Security Essentials Prüfungsvorbereitung 020-100 PDF
Document Details
Uploaded by PainlessParody7298
Stefan Hofmann
Tags
Related
- Kubernetes Vs. Docker (Exam 212-82) PDF
- Security Essentials Prüfungsvorbereitung 020-100 PDF
- Linux Essentials Test Review Questions PDF
- Oracle 1z0-599 WebLogic Server 12c Essentials PDF
- CISSP All-in-One Exam Guide - Chapter 22: Security Incidents PDF
- 2.5 Explain The Purpose of Mitigation Techniques Used to Secure The Enterprise PDF
Summary
This document is a preparation guide for the 020-100 exam. It covers various security concepts, including goals, roles, actors, and risk assessment and management. It also mentions important information concerning security vulnerabilities, such as Zero-Day vulnerabilities and targeted attacks.
Full Transcript
Security Essentials Prüfungsvorbereitung 020-100 © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 1 Wichtiger Hinweis! Video- und Audio-Mitschnitte des Kurses sind nicht gestattet und können rechtliche Konsequenzen haben...
Security Essentials Prüfungsvorbereitung 020-100 © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 1 Wichtiger Hinweis! Video- und Audio-Mitschnitte des Kurses sind nicht gestattet und können rechtliche Konsequenzen haben! Achten Sie bei Screenshots darauf, keine anderen Teilnehmenden zu fotografieren! © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 2 Vorstellungsrunde Stefan Hofmann Berater und Trainer bei der xamira networks GmbH: Linux IPv6 Ansible LPIC-1, LPIC-2 © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 3 Vorstellungsrunde xamira networks GmbH Dienstleistungsanbieter für IT-Infrastruktur: Beratung Training Missionsunterstützung Besondere Schwerpunkte im Bereich Netzwerk, Linux, Virtualisierung, Container, Cloud und Cloud Native-Technologien © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 4 Vorstellungsrunde Wer seid ihr? Organisation und Funktion? Vorwissen bezüglich IT-Sicherheit? Erfahrung mit Zertifizierungsprüfungen? Konkrete Fragen und Erwartungen? © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 5 ACHTUNG In diesem Kurs werden Verfahren und Werkzeuge behandelt, die bei entsprechender Anwendung schwerwiegende Auswirkungen auf die Sicherheit und Verfügbarkeit von IT- Systemen haben und zu rechtlichen Konsequenzen führen können! Nutzen Sie die hier gezeigten Methoden ausschließlich in der Laborumgebung! Handeln Sie stets verantwortungsvoll! © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 6 021 Security Concepts 021.1 Goals, Roles and Actors (weight: 1) © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 7 Bedeutung von IT-Sicherheit Die Bedeutung von Informationstechnik und mithin ihre Sicherheit ist essenziell für die Funktion moderner Gesellschaften Zugleich wird die Informationssicherheit von unterschiedlichen Aktueren mit unterschiedlichen Folgen bedroht Informationen sind das zentrale Element der IT-Sicherheit: Von allgemeinen Informationen über Bedrohungslagen über Informationen bezüglich spezifischer Verwundbarkeiten und Informationen über stattfindende und erfolgreiche Angriffe bis hin zu Informationen über die eigene IT-Sicherheit In der Planung und Diskussion von IT-Sicherheit gibt es verschiedene Begriffe, um Schutzziele und Aktuere zu kategorisieren © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 8 Schutzziele / Scurity Goals In der IT-Sicherheit werden mehrere zentrale Schutzziele unterschieden: "Confidentiality" / "Vertraulichkeit": Daten sind nur für bestimmte Personen und niemand sonst zugänglich "Integrity" / "Integrität": Daten wurden nicht verändert und Veränderungen werden erkannt "Availability" / "Verfügbarkeit": Daen und Dienste sind in funktionsfähiger Weise verfügbar "Non-Repudiation" / "Nichtabstreitbarkeit": Der Absender oder Autor von Daten kann seine Urheberschaft nicht abstreiten © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 9 Zentrale Rollen in der IT-Sicherheit Es gibt eine Reihe von Rollen, die gemeinhin zur Beschreibung von Akteuren in der IT-Sicherheit verwendet werden: "Hacker" / "White Hat Hacker": Technisch versierte Personen, die in gutartiger Absicht oder aus technischem Interesse Sicherheitsmaßnahmen umgehen "Cracker" / "Black Hat Hacker": Technisch versierte Personen, die in bösartiger Absicht Sicherheitsmaßnahmen zu umgehen, oft, um sich zu bereichern, eine Reputation aufzubauen und/oder anderen zu schaden "Script-Kiddies": Technisch nicht versierte Personen, die vorhandene Software ("Scripts") ohne tiefgreifendes Verständnis einsetzen, um sich zu bereichern, eine vermeintliche Reputation aufzubauen und/oder anderen zu schaden © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 10 Folgen von Sicherheitsvorfällen Folgen von Sicherheitsvorfällen bezogen auf Daten: Unbefugter Zugriff auf Daten (Bekanntwerden geheimer oder persönlicher Informationen, Nutzen der Daten für weitere Angriffe) Manipulation von Daten (Verschlüsseln von Daten) Löschen von Daten (Beeinträchtigen der Verfügbarkeit von Daten und Diensten) Folgen von Sicherheitsvorfälle bezogen auf Dienste: Unterbrechung des Betriebs von Diensten (Prozesse des Gemeinwesens funktionieren nicht mehr) Einflussnahme auf Prozesse außerhalb der akut betroffenen Systeme Fehlfunktionen und -steuerungen führen zu weiteren Schäden an Anlagen © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 11 Folgen von Sicherheitsvorfällen Über die direkten Konsequenzen für die betroffenen IT-Systeme haben Angriffe oft weitere Folgen: Lösegelderpressung ("Ransom Extortion"), fordern von finanziellen Mitteln als Gegenleistung für das Wiederherstellen von Daten, Unterlassen von Veröffentlichungen oder das Einstellen von Angriffen Industriespionage, nutzen unrechtmäßig erlangter Informationen zum Vorteil gegenüber Mitbewerbern Angriffe auf weitere Systeme unter Nutzung der erbeuteten Informationen und Zugänge Backdoors, die dem Angreifer fortdauernden Zugriff auf die angegriffenen Systeme erlauben © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 12 Folgen von Sicherheitsvorfällen Die Zuordnung ("Attribution") eines Angriffs zu einem bestimmten Aktuer ist oft schwer Angriffe erfolgen möglicherweise oft von Computern, die ihrerseits bereits von Hackern übernommen wurden Angreifer legen oft falsche Fährten (Kommentare in Fremdsprachen, Angriffe in den Arbeitszeiten in bestimmten Zeitzonen) Insbesondere für öffentliche Anschludigungen und Reaktionen auf einen Angriff muss die Urheberschaft mit einer gewissen Verlässlichkeit feststehen Das systematische Erheben und Zusammentragen von relevanten Informationen ist nicht nur für die Zuordnung von Angriffen, sondern auch für ihre Verhinderung, Erkennung und Abwehr maßgeblich © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 13 021 Security Concepts 021.2 Risk Assessment and Management (weight: 2) © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 14 Informationen bezüglich IT-Sicherheit Informationen über sicherheitsrelevante Ereignisse, sowohl bezogen auf die eigene Organisation als auch auf die eingesetzten Produkte sind von entscheidender Wichtigkeit für die IT-Sicherheit Informationen stammen oft aus verschiedenen Quellen In verschiedenen Situationen werden unterschiedliche Informationen benötigt: Planung, Tests, Härtung, Abwehr, Analyse,... Auf Grundlage dieser Informationen erfolgt die Planung und Umsetzung von Maßnahmen sowie die Verbesserung, Verteidigung und Schadensbegrenzung im Angriffsfalle Neben den Informationen der eigenen Hersteller und Zulieferer gibt es viele weitere Informationen, die selbst erhoben oder von Dritten bezogen werden können © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 15 Wesentliche Eigenschaften von Sicherheitslücken Der Ausgangspunkt für die Bewertung von Sicherheit ist die Analyse von Bedrohungen und Sicherheitslücken Sicherheitslücken haben verschiedene Eigenschafen, die eine erste Einordnung der Sicherheitslücke erlauben Einige zentrale Begriffe tauchen dabei immer wieder auf Die meisten zentralen Begriffe sind in Englisch und werden auch umgangssprachlich nicht eingedeutscht © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 16 Wesentliche Eigenschaften von Sicherheitslücken Zero-Day Vulnerabilities: Sicherheitslücken, die neu entdeckt wurden Oft sind noch keine Patches und Abwehrmechanismen entwickelt oder bekannt Hohes Risiko, da die Verwundbarkeit von Zielen den Verantwortlichen oft noch nicht bekannt ist Hoher Marktwert, da "Zero-Days" sehr effizient auszunutzen sind © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 17 Wesentliche Eigenschaften von Sicherheitslücken Remote Execution sowie Remote Explication Sicherheitslücken, die per Netzwerk ausgenutzt werden können Die simple Erreichbarkeit der Systeme genügt, um sie einem Angriff aufzusetzen Insbesondere Systeme, die mit dem Internet oder anderen offenen Netzen verbunden sind, sind besonders gefährdet Zugänge und Logins in die Systeme sind für einen erfolgreichen Angriff nicht erforderlich © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 18 Wesentliche Eigenschaften von Sicherheitslücken Privilege Escalation: Sicherheitslücken können dazu führen, dass ein Angreifer, der begrenzte Berechtigungen in einem Dienst hat, diese Berechtigungen ausweitet Umgehen von Sicherheitsprüfungen und Zugriff auf eigentlich nicht zulässige Funktionen und Daten Veränderung von Berechtigungen vorhandener Benutzerkonten Übernahme oder Impersonieren von anderen Benutzerkonten mit höheren Rechten © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 19 Wesentliche Eigenschaften von Sicherheitslücken Untargeted Attacks: Wahllose Angriffe potentiell verwundbarer Ziele Abscannen ganzer Netze nach möglichen Zielen Ungerichteter Versandt von Malware Durch eine hohe Anzahl an Versuchen kann auch eine geringe Trefferquote viele Ziele offenbaren Standardisierte Angriffswerkzeuge und Malware erlauben schnelles und breits Ausprobieren möglicher Angriffe Die Erkennung der Angriffe wird von den Angreifern in Kauf genommen © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 20 Wesentliche Eigenschaften von Sicherheitslücken Advanced Persistent Threats (APT): Angriffe, die für ein spezifisches Ziel vorbereitet wurden Hoch spezialisierte Angriffe Umfassende Informationssammlung über das Ziel im Vorfeld des Angriffs Ziel ist es typischerweise, tief in die Zielumgebungen vorzudringen und möglichst lange unentdeckt zu bleiben Professionelle Akteure, Hackergruppen, staatliche Organisationen © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 21 Common Vulnerabilities and Exposures (CVE) Common Vulnerabilities and Exposures (CVE): Datenbank sowie Verfahren zur einheitlichen