IT-Sicherheit (IN0042) Vorlesung PDF

Summary

This document is a lecture for an IT Security course at Technische Universität München. The course is focused on fundamental concepts of information security, including security issues, threats and solutions. 

Full Transcript

Technische Universität München

IT-Sicherheit (IN0042)
Vorlesung: Prof. Claudia Eckert
Lehrstuhl für Sicherheit in der Informatik,
I20 Department CE, School CIT
Direktorin des Fraunhofer Instituts für Angewandte und
Integrierte Sicherheit (AISEC), München/Garching

Übungen:
Fabian Franzen: Leitung
Manuel Andreas
Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 1
 Technische Universität München

Organisatorisches:
Vorlesung:
5 ECTS: 2 Std. Vorlesung (Grundlagen),
2 Std. Tutorübung (Vertiefung, Hands-on)
Modul, Bachelor-Level, Sprache Deutsch
Vorlesungszeiten Di 10:15 – 11:45, Ausweichstermin: Fr. 8:15 -9:45
Materialien zur Vorlesung:
Vorlesungsfolien und Vorlesungsaufzeichnungen
Tutorübung
Übungsaufgaben in Tutorübungen: begleitend, vertiefend
Einüben an konkreten (Programmier-) Aufgaben.
Leistungsnachweis
90 Min. Klausur: Stoff der Vorlesung und der Übungen

Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 2
 Technische Universität München

Einordnung und Ziele der Vorlesung IT-Sicherheit
Kenntnisse von IN0001 Einführung IN und IN0004 Einführung in die
Rechnerarchitektur werden empfohlen.
Ziele der Vorlesung und Tutorübung
Welche Probleme gibt es: z.B. ….
Verständnis für Ursachen von Schwachstellen. z.B. …
Womit kann man die Probleme lösen: z.B. ….
Grundlegende Konzepte, Methoden und Protokolle zum Schutz von
Daten und Systemen verstehen. z.B. ….
Welche Konzepte sind wofür geeignet (oder auch nicht geeignet):
Zusammenhänge zwischen Schutzmechanismen und den damit
adressierten Problemen verstehen und anwenden. z.B. ….

Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 3
 Technische Universität München

Organisatorisches zur Präsenzvorlesung:
Vorlesungsfolien vorab über Moodle verfügbar.
Fragen auf den Folien werden interaktiv in den Vorlesungen
beantwortet:
Achtung: es wird keinen Tweetback-Kanal geben.
Fragen: Mischung aus Verständnis, Selbsteinschätzung, Quiz
Fragen aus dem Auditorium sind sehr gewünscht!
Unvollständige Beschreibungen werden handschriftlich schrittweise
ergänzt, z.B. Abbildungen, Abläufe
Zusätzliche Aspekte werden bei Bedarf auf den Folien annotiert.
Annotation werden am Ende gebündelt verfügbar gemacht.
Recordings sollten nach der jeweiligen Einheit verfügbar sein.

Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 4
 Technische Universität München

Organisatorisches zur Präsenzvorlesung: (Forts.)
Live-Stream:
Verfügbar unter https://live.rbg.tum.de
Fragen außerhalb der Vorlesungen (z.B. zu Hausaufgaben,
Technik, Tutorien, usw.)
via Zulip: https://zulip.in.tum.de

Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 5
 Technische Universität München

Übungsbetrieb

Zur Vorlesung gehört eine wöchentliche 90 minütige Übung
Vertiefung des Vorlesungsstoffes
14 Übungsblätter
Ausgabe: Montag (nach Möglichkeit bereits freitags)
Bearbeitungszeit: 1 Woche
Bitte bis zum Sa. 19.10.2024, 23:59 Uhr über TUMOnline für
eine Tutorübung anmelden!
Übersicht über alle Tutorien auf Moodle.
Zentralübung: Freitags nach Bedarf.
Vorkurs zu Python / Web Basics: Online über TUMLive

Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 6
 Technische Universität München

Hausaufgaben

Hausaufgaben ermöglichen einen Punktebonus von max.
0.6/0.7 Notenstufen auf die Klausur (wenn Klausurnote ≥ 4.0)!
Ausgabe über https://scoreboard.sec.in.tum.de
Täuschungsversuche/Plagiate führen zu einer 5.0U in Klausur!
Bearbeitung in Teams à 2 Studierende
Programmieraufgaben im „Capture the Flag“ Stil
Automatische Prüfung durch das Scoreboard.
Referenzsystem: sandkasten.sec.in.tum.de
Jedes Teammitglied muss mind. 1 Hausaufgabe in Übung
vorstellen, um den Bonus zu erhalten!

Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 7
 Technische Universität München

Motivation: Wachsende Bedeutung der IT Sicherheit (Cybersecurity)
Umfrage des Branchenverbands BitKom, August 2024,
Quelle: https://www.bitkom.org/Bitkom/Publikationen/Studie-Wirtschaftsschutz
91% der Unternehmen meldeten Vorfälle, sie waren von
Datendiebstahl, Spionage oder Sabotage betroffen.
Geschätzter Schaden: ca. 267 Milliarden Euro allein in Deutschland
in den letzten 12 Monaten
65% der befragten Unternehmen sehen ihre Existenz bedroht durch
Cyberattacken, (52% in 2023, 9% in 2021)
Schäden weltweit ca. 9.22 Billionen $ in 2024. (Statista cost cybercrime).
Weiterentwicklung der Bedrohungslage:
Software Supply Chain: Vergrößerte Angriffsfläche,
KI Einsatz: automatisierte Angriffs-Generierung, DeepFake, ….
 Technische Universität München

Frage:
Was kennen Sie an Cybersicherheitsangriffen?
Welche Begriffe fallen Ihnen ein, z.B. Phishing?!
 Technische Universität München

Sicherheit ist kein Zustand sondern ein iterativer Prozess:
Integration von Maßnahmen in den gesamten SW-Lebenszyklus!
Design u.a.
Risikoanalyse u. Sicherheitskonzept Act Plan
z.B.
Implementierung u.a. Check Do

Sichere Programmierung
z.B.
Operativer Betrieb u.a.
Zugangs- und Zugriffskontrollen, Monitoring, Filtern
Sicheres Update/Patch-Management
End-of-Life: u.a.
sicheres Löschen der Festplatte

Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 10
 Technische Universität München

Überblick über Vorlesungsinhalte
1. Schwachstellen, Bedrohungen, Ausgewählte Angriffe, Schutzziele
2. Kryptografische Grundlagen: Prinzipien symmetrisch, asymmetrisch, Block-
und Stromchiffre, Verschlüsselungsmodi, Beispiele: AES, RSA
3. Hashfunktionen und Signaturverfahren
4. Schlüsselmanagement: Schlüssel-Erzeugung, -austausch, Diffie-Hellmann
5. Identitätsnachweise: Authentisierungsfaktoren und Abläufe, Bsp. Shibboleth
6. Identitätsverwaltung: PKI, Single-Sign-on
7. Netzwerksicherheit: Firewalls, TLS
8. Anwendungssicherheit am Beispiel von Messangerdiensten
9. Zugriffskontrolle: Sicherheitsmodelle, Konzepte zur Rechte-Verwaltung
10. Systemsicherheit und Secure Programming: Speicher- und Festplattenschutz
11. Informationssicherheitsmanagement (ISMS), Secure Engineering

Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 11
 Technische Universität München

Literatur
1. C. Eckert IT-Sicherheit, De Gruyter Verlag,
2023, 11. Auflage

2. Christof Paar: Understanding Crytography, Springer, 2024
3. Niels Ferguson, Bruce Schneier, Tadayoshi Kohno: Cryptography
Engineering: Design Principles and Practical Applications, 2015
4. W. Stallings, Lawrie Brown: Computer Security: Principles and
Practice, 3rd Edition, Published Jul 8, 2014 by Pearson
5. G. Hoglund und G. McGraw, Exploiting Software, how to break code,
Addison Wesley, 2004
Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 12
 Technische Universität München

Kapitel 1: Schwachstelle, Bedrohungen, Angriffe
1.1 Security und Safety (Wechselwirkungen!)
Achtung: im Deutschen: Sicherheit umfasst Security und Safety.
Die Vorlesung wird sich auf die Themen der Security beschränken.
(1) Security: Daten und Informations-Sicherheit: ISO 2382-1:
Verwundbarkeit von zu schützenden Werten systematisch reduzieren!
Bewahren eines Systems vor Beeinträchtigung und Missbrauch durch
Angriffe!
Erforderlich:
Klären, was die zu schützenden Werte sind!
Z.B.
Klären, was geeignete Schutzmaßnahmen sind!
Z.B.

Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 13
 Technische Universität München

Angriffe
Störungen von Außen mit dem Ziel der Daten-Manipulation, des
Informationsmissbrauchs oder der Funktionsstörung.
Beispiel : Knacken des Passworts für den Account von Alice
Angriff 1: z.B. über Phishing: Opfer wird dazu verleitet, dass Passwort
preiszugeben, z.B. fake Login-Seite
Angriff 2 z.B. durch ausprobieren (Brute Force):
Angreifer erzeugt automatisiert eine Vielzahl von Passworten und
Testet, ob er Zugang zum Account von Alice erhält.

Frage
Welche Schutzmaßnahmen könnten helfen?

Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 14
 Technische Universität München

(2) Safety: Funktions- und Betriebssicherheit
Erkennen und Abwehr von Störungen, die die korrekte Funktionalität,
die Betriebssicherheit, beeinträchtigen.
Störungen kommen von Innen, durch das technische System, z.B.
durch Hardware-Fehler, Programmierfehler
Erforderlich:
Maßnahmen zur Erkennung von Störungen!
z.B.
Maßnahmen, um Störungen zu behandeln!
z.B.
Beispiel: Absturz Ariane 5 Rakete direkt nach dem Start:
Fehlen eines Exception Handlings für einen Floating-Point
Fehler bei Konvertierung von 64-bit Int zu 16-bit signed Int
Safety Problem (Absturz), aber kein Security Problem.
Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 15
 Technische Universität München

1.2 Wichtige Begriffe und ihre Zusammenhänge:

4 Angriff(svektor)
(attack) konkretisiert
nutzt aus z.B. Brute Force
3
Passwort knacken,
2 Bedrohung
geknacktes Passwort (threat)
Schwachstelle nutzen
(vulnerability) bedroht z.B. gehacktes
gefährdet potentiell Passwort
z.B. gefährdet konkret
erlaubt Zugriff
Schwaches potentiell
Passwort Wert (zu schützen)
(Asset) 1
z.B. Passwort
Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 16
 Technische Universität München

(1) Asset: zu schützendes Gut,
z.B. Passwort
(2) Schwachstelle (vulnerability): ermöglicht das Umgehen von
Sicherheitskontrollen des Systems
z.B. die Nutzung schwacher Passworte wird nicht verboten.
(3) Bedrohung (threat): Potenzial, die Sicherheit von Assets zu
beeinträchtigen.
z.B. Unbefugter kann sich mit geknacktem Passwort anmelden.
(4) Angriff bzw. Angriffsvektor (attack vector): Möglicher
Angriffsweg, der eine oder mehrere Schwachstellen ausnutzt.
z.B. Knacken des schwachen Passworts mittels Brute Force.
Login unter der Kennung Alice mit korrektem Passwort.
Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 17
 Technische Universität München

Beispiel eines etwas komplexeren Angriffsvektors für ID Diebstahl
Asset: Passwort und Nutzerdaten
Schwachstelle: Unsicheres WLAN:
Alice Attacker
Passwort wird beim Login im Klartext
übermittelt.
Bedrohung: User Alice
Pwd_Alice
Einloggen unter falscher ID und
unerlaubte Zugriffe mit abgefangenem
Passwort.
Angriffsweg:
Web-
1. Abhören der Funkstrecke (WLAN) Server
2. Ausspähen des Passwortes zum Account Alice
3. Einloggen als Alice mit Passwort: Zugriff auf Daten von Alice

Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 18
 Technische Universität München

