Präsentation herunterladen
Die Präsentation wird geladen. Bitte warten
Veröffentlicht von:Hartwin Radden Geändert vor über 10 Jahren
1
Frank Thies Volkshochschule Frankfurt am Main fthies@fthies.de
Datensicherheit Frank Thies Volkshochschule Frankfurt am Main Stand
2
Organisatorisches Samstag Von 18:00 Uhr bis 21:15 Uhr
Ort : VHS Sonnemannstrasse Infrastruktur Teilnahmebescheinigung Anwesenheitslisten Evaluation Infrastruktur: Cafeteria im Erdgeschoß ( nur dort rauchen ) Toiletten für Teilnehmer 3. Und 5. Etage Teilnahmebescheinigung erhält, wer an jedem Kurstag da war => daher jedes mal Anwesenheitslisten Am Ende des letzten Kurstages Evaluation zur Verbesserung des Kurses
3
Ablauf der Veranstaltung
Theoriebetont, mit Übungen wo möglich Fragen bitte jederzeit stellen Pausenregelung nach Vereinbarung Pausenregelung: vorzugsweise nach dem Theorieteil 15 Min. bzw. während dem Praxisteil Toiletten im 3. Und 5. Obergeschoss Cafeteria im Erdgeschoss
4
Kursunterlagen
5
Kursinhalt Internetsicherheit aus Anwendersicht
Internetsicherheit aus Unternehmenssicht Maßnahmen gegen Geheimdienstspionage Der Kurs soll keine Panik hervorrufen, aber ein gesundes Mißtrauen wecken
6
Gliederung Das Internet Angriffsziele Überblick
Angriffsmöglichkeiten und Schutzmaßnahmen Ausblick auf Unternehmenslösungen
7
Was ist das Internet? Weltweit vermaschtes Netz von Computern
8
Wie nutze ich das Internet?
- Kurzer Hinweis, dies ist das Internet - ich schließe mich daran an und sehe erstmal nur einen Informationssee - anschließend baue ich direkt oder indirekt eine Verbindung zu einem anderen Computer auf. Diese Verbindung geht über viele Server und Strecken. Auf jedem Server oder auf jeder Strecke kann gelauscht oder angegriffen werden.
9
Internet
10
Ziele unerwünschter Aktivitäten
Bösartiger Angriff Schadenfreude oder Missbrauch Erlauschen vertraulicher Informationen Missbrauch Ermittlung des Teilnehmerverhaltens Verwendung für kommerzielle Zwecke Verwendung zur Terrorfahndung/Betriebsspionage Hier sind die Gefahrenmomente nach einer Mischeinschätzung von Häufigkeit und Gefährdungspotenzial geordnet
11
Systemangriffe Viren Trojaner Würmer Agressive WWW-Seiten
12
Umgang mit Daten im Internet
13
Lauschangriffe Übertragungsweg/Kabel Aktive Komponenten (Router)
Server (Mailgateways)
14
Brute-Force Attacken Brute-Force Attacken sind Versuche eines Programms, das Passwort eines anderen Programms zu knacken, indem alle möglichen Kombinationen von Buchstaben und Zahlen ausprobiert werden. Die Länge und Komplexität eines Passworts ist maßgeblich für die Sicherheit. Man beachte bitte, dass die benutzten Schlüssel zufällig generiert werden und nicht doppelt vorkommen, d.h. möglich wäre ein Treffer beim ersten Versuch!
15
Brute-Force, wie lange brauchst du?
Ein 2007 gekaufter Privat-PC für ca. 700€ kann ungefähr Kombinationen (Schlüssel) pro Sekunde ausprobieren. In der Tabelle sind jeweils die Maximalzeiten pro Passwort angezeigt! Passwortlänge Mögliche Zeichen Maximale Zeit 6 26 8 Sekunden 62 25 Minuten 8 91 Minuten 66,5 Tage 10 43 Tage 718 Jahre 12 81 Jahre 2.8 Mio. Jahre
16
Brute-Force, wie lange braucht die NSA?