Katalogisierung, Identifikation, Bewertung und Verbreitung von Informationen über Sicherheitsschwachstellen Verantwortlich ist die Amerikanische National Cybersecurity FFRDC (NCF) FFRDE steht für Federally Funded Research and Development Center Betrieb durch The MITRE Corporation, ein Amerikanisches Non-Profit Schwachstellen werden gesammelt und in einer Datenbank katalogisiert Durchsuchen der CVE-Datenbank: https://cve.mitre.org/cve/search_cve_list.html © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 22 Common Vulnerabilities and Exposures (CVE) CVE IDs: Eindeutige Identifikation von Sicherheitslücken Vergabe durch CVE Numbering Authority (CNA) Prefix: CVE, Jahr, vierstellige Ziffern (bei Bedarf werden die Ziffern höher) Beispiel: CVE-2019-1213 © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 23 Common Vulnerabilities and Exposures (CVE) CVE Scores: Common Vulnerability Scoring System (CVSS) Kennzahl zur Bewertung des Risikos einer Schwachstelle Unterschiedliche Eigenschaften fließen in die Bewertung ein Hilfreichen zum schnellen Einschätzen einer Schwachstelle und zur Priorisierung von Abwehrmaßnahmen © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 24 Common Vulnerabilities and Exposures (CVE) CVE Scores: Verschiedene Berechnungswege, aktuell Version 4.0 Aktueller Standard: https://www.first.org/cvss/specification-document Gute Übersicht: https://en.wikipedia.org/wiki/Common_Vulnerability_Scoring_System Rating anhand der kommulierten Scores: 0.0: None 0.1 bis 3.9: Low 4.0 bis 6.9: Medium 7.0 bis 8.9: High 9.0 bis 10.0: Critical © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 25 Common Vulnerabilities and Exposures (CVE) CVE Scores (Beispiele aus CVSS (V2)): Access Vector (AV): Wie kann der Angreifer die Lücke ausnutzen AV:L: Lokaler Zugang erforderlich AV:A: Zugang zu einem eigenen Subnetz erforderlich AV:N: Ausnutzen aus entfernten Netzen möglich Access Complexity (AC): Wie schwierig ist es für einen Angreifer, die Lücke auszunutzen, sobald er im System ist Authentication (AU): Wie oft muss sich der Angreifer am System anmelden/authentisieren AU:M: Mehrfache Authentisierung notwendig (normaler Benutzer -> sudo Root) AU:S: Einmalige Anmeldung genügt (normaler Benutzer) AU:N: Keine Anmeldung erforderlich © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 26 Information Security Management System (ISMS) Information Security Management System (ISMS): Zentrales System zur Verwaltung sicherheitsrelevanter Informationen sowie zur Bewertung der Wahrscheinlichkeit und des Schadens von Risiken sowie zur Planung von Abwehrmechanismen Besonders wichtige Funktionen sind dabei Identifikation möglicher Risiken Bewerten der Wahrscheinlichkeit sowie des mögliche Schaden Festlegen der zu treffenden Gegenmaßnehmen Nachvollziehbare Dokumentation und Einhalten definierter Mindeststandards Oft eingebettet in weitere Maßnahmen zur Qualitätssicherung (ISO 27000, ITIL,...) © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 27 Information Security Incident Response Plan Information Security Incident Response Plan: Dokumentation für das Vorgehen im Falle eines Sicherheitsvorfalls Freigabe von hoher verantwortlicher Stelle in der jeweiligen Organisation Zentrale Dokumentation von wichtigen Informationen, Dokumenten, Kontaktdaten Enthält sensible Informationen (IP-Adressen, Notfall-Zugangsdaten) Zugangsberechtigungen sind wichtig: Angreifern darf das Dokument nicht bekannt werden, alle an der Reaktion auf Sicherheitsvorfällen Beteiligten muss er jedoch verlässlich auch bei einem Ausfall von IT-Systemen zugänglich sein Ersetzt nicht die Analyse und Anpassung des konkreten Vorgehens im Einzelfall © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 28 Computer Emergency Response Team (CERT) Computer Emergency Response Team (CERT) Der Name ist rechtlich teilweise geschützt, alternativer, aber kaum genutzter Term: Computer Security Incident Response Team (CSIRT) Gruppe von Personen, die im Falle einer sicherheitsrelevanten Ereignisses um die Abwehr der Gefahr und Begrenzung des Schadens verantwortet Monitoring der Bedrohungssituation und Herausgabe von Warnungen im Falle relevanter Ereignisse, etwa dem Bekanntwerden neuen Sicherheitslücken Empfehlungen und Unterstützung für den Umgang mit Sicherheitsvorfällen Große Organisationen unterhalten CERTs, in Deutschland beispielsweise das CERT-Bund als Teil des BSI (https://www.bsi.bund.de/dok/6616602) © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 29 Forensics Nach einem Sicherheitsvorfall müssen möglichst viele belastbare und vertrauenswürdige Informationen vorhanden sein, um den Angriff sowie die damit einhergegangen Aktionen zu verfolgen Die Analyse von Systemen nach einem Angriff wird als "IT Forensics" bezeichnet IT Forensic wird durch verschiedene Tools erleichtert Zentrale Fragen sind: Wie ist der Angriff erfolgt? Welche Systeme sind betroffen? Wurden Backdoors installiert? Wurden Daten manipuliert? Wurden Daten kopiert? © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 30 Security Assesments Sicherheitsmaßnahmen müssen regelmäßig überprüft werden Der Begriff "Security Assesment" bezeichnet Tests der getroffenen Sicherheitsmaßnahmen Automatisierte Werkzeuge und Scanner, um automatisch verwundbare Systeme, Dienst und Anwendungen zu finden Manuelle Simulation von Angriffen Auswerten von Logs und Monitoring, um Angriffsversuche und ungewöhnliche Vorgänge zu erkennen © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 31 Penetration Testing "Pentests" dienen dazu, die Sicherheit der eigenen IT-Infrastruktur zu testen Es werden Angriffsmethoden und -werkzeuge echter Hacker genutzt Der Angriff muss durch die Verantwortlichen des zu testenden Ziels ausdrücklich autorisiert werden Durchführung oft durch externe Dienstleister, wahlweise mit oder ohne Kenntnisse über das Zielsystem ("White-Box-Test" / "Black-Box-Test") Ziel ist es, bestehende Sicherheitslücken zu identifizieren und die Effektivität der Sicherheitsmaßnahmen zu testen Pentests werden häufig nicht breit angekündigt, um die Reaktionen aller Beteiligten unter realen Bedingungen zu testen und zu verbessern © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 32 Penetration Testing Pentests erfordern einen eindeutigen und klaren rechtlichen Rahmen Die im Rahmen eines Pentests ausgeführten Handlungen können je nach Kontext rechtliche Implikationen haben Ein Penetrationstest darf niemals ohne vorherige Abstimmung und expliziter Freigabe durch die Verantwortlichen des untersuchten Ziels durchgeführt werden! Als Teil der Freigabe muss die Zielsetzung, der Umfang sowie die Grenzen des Test klar definiert und verschriftlicht werden Besonders wichtig ist die Definition, ob auch Angriffe ausgeführt werden dürfen, die potentiell Daten verändern, Passwörter manipulieren oder die Verfügbarkeit von Systemen beeinträchtigen können sowie eine entsprechende Haftungsregelung © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 33 021 Security Concepts 021.3 Ethical Behavior (weight: 2) © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 34 Umgang mit Sicherheitslücken Folgen von IT-Sicherheitsvorfällen gehen weit über die Informationstechnologie hinaus und können für Menschen persönliche, soziale und finanzielle Auswirkungen sowie für Firmen existenzielle Folgen haben: Schützenswerte Informationen von Unternehmen werden von Konkurrenten genutzt Einkäufe werden mit fremden Zahlungsmitteln getätigt Finanzielle Werte werden von Konten überwiesen und können nicht mehr zurückerstattet werden Prozessrelevante Informationen sind für Unternehmen nicht mehr zugänglich, Produktionsabläufe stocken, Zwischenprodukte verderben, Anlagen werden beschädigt Informationen für medizinische Versorgung sind nicht mehr verfügbar Versorgung mit Lebensmitteln oder Kraftstoffen werden eingeschränkt © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 35 Umgang mit Sicherheitslücken Schäden iin IT-Systemen können vergleichsweise leicht ausgelöst werden: Scheinbar harmlose Scans lösen Alarme aus und führen zu invasiven Abwehrmaßnahmen Ausprobieren von Parametern kann Aktionen auf Produktionssystemen auslösen Kopien von Daten sind möglicherweise unzureichend geschützt und können Dritten zugänglich werden Schwachstellenscanner können Zielsysteme abstürzen lassen Security-Tools können schwerwiegende Folgen auslösen und sollte niemals unreflektiert gegen produktive eingesetzt werden © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 36 Umgang mit Sicherheitslücken Der verantwortungsvolle Umgang mit sicherheitsrelevanten Informationen ist wichtig Werden Schwachstellen bekannt, sollten zunächst diejenigen vertraulich informiert werden, die Abhilfe schaffen können Werden personenbezogene Daten oder Daten Dritter bekannt, ist von ihnen keine Kenntnisse zu nehmen und keine Kopie zu fertigen Jede Weitergabe derartiger Informationen stellt ein mögliches Fehlverhalten dar und sollte stets mit allen Konsequenzen betrachtet werden © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 37 Umgang mit Sicherheitslücken Bug Bounty Program: Hersteller loben Preise für das Melden von Fehlern und Sicherheitslücken aus Die Höhe der Belohnung für das Melden von Lücken hängt oft von der Schwere der Lücke und kann je nach Hersteller höchst unterschiedlich ausgefallen Oft ist die Teilnahme an bestimmte Bedingungen gebunden, die oft einem Responsible Disclosure, mitunter aber auch der Abgabe einer Verschwiegenheitserklärung enthalten Typischerweise sehen die jeweiligen Institutionen von rechtlichen Schritten gegen die Meldenden ab © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 38 Umgang mit Sicherheitslücken Responsible Disclosure: Prozess für die verantwortungsvolle Bekanntgabe von Sicherheitsinformationen Üblicherweise wird zunächst der Hersteller des betroffenen Produkts vertraulich informiert Eine Information von weitere Parteien erfolgt typischerweise zunächst nicht Dem Hersteller wird ein bestimmter Zeitraum, üblich sind 90 Tage, eingeräumt, um die Sicherheitslücke zu beheben Nach der Reparatur der Sicherheitslücke oder nach Ablauf der Zeit werden die Informationen bezüglich der Sicherheitslücke allgemein veröffentlicht Durch den Informationsvorsprung wird dem Hersteller eine Gelegenheit gegeben, Schaden von den Nutzenden der Produkte abzuwenden © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 39 Umgang mit Sicherheitslücken Full Disclosure: Informationen über Sicherheitslücken werden sofort allgemein veröffentlicht Der jeweilige Hersteller erhält keine Vorwarnung und keine Gelegenheit, vor der Veröffentlichung Abhilfe zu schaffen Veröffentlichung enthält oft