IT-Sicherheit und Betriebssysteme 2-01 PDF
Document Details
Uploaded by Deleted User
Hochschule Karlsruhe
Prof. Dr. Sven C. Martin
Tags
Summary
This document is an introduction to IT-security, part of a course on IT-security and operating systems. It discusses definitions, fundamental security goals (according to Common Criteria), supplementary security goals (according to Eckert), violations of security goals, security incidents, and computer crime, in addition to information security. It also touches upon different actors, such as hackers, crackers, and security agencies. The document is primarily targeted at postgraduate students.
Full Transcript
IT–Sicherheit und Betriebssysteme 2-01 IT–Sicherheit und Betriebssysteme 2-01 Einführung IT–Sicherheit Prof. Dr. Sven C. Martin Hochschule Karlsruhe...
IT–Sicherheit und Betriebssysteme 2-01 IT–Sicherheit und Betriebssysteme 2-01 Einführung IT–Sicherheit Prof. Dr. Sven C. Martin Hochschule Karlsruhe 1 / 22 IT–Sicherheit und Betriebssysteme 2-01 Ziele und Inhalt Gliederung Was ist IT–Sicherheit? Angreifer und Schützer 2 / 22 IT–Sicherheit und Betriebssysteme 2-01 Was ist IT–Sicherheit? Definition ▶ IT–System Technisches System mit der Fähigkeit zur Speicherung und Verarbeitung von Informationen ▶ IT–Sicherheit (IT security) Abwesenheit von Gefahren bei IT-Systemen ▶ Problem: „Gefahr“ ist vielfältig und lässt sich nicht näher fassen, daher Formulierung zu gewährleistender Schutzziele 3 / 22 IT–Sicherheit und Betriebssysteme 2-01 Was ist IT–Sicherheit? grundlegende Schutzziele (nach Common Criteria) ▶ Informationsvertraulichkeit (confidentiality) unautorisierte Informationsgewinnung ist nicht möglich mein Kennwort geht niemanden etwas an ▶ Datenintegrität (integrity) geschützte Daten können nicht unautorisiert und unbemerkt manipuliert werden nur ich (oder der Administrator) darf mein Kennwort ändern ▶ Verfügbarkeit (availability) authentifizierte und autorisierte Subjekte dürfen in ihren Rechten nicht unautorisiert beeinträchtigt werden wenn ich mich mit meinem Kennwort anmelde, dann will ich auch Zugang bekommen 4 / 22 IT–Sicherheit und Betriebssysteme 2-01 Was ist IT–Sicherheit? ergänzende Schutzziele (nach Eckert) ▶ Authentizität (authenticity) nachprüfbare Echtheit und Glaubwürdigkeit eines Subjekts nur ich kenne mein Kennwort, also kann auch nur ich mich an meinem Benutzerkonto anmelden ▶ Zuordenbarkeit (non repudiation) Subjekte können ihre Aktionen nicht später abstreiten da nur ich mich an meinem Benutzerkonto anmelden kann, verantworte ich auch alles, was unter meiner Kennung geschieht 5 / 22 IT–Sicherheit und Betriebssysteme 2-01 Was ist IT–Sicherheit? ergänzende Schutzziele (nach Eckert) ▶ Anonymisierung (anonymization) personenbezogene Daten werden so verändert, dass sie nicht oder nur mit unverhältnismäßig hohem Aufwand wieder zugeordnet werden können aus den Logdaten wird meine Kennung entfernt ▶ alternativ: Pseudomisierung (pseudonymization) ohne Kenntnis einer Zuordnungsvorschrift können personenbezogene Daten nicht zugeordnet werden in den Logdaten wird meine Kennung nach einer festen aber geheimen Vorschrift durch eine andere Zeichenkette ersetzt 6 / 22 IT–Sicherheit und Betriebssysteme 2-01 Was ist IT–Sicherheit? Verletzung von