17
Wie wird abgehört? Trojaner Adressbücher Suchmaschinen
Soziale Netzwerke -Anbieter Provider Smartphone-Apps
18
Wie erschwere ich das Datensammeln?
DuckDuckGo, MetaGer, IXQuick (speichern keine Daten) Startpage.com Tor – „Sicherheitsnetz“ JonDonym – Anonym-surfen.de
19
Lernprogramm Datenschutz Lernprogramm Sicherheit
Datenschutz.ch Passwort-Check Lernprogramm Datenschutz Lernprogramm Sicherheit
20
Fehlverhalten des Nutzers
anhänge öffnen Abwesenheitsnotiz (im Büro) Auf Phishing reagieren (gefakte Mails, Seiten) Ohne Virenscanner surfen Ohne Firewall surfen
21
Internet Explorer 10 Browserverlauf löschen InPrivate-Browsen
„Do not Track“ (Nicht folgen!) ActiveX-Filterung SmartScreen-Filter (Phishing-Filter) IE 11 kommt mit Windows 8.1
22
Tracking-Schutz
25
WSC Überprüft Firewall und Virenscanner Patches für Programme folgen
Aktualisiert die entspr. Software Laufwerksverschlüsselung (Vista) (Bitlocker – Win 7) Jugendschutz (Vista)
26
Outlook Express Mails standardmäßig als Text
Externe HTML-Inhalte nicht dargestellt Anhänge werden überprüft.
27
Systemangriffe
28
Bedrohungen im Internet
29
Viren und Trojaner Grundfunktion
Anhängsel von Programmen Datenfiles mit Makrosprachen z. B. MS-Word automatische Weiterverbreitung bei Ausführung eines infizierten Programms
30
Viren und Trojaner Wirkung
Schadfunktion ( Virus ) z. B. Michelangelo ( Festplatte formatieren ) z. B. I Love You ( Dateien zerstören, Mail-Server lahm legen ) verdeckter Eingang ( Trojaner ) z. B. Back Orifice ( Zugriff vom Netz auf den Rechner )
31
Viren und Trojaner Schutzmaßnahmen
Niemals Mailanhänge oder fremde Disketteninhalte ungeprüft ausführen Nicht einfach im Mailprogramm anklicken auf dem Rechner in einem Quarantäneverzeichnis abspeichern mit einem aktuellen Virenscanner auf Viren untersuchen Gegebenenfalls Virenscanner auf automatische Suche stellen
32
Viren und Trojaner Virenscanner
F-PROT ( für Privatanwender kostenlos ) Avira Free Antivirus McAfee VirusScan Norton Antivirus
33
Viren und Trojaner Weitergehende Schutzmaßnahmen 1
Regelmäßige Datensicherung auf verschiedene Wechselmedien Großvater, Vater, Sohn Prinzip wegen späterem Erkennen Datensicherung extern auslagern wegen Feuer, Diebstahl Wechseldatenträger für relevante Daten Beim Arbeiten mit kritischen Anwendungen entfernen Sicherheitsstufen und Aufwand von oben nach unten zunehmend
34
Viren und Trojaner Weitergehende Schutzmaßnahmen 2
Getrennte Systemumgebung für Internetzugang, Spiele, Kinder usw. getrennte Partitionen getrennte Wechselplatten getrennte Rechner Nicht als Administrator arbeiten Firewall KNOPPIX Datenablage in der Cloud (Google-Konto, Dropbox, MobileMe) Sicherheitsstufen und Aufwand von oben nach unten zunehmend
35
Viren und Trojaner Weitergehende Schutzmaßnahmen 3
Weitere Softarekomponenten: Spybot Search&Destroy Ad-Aware Sicherheitseinstellungen IE 10 und Firefox 23.0 bzw Opera - Chrome Sicherheitsstufen und Aufwand von oben nach unten zunehmend
36
Würmer s, die aufgrund von Fehlfunktionen in -Programmen sich selbst über das Internet verbreiten Schutz bei neuen Würmern ohne Komforteinbuße kaum möglich exotische Mailprogramme benutzen keine Adressbücher Vorsicht vor im Wurm enthaltenen Viren und Trojanern
37
Ende 1.Teil Nächste Woche viele Fragen stellen!