Beispiel-Code, der den Fehler demonstriert und das Ausnutzen der Lücke erleichtert Nutzende der betroffenen Produkte sehen sich oft einer unmittelbar erhöhten Bedrohungslage aufgesetzt © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 40 Rechtliche Konsequenzen Handlungen im Bereich der IT-Sicherheit können ernstzunehmende rechtliche Konsequenzen haben Die Rechtslage ist verschiedenen Ländern im Detail sehr unterschiedlich Recht lässt sich grob drei Kategorien einteilen: Öffentliches Recht: Regelt das Miteinander von Bürgern und Staat Privatrecht: Regelt das Miteinander zwischen natürlichen und juristischen Personen Staatsrecht und Internationales Recht: Regelt die Angelegenheiten von Staaten © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 41 Rechtliche Konsequenzen Strafrecht ("Penal Law") Das Strafrecht beschreibt bestimmte rechtswidrige Verhaltensweisen und gibt ein mögliches Strafmaß vor Strafrecht ist in verschiedenen Ländern unterschiedlich Strafrecht ist Teil des Öffentlichen Rechts und regelt Aspekte im Verhältnis zwischen Bürger und Staat Es gibt kein Unternehmensstrafrecht in Deutschland Im Deutschen Strafrecht finden sich Regelungen mit Bezug zur IT-Sicherheit in den §§ 202a ff StGB Es gibt jedoch auch einschlägiges Nebenstrafrecht © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 42 Rechtliche Konsequenzen Strafrecht § 202a StGB Ausspähen von Daten (1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. (2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden. © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 43 Rechtliche Konsequenzen Strafrecht § 202b StGB Abfangen von Daten Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist. © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 44 Rechtliche Konsequenzen Strafrecht § 202c StGB Vorbereiten des Ausspähens und Abfangens von Daten (1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er 1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder 2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. (2) § 149 Abs. 2 und 3 gilt entsprechend. © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 45 Rechtliche Konsequenzen Zivilrecht ("Private Law") Das Zivilrecht regelt Angelegenheiten zwischen natürlichen Personen sowie privatrechtlichen juristischen Personen Erleidet eine Person durch das Handeln einer anderen Person einen Schaden, kann die Person zum Ersatz dieses Schadens verpflichtet sein © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 46 Rechtliche Konsequenzen Zivilrecht ("Private Law") Haftbarkeit ("Liability"): Erleidet eine Person durch das Handeln einer anderen Person einen Schaden, haftet die Person, die kausal für den Schaden verantwortlich Im Bereich der IT-Sicherheit können bereits kleine Handlungen zu erheblichen Schäden führen Schadenersatzklagen ("Financial Compensation Claims") Der Verursacher wird auf den Ersatz des durch sein Handeln verursachten Schadens verklagt und gegebenenfalls dazu verpflichtet Schäden sind beispielsweise Kosten für die Wiederherstellung von Systemen, Wiederbeschaffen von Informationen, ausgefallener Geschäftstätigkeit,... © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 47 Rechtliche Konsequenzen Urheberrecht ("Copyright Law") Das Urheberrecht ist ein besonderer Teil des Zivilrechts Regelung der Nutzung und Verwertung schöpferischer Werke Daten in Informationssystemen erreichen regelmäßig die urheberrechtliche Schöpfungshöhe und genießen entsprechenden Schutz Die unerlaubte Weitergabe und Verwertung urheberrechtlich geschützter Informationen kann zu Unterlassungsforderungen und Schadenersatzforderungen führen © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 48 Rechtliche Konsequenzen Datenschutzrecht ("Privacy Law") Personenbezogene Daten betreffen Einzelpersonen und sind deshalb rechtlich besonders geschützt Bestimmte personenbezogene Daten, beispielsweise medizinische Daten, genießen darüber hinaus noch strengeren Schutz Das Erheben und Verarbeiten personenbezogener Daten erfolgt unter engen rechtlichen Bedingungen in einem klar definierten Rahmen Das Datenschutzniveau ist international sehr unterschiedlich In Europa gilt die Datenschutzgrundverordnung ("DSGVO") / General Data Protection Regulation ("GDPR") © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 49 022 Encryption 022.1 Cryptography and Public Key Infrastructure (weight: 3) © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 50 Kryptographie und Verschlüsselung Um die verschiedenen Schutzziele der IT-Sicherheit zu erreichen, werden "Verschlüsselungsverfahren" eingesetzt, die mitunter auch als "kryptographische Verfahren" oder kurz Kryptologie bezeichnet werden Die im Internet genutzten Verfahren sind standardisiert, so dass Produkte verschiedener Hersteller miteinander kommunizieren können "Kryptographische Algorithmen" sind mathematisch kompliziert, weshalb bei der Anwendung immer auf vorhandene Implementierungen zurückgegriffen und keine eigene Umsetzung der Algorithmen versucht werden sollte! Das Projekt "OpenSSL" bietet zahlreiche Werkzeuge für die Nutzung von kryptoraphischen Funktionen als freie Software © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 51 Kryptographie und Verschlüsselung Kryptographische Verfahren lassen sich in mehrere Kategorien einteilen: Verschlüsselungsalgorithmen / Cipher Algorithmen zum Schlüsselaustausch / Key Exchange Algorithms Hash-Funktionen / Hash Functions © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 52 Kryptographie und Verschlüsselung "Verschlüsselung" / "Cipher": "Cipher" machen unter Zuhilfenahme eines Schlüssels aus einem Klartext einen nicht mehr lesbarer Text, der nur bei Kenntnis des passenden Schlüssels wieder lesbar gemacht werden kann Verschlüsselungsverfahren lassen sich in zwei Kategorien einteilen: Symmetrische Verschlüsselungsverfahren Asymmetrische Verschlüsselungsverfahren © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 53 Kryptographie und Verschlüsselung Verschlüsselung / Ciphers: Symmetrische Verschlüsselungsalgorithmen: Für das Ver- und Endschlüsseln wird derselbe Schlüssel genutzt Der Schlüssel muss sowohl dem Sender als auch dem Empfänger bekannt sein Bekannte symmetrische Verschlüsselungsalgorithmen: AES (Rijndael) © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 54 Kryptographie und Verschlüsselung © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 55 Kryptographie und Verschlüsselung Verschlüsselung / Ciphers: Asymmetrische Verschlüsselungsalgorithmen: Für das Ver- und Entschlüsseln werden verschiedene Teile eines Schlüssels genutzt, wobei der Sender den öffentlichen Schlüssel ("Public Key") des Empfängers für die Verschlüsselung nutzt, die dann nur noch von dem Empfänger mit dem dazugehörigen geheimen Schlüssel ("Private Key") rückgängig gemacht werden kann Bekannte asymmetrische Verschlüsselungsalgorithmen: RSA © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 56 Kryptographie und Verschlüsselung © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 57 Kryptographie und Verschlüsselung Verschlüsselung / Ciphers: Hybride Verschlüsselungsverfahren: Asymmetrische Verschlüsselungsalgorithmen sind bedeutend langsamer als symmetrische Verschlüsselungsalgorithmen "Hybride Verschlüsselungsverfahren" kombinieren symmetrische und asymmetrische Verfahren: Zwei Teilnehmende nutzen ein asymmetrisches Verfahren um eine sichere Verbindung nur in Kenntnis ihrer öffentlichen Schlüssel aufzubauen und vereinbaren über diese Verbindung einen gemeinsamen Schlüssel für symmetrische Verschlüsselung © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 58 Kryptographie und Verschlüsselung Verschlüsselung / Ciphers: Schlüssel individualisieren Verschlüsselungsverfahren so weit, dass es für jede Nutzung mit einem anderen Schlüssel verschiedene verschlüsselte Texte aus denselben Daten erzeugt Wird ein privater asymmetrischer oder ein gemeinsam genutzter symmetrischer Schlüssel bekannt, können Dritte die Verschlüsselung angreifen Im Internet ist in den meisten Fällen eine vorherige Abstimmung eines gemeinsamen Schlüssels über ein sicheres Medium nicht möglich, die die Anzahl der Teilnehmer im Netzwerk zu groß ist (Anzahl Besucher x Anzahl Websites) Mit asymmetrischer Verschlüsselung kann der öffentliche Schlüssel eines Servers allgemein bekannt gegeben werden, so dass eine sichere Kommunikation ohne individuelle Abstimmung möglich ist © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 59 Kryptographie und Verschlüsselung Verschlüsselung / Ciphers: Wenn es einem Angreifer gelingt verschlüsselte Kommunikation abzufangen, kann er aufgrund der Verschlüsselung die Daten zunächst nicht lesen Schafft es ein Angreifer später jedoch, den für die Verschlüsselung genutzten Schlüssel in Erfahrung zu bringen, lassen sich die abgefangenen Daten möglicherweise rückwirkend entschlüsseln Der Begriff "Perfect Forward Secrecy" bezeichnet Maßnahmen die verhindern, dass mitgeschnittene verschlüsselte Verbindungen später entschlüsselt werden können Dazu werden Verfahren genutzt, mit denen zwei Kommunikationspartner einen gemeinsamen Schlüssel vereinbaren können, ohne, dass dieser per Netzwerk übertragen wird © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 60 Kryptographie und Verschlüsselung "Schlüsselaustausch" / "Key Exchange Algorithms": Zwei Kommunikationspartner können einen gemeinsamen Schlüssel vereinbaren Typischerweise wird der gemeinsame Schlüssel in einer Weise vereinbart, in der am Ende beide Kommunikationspartner denselben Schlüssel kennen, er aber zu keinem Zeitpunkt per Netzwerk übermittelt wurde Wenn ein Angreifer Zugriff auf die Kommunikation während des Schlüsselaustauschs erhält, kann er daraus den abgestimmten Schlüsseln nicht rekonstruieren Bekannte Algorithmen zum Schlüsselaustausch: Diffie-Hellman Key Exchange (DH) © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 61 Kryptographie und Verschlüsselung "Hash-Funktionen" / "Hash Functions": Aus vorhandenen Daten wird eine Prüfsumme errechnet, die sich selbst bei minimalen Änderungen an den Daten verändert und keine Rückschlüsse auf die ursprünglichen Eingabedaten zulässt Einfaches Beispiel: Quersumme einer Telefonnummer Prüfsummen in kryptographischen Verfahren dienen dazu festzustellen, ob Daten verändert wurden Kollisionsangriffe beschreiben Szenarien, in denen es einem Angreifer gelingt, Daten so zu manipulieren, dass sie trotz einer Veränderung immer noch dieselbe Prüfsumme aufweisen und eine Veränderung an den Daten nicht anhand der Prüfsumme entdeckt werden kann Bekannte Hash-Algorithmen: MD5 (gilt heute für bestimmte Anwendungen als unsicher), SHA-256 © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 