Informationen Beispiel: Jemand gibt sich am Telefon als Bankbediensteter aus und fragt mich nach meinen Codes

BEISPIELE FÜR SOCIAL ENGINEERING: PHISHING Passwort-Fischen (password-fishing) durch gefälschte Mails oder SMS wird versucht, Zugang zu Passwörtern zu erlangen

PHISHING Beispiele: Massenmails, die täuschend echt wie zB ebay- oder paypal-Mails aussehen, sollen zur Eingabe von Passwörtern verleiten Mail "Unser System wird umgestellt – bitte geben Sie Ihren Benutzernamen und Ihr Passwort in folgendem Formular ein, damit die Änderungen für Ihr Konto durchgeführt werden können" o.ä.

BEISPIELE FÜR SOCIAL ENGINEERING: PRETEXTING pretext … engl. für "Vorwand" durch Beschaffen persönlicher Informationen werden falsche Tatsachen vorgetäuscht

PRETEXTING Beispiele: durch Angabe zB von Versicherungsnummern oder Geburtsdaten wird vorgegaukelt, Recht auf bestimmte Informationen zu haben gefälschte Formulare oder Webseiten täuschen Organisationen und Banken vor bietet sogar die Möglichkeit, unter falschem Namen Straftaten zu begehen

SKIMMING Ausspionieren speziell von Bank-Zugangsdaten mit Hilfe der erhaltenen Informationen können Konten geplündert werden geht möglichst unbemerkt vonstatten, damit die Betroffenen ihr Bankkonto nicht sperren lassen

SKIMMING durch Manipulation von Geldautomaten werden Kundendaten "abgeschöpft" Magnetstreifeninformation einer Bankomatkarte wird durch am Geldautomat angebrachte kleine Lesegeräte ausspioniert Informationsbeschaffung zB durch Austausch des Tastenfeldes oder Anbringung kleiner Funkkameras beim Bankomat

INFORMATION DIVING "nach Informationen tauchen" (auch "dumpster diving" - "Mülleimertauchen") Informationsbeschaffung aus weggeworfenen Unterlagen oder Datenträgern

INFORMATION DIVING auf dem Rechner gespeicherte Kreditkarten-Nummern etc. können - nach unprofessioneller Entsorgung - problemlos ausgeforscht werden durch Auswertung von Organisationsplänen aus dem Mülleimer wird die Organisations- struktur eines Betriebes ausgeforscht eine ausrangierte Festplatte wird nach persönlichen Daten durchsucht

SHOULDER SURFING "Schulter-Surfen" Informationsbeschaffung durch direkte Beobachtung der Eingabe von PINs oder Passwörtern besonders leicht möglich in Internet- Cafés oder an belebten Orten, wenn über Smartphone o.ä. Passwörter eingegeben werden

SHOULDER SURFING auch mit technischen Hilfsmitteln: wenn über Smartphone o.ä. Passwörter eingegeben werden, filmt eine kleine Kamera mit davor kann man sich relativ einfach schützen: durch verdeckte Eingabe von Passwörtern und Kontrolle der Tastenfelder, Blick über die Schulter

PHARMING unter Zuhilfenahme eines Virus oder Trojaners wird das Computersystem gezielt beeinflusst, "echte" durch manipulierte Dateien ersetzt in der Folge werden gefälschte Webseiten angezeigt, obwohl die korrekte Adresse eingegeben wurde auf diesen Seiten werden dann Passwörter erfragt

PHARMING Weiterentwicklung des Phishing nutzt Schad-Software, um am PC bestimmte Manipulationen vornehmen zu können Dateien auf dem PC werden dahingehend geändert, dass auf falsche Webseiten umgeleitet wird eigentliche Datei wird durch Virus oder Trojaner überschrieben, dient zum Umleiten auf falsche Bank-Webseiten

CYBER-GROOMING "groom": striegeln, pflegen (bridegroom: Bräutigam  ) Versuch, eine emotionelle Beziehung zu einer Person (meist jung) aufzubauen Erwachsener erschleicht sich das Vertrauen eines Kindes oder Jugendlichen Ziel: sexuelle Handlungen (Kinderpornografie, Kinderprostitution)

CYBER-GROOMING Vortäuschen einer falschen Identität in social communities Ziel: Treffen mit Jugendlichem oder Kind größte Vorsicht in sozialen Netzwerken ist angesagt!  NIEMALS Unbekannten vollen Namen, Telefonnummer, genaue Adresse o.ä. bekanntgeben!