Üben und Notizen machen
38
Aggressive WWW-Seiten
WWW-Seiten, die nach dem Anklicken auf dem Rechner des Benutzers Schadfunktionen auslösen Aufgrund der Fähigkeiten der Scriptsprachen ( insbesondere ActiveX ) hohes Gefährdungspotenzial Aufrufen von Dialern
39
Aggressive WWW-Seiten Schutzmaßnahmen 1
Alle Scriptsprachen ausschalten ( Gefährdungspotenzial absteigend sortiert ) ActiveX ( MS Internetexplorer ) Javascript Java Test und Erläuterung bei: (zwar Schweiz, aber die Tipps sind auch für Deutsche gut!)
40
Aggressive WWW-Seiten Schutzmaßnahmen 2
Scriptsprachen nur bei Bedarf bei vertrauenswürdigen Anbietern einschalten Computerbetrug.de Schutzsoftware unter und
41
Lauschangriffe
42
Wo kann man lauschen? - Kurzer Hinweis, dies ist das Internet
- ich schließe mich daran an und sehe erstmal nur einen Informationssee - anschließend baue ich direkt oder indirekt eine Verbindung zu einem anderen Computer auf. Diese Verbindung geht über viele Server und Strecken. Auf jedem Server oder auf jeder Strecke kann gelauscht oder angegriffen werden.
43
Wo kann man lauschen? Physikalisch am Kabel
Hoher technischer Aufwand Für jeden mit Zugriff zum Kabel möglich An den transportierenden Rechnern Mittlerer technischer Aufwand Mit logischem Zugriff möglich An den vermittelnden Servern Niedriger technischer Aufwand
44
Grundsätzliche Bemerkungen
Datenübertragung ist generell unverschlüsselt! Sicherheit der Übertragung wie die Sicherheit einer Postkarte! Eine lässt sich fast beliebig fälschen!
45
Wie kann ich mich schützen?
Niemals sicherheits- oder vermögens-relevante Daten über eine unverschlüsselte Verbindung schicken Bei WWW Übertragung auf https achten Sicherheitseinstellungen des Browsers beachten Bei PGP oder D verschlüsseln signieren
46
Private/Public Key Verschlüsselung
2 teiliger Schlüssel ( Private / Public ) Sender verschlüsselt mit dem Public-Key des Empfängers Empfänger entschlüsselt mit eigenem Private-Key Sender signiert mit eigenem Private-Key Empfänger überprüft die Signatur mit Public-Key des Senders
47
PGP http://www.pgpi.org/ Verschlüsselungsprogramm
Für Privatkunden kostenfrei Leicht zu bedienen Cut and Paste Für einige Mailer Plugin vorhanden Für „alle“ Betriebssysteme derzeit weiteste Verbreitung
48
D Beteiligte Unternehmen: GMX, Mentana, Deutsche Telekom, T-Systems und Web.de Fast nur Kostenpflichtig Gefahr: Gilt als zugestellt – Fristen laufen auch wenn ich nicht reinschaue! (aber das ist beim Briefkasten auch so!)
49
Weitere „Fallen“ Ebay-Daten werden ausgelesen (Mitgliedername/Passwort) Schutz nur über neue Ebay-Toolbar (dürftig, aber besser als nichts!) Passwort in der Tollbar hinterlegen, dann warnt diese mit einem Hinweis! Phishing – Nachgestellt Internetseiten von Banken usw. Es wird behauptet Passwort hätte sich geändert. NICHT neu anmelden! Schutz über https, grüne Farbe und Zertifikate (werden im IE angezeigt!)
50
Personenprofilerstellung Schnüffelei
51
Cookies Was ist das? Vom WWW-Server versandte und abgeholte Informationspäckchen. Gehen zurück an Absender oder andere. Werden lokal auf Festplatte gespeichert.