62 Kryptographie und Verschlüsselung "Signaturalgorithmen" / "Signature Algorithms" Eine "Signatur" erlaubt es, Veränderungen an Daten festzustellen und Dokumente zu unterschreiben Dazu wird mit einer Hash-Funktion eine Prüfsumme der zu bestätigenden Daten gebildet und diese Prüfsumme mit dem privaten Schlüssel der Person, die die Signatur erstellt, verschlüsselt Die Signatur wird zusammen mit den Daten versendet, so dass ein Empfänger die Prüfsumme der erhaltenen Daten selbst berechnen, die Signatur mit dem öffentlichen Schlüssel des Absenders entschlüsseln und die beiden Hashwerte vergleichen kann Ist der Vergleich erfolgreich, gelten die Daten als von dem Inhaber des Schlüsselpaars signiert und unverändert übermittelt © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 63 Kryptographie und Verschlüsselung © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 64 Kryptographie und Verschlüsselung Elliptic Curve Cryptography (ECC): "Elliptic Curve Cryptography (ECC)" ist eine besondere Form asymmetrischer Kryptographie Durch Elliptische Kurven werden Algorithmen, die ansonsten einen hohen Rechenaufwand erzeugen, mit signifikant weniger Ressourcen, aber ohne Beeinträchtigung ihrer Sicherheit nutzbar Im Alltag wird insbesondere der Diffie-Hellmann-Schlüsselaustausch mit Elliptischen Kurven zur Sicherstellung von Perfect Forward Secrecy genutzt © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 65 Kryptographie und Verschlüsselung Verschlüsslung kann auf verschiedenen Ebenen stattfinden: "Transportverschlüsselung" / "Transport Encryption": Die Daten werden für ein Segment der Datenübertragung verschlüsselt Beispiel: Ein Email-Client verschlüsselt die Verbindung zu seinem Email-Server und überträgt über diese Verbindung eine Email, die dann für diesen Teil verschlüsselt wird Der Email-Server leitet die Email an einen anderen Email-Server weiter und kann diese Verbindung ebenfalls zwischen den beiden Mailservern verschlüsseln Die Email liegt auf den beteiligten Mailservern im Klartext vor und es gibt keine Garantie, dass die Verschlüsselung während des gesamten Transports in einer bestimmten Weise vorgenommen wird © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 66 Kryptographie und Verschlüsselung Verschlüsslung kann auf verschiedenen Ebenen stattfinden: "Ende-zu-Ende-Verschlüsselung" / "End-to-End-Encryption": Der Absender verschlüsselt die Daten so, dass sie nur vom finalen Empfänger entschlüsselt werden können Die Daten können während des Transfers nicht eingesehen werden © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 67 Zertifikate und Public Key Infrastructures Das Internet ist ein System mit vielen möglichen Kommunikationspartnern: Alleine die Anzahl verfügbarer Websites macht es unmöglich, mit jeder Website einen Schlüssel individuell zu vereinbaren Mit asymmetrischer Kryptographie kann ein öffentlicher Schlüssel allgemein bekannt gegeben und zum Aufbau einer verschlüsselten Kommunikation verwendet werden Der Empfänger eines öffentlichen Schlüssels muss sicherstellen, dass der Schlüssel wirklich dem jeweiligen Kommunikationspartner gehört Gelänge es einem Angreifer, seinen öffentlichen Schlüssel mit einer falschen Identität zu verteilen, würden die Daten so verschlüsselt, dass statt dem eigentlichen Ziels der Angreifer die Daten entschlüssel kann Das führt zu der Frage, wie ein öffentlicher Schlüssel so bekannt gegebenen werden kann, dass beliebige Dritte nachvollziehen können, dass dieser Schlüssel tatsächlich zu dem angeblichen Inhaber gehört © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 68 Zertifikate und Public Key Infrastructures Zertifikate bestätigen die Identität von Schlüsselinhabern: Ein Zertifikat enthält sowohl die Angabe der Identität des Zertifikats-Inhaber, als auch dessen öffentlichen Schlüssel Zudem enthält das Zertifikat die Signatur einer Zertifizierungsstelle, die mit der Signatur die Zugehörigkeit von Schlüssel zur Identität verbrieft Kann jemand mit den öffentlichen Schlüssel verschlüsselte Daten lesen oder mit dem öffentlichen Schlüssel entschlüsselbare Daten erstellen, gilt dies als Nachweis über den Besitz des dazugehörigen privaten Schlüssels Der Inhaber des zum Zertifikat passenden privaten Schlüssels kann so die im Zertifikat verbriefte Identität annehmen © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 69 Zertifikate und Public Key Infrastructures Im Internet kommt der Standard "X.509" für Zertifikate zum Einsatz Ein X.509-Zertifikat hat bestimmte Felder: "Issuer": Wer hat das Zertifikat ausgestellt, also die Zertifizierungsstelle, von der das Zertifikat stammt "Subject": Für wen wurde das Zertifikat ausgestellt, also die Person oder der Server, der das Zertifikat nutzt "Public Key": Der öffentliche Schlüssel des Subjects "Validity": Gültigkeitszeitraum, also von wann bis wann das Zertifikat gültig ist © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 70 Zertifikate und Public Key Infrastructures Erstellen eines Zertifikats: Zunächst erstellt die Person, die das Zertifikat benötigt, ein neues Schlüsselpaar: Der geheime Schlüssel darf unter keinen Umständen bekannt werden Oft werden die Schlüssel auf dem System generiert, auf dem sie später verwendet werden sollen, so dass der private Schlüssel dieses System nie verlässt Dann erstellt die Person, die das Zertifikat benötigt, ein "Certificate Signing Request", kurz "CSR": Ein CSR ist der Antrag auf ein Zertifikat Das CSR enthält den öffentlichen Schlüssel, die Angabe der eigenen Identität sowie eine Signatur, die mit dem privaten Schlüssel erstellt wurde und so als Nachweis über den Besitz des privaten Schlüssels dient © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 71 Zertifikate und Public Key Infrastructures Erstellen eines Zertifikats: Das CSR wird eine Certificate Authority (CA) übermittelt und dort geprüft: Die CA prüft die im CSR enthaltene Signatur Die CA prüft, ob die Identität des Antragsstellers mit dem CSR übereinstimmt: Für eine "Domain Validation" muss der Antragssteller auf dem im CSR angegebenen Hostname eine von der CA vorgegebene Datei per HTTP anbieten, um den Nachweis über die Kontrolle des Namens zu erbringen Für tiefer gehende Prüfungen verlangen CAs beispielsweise die Vorlage von Handelsregisterauszügen und prüfen Adressen und Telefonnummern © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 72 Zertifikate und Public Key Infrastructures Erstellen eines Zertifikats: Nach erfolgreicher Validierung erstellt die CA das Zertifikat, indem sie die Daten aus dem CSR in ein Zertifikat übernimmt und das Zertifikat mit dem privaten Schlüssel der CA signiert Der Antragssteller erhält das Zertifikat und kann dies nun zusammen mit seinem privaten Schlüssel als Identitätsnachweis nutzen © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 73 Zertifikate und Public Key Infrastructures Eine Public Key Infrastructures ("PKI") beschreibt die Organisation von Zertifizierungsstellen, um die Prüfung bisher unbekannter Zertifikate zu ermöglichen Die Prüfung eines Zertifikats setzt Vertrauen in die CA voraus, die das Zertifikat ausgestellt hat Sogenannte "Root-CAs" sind selbstsignierte Zertifikate und nicht von einer anderen CA unterschrieben und müssen ausdrücklich als Vertrauenswürdig anerkannt werden Viele Betriebssysteme und Browser enthalten eine Reihe vertrauenswürdiger Root-CAs Wird ein Zertifikat von einer als vertrauenswürdig anerkannten CA ausgestellt, gilt das Zertifikat ebenfalls als vertrauenswürdig, wenn alle übrigen Kriterien erfüllt sind (Gültigkeit, passende Inhaber-Identität) © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 74 Zertifikate und Public Key Infrastructures CAs können verschachtelt organisiert werden: Eine Root-CA wird als vertrauenswürdig in Betriebssystemen und Browsern hinterlegt Die CA unterschreibt ihrerseits die Zertifikate weiterer CAs, die dann Sub-CA genannt werden Die Sub-CAs können je nach Zertifikat selbst weitere CAs zertifizieren oder Zertifikate zur Endnutzung ausstellen Aus operativen Gründen werden Root-CAs oft nur genutzt, um Sub-CAs auszustellen, die dann die eigentlichen Zertifikate erzeugen © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 75 Zertifikate und Public Key Infrastructures Zurückziehen von Zertifikaten: Verliert ein Zertifikat sein Vertrauen, beispielsweise weil der private Schlüssel bekannt wurde oder die darin verbriefte Domain einen neuen Eigentümer hat, muss das Zertifikat zurückgezogen werden Zertifizierungsstellen bieten dafür entsprechende Dienste an und veröffentlichen "Revocation Lists" Die Prüfung dieser Listen erfolgt mitunter jedoch nur unzureichend, weshalb Zertifikate oft eine kurze Gültigkeit haben © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 76 Zertifikate und Public Key Infrastructures Let's Encrypt "Let's Encrypt" ist eine Zertifizierungsstelle, die kostenlose Zertifikate ausstellt Zertifikate werden über das ACME-Protokoll automatisiert beantragt Die Identitätsprüfung wird über eine ebenfalls automatisierte HTTP- oder DNS-Challenge durchgeführt Neue Zertifikate können so binnen weniger Minuten bezogen werden Let's Encrypt-Zertifikate sind 90 tage gültig und werden von allen gängigen Browsern anerkannt Programme wie certbot automatisieren den Bezug und den regelmäßigen Austausch vor Zertifikaten per ACME © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 77 022 Encryption 022.2 Web Encryption (weight: 2) © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 78 HTTPS, SSL und TLS Informationen, die im Klartext übertragen werden, sind für Dritte beliebig einsehbar Schützenswerte Informationen müssen entsprechend verschlüsselt übertragen werden Die Details der Verschlüsselung, wie die zu verwendenden Standards und Schlüssel, müssen zwischen den Kommunikationspartnern abgestimmt werden Für den verschlüsselten Zugriff auf Websites ist eine manuelle Konfiguration nicht praktikabel, da die Anzahl der möglichen Kommunikationspartnern sowohl aus Sicht eines Webbrowser als auch aus Sicht eines Server viel zu hoch sind © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 79 HTTPS, SSL und TLS Die Protokolle "Secure Sockets Layer" ("SSL") und "Transport Layer Security" ("TLS") definieren Standards, wie Clients und Server die Eigenschaften einer verschlüsselten Verbindung aushandeln können TLS basiert auf SSL und hat SSL heute abgelöst Aktuell ist TLS-Version 1.3, die TLS-Version 1.1 sowie SSL sollten heute nicht mehr genutzt werden TLS kommt für verschiedene Protokolle zum Einsatz HTTP über eine mit SSL oder TLS gesicherte Verbindung wird als HTTPS bezeichnet und in URLs durch das Schema https angegeben © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 80 HTTPS, SSL und TLS Während eines TLS-Handshakes tauschen sich Server und Client über die von ihnen unterstützten kryptografischen Verfahren aus, prüfen ihre Zertifikate und vereinbaren einen Session-Key Zertifikate und Zertifizierungsstellen haben eine besondere Bedeutung, da sie die Prüfung von Zertifikaten bisher unbekannter Gesprächspartner erlauben TLS nutzt X.509-Zertifikate In TLS kann im Handshake angegeben werden, an welcher Zielsystem sich eine Verbindung richtet So kann ein Server unter mehreren Namen Dienste anbieten und aufgrund der Angaben im TLS-Handshake das passende Zertifikat auswählen (VHosts) © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 81 Gültigkeitsprüfung von Zertifikaten Ein Webbrowser prüft bei dem Aufruf einer Website per HTTPS, ob das Zertifikat des Servers für die abzurufende Website gültig ist Dabei werden verschiedene Eigenschaften herangezogen: Aussteller des Zertifikats ("Issuer") Kryptografische Gültigkeit des Zertifikats ("Public Key") Zeitliche Gültigkeit des Zertifikats ("Valid Not Before" / "Valid Not After") Gültige Ziele des Zertifikats ("Subject" mit "commonName", X.509v3-Erweiterung "subjectAltNames") © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 82 Gültigkeitsprüfung von Zertifikaten Aussteller des Zertifikats: Das Zertifikat muss von einer CA ausgestellt sein, der der Browser vertraut Ein Webserver kann neben seinem Zertifikat weitere Zertifikate ausliefern, die zur Vervollständigung der Vertrauenskette notwendig sind Der Browser vertraut einer Root-CA Der Webserver liefert sein Zertifikat zusammen mit dem Zertifikat einer Sub-CA aus, die ihrerseits von einer vom Browser vertrauten CA signiert ist Kryptografische Gültigkeit des Zertifikats Der vom Webserver genutzte kryptografische private Schlüssel muss zu dem im Zertifikat enthaltenen Public Key passen © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 83 Gültigkeitsprüfung von Zertifikaten Zeitliche Gültigkeit des Zertifikats: Ein Zertifikat enthält ein Beginn- und einen End-Zeitpunkt, zwischen denen es gültig ist Das "CA/Browser-Forum", ein Konsortium aus verschiedenen Browser-Herstellern, verlangt eine maximale Gültigkeit von einem Jahr Let's Encrypt vergibt Zertifikate mit 90 Tage Gültigkeit Zertifikate müssen vor Ablauf der Gültigkeit neu ausgestellt werden © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 84 Gültigkeitsprüfung von Zertifikaten Gültige Ziele des Zertifikats: Das Subject beschreibt, für wen der Zertifikat gültig ist Für Webbrowser ist der commonName, kurz CN, maßgeblich Der commonName enthält den Hostname, für den das Zertifikat gültig ist: Ein Zertifikat mit CN=www.example.com kann nur für die Website https:// www.example.com/ verwendet werden Die Wildcard * im Namen genutzt werden, um Zertifikate für alle Namen einer DNS-Zone auszustellen -- die Namen dürfen deshalb keinen. enthalten! Ein Zertifikat mit CN=*.example.com ist beispielsweise für https:// www.example.com/ und https://webmail.example.com/, nicht aber für https:// example.com/ oder https://www.prod.example.com/ gültig © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 85 Gültigkeitsprüfung von Zertifikaten Gültige Ziele des Zertifikats: Ein commonName kann nur einmal pro Zertifikat angegeben werden Die X.509 version 3-Erweiterung subjectAltNames kann eine Liste mehrerer Ziele angeben Der commonName ist dann nicht mehr für die Gültigkeit zuständig, jedoch sollte der Name der commonName auch in den subjectAltNames aufgeführt werden In subjectAltNames können außer Namen auch IP-Adressen angegeben werden: DNS:example.com,DNS:*.example.com,IP:192.168.122.191 © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 86 Gültigkeitsprüfung von Zertifikaten Eine erfolgreich verifizierte Verbindung wird in der Adresszeile eines Webbrowser oft durch ein geschlossenes Vorhängeschloss symbolisiert, eine unsichere Verbindung durch ein durchgestrichenes Schloss Soll eine sichere Verbindung aufgebaut werden und schläft dies fehl, wird eine Fehlermeldung statt der Website angezeigt Unter bestimmten Umständen kann die Fehlermeldung ignoriert und die Website über die unsichere und potentiell kompromittierte Verbindung abgerufen werden © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 87 Gültigkeitsprüfung von Zertifikaten Beispiele für HTTPS-Fehlermeldungen (Firefox): SEC_ERROR_EXPIRED_ISSUER_CERTIFICATE SEC_ERROR_EXPIRED_CERTIFICATE SEC_ERROR_UNKNOWN_ISSUER ERROR_SELF_SIGNED_CERT SSL_ERROR_BAD_CERT_DOMAIN © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 88 Gültigkeitsprüfung von Zertifikaten Webserver können das Verhalten von Webbrowsern beeinflussen: Weiterleiten aller HTTP-Anfragen zu HTTPS Setzen eines "HTTP Strict Transport Security-Headers" ("HSTS-Header"), der anzeigt, dass diese Website auch zukünftig nur per HTTP genutzt werden darf Unter Umständen ist es dann nicht mehr möglich, eine Fehlermeldung bezogen auf HTTPS zu ignorieren oder zu deaktivieren So können insbesondere Angriffe erkannt werden, bei denen eine HTTPS-Verbindung unbunden wird, um die Kommunikationspartner zu einem unverschlüsselten Austausch, der dann mitgelesen werden kann, zu veranlassen © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 89 022 Encryption 022.3 Email Encryption (weight: 2) © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 90 Email-Verschlüsselung Emails werden zwischen Empfänger und Ziel von mehreren Mailservern weitergeleitet Jeder dieser Mailserver erhält eine vollständige Kopie der Email Zwischen den Mailservern werden Emails möglicherweise ohne weitere Schutzmaßnahmen übertragen Um Emails sicher zu übertragen, müssen Sender und Empfänger entsprechende Maßnahmen bezüglich des Inhalts der ausgetauschten Emails treffen, also eine Ende-zu-Ende- Verschlüsselung umsetzen © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 91 Email-Verschlüsselung Schutzziele für Emails: "Integrität": Der Inhalt der Email wurde während des Transports nicht verändert "Authentizität": Die Email stammt tatsächlich von dem vermeintlichen Absender "Vertraulichkeit": Der Inhalt der Email ist nur für den rechtmäßigen Empfänger zugänglich "Nichtabstreitbarkeit": Der Absender kann seine Urheberschaft nicht plausibel abstreiten © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 92 Email-Verschlüsselung Verbreitete Verfahren zur Email-Verschlüsselung: OpenPGP S/MIME Beide Standards verwenden asymmetrische Kryptographie, bei der jeder Teilnehmer einen privaten und einen öffentlichen Schlüssel hat Alle Teilnehmer, die miteinander kommunizieren, kennen ihre öffentlichen Schlüssel Beide Standards werden von vielen Email-Programmen, beispielsweise Mozilla Thunderbird, unterstützt © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 93 Email-Verschlüsselung Signaturen: Der Absender bildet eine Prüfsumme über den Inhalt der Email Die Prüfsumme wird vom Absender mit seinem privaten Schlüssel verschlüsselt und zusammen mit der Email verschickt Der Empfänger entschlüsselt die übermittelte Prüfsumme mit dem öffentlichen Schlüssel des Absenders Der Empfänger bildet ebenfalls eine Prüfsumme über den Inhalt der Email und vergleicht diese mit der vom Absender übermittelten Prüfsumme Stimmen die Prüfsummen überein, wurde die Email nicht manipuliert Kann der Empfänger die korrekte Prüfsumme mit einem Schlüssel entschlüsseln, der bekanntermaßen dem vermeintlich Absender gehört, weiß er, dass der Absender der Email im Besitz des entsprechenden privaten Schlüssels war © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 94 Email-Verschlüsselung Verschlüsselung: Der Inhalt der Email wird mit einem vom Absender zufällig gewählten symmetrischen Schlüssel verschlüsselt Der symmetrische Schlüssel wird vom Absender mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und an die Email angehängt Der Empfänger entschlüsselt mit seinem privaten Schlüssel der an der Email anhängenden symmetrischen Schlüssel Mit dem symmetrischen Schlüssel entschlüsselt der Empfänger den Inhalt der Email © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 95 OpenPGP PGP – Pretty Good Privacy: Heute genutzte Variante: OpenPGP (RFC 4880) Keine zentrale Instanz oder Zertifizierungsstelle Austausch von Schlüsseln über Keyserver Verschiedene freie Implementierungen http://www.openpgp.org/ © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 96 OpenPGP OpenGPG-Schlüssel bestehen aus mehreren Elementen: Privater Schlüssel (nur dem Inhaber bekannt!) Öffentlicher Schlüssel ID Fingerprints (Kryptographische Hashes): Schlüssel-ID 40 hexadezimale Stellen Austausch beispielsweise am Telefon, auf Papier, per QR-Code, im Email-Footer oder auf Visitenkarten © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 97 OpenPGP Sicherheit von privaten Schlüsseln: Schutz durch eine Passphrase, die dann jedoch oft eingegeben werden muss trotzdem den Richtlinien für gute Kennwörter / Passphrases entsprechen sollte Verfallsdatum, nach dem der Schlüssel verfällt, was jedoch einen rechtzeitigen Austausch des Schlüssels erfordert Sicherungskopie, beispielsweise verschlüsselt auf einem externem Medium oder einem sicher verwahrten Ausdruck in Klartext © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 98 OpenPGP Revocation Certificate (Widerrufszertrifikat) erstellen und sicher verwahren: GPG-Schlüssel können auf Keyservern hinterlegt und gesucht werden Zentrale Quelle für unbekannte Schlüssel Früher: Gegensteiges Bestätigen der Identität durch Signaturen und Hochladen der Signaturen auf Keyserver Heute: Keyserver erfordern Bestätigung eines Eintrages durch eine unter der betroffene Mailadresse empfangene Email Austausch der Signaturen beispielsweise per Telefon und anschließendes Herunterladen der vollständigen Schlüssel vom Keyserver © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 99 S/MIME X509-Zertifikate für Identitätssicherung: Schlüsselpaar wird erzeugt, ein CSR mit der Email-Adresse ausgestellt an die CA übermittelt Nach Identitätsprüfung wird ein S/MIME-Zertifikat ausgestellt Empfänger muss der CA vertrauen, um die Identität des Absenders zu prüfen Absender muss der CA vertrauen, um Emails für den richtigen Empfänger zu verschlüsseln © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 100 S/MIME S/MIME-Zertifikat: Inhaber: Name der Person als Common Name (entsprechend des Abesenders der E-Mail) E-Mail-Adresse in entsprechendem Feld Key Usage: Digital Signature, Non-Repudiation, Key Encipherment Extended Key Usage: E-Mail Protection Zertifikate werden für S/MIME ebenso wie für HTTPS auf einen vertrauenswürdigen Aussteller, Übereinstimmung mit der nutzenden Person, zeitlicher