Schutzzielen ▶ Verwundbarkeit (vulnerability) ▶ Schutzziele für ein IT-System sind gefährdet ▶ Verwundbarkeiten i.d.R. nicht bekannt ▶ Bedrohung (threat) ▶ mögliche Ausnutzung einer Verwundbarkeit ▶ Verwundbarkeit ist offenbar geworden ▶ Risiko (risk) ▶ Produkt aus Eintrittswahrscheinlichkeit einer Bedrohung und deren Schadenspotential ▶ legt oft die Priorität fest, mit der Bedrohungen eliminiert werden 7 / 22 IT–Sicherheit und Betriebssysteme 2-01 Was ist IT–Sicherheit? Verletzung von Schutzzielen ▶ Angriff (attack) tatsächliche Ausnutzung einer Verwundbarkeit ▶ Exploit Verfahren, mit dem ein Angriff durchgeführt wird ▶ Malware (malicious software, Schadprogramm) Software, die für ein Exploit eingesetzt wird 8 / 22 IT–Sicherheit und Betriebssysteme 2-01 Was ist IT–Sicherheit? Sicherheitsvorfall ▶ Sicherheitsvorfall (security event): Ereignis, das ein Schutzziel verletzt ▶ neben Angriffen auch andere Ereignisse, z.B. durch Fahrlässigkeit, Unfall, gesellschaftliche Ereignisse oder Naturgewalt ▶ Beispiele: ▶ Ein Mitarbeiter lässt seinen Laptop im Taxi liegen. ▶ Nach Starkregen dringt Wasser ein und löst im Server einen Kurzschluss aus. ▶ Ein Mitarbeiter der Personalabteilung notiert sein Kennwort auf einen Zettel und legt ihn unter seine Tastatur. Ein anderer Mitarbeiter meldet sich damit an und entfernt eine Abmahnung aus seiner Personalakte. ▶ Ein Administrator verschickt Protokolldaten an einen Logdatensammler und vergisst das Entfernen der Kennungen. ▶ Sie betreiben in Syrien ein Rechenzentrum. 9 / 22 IT–Sicherheit und Betriebssysteme 2-01 Was ist IT–Sicherheit? Computerkriminalität Computerkriminalität (cyber crime) umfasst die Straftaten, die sich gegen das Internet, Datennetze, informationstechnische Systeme oder deren Daten richten oder mittels dieser Informationstechnik begangen werden (nach BKA). ▶ Vorbereitung zum Ausspähen und Abfangen von Daten (§ 202c StGB) Programmierung einer Malware zum Ausspähen von Kreditkartennummern bei Bezahlvorgängen im Internet ▶ Ausspähen und Abfangen von Daten (§§ 202a, 202b StGB) Ausspähen der Kreditkartennummer mit der Malware ▶ Datenhehlerei (§ 202d StGB) Verkauf ausgespähter Kreditkartennummern ▶ Computerbetrug (§ 263a StGB) Einkaufen mit ausgespähter Kreditkartennummer 10 / 22 IT–Sicherheit und Betriebssysteme 2-01 Was ist IT–Sicherheit? Computerkriminalität ▶ Fälschung beweiserheblicher Daten (§ 269 StGB) Mail mit gefälschtem Absender ▶ Täuschung im Rechtsverkehr bei Datenverarbeitung (§ 270 StGB) Zusendung von als Rechnung getarnter Malware ▶ Datenveränderung (§ 303a StGB) fremde Daten unerlaubt verschlüsseln und gegen Lösegeld freigeben ▶ Computersabotage (§ 303b StGB) Malware sperrt Nutzer aus ▶ missbräuchliche Nutzung von Telekommunikationsdiensten (spezielle Form des Computerbetrugs nach § 263a StGB) Anwahl teurer Premiumdienste durch unberechtigten Routerzugriff 11 / 22 IT–Sicherheit und Betriebssysteme 2-01 Was ist IT–Sicherheit? Informationssicherheit ▶ Informationssicherheit (information security): Erweiterung der IT–Sicherheit auf alle Aspekte zum Schutz von Informationen, z.B. ▶ Infrastruktur (u.a. Netze, Peripheriegeräte, Gebäude) ▶ Geheime Planungsdaten werden ausgedruckt und vergessen. ▶ Ein Netzwerkanschluss liegt frei zugänglich im