1.3. Angriffsklassen (hier nur Auswahl, Vertiefung in Übung)
(1) Ungenügende Eingabe- (und Ausgabe) validierung
Eingabe/Ausgabedaten werden nur unzureichend geprüft bzw. bereinigt.
Beispiel 1: Buffer-Overflow
Schreiben außerhalb des Speicherbereichs (buffer), der für die
Speicherung des Wertes einer Variable vorgesehen ist.
Mögliche Effekte bei Erfolg:
Ändern von Daten, Programm-Crash, unerlaubte Zugriff
Angriffsszenario vergröbert:
Der Buffer sei ein Speicherbereich für Werte der Variable r_i
Buffer (grün) hat die Größe 6. d.h. der Buffer Andere
hat für 6 Zeichen Speicherplatz reserviert, Daten

Sei r_i = = Hello-World, r_i wird im Buffer gespeichert
Buffer
Frage: was passiert beim Speichern von r_i? Bereich

Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 19
 Technische Universität München

Beispiel 2: Code-Injection (z.B. bei SQL, LDAP, Shell): Nicht validierte
Daten werden von einem Interpreter als Bestandteil einer Anfrage
verarbeitet, um z.B. Kommandos (z.B. delete) auszuführen oder die
Semantik zu verändern.
z.B. Code Injection über eine SQL-Injection Attacke
Basis: SQL-Datenbank mit Daten von Nutzern
Über Queries können Abfragen an die Datenbank gestellt werden.
Beispiel-Anfrage: Aus Datei „users“ sollen Daten des Nutzers mit
Identität „id“ ausgegeben werden. select * durchsucht alle Spalten.
$query = “SELECT * FROM users WHERE id=‘“. $id. “‘“;
Angriff: Schließt öffnendes Anführungszeichen

$id = “1‘ OR 1=1 --“ (Ausgabe aller Nutzer)
SQL-Kommentarzeichen: Rest des Queries ignorieren
Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 20
 Technische Universität München

z.B. Code Injection über Cross-Site-Scripting (XSS)
Angreifer bringt JavaScript Code in Webseite des Servers S ein.
Ausführung erfolgt im Browser des Opfer-Rechners von Alice.
Szenario
2. Aufruf der Webseite Web-
3. Laden der Seite in den Browser Server S
Alice
4. Ausführung
des in der Seite
eingebetteten
Schad-Codes 1. Schad-Code wird
im Browser von in Webseite platziert
Alice Attacker
Frage: was könnte ein Angreifer für ein Ziel haben?

Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 21
 Technische Universität München

(2) Angriffsklasse Identitätsdiebstahl:
Schwachstellen bei Identitätsprüfung ermöglichen es Angreifern, unter
einer fremden Identität (Maskierung, Spoofing) zu agieren:
Beispiele: ARP-Spoofing, IP-Address-Spoofing, gespoofte E-Mail-
Absenderadressen
Angriffsvektor: häufig Man-in-the Middle Angriff als Ausgangspunkt
Szenario verdeutlicht das Prinzip
Gewünschte Kommunikation

Alice Bob
1. Umlenken 2.
des Transfers Weiterreichen an Bob
über Eve
Attacker Eve: in the middle
Frage: was kann Eve alles machen?
Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 22
 Technische Universität München

(3) Angriffsklasse: Angriffe auf die Verfügbarkeit
(Distributed) Denial of Service ((D)DoS):
Absichtlich herbeigeführte Überlast z.B. von Servern, Routern

(4) Angriffsklasse Mensch: unwissend, vertrauensselig
Social Engineering: täuschen von Menschen durch z.B. präparierte
Web-Seite, Fake-Mail, Fake-Telefonate

(5) Angriffsklasse Web-Application Security: OWASP Top 10
Top 10 Liste der wichtigsten Sicherheitsprobleme im Web-Application
Bereich. https://owasp.org/Top10/
Platz 1: Broken Access Control: zuviele Zugriffsberechtigungen
Platz 2: Fehlerhafte oder fehlende Nutzung von Krypto

Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 23
 Technische Universität München

1.4 Klassen von Schadcode (engl. Malware), Auswahl
(1) Virus: nicht selbständiges Programm, das sich selbst in noch nicht
infizierte Dateien kopiert. Bei Ausführung des Virus wird seine
Schadfunktion (malware) ausgeführt: z.B. formatiere die Festplatte.