Gültigkeit und korrekten angegebenen Nutzungszwecken geprüft Verschlüsselungen und Signaturen werden konzeptionell ähnlich wie bei OpenPGP umgesetzt © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 101 S/MIME Schlüsselaustausch: Bevor eine verschlüsselte Email gesendet werden kann, muss dem Absender der öffentliche Schlüssel des Empfänger bekannt sein Der Empfänger wird beispielsweise telefonisch gebeten, eine Signatur zu senden Signaturen können geprüft werden, wenn die das Zertifikat ausstellende CA vertraut wird Viele Mailprogramme sammeln die Zertifikate und Schlüssel eingehender Signaturen automatisch und können sie automatisch zu Verschlüsselung ausgehender Mails nutzen © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 102 022 Encryption 022.4 Data Storage Encryption (weight: 2) © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 103 Dateien und Dateisysteme Dateien organisieren Daten auf Datenträgern Datenträger können...... fest verbaut sein (z.B. in einem Server in einem Rack)... mobil sein (z.B. Speicherkarte, USB-Stick, Laptop-HD)... entfernt sein (z.B. Cloud-Speicher, Webserver) Dateisysteme ordnen und gliedern die Daten auf einem Datenträger Netzwerk-Protokolle machen entfernte Dateien zugänglich © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 104 Dateien und Dateisysteme Daten auf Datenträgern werden in Blöcken organisiert Dateisysteme bilden die Dateien auf verschiedene Blöcke ab Da die Dateien standardmäßig im Klartext geschrieben werden, können sie bei physischem Zugriff auf den Datenträger direkt ausgelesen werden Beispielsweise kann eine Festplatte ausgebaut und in einen anderen Computer eingebaut werden, um dort ohne weitere Beschränkungen auf die Dateien zuzugreifen © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 105 Dateien und Dateisysteme © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 106 Device-Verschlüsselung Block-Devices können vollständig verschlüsselt werden: Block-Devices sind dabei ganze Geräte (SSDs), einzelne Partitionen oder Volumes oder Dateisystem-Images Alle Blöcke des Devices werden verschlüsselt gespeichert Im jeweiligen Betriebssystem erscheint ein virtuelles Block-Device, über das auf die Daten zugegriffen wird Bei Zugriff auf einen Block über das virtuelle Block-Device wird der jeweilige Block ver-/ entschlüsselt Das virtuelle Device wird mit einem normalen Dateisystem versehen und als reguläres Laufwerk genutzt © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 107 Device-Verschlüsselung Die Verschlüsselung der Daten erfolgt meist mit einem symmetrischen Schlüssel Der zur Verschlüsselung genutzte Schlüssel wird in den Meta-Daten des Devices abermals verschlüsselt gespeichert Wenn das Device aktiviert wird, muss einer der Schlüssel angegeben werden, mit dem der eigentliche Schlüssel verschlüsselt ist So kann das "Passwort" des Devices geändert werden, ohne alle Daten neu verschlüssel zu müssen © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 108 Device-Verschlüsselung © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 109 Device-Verschlüsselung Beispiele für Werkzeuge zur Device-Verschlüsselung: "Veracrypt": Eigenständiges Programm, das sowohl unter Linux, Windows und macOS Block- Geräte sowie Image-Dateien verschlüsselt "BitLocker": In Microsoft Windows integriertes Verfahren zur vollständigen Verschlüsselung von Block-Devices "dm-crypt" / "LUKS": In Linux integriertes Verfahren zur vollständigen Verschlüsselung von Block-Devices © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 110 Datei- und Cloud-Verschlüsselung In Cloud- und Netzwerkdiensten werden Dateien einzeln übertragen und nicht als Blöcke dargestellt Zugleich müssen sensible Daten in der Cloud grundsätzlich verschlüsselt werden Dateiverschlüsselung verschlüsselt einzelne Dateien und speichert sie in einem selbst nicht verschlüsselten Speicher Die Meta-Daten, also welche Dateien existieren, wie die Struktur des Dateisystems ist, wie groß die Dateien und wann sie erstellt und geändert wurden, lassen sich nicht immer vollständig verbergen © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 111 Datei- und Cloud-Verschlüsselung © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 112 Datei- und Cloud-Verschlüsselung Cryptomator: Freie Software zur Verschlüsselung zahlreicher Dateien Ein "Vault" enthält verschlüsselte Dateien und speichert sie in einem Cloud-Dienst oder einem lokalen Verzeichnis Wird ein Vault mit den richtigen Zugangsdaten geöffnet, erscheint es wie ein Verzeichnis oder Laufwerk, in dem auf die Dateien zugegriffen werden kann Das Vault-Verzeichnis kann beispielsweise in deinen Cloud-Speicher synchronisiert werden, da die dorthn übertragenen Daten verschlüsselt sind © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 113 023 Device and Storage Security 023.1 Hardware Security (weight: 2) © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 114 Computer und Hardware-Komponenten Computer können vielfältige Formen haben: Laptops und Desktop-Computer Server in einem Rechenzentrum Steuerungscomputer in Geräten wie Industrieanlagen und Haushaltsgeräten Mobile Geräte wie Smartphones und Tablets Netzwerkgeräte wie Router und Switche Unterhaltselektronik wie Fernseher, Haushaltsgeräte © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 115 Computer und Hardware-Komponenten Alle Computer verfügen über einge grundlegende Komponenten: Prozessoren Arbeitsspeicher Massenspeicher Netzwerkadapter © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 116 Computer und Hardware-Komponenten Prozessoren (Central Processing Unit (CPU)): Prozessoren führt Berechnungen aus Viele Computer enthalten mehrere Prozessoren oder einen Prozessor mit mehreren Rechenkernen, um parallel mehrere Aufgaben ausführen zu können Es gibt sowohl generell nutzbare Prozessoren auch als Prozessoren, die für einen speziellen Zweck optimiert sind © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 117 Computer und Hardware-Komponenten Arbeitsspeicher (Random Access Memory (RAM)): Arbeitsspeicher hält Daten bereit, die für Berechnungen aktuell benötigt werden Der Zugriff auf den Arbeitsspeicher erfolgt vergleichsweise schnell Die Kapazität des Arbeitsspeichers ist geringer als der Speicher für dauerhafte Daten Kosten pro Speichermenge ist für Arbeitsspeicher höher als für Massenspeicher Arbeitsspeicher ist flüchtig, der Inhalt geht beim Abschalten des Computers verloren © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 118 Computer und Hardware-Komponenten Massenspeicher (Storage): Massenspeicher speichert Daten dauerhaft, so dass sie auch dann erhalten bleiben, wenn ein Computer ausgeschaltet wird Klassische Festplatten bestehen aus rotierenden Scheiben, auf denen ein Schreib-/Lesekopf magnetische Teilchen ausrichtet beziehungsweise ausliest Solid State Disks (SSDs) enthalten Speicherbausteine und keine mechanischen Komponenten SSDs sind schneller als Festplatten, haben aber geringere Speicherkapazitäten und sind pro Speichermenge teurer Massenspeicher sind meist in sogenannte Blöcke organisiert, in die die zu speichernden Daten geschrieben werden © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 119 Computer und Hardware-Komponenten Netzwerkadapter (Network Adapters): Ein Netzwerkadapter verbindet ein Gerät mit einem Netzwerk Es gibt verschiedene Übertragungstechnologien wie kabelgebundenes Ethernet, WLAN / WiFi, Lichtwellenleiter oder Mobilfunknetze Ein Gerät kann mehrere Netzwerkadapter haben Viele Geräte versuchen sich automatisch zu konfigurieren, wenn sie mit einem neuen Netzwerk verbunden werden Da Geräte über eine Netzwerkverbindung angegriffen werden können, sollten sie nur mit entsprechenden Vorsichtsmaßnahmen mit einem Netzwerk verbunden werden © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 120 Computer und Hardware-Komponenten Physischer Zugang zu einem Computer: Der physische Zugang zu einem Computer hat in der IT-Sicherheit eine besondere Bedeutung Wer physisch auf einen Computer zugreifen kann, kann das Gerät manipulieren: Ausbauen des Massenspeichers, um diesen an einen anderen Computer anzuschließen und dort auszulesen Starten des Computers von einem externen Medium, um Änderungen an dem Massenspeicher durchzuführen, beispielsweise um ein Benutzerpasswort zu überschreiben Einbauen weiterer Geräte, beispielsweise für weitere Netzwerkverbindungen oder das Mitschreiben aller Tastatureingaben © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 121 Computer und Hardware-Komponenten Physischer Zugang zu einem Computer: Sind Daten auf einem Computer nicht verschlüsselt, sind sie potentiell für jeden zugänglich, der physisch auf den Computer zugreifen kann Trusted Computing ist ein Verfahren, dass die auf einem Computer lauffähige Software begrenzt und Veränderungen an Hard- und Software erkennen kann © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 122 Smart-Home und IoT Der Begriff "Internet of Things" (IoT) bezeichnet die zunehmende Vernetzung von Geräten, die keine klassischen Computer sind Haushaltsgeräte wie Glühbirnen, Thermostate, Schalter, Steckdosen, Fernseher Die Automatisierung dieser Komponenten wird als Smart Home bezeichnet Die Funktionen der Geräte lässt sich in zwei Kategorien einteilen: "Sensoren" erheben Informationen, beispielsweise die Temperatur "Aktuatoren" führen Aktionen durch, beispielsweise das Einschalten einer Lampe oder das Regeln eines Ventils Im IoT werden Geräte mit mindestens einer dieser Funktionen an ein Netzwerk angeschlossen © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 123 Smart-Home und IoT IoT-Plattform sammel die erhobenen Informationen ein und verteilen Arbeitsaufträge an Geräte Die Plattformen können Regeln umsetzen und dienen der zentralen Steuerung der Geräte: Beispiel für Regeln: Wenn die Temperatur weniger als 15 Grad ist, die Heizung auf 20 Grad einstellen; sind alle Lampen nach 22 Uhr ausgeschaltet, wird auch das WLAN deaktiviert Beispiel Steuerung: Über eine Smartphone-App kann das Licht gesteuert oder von unterwegs die Heizug geregelt werden Diese Techniken liegen auch dem Begriff Smart Home zugrunde Ebenso erfolgt über dieselben Mechanismen die Steuerung von Industrieanlagen © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 124 Smart-Home und IoT Das Internet of Things hat zahlreiche Sicherheitsaspekte: IoT-Plattformen der meisten Hersteller werden in der Cloud betrieben, so dass eine Internet-Verbindung Voraussetzung für die Nutzung ist und im Falle eines Sicherheitsproblems kann aus der Cloud auf die IoT-Geräte zugegriffen werden Geräte sind nicht unbedingt zueinander kompatibel, da einige Hersteller