Empfangsraum. ▶ Alte Datenträger werden im Container entsorgt. ▶ (Geschäfts-)Prozesse (u.a. Verhaltensregeln für Mitarbeiter) ▶ An einem heißen Sommertag lassen die Mitarbeiter eine Außentür offen. ▶ Ein Angreifer gibt sich am Telefon als Redakteur der Firmenzeitung aus und erfragt Projektdetails. ▶ Informationssicherheitsmanagement (IS management) Planungs-, Lenkungs- und Kontrollaufgabe zum Aufbau und zur kontinuierlichen Umsetzung eines durchdachten und wirksamen Prozesses zur Herstellung von Informationssicherheit 12 / 22 IT–Sicherheit und Betriebssysteme 2-01 Was ist IT–Sicherheit? Cyber–Sicherheit ▶ Der Cyberraum (cyber space) umfasst sämtliche mit dem Internet und vergleichbaren Netzen verbundene Informationstechnik und schließt darauf basierende Kommunikation, Anwendungen, Prozesse und verarbeitete Informationen mit ein. ▶ Intra- und Internet ▶ klassische IT–Systeme ▶ Internet of Things ▶ Industrie 4.0 ▶ Kritische Infrastrukturen (KRITIS), z.B. Stromversorgung ▶... ▶ Cyber–Sicherheit (cyber security): Ausweitung der IT–Sicherheit auf den Cyberraum ▶ Cyber Threat Intelligence (CTI): Sammlung, Auswertung und Bewertung von Bedrohungen im Cyberraum 13 / 22 IT–Sicherheit und Betriebssysteme 2-01 Was ist IT–Sicherheit? Datensicherheit ▶ Datenschutz: Schutz des Einzelnen vor Beeinträchtigung seines Persönlichkeitsrechts beim Umgang mit seinen personenbezogenen Daten ▶ sechs Schutzziele ▶ Verfügbarkeit ▶ Vertraulichkeit ▶ Integrität ▶ Transparenz – Nachvollziehbarkeit personenbezogener Datenverarbeitung ▶ Unverkettbarkeit – Gewährleistung der Zweckbindung ▶ Intervenierbarkeit – Betroffener kann seine Rechte wirksam ausüben ▶ Datensicherheit: technische Vorkehrungen zur Gewährleistung des Datenschutzes 14 / 22 IT–Sicherheit und Betriebssysteme 2-01 Angreifer und Schützer Angreifer ▶ Hacker Computerspezialist („hack“ — „Kniff, um etwas hinzukriegen“) ▶ ethischer Hacker (ethical hacker, white hat) befolgt ethische / rechtliche Standards ▶ intellektuelle Herausforderung ▶ legale finanzielle Interessen ▶ Cracker (criminal hacker, black hat) tut dies nicht ▶ Spionage ▶ (organisierte) Kriminalität ▶ Vandalismus ▶ Hacktivismus ▶ Script Kid technisch unbegabter Vandale ▶ Cyber Criminal Oberbegriff für Cracker und andere Computerkriminelle 15 / 22 IT–Sicherheit und Betriebssysteme 2-01 Angreifer und Schützer Schützer — Behörden Inland ▶ Bundesamt für Sicherheit in der Informationstechnik (BSI) „Das BSI als die nationale Cyber-Sicherheitsbehörde gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft.“ ▶ Information zu allen wichtigen Themen der IT-Sicherheit z.B. Lagebericht, Warndienst, BürgerCERT, BSI für Bürger ▶ Beratung in Fragen der IT-Sicherheit z.B. IT–Grundschutz, Technische Richtlinien ▶ Entwicklung von IT-Sicherheitsanwendungen und -produkten z.B. elektronische Identitäten ▶ Zertifizierung von IT-Systemen hinsichtlich ihrer Sicherheitseigenschaften z.B. Zertifizierung von IT–Systemen nach Common Criteria 16 / 22 IT–Sicherheit und Betriebssysteme 2-01 Angreifer und Schützer Schützer — Behörden Inland ▶ Bundeskriminalamt — Deliktsbereich Cybercrime z.B. Bundeslagebilder Cybercrime, Gruppe SO4 ▶ Bundesamt für Verfassungsschutz — Arbeitsfeld Cyberabwehr z.B. Cyber-Briefe ▶ Bundeswehr — Kommando