52
Cookies Sinn und Risiken
Userauthentifizierung Uploads Datenbanken Bereitstellung personalisierter Information Warenkörbe Werbung Abrechnung Möglichkeit des ( firmenübergreifenden ) Personenprofils
53
Cookies Abwehrmöglichkeiten
Abstellen der Cookies Cookies nur an gleichen Server Cookies nur mit Rückfrage Löschen der Cookieordnerinhalte Manuell automatisch beim Hochfahren automatisch beim Aufruf von netscape
54
Smartbrowsing Was ist das?
Übermitteln der aufgerufenen Webseiten an einen zentralen Server Dieser Server stellt aus einer Datenbank themenähnliche Links zur Verfügung Vorsicht! Chrome von Goggle ist hier extrem aktiv!
55
Smartbrowsing Sinn und Risiken
Vereinfachter Zugang ins Web Leichteres Finden von Zusammenhängen Bei unsauberer Konfiguration Bekanntwerden von Intranetadressen Persönlichkeitsprofil zusammen mit Cookies
56
Smartbrowsing Abwehrmöglichkeiten
Saubere Konfiguration des Browsers Smartbrowsing ausgeschaltet Aus Firmennetzen: Vom Smartbrowsing zumindest die Intranetadressen ausnehmen Browser ohne Smartbrowsing verwenden
57
Adressschnüffelei Ziel: Ermitteln von Werbe-„Opfern“ Von wo? Was tun?
Webseiten Newspostings Was tun? Auf den entsprechenden Diensten „Tarnadressen“ verwenden Werbefilter Auf unerwünschte Werbung nie antworten
58
Weitere Gefahren Hoax ( gefälschte Virenwarnung, meist als Kettenbrief, die Mail ist der Virus ) Datenspur proxy/router log browsercache browserhistory
59
Angriffe auf Firmennetze und Computer
60
Angriffsziele Jeder Computer WWW-Server FTP-Server Server allgemein
Eindringen Außerbetriebnahme
61
Firewall
62
Firewall Fängt unerwünschte Angriffe aus dem Internet ab
Läßt ausgewählten Verkehr passieren Nach Protokoll ( http, nntp, smtp ... ) Nach Hostnamen Protokolliert Zugänge und Angriffe
63
Welche Programme? Firefox mit Addons (NoScript, AdblockPlus,FireFTP,DownloadHelper, Locationbar) oder Opera nutzen. ThreatFire – Prüft Verhaltensänderungen an Programmen Secunia PSI – prüft Updates von Programmen. Dateierweiterungen immer einblenden! (Ordner- und Suchoptionen,Ansicht,Erweitert) Autoruns runterladen und nutzen. (bei Google suchen – Technet Microsoft) TrueCrypt – Verschlüsselung von Festplatten (Net- Notebooks). IronKey ( – Sehr sichere USB-Sticks (ab 66€ 1 GB) Safey ( . Kostenlose USB-Verschlüsselungssoftware About:plugins (Extras, Addons, Plugins). Windows-Defender nutzen Windows-Updates (Systemsteuerung) aktuell halten
64
Weitergehende Programme
Blacklight von F-Secure (erkennt Rootkits) GPG4Win ( -Verschlüsselung) KeePass Password Safe (Passwortverwaltung) de.brothersoft.com/keypass html IEController (Überwacht ActiveX)
65
Was noch? Datensicherung: Windows macht das gut! Alternativ: Pure Sync
Spuren im Internet: Myspace u.a. Online-Banking (SMS-iTAN – chipTAN-Gerät, HBCI-Kartenleser)
66
Internetseiten http://www.heise.de/security/
67
Dank und Evaluation Herzlichen Dank für Ihr Interesse und die rege Teilnahme an dieser Veranstaltung. Bitte unterstützen Sie auch unsere Bemühungen zur Verbesserung künftiger Veranstaltungen durch die Abgabe der Evaluationsbögen. Kritik ausdrücklich erwünscht
Ähnliche Präsentationen
© 2024 SlidePlayer.org Inc.
All rights reserved.