Beispiel: Emotet Familie von Viren für Windows, seit 2014 bekannt
Emotet: liest das Adressbuch von Outlook aus und
schickt Mails an die gefundenen Kontakte.
Angehängt ist meist eine Word-Datei mit einem integrierten Makro, das
beim Öffnen der Datei durch den Empfänger ausgeführt wird.
Schadfunktionalität:
Einschleusen von Ransomware oder von Software zur Übernahme des
Systems.

Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 24
 Technische Universität München

(2) Schadcode-Klasse Trojaner: Programm, das neben der spezifizierten
nützlichen Funktionalität zusätzlich eine versteckte Funktionalität enthält.
Beispiel: Keylogger, Trojaner in der Login-Funktion
Spezifizierte Login-Funktion: Passworteingabe von Tastatur
Keylogger-Trojaner: Aufzeichnen des Passworts und zum Beispiel
senden des Passworts an Angreifer-Rechner.
(3) Schadcode-Klasse Ransomware: verschlüsselt Daten auf Opfer-
Rechner (Angreifer erpressen Opfer: Geld gegen Schlüssel)
Beispiel: WannaCry für Windows-Systeme, 2014
Millionen von Windows-Rechnern befallen.
Nutzte eine Schwachstelle im Windows-Betriebssystem aus, für die es
aber bereits einen Patch gab!
Einfallstor: schlecht administrierte Systeme!

Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 25
 Technische Universität München

1.5 Schutzziele
Basis-Ziele: CIA: Confidentiality, Integrity, Availability
1. Informationsvertraulichkeit (confidentiality):
Schutz vor unautorisierter Informationsgewinnung
Beispiele für Angriffe: Abhören, Passwort knacken
Frage: Welche der Maßnahmen (a) – (d) sind geeignet zur Umsetzung
des Schutzziels Confidentiality? Warum, warum nicht?
(a) Verschlüsselte Speicherung der Information.
(b) Backup der Information auf zusätzlichem Medium.
(c) Protokollieren von Zugriffen und forensische Analyse.
(d) Kontrolle von Zugriffen auf die Information.

Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 26
 Technische Universität München

2. Datenintegrität (integrity):
Schutz vor unautorisierter und unbemerkter Modifikation
Beispiele für Angriffe: Buffer-Overflow, SQL-Injection,
Bem.: Verhindern einer Manipulation ist nicht immer möglich, z.B. Ändern
von Daten, die über WLAN übertragen werden, aber es ist das Ziel, dann
nicht mit manipulierten Daten zu arbeiten!
Frage: Welche Maßnahmen (a) – (d) sind geeignet, also auch pragmatisch
nutzbar, zur Umsetzung des Schutzziels Datenintegrität?
(a) Verschlüsselte Speicherung der Information.
(b) Kontrolle von Zugriffen auf die Information.
(c) Nutzen von CRC Codes zur Erkennung von Fehlern.
(d) Redundanten Datenhaltung (z.B. RAID) und Vergleich der Daten.

Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 27
 Technische Universität München

3. Verfügbarkeit (availability):
Schutz vor unbefugter Beeinträchtigung der Funktionalität
Beispiele für Angriffe: Ransomware, Spam
Bem.: befugte Beeinträchtigungen gibt es in Systemen häufig, z.B.
Scheduling (Reihenfolge der Ausführung von Programmen auf dem
Rechner): hier könnten z.B. Systemprozesse Vorrang vor
Anwenderprogrammen erhalten, diese werden berechtigt verzögert.
Frage: Welche Maßnahmen (a) – (c) sind geeignet und pragmatisch zur
Umsetzung des Schutzziels Verfügbarkeit?
(a) Verschlüsselte Speicherung der Information.
(b) Nutzung einer Firewall.
(c) Redundante Datenhaltung (z.B. RAID).

Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 28
 Technische Universität München

Weitere Schutzziele;
4. Authentizität (authenticity):
Nachweis der Echtheit und Glaubwürdigkeit der Identität einer
handelnden Entität (natürliche Person, Maschine, Dienst, …) oder
eines zu nutzenden Objekts.

Beispiel: : Bei klassischem Nutzer-Login:
Die Kennung ist die Identität, z.B. Eckert
Der Nachweis ist das Passwort
Beispiele für Angriffe: Phishing, Man-in-the-Middle:
Schutzkonzepte: u.a. Passwort
Biometrischer Fingerabdruck,
digitaler Personalausweis
Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 29
 Technische Universität München

5. Verbindlichkeit, Zurechenbarkeit (accountability):
Schutz vor unzulässigem Abstreiten durchgeführter Handlungen
Beispiele für verbindliche Handlungen
Versandt einer Mail/einer Instant Message, Bezahlvorgang
Beispiel für Angriffe: Identitätsdiebstahl, Mailadresse fälschen
Schutzkonzepte:
Digitale/elektronische Signatur, ggf. Blockchain

6. Privatheit (privacy):
Die Fähigkeit einer natürlichen Person, die Weitergabe und Nutzung
seiner personenbeziehbaren Daten zu kontrollieren (informationelle
Selbstbestimmung).
Beispiele für Angriffe: Profilbildung, Analytics
Schutzkonzepte: u.a. Anonymisierung, Pseudomisierung
Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 30
 Technische Universität München

Bem.: In Systemen werden idR Kombinationen von mehreren Schutzzielen
gefordert.
Beispiel-Szenario:
Login über das Internet auf einen Web-Server und Zugriff auf Daten unter
dem eigenen Nutzer-Account auf dem Server.
Mögliche Schutzziele:
Authentizität des Nutzers und des Servers.
Vertraulichkeit der Information u.a. beim Lesen von Daten vom Server
im Browser von Alice.
Integrität der Daten u.a. auf dem Server.

Web-Server
Laptop Internet
User: Alice Alice-Account

Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 31
 Technische Universität München

1.6 Security-Policy, IT-Sicherheitsrichtlinien
Festlegen der Schutzziele und der Menge von einzuhaltenden
technischen und organisatorischen Regeln und Richtlinien
Festlegen von Verantwortlichkeiten
Bem.: In Unternehmen werden die Sicherheitsrichtlinien, idR in einem
umfangreichen Handbuch (gerne mal > 100 Seiten) textuell festgehalten,
der Nachweis, dass alle Vorgaben eingehalten sind (Audit), ist aufwändig,
automatische Tools (ggf mit KI) noch selten.

Beispiele:
Organisatorische Regel: 4 Augen-Prinzip bei sensitiven Abläufen.
Compliance: GDPR Konformität: Zweckbindung, Lösch-Vorgaben,
Technisch: Passwort-Regeln: Länge, Sonderzeichen etc.
Technisch: Personenbezogene Daten nur verschlüsselt übertragen
Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 32
 Technische Universität München

Beispiel: technische Policy im Browser: Same-Origin-Policy (SOP)
(Java-)Skripte werden im Kontext einer Webseite ausgeführt.
Policy legt fest, worauf das Skript während seiner Ausführung im
Kontext des Client-Browsers zugreifen darf:
Zugriff ist erlaubt auf Objekte/Inhalte von Seiten, die von der gleichen
Webseite stammen: „same origin“
Gleichheit: Kombination von Protokoll, Domain und Port
Beispiel: Skript ausgeführt in http://www.tum.de/cms/index.php:
Quiz: Zugriff auf http://www.tum.de/studenten/index.php erlaubt?
Quiz: Zugriff auf http://www.tum.de/index.html erlaubt?
Quiz: Zugriff auf http://www.tum.de:8080/index.html erlaubt?
Quiz: Zugriff auf http://www.in.tum.de/index.php erlaubt?
Aber: SOP ist nicht ausreichend, u.a. durch XSS zu umgehen.
Vorlesung IT-Sicherheit, WS 24/25, C. Eckert, Kapitel 1: Organisation und Einführung 33