Cyber- und Informationsraum ▶ das nationale IT–Lagezentrum ▶ Betrieb durch das BSI ▶ verfügt über ein verlässliches Bild der aktuellen IT–Sicherheitslage in Deutschland ▶ Einschätzung von Handlungsbedarf und Handlungsoptionen bei IT–Sicherheitsvorfällen ▶ das nationale IT–Krisenreaktionszentrum ▶ entsteht im Bedarfsfall aus IT–Lagezentrum ▶ schnelle Reaktion auf schwerwiegende Vorfälle ▶ Ermöglichung rechtzeitiger Gegenmaßnahmen sowie Vermeidung von Schäden größeren Ausmaßes 17 / 22 IT–Sicherheit und Betriebssysteme 2-01 Angreifer und Schützer Schützer — Behörden Inland ▶ das nationale Cyber–Abwehrzentrum (Cyber-AZ) ▶ gemeinsame Einrichtung der relevanten Sicherheitsbehörden ▶ BSI ▶ Nachrichtendienste (BfV, MAD, BND) ▶ Polizei (BKA, ZKA, BPOL) ▶ Katastrophenvorsorge und Kritische Infrastrukturen (BBK, Betreiber) ▶ Produkte: ▶ Cyber–Lage (tagesaktuelle Erstbewertung) ▶ analysebasierte Auswertungen verschiedener Sachverhalte ▶ die Koordinierungsstelle IT–Sicherheit beim DIN Informationsaustausch zwischen den verschiedenen Bereichen und Domänen, die sich mit der Normung von IT-Sicherheitsaspekten befassen 18 / 22 IT–Sicherheit und Betriebssysteme 2-01 Angreifer und Schützer Schützer — Behörden Ausland ▶ European Union Agency for Network and Information Security (ENISA) „Die Aufgabe der ENISA besteht darin, in der EU die erforderliche hochgradige Netz- und Informationssicherheit zu gewährleisten, indem sie ▶ einzelstaatlichen Behörden und den EU–Institutionen fachkundige Ratschläge zur Netz- und Informationssicherheit erteilt, ▶ als Forum für den Austausch bewährter Verfahren fungiert und ▶ Kontakte zwischen EU–Institutionen, staatlichen Behörden und Unternehmen erleichtert.“ z.B. ENISA Reports ▶ European Telecommunications Standards Institute (ETSI) z.B. ETSI Standards on Security 19 / 22 IT–Sicherheit und Betriebssysteme 2-01 Angreifer und Schützer Schützer — Behörden Ausland ▶ US Computer Emergency Readiness Team (US–CERT/CISA) „US-CERT strives for a safer, stronger Internet for all Americans by responding to major incidents, analyzing threats, and exchanging critical cybersecurity information with trusted partners around the world.“ z.B. Publications, Alerts and Tips ▶ FBI — Cyber Crime ▶ National Security Agency (NSA) ▶ National Institute of Standards and Technology (NIST) — Computer Security Resource Center (CSRC) 20 / 22 IT–Sicherheit und Betriebssysteme 2-01 Angreifer und Schützer weitere Schützer ▶ CERT: Computer Emergency Response/Readiness Team CSIRT: Computer Security Incident Response Team: (Notfall-)Team von IT–Sicherheitsexperten ▶ Deutscher CERT–Verbund ▶ CERT Division at Carnegie Mellon University ▶ Datenbanken mit Bezug zur IT–Sicherheit ▶ Common Vulnerabilities and Exposures (CVE) ▶ Blogs und Publikationen ▶ heise Security ▶ ▶ Schneier on Security 21 / 22 IT–Sicherheit und Betriebssysteme 2-01 Angreifer und Schützer weitere Schützer ▶ Forschungseinrichtungen ▶ Center for Research in Security and Privacy (CRISP), Darmstadt ▶ Europäisches Kompetenzzentrum für IT–Sicherheit (eurobits), Bochum ▶ Fraunhofer AISEC, Garching ▶ Arbeitskreise und Initiativen ▶ Allianz für Cybersicherheit ▶ Initiative „Deutschland sicher im Netz“ ▶ TeleTrusT ▶ Karlsruher IT-Sicherheitsinitiative 22 / 22