versuchen, ihre Kunden in ihrem Ökosystem zu halten IoT-Geräte wie Glühbirnen, Lichtschalter oder Steckdosen sind ihren Betreibern oft nicht als eigenständige Computer im Bewusstsein Hersteller versorgen ältere IoT-Geräte möglicherweise nicht mit Updates © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 125 Verbindungen und Anschlüsse Universal Serial Bus (USB): USB ist ein Standard, um Geräte mit einem Computer zu verbinden Es gibt verschiedene Stecker-Formen, insbesondere USB-A und USB-C sind heute verbreitet Quasi-Standardanschluss für Ladegeräte und Datenverbindungen © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 126 Verbindungen und Anschlüsse USB-Geräte können unterschiedliche Typen haben Speichergeräte (Festplatten, USB-Sticks) Eingabegeräte (Tastatur, Maus) Ladegeräte Drucker WLAN-Adapter © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 127 Verbindungen und Anschlüsse Sicherheit von USB-Geräten Als was für ein Gerät sich ein USB-Gerät ausgibt, ist optisch nicht ersichtlich! Es gibt beispielsweise Geräte, die wie ein Speicher-Stick oder wie ein Ladegerät aussehen, sich aber als Tastatur ausgeben und in rasender Geschwindigkeit ein Terminal öffnen und dort Schadcode eingeben und ausführen Unbekannte USB-Geräte dürfen nie ohne besondere Schutzmaßnahmen mit einem Computer verbunden werden Es gibt spezielle Adapter, die per USB lediglich Ladestrom, aber keinen Datentransfer zulassen © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 128 Verbindungen und Anschlüsse Bluetooth Bluetooth ist ein Funkstandard, um Geräte über kurze Distanzen miteinander zu verbinden Typische Anwendungsfälle sind Headsets und Lautsprecher, die mit Computern oder Mobiltelefonen verbunden werden Die Reichweite von Bluetooth beträgt oft wenige Meter, aktuelle Standards können jedoch Distanzen von mehreren hundert Metern überbrücken Verbindungen per Bluetooth werden verschlüsselt © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 129 Verbindungen und Anschlüsse Bluetooth Pairings Das Verbinden zweier Geräte per Bluetooth wird als Pairing bezeichnet Dazu muss eines der Geräte seine Existenz und seinen Namen per Bluetooth allgemein bekannt geben Andere Geräte empfangen diese Informationen und bieten dem Benutzer an, ein Pairing zu initiieren Das jeweils andere Gerät muss das Pairing annehmen Je nach Art des Geräts kann es unterschiedliche Funktionen mit gepairten Geräten durchführen, beispielsweise Anrufe annehmen, Adressbücher auslesen oder Dateien kopieren © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 130 Verbindungen und Anschlüsse Beispiel eines Headset-Pairings: Ein Headset muss über eine entsprechende Aktion (zum Beispiel halten eines Knopfes) in einen Pairing-Modus versetzt werden, in dem es seine Existenz allgemein kund tut Ein Smartphone kann nun nach Bluetooth-Geräten suchen und die gefundenen Geräte anzeigen Ein Nutzer kann nun entscheiden, sich mit dem Gerät zu verbinden Danach finden sich die Geräte auch, wenn sie nicht allgemein auf ihre Existenz hinweisen oder sich im Pairing-Modus befinden Ein Headset darf dann beispielsweise Anrufe entgegennehmen, aber nicht unbedingt Dateien von dem gepairten Gerät transferieren © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 131 Verbindungen und Anschlüsse Sicherheit von Bluetooth-Geräten Bluetooth-Geräte sollten nicht dauerhaft sichtbar sein, gepairte Geräte sind einander bekannt und können sich trotzdem verbinden Pairing-Anfragen von unbekannten Geräten dürfen nicht angenommen werden Neue Pairings sollten an einem Ort durchgeführt werden, an dem die Zuordnung der Geräte eindeutig möglich ist und Dritte den aktiven Pairing-Modus nicht nutzen, um sich unbefugt mit dem Gerät zu verbinden Bei neuen Pairings ist genau darauf zu achten, welchen Typ ein Gerät hat und welche Berechtigungen es erhält © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 132 Verbindungen und Anschlüsse Radio Frequency Identification (RFID) RID ist ein Funkstandard, um statische Informationen zu übertragen RFID-Tags enthalten einen Transponder, der eine eindeutige Kennung aussendet, wenn der in der Nähe eines RFID-Readers kommt RFID-Reader empfangen die Kennungen, die in der Nähe befindliche Tags aussenden Reichweite ist oft ein halber Meter, bei manchen Standards sind auch mehrere Meter möglich © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 133 Verbindungen und Anschlüsse Radio Frequency Identification (RFID) Durch das Anbringen von Tags können Gegenstände maschinenlesbar gekennzeichnet werden Insbesondere in Handel und Logistik, aber auch in Ausweis-Dokumenten ist RFID verbreitet RFID-Tags können aus entsprechender Nähe auch unbefugt ausgelesen werden, was die Sicherheit und Privatsphäre beeinträchtigen kann Informationen von RFID-Tags müssen bei Bedarf ergänzend kryptografisch gesichert werden © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 134 Verbindungen und Anschlüsse Near-field communication (NFC) NFC ist eine Anwendung von RFID Funkstandards, für den Informationsaustausch zwischen zwei Geräten mit kurzer Distanz Reichweite sind meist vier Zentimeter, Geräte müssen sich also in unmittelbarer Nähe befinden Passive Geräte senden als Tag fixe Informationen Aktive Geräte kommunizieren wechselseitig mit dem NFC-Leser Nutzung insbesondere in Zahlungskarten © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 135 023 Device and Storage Security 023.2 Application Security (weight: 2) © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 136 Arten von Software Es gibt verschiedene Arten von Software: Firmware Betriebssysteme Applikationen © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 137 Arten von Software Firmware Firmware ist Software, die eng an Hardware gekoppelt ist Beispiele für Firmware sind der Programmcode in Druckern und Netzwerkswitches oder der Code im BIOS beziehungsweise EFI eines Computers Firmware ist spezifisch für das Gerät, zu der sie gehört und wird mit dem Gerät ausgeliefert Viele Hersteller aktualisierten die Firmware für ältere Geräte nicht, auch wenn darin Sicherheitslücken bekannt werden Firmware ist von besonderer Bedeutung für die Sicherheit von Geräten, da eine Verwundbarkeit in der Firmware das gesamte Gerät kompromittieren kann © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 138 Arten von Software Betriebssysteme / Operating Systems (OS): Betriebssysteme sind Software, die eine enge Bindung an Hardware haben und eine Reihe von allgemeinen Funktionen anbieten, die Anwendungen nutzen können, um in einheitlicher Weise auf eine Grundmenge an Funktionen des Computers zuzugreifen Beispiele für Betriebssysteme sind Linux, Microsoft Windows oder Apple macOS auf Computern sowie Android und Apple iOS auf Mobiltelefonen Betriebssysteme enthalten eine Reihe allgemeiner Funktionen, beispielsweise zur Verwaltung von Dateien, und stellen diese Funktionen für andere Programme bereit Treiber sind Module innerhalb eines Betriebssystem, die den Umgang mit bestimmter Hardware implementieren, so dass durch die Installation passender Treiber ein Betriebssystem um Funktionen für bestimmte Hardware erweitert werden kann Betriebssysteme regeln zahlreiche sicherheitsrelevante Aspekte eines Computers, insbesondere übernehmen sie die Benutzerverwaltung und können die Berechtigungen von Anwendungen eingrenzen © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 139 Arten von Software Applikationen: Applikationen implementieren die eigentliche fachliche Logik eines Computers Beispiele sind Textverarbeitungen wie Libreoffice, Anwendungsserver wie Tomcat oder Datenbankserver wie MariaDB, sowie der Messenger Threema und das Karten-Tool Google Maps Applikationen greifen auf Funktionen des Betriebssystems zurück, um mit dem Computer zu interagieren und allgemeine Funktionen, beispielsweise die Verwaltung von Dateien, nicht selbst zu übernehmen zu müssen Manche, aber nicht alle Applikationen sind für verschiedene Betriebssysteme verfügbar und dann entsprechend angepasst Da Anwendungen oft fachliche und personenbezogene Daten verarbeiten, müssen sie den Schutz dieser Daten sicherstellen und geeignete Mechanismen zur Konfiguration der Zugriffsrechte umsetzen © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 140 Quellen für Software Jede Form von Software ist maßgeblich für die Sicherheit der damit betrieben Geräte und der darin verarbeiteten Daten Manipulierte Software gefährdet den Schutz und unterläuft alle weiteren Sicherheitsmaßnahmen Software muss deshalb immer aus vertrauenswürdigen Quellen bezogen werden Zudem muss die Integrität von Software vor der Installation geprüft werden, um sicherzustellen, dass die Software bei der Übertragung nicht manipuliert wurde Jede Software-Installation hat das Risiko, Schadsoftware auf ein Zielgerät einzubringen und die Sicherheit des Gerätes zu gefährden! © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 141 Quellen für Software Die regelmäßige Aktualisierung der installierten Software ist für die Sicherheit von außerordentlicher Bedeutung Sicherheitslücken, die in Software entdeckt werden, werden durch Updates geschlossen Die zeitnahe Installation von Updates ist wichtig, um neue Sicherheitslücken zeitnah zu schließen Zugleich können Updates weitere Änderungen an der Software herbeiführen Updates müssen genauso wie alle anderen Formen von Software sicher übertragen und vor der Installation auf Veränderungen und Integrität geprüft werden © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 142 Quellen für Software Die Prüfung von Software erfolgt auf verschiedene Weisen: Insbesondere Projekte freier Software stellen die Prüfsummen ihrer Softwarepakete bereit und ermöglichen so eine Prüfung der Dateien Software-Pakete können mit einer digitalen Signatur versehen werden, die dann zu einem Zertifikat des jeweiligen Herstellers passen muss Manche Betriebssystemhersteller erstellen für legitime Hersteller Zertifikate aus, die sie zur Signatur ihrer Software-Pakete nutzen müssen, damit die Pakete später auf dem jeweiligen Betriebssystem installiert werden können Bei Updates können Anwendungen sicherstellen, diese nur vom dem tatsächlichen Hersteller herunterzuladen Insbesondere auf mobilen Geräten erfolgt die Installation von Software aus App-Stores der jeweiligen Hersteller, die die Übertragung und Installation der Software standardmäßig schützen © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 143 Quellen für Software Firmware: Firmware wird stets vom Hersteller des jeweiligen Gerätes ausgeliefert Ohne Firmware sind Geräte nicht funktionsfähig Updates werden vom jeweiligen Hersteller herausgegeben und mit dessen Werkzeugen installiert Manipulierte Firmware kann Geräte unbrauchbar machen und die Sicherheit des gesamten Gerätes kompromittieren © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 144 Quellen für Software Betriebssysteme: Betriebssysteme sind häufig auf dem jeweiligen Gerät vorinstalliert Für eine spätere Installation werden Betriebssysteme typischerweise vom Hersteller heruntergeladen und auf ein Installationsmedium übertragen Die Downloads müssen unbedingt auf Veränderungen geprüft werden! © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 145 Quellen für Software Applikationen aus Hersteller-Angeboten: Viele Hersteller von Software bieten die Software zum Download und zur Installation an Open Source Projekte nutzen eigene Websites oder Plattform wie GitHub, um ihre Software bereitzustellen Hersteller nutzen eigene Portale, die mitunter eine Registrierung und gegebenenfalls Geldzahlungen voraussetzen Software enthält oft Update-Funktionen, die neue Version der Software melden, herunterladen und installieren können © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 146 Quellen für Software Applikationen aus App-Stores und Repositories: Mobiltelefone, aber auch viele Betriebssysteme enthalten App-Stores oder Paketmanager Programm werden aus einem zentralen Katalog ausgewählt und über die Infrastruktur der App-Store-Betreibers heruntergeladen Das Angebot in den offiziellen App-Stores ist häufig gegen Manipulation während der Übertragung und Installation geschützt In wie weit die Anwendungen selbst einer Qualitätskontrolle durch den Hersteller unterliegen ist unterschiedlich © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 147 Quellen für Software Viele Geräte blockieren die Installation von Software aus anderen Quellen deshalb standardmäßig Die manuelle Installation von Software oder die Nutzung alternativer App-Stores erfordert oft spezielle Konfiguration und umgeht die Sicherheitsmaßnahmen der offiziellen App-Stores der jeweiligen Hersteller Installation aus anderen Quellen können manipuliert werden, dies ist insbesondere dann häufig der Fall, wenn eigentlich kostenpflichtige Programme kostenlos angeboten werden © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 148 Verwundbarkeiten in Software Programme verarbeiten Daten, weshalb Fehler in einem Programm die Sicherheit der darin verarbeiteten Daten beeinträchtigen können Führt ein Programm beispielsweise eine Berechtigungsprüfung nicht korrekt durch, kann ein unberechtigter Zugriff auf Daten möglich werden Zu den klassischen Verwundbarkeiten von Software zählen Buffer Overflows sowie Code Injections, beispielsweise in SQL-Abfragen © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 149 Verwundbarkeiten in Software Buffer Overflows: Anwendungen müssen den Arbeitsspeicher, den sie nutzen, verwalten Je nach verwendeter Programmiersprache ist die Speicherverwaltung mehr oder weniger aufwendig und fehleranfällig Fehler bei der Speicherverwaltung führen zu Programmabstürzen und können möglicherweise fremden Code ausführen Moderne Programmiersprachen bieten fortgeschrittene Funktionen zur Speicherverwaltung und verbessern die Sicherheit vor Speicherfehler massiv © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 150 Verwundbarkeiten in Software Buffer Overflows: Beispiel: Eine Anwendung reversiert 16 Bytes Speicher, um einen Benutzernamen zu speichern In dem Speicherbereich unmittelbar nach dem Benutzername liegt Programmcode, der später ausgeführt werden soll Wird die Länge des Benutzernamens nicht korrekt geprüft, kann ein Angreifer möglicherweise einen längeren Benutzernamen angeben, beispielsweise mit 512 Byte Länge Durch den längeren Benutzernamen wird im Speicher über den für den Benutzernamen reservierten Bereich hinaus der Programmcode überschrieben Gibt der Benutzer nun in seiner Eingabe alternativen Programmcode an, wird dieser möglicherweise später statt des eigentlich geplanten Codes ausgeführt © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 151 Verwundbarkeiten in Software SQL Injections: SQL ist eine Abfragesprache für Datenbanken In Programmcode werden Datenbankabfragen oft in SQL geschrieben und zur Ausführung an einen Datenbankserver geschickt Wenn Nutzer Text eingeben, der ungeprüft in Datenbankabfragen übernommen wird, können sie durch diesen Text das SQL-Statement verändern, um so unbefugt Daten zu lesen und zu schreiben Nutzereingaben und externe Daten müssen deshalb immer in einer Weise vorverarbeitet werden, dass sie dann, wenn sie als Teil eines Befehls ausgeführt werden, den Befehl nicht ändern können Das Einschleusen von Befehlen in Datenbankabfragen wird als "SQL Injection" bezeichnet © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 152 Verwundbarkeiten in Software SQL Injections: Beispiel: Abruf der Informationen eines Kundenkontos: SELECT * FROM useraccounts WHERE username="user1"; Der konkrete Nutzername wird über eine Programmmaske abgefragt und in den SQL-Query eingesetzt Gibt ein Nutzer nun den Benutzernamen 'user1";DELETE FROM useraccounts;' könnte dies zu folgendem Query führen: SELECT * FROM useraccounts WHERE username="user1";DELETE FROM useraccounts; Würde diese Abfrage nun an die Datenbank übergeben, würde nach dem Abfragen der Datenbank die Tabelle gelöscht Derartige Eingaben müssen von der Software erkannt und angepasst werden! © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 153 Schutzsoftware Lokale Firewalls: Es gibt eine Reihe von Software-Programmen, die die Sicherheit von Geräten, Applikationen und Daten verbessern soll Diese Programme werden oft unter dem Begriff "Firewall" zusammengefasst, obwohl es eine Reihe verschiedener Technologien in diesem Umfeld gibt Unter dem Begriff "Lokale Firewall" und "Endpoint Firewall" werden Schutzprogramme bezeichnet, die auf dem Gerät, dass sie schützen sollen, installiert werden © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 154 Schutzsoftware Lokale Paketfilter: Paketfilter untersuchen ein- und ausgehende Netzwerkpakete und entscheiden anhand eines Regelwerks, welche Pakete sie passieren lassen und welche sie blockieren Lokale Paketfilter untersuchen den Datenverkehr von und zu einem einzelnen Gerät Netzwerk-Paketfilter untersuchen den gesamten Datenverkehr, der zwischen verschiedenen Netzwerken ausgetauscht wird Wichtiges Kriterium für die Funktion von Paketfiltern sind TCP- und UDP-Ports Ports stehen für Verbindungen einer Anwendung, so dass durch das Erlauben oder Verbieten von Netzwerkverkehr zu bestimmten Ports bestimmte Programme oder Dienste erreichbar gemacht oder blockiert werden können © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 155 Schutzsoftware Lokale Paketfilter: Wenn beispielsweise auf einem Computer keine Netzwerkdienste angeboten werden, können sämtliche eingehenden Verbindungen blockiert werden Wenn auf einem Computer nur ein Webserver läuft, sollten nur eingehende Verbindungen zu den TCP-Ports 80 und 443 zugelassen werden Wenn es einem Angreifer gelingt, auf dem Computer eine Backdoor einzurichten, die beispielsweise auf TCP-Port 29876 lauscht, wäre sie für den Angreifer nicht erreichbar, wenn die Firewall den Zugriff auf diesen Port blockiert Lokale Firewall blockieren häufig standardmäßig alle eingehenden und erlauben alle ausgehenden Verbindungen Einige Firewalls erlauben die Konfiguration anhand des Programms, das eine Verbindung aufbaut oder empfängt © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 156 Schutzsoftware Endpoint Firewalls: Endpoint Firewalls schützen ein einzelnes Gerät in einem Netzwerk Paketfilter und Malware-Scanner sind oft essenzieller Bestandteil von Endpoint Firewall- Produkten Darüber hinaus bieten Endpoint Firewalls oft weitere Funktionen, beispielsweise um Rechte für einzelne Nutzer genauer einzugrenzen, einzelne Anwendungen zuzulassen oder zu verbieten oder um einzuschränken, welche Geräte an den Computer angeschlossen werden können Der Fokus liegt dabei auf der ganzheitlichen Betrachtung des Gerätes, da sensible Daten nicht nur per Netzwerk übertragen, sondern beispielsweise auch auf einen USB-Stick kopiert oder ausgedruckt werden könnten © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 157 Schutzsoftware Application Layer Gateways (ALG): ALG, mitunter auch als Application Layer Firewall bezeichnet, wird oft als eigenständiges System zwischen einem Server und seiner Verbindung in andere Netzwerke installiert Alle Anfragen an und Antworten von dem Server müssen das ALG passieren Ein ALG kann typischerweise mehrere Server gemeinsam schützen © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 158 Schutzsoftware Application Layer Gateways (ALG): ALGs "verstehen" das jeweils genutzte Anwendungsprotokoll und können Anfragen und Antworten interpretieren Ein ALG kann beispielsweise Anfragen, die einem bekannten Angriffsmuster entsprechen, abfangen Ebenso kann ein ALG Antworten, die bestimmten Arten von Daten enthalten, unterbinden ALGs können genutzt werden, um nach dem Bekanntwerden einer Sicherheitslücke schädliche Anfragen zu blockieren, bis die eigentliche Sicherheitslücke geschlossen ist © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 159 Schutzsoftware Application Layer Gateways (ALG): ALGs können zudem umfassende Analysen erstellen, beispielsweise, von welchen Geräten welche Funktionen wie oft mit welchen Datenmengen abgerufen wurden Aus den Daten eines ALG können später Anomalien hergeleitet und nach einem Angriff wichtige Hinweise zum Vorgehen der Angreifer gewonnen werden © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 160 023 Device and Storage Security 023.3 Malware (weight: 3) © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 161 Schadsoftware ("Malware") Malware ist Software, die bei Ausführung Schaden herbeiführt Typische Folgen von Malware: Daten werden verschlüsselt, verändert oder gelöscht Angreifern wird Zugriff auf Daten, Systeme und Netzwerke gewährt Es werden dauerhafte Zugriffsmöglichkeiten für Angreifer eingeräumt Informationen werden unzulässigerweise erhoben (Mitschreiben von Tastatureingaben, Zugriff auf Mikrofon und Webcam) Informationssysteme werden für weitere Angriffe auf Dritte oder den Versand von Spam genutzt Die Schadsoftware wird weiter verbreitet © xamira networks GmbH 2024. Alle Rechte vorbehalten! Version: 1.0.1 162 Folgen von Malware Kopieren von Dateien / Data Exfiltration Zugriff auf alle Dateien, die vom angegriffenen Ziel aus erreichbar sind Lokale Dateien sowie Dateien auf Netzwerklaufwerken und Cloud-Diensten Kopien können für verschiedene Zwecke genutzt werden: Verwerten der Dateien Spionage Erpressen betroffener Personen durch Drohung mit